As 5 principais ferramentas para prevenir ataques de força bruta

O que é um ataque de força bruta?

Um ataque de força bruta é uma técnica de hacking que envolve tentar muitas senhas diferentes com a esperança de eventualmente adivinhar a correta. O primeiro passo em qualquer ataque de força bruta é escolher um alvo; portanto, os hackers começam escaneando as redes em busca de portas abertas e depois tentam adivinhar as senhas. Se um hacker adivinhar a senha correta, ele tentará fazer login. Uma vez conectado, ele terá controle total sobre a rede.

A força bruta ataca os sistemas-alvo usando grandes volumes de dados direcionados/enviados a eles simultaneamente; enviar solicitações ou muitas informações inúteis para um servidor ou serviço de destino. Esses ataques são usados ​​para sobrecarregar servidores e dispositivos de rede.

Em um ataque de força bruta, o invasor usa muito poder de computação para tentar quebrar o sistema. Conforme discutido anteriormente, o ataque de força bruta é um método de adivinhar senhas ou tentar combinações de caracteres até encontrar uma que funcione. Os ataques geralmente são automatizados, o que significa que são feitos sem intervenção humana; esses tipos de ataques costumam ser chamados de "hacking".

Como Indicar Ataques de Força Bruta?

Várias ações que indicam um ataque de força bruta, como –

1. Tentativas de login repetidas: um grande número de tentativas de login com falha em um curto período de tempo é uma indicação clara de um ataque de força bruta.
2. Alto uso de recursos: ataques de força bruta podem causar alto uso de CPU ou memória no servidor de destino, pois ele está tentando processar um grande número de tentativas de login.
3. Tráfego de rede incomum: um ataque de força bruta gerará uma grande quantidade de tráfego de entrada que pode ser detectado pelo monitoramento dos padrões de tráfego de rede.
4. Endereços IP suspeitos: os logs podem ser verificados em busca de endereços IP suspeitos que estão tentando repetidamente se conectar ao servidor.

Como identifico ataques de força bruta SSH em um servidor Linux?

Para detectar tentativas de força bruta SSH em um servidor Linux (como CentOS 7, Fedora 21 e RHEL 7), você pode usar ocomando journalctl com os seguintes parâmetros –

# journalctl -u sshd |grep "Falha na senha"

Este comando procurará nos logs do sistema quaisquer entradas relacionadas ao serviço SSH que incluam a string “Failed password “, que indica uma falha na tentativa de login.

Para sistemas baseados em RedHat mais antigos usando upstart (como CentOS 6 e RHEL 6), você pode procurar possíveis tentativas de invasão no arquivo /var/log/secure usando o seguinte comando –

#cat /var/log/seguro |grep "Falha na senha"

Este comando irá procurar noarquivo /var/log/secure quaisquer entradas que incluam a string “ Failed password“.

Como identifico ataques de força bruta em um servidor Windows?

OVisualizador de Eventos é uma ferramenta interna do Windows que permite visualizar os logs do sistema e do aplicativo.Você pode acessar o Visualizador de Eventos acessando o Menu Iniciar, digitando “Visualizador de Eventos” e pressionando Enter. Procure logs relacionados à segurança, sistema e aplicativo no Visualizador de Eventos.

O “Registro de Segurança” no Visualizador de Eventos contém registros de eventos relacionados à segurança, como tentativas de login. Você pode encontrar o Log de segurança expandindo a pastaLogs do Windows no Visualizador de eventos e clicando em “Segurança”.

Procure logs com IDs de evento 4625 e 4624, que indicam tentativas de login com falha e com sucesso, respectivamente.

Observação: é importante verificar regularmente os logs e monitorar o tráfego de rede para identificar qualquer atividade suspeita que possa indicar um ataque de força bruta.

Neste blog, discutimos várias ferramentas e métodos que podem ser usados ​​para evitar ataques de força bruta.

As 5 principais ferramentas para prevenir ataques de força bruta

1. IPBan

O IPBan é uma ferramenta eficaz para prevenir ataques de força bruta, pois bloqueia tentativas repetidas de login de um endereço IP específico. Os ataques de força bruta geralmente envolvem scripts automatizados que tentam repetidamente adivinhar as credenciais de login de um usuário, tentando diferentes combinações de nome de usuário e senha. O IPBan funciona quando um grande número de tentativas de login com falha vem de um único endereço IP. Nesse caso, o IPBan bloqueia automaticamente esse IP de fazer novas tentativas.

O aplicativo de segurança IPBan foi desenvolvido para Windows e Linux para impedir botnets e hackers. A segurança é o principal objetivo de um administrador de servidor, portanto, botnets definidos pelo administrador e hackers no firewall também podem melhorar o desempenho. Cada tentativa de login com falha consome uma grande quantidade de recursos da CPU e do sistema; isso ocorre principalmente em ambientes de área de trabalho remota e SSH.

O IPBan protege áreas de trabalho remotas (RDP), SSH, SMTP e bancos de dados como MySQL ou SQL Server de tentativas de login com falha. Você também pode adicionar outros protocolos em servidores Windows ou Linux editando o arquivo de configuração do IPBan.

Requisitos -

• O IPBan precisa do .NET 6 SDK para construir e depurar o código.
• IPBan requer IDE ou terminal com administrador ou acesso root.

Plataformas suportadas -

• Windows 8.1 ou mais recente (x86, x64), Windows Server 2012 ou mais recente (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 pode funcionar com algumas modificações. Como o Windows Server 2008 chegou ao fim de sua vida útil, ele não é mais suportado oficialmente.
• No CentOS e no RedHat Linux, você precisará instalar manualmente IPtables e IPset usando o gerenciador de pacotes Yum.
• IPBan não é suportado no Mac OS X.
• Pode descarregar a aplicação IPBan a partir daqui.

A instalação do IPBan em um servidor pode fornecer vários benefícios para ajudar a prevenir ataques de força bruta:

• O IPBan verifica se um grande número de tentativas de login com falha está vindo do mesmo endereço IP. Depois de detectar o IP, ele bloqueia automaticamente o IP de fazer novas tentativas; isso efetivamente interrompe o ataque e ajuda a proteger o servidor.
• O IPBan pode aumentar muito a segurança de um servidor impedindo o acesso não autorizado e protegendo informações confidenciais.
• O IPBan pode ajudar a reduzir a carga do servidor bloqueando acessos não autorizados antes mesmo de chegarem à aplicação web; isso reduz o número de solicitações que o servidor precisa manipular.
• Ao instalar o IPBan, também podemos melhorar o desempenho do servidor.

No geral, o IPBan é uma ferramenta poderosa e eficaz para prevenir ataques de força bruta. Também é simples de configurar e usar. Isso o torna uma ótima opção para qualquer site ou servidor que precise ser protegido contra esses tipos de ataques.

2. LCR

O Config Server Firewall (CSF) é um firewall de aplicativo da Web (WAF) que protege sites e servidores contra ataques de força bruta. Usando o CSF, você pode monitorar a atividade do usuário, rastrear visitantes e garantir que o site e o servidor permaneçam seguros. Além disso, você pode monitorar quaisquer alterações no fluxo de tráfego da rede e detectar quaisquer falhas de segurança.

Benefícios da instalação de um firewall –

• Os firewalls impedem o acesso não autorizado a servidores em redes privadas por meio de software ou hardware.
• Os firewalls protegem as redes de computadores monitorando e controlando o fluxo de dados entre sistemas internos e dispositivos externos.
• Um firewall geralmente monitora pacotes de entrada e saída (tráfego) em um computador; filtragem de conteúdo ilegal ou bloqueio de solicitações da web indesejadas.
• Ele impede que os programas enviem informações para fora da rede interna, a menos que o usuário especificamente o autorize a fazê-lo. Assim, impedindo que hackers acessem dados confidenciais.
• Você pode configurar regras no firewall e bloquear o endereço IP do sistema de tentativas de login com falha.
• Se você tiver um WHM/ cPanel no servidor, você pode habilitar cPHulk Brute Force Protection. Esse recurso protege o servidor contra ataques de força bruta.
• Isso impedirá que vírus entrem ou se espalhem pela rede de uma empresa.

Você pode consultar este artigo para baixar o CSF ​​no seu servidor.

3. EvlWatcher

EvlWatcher funciona de forma semelhante a um aplicativo Fail2ban em um servidor Windows. O aplicativo EvlWatcher verifica os arquivos de log do servidor em busca de tentativas de login com falha e outras atividades duvidosas. Se o EvlWatcher encontrar mais do que um número predefinido de tentativas de login com falha, ele bloqueará os endereços IP por um período especificado. Ao usar o EvlWatcher, você pode impedir o acesso não autorizado ao seu servidor.

EvlWatcher é um excelente aplicativo. Depois de instalá-lo, ele protegerá automaticamente seu servidor com suas regras padrão que você também pode alterar editando config.xml . Há também uma lista permanente de proibição de IP para aqueles que repetidamente tentam violar o servidor; eles pousam automaticamente lá após três ataques. Você pode alterar o tempo de bloqueio ou fazer exceções no aplicativo.

No GitHub, o projeto EvlWatcher ainda está em desenvolvimento ativo.
Você pode baixar o EvlWatcher aqui.

4. Malwarebytes

Um ataque de força bruta envolve adivinhar possíveis combinações de senha até que a correta seja encontrada. Se esse ataque for bem-sucedido, o malware pode se espalhar pela rede e descriptografar os dados criptografados. Portanto, o Malwarebytes Premium protege os servidores contra ataques de força bruta usando tecnologia avançada de antivírus e antimalware.

Ao explorar vulnerabilidades de senha RDP, os cibercriminosos realizam ataques de força bruta em servidores, distribuindo malware na forma de ransomware e spyware. O recurso Brute Force Protection do Malwarebytes reduz a exposição da conexão RDP e interrompe os ataques em andamento.

Se você está procurando um antivírus que forneça proteção contra malware em tempo real contra ameaças generalizadas e ataques de força bruta, o Malwarebytes Premium é uma boa opção. O Malwarebytes Premium oferece proteção ideal sem a necessidade de software antivírus adicional. Você também pode verificar manualmente seu servidor sob demanda se estiver preocupado com a possibilidade de ter sido infectado recentemente por um vírus ou por uma tentativa de ataque de força bruta.

O Malwarebytes é compatível com Windows, Linux, Mac OS, Android e Chrome OS.

O Malwarebytes é gratuito por 14 dias após a instalação em seu dispositivo. Ao final da avaliação gratuita, o programa executará apenas as funções mais básicas e você poderá continuar a usá-lo sem custo adicional. Para obter proteção proativa em tempo real 24 horas por dia, 7 dias por semana, você precisará adquirir uma licença Malwarebytes Premium por um ou dois anos.

Você pode baixar o aplicativo Malwarebytes aqui.

5. Sentinela

O Sentry é um aplicativo de proteção de força bruta totalmente automatizado que protege as conexões SSH silenciosamente e sem a necessidade de qualquer interação do usuário. É uma ferramenta de proteção segura e poderosa contra ataques de força bruta em servidores Linux. Sentinela é escrito em Perl. sua instalação e implantação são bastante diretas e não requer nenhuma dependência.

O Sentry detecta e previne ataques de força bruta contra daemon SSH (SSHd). Os ataques de força bruta SSH são bloqueados pelo Sentry usando wrappers TCP e vários firewalls populares; foi projetado para proteger o daemon SSH; no entanto, isso também funciona com serviços FTP e MUA. Você pode facilmente estender o Sentry para oferecer suporte a listas de bloqueio adicionais. Seu principal objetivo é reduzir o número de recursos.

Para detectar conexões maliciosas, o Sentry emprega regras flexíveis. Geralmente é considerado suspeito quando um usuário tenta fazer login em um sistema usando um nome de usuário ou senha inválidos. Isso é particularmente verdadeiro para o protocolo SSH, que é usado para acessar e gerenciar servidores remotamente. Quando um usuário inválido tenta fazer login via SSH, o servidor geralmente rejeita a tentativa de login e pode registrar o evento como um alerta de segurança. Você pode ver as regras relacionadas ao script do Sentry na seção de configuração.

Consulte este artigo para obter informações sobre como baixar a ferramenta Sentry no servidor.

Técnicas para Prevenir Ataques de Força Bruta

1. Use uma senha forte.

A primeira coisa que você deve fazer é criar uma senha forte. Uma senha forte significa que é difícil de adivinhar e usa caracteres que não são comumente usados. Você pode usar qualquer caractere que desejar, apenas certifique-se de que eles não sejam comumente usados. Se você estiver usando uma palavra do dicionário, tente evitar palavras que as pessoas possam adivinhar facilmente. Por exemplo, se você estiver tentando criar uma senha que inclua a palavra 'senha', não escolha algo como '[email protegido]'. Em vez disso, use algo como 'passw0rd' ou 'my_secret_password'.

2. Não reutilize senhas.

Ao reutilizar a mesma senha em várias contas, você aumenta o risco de um invasor obter acesso a várias contas com um único conjunto de credenciais de login. Isso pode ter consequências graves, como perda financeira ou roubo de informações pessoais.

É importante evitar a reutilização de senhas, pois também aumenta o risco de um ataque de força bruta. Se você tiver a mesma senha para vários sites, alguém que tenha acesso à sua conta de e-mail também poderá ter acesso a esses sites. Portanto, se você alterar sua senha em um site, certifique-se de alterá-la em todos os outros também. Usar senhas exclusivas para cada conta e usar um gerenciador de senhas para gerá-las e armazená-las com segurança pode ajudar a evitar ataques de força bruta.

3. Mude sua senha com frequência.

Alterar sua senha com frequência é uma prática importante para evitar ataques de força bruta, pois esse ataque envolve adivinhar as credenciais de login repetidamente para obter acesso. Ao alterar regularmente sua senha, você torna mais difícil para um invasor adivinhar as credenciais de login corretas.

É recomendável que você altere sua senha pelo menos a cada três meses ou com mais frequência se suspeitar que sua conta pode ter sido comprometida. Ao criar uma nova senha, é importante usar uma senha forte e exclusiva que contenha uma mistura de letras, números e caracteres especiais. Evite usar informações fáceis de adivinhar, como seu nome, data de nascimento ou palavras comuns.

4. Mantenha seu software atualizado.

É importante manter o software do seu computador atualizado para manter a segurança inviolável. Os desenvolvedores de software lançam atualizações que contêm importantes correções de segurança que podem ajudar seu computador a ficar protegido contra vírus, malware e outras ameaças online. Verificando e instalando atualizações regularmente, você pode ajudar a manter seu computador seguro e funcionando sem problemas. Também é uma boa ideia verificar regularmente os sites do software que você usa para ver se há atualizações importantes disponíveis.

5. Use a autenticação de dois fatores (2FA).

Ao adicionar autenticação de dois fatores, você pode tornar suas informações de login mais seguras. Nele, você precisará inserir seu nome de usuário, senha e um código de mensagem de texto enviado para seu telefone ou endereço de e-mail ao fazer login. Isso ajuda a proteger ainda mais seus dados, mesmo que alguém roube sua combinação de nome de usuário/senha.

6. Altere as portas padrão do serviço RDP/SSH.

O sistema operacional Microsoft Windows vem com serviços de área de trabalho remota na porta padrão 3389. Como é uma porta comumente usada, pode ser um alvo fácil para ataques de força bruta contra áreas de trabalho remotas.

Ao consultar este artigo, você pode alterar facilmente a porta RDP 3389 para uma porta não padrão em seu servidor Windows VPS/dedicado.

Da mesma forma, o serviço SSH também vem com a porta 22. Você pode alterar essa porta consultando nossos artigos;

• Para CentOS, consulte este artigo.
• Para Ubuntu, consulte este artigo.

7. Restrinja o acesso ao serviço RDP para endereços IP específicos

A restrição baseada em IP permite que os administradores restrinjam o acesso a serviços específicos apenas a um intervalo de endereço IP registrado. Para proteger conexões RDP, muitos administradores optam por usar restrições baseadas em IP. Isso permite que apenas determinados endereços IP se conectem à porta RDP. Isso pode ajudar a impedir o acesso não autorizado e proteger contra possíveis ameaças à segurança.

Você pode consultar este artigo para definir restrições baseadas em IP.

Conclusão

Os ataques de força bruta podem ser evitados com o emprego de várias ferramentas e técnicas, que discutimos neste artigo. Desde o uso de senhas fortes e autenticação multifator até o uso da porta não padrão para serviços RDP/SSH, restringir o acesso a serviços RDP/SSH para endereços IP específicos é essencial para se manter protegido contra ataques de força bruta.

Também é importante monitorar os logs do servidor e o tráfego de rede para identificar qualquer atividade suspeita que possa indicar um ataque de força bruta. Além disso, várias ferramentas on-line disponíveis on-line podem ajudar a evitar ataques de força bruta, bloqueando tentativas repetidas de login de um único endereço IP.

Portanto, seguir essas etapas simples garantirá que seus dados e outras informações pessoais permaneçam protegidos contra hackers.