Block serangan brute force pada dovecot IMAP-POP3 dengan fail2ban

Brute force ke server adalah serangan ke sebuah server yang dilakukan dengan mencoba login menggunakan user dan password secara acak dengan mencoba berkali-kali dalam sekali serang. Walaupun kemungkinan kecil untuk tembus (asalkan password-password benar-benar sulit), tetapi akan membuat trafic jaringan ke server semakin padat dan lambat.



Kali ini kita akan melihat konfigurasi untuk mengamankan Inoming mail server (pada kesempatan ini menggunakan Dovecot server yang sudah terinstall dan berjalan) yang paling rentan terhadap serangan brute force.





Pertama-tama kita harus memiliki program fail2ban, untuk mudahnya menggunakan paket rpm yang bisa di download disini,  pilih file sesuai distro yang ada pada server kita.



Setelah diinstall, maka akan terdapat direktori /etc/fail2ban/ (untuk distro opensue). buatlah filter baru dan simpan di /etc/fail2ban/filter.d/dovecot-pop3imap.conf, berikut is  filenya :

[Definition]
failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P\S*),.*
ignoreregex =

Tambahkan baris berikut pada /etc/fail2ban/jail.conf:

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
# optionaly mail notification # mail[name=dovecot-pop3imap, dest=root@domain] # see /etc/fail2ban/action.d/ or Fail2Ban doc
logpath = /var/log/mail 
maxretry = 3
findtime = 1200
bantime = 1200

Untuk Debian dan Ubuntu tambahkan /etc/fail2ban/jail.local (jangan edit /etc/fail2ban/jail.conf)

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
port = pop3,pop3s,imap,imaps
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
# optionaly mail notification # mail[name=dovecot-pop3imap, dest=root@domain] # see /etc/fail2ban/action.d/ or Fail2Ban doc
logpath = /var/log/mail.log
maxretry = 3
findtime = 1200
bantime = 1200

Kemudian restart fail2ban server, buka console dan ketik :

/etc/init.d/fail2ban restart

Untuk melihat apakah fail2ban sudah berjalan dengan baik, pada console ketik :

 

tail -f /var/log/fail2ban.log

Maka akan muncul log file seperti berikut :

2012-07-16 21:21:02,656 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2012-07-16 21:21:02,657 fail2ban.jail   : INFO   Creating new jail 'dovecot-pop3imap'
2012-07-16 21:21:02,658 fail2ban.jail   : INFO   Jail 'dovecot-pop3imap' uses poller
2012-07-16 21:21:02,682 fail2ban.filter : INFO   Added logfile = /var/log/mail
2012-07-16 21:21:02,683 fail2ban.filter : INFO   Set maxRetry = 3
2012-07-16 21:21:02,686 fail2ban.filter : INFO   Set findtime = 1200
2012-07-16 21:21:02,686 fail2ban.actions: INFO   Set banTime = 1200
2012-07-16 21:21:02,700 fail2ban.jail   : INFO   Jail 'dovecot-pop3imap' started

Jika terjadi serangan maka pada log akan berisi sebagai berikut :

2012-15-09 01:20:57,780 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 176.58.96.82
2012-15-09 01:40:58,099 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 176.58.96.82
2012-15-09 04:05:19,143 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 176.58.96.82
2012-15-09 04:25:19,455 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 176.58.96.82
2012-15-09 21:05:58,800 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 125.228.246.202
2012-15-09 21:25:59,101 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 125.228.246.202
2012-15-10 01:47:57,526 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 88.204.0.2
2012-15-10 02:07:57,807 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 88.204.0.2

---