Blacklist dan Whitelist pada Plesk Panel

-

Pendahuluan

Blacklist pada plesk panel disebut Banned IP Addresses diperlukan baik blacklist otomatis terhadap IP public yang mencoba melakukan login ataupun blacklist manual jika terdapat kebutuhan agar server Anda tidak dapat diakses dari IP tertentu.

Whitelist pada plesk panel disebut Trusted IP Addresses diperlukan jika terdapat kebutuhan agar IP tertentu dapat tetap bisa mengakses tanpa menghiraukan rule blacklist yang telah Anda tetapkan sebelumnya.

Pada Plesk Panel terpat aplikasi bawaan yang telah terinstal yaitu IP Address Banning (Fail2Ban) yang berguna sebagai proteksi di Plesk Panel dari IP yang mencoba melakukan brute force (masuk secara paksa) dengan cara melakukan login terus menerus dengan mencoba password yang berubah ubah.

Aplikasi ini secara default akan aktif namun tingkat proteksi nya perlu disesuaikan dengan kebutuhan. Aplikasi ini dapat anda temukan pada Plesk Panel anda di bagian Tools & Setting > Security > IP Address Banning (Fail2Ban)

- Banned IP Addresses

Pada bagian ini Anda dapat melihat IP Public yang ter block oleh plesk panel serta penyebab terblock nya dapat anda lihat pada bagian used jail. Sebagai contoh IP 103.58.100.XX ter block karena mencoba mengakses server Anda melalui SSH namun dengan password yang salah.

Untuk menghapus IP tertentu dari daftar Banned Anda perlu centang IP yang ingin di unban lalu pilih unban atau dapat memindahkan IP langsung ke daftar Trusted IP Addresses atau Whitelist.

- Trusted IP Addresses

Seperti yang telah dijelaskan diawal, Trusted IP Addresses atau disebut juga Whitelist diperlukan jika terdapat kebutuhan agar IP tertentu dapat tetap bisa mengakses tanpa menghiraukan rule blacklist yang telah Anda tetapkan sebelumnya.

Daftar Trusted IP Addresses selain hasil pemindahan dari Banned IP Addresses, Anda juga dapat Add manual dengan cara klik Add Trusted IP > Input IP atau CIDR mask > Klik OK.


Pada contoh gambar diatas menunjukan bahwa IP 103.44.26.XX berada dalam daftar Trusted IP Addresses yang artinya IP tersebut akan tetap bisa mengakses server plesk Anda walaupun sudah beberapa kali gagal login yang melebihi ketentuan.

- Jail

Jail dapat memiliki status aktif atau tidak aktif, ketika layanan Fail2Ban berjalan maka hanya Jail aktif yang akan digunakan untuk memonitor file log dan untuk memblokir alamat IP yang mencurigakan.

Jika belum dilakukan konfigurasi maka secara default ketenatuan Jail ada sebagai berikut :

  • plesk-apache mencari kegagalan otorisasi Apache dan memblokir penyerang selama 10 menit.
  • plesk-apache-badbot mencari penyambar email dan pemindai kerentanan dalam file log akses Apache. Penyarang akan di blokir selama dua hari.
  • plesk-dovecot mencari Dovecot IMAP, POP3, dan kegagalan otentikasi. Penyerang akan di blokir selama 10 menit.
  • plesk-horde dan plesk-roundcube mendeteksi kegagalan login webmail dan memblokir akses ke layanan webmail selama 10 menit.
  • plesk-modsecurity memblokir alamat IP yang terdeteksi berbahaya oleh ModSecurity Web Application Firewall. Jail hanya dapat diaktifkan jika ModSecurity sudah berjalan, dan akan memblokir penyerang bahkan jika ModSecurity beroperasi dalam mode "Detection only". Larangan itu berlangsung selama 10 menit.
  • plesk-panel mendeteksi kegagalan login Plesk dan memblokir penyerang selama 10 menit.
  • plesk-postfix mencari kegagalan otentikasi SMTP dan SASL Postfix dan memblokir penyerang selama 10 menit.
  • plesk-proftpd mencari kegagalan login ProFTPD dan memblokir penyerang selama 10 menit.
  • plesk-wordpress mencari kegagalan otentikasi WordPress dan memblokir penyerang selama 10 menit.
  • recidive memblokir host yang telah menerima blokir dari Jail lain lima kali dalam 10 menit terakhir. Blokir itu berlangsung seminggu dan berlaku untuk semua layanan di server.
  • ssh mencari kegagalan masuk SSH dan memblokir penyerang selama 10 menit.

Jail ini dapat anda non aktifkan atau konfigurasi sesuai dengan kebutuhan. Sebagai contoh konfigurasi Jail SSH

Anda bisa pilih Change Setting atau Switch Off

Jika Anda pilih Change setting maka anda dapat melakukan pengaturan lebih lanjut seperti berapa lama IP addresses akan terblokir dan berapa kali maksimal gagal login.

Setelah itu ada hanya perlu klik OK atau Apply.

- Logs

Pada bagian Logs anda dapat klik atau download di bagian /var/log/fail2ban.log yang berisi log banned atau unban serta perubahan konfigurasi pada IP Address Banning.

- Setting

Di sini Anda dapat mengatur pelarangan alamat IP untuk melindungi server Anda dari lalu lintas berbahaya.

IP address ban period : Periode atau lama waktu IP akan di blokir oleh server Plesk Anda dalam hitungan detik.

Time interval for detection of subsequent attacks : interval waktu dalam detik selama sistem menghitung jumlah upaya login yang tidak berhasil dan tindakan lain yang tidak diinginkan dari alamat IP.

Number of failures before the IP address is banned : jumlah upaya login yang gagal dari alamat IP.

Dalam Contoh gambar diatas IP Address akan di blokir selama 24 jam jika terdapat 10 kali kesalahan login dalam interval 10 menit.