Top 5 narzędzi do zapobiegania atakom Brute Force

Opublikowany: 2023-02-09

Narzędzia do zapobiegania atakom Brute Force

Co to jest atak Brute Force?

Atak brute force to technika hakerska, która polega na wypróbowaniu wielu różnych haseł z nadzieją, że ostatecznie uda się poprawnie odgadnąć właściwe. Pierwszym krokiem w każdym ataku siłowym jest wybranie celu; dlatego hakerzy zaczynają od skanowania sieci w poszukiwaniu otwartych portów, a następnie próbują odgadnąć hasła. Jeśli haker odgadnie prawidłowe hasło, spróbuje się zalogować. Po zalogowaniu uzyska pełną kontrolę nad siecią.

Brute force atakuje systemy docelowe przy użyciu dużych ilości danych skierowanych/wysłanych do nich jednocześnie; wysyłanie żądań lub wielu bezużytecznych informacji do docelowego serwera lub usługi. Ataki te służą do przeciążenia serwerów i urządzeń sieciowych.

W ataku brute force atakujący wykorzystuje dużo mocy obliczeniowej, aby spróbować złamać system. Jak omówiono wcześniej, atak brute force to metoda odgadywania haseł lub wypróbowywania kombinacji znaków, dopóki nie znajdą takiego, który działa. Ataki są często zautomatyzowane, co oznacza, że ​​przeprowadzane są bez udziału człowieka; tego typu ataki są często określane jako „hakowanie”.

Jak wskazać ataki Brute Force?

Kilka akcji, które wskazują na atak Brute Force, takich jak –

  1. Powtarzające się próby logowania: Duża liczba nieudanych prób logowania w krótkim czasie jest wyraźną oznaką ataku siłowego.
  2. Wysokie wykorzystanie zasobów: ataki siłowe mogą powodować wysokie zużycie procesora lub pamięci na docelowym serwerze, ponieważ próbuje on przetworzyć dużą liczbę prób logowania.
  3. Nietypowy ruch sieciowy: Atak siłowy wygeneruje dużą ilość ruchu przychodzącego, który można wykryć, monitorując wzorce ruchu sieciowego.
  4. Podejrzane adresy IP: Dzienniki można sprawdzać pod kątem podejrzanych adresów IP, które wielokrotnie próbują połączyć się z serwerem.

Jak rozpoznać ataki SSH Brute Force na serwer Linux?

Aby wykryć próby brutalnej siły SSH na serwerze Linux (takim jak CentOS 7, Fedora 21 i RHEL 7), możesz użyćpolecenia journalctl z następującymi parametrami –

# journalctl -u sshd |grep „Nieudane hasło”

Ataki typu brute force na serwer Linux

To polecenie przeszuka dzienniki systemowe pod kątem wszelkich wpisów związanych z usługą SSH, które zawierają ciąg „Nieudane hasło ”, co wskazuje na nieudaną próbę logowania.

W przypadku starszych systemów opartych na systemie RedHat korzystających z upstartu (takich jak CentOS 6 i RHEL 6) możliwe próby włamania można wyszukać w pliku /var/log/secure za pomocą następującego polecenia –

#cat /var/log/secure |grep „Nieudane hasło”

Brutalne ataki na systemy oparte na RedHat

To polecenie przeszukaplik /var/log/secure w poszukiwaniu wpisów zawierających ciąg „ Nieudane hasło”.

Kup Bezpieczny Linux VPS

Jak rozpoznać ataki Brute Force na serwer z systemem Windows?

Podglądzdarzeń to wbudowane narzędzie w systemie Windows, które umożliwia przeglądanie dzienników systemu i aplikacji.Możesz uzyskać dostęp do Podglądu zdarzeń, przechodząc do menu Start, wpisując „Podgląd zdarzeń” i naciskając Enter. Poszukaj dzienników związanych z bezpieczeństwem, systemem i aplikacją w Podglądzie zdarzeń.

„Dziennik bezpieczeństwa” w Podglądzie zdarzeń zawiera zapisy zdarzeń związanych z bezpieczeństwem, takich jak próby logowania. Dziennik zabezpieczeń można znaleźć, rozwijając folderDzienniki systemu Windows w Podglądzie zdarzeń, a następnie klikając opcję „Bezpieczeństwo”.

Poszukaj dzienników o identyfikatorach zdarzeń 4625 i 4624, które wskazują odpowiednio nieudane i udane próby logowania.

Dziennik zabezpieczeń w Podglądzie zdarzeń

Uwaga: ważne jest, aby regularnie sprawdzać dzienniki i monitorować ruch sieciowy, aby zidentyfikować wszelkie podejrzane działania, które mogą wskazywać na atak siłowy.

Na tym blogu omówiliśmy różne narzędzia i metody, których można użyć do zapobiegania atakom typu brute-force.

Kup Bezpieczny Windows VPS

Top 5 narzędzi do zapobiegania atakom Brute Force

1. IPBan

IPBan jest skutecznym narzędziem do zapobiegania atakom siłowym, ponieważ blokuje powtarzające się próby logowania z określonego adresu IP. Ataki siłowe zwykle obejmują zautomatyzowane skrypty, które wielokrotnie próbują odgadnąć dane logowania użytkownika, próbując różnych kombinacji nazwy użytkownika i hasła. IPBan działa, gdy duża liczba nieudanych prób logowania pochodzi z jednego adresu IP. W takim przypadku IPBan automatycznie blokuje dalsze próby tego adresu IP.

Aplikacja zabezpieczająca IPBan została opracowana dla systemów Windows i Linux w celu powstrzymania botnetów i hakerów. Bezpieczeństwo jest głównym celem administratora serwera, dlatego zdefiniowane przez administratora botnety i hakerzy w zaporze ogniowej mogą również poprawić wydajność. Każda nieudana próba logowania pochłania dużą ilość zasobów procesora i systemu; dotyczy to głównie zdalnych pulpitów i środowisk SSH.

IPBan chroni zdalne pulpity (RDP), SSH, SMTP i bazy danych, takie jak MySQL lub SQL Server, przed nieudanymi próbami logowania. Możesz także dodać inne protokoły na serwerach Windows lub Linux, edytując plik konfiguracyjny IPBan.

Wymagania -

  • IPBan potrzebuje .NET 6 SDK do tworzenia i debugowania kodu.
  • IPBan wymaga IDE lub terminala z dostępem administratora lub roota.

Obsługiwane platformy —

  • Windows 8.1 lub nowszy (x86, x64), Windows Server 2012 lub nowszy (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
  • IPBan Windows Server 2008 może działać z pewnymi modyfikacjami. Ponieważ system Windows Server 2008 dobiegł końca, nie jest już oficjalnie obsługiwany.
  • W CentOS i RedHat Linux będziesz musiał ręcznie zainstalować IPtables i IPset za pomocą menedżera pakietów Yum.
  • IPBan nie jest obsługiwany w systemie Mac OS X.
  • Możesz pobrać aplikację IPBan stąd.

Zainstalowanie IPBan na serwerze może zapewnić kilka korzyści, które pomogą zapobiegać atakom siłowym:

  • IPBan sprawdza, czy duża liczba nieudanych prób logowania pochodzi z tego samego adresu IP. Po wykryciu adresu IP automatycznie blokuje adres IP przed dalszymi próbami; to skutecznie zatrzymuje atak i pomaga chronić serwer.
  • IPBan może znacznie zwiększyć bezpieczeństwo serwera, zapobiegając nieautoryzowanemu dostępowi i chroniąc poufne informacje.
  • IPBan może pomóc w zmniejszeniu obciążenia serwera poprzez blokowanie nieautoryzowanego dostępu, zanim dotrze on do aplikacji internetowej; zmniejsza to liczbę żądań, które musi obsłużyć serwer.
  • Instalując IPBan możemy również poprawić wydajność serwera.

Ogólnie rzecz biorąc, IPBan jest potężnym i skutecznym narzędziem do zapobiegania atakom siłowym. Jest również prosty w konfiguracji i obsłudze. To sprawia, że ​​jest to świetna opcja dla każdej witryny lub serwera, który musi być chroniony przed tego typu atakami.

2. Płyn mózgowo-rdzeniowy

Config Server Firewall (CSF) to zapora sieciowa aplikacji (WAF), która chroni strony internetowe i serwery przed atakami siłowymi. Korzystając z CSF, możesz monitorować aktywność użytkowników, śledzić odwiedzających i zapewnić bezpieczeństwo witryny i serwera. Ponadto możesz monitorować wszelkie zmiany w przepływie ruchu sieciowego i wykrywać wszelkie naruszenia bezpieczeństwa.

Korzyści z instalacji zapory —

  • Zapory ogniowe zapobiegają nieautoryzowanemu dostępowi do serwerów w sieciach prywatnych za pośrednictwem oprogramowania lub sprzętu.
  • Zapory ogniowe chronią sieci komputerowe, monitorując i kontrolując przepływ danych między systemami wewnętrznymi a urządzeniami zewnętrznymi.
  • Zapora zazwyczaj monitoruje przychodzące i wychodzące pakiety (ruch) na komputerze; filtrowanie nielegalnych treści lub blokowanie niechcianych żądań internetowych.
  • Uniemożliwia programom wysyłanie informacji poza sieć wewnętrzną, chyba że użytkownik wyraźnie go do tego upoważni. W ten sposób powstrzymując hakerów przed dostępem do wrażliwych danych.
  • Możesz ustawić reguły w zaporze i zablokować adres IP systemu nieudanych prób logowania.
  • Jeśli masz WHM/cPanel na serwerze, możesz włączyć cPHulk Brute Force Protection. Ta funkcja chroni serwer przed atakami siłowymi.
  • Zapobiegnie to przedostawaniu się lub rozprzestrzenianiu wirusów w sieci firmowej.

Możesz zapoznać się z tym artykułem, aby pobrać plik CSF na swój serwer.

3. Strażnik Zła

EvlWatcher działa podobnie do aplikacji Fail2ban na serwerze Windows. Aplikacja EvlWatcher sprawdza pliki dziennika serwera pod kątem nieudanych prób logowania i innych nieufnych działań. Jeśli EvlWatcher wykryje więcej niż zdefiniowana liczbę nieudanych prób logowania, zablokuje adresy IP na określony czas. Korzystając z EvlWatcher, możesz zapobiec nieautoryzowanemu dostępowi do swojego serwera.

EvlWatcher to doskonała aplikacja. Po zainstalowaniu automatycznie ochroni Twój serwer za pomocą domyślnych reguł, które możesz również zmienić, edytując plik config.xml . Istnieje również lista stałych banów IP dla tych, którzy wielokrotnie próbują włamać się na serwer; automatycznie lądują tam po trzech uderzeniach. Możesz zmienić czas blokady lub zrobić wyjątki w aplikacji.

Na GitHubie projekt EvlWatcher jest nadal w fazie aktywnego rozwoju.
Możesz pobrać EvlWatchera stąd.

4. Malwarebytes

Atak siłowy polega na odgadywaniu możliwych kombinacji haseł, aż do znalezienia właściwego. Jeśli ten atak się powiedzie, złośliwe oprogramowanie może rozprzestrzenić się w sieci i odszyfrować zaszyfrowane dane. Tak więc Malwarebytes Premium chroni serwery przed atakami typu brute force przy użyciu zaawansowanej technologii antywirusowej i ochrony przed złośliwym oprogramowaniem.

Wykorzystując luki w zabezpieczeniach haseł protokołu RDP, cyberprzestępcy przeprowadzają ataki siłowe na serwery, rozpowszechniając złośliwe oprogramowanie w postaci oprogramowania ransomware i spyware. Funkcja Brute Force Protection w Malwarebytes zmniejsza narażenie połączenia RDP i zatrzymuje trwające ataki.

Jeśli szukasz programu antywirusowego, który zapewnia ochronę przed złośliwym oprogramowaniem w czasie rzeczywistym przed powszechnymi zagrożeniami i atakami siłowymi, dobrym rozwiązaniem jest Malwarebytes Premium. Malwarebytes Premium zapewnia optymalną ochronę bez konieczności instalowania dodatkowego oprogramowania antywirusowego. Możesz także ręcznie przeskanować swój serwer na żądanie, jeśli obawiasz się, że zostałeś niedawno zainfekowany wirusem lub próbą ataku siłowego.

Malwarebytes jest obsługiwane w systemach Windows, Linux, Mac OS, Android i Chrome OS.

Malwarebytes jest bezpłatne przez 14 dni po zainstalowaniu go na urządzeniu. Po zakończeniu bezpłatnego okresu próbnego program będzie działał tylko z najbardziej podstawowymi funkcjami i możesz nadal z niego korzystać bez dodatkowych opłat. Aby uzyskać proaktywną ochronę w czasie rzeczywistym 24 godziny na dobę, 7 dni w tygodniu, musisz kupić licencję Malwarebytes Premium na rok lub dwa lata.

Aplikację Malwarebytes można pobrać stąd.

5. Wartownik

Sentry to w pełni zautomatyzowana aplikacja do ochrony przed atakami siłowymi, która cicho i bezproblemowo chroni połączenia SSH, bez potrzeby jakiejkolwiek interakcji użytkownika. Jest to bezpieczne i potężne narzędzie ochrony przed atakami siłowymi na serwery z systemem Linux. Sentry jest napisany w Perlu. jego instalacja i wdrażanie są dość proste i nie wymagają żadnych zależności.

Sentry wykrywa i zapobiega atakom siłowym na demona SSH (SSHd). Ataki brute force SSH są blokowane przez Sentry za pomocą opakowań TCP i kilku popularnych zapór ogniowych; został zaprojektowany w celu ochrony demona SSH; jednak działa to również z usługami FTP i MUA. Możesz łatwo rozszerzyć Sentry, aby obsługiwał dodatkowe listy blokowania. Jego głównym celem jest zmniejszenie liczby zasobów.

Aby wykrywać złośliwe połączenia, Sentry stosuje elastyczne reguły. Ogólnie uważa się za podejrzane, gdy użytkownik próbuje zalogować się do systemu przy użyciu nieprawidłowej nazwy użytkownika lub hasła. Dotyczy to w szczególności protokołu SSH, który służy do zdalnego dostępu do serwerów i zarządzania nimi. Gdy nieprawidłowy użytkownik próbuje zalogować się przez SSH, serwer zwykle odrzuca próbę logowania i może zarejestrować zdarzenie jako alert bezpieczeństwa. Możesz zobaczyć związane ze skryptami zasady Sentry w sekcji konfiguracji.

Zapoznaj się z tym artykułem, aby uzyskać informacje na temat pobierania narzędzia Sentry na serwer.

Techniki zapobiegania atakom Brute Force

1. Użyj silnego hasła.

Pierwszą rzeczą, którą powinieneś zrobić, to utworzyć silne hasło. Silne hasło oznacza, że ​​jest trudne do odgadnięcia i używa znaków, które nie są powszechnie używane. Możesz użyć dowolnej postaci, ale upewnij się, że nie są one powszechnie używane. Jeśli używasz słowa ze słownika, staraj się unikać słów, które ludzie mogą łatwo odgadnąć. Na przykład, jeśli próbujesz utworzyć hasło zawierające słowo „hasło”, nie wybieraj czegoś takiego jak „[chroniony e-mailem]”. Zamiast tego użyj czegoś takiego jak „passw0rd” lub „my_secret_password”.

2. Nie używaj ponownie haseł.

Ponowne użycie tego samego hasła na wielu kontach zwiększa ryzyko, że atakujący będzie mógł uzyskać dostęp do wielu kont za pomocą jednego zestawu danych logowania. Może to mieć poważne konsekwencje, takie jak straty finansowe lub kradzież danych osobowych.

Ważne jest, aby unikać ponownego używania haseł, ponieważ zwiększa to również ryzyko ataku siłowego. Jeśli masz to samo hasło do wielu witryn internetowych, osoba, która uzyska dostęp do Twojego konta e-mail, może również uzyskać dostęp do tych witryn. Jeśli więc zmienisz hasło w jednej witrynie, upewnij się, że zmienisz je również w innych miejscach. Używanie unikalnych haseł do każdego konta oraz używanie menedżera haseł do generowania i bezpiecznego ich przechowywania może pomóc w zapobieganiu atakom siłowym.

3. Często zmieniaj hasło.

Często zmiana hasła jest ważną praktyką zapobiegającą atakom siłowym, ponieważ atak ten polega na wielokrotnym odgadywaniu danych logowania w celu uzyskania dostępu. Regularnie zmieniając hasło, utrudniasz atakującemu odgadnięcie prawidłowych danych logowania.

Zaleca się zmianę hasła co najmniej raz na trzy miesiące lub częściej, jeśli podejrzewasz, że Twoje konto mogło zostać przejęte. Podczas tworzenia nowego hasła ważne jest, aby użyć silnego, niepowtarzalnego hasła zawierającego kombinację liter, cyfr i znaków specjalnych. Unikaj używania łatwych do odgadnięcia informacji, takich jak imię i nazwisko, data urodzenia lub popularne słowa.

4. Aktualizuj oprogramowanie.

Ważne jest, aby aktualizować oprogramowanie komputera, aby zachować niezniszczalne bezpieczeństwo. Twórcy oprogramowania publikują aktualizacje zawierające ważne poprawki zabezpieczeń, które pomagają chronić komputer przed wirusami, złośliwym oprogramowaniem i innymi zagrożeniami internetowymi. Regularne sprawdzanie i instalowanie aktualizacji pomaga zapewnić bezpieczeństwo i płynne działanie komputera. Dobrym pomysłem jest również regularne sprawdzanie stron internetowych używanego oprogramowania, aby sprawdzić, czy są dostępne jakieś ważne aktualizacje.

5. Użyj uwierzytelniania dwuskładnikowego (2FA).

Dodając uwierzytelnianie dwuskładnikowe, możesz zwiększyć bezpieczeństwo swoich danych logowania. Podczas logowania będziesz musiał wprowadzić swoją nazwę użytkownika, hasło i kod wiadomości tekstowej wysłany na Twój telefon lub adres e-mail. Pomaga to dodatkowo chronić Twoje dane, nawet jeśli ktoś ukradnie Twoją kombinację nazwy użytkownika i hasła.

6. Zmień domyślne porty usługi RDP/SSH.

System operacyjny Microsoft Windows jest dostarczany z usługami pulpitu zdalnego na domyślnym porcie 3389. Ponieważ jest to powszechnie używany port, może być łatwym celem ataków siłowych na zdalne pulpity.

Korzystając z tego artykułu, możesz łatwo zmienić port RDP 3389 na niestandardowy port na swoim Windows VPS/serwerze dedykowanym.

Podobnie usługa SSH jest również dostarczana z portem 22. Możesz zmienić ten port, odwołując się do naszych artykułów;

  • W przypadku CentOS zapoznaj się z tym artykułem.
  • W przypadku Ubuntu zapoznaj się z tym artykułem.

7. Ogranicz dostęp do usługi RDP dla określonych adresów IP

Ograniczenie oparte na adresach IP umożliwia administratorom ograniczenie dostępu do określonych usług tylko do zarejestrowanego zakresu adresów IP. Aby zabezpieczyć połączenia RDP, wielu administratorów decyduje się na stosowanie ograniczeń opartych na adresach IP. Dzięki temu tylko niektóre adresy IP mogą łączyć się z portem RDP. Może to pomóc w zapobieganiu nieautoryzowanemu dostępowi i ochronie przed potencjalnymi zagrożeniami bezpieczeństwa.

Możesz zapoznać się z tym artykułem, aby ustawić ograniczenia oparte na adresach IP.

Wniosek

Atakom siłowym można zapobiegać, stosując wiele narzędzi i technik, które omówiliśmy w tym artykule. Od używania silnych haseł i uwierzytelniania wieloskładnikowego po używanie niestandardowego portu dla usług RDP/SSH, ograniczanie dostępu do usług RDP/SSH dla określonych adresów IP jest niezbędne do ochrony przed atakami siłowymi.

Ważne jest również monitorowanie dzienników serwera i ruchu sieciowego w celu zidentyfikowania podejrzanych działań, które mogą wskazywać na atak brute-force. Ponadto kilka narzędzi internetowych dostępnych online może pomóc w zapobieganiu atakom siłowym poprzez blokowanie powtarzających się prób logowania z pojedynczego adresu IP.

W ten sposób podjęcie tych prostych kroków zagwarantuje, że Twoje dane i inne dane osobowe pozostaną bezpieczne przed hakerami.