Sentry merupakan sebuah IPS (Intrusion Prevention System) yang berfungsi untuk melindungi sistem dari serangan brute force. Yang diutamakan pada Sentry ini adalah perlindungan pada protokol SSH. Namun selain SSH, sentry juga mendukung pengamanan brute force pada FTP dan SMTP.

Sentry ditulis dengan bahasa perl yang dapat anda gunakan di sistem operasi Linux yang memiliki daemon sshd. Perbedaan sentry dengan tool lainnya seperti fail2ban,sshdfilter dan lain-lain adalah sentry dapat menghemat sumber daya dimana tool ini akan berjalan hanya jika telah membuat koneksi dengan client, tool-tool yang ada saat ini menjalankannya via daemon (background process) yang membuat penggunaan sumber daya menjadi boros karena proses daemon ini akan terus berjalan walaupun tidak dibutuhkan.

Sentry memiliki beberapa tindakan, yaitu :

  • Blacklist ~> Daftar IP yang di block
  • Whitelist ~> Daftar IP yang tidak akan pernah di blok
  • Delist ~> Menghapus daftar IP dari Whiltelist dan Blacklist
  • Connect ~> Membuat log untuk setiap koneksi yang masuk
  • Update ~> Cek update versi terbaru dari sentry

Anda bisa mendownload source code Sentry di https://github.com/msimerson/sentry

Instalasi

Install module NET::IP dengan perintah :

perl -MCPAN -e 'install Apache::DBI'

Download Sentry dengan cara copy perintah di bawah ini ke terminal anda :

bash || sh
export SENTRY_URL=https://raw.githubusercontent.com/msimerson/sentry/master/sentry.pl
curl -O $SENTRY_URL || \
  wget $SENTRY_URL || \
  fetch --no-verify-peer $SENTRY_URL

Jalankan Sentry dengan perintah :

sudo perl sentry.pl

Setelah terinstall tambahkan kode dibawah in kedalam file /etc/hosts.allow :

sshd : /var/db/sentry/hosts.deny : deny
sshd : ALL : spawn perl /var/db/sentry/sentry.pl -c --ip=%a : allow

Percobaan Brute Force
Dengan menggunakan Hydra, kita mencoba melakukan brute force pada SSH.

Lalu Sentry akan mendeteksi dan melakukan blocking IP address yang melakukan bruteforce

Pada gambar diatas, terlihat terdapat 19 koneksi dari IP 192.168.1.5 dan terdeteksi melakukan brute force, kemudian IP 192.168.1.5 akan dimasukkan ke blacklist yang lokasinya berada di file /var/db/sentry/hosts.deny

ALL: 192.168.1.5 : deny

Anda dapat menghapus IP ini dari blacklist dengan perintah

perl /var/db/sentry/sentry.pl --ip=192.168.1.5 --delist