{"id":632,"date":"2017-12-31T14:58:55","date_gmt":"2017-12-31T07:58:55","guid":{"rendered":"http:\/\/www.otakudang.org\/?p=632"},"modified":"2020-02-24T15:19:16","modified_gmt":"2020-02-24T08:19:16","slug":"mengamankan-issabel-dengan-fail2ban","status":"publish","type":"post","link":"https:\/\/www.otakudang.org\/?p=632","title":{"rendered":"Mengamankan Issabel dengan Fail2ban"},"content":{"rendered":"

Keperluan menginstall IP PBX dengan ip address public sepertinya memang sudah tidak bisa dihindari lagi demi mengurangi carbon footprint<\/a> *halah*<\/em>. Beberapa waktu yang lalu saya pernah menulis bagaimana saya mengamankan server Elastix dengan IPTABLES ketika harus dipasang dengan ip address public di sini<\/a>. Cuma caranya kurang elegan karena masih mengubah port default SIP, dan firewallnya bisa dibilang statis (tidak bisa otomatis block\/unblock ip address perpetrator). Padahal kalau melihat appliance yang ada di pasaran, seperti Yeastar IP PBX, Grandstream IP PBX, Sangoma IP PBX, dll (terutama yang Asterisk based), mereka sudah menerapkan Fail2ban sebagai default pengamanan dan dengan pede bisa membuka port 5060 di network public.<\/p>\n

Fail2ban di Issabel, yang notabene sudah jalan di atas Centos 7, menggunakan tool Firewalld (bukan IPTABLES, walaupun masih disertakan juga sebagai backward compat).\u00a0 Tapi saya masih kebawa ngubah port default layanan lain ke port berbeda (misal SSH jadi port 8022, http jadi port 8080, https jadi port 8443, dst), sekedar menambahkan “onion layer” ke layer pengamanan.<\/p>\n

“Cara Kerja Fail2ban Gimana sih?”<\/em><\/strong><\/p>\n

Fail2ban membaca file log layanan (ssh, http, https, Asterisk, FreeSWITCH, dst) untuk dibandingkan dengan regex yang ada di direktori\u00a0~fail2ban\/filter.d\/*.conf<\/strong>. Misal di Issabel ini, saya sudah menginstruksikan Fail2ban membaca file\u00a0\/var\/log\/asterisk\/full\u00a0<\/strong>(file log utama Asterisk) di\u00a0~fail2ban\/jail.conf<\/strong> seperti di bawah ini:<\/p>\n

...\n[asterisk]\n\nport = 5060,5061\naction = %(banaction)s[name=%(__name__)s-tcp, port=\"%(port)s\", protocol=\"tcp\", chain=\"%(chain)s\", actname=%(banaction)s-tcp]\n%(banaction)s[name=%(__name__)s-udp, port=\"%(port)s\", protocol=\"udp\", chain=\"%(chain)s\", actname=%(banaction)s-udp]\n%(mta)s-whois[name=%(__name__)s, dest=\"%(destemail)s\"]\nlogpath = \/var\/log\/asterisk\/full\nmaxretry = 3\n...\n<\/pre>\n
Nilai default maxretry\u00a0<\/strong><\/em>di setting ini 10. Sengaja saya turunkan menjadi 3.<\/p>\n
Fail2ban akan membaca file\u00a0\/var\/log\/asterisk\/full\u00a0<\/strong>(defaultnya \/var\/log\/asterisk\/messages) untuk dicocokkan dengan regex yang ada di dalam file\u00a0~fail2ban\/filter.d\/asterisk.conf <\/strong>. Silahkan check sendiri, isinya agak panjang jadi ndak saya paste di sini. Yang perlu diperhatikan adalah keyword\u00a0 . Regex akan mengeluarkan variable yang disimpan di\u00a0 untuk kemudian dijadikan parameter blocking di Firewalld, lalu meyimpan record tersebut di database SQLite. Kalau mau tau di mana lokasi databasenya jalankan saja perintah:<\/p>\n
[root@issabel ~]# fail2ban-client get dbfile\nCurrent database file is:\n`- \/var\/lib\/fail2ban\/fail2ban.sqlite3\n<\/pre>\n
Kalo ngerti SQLite, silahkan dilihat2 isi dari database tersebut, sementara ndak saya bahas di sini cara ngeliatnya pake SQLite.<\/p>\n
“Kenapa catatan ip address yang diblokir harus disimpan? “<\/em><\/strong><\/p>\n
Kadang-kadang kan memang kejadiannya ndak sengaja. Misal ada user yang pada saat setting endpoint salah dalam mengisikan password. Jadi ada baiknya diberikan kesempatan. Untuk jumlah berapa kali boleh diberikan kesempatan tergantung Sysadminnya segalak apa. Jadi Fail2ban secara default akan memberikan kesempatan 5x autentikasi, lalu diblokir selama 3 menit, kemudian dibuka blokirnya. Jika terjadi lagi salah autentikasi 5x, akan dilakukan blokir selama 3 menit lagi. Block\/unblock ini akan dihitung oleh Fail2ban. Jika sudah sampai 10x, maka ip address client akan diblokir permanen. Ini sebabnya dibutuhkan database untuk mencatat.<\/p>\n
Untuk server dengan ip address public, biasanya saya menurunkan jumlah toleransi dari 5x percobaan autentikasi yang diperbolehkan menjadi 3x saja. Lalu blocking\/unblocking yang defaultnya dari 10 menjadi 3. Lumayan saving resource karena saat server hadap ke jaringan public, jumlah percobaan akan berlipat puluhan kali, bahkan sampai ribuan kali lebih banyak jika dibandingkan dengan jaringan internal kantor, misalnya.<\/p>\n
Walhasil baru sebentar sudah panen hama:<\/p>\n
[root@issabel fail2ban]# fail2ban-client status asterisk\nStatus for the jail: asterisk\n|- Filter\n| |- Currently failed: 2\n| |- Total failed: 227890\n| `- File list: \/var\/log\/asterisk\/full\n`- Actions\n|- Currently banned: 5\n|- Total banned: 31\n`- Banned IP list: 46.29.162.24 185.22.152.78 46.29.162.11 185.22.152.88 62.210.143.116\n<\/pre>\n
Untuk menjalankan Fail2ban default install, yang perlu diubah hanya lokasi file log di Asterisk seperti yang sudah saya cantumkan di atas. Selain itu matikan layanan IPTABLES, dan aktifkan Firewalld.<\/p>\n
[root@issabel ~]# systemctl stop iptables\n[root@issabel ~]# systemctl disable iptables\n[root@issabel ~]# systemctl enable firewalld\n[root@issabel ~]# systemctl start firewalld\n<\/pre>\n
Lalu tambahkan layanan Issabel\/Asterisk untuk SIP di Firewalld:<\/p>\n
[root@issabel ~]# firewall-cmd --permanent --zone=public --add-port={5060,5061}\/tcp\n[root@issabel ~]# firewall-cmd --permanent --zone=public --add-port={5060,5061}\/udp\n[root@issabel ~]# firewall-cmd --permanent --zone=public --add-port=10000-20000\/udp\n[root@issabel ~]# firewall-cmd --reload\n<\/pre>\n
Dan pastikan level logging di Asterisk di dalam file\u00a0logger_logfiles_additional.conf\u00a0<\/strong>ada baris:<\/p>\n
full => debug,error,notice,verbose(3),warning\n<\/pre>\n
Jika ingin mengubah verbosity, maka perlu dipikirkan juga perubahan regex yang mungkin terjadi di dalam file\u00a0~fail2ban\/filter.d\/asterisk.conf<\/strong>.<\/p>\n
Dan terakhir aktifkan Fail2ban:<\/p>\n
[root@issabel ~]# systemctl enable fail2ban\n[root@issabel ~]# systemctl start fail2ban<\/pre>\n
Selamat mencoba dan selamat menyambut tahun baru 2018!<\/p>\n
Links<\/h3>\n