Cara Install dan Konfigurasi CrowdSec di Ubuntu 24.04 untuk Melindungi VPS dari Serangan Brute Force

Cara Install dan Konfigurasi CrowdSec di Ubuntu 24.04 untuk Melindungi VPS dari Serangan Brute Force

Pengantar

Keamanan VPS merupakan salah satu aspek penting yang perlu diperhatikan, terutama jika server digunakan untuk menjalankan website, aplikasi, database, maupun layanan publik lainnya. Salah satu ancaman yang paling sering terjadi adalah serangan brute force, yaitu percobaan login berulang kali menggunakan berbagai kombinasi username dan password hingga berhasil mendapatkan akses ke sistem.

Serangan brute force umumnya menargetkan layanan seperti SSH, FTP, WordPress, panel hosting, dan berbagai aplikasi web yang memiliki halaman autentikasi. Jika tidak ditangani dengan baik, serangan ini dapat meningkatkan beban server, mengganggu layanan, hingga berpotensi menyebabkan kebocoran data.

Salah satu solusi yang banyak digunakan untuk mengatasi ancaman tersebut adalah CrowdSec. CrowdSec merupakan sistem keamanan berbasis komunitas yang mampu menganalisis log server secara real-time untuk mendeteksi aktivitas mencurigakan, kemudian memblokir alamat IP yang terindikasi melakukan serangan.

Pada panduan ini, Anda akan mempelajari cara install dan konfigurasi CrowdSec di Ubuntu 24.04 untuk membantu melindungi VPS dari serangan brute force secara otomatis dan lebih efektif.

Mengenal CrowdSec

CrowdSec adalah solusi keamanan open-source yang berfungsi sebagai sistem deteksi dan pencegahan intrusi (IDS/IPS). CrowdSec bekerja dengan memantau log server, mendeteksi aktivitas mencurigakan, lalu secara otomatis mengambil tindakan untuk memblokir alamat IP yang terindikasi melakukan serangan.

Beberapa keunggulan CrowdSec antara lain:
• Gratis dan open source.
• Ringan dijalankan pada VPS maupun server dedicated.
• Mampu mendeteksi berbagai jenis serangan secara otomatis.
• Terintegrasi dengan firewall Linux seperti iptables dan nftables.
• Memanfaatkan database reputasi IP berbasis komunitas.
• Mendukung berbagai layanan seperti SSH, Nginx, Apache, WordPress, dan aplikasi lainnya.

Dengan kemampuan tersebut, CrowdSec dapat membantu meningkatkan keamanan VPS secara otomatis tanpa perlu melakukan pemantauan log server secara manual setiap saat.

Persiapan Sebelum Instalasi

  • 1 vCPU
  • 1 GB RAM
  • 10 GB Storage
  • Ubuntu 24.04 LTS
  • Akses root atau user sudo

Cara Install CrowdSec di Ubuntu 24.04

  1. Memperbarui Sistem
    Perbarui repository paket Ubuntu terlebih dahulu:
    sudo apt update
    Keterangan:
    Langkah ini memastikan sistem menggunakan daftar paket terbaru sebelum instalasi CrowdSec.
  1. Menambahkan Repository CrowdSec
    Tambahkan repository resmi CrowdSec:
    curl -s https://install.crowdsec.net | sudo sh

    Setelah selesai, perbarui repository:

    sudo apt update
    Keterangan:
    Repository resmi digunakan untuk mendapatkan versi CrowdSec terbaru dan pembaruan keamanan.
  1. Menginstal CrowdSec
    Install paket CrowdSec:
    sudo apt install crowdsec -y

    Tunggu hingga proses instalasi selesai.

    Keterangan:
    Paket CrowdSec akan menginstal engine deteksi serangan dan parser log yang dibutuhkan.
  1. Memastikan Service CrowdSec Berjalan
    Periksa status layanan CrowdSec:
    sudo systemctl status crowdsec

    Jika berhasil, akan muncul status:

    active (running)

    Agar CrowdSec berjalan otomatis saat server reboot:

    sudo systemctl enable crowdsec
    Keterangan:
    Service CrowdSec harus berstatus aktif agar dapat memantau log dan mendeteksi serangan secara real-time.

Memasang Firewall Bouncer

  1. Menginstal Firewall Bouncer
    Install Firewall Bouncer untuk memblokir IP berbahaya secara otomatis:
    sudo apt install crowdsec-firewall-bouncer-iptables -y

    Setelah instalasi selesai, periksa status servicenya:

    sudo systemctl status crowdsec-firewall-bouncer

    Jika berhasil, akan muncul status:

    active (running)

    Keterangan:
    Firewall Bouncer berfungsi menerapkan keputusan CrowdSec ke firewall sehingga alamat IP yang terdeteksi melakukan serangan dapat diblokir secara otomatis.

Mengaktifkan Proteksi SSH pada CrowdSec

  1. Menginstal Modul SSH untuk Deteksi Brute Force
    Install modul SSH yang disediakan CrowdSec:
    sudo cscli collections install crowdsecurity/sshd

    Restart layanan CrowdSec:

    sudo systemctl restart crowdsec

    Verifikasi modul yang telah terpasang:

    sudo cscli collections list

    Jika berhasil, akan muncul:

    crowdsecurity/sshd
    Keterangan:
    Modul SSH berisi parser dan skenario yang digunakan CrowdSec untuk mendeteksi percobaan login gagal, brute force, user enumeration, dan aktivitas mencurigakan lainnya pada layanan SSH.

Monitoring dan Manajemen Keamanan CrowdSec

  1. Memverifikasi Log yang Dipantau CrowdSec
    Pastikan CrowdSec telah membaca log sistem:
    sudo cscli metrics

    Contoh output:

    Source                                 Lines read
    /var/log/auth.log                      88
    /var/log/apache2/access.log            8
    Keterangan:
    Output tersebut menunjukkan bahwa CrowdSec berhasil membaca log autentikasi SSH maupun log web server sebagai sumber deteksi serangan.
  1. Melihat Alert Keamanan yang Terdeteksi
    Periksa alert yang berhasil dideteksi CrowdSec:
    sudo cscli alerts list

    Contoh output:

    ID   Scenario
    1    crowdsecurity/ssh-bf
    2    crowdsecurity/http-technology-probing

    Beberapa alert yang umum ditemukan:

    ssh-bf
    ssh-slow-bf
    http-probing
    http-technology-probing
    http-wordpress-scan
    Keterangan:
    Alert akan muncul ketika CrowdSec mendeteksi aktivitas yang dianggap mencurigakan berdasarkan skenario yang telah dipasang.
  1. Melihat Daftar IP yang Diblokir
    Untuk melihat alamat IP yang sedang diblokir:
    sudo cscli decisions list

    Contoh output:

    IP Address      Action
    192.168.1.100   ban
    10.10.10.10     ban
    Keterangan:
    Daftar tersebut berisi IP yang diblokir baik dari hasil deteksi lokal maupun Community Blocklist CrowdSec.
  1. Menghapus IP dari Daftar Blokir
    Jika terdapat IP yang terblokir secara tidak sengaja:
    sudo cscli decisions delete --ip 192.168.1.100
    Keterangan:
    Ganti alamat IP sesuai dengan IP yang ingin dibuka kembali aksesnya.
  1. Memblokir IP Secara Manual
    Tambahkan blokir IP secara manual:
    sudo cscli decisions add --ip 192.168.1.100

    Verifikasi hasilnya:

    sudo cscli decisions list
    Keterangan:
    Fitur ini berguna untuk memblokir alamat IP yang diketahui melakukan aktivitas mencurigakan meskipun belum terdeteksi otomatis oleh CrowdSec.

Menghubungkan CrowdSec ke Dashboard CrowdSec Console

  1. Menghubungkan Server ke CrowdSec Console

    Hubungkan server ke CrowdSec Console menggunakan perintah berikut:

    sudo cscli console enroll --quick

    Contoh output:

    INFO Please visit the following URL to enroll your instance:
    https://app.crowdsec.net/quick-enroll?token=xxxxxxxx

    Buka URL yang ditampilkan melalui browser.

    Login menggunakan akun CrowdSec. Jika belum memiliki akun, lakukan pendaftaran terlebih dahulu menggunakan email, Google, atau GitHub.

    Lengkapi informasi yang diminta hingga proses konfigurasi selesai.

    Klik Enter the Console untuk masuk ke dashboard CrowdSec.

    Keterangan:
    CrowdSec Console merupakan dashboard berbasis web yang digunakan untuk memantau aktivitas keamanan server secara terpusat.
  1. Mendaftarkan Security Engine
    Setelah masuk ke CrowdSec Console, pilih organisasi yang akan digunakan kemudian klik Enroll engine.

    Tunggu hingga proses sinkronisasi selesai.

    Restart layanan CrowdSec:

    sudo systemctl restart crowdsec

    Verifikasi status koneksi:

    sudo cscli console status
    Keterangan:
    Proses enroll memungkinkan Security Engine CrowdSec pada server terhubung dengan CrowdSec Console sehingga aktivitas keamanan dapat dipantau melalui dashboard web.

Melihat Dashboard CrowdSec Console

  1. Memantau VPS Melalui CrowdSec Console
    Setelah proses enroll berhasil, VPS akan muncul pada menu Engines di CrowdSec Console.

    Melalui dashboard ini, administrator dapat memantau berbagai informasi keamanan, seperti:

    • Status server yang terhubung.
    • Jumlah alert keamanan yang terdeteksi.
    • Jumlah skenario deteksi yang aktif.
    • Statistik pemblokiran IP.
    • Informasi Community Blocklist.
    • Aktivitas keamanan secara real-time.

    Keterangan:
    Dashboard CrowdSec Console memudahkan administrator dalam memantau beberapa VPS atau server dari satu antarmuka terpusat tanpa perlu login ke masing-masing server.

Verifikasi Collection yang Aktif

  1. Melihat Modul yang Digunakan CrowdSec
    Untuk melihat modul yang aktif pada CrowdSec:
    sudo cscli collections list

    Contoh modul yang umum digunakan:

    crowdsecurity/sshd
    crowdsecurity/apache2
    crowdsecurity/nginx
    crowdsecurity/http-cve
    crowdsecurity/mariadb
    Keterangan:
    Modul berisi parser dan skenario yang digunakan CrowdSec untuk mendeteksi berbagai jenis serangan berdasarkan log yang dipantau.
  1. Memverifikasi Alert yang Terdeteksi
    Periksa alert keamanan yang berhasil dideteksi CrowdSec:
    sudo cscli alerts list

    Contoh hasil:

    crowdsecurity/ssh-bf
    crowdsecurity/ssh-slow-bf
    crowdsecurity/http-technology-probing
    Keterangan:
    Alert menunjukkan aktivitas mencurigakan yang berhasil dideteksi CrowdSec, seperti brute force SSH maupun pemindaian aplikasi web.
  1. Memverifikasi IP yang Diblokir
    Untuk melihat alamat IP yang diblokir secara otomatis:
    sudo cscli decisions list

    Contoh hasil:

    IP:193.46.xxx.xxx
    IP:2.57.xxx.xxx
    Keterangan:
    Alamat IP tersebut diblokir berdasarkan hasil deteksi CrowdSec maupun informasi reputasi yang diperoleh dari Community Blocklist.
  1. Mengenal Community Blocklist CrowdSec

    Salah satu fitur unggulan CrowdSec adalah Community Blocklist, yaitu database reputasi IP berbasis komunitas yang diperbarui secara berkala.

    Untuk melihat statistiknya:

    sudo cscli metrics

    Contoh hasil:

    CAPI (community blocklist)
    active_decisions : 15.00k IPs

    Beberapa manfaat Community Blocklist:

    • Memblokir IP berbahaya sebelum menyerang server.
    • Mengurangi aktivitas brute force.
    • Mengurangi pemindaian otomatis oleh bot internet.
    • Meningkatkan keamanan VPS secara proaktif.

    Keterangan:
    Community Blocklist memungkinkan CrowdSec memanfaatkan informasi reputasi IP dari komunitas global sehingga perlindungan dapat dilakukan lebih cepat sebelum serangan mencapai server.

Kesimpulan

CrowdSec merupakan solusi keamanan open-source yang dapat membantu melindungi VPS Ubuntu 24.04 dari berbagai ancaman, mulai dari brute force SSH, pemindaian aplikasi web, hingga aktivitas mencurigakan lainnya. Dengan dukungan Firewall Bouncer, Community Blocklist, dan CrowdSec Console, proses deteksi serta pemblokiran serangan dapat dilakukan secara otomatis dan lebih efektif.

Melalui panduan ini, Anda telah mempelajari cara menginstal CrowdSec, mengaktifkan proteksi SSH, menghubungkan server ke CrowdSec Console, memantau alert keamanan, serta mengelola alamat IP yang diblokir. Dengan konfigurasi yang tepat, CrowdSec dapat menjadi lapisan keamanan tambahan yang membantu menjaga VPS tetap aman dari berbagai ancaman yang berasal dari internet.


Artikel Lain

WhatsApp Kami

Support : +6282138153600

Finance : +6285191239466