5 лучших инструментов для предотвращения атак грубой силы

Что такое атака грубой силы?

Атака полным перебором — это метод взлома, который включает в себя перебор множества разных паролей в надежде в конечном итоге правильно угадать правильный. Первым шагом в любой атаке методом грубой силы является выбор цели; поэтому хакеры начинают со сканирования сетей в поисках открытых портов, а затем пытаются угадать пароли. Если хакер угадает правильный пароль, он попытается войти в систему. После входа в систему он получит полный контроль над сетью.

Брутфорс атакует целевые системы, используя большие объемы данных, направленных/отправляемых на них одновременно; отправка запросов или большого количества бесполезной информации на целевой сервер или службу. Эти атаки используются для перегрузки серверов и сетевых устройств.

При атаке методом грубой силы злоумышленник использует много вычислительной мощности, чтобы попытаться взломать систему. Как обсуждалось ранее, атака полным перебором — это метод угадывания паролей или перебора комбинаций символов до тех пор, пока не будет найдено то, что работает. Атаки часто автоматизированы, что означает, что они выполняются без участия человека; эти типы атак часто называют «взломом».

Как указать атаки грубой силы?

Несколько действий, указывающих на атаку грубой силы, например:

1. Повторные попытки входа в систему: большое количество неудачных попыток входа в систему в течение короткого времени является явным признаком атаки методом грубой силы.
2. Высокое использование ресурсов: Атаки грубой силы могут вызвать высокую загрузку ЦП или памяти на целевом сервере, поскольку он пытается обработать большое количество попыток входа в систему.
3. Необычный сетевой трафик: атака грубой силы генерирует большой объем входящего трафика, который можно обнаружить, отслеживая шаблоны сетевого трафика.
4. Подозрительные IP-адреса. Журналы можно проверить на наличие подозрительных IP-адресов, которые неоднократно пытаются подключиться к серверу.

Как идентифицировать атаки методом перебора SSH на сервере Linux?

Чтобы обнаружить попытки грубой силы SSH на сервере Linux (например, CentOS 7, Fedora 21 и RHEL 7), вы можете использовать командуjournalctl со следующими параметрами:

# журналctl -u sshd |grep «Неверный пароль»

Эта команда будет искать в системных журналах любые записи, связанные со службой SSH, которые включают строку «Неудачный пароль », что указывает на неудачную попытку входа в систему.

Для более старых систем на основе RedHat, использующих upstart (например, CentOS 6 и RHEL 6), вы можете искать возможные попытки вторжения в файле /var/log/secure с помощью следующей команды:

#cat /var/log/secure |grep «Неверный пароль»

Эта команда будет искать вфайле /var/log/secure любые записи, содержащие строку « Неверный пароль».

Как идентифицировать атаки грубой силы на Windows Server?

Средствопросмотра событий — это встроенный в Windows инструмент, позволяющий просматривать журналы системы и приложений.Вы можете получить доступ к средству просмотра событий, перейдя в меню «Пуск», набрав «Просмотр событий» и нажав Enter. Ищите журналы, связанные с безопасностью, системой и приложением, в средстве просмотра событий.

«Журнал безопасности» в средстве просмотра событий содержит записи о событиях, связанных с безопасностью, таких как попытки входа в систему. Вы можете найти журнал безопасности, развернув папку«Журналы Windows» в средстве просмотра событий и нажав «Безопасность».

Ищите журналы с идентификаторами событий 4625 и 4624, которые указывают на неудачные и успешные попытки входа в систему соответственно.

Примечание. Важно регулярно проверять журналы и отслеживать сетевой трафик, чтобы выявлять любые подозрительные действия, которые могут указывать на атаку методом подбора.

В этом блоге мы обсудили различные инструменты и методы, которые можно использовать для предотвращения атак грубой силы.

5 лучших инструментов для предотвращения атак грубой силы

1. IP-бан

IPBan — эффективный инструмент для предотвращения атак методом грубой силы, поскольку он блокирует повторные попытки входа в систему с определенного IP-адреса. Атаки грубой силы обычно включают автоматизированные сценарии, которые неоднократно пытаются угадать учетные данные пользователя, пробуя различные комбинации имени пользователя и пароля. IPBan работает, когда с одного IP-адреса поступает большое количество неудачных попыток входа в систему. В этом случае IPBan автоматически блокирует дальнейшие попытки с этого IP-адреса.

Приложение безопасности IPBan разработано для Windows и Linux, чтобы остановить ботнеты и хакеров. Безопасность — главная цель администратора сервера, поэтому определяемые администратором ботнеты и хакеры в брандмауэре также могут повысить производительность. Каждая неудачная попытка входа потребляет большое количество ресурсов ЦП и системы; это в основном в средах удаленного рабочего стола и SSH.

IPBan защищает удаленные рабочие столы (RDP), SSH, SMTP и базы данных, такие как MySQL или SQL Server, от неудачных попыток входа в систему. Вы также можете добавить другие протоколы на серверах Windows или Linux, отредактировав файл конфигурации IPBan.

Требования -

• IPBan требуется .NET 6 SDK для сборки и отладки кода.
• Для IPBan требуется IDE или терминал с правами администратора или root.

Поддерживаемые платформы –

• Windows 8.1 или новее (x86, x64), Windows Server 2012 или новее (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 может работать с некоторыми изменениями. Поскольку срок службы Windows Server 2008 подошёл к концу, официально он больше не поддерживается.
• В CentOS и RedHat Linux вам нужно будет вручную установить IPtables и IPset с помощью менеджера пакетов Yum.
• IPBan не поддерживается в Mac OS X.
• Вы можете скачать приложение IPBan отсюда.

Установка IPBan на сервер может дать несколько преимуществ для предотвращения атак методом грубой силы:

• IPBan проверяет, исходит ли большое количество неудачных попыток входа с одного и того же IP-адреса. Как только он обнаруживает IP-адрес, он автоматически блокирует дальнейшие попытки с этого IP-адреса; это эффективно останавливает атаку и помогает защитить сервер.
• IPBan может значительно повысить безопасность сервера, предотвращая несанкционированный доступ и защищая конфиденциальную информацию.
• IPBan может помочь снизить нагрузку на сервер, блокируя несанкционированный доступ еще до того, как он попадет в веб-приложение; это уменьшает количество запросов, которые должен обрабатывать сервер.
• Установив IPBan, мы также можем повысить производительность сервера.

В целом, IPBan — это мощный и эффективный инструмент для предотвращения атак методом грубой силы. Он также прост в настройке и использовании. Это делает его отличным вариантом для любого веб-сайта или сервера, который необходимо защитить от подобных атак.

2. ЦСЖ

Config Server Firewall (CSF) — это брандмауэр веб-приложений (WAF), который защищает веб-сайты и серверы от атак методом грубой силы. Используя CSF, вы можете отслеживать действия пользователей, отслеживать посетителей и обеспечивать безопасность веб-сайта и сервера. Кроме того, вы можете отслеживать любые изменения в потоке сетевого трафика и обнаруживать любые нарушения безопасности.

Преимущества установки брандмауэра —

• Брандмауэры предотвращают несанкционированный доступ к серверам в частных сетях с помощью программного или аппаратного обеспечения.
• Брандмауэры защищают компьютерные сети, отслеживая и контролируя поток данных между внутренними системами и внешними устройствами.
• Брандмауэр обычно отслеживает входящие и исходящие пакеты (трафик) на компьютере; фильтрация нелегального контента или блокировка нежелательных веб-запросов.
• Он не позволяет программам отправлять информацию за пределы внутренней сети, если только пользователь специально не разрешит им это делать. Таким образом, хакеры не могут получить доступ к конфиденциальным данным.
• Вы можете настроить правила в брандмауэре и заблокировать IP-адрес неудачных попыток входа в систему.
• Если у вас есть WHM/cPanel на сервере, вы можете включить cPHulk Brute Force Protection. Эта функция защищает сервер от атак грубой силы.
• Это предотвратит проникновение или распространение вирусов по сети компании.

Вы можете обратиться к этой статье, чтобы загрузить CSF на свой сервер.

3. ЭвлВотчер

EvlWatcher работает аналогично приложению Fail2ban на сервере Windows. Приложение EvlWatcher проверяет файлы журналов сервера на наличие неудачных попыток входа в систему и других подозрительных действий. Если EvlWatcher обнаруживает больше заданного количества неудачных попыток входа в систему, он блокирует IP-адреса на указанный период времени. Используя EvlWatcher, вы можете предотвратить несанкционированный доступ к вашему серверу.

EvlWatcher — отличное приложение. После того, как вы установите его, он автоматически защитит ваш сервер с помощью правил по умолчанию, которые вы также можете изменить, отредактировав config.xml . Существует также постоянный список запрещенных IP-адресов для тех, кто неоднократно пытается взломать сервер; они автоматически приземляются там после трех ударов. Вы можете изменить время блокировки или сделать исключения в приложении.

На GitHub проект EvlWatcher все еще находится в стадии активной разработки.
Вы можете скачать EvlWatcher отсюда.

4. Вредоносные программы

Атака грубой силы включает в себя угадывание возможных комбинаций паролей до тех пор, пока не будет найдена правильная. В случае успеха этой атаки вредоносное ПО может распространиться по сети и расшифровать зашифрованные данные. Таким образом, Malwarebytes Premium защищает серверы от атак с использованием грубой силы с помощью передовых технологий защиты от вирусов и вредоносных программ.

Используя уязвимости в паролях RDP, киберпреступники осуществляют атаки методом грубой силы на серверы, распространяя вредоносное ПО в виде программ-вымогателей и программ-шпионов. Функция защиты от перебора в Malwarebytes уменьшает уязвимость соединения RDP и останавливает текущие атаки.

Если вы ищете антивирус, обеспечивающий защиту от вредоносных программ в режиме реального времени от широко распространенных угроз и атак методом перебора, Malwarebytes Premium — хороший вариант. Malwarebytes Premium обеспечивает оптимальную защиту без необходимости использования дополнительного антивирусного программного обеспечения. Вы также можете вручную сканировать свой сервер по требованию, если вы обеспокоены тем, что вы недавно были заражены вирусом или попыткой атаки методом грубой силы.

Malwarebytes поддерживается в Windows, Linux, Mac OS, Android и Chrome OS.

Malwarebytes предоставляется бесплатно в течение 14 дней после установки на ваше устройство. По окончании бесплатного пробного периода программа будет запускать только самые основные функции, и вы сможете продолжать использовать ее без дополнительной оплаты. Чтобы получить проактивную круглосуточную защиту в режиме реального времени, вам необходимо приобрести лицензию Malwarebytes Premium на один или два года.

Вы можете скачать приложение Malwarebytes отсюда.

5. Часовой

Sentry — это полностью автоматизированное приложение для защиты от грубой силы, которое бесшумно и беспрепятственно защищает SSH-соединения без необходимости какого-либо взаимодействия с пользователем. Это безопасный и мощный инструмент защиты от атак грубой силы на серверах Linux. Sentry написан на Perl. его установка и развертывание довольно просты и не требуют никаких зависимостей.

Sentry обнаруживает и предотвращает атаки грубой силы против демона SSH (SSHd). Атаки грубой силы SSH блокируются Sentry с помощью оболочек TCP и нескольких популярных брандмауэров; он был разработан для защиты демона SSH; однако это также работает со службами FTP и MUA. Вы можете легко расширить Sentry для поддержки дополнительных списков блокировки. Его основная цель состоит в том, чтобы уменьшить количество ресурсов.

Для обнаружения вредоносных подключений Sentry использует гибкие правила. Обычно считается подозрительным, когда пользователь пытается войти в систему, используя недопустимое имя пользователя или пароль. Это особенно верно для протокола SSH, который используется для удаленного доступа к серверам и управления ими. Когда недействительный пользователь пытается войти через SSH, сервер обычно отклоняет попытку входа и может зарегистрировать событие как предупреждение системы безопасности. Вы можете увидеть правила Sentry, связанные со скриптами, в разделе конфигурации.

Пожалуйста, обратитесь к этой статье для получения информации о том, как загрузить инструмент Sentry на сервер.

Методы предотвращения атак грубой силы

1. Используйте надежный пароль.

Первое, что вы должны сделать, это создать надежный пароль. Надежный пароль означает, что его трудно угадать, и в нем используются редко используемые символы. Вы можете использовать любой символ, какой захотите, просто убедитесь, что он не используется повсеместно. Если вы используете слово из словаря, старайтесь избегать слов, которые люди могут легко угадать. Например, если вы пытаетесь создать пароль, содержащий слово «пароль», не выбирайте что-то вроде «[электронная почта защищена]». Вместо этого используйте что-то вроде «passw0rd» или «my_secret_password».

2. Не используйте пароли повторно.

Повторно используя один и тот же пароль для нескольких учетных записей, вы увеличиваете риск того, что злоумышленник сможет получить доступ к нескольким учетным записям с одним набором учетных данных для входа. Это может иметь серьезные последствия, такие как финансовые потери или кража личной информации.

Важно избегать повторного использования паролей, так как это также увеличивает риск атаки методом грубой силы. Если у вас один и тот же пароль для нескольких веб-сайтов, то кто-то, кто получит доступ к вашей учетной записи электронной почты, также сможет получить доступ к этим сайтам. Итак, если вы меняете свой пароль на одном сайте, убедитесь, что вы изменили его и на всех остальных. Использование уникальных паролей для каждой учетной записи и использование диспетчера паролей для их создания и безопасного хранения может помочь предотвратить атаки методом грубой силы.

3. Часто меняйте пароль.

Частое изменение пароля является важной практикой для предотвращения атак методом грубой силы, поскольку эта атака включает в себя многократное угадывание учетных данных для входа в систему для получения доступа. Регулярно меняя свой пароль, вы затрудняете злоумышленнику подбор правильных учетных данных для входа.

Рекомендуется менять пароль не реже одного раза в три месяца или чаще, если вы подозреваете, что ваша учетная запись могла быть взломана. При создании нового пароля важно использовать надежный уникальный пароль, содержащий сочетание букв, цифр и специальных символов. Избегайте использования легко угадываемой информации, такой как ваше имя, дата рождения или общеупотребительные слова.

4. Обновляйте свое программное обеспечение.

Важно постоянно обновлять программное обеспечение вашего компьютера, чтобы обеспечить непревзойденную безопасность. Разработчики программного обеспечения выпускают обновления, содержащие важные исправления безопасности, которые помогут защитить ваш компьютер от вирусов, вредоносных программ и других онлайн-угроз. Регулярно проверяя наличие обновлений и устанавливая их, вы можете обеспечить безопасность и бесперебойную работу своего компьютера. Также рекомендуется регулярно проверять веб-сайты программного обеспечения, которое вы используете, чтобы узнать, доступны ли какие-либо важные обновления.

5. Используйте двухфакторную аутентификацию (2FA).

Добавив двухфакторную аутентификацию, вы можете сделать свои данные для входа более безопасными. При этом вам нужно будет ввести свое имя пользователя, пароль и код текстового сообщения, отправленный на ваш телефон или адрес электронной почты при входе в систему. Это помогает дополнительно защитить ваши данные, даже если кто-то украдет вашу комбинацию имени пользователя и пароля.

6. Измените порты службы RDP/SSH по умолчанию.

ОС Microsoft Windows поставляется со службами удаленных рабочих столов на порту по умолчанию 3389. Поскольку это широко используемый порт, он может стать легкой мишенью для атак методом грубой силы на удаленные рабочие столы.

Обратившись к этой статье, вы можете легко изменить порт RDP 3389 на нестандартный порт на вашем VPS/выделенном сервере Windows.

Точно так же служба SSH также поставляется с портом 22. Вы можете изменить этот порт, обратившись к нашим статьям;

• Для CentOS обратитесь к этой статье.
• Для Ubuntu обратитесь к этой статье.

7. Ограничить доступ к службе RDP для определенных IP-адресов

Ограничение на основе IP позволяет администраторам ограничивать доступ к определенным службам только зарегистрированным диапазоном IP-адресов. Для защиты RDP-соединений многие администраторы предпочитают использовать ограничения на основе IP-адресов. Это позволяет только определенным IP-адресам подключаться к порту RDP. Это может помочь предотвратить несанкционированный доступ и защитить от потенциальных угроз безопасности.

Вы можете обратиться к этой статье, чтобы установить ограничения на основе IP.

Заключение

Атаки грубой силы можно предотвратить, используя несколько инструментов и методов, которые мы обсудили в этой статье. От использования надежных паролей и многофакторной аутентификации до использования нестандартного порта для служб RDP/SSH, ограничение доступа к службам RDP/SSH для определенных IP-адресов имеет важное значение для защиты от атак с использованием грубой силы.

Также важно следить за журналами вашего сервера и сетевым трафиком, чтобы выявлять любые подозрительные действия, которые могут указывать на атаку грубой силы. Кроме того, несколько онлайн-инструментов, доступных в Интернете, могут помочь предотвратить атаки методом грубой силы, блокируя повторные попытки входа в систему с одного IP-адреса.

Таким образом, выполнение этих простых шагов обеспечит защиту ваших данных и другой личной информации от хакеров.