I 5 migliori strumenti per prevenire gli attacchi di forza bruta

Che cos'è un attacco di forza bruta?

Un attacco di forza bruta è una tecnica di hacking che prevede di provare molte password diverse con la speranza di indovinare alla fine quella giusta correttamente. Il primo passo in qualsiasi attacco di forza bruta è scegliere un bersaglio; pertanto, gli hacker iniziano scansionando le reti alla ricerca di porte aperte e quindi tentano di indovinare le password. Se un hacker indovina la password corretta, proverà ad accedere. Una volta effettuato l'accesso, avrà il controllo completo sulla rete.

La forza bruta attacca i sistemi bersaglio utilizzando grandi volumi di dati indirizzati/inviati simultaneamente; inviare richieste o molte informazioni inutili a un server o servizio mirato. Questi attacchi vengono utilizzati per sopraffare server e dispositivi di rete.

In un attacco di forza bruta, l'aggressore utilizza molta potenza di calcolo per tentare di violare il sistema. Come discusso in precedenza, l'attacco di forza bruta è un metodo per indovinare le password o provare combinazioni di caratteri finché non ne trovano una che funzioni. Gli attacchi sono spesso automatizzati, il che significa che vengono eseguiti senza input umano; questi tipi di attacchi sono spesso definiti "hacking".

Come indicare gli attacchi di forza bruta?

Diverse azioni che indicano un attacco di forza bruta, come:

1. Tentativi di accesso ripetuti: un gran numero di tentativi di accesso falliti in breve tempo è una chiara indicazione di un attacco di forza bruta.
2. Elevato utilizzo delle risorse: gli attacchi di forza bruta possono causare un elevato utilizzo della CPU o della memoria sul server di destinazione, poiché sta tentando di elaborare un numero elevato di tentativi di accesso.
3. Traffico di rete insolito: un attacco di forza bruta genererà una grande quantità di traffico in entrata che può essere rilevato monitorando i modelli di traffico di rete.
4. Indirizzi IP sospetti: i registri possono essere controllati per indirizzi IP sospetti che tentano ripetutamente di connettersi al server.

Come posso identificare gli attacchi di forza bruta SSH su un server Linux?

Per rilevare i tentativi di forza bruta SSH su un server Linux (come CentOS 7, Fedora 21 e RHEL 7), puoi utilizzare ilcomando journalctl con i seguenti parametri:

# journalctl -u sshd |grep "Password errata"

Questo comando cercherà nei log di sistema eventuali voci relative al servizio SSH che includano la stringa "Failed password ", che indica un tentativo di accesso fallito.

Per i vecchi sistemi basati su RedHat che utilizzano upstart (come CentOS 6 e RHEL 6), è possibile cercare possibili tentativi di intrusione nel file /var/log/secure utilizzando il seguente comando:

#cat /var/log/secure |grep "Password errata"

Questo comando cercherà nelfile /var/log/secure tutte le voci che includono la stringa " Password non riuscita".

Come posso identificare gli attacchi di forza bruta su un server Windows?

IlVisualizzatore eventi è uno strumento integrato in Windows che consente di visualizzare i registri di sistema e delle applicazioni.Puoi accedere al Visualizzatore eventi andando nel menu Start, digitando "Visualizzatore eventi" e premendo Invio. Cerca i registri relativi a sicurezza, sistema e applicazione nel Visualizzatore eventi.

Il "Registro di sicurezza" nel Visualizzatore eventi contiene record di eventi relativi alla sicurezza, come i tentativi di accesso. Puoi trovare il Registro di sicurezza espandendo la cartellaRegistri di Windows nel Visualizzatore eventi e quindi facendo clic su "Sicurezza".

Cerca i log con ID evento 4625 e 4624, che indicano rispettivamente tentativi di accesso non riusciti e riusciti.

Nota: è importante controllare regolarmente i registri e monitorare il traffico di rete per identificare eventuali attività sospette che potrebbero indicare un attacco di forza bruta.

In questo blog, abbiamo discusso di vari strumenti e metodi che possono essere utilizzati per prevenire attacchi di forza bruta.

I 5 migliori strumenti per prevenire gli attacchi di forza bruta

1. Banco IP

IPBan è uno strumento efficace per prevenire attacchi di forza bruta in quanto blocca ripetuti tentativi di accesso da un indirizzo IP specifico. Gli attacchi di forza bruta in genere coinvolgono script automatici che tentano ripetutamente di indovinare le credenziali di accesso di un utente provando diverse combinazioni di nome utente e password. IPBan funziona quando un numero elevato di tentativi di accesso non riusciti proviene da un singolo indirizzo IP. In questo caso, IPBan impedisce automaticamente a quell'IP di effettuare ulteriori tentativi.

L'app di sicurezza IPBan è sviluppata per Windows e Linux per bloccare botnet e hacker. La sicurezza è l'obiettivo principale di un amministratore di server, quindi anche le botnet definite dall'amministratore e gli hacker nel firewall possono migliorare le prestazioni. Ogni tentativo di accesso fallito consuma una grande quantità di CPU e risorse di sistema; questo è principalmente in ambienti desktop remoti e SSH.

IPBan protegge desktop remoti (RDP), SSH, SMTP e database come MySQL o SQL Server da tentativi di accesso falliti. Puoi anche aggiungere altri protocolli nei server Windows o Linux modificando il file di configurazione IPBan.

Requisiti -

• IPBan necessita di .NET 6 SDK per creare ed eseguire il debug del codice.
• IPBan richiede IDE o terminale con accesso amministratore o root.

Piattaforme supportate –

• Windows 8.1 o successivo (x86, x64), Windows Server 2012 o successivo (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 potrebbe funzionare con alcune modifiche. Poiché Windows Server 2008 ha raggiunto la fine della sua vita, non è più ufficialmente supportato.
• In CentOS e RedHat Linux, dovrai installare manualmente IPtables e IPset utilizzando il gestore pacchetti Yum.
• IPBan non è supportato in Mac OS X.
• È possibile scaricare l'applicazione IPBan da qui.

L'installazione di IPBan su un server può fornire diversi vantaggi per aiutare a prevenire gli attacchi di forza bruta:

• IPBan verifica se un numero elevato di tentativi di accesso non riusciti proviene dallo stesso indirizzo IP. Una volta rilevato l'IP, impedisce automaticamente all'IP di effettuare ulteriori tentativi; questo ferma efficacemente l'attacco sul nascere e aiuta a proteggere il server.
• IPBan può aumentare notevolmente la sicurezza di un server impedendo l'accesso non autorizzato e proteggendo le informazioni sensibili.
• IPBan può aiutare a ridurre il carico del server bloccando gli accessi non autorizzati prima ancora che raggiungano l'applicazione web; questo riduce il numero di richieste che il server deve gestire.
• Installando IPBan, possiamo anche migliorare le prestazioni del server.

Nel complesso, IPBan è uno strumento potente ed efficace per prevenire attacchi di forza bruta. È anche semplice da configurare e utilizzare. Questo lo rende un'ottima opzione per qualsiasi sito Web o server che deve essere protetto da questi tipi di attacchi.

2. FCS

Config Server Firewall (CSF) è un web application firewall (WAF) che protegge siti Web e server da attacchi di forza bruta. Utilizzando il CSF, puoi monitorare l'attività degli utenti, tenere traccia dei visitatori e garantire che il sito Web e il server rimangano sicuri. Inoltre , è possibile monitorare qualsiasi cambiamento nel flusso del traffico di rete e rilevare eventuali violazioni della sicurezza.

Vantaggi dell'installazione di un firewall -

• I firewall impediscono l'accesso non autorizzato ai server su reti private tramite software o hardware.
• I firewall proteggono le reti di computer monitorando e controllando il flusso di dati tra sistemi interni e dispositivi esterni.
• Un firewall di solito monitora i pacchetti in entrata e in uscita (traffico) su un computer; filtrare contenuti illegali o bloccare richieste Web indesiderate.
• Impedisce ai programmi di inviare informazioni al di fuori della rete interna a meno che l'utente non lo autorizzi specificamente a farlo. Pertanto, impedendo agli hacker di accedere ai dati sensibili.
• È possibile impostare regole nel firewall e bloccare l'indirizzo IP del sistema di tentativi di accesso non riusciti.
• Se hai un WHM/cPanel sul server, puoi abilitare cPHulk Brute Force Protection. Questa funzione protegge il server dagli attacchi di forza bruta.
• Impedirà ai virus di entrare o diffondersi nella rete di un'azienda.

Puoi fare riferimento a questo articolo per scaricare CSF sul tuo server.

3. EvlWatcher

EvlWatcher funziona in modo simile a un'applicazione Fail2ban su un server Windows. L'applicazione EvlWatcher controlla i file di registro del server per tentativi di accesso non riusciti e altre attività diffidenti. Se EvlWatcher rileva più di un numero predefinito di tentativi di accesso non riusciti, blocca gli indirizzi IP per una durata specificata. Utilizzando EvlWatcher, puoi impedire l'accesso non autorizzato al tuo server.

EvlWatcher è un'ottima applicazione. Una volta installato, proteggerà automaticamente il tuo server con le sue regole predefinite che puoi anche modificare modificando config.xml . C'è anche un elenco permanente di IP ban per coloro che tentano ripetutamente di violare il server; atterrano automaticamente lì dopo tre colpi. È possibile modificare il tempo di blocco o creare eccezioni nell'applicazione.

Su GitHub, il progetto EvlWatcher è ancora in fase di sviluppo attivo.
Puoi scaricare EvlWatcher da qui.

4. Malwarebytes

Un attacco di forza bruta comporta l'ipotesi di possibili combinazioni di password finché non viene trovata quella corretta. Se questo attacco ha successo, il malware può diffondersi nella rete e decrittografare i dati crittografati. Pertanto, Malwarebytes Premium protegge i server dagli attacchi di forza bruta utilizzando una tecnologia antivirus e antimalware avanzata.

Sfruttando le vulnerabilità delle password RDP, i criminali informatici eseguono attacchi di forza bruta sui server, distribuendo malware sotto forma di ransomware e spyware. La funzione Brute Force Protection di Malwarebytes riduce l'esposizione della connessione RDP e blocca gli attacchi in corso.

Se stai cercando un antivirus che fornisca protezione da malware in tempo reale da minacce diffuse e attacchi di forza bruta, Malwarebytes Premium è una buona opzione. Malwarebytes Premium ti offre una protezione ottimale senza la necessità di software antivirus aggiuntivo. Puoi anche scansionare manualmente il tuo server su richiesta se sei preoccupato di essere stato recentemente infettato da un virus o da un tentativo di attacco di forza bruta.

Malwarebytes è supportato su Windows, Linux, Mac OS, Android e Chrome OS.

Malwarebytes è gratuito per 14 giorni dopo averlo installato sul tuo dispositivo. Al termine della prova gratuita, il programma eseguirà solo le funzioni più basilari e potrai continuare a utilizzarlo senza costi aggiuntivi. Per ottenere una protezione proattiva in tempo reale 24 ore su 24, 7 giorni su 7, dovrai acquistare una licenza Malwarebytes Premium per uno o due anni.

Puoi scaricare l'applicazione Malwarebytes da qui.

5. Sentinella

Sentry è un'applicazione di protezione dalla forza bruta completamente automatizzata che protegge le connessioni SSH in modo silenzioso e senza interruzioni senza la necessità di alcuna interazione da parte dell'utente. È uno strumento di protezione sicuro e potente contro gli attacchi di forza bruta sui server Linux. Sentry è scritto in Perl. la sua installazione e distribuzione sono abbastanza semplici e non richiede alcuna dipendenza.

Sentry rileva e previene gli attacchi di forza bruta contro il demone SSH (SSHd). Gli attacchi di forza bruta SSH vengono bloccati da Sentry utilizzando wrapper TCP e diversi firewall popolari; è stato progettato per proteggere il demone SSH; tuttavia, funziona anche con i servizi FTP e MUA. Puoi facilmente estendere Sentry per supportare elenchi di blocco aggiuntivi. Il suo obiettivo primario è quello di ridurre il numero di risorse.

Per rilevare connessioni dannose, Sentry utilizza regole flessibili. È generalmente considerato sospetto quando un utente tenta di accedere a un sistema utilizzando un nome utente o una password non validi. Ciò è particolarmente vero per il protocollo SSH, utilizzato per accedere e gestire i server da remoto. Quando un utente non valido tenta di accedere tramite SSH, il server in genere rifiuta il tentativo di accesso e potrebbe registrare l'evento come avviso di sicurezza. Puoi vedere le regole relative agli script di Sentry nella sezione di configurazione.

Fare riferimento a questo articolo per informazioni su come scaricare lo strumento Sentry sul server.

Tecniche per prevenire attacchi di forza bruta

1. Usa una password complessa.

La prima cosa da fare è creare una password sicura. Una password complessa significa che è difficile da indovinare e utilizza caratteri che non sono comunemente usati. Puoi usare qualsiasi carattere tu voglia, ma assicurati che non siano di uso comune. Se stai usando una parola del dizionario, cerca di evitare parole che le persone potrebbero facilmente indovinare. Ad esempio, se stai tentando di creare una password che includa la parola "password", non scegliere qualcosa come "[email protected]". Invece, scegli qualcosa come "passw0rd" o "my_secret_password".

2. Non riutilizzare le password.

Riutilizzando la stessa password su più account, aumenti il ​​rischio che un utente malintenzionato riesca ad accedere a più account con un unico set di credenziali di accesso. Ciò può avere gravi conseguenze, come perdite finanziarie o furto di informazioni personali.

È importante evitare di riutilizzare le password poiché aumenta anche il rischio di un attacco di forza bruta. Se hai la stessa password per più siti web, anche qualcuno che ha accesso al tuo account e-mail può accedere a quei siti. Quindi, se cambi la tua password su un sito, assicurati di cambiarla anche ovunque. L'utilizzo di password univoche per ciascun account e l'utilizzo di un gestore di password per generarle e archiviarle in modo sicuro può aiutare a prevenire attacchi di forza bruta.

3. Cambia frequentemente la tua password.

Cambiare spesso la password è una pratica importante per prevenire attacchi di forza bruta poiché questo attacco comporta l'indovinare ripetutamente le credenziali di accesso per ottenere l'accesso. Cambiando regolarmente la tua password, rendi più difficile per un utente malintenzionato indovinare le credenziali di accesso corrette.

Si consiglia di modificare la password almeno ogni tre mesi o più frequentemente se si sospetta che il proprio account possa essere stato compromesso. Quando si crea una nuova password, è importante utilizzare una password sicura e univoca che contenga una combinazione di lettere, numeri e caratteri speciali. Evita di utilizzare informazioni facilmente indovinabili come il tuo nome, data di nascita o parole comuni.

4. Mantieni aggiornato il tuo software.

È importante mantenere aggiornato il software del computer per mantenere una sicurezza inviolabile. Gli sviluppatori di software rilasciano aggiornamenti che contengono importanti correzioni di sicurezza che possono aiutare il tuo computer a rimanere protetto da virus, malware e altre minacce online. Controllando e installando regolarmente gli aggiornamenti, puoi contribuire a mantenere il tuo computer sicuro e senza intoppi. È anche una buona idea controllare regolarmente i siti Web del software che utilizzi per vedere se sono disponibili aggiornamenti importanti.

5. Utilizzare l'autenticazione a due fattori (2FA).

Aggiungendo l'autenticazione a due fattori, puoi rendere più sicure le tue informazioni di accesso. In questo, dovrai inserire il tuo nome utente, password e un codice SMS inviato al tuo telefono o indirizzo e-mail quando accedi. Questo aiuta a proteggere ulteriormente i tuoi dati anche se qualcuno ruba la tua combinazione nome utente/password.

6. Modificare le porte predefinite del servizio RDP/SSH.

Il sistema operativo Microsoft Windows viene fornito con Servizi Desktop remoto sulla porta predefinita 3389. Poiché è una porta comunemente utilizzata, può essere un facile bersaglio per attacchi di forza bruta contro desktop remoti.

Facendo riferimento a questo articolo, puoi facilmente modificare la porta RDP 3389 in una porta non standard sul tuo server Windows VPS/dedicato.

Allo stesso modo, anche il servizio SSH viene fornito con la porta 22. Puoi cambiare questa porta facendo riferimento ai nostri articoli;

• Per CentOS, fare riferimento a questo articolo.
• Per Ubuntu, fare riferimento a questo articolo.

7. Limitare l'accesso al servizio RDP per indirizzi IP specifici

La restrizione basata su IP consente agli amministratori di limitare l'accesso a servizi specifici solo a un intervallo di indirizzi IP registrati. Per proteggere le connessioni RDP, molti amministratori scelgono di utilizzare restrizioni basate su IP. Ciò consente solo a determinati indirizzi IP di connettersi alla porta RDP. Questo può aiutare a prevenire l'accesso non autorizzato e proteggere da potenziali minacce alla sicurezza.

Puoi fare riferimento a questo articolo per impostare restrizioni basate su IP.

Conclusione

Gli attacchi di forza bruta possono essere prevenuti utilizzando più strumenti e tecniche, di cui abbiamo discusso in questo articolo. Dall'utilizzo di password complesse e autenticazione a più fattori all'utilizzo della porta non standard per i servizi RDP/SSH, limitare l'accesso ai servizi RDP/SSH per indirizzi IP specifici è essenziale per proteggersi dagli attacchi di forza bruta.

È inoltre importante monitorare i registri del server e il traffico di rete per identificare qualsiasi attività sospetta che possa indicare un attacco di forza bruta. Inoltre, diversi strumenti online disponibili online possono aiutare a prevenire attacchi di forza bruta bloccando ripetuti tentativi di accesso da un singolo indirizzo IP.

Pertanto, l'adozione di questi semplici passaggi assicurerà che i tuoi dati e altre informazioni personali rimangano al sicuro dagli hacker.