Top 5 instrumente pentru prevenirea atacurilor de forță brută

Ce este un atac de forță brută?

Un atac cu forță brută este o tehnică de hacking care implică încercarea mai multor parole diferite cu speranța de a o ghici corect pe cea potrivită. Primul pas în orice atac de forță brută este alegerea unei ținte; prin urmare, hackerii încep prin a scana rețelele care caută porturi deschise și apoi încearcă să ghicească parolele. Dacă un hacker ghicește parola corectă, va încerca să se autentifice. Odată conectat, va avea control complet asupra rețelei.

Forța brută atacă sistemele țintă folosind volume mari de date care vizează/trimite către acestea simultan; trimiterea de cereri sau o mulțime de informații inutile către un server sau serviciu vizat. Aceste atacuri sunt folosite pentru a copleși serverele și dispozitivele de rețea.

Într-un atac cu forță brută, atacatorul folosește multă putere de calcul pentru a încerca să spargă sistemul. După cum sa discutat anterior, atacul cu forță brută este o metodă de a ghici parole sau de a încerca combinații de caractere până când găsesc una care funcționează. Atacurile sunt adesea automatizate, ceea ce înseamnă că sunt făcute fără intervenția umană; aceste tipuri de atacuri sunt adesea denumite „hacking”.

Cum se indică atacurile de forță brută?

Mai multe acțiuni care indică un atac cu forță brută, cum ar fi -

1. Încercări repetate de conectare: un număr mare de încercări de conectare nereușite într-un timp scurt este un indiciu clar al unui atac de forță brută.
2. Utilizare ridicată a resurselor: atacurile cu forță brută pot cauza o utilizare mare a CPU sau a memoriei pe serverul vizat, deoarece acesta încearcă să proceseze un număr mare de încercări de conectare.
3. Trafic de rețea neobișnuit: un atac cu forță brută va genera o cantitate mare de trafic de intrare care poate fi detectat prin monitorizarea tiparelor de trafic în rețea.
4. Adrese IP suspecte: jurnalele pot fi verificate pentru adrese IP suspecte care încearcă în mod repetat să se conecteze la server.

Cum identific atacurile de forță brută SSH pe un server Linux?

Pentru a detecta încercările de forță brută SSH pe un server Linux (cum ar fi CentOS 7, Fedora 21 și RHEL 7), puteți utiliza comandajournalctl cu următorii parametri:

# journalctl -u sshd |grep „Parolă eșuată”

Această comandă va căuta în jurnalele de sistem orice intrări legate de serviciul SSH care includ șirul „Parolă eșuată ”, ceea ce indică o încercare de conectare eșuată.

Pentru sistemele mai vechi bazate pe RedHat care utilizează parvenite (cum ar fi CentOS 6 și RHEL 6), puteți căuta posibile încercări de intruziune în fișierul / var/log/secure utilizând următoarea comandă -

#cat /var/log/secure |grep „Parolă eșuată”

Această comandă va căuta înfișierul /var/log/secure orice intrări care includ șirul „ Parolă eșuată”.

Cum identific atacurile de forță brută pe un server Windows?

Vizualizatorulde evenimente este un instrument încorporat în Windows care vă permite să vizualizați jurnalele de sistem și aplicații.Puteți accesa Vizualizatorul de evenimente accesând meniul Start, tastând „Vizualizator de evenimente” și apăsând Enter. Căutați jurnalele legate de securitate, sistem și aplicație în Vizualizatorul de evenimente.

„Jurnalul de securitate” din Vizualizatorul de evenimente conține înregistrări ale evenimentelor legate de securitate, cum ar fi încercările de conectare. Puteți găsi jurnalul de securitate extinzând folderulJurnalele Windows în Vizualizatorul de evenimente și apoi făcând clic pe „Securitate”.

Căutați jurnalele cu ID-urile de eveniment 4625 și 4624, care indică încercări de conectare eșuate și, respectiv, reușite.

Notă: este important să verificați în mod regulat jurnalele și să monitorizați traficul de rețea pentru a identifica orice activitate suspectă care poate indica un atac de forță brută.

În acest blog, am discutat despre diverse instrumente și metode care pot fi utilizate pentru a preveni atacurile cu forță brută.

Top 5 instrumente pentru prevenirea atacurilor de forță brută

1. IPBan

IPBan este un instrument eficient pentru prevenirea atacurilor de forță brută, deoarece blochează încercările repetate de conectare de la o anumită adresă IP. Atacurile cu forță brută implică de obicei scripturi automate care încearcă în mod repetat să ghicească acreditările de conectare ale unui utilizator încercând diferite combinații de nume de utilizator și parolă. IPBan funcționează atunci când un număr mare de încercări eșuate de conectare provin de la o singură adresă IP. În acest caz, IPBan blochează automat acel IP să nu mai facă încercări.

Aplicația de securitate IPBan este dezvoltată pentru Windows și Linux pentru a opri botnet-urile și hackerii. Securitatea este obiectivul principal al unui administrator de server, prin urmare, rețelele botne definite de administrator și hackerii din firewall pot îmbunătăți performanța. Fiecare încercare eșuată de conectare consumă o cantitate mare de resurse de sistem și CPU; aceasta se întâmplă în principal în mediile desktop la distanță și SSH.

IPBan protejează desktopurile la distanță (RDP), SSH, SMTP și bazele de date precum MySQL sau SQL Server de încercările eșuate de conectare. De asemenea, puteți adăuga alte protocoale în serverele Windows sau Linux prin editarea fișierului de configurare IPBan.

Cerințe -

• IPBan are nevoie de .NET 6 SDK pentru a construi și a depana codul.
• IPBan necesită IDE sau terminal cu acces de administrator sau root.

Platforme acceptate -

• Windows 8.1 sau mai nou (x86, x64), Windows Server 2012 sau mai nou (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 poate funcționa cu unele modificări. Pe măsură ce Windows Server 2008 a ajuns la sfârșitul vieții sale, nu mai este acceptat oficial.
• În CentOS și RedHat Linux, va trebui să instalați manual IPtables și IPset folosind managerul de pachete Yum.
• IPBan nu este acceptat în Mac OS X.
• Puteți descărca aplicația IPBan de aici.

Instalarea IPBan pe un server poate oferi mai multe beneficii pentru a ajuta la prevenirea atacurilor de forță brută:

• IPBan verifică dacă un număr mare de încercări eșuate de conectare provin de la aceeași adresă IP. Odată ce detectează IP-ul, îl blochează automat pentru a nu mai face încercări; aceasta oprește efectiv atacul și ajută la protejarea serverului.
• IPBan poate crește foarte mult securitatea unui server, împiedicând accesul neautorizat și protejând informațiile sensibile.
• IPBan poate ajuta la reducerea încărcării serverului prin blocarea acceselor neautorizate chiar înainte ca acestea să ajungă la aplicația web; aceasta reduce numărul de solicitări pe care serverul trebuie să le gestioneze.
• Prin instalarea IPBan, putem îmbunătăți și performanța serverului.

În general, IPBan este un instrument puternic și eficient pentru prevenirea atacurilor cu forță brută. De asemenea, este simplu de configurat și utilizat. Acest lucru îl face o opțiune excelentă pentru orice site web sau server care trebuie protejat de aceste tipuri de atacuri.

2. LCR

Config Server Firewall (CSF) este un firewall pentru aplicații web (WAF) care protejează site-urile web și serverele de atacurile cu forță brută. Folosind CSF, puteți monitoriza activitatea utilizatorilor, puteți urmări vizitatorii și vă puteți asigura că site-ul și serverul rămân securizate. În plus, puteți monitoriza orice modificare a fluxului de trafic în rețea și puteți detecta orice breșe de securitate.

Beneficiile instalării unui firewall –

• Firewall-urile împiedică accesul neautorizat la serverele din rețelele private prin software sau hardware.
• Firewall-urile protejează rețelele de computere prin monitorizarea și controlul fluxului de date între sistemele interne și dispozitivele externe.
• Un firewall monitorizează de obicei pachetele de intrare și de ieșire (trafic) pe un computer; filtrarea conținutului ilegal sau blocarea solicitărilor web nedorite.
• Împiedică programele să trimită informații în afara rețelei interne, cu excepția cazului în care utilizatorul îl autorizează în mod expres să facă acest lucru. Astfel, împiedicând hackerii să acceseze date sensibile.
• Puteți configura reguli în firewall și puteți bloca adresa IP a sistemului de încercări eșuate de conectare.
• Dacă aveți un WHM/cPanel pe server, puteți activa cPHulk Brute Force Protection. Această caracteristică protejează serverul împotriva atacurilor de forță brută.
• Acesta va împiedica pătrunderea sau răspândirea virușilor în rețeaua unei companii.

Puteți consulta acest articol pentru a descărca CSF pe serverul dvs.

3. EvlWatcher

EvlWatcher funcționează similar cu o aplicație Fail2ban pe un server Windows. Aplicația EvlWatcher verifică fișierele jurnal ale serverului pentru încercări eșuate de conectare și alte activități neîncrezătoare. Dacă EvlWatcher găsește mai mult decât un număr predefinit de încercări de conectare eșuate, blochează adresele IP pentru o durată specificată. Folosind EvlWatcher, puteți preveni accesul neautorizat la serverul dvs.

EvlWatcher este o aplicație excelentă. Odată ce îl instalați, acesta vă va proteja automat serverul cu regulile sale implicite pe care le puteți modifica și prin editarea config.xml . Există, de asemenea, o listă permanentă de interdicție IP pentru cei care încearcă în mod repetat să încalce serverul; aterizează automat acolo după trei lovituri. Puteți modifica timpul de blocare sau puteți face excepții în aplicație.

Pe GitHub, proiectul EvlWatcher este încă în dezvoltare activă.
Puteți descărca EvlWatcher de aici.

4. Malwarebytes

Un atac cu forță brută implică ghicirea unor posibile combinații de parole până când este găsită cea corectă. Dacă acest atac are succes, malware-ul se poate răspândi în rețea și decripta datele criptate. Așadar, Malwarebytes Premium protejează serverele împotriva atacurilor de forță brută folosind tehnologie avansată antivirus și anti-malware.

Prin exploatarea vulnerabilităților parolelor RDP, infractorii cibernetici efectuează atacuri de forță brută asupra serverelor, distribuind malware sub formă de ransomware și spyware. Caracteristica Brute Force Protection a Malwarebytes reduce expunerea la conexiunea RDP și oprește atacurile care sunt în desfășurare.

Dacă sunteți în căutarea unui antivirus care să ofere protecție în timp real împotriva amenințărilor răspândite și a atacurilor cu forță brută, Malwarebytes Premium este o opțiune bună. Malwarebytes Premium vă oferă o protecție optimă fără a fi nevoie de software antivirus suplimentar. Puteți, de asemenea, să vă scanați manual serverul la cerere dacă sunteți îngrijorat că ați fost infectat recent cu un virus sau cu o tentativă de atac cu forță brută.

Malwarebytes este acceptat pe Windows, Linux, Mac OS, Android și Chrome OS.

Malwarebytes este gratuit timp de 14 zile după ce îl instalați pe dispozitiv. La sfârșitul perioadei de încercare gratuită, programul va rula doar cele mai de bază funcții și puteți continua să îl utilizați fără costuri suplimentare. Pentru a obține protecție proactivă 24/7 în timp real, va trebui să achiziționați o licență Malwarebytes Premium pentru unul sau doi ani.

Puteți descărca aplicația Malwarebytes de aici.

5. Santinela

Sentry este o aplicație complet automatizată de protecție a forței brute care protejează conexiunile SSH în mod silențios și fără întreruperi, fără a fi nevoie de nicio interacțiune a utilizatorului. Este un instrument de protecție sigur și puternic împotriva atacurilor de forță brută pe serverele Linux. Sentry este scris în Perl. instalarea și implementarea acestuia sunt destul de simple și nu necesită dependențe.

Sentry detectează și previne atacurile de forță brută împotriva demonului SSH (SSHd). Atacurile de forță brută SSH sunt blocate de Sentry folosind pachete TCP și mai multe firewall-uri populare; a fost conceput pentru a proteja demonul SSH; cu toate acestea, aceasta funcționează și cu serviciile FTP și MUA. Puteți extinde cu ușurință Sentry pentru a accepta liste suplimentare de blocare. Obiectivul său principal este reducerea numărului de resurse.

Pentru a detecta conexiunile rău intenționate, Sentry folosește reguli flexibile. În general, este considerat suspect atunci când un utilizator încearcă să se conecteze la un sistem folosind un nume de utilizator sau o parolă nevalidă. Acest lucru este valabil mai ales pentru protocolul SSH, care este utilizat pentru a accesa și gestiona serverele de la distanță. Când un utilizator nevalid încearcă să se autentifice prin SSH, serverul va respinge de obicei încercarea de conectare și poate înregistra evenimentul ca alertă de securitate. Puteți vedea regulile legate de scripturi ale Sentry în secțiunea de configurare.

Vă rugăm să consultați acest articol pentru informații despre cum să descărcați instrumentul Sentry de pe server.

Tehnici de prevenire a atacurilor cu forță brută

1. Folosiți o parolă puternică.

Primul lucru pe care ar trebui să-l faceți este să creați o parolă puternică. O parolă puternică înseamnă că este dificil de ghicit și folosește caractere care nu sunt utilizate în mod obișnuit. Puteți folosi orice caracter doriți, doar asigurați-vă că nu sunt folosite în mod obișnuit. Dacă utilizați un cuvânt din dicționar, încercați să evitați cuvintele pe care oamenii le-ar putea ghici cu ușurință. De exemplu, dacă încercați să creați o parolă care să includă cuvântul „parolă”, nu alegeți ceva de genul „[email protected]”. În schimb, mergeți cu ceva de genul „passw0rd” sau „my_secret_password”.

2. Nu reutiliza parole.

Prin refolosirea aceleiași parole pe mai multe conturi, creșteți riscul ca un atacator să poată obține acces la mai multe conturi cu un singur set de date de conectare. Acest lucru poate avea consecințe grave, cum ar fi pierderea financiară sau furtul de informații personale.

Este important să evitați reutilizarea parolelor, deoarece crește și riscul unui atac cu forță brută. Dacă aveți aceeași parolă pentru mai multe site-uri web, atunci cineva care are acces la contul dvs. de e-mail poate avea acces și la acele site-uri. Deci, dacă vă schimbați parola pe un site, asigurați-vă că o schimbați și peste tot în altă parte. Folosirea parolelor unice pentru fiecare cont și utilizarea unui manager de parole pentru a le genera și stoca în siguranță poate ajuta la prevenirea atacurilor cu forță brută.

3. Schimbați-vă parola frecvent.

Schimbarea frecventă a parolei este o practică importantă pentru a preveni atacurile cu forță brută, deoarece acest atac implică ghicirea acreditărilor de conectare în mod repetat pentru a obține acces. Schimbându-vă parola în mod regulat, faceți mai dificil pentru un atacator să ghicească acreditările corecte de conectare.

Este recomandat să vă schimbați parola cel puțin o dată la trei luni sau mai des dacă bănuiți că contul dvs. ar fi putut fi compromis. Când creați o nouă parolă, este important să utilizați o parolă puternică, unică, care conține un amestec de litere, cifre și caractere speciale. Evitați să utilizați informații ușor de ghicit, cum ar fi numele dvs., data nașterii sau cuvinte comune.

4. Mențineți software-ul actualizat.

Este important să păstrați software-ul computerului actualizat pentru a menține securitatea care nu poate fi încălcată. Dezvoltatorii de software lansează actualizări care conțin remedieri importante de securitate care vă pot ajuta computerul să rămână protejat de viruși, programe malware și alte amenințări online. Verificând și instalând în mod regulat actualizări, vă puteți ajuta să vă mențineți computerul în siguranță și să funcționeze fără probleme. De asemenea, este o idee bună să verificați în mod regulat site-urile web ale software-ului pe care îl utilizați pentru a vedea dacă sunt disponibile actualizări importante.

5. Utilizați autentificarea cu doi factori (2FA).

Adăugând autentificare cu doi factori, puteți face informațiile de conectare mai sigure. În aceasta, va trebui să introduceți numele dvs. de utilizator, parola și un cod de mesaj text trimis la telefon sau adresa de e-mail atunci când vă conectați. Acest lucru vă ajută să vă protejați mai mult datele, chiar dacă cineva vă fură combinația nume de utilizator/parolă.

6. Schimbați porturile implicite ale serviciului RDP/SSH.

Sistemul de operare Microsoft Windows vine cu Servicii de desktop la distanță pe portul implicit 3389. Deoarece este un port folosit în mod obișnuit, poate fi o țintă ușoară pentru atacurile cu forță brută împotriva desktopurilor la distanță.

Prin referire la acest articol, puteți schimba cu ușurință portul RDP 3389 într-un port non-standard pe serverul dvs. Windows VPS/Dedicat.

În mod similar, serviciul SSH vine și cu portul 22. Puteți schimba acest port, consultați articolele noastre;

• Pentru CentOS, consultați acest articol.
• Pentru Ubuntu, consultați acest articol.

7. Restricționați accesul la serviciul RDP pentru anumite adrese IP

Restricția bazată pe IP permite administratorilor să restricționeze accesul la anumite servicii doar la un interval de adrese IP înregistrate. Pentru a securiza conexiunile RDP, mulți administratori aleg să folosească restricții bazate pe IP. Acest lucru permite numai anumite adrese IP să se conecteze la portul RDP. Acest lucru poate ajuta la prevenirea accesului neautorizat și la protejarea împotriva potențialelor amenințări de securitate.

Puteți consulta acest articol pentru a seta restricții bazate pe IP.

Concluzie

Atacurile cu forță brută pot fi prevenite prin folosirea mai multor instrumente și tehnici, despre care am discutat în acest articol. De la utilizarea parolelor puternice și a autentificării cu mai mulți factori până la utilizarea portului non-standard pentru serviciile RDP/SSH, restricționarea accesului la serviciile RDP/SSH pentru anumite adrese IP este esențială pentru a rămâne în siguranță împotriva atacurilor de forță brută.

De asemenea, este important să monitorizați jurnalele serverului și traficul de rețea pentru a identifica orice activitate suspectă care ar putea indica un atac cu forță brută. În plus, mai multe instrumente online care sunt disponibile online pot ajuta la prevenirea atacurilor de forță brută prin blocarea încercărilor repetate de conectare de la o singură adresă IP.

Astfel, luarea acestor pași simpli vă va asigura că datele dumneavoastră și alte informații personale rămân în siguranță de hackeri.