Kaba Kuvvet Saldırılarını Önlemek İçin En İyi 5 Araç

Kaba Kuvvet Saldırısı nedir?

Kaba kuvvet saldırısı, sonunda doğru olanı doğru tahmin etme umuduyla birçok farklı parolayı denemeyi içeren bir bilgisayar korsanlığı tekniğidir. Herhangi bir kaba kuvvet saldırısında ilk adım bir hedef seçmektir; bu nedenle bilgisayar korsanları, açık bağlantı noktaları aramak için ağları tarayarak başlar ve ardından parolaları tahmin etmeye çalışır. Bir bilgisayar korsanı doğru parolayı tahmin ederse oturum açmaya çalışır. Oturum açtıktan sonra ağ üzerinde tam kontrole sahip olur.

Kaba kuvvet saldırıları, sistemleri aynı anda hedefleyen/gönderilen büyük hacimli verileri kullanarak hedef alır; hedeflenen bir sunucuya veya hizmete istekler veya çok sayıda gereksiz bilgi göndermek. Bu saldırılar, sunucuları ve ağ cihazlarını aşmak için kullanılır.

Bir kaba kuvvet saldırısında, saldırgan sistemi kırmaya çalışmak için çok fazla bilgi işlem gücü kullanır. Daha önce tartışıldığı gibi, kaba kuvvet saldırısı, şifreleri tahmin etme veya işe yarayan birini bulana kadar karakter kombinasyonlarını deneme yöntemidir. Saldırılar genellikle otomatiktir, yani insan girişi olmadan yapılır; bu tür saldırılara genellikle "hackleme" adı verilir.

Brute Force Saldırıları Nasıl Belirlenir?

Kaba Kuvvet Saldırısını Gösteren Çeşitli Eylemler, Örneğin –

1. Tekrarlanan oturum açma denemeleri: Kısa bir süre içinde çok sayıda başarısız oturum açma denemesi, kaba kuvvet saldırısının açık bir göstergesidir.
2. Yüksek kaynak kullanımı: Brute force saldırıları, çok sayıda oturum açma girişimini işlemeye çalıştığı için, hedeflenen sunucuda yüksek CPU veya bellek kullanımına neden olabilir.
3. Olağandışı ağ trafiği: Bir kaba kuvvet saldırısı, ağ trafiği modellerini izleyerek tespit edilebilecek büyük miktarda gelen trafik oluşturur.
4. Şüpheli IP adresleri: Sürekli olarak sunucuya bağlanmaya çalışan şüpheli IP adresleri için günlükler kontrol edilebilir.

Bir Linux Sunucusunda SSH Brute Force Saldırılarını Nasıl Belirlerim?

Bir Linux sunucusunda (CentOS 7, Fedora 21 ve RHEL 7 gibi) SSH kaba kuvvet girişimlerini algılamak için aşağıdaki parametrelerlejournalctl komutunu kullanabilirsiniz –

# journalctl -u sshd |grep “Başarısız şifre”

Bu komut, başarısız bir oturum açma girişimini belirten "Başarısız parola " dizesini içeren SSH hizmetiyle ilgili tüm girişler için sistem günlüklerini arayacaktır .

Sonradan başlatma kullanan daha eski RedHat tabanlı sistemler için (CentOS 6 ve RHEL 6 gibi), aşağıdaki komutu kullanarak /var/log/secure dosyasında olası izinsiz giriş girişimlerini arayabilirsiniz –

#cat /var/log/güvenli |grep “Başarısız şifre”

Bu komut/var/log/secure dosyasında " Başarısız parola" dizesini içeren tüm girişleri arayacaktır .

Bir Windows Sunucusunda Brute Force Saldırılarını Nasıl Belirlerim?

OlayGörüntüleyici, Windows'ta sistem ve uygulama günlüklerini görüntülemenizi sağlayan yerleşik bir araçtır.Olay Görüntüleyiciye, Başlat Menüsüne gidip "Olay Görüntüleyici" yazıp Enter tuşuna basarak erişebilirsiniz. Olay Görüntüleyici'de güvenlik, sistem ve uygulama ile ilgili günlükleri arayın.

Olay Görüntüleyicideki "Güvenlik Günlüğü", oturum açma girişimleri gibi güvenlikle ilgili olayların kayıtlarını içerir. Güvenlik Günlüğünü , Olay GörüntüleyicideWindows Günlükleri klasörünü genişleterek ve ardından "Güvenlik" seçeneğine tıklayarak bulabilirsiniz .

Sırasıyla başarısız ve başarılı oturum açma girişimlerini gösteren olay kimlikleri 4625 ve 4624 olan günlükleri arayın .

Not: Bir kaba kuvvet saldırısına işaret edebilecek herhangi bir şüpheli etkinliği belirlemek için günlükleri düzenli olarak kontrol etmek ve ağ trafiğini izlemek önemlidir.

Bu blogda kaba kuvvet saldırılarını önlemek için kullanılabilecek çeşitli araçları ve yöntemleri tartıştık.

Kaba Kuvvet Saldırılarını Önlemek İçin En İyi 5 Araç

1. IPBan

IPBan, belirli bir IP adresinden tekrarlanan oturum açma girişimlerini engellediği için kaba kuvvet saldırılarını önlemede etkili bir araçtır. Kaba kuvvet saldırıları tipik olarak, farklı kullanıcı adı ve parola kombinasyonlarını deneyerek bir kullanıcının oturum açma kimlik bilgilerini tekrar tekrar tahmin etmeye çalışan otomatik komut dizilerini içerir. IPBan, tek bir IP adresinden çok sayıda başarısız oturum açma girişimi geldiğinde çalışır. Bu durumda IPBan, söz konusu IP'nin daha fazla girişimde bulunmasını otomatik olarak engeller.

IPBan güvenlik uygulaması, botnet'leri ve bilgisayar korsanlarını durdurmak için Windows ve Linux için geliştirilmiştir. Güvenlik, bir sunucu yöneticisinin ana hedefidir, dolayısıyla güvenlik duvarındaki yönetici tanımlı botnet'ler ve bilgisayar korsanları da performansı artırabilir. Başarısız olan her oturum açma girişimi, büyük miktarda CPU ve sistem kaynağı tüketir; bu esas olarak uzak masaüstü ve SSH ortamlarındadır.

IPBan, uzak masaüstlerini (RDP), SSH, SMTP ve MySQL veya SQL Server gibi veritabanlarını başarısız oturum açma denemelerinden korur. IPBan yapılandırma dosyasını düzenleyerek Windows veya Linux sunucularında başka protokoller de ekleyebilirsiniz.

Gereksinimler -

• IPBan, kod oluşturmak ve hata ayıklamak için .NET 6 SDK'ya ihtiyaç duyar.
• IPBan, yönetici veya kök erişimi olan bir IDE veya terminal gerektirir.

Desteklenen Platformlar –

• Windows 8.1 veya daha yenisi (x86, x64), Windows Server 2012 veya daha yenisi (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 bazı değişikliklerle çalışabilir. Windows Server 2008 ömrünün sonuna geldiğinden artık resmi olarak desteklenmemektedir.
• CentOS ve RedHat Linux'ta, Yum paket yöneticisini kullanarak IPtables ve IPset'i manuel olarak kurmanız gerekir.
• IPBan, Mac OS X'te desteklenmez.
• IPBan uygulamasını buradan indirebilirsiniz.

IPBan'i bir sunucuya yüklemek, kaba kuvvet saldırılarını önlemeye yardımcı olmak için çeşitli avantajlar sağlayabilir:

• IPBan, aynı IP adresinden çok sayıda başarısız oturum açma girişiminin gelip gelmediğini kontrol eder. IP'yi algıladığında, IP'nin başka girişimlerde bulunmasını otomatik olarak engeller; bu, saldırıyı olduğu yerde etkili bir şekilde durdurur ve sunucunun korunmasına yardımcı olur.
• IPBan, yetkisiz erişimi önleyerek ve hassas bilgileri koruyarak bir sunucunun güvenliğini büyük ölçüde artırabilir.
• IPBan, yetkisiz erişimleri daha web uygulamasına ulaşmadan engelleyerek sunucu yükünün azaltılmasına yardımcı olabilir; bu, sunucunun işlemesi gereken istek sayısını azaltır.
• IPBan kurarak sunucunun performansını da iyileştirebiliriz.

Genel olarak IPBan, kaba kuvvet saldırılarını önlemek için güçlü ve etkili bir araçtır. Kurulumu ve kullanımı da basittir. Bu, onu bu tür saldırılardan korunması gereken herhangi bir web sitesi veya sunucu için mükemmel bir seçenek haline getirir.

2. BOS

Config Server Firewall (CSF), web sitelerini ve sunucuları kaba kuvvet saldırılarına karşı koruyan bir web uygulama güvenlik duvarıdır (WAF). CSF'yi kullanarak kullanıcı etkinliğini izleyebilir, ziyaretçileri takip edebilir ve web sitesi ile sunucunun güvenli kalmasını sağlayabilirsiniz. Ayrıca ağ trafiği akışındaki değişiklikleri izleyebilir ve güvenlik ihlallerini tespit edebilirsiniz.

Güvenlik Duvarı Kurmanın Faydaları –

• Güvenlik duvarları, özel ağlardaki sunuculara yazılım veya donanım aracılığıyla yetkisiz erişimi engeller.
• Güvenlik duvarları, dahili sistemler ve harici cihazlar arasındaki veri akışını izleyerek ve kontrol ederek bilgisayar ağlarını korur.
• Bir güvenlik duvarı genellikle bir bilgisayarda gelen ve giden paketleri (trafik) izler; yasa dışı içeriği filtrelemek veya istenmeyen web isteklerini engellemek.
• Kullanıcı özel olarak izin vermediği sürece programların dahili ağ dışına bilgi göndermesini engeller. Böylece bilgisayar korsanlarının hassas verilere erişmesi engellenir.
• Güvenlik duvarında kurallar ayarlayabilir ve başarısız oturum açma girişimleri sisteminin IP adresini engelleyebilirsiniz.
• Sunucuda bir WHM/ cPanel'iniz varsa, cPHulk Brute Force Protection'ı etkinleştirebilirsiniz. Bu özellik, sunucuyu kaba kuvvet saldırılarına karşı korur.
• Virüslerin bir şirketin ağına girmesini veya yayılmasını önleyecektir.

CSF'yi sunucunuza indirmek için bu makaleye başvurabilirsiniz.

3. EvlWatcher

EvlWatcher, bir Windows sunucusundaki Fail2ban uygulamasına benzer şekilde çalışır. EvlWatcher uygulaması, başarısız oturum açma girişimleri ve diğer güvensiz etkinlikler için sunucu günlük dosyalarını kontrol eder. EvlWatcher, önceden tanımlanmış sayıdan daha fazla başarısız oturum açma girişimi bulursa, IP adreslerini belirli bir süre boyunca engeller. EvlWatcher kullanarak sunucunuza yetkisiz erişimi engelleyebilirsiniz.

EvlWatcher mükemmel bir uygulamadır. Kurduktan sonra sunucunuzu, config.xml dosyasını düzenleyerek de değiştirebileceğiniz varsayılan kurallarıyla otomatik olarak koruyacaktır. Sunucuyu tekrar tekrar ihlal etmeye teşebbüs edenler için kalıcı bir IP yasaklama listesi de vardır; üç vuruştan sonra otomatik olarak oraya inerler. Blok süresini değiştirebilir veya uygulamada istisnalar yapabilirsiniz.

GitHub'da EvlWatcher projesi halen aktif geliştirme aşamasındadır.
EvlWatcher'ı buradan indirebilirsiniz.

4. Malwarebytes

Bir kaba kuvvet saldırısı, doğru olan bulunana kadar olası şifre kombinasyonlarını tahmin etmeyi içerir. Bu saldırı başarılı olursa, kötü amaçlı yazılım ağa yayılabilir ve şifrelenmiş verilerin şifresini çözebilir. Malwarebytes Premium , gelişmiş antivirüs ve kötü amaçlı yazılımdan koruma teknolojisi kullanarak sunucuları kaba kuvvet saldırılarına karşı korur.

Siber suçlular, RDP parola güvenlik açıklarından yararlanarak sunuculara kaba kuvvet saldırıları gerçekleştirerek kötü amaçlı yazılımları fidye yazılımı ve casus yazılım biçiminde dağıtır. Malwarebytes'in Kaba Kuvvet Koruması özelliği, RDP bağlantısının açıkta kalmasını azaltır ve devam eden saldırıları durdurur.

Yaygın tehditlere ve kaba kuvvet saldırılarına karşı gerçek zamanlı kötü amaçlı yazılım koruması sağlayan bir antivirüs arıyorsanız, Malwarebytes Premium iyi bir seçenektir. Malwarebytes Premium, ek antivirüs yazılımına ihtiyaç duymadan size optimum koruma sağlar. Son zamanlarda bir virüs bulaştığından veya bir kaba kuvvet saldırısı girişiminden endişeleniyorsanız, sunucunuzu istek üzerine manuel olarak da tarayabilirsiniz.

Malwarebytes Windows, Linux, Mac OS, Android ve Chrome OS'de desteklenir.

Malwarebytes, cihazınıza yükledikten sonra 14 gün boyunca ücretsizdir. Ücretsiz deneme süresi sonunda program sadece en temel fonksiyonları çalıştıracak ve ekstra bir ücret ödemeden kullanmaya devam edebileceksiniz. 7/24 proaktif gerçek zamanlı koruma elde etmek için bir veya iki yıllık bir Malwarebytes Premium lisansı satın almanız gerekir.

Malwarebytes uygulamasını buradan indirebilirsiniz.

5. Nöbetçi

Sentry, herhangi bir kullanıcı etkileşimine ihtiyaç duymadan SSH bağlantılarını sessiz ve sorunsuz bir şekilde koruyan tam otomatik bir kaba kuvvet koruma uygulamasıdır. Linux sunucularında kaba kuvvet saldırılarına karşı güvenli ve güçlü bir koruma aracıdır. Sentry Perl'de yazılmıştır. kurulumu ve dağıtımı oldukça basittir ve herhangi bir bağımlılık gerektirmez.

Sentry, SSH daemon'a (SSHd) yönelik kaba kuvvet saldırılarını algılar ve önler. SSH kaba kuvvet saldırıları, Sentry tarafından TCP sarmalayıcıları ve birkaç popüler güvenlik duvarı kullanılarak engellenir; SSH arka plan programını korumak için tasarlanmıştır; ancak bu, FTP ve MUA hizmetleriyle de çalışır. Ek engelleme listelerini desteklemek için Sentry'yi kolayca genişletebilirsiniz. Birincil amacı kaynak sayısını azaltmaktır.

Sentry, kötü niyetli bağlantıları tespit etmek için esnek kurallar kullanır. Bir kullanıcının bir sistemde geçersiz bir kullanıcı adı veya parola kullanarak oturum açmaya çalışması genellikle şüpheli kabul edilir. Bu, özellikle sunuculara uzaktan erişmek ve bunları yönetmek için kullanılan SSH protokolü için geçerlidir. Geçersiz bir kullanıcı SSH aracılığıyla oturum açmaya çalıştığında, sunucu genellikle oturum açma girişimini reddeder ve olayı bir güvenlik uyarısı olarak günlüğe kaydedebilir. Yapılandırma bölümünde Sentry'nin script ile ilgili kurallarını görebilirsiniz.

Sentry aracının sunucuya nasıl indirileceği hakkında bilgi için lütfen bu makaleye bakın.

Kaba Kuvvet Saldırılarını Önleme Teknikleri

1. Güçlü bir parola kullanın.

Yapmanız gereken ilk şey güçlü bir parola oluşturmaktır. Güçlü bir parola, tahmin edilmesinin zor olduğu ve yaygın olarak kullanılmayan karakterlerin kullanıldığı anlamına gelir. İstediğiniz herhangi bir karakteri kullanabilirsiniz, sadece yaygın olarak kullanılmadıklarından emin olun. Bir sözlük sözcüğü kullanıyorsanız, insanların kolayca tahmin edebileceği sözcüklerden kaçının. Örneğin, 'şifre' kelimesini içeren bir şifre oluşturmaya çalışıyorsanız, '[email korumalı]' gibi bir şey seçmeyin. Bunun yerine, 'passw0rd' veya 'my_secret_password' gibi bir şey seçin.

2. Parolaları yeniden kullanmayın.

Aynı parolayı birden çok hesapta yeniden kullanarak, bir saldırganın tek bir oturum açma kimlik bilgileriyle birden çok hesaba erişim elde etme riskini artırmış olursunuz. Bunun mali kayıp veya kişisel bilgilerin çalınması gibi ciddi sonuçları olabilir.

Kaba kuvvet saldırısı riskini de artırdığından parolaları yeniden kullanmaktan kaçınmak önemlidir. Birden çok web sitesi için aynı parolaya sahipseniz, e-posta hesabınıza erişen biri bu sitelere de erişebilir. Bu nedenle, şifrenizi bir sitede değiştirirseniz, diğer her yerde de değiştirdiğinizden emin olun. Her hesap için benzersiz parolalar kullanmak ve bunları güvenli bir şekilde oluşturmak ve saklamak için bir parola yöneticisi kullanmak kaba kuvvet saldırılarını önlemeye yardımcı olabilir.

3. Parolanızı sık sık değiştirin.

Bu saldırı, erişim elde etmek için oturum açma kimlik bilgilerini tekrar tekrar tahmin etmeyi içerdiğinden, parolanızı sık sık değiştirmek kaba kuvvet saldırılarını önlemek için önemli bir uygulamadır. Parolanızı düzenli olarak değiştirerek, bir saldırganın doğru oturum açma kimlik bilgilerini tahmin etmesini zorlaştırırsınız.

Hesabınızın ele geçirilmiş olabileceğinden şüpheleniyorsanız, şifrenizi en az üç ayda bir veya daha sık değiştirmeniz önerilir. Yeni bir parola oluştururken, harfler, sayılar ve özel karakterlerin bir karışımını içeren güçlü, benzersiz bir parola kullanmak önemlidir. Adınız, doğum tarihiniz veya yaygın sözcükler gibi kolayca tahmin edilebilecek bilgileri kullanmaktan kaçının.

4. Yazılımınızı güncel tutun.

Erişilemez güvenliği sürdürmek için bilgisayarınızın yazılımını güncel tutmanız önemlidir. Yazılım geliştiricileri, bilgisayarınızın virüslere, kötü amaçlı yazılımlara ve diğer çevrimiçi tehditlere karşı korunmasına yardımcı olabilecek önemli güvenlik düzeltmeleri içeren güncelleştirmeler yayınlar. Güncellemeleri düzenli olarak kontrol edip yükleyerek, bilgisayarınızın güvenli ve sorunsuz çalışmasına yardımcı olabilirsiniz. Önemli güncellemeler olup olmadığını görmek için kullandığınız yazılımın web sitelerini düzenli olarak kontrol etmek de iyi bir fikirdir.

5. İki faktörlü kimlik doğrulama (2FA) kullanın.

İki faktörlü kimlik doğrulama ekleyerek giriş bilgilerinizi daha güvenli hale getirebilirsiniz. Burada, oturum açarken kullanıcı adınızı, şifrenizi ve telefonunuza veya e-posta adresinize gönderilen kısa mesaj kodunu girmeniz gerekecektir. Bu, birisi kullanıcı adı/şifre kombinasyonunuzu çalsa bile verilerinizin daha fazla korunmasına yardımcı olur.

6. RDP/SSH hizmeti varsayılan bağlantı noktalarını değiştirin.

Microsoft Windows işletim sistemi, varsayılan bağlantı noktası 3389'da Uzak Masaüstü Hizmetleri ile birlikte gelir. Yaygın olarak kullanılan bir bağlantı noktası olduğundan, uzak masaüstlerine yönelik kaba kuvvet saldırıları için kolay bir hedef olabilir.

Bu makaleye başvurarak, Windows VPS/Dedicated sunucunuzdaki RDP bağlantı noktası 3389'u standart olmayan bir bağlantı noktasına kolayca değiştirebilirsiniz.

Benzer şekilde SSH hizmeti de 22 port ile gelmektedir. Yazılarımıza başvurarak bu portu değiştirebilirsiniz;

• CentOS için bu makaleye bakın.
• Ubuntu için bu makaleye bakın.

7. Belirli IP adresleri için RDP hizmetine erişimi kısıtlayın

IP tabanlı kısıtlama, yöneticilerin belirli hizmetlere erişimi yalnızca kayıtlı bir IP adresi aralığıyla kısıtlamasına olanak tanır. RDP bağlantılarının güvenliğini sağlamak için birçok yönetici IP tabanlı kısıtlamalar kullanmayı tercih eder. Bu, yalnızca belirli IP adreslerinin RDP bağlantı noktasına bağlanmasına izin verir. Bu, yetkisiz erişimin önlenmesine ve olası güvenlik tehditlerine karşı korunmaya yardımcı olabilir.

IP tabanlı kısıtlamalar ayarlamak için bu makaleye başvurabilirsiniz.

Çözüm

Kaba kuvvet saldırıları, bu makalede tartıştığımız birden çok araç ve teknik kullanılarak önlenebilir. Güçlü parolalar ve çok faktörlü kimlik doğrulama kullanmaktan RDP/SSH hizmetleri için standart olmayan bağlantı noktasını kullanmaya kadar, belirli IP adresleri için RDP/SSH hizmetlerine erişimi kısıtlamak kaba kuvvet saldırılarından korunmak için çok önemlidir.

Kaba kuvvet saldırısına işaret edebilecek herhangi bir şüpheli etkinliği belirlemek için sunucunuzun günlüklerini ve ağ trafiğini izlemek de önemlidir. Ek olarak, çevrimiçi olarak kullanılabilen birkaç çevrimiçi araç, tek bir IP adresinden tekrarlanan oturum açma girişimlerini engelleyerek kaba kuvvet saldırılarını önlemeye yardımcı olabilir.

Bu nedenle, bu basit adımların atılması, verilerinizin ve diğer kişisel bilgilerinizin bilgisayar korsanlarına karşı güvende kalmasını sağlayacaktır.