Memanfaatkan SuSEfirewall untuk Mem-blok Akses ssh yang “Nakal”
Salah satu "fasilitas" yang diberikan oleh openSUSE kepada para penggunanya adalah SuSEfirewall. Well, banyak user yang rasanya kurang afdol kalau tidak menggunakan iptables dan membuat script sendiri. OK, saya juga begitu awalnya, tapi lama kelamaan terpengaruh juga akan kemudahan SuSEfirewall ini. Kebalikannya bagi pengguna yang biasa dengan shorewall atau berbagai userspace firewall lain yang sudah dibungkus dalam satu paket yang menarik merasakan kalau menggunakan SuSEfirewall hanya nambah-nambah kesulitan aja 
Semua itu adalah pilihan, tidak ada yang lebih baik atau lebih jelek. Karena dibelakang userspace itu sebenarnya tetap saja iptables 
Apakah anda pernah memeriksa log anda dan menemukan hal seperti ini:
Dec 1 05:26:44 mail sshd[5103]: Failed password for root from ::ffff:210.18.10.171 port 26776 ssh2
Dec 1 05:26:44 mail sshd[5103]: Received disconnect from ::ffff:210.18.10.171: 11: Bye Bye
Dec 1 05:26:48 mail sshd[5114]: Failed password for root from ::ffff:210.18.10.171 port 27716 ssh2
Dec 1 05:26:49 mail sshd[5114]: Received disconnect from ::ffff:210.18.10.171: 11: Bye Bye
Dec 1 05:26:53 mail sshd[5123]: Failed password for root from ::ffff:210.18.10.171 port 28562 ssh2
Dec 1 05:26:53 mail sshd[5123]: Received disconnect from ::ffff:210.18.10.171: 11: Bye Bye
Coba cek server anda misalnya
# less /var/log/messages | grep ssh | more
Perhatikan bahwa lumayan banyak "script kiddies" yang berusaha masuk ke server anda melalui ssh. Memang kalau anda punya password yang sukar ditebak (gak ada dalam dictionary brute force attack) mungkin susah dibobol. Tapi terus terang hal ini lama kelamaan akan meyebalkan karena membuat server anda mengerahkan sebagian resourcenya dalam hal ini.
Anda mungkin sudah pernah mendengar bahkan menggunakan denyhosts dan fail2ban. Kedua software ini adalah software yang banyak digunakan untuk memblok ip atau hosts yang kedapatan telah beberapa kali mencoba masuk secara ilegal ke host anda. Fungsi memblok ip tersebut ternyata dimiliki pula oleh SuSEfirewall dan dengan setting yang sangat singkat.
Pada openSUSE 10.3 dan 11.0, fungsi tersebut diaktifkan dengan menambahkan atau mengaktifkan baris di bawah ini pada /etc/sysconfig/SuSEfirewall:
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
Baris ini memiliki arti, firewall akan memblok ip yang berusaha melakukan akses ssh yang invalid sebanyak 3 kali dalam 60 detik. Harap diperhatikan bahwa anda harus menon-aktifkan port 22 pada FW_SERVICES_EXT_* dan/atau FW_TRUSTED_NETS. Setelah di edit silakan restart/start SuSEfirewall anda.
rcSuSEfirewall2 restart
Padanan dari configurasi SuSEfirewall ini dalam bentuk script iptables adalah kurang lebih:
iptables -A INPUT -p tcp –syn –dport 22 -m recent –name sshattack –set
iptables -A INPUT -p tcp –dport 22 –syn -m recent –name sshattack –update –seconds 60 –hitcount 3 -j LOG –log-prefix ‘SSH attack: ‘
iptables -A INPUT -p tcp –dport 22 –syn -m recent –name sshattack –update –seconds 60 –hitcount 3 -j REJECT
Beberapa tips praktis
Di bawah ini beberapa tips praktis untuk memperketat akses ssh server anda. Bagaimanapun anda sangat membutuhkan akses ssh untuk administrasi server anda.
- Pastikan anda mengupdate paket ssh anda dengan versi terbaru
- Non aktifkan akses root login pada ssh anda. Masuklah sebagai user biasa, baru pindah ke mode su atau gunakan sudo
- Batasi LoginGraceTime dan MaxAuthTries.
- Pindahkan port ssh dari port standar 22 ke port lain (misalnya ke high port). Hal ini akan membuat "script kiddies" sedikit sibuk karena port 22 akan direject
- Aktifkan konfigurasi SuSEfirewall di atas (ganti portnya ke port ssh anda, misalnya dari 22 menjadi 22000)
- Rajin-rajinlah mencek log anda.
Have a lot of fun
kalo di shorewall pada file /etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST PORT(S)
Limit:info:SSHA,3,60 net $FW tcp 22
shorewall restart
http://shorewall.net/Actions.html
Comment by Aris — December 17, 2008 @ 3:42 pm