ブルート フォース攻撃を防止するための上位 5 つのツール
公開: 2023-02-09ブルートフォースアタックとは?
ブルート フォース攻撃とは、最終的に正しいパスワードを正しく推測することを期待して、多くの異なるパスワードを試すハッキング手法です。 ブルート フォース攻撃の最初のステップは、ターゲットを選択することです。 そのため、ハッカーはまずネットワークをスキャンして開いているポートを探し、次にパスワードを推測しようとします。 ハッカーが正しいパスワードを推測すると、ログインを試みます。ログインすると、ネットワークを完全に制御できます。
ブルート フォース攻撃は、標的のシステムに向けて同時に送信された大量のデータを使用して行われます。 対象のサーバーまたはサービスにリクエストまたは多くの役に立たない情報を送信する。 これらの攻撃は、サーバーやネットワーク デバイスを圧倒するために使用されます。
ブルート フォース攻撃では、攻撃者は大量の計算能力を使用してシステムを破壊しようとします。 前に説明したように、ブルート フォース攻撃は、パスワードを推測したり、機能する文字が見つかるまで文字の組み合わせを試したりする方法です。 多くの場合、攻撃は自動化されています。つまり、攻撃は人間の入力なしで行われます。 これらのタイプの攻撃は、しばしば「ハッキング」と呼ばれます。
ブルート フォース攻撃を示す方法は?
以下のようなブルート フォース攻撃を示すいくつかのアクション
- 繰り返されるログイン試行:短時間に多数のログイン試行が失敗した場合、ブルート フォース攻撃の明らかな兆候です。
- 高いリソース使用量:ブルート フォース攻撃により、標的のサーバーが多数のログイン試行を処理しようとするため、CPU またはメモリの使用率が高くなる可能性があります。
- 異常なネットワーク トラフィック:ブルート フォース攻撃は、ネットワーク トラフィック パターンを監視することで検出できる大量の着信トラフィックを生成します。
- 疑わしい IP アドレス:サーバーへの接続を繰り返し試行している疑わしい IP アドレスについては、ログを確認できます。
Linux サーバーでの SSH ブルート フォース攻撃を特定するにはどうすればよいですか?
Linux サーバー (CentOS 7、Fedora 21、RHEL 7 など) での SSH ブルート フォース試行を検出するには、journalctl コマンドを次のパラメーターと共に使用できます。
# journalctl -u sshd |grep 「失敗したパスワード」
このコマンドは、システム ログを検索して、ログイン試行の失敗を示す文字列「Failed password 」を含む SSH サービスに関連するエントリを探します。
upstart を使用する古い RedHat ベースのシステム (CentOS 6 や RHEL 6 など) の場合、次のコマンドを使用して、 /var/log/secure ファイルで侵入の可能性を検索できます–
#cat /var/log/secure |grep 「失敗したパスワード」
このコマンドは、/var/log/secure ファイルで文字列「Failed password」を含むエントリを検索します。
Windows サーバーでブルート フォース攻撃を特定するにはどうすればよいですか?
イベントビューアは、システム ログとアプリケーション ログを表示できる Windows の組み込みツールです。 イベント ビューアーにアクセスするには、[スタート] メニューに移動し、「イベント ビューアー」と入力して Enter キーを押します。 イベント ビューアーで、セキュリティ、システム、およびアプリケーションに関連するログを探します。
イベント ビューアの「セキュリティ ログ」には、ログイン試行などのセキュリティ関連のイベントの記録が含まれています。 イベント ビューアーでWindows ログフォルダーを展開し、[セキュリティ] をクリックすると、セキュリティ ログを見つけることができます。
イベントID が 4625 と 4624のログを探します。これらは、ログイン試行の失敗と成功をそれぞれ示しています。
注:ログを定期的に確認し、ネットワーク トラフィックを監視して、ブルート フォース攻撃を示している可能性のある疑わしいアクティビティを特定することが重要です。
このブログでは、ブルート フォース攻撃を防ぐために使用できるさまざまなツールと方法について説明しました。
ブルート フォース攻撃を防止するための上位 5 つのツール
1. IP禁止
IPBan は、特定の IP アドレスからの繰り返しのログイン試行をブロックするため、ブルート フォース攻撃を防ぐ効果的なツールです。 通常、ブルート フォース攻撃には、ユーザー名とパスワードのさまざまな組み合わせを試して、ユーザーのログイン資格情報を繰り返し推測しようとする自動化されたスクリプトが含まれます。 IPBan は、1 つの IP アドレスから多数のログイン試行が失敗した場合に機能します。 この場合、IPBan はその IP がそれ以上試行されないように自動的にブロックします。
IPBan セキュリティ アプリは、Windows と Linux 向けに開発され、ボットネットとハッカーを阻止します。 セキュリティはサーバー管理者の主な目標であるため、管理者が定義したボットネットやファイアウォール内のハッカーもパフォーマンスを向上させることができます。 ログイン試行が失敗するたびに、大量の CPU およびシステム リソースが消費されます。 これは主にリモート デスクトップおよび SSH 環境で発生します。
IPBan は、リモート デスクトップ (RDP)、SSH、SMTP、および MySQL や SQL Server などのデータベースをログイン試行の失敗から保護します。 IPBan 構成ファイルを編集して、Windows または Linux サーバーに他のプロトコルを追加することもできます。
要件 -
- IPBan では、コードをビルドおよびデバッグするために .NET 6 SDK が必要です。
- IPBan には、管理者またはルート アクセス権を持つ IDE またはターミナルが必要です。
サポートされているプラットフォーム –
- Windows 8.1 以降 (x86、x64)、Windows Server 2012 以降 (x86、x64)、Linux (Ubuntu、Debian、CentOS、RedHat x64)。
- IPBan Windows Server 2008 は、いくつかの変更を加えると動作する場合があります。 Windows Server 2008 はサポートが終了したため、正式にサポートされなくなりました。
- CentOS および RedHat Linux では、Yum パッケージ マネージャーを使用して IPtables および IPset を手動でインストールする必要があります。
- IPBan は Mac OS X ではサポートされていません。
- IPBan アプリケーションは、ここからダウンロードできます。
サーバーに IPBan をインストールすると、ブルート フォース攻撃を防ぐのに役立ついくつかの利点が得られます。
- IPBan は、多数の失敗したログイン試行が同じ IP アドレスから来ているかどうかを確認します。 IP が検出されると、その IP がそれ以上試行されないように自動的にブロックします。 これにより、攻撃を効果的に阻止し、サーバーの保護に役立ちます。
- IPBan は、不正アクセスを防止し、機密情報を保護することにより、サーバーのセキュリティを大幅に向上させることができます。
- IPBan は、不正なアクセスが Web アプリケーションに到達する前にブロックすることで、サーバーの負荷を軽減するのに役立ちます。 これにより、サーバーが処理しなければならない要求の数が減ります。
- IPBan をインストールすることで、サーバーのパフォーマンスを向上させることもできます。
全体として、IPBan はブルート フォース攻撃を防ぐための強力で効果的なツールです。 セットアップと使用も簡単です。 これにより、これらのタイプの攻撃から保護する必要がある Web サイトまたはサーバーに最適なオプションになります.
2.CSF
Config Server Firewall (CSF) は、Web サイトとサーバーをブルート フォース攻撃から保護する Web アプリケーション ファイアウォール (WAF) です。 CSF を使用すると、ユーザー アクティビティを監視し、訪問者を追跡し、 Web サイトとサーバーの安全性を確保できます。 さらに、ネットワーク トラフィック フローの変化を監視し、セキュリティ違反を検出できます。
ファイアウォールをインストールする利点 –
- ファイアウォールは、ソフトウェアまたはハードウェアを介したプライベート ネットワーク上のサーバーへの不正アクセスを防ぎます。
- ファイアウォールは、内部システムと外部デバイス間のデータの流れを監視および制御することにより、コンピューター ネットワークを保護します。
- ファイアウォールは、通常、コンピューター上の着信および発信パケット (トラフィック) を監視します。 違法なコンテンツをフィルタリングしたり、不要な Web リクエストをブロックしたりします。
- ユーザーが特に許可しない限り、プログラムが内部ネットワークの外部に情報を送信するのを防ぎます。 したがって、ハッカーが機密データにアクセスするのを防ぎます。
- ファイアウォールでルールを設定し、失敗したログイン試行システムの IP アドレスをブロックできます。
- サーバーに WHM/cPanel がある場合は、cPHulk ブルート フォース保護を有効にできます。 この機能は、ブルート フォース攻撃からサーバーを保護します。
- ウイルスが企業のネットワークに侵入したり拡散したりするのを防ぎます。
この記事を参照して、サーバーに CSF をダウンロードできます。
3. エヴルウォッチャー
EvlWatcher は、Windows サーバー上の Fail2ban アプリケーションと同様に機能します。 EvlWatcher アプリケーションは、サーバー ログ ファイルをチェックして、失敗したログイン試行やその他の信頼できないアクティビティを探します。 EvlWatcher は、事前定義された回数を超えるログイン試行の失敗を検出した場合、指定された期間、IP アドレスをブロックします。 EvlWatcher を使用することで、サーバーへの不正アクセスを防ぐことができます。
EvlWatcher は優れたアプリケーションです。 インストールすると、 config.xmlを編集して変更できるデフォルトのルールでサーバーが自動的に保護されます。 サーバーへの侵入を繰り返し試みる人のための永久的な IP 禁止リストもあります。 3回攻撃すると、自動的にそこに着陸します。 ブロック時間を変更したり、アプリケーションで例外を作成したりできます。
GitHub では、EvlWatcher プロジェクトがまだ活発に開発されています。
ここから EvlWatcher をダウンロードできます。
4. マルウェアバイト
ブルート フォース攻撃では、正しいパスワードが見つかるまで、考えられるパスワードの組み合わせを推測します。 この攻撃が成功すると、マルウェアがネットワーク全体に広がり、暗号化されたデータを解読できます。 そのため、 Malwarebytes Premium は、高度なウイルス対策およびマルウェア対策テクノロジを使用して、ブルート フォース攻撃からサーバーを保護します。
サイバー犯罪者は、RDP パスワードの脆弱性を悪用して、サーバーに対してブルート フォース攻撃を実行し、ランサムウェアやスパイウェアの形でマルウェアを配布します。 Malwarebytes のブルート フォース保護機能は、RDP 接続の公開を減らし、進行中の攻撃を阻止します。
広範囲にわたる脅威やブルート フォース攻撃からマルウェアをリアルタイムで保護するアンチウイルスをお探しの場合は、Malwarebytes Premium が最適です。 Malwarebytes Premium は、追加のウイルス対策ソフトウェアを必要とせずに最適な保護を提供します。 最近ウイルスに感染したか、ブルート フォース攻撃を試みたことが懸念される場合は、オンデマンドでサーバーを手動でスキャンすることもできます。
Malwarebytes は、Windows、Linux、Mac OS、Android、および Chrome OS でサポートされています。
Malwarebytes は、デバイスにインストールしてから 14 日間無料です。 無料試用期間が終了すると、プログラムは最も基本的な機能のみを実行し、追加料金なしで引き続き使用できます。 プロアクティブな年中無休のリアルタイム保護を得るには、1 年または 2 年の Malwarebytes Premium ライセンスを購入する必要があります。
Malwarebytes アプリケーションは、ここからダウンロードできます。
5.セントリー
Sentry は完全に自動化されたブルート フォース保護アプリケーションであり、ユーザーの介入を必要とせずに SSH 接続をサイレントかつシームレスに保護します。 これは、Linux サーバーに対するブルート フォース攻撃に対する安全で強力な保護ツールです。 歩哨は Perl で書かれています。 インストールと展開は非常に簡単で、依存関係は必要ありません。
Sentry は、SSH デーモン (SSHd) に対するブルート フォース攻撃を検出して防止します。 SSH ブルート フォース攻撃は、TCP ラッパーといくつかの一般的なファイアウォールを使用して、Sentry によってブロックされます。 SSH デーモンを保護するために設計されました。 ただし、これは FTP および MUA サービスでも機能します。 Sentry を簡単に拡張して、追加のブロック リストをサポートできます。 その主な目的は、リソースの数を減らすことです。
悪意のある接続を検出するために、Sentry は柔軟なルールを採用しています。 一般に、ユーザーが無効なユーザー名またはパスワードを使用してシステムにログインしようとすると、疑わしいと見なされます。 これは、サーバーへのリモート アクセスと管理に使用される SSH プロトコルに特に当てはまります。 無効なユーザーが SSH 経由でログインを試みると、通常、サーバーはログイン試行を拒否し、イベントをセキュリティ アラートとしてログに記録する場合があります。 構成セクションで、Sentry のスクリプト関連のルールを確認できます。
Sentry ツールをサーバーにダウンロードする方法については、この記事を参照してください。
ブルート フォース攻撃を防ぐためのテクニック
1. 強力なパスワードを使用します。
最初にすべきことは、強力なパスワードを作成することです。 強力なパスワードとは、推測が困難であり、一般的に使用されていない文字を使用していることを意味します。 任意の文字を使用できますが、一般的に使用されていないことを確認してください。 辞書の単語を使用している場合は、人々が簡単に推測できる単語を避けるようにしてください。 たとえば、「password」という単語を含むパスワードを作成しようとしている場合は、「[email protected]」などを選択しないでください。 代わりに、「passw0rd」や「my_secret_password」などを使用してください。
2. パスワードを再利用しないでください。
複数のアカウントで同じパスワードを再利用することにより、攻撃者が 1 つのログイン資格情報セットで複数のアカウントにアクセスできるリスクが高まります。 これは、経済的損失や個人情報の盗難など、重大な結果をもたらす可能性があります。
ブルート フォース攻撃のリスクも高まるため、パスワードの再利用は避けることが重要です。 複数の Web サイトで同じパスワードを使用している場合、あなたのメール アカウントにアクセスできる人は、それらのサイトにもアクセスできます。 そのため、あるサイトでパスワードを変更した場合は、他の場所でも変更するようにしてください。 アカウントごとに一意のパスワードを使用し、パスワード マネージャーを使用してそれらを安全に生成および保存すると、ブルート フォース攻撃を防ぐことができます。
3. パスワードは頻繁に変更してください。
パスワードを頻繁に変更することは、ブルート フォース攻撃を防ぐための重要な方法です。この攻撃には、ログイン資格情報を繰り返し推測してアクセスを取得することが含まれます。 パスワードを定期的に変更することで、攻撃者が正しいログイン資格情報を推測するのをより困難にします。
アカウントが侵害された疑いがある場合は、少なくとも 3 か月ごと、またはそれ以上の頻度でパスワードを変更することをお勧めします。 新しいパスワードを作成するときは、文字、数字、および特殊文字を組み合わせた強力で一意のパスワードを使用することが重要です。 名前、生年月日、一般的な言葉など、簡単に推測できる情報は使用しないでください。
4. ソフトウェアを最新の状態に保ちます。
侵入不可能なセキュリティを維持するには、コンピュータのソフトウェアを最新の状態に保つことが重要です。 ソフトウェア開発者は、コンピューターをウイルス、マルウェア、およびその他のオンラインの脅威から保護するのに役立つ重要なセキュリティ修正を含む更新をリリースします。 更新プログラムを定期的に確認してインストールすることで、コンピューターを安全に保ち、スムーズに実行することができます。 また、使用しているソフトウェアの Web サイトを定期的にチェックして、重要な更新プログラムが利用可能かどうかを確認することもお勧めします。
5. 二要素認証 (2FA) を使用します。
2 要素認証を追加することで、ログイン情報をより安全にすることができます。 ここでは、ユーザー名、パスワード、およびログイン時に携帯電話またはメール アドレスに送信されたテキスト メッセージ コードを入力する必要があります。これにより、誰かがユーザー名とパスワードの組み合わせを盗んだ場合でも、データをさらに保護することができます。
6. RDP/SSH サービスのデフォルト ポートを変更します。
Microsoft Windows OS には、デフォルト ポート 3389 のリモート デスクトップ サービスが付属しています。これは一般的に使用されるポートであるため、リモート デスクトップに対するブルート フォース攻撃の簡単な標的になる可能性があります。
この記事を参考にすれば、Windows VPS/専用サーバーの RDP ポート 3389 を非標準ポートに簡単に変更できます。
同様に、SSH サービスにも 22 ポートが付属しています。 このポートは、記事を参照して変更できます。
- CentOS については、こちらの記事を参照してください。
- Ubuntu については、この記事を参照してください。
7. 特定の IP アドレスの RDP サービスへのアクセスを制限する
IP ベースの制限により、管理者は特定のサービスへのアクセスを登録済みの IP アドレス範囲のみに制限できます。 RDP 接続を保護するために、多くの管理者は IP ベースの制限を使用することを選択します。 これにより、特定の IP アドレスのみが RDP ポートに接続できるようになります。 これにより、不正アクセスを防止し、潜在的なセキュリティの脅威から保護することができます。
この記事を参照して、IP ベースの制限を設定できます。
結論
ブルート フォース攻撃は、この記事で説明した複数のツールと手法を使用することで防ぐことができます。 強力なパスワードや多要素認証の使用から、RDP/SSH サービス用の非標準ポートの使用まで、特定の IP アドレスの RDP/SSH サービスへのアクセスを制限することは、ブルート フォース攻撃から安全を保つために不可欠です。
サーバーのログとネットワーク トラフィックを監視して、ブルート フォース攻撃を示す可能性のある疑わしいアクティビティを特定することも重要です。 さらに、オンラインで利用できるいくつかのオンライン ツールは、単一の IP アドレスからの繰り返しのログイン試行をブロックすることでブルート フォース攻撃を防ぐのに役立ちます。
したがって、これらの簡単な手順を実行するだけで、データやその他の個人情報がハッカーから保護されます。