Потратьте секунду и ответьте на этот, казалось бы, простой вопрос - сколько у вас паролей? Не так-то просто подсчитать, не правда ли? Примерно 81% подтвержденных случаев утечки данных связаны со слабыми или украденными паролями. Убедитесь, что ваш пароль надежен и уникален!
В этой статье мы рассмотрим атаки грубой силы - что это такое, как хакеры используют их и методы предотвращения.
Что такое атака грубой силы
Атака грубой силы - один из самых простых и наименее сложных методов взлома. Как следует из названия, атаки грубой силы далеко не так изощренны. Теория такой атаки заключается в том, что если вы предпринимаете бесконечное количество попыток угадать пароль, то в конце концов вы обязательно окажетесь правы.
Атакующий стремится получить доступ к учетной записи пользователя, пытаясь угадать имя пользователя/электронную почту и пароль. Обычно это делается для того, чтобы использовать взломанную учетную запись для проведения крупномасштабной атаки, кражи конфиденциальных данных, отключения системы или комбинации этих трех действий.
Для создания кода, который выполняет этот тип атаки, не требуется большого воображения или знаний, и даже существуют широко доступные автоматизированные инструменты, которые отправляют несколько тысяч попыток ввода пароля в секунду.
Как определить атаки грубой силы
Атаки грубой силы легко определить и расследовать. Вы можете обнаружить их, просмотрев журнал доступа Apache или файлы журналов Linux. Атака оставит серию неудачных попыток входа в систему, как показано ниже:
| 1 | Sep 08 20:10:10 host proftpd[25196]: yourserver (usersip[usersip]) - USER theusername (Login failed): Incorrect password. |
Работает ли блокировка учетных записей?
Блокировка учетных записей после определенного количества неправильных попыток ввода пароля является распространенной практикой борьбы с попытками перебора. К сожалению, одного этого способа не всегда достаточно.
Хакеры могут проводить широкомасштабные атаки, пробуя один пароль на нескольких тысячах серверов. В отличие от перебора множества паролей на одном сервере, этот метод не вызывает блокировки учетной записи и позволяет ловко обойти этот защитный механизм.
Например, если бы сервер часто подвергался атакам, несколько сотен учетных записей пользователей могли бы постоянно блокироваться. Ваш сервер стал бы легкой добычей для атак типа "отказ в обслуживании". Будьте проактивны, чтобы обнаружить и остановить DDoS-атаки.
Помогает ли использование "LEET-speak"?
"Leetspeak" - это интернет-язык, который кодирует любой текст, переводя его в символы ASCII.
Некоторое время Leetspeak был эффективным способом добавить еще один "слой безопасности" к управлению паролями. Однако хакеры подхватили его и начали использовать словари, заменяющие буквы обычными символами Leet. То же самое относится и к другим распространенным методам шифрования, таким как SHA-1.
Методы предотвращения атак грубой силы
Существует множество методов, позволяющих остановить или предотвратить атаки грубой силы.
Самый очевидный - это политика надежных паролей. Каждое веб-приложение или публичный сервер должны обеспечивать использование надежных паролей. Например, стандартные учетные записи пользователей должны содержать не менее восьми букв, цифру, заглавные и строчные буквы, а также специальный символ. Кроме того, серверы должны требовать частой смены паролей.
Давайте рассмотрим другие способы предотвращения атаки грубой силы.
- Ограничьте количество неудачных попыток входа в систему
- Сделайте пользователя root недоступным через SSH, отредактировав файл sshd_config.
- Не используйте порт по умолчанию, отредактируйте строку порта в файле sshd_config.
- Использовать капчу
- Ограничить вход в систему указанным IP-адресом или диапазоном.
- Двухфакторная аутентификация
- Уникальные URL-адреса входа
- Мониторинг журналов сервера
Блокировка учетной записи после неудачных попыток
Как было сказано выше, блокировка учетной записи после нескольких неудачных попыток входа в систему неэффективна, поскольку делает ваш сервер легкой добычей для атак типа "отказ в обслуживании". Однако, если использовать прогрессивные задержки, этот метод становится гораздо более эффективным.
Блокировка учетной записи с прогрессивной задержкой блокирует учетную запись только на определенное время после определенного количества неудачных попыток входа. Это означает, что автоматические инструменты для перебора будут не так полезны. Кроме того, администраторам не придется заниматься разблокировкой нескольких сотен учетных записей каждые 10 минут или около того.
Сделайте root пользователя недоступным через SSH
Попытки взлома SSH грубой силой часто осуществляются в отношении корневого пользователя сервера. Убедитесь, что пользователь root недоступен по SSH, отредактировав файл sshd_config. Установите опции 'DenyUsers root' и 'PermitRootLogin no'.
Измените порт по умолчанию
Большинство автоматических SSH-атак осуществляются через порт 22 по умолчанию. Поэтому запуск sshd на другом порту может оказаться полезным способом борьбы с атаками грубой силы.
Чтобы переключиться на нестандартный порт, отредактируйте строку port в файле sshd_config.
Используйте CAPTCHA
Мы все привыкли видеть CAPTCHA в интернете. Никому не нравится пытаться разобраться в чем-то, что выглядит так, будто его нацарапал двухлетний ребенок, но такие инструменты, как CAPTCHA, делают автоматических ботов неэффективными.
Это единственное требование ввести слово или количество кошек на сгенерированном изображении очень эффективно против ботов, хотя хакеры начали использовать инструменты оптического распознавания символов, чтобы обойти этот защитный механизм.
Следует помнить, что использование таких инструментов, как CAPTCHA, негативно сказывается на пользовательском опыте.
Ограничьте вход в систему определенным IP-адресом или диапазоном
Если вы разрешите доступ только с определенного IP-адреса или диапазона, злоумышленникам придется приложить немало усилий, чтобы преодолеть это препятствие и получить доступ силой.
Это похоже на создание периметра безопасности вокруг ваших самых ценных данных, и всем, кто не исходит с нужного IP-адреса, доступ запрещен.
Это можно сделать, прописав порт удаленного доступа на статический IP-адрес. Если у вас нет статического IP-адреса, вы можете настроить VPN. Одним из недостатков является то, что это может не подойти для каждого случая использования.
Используйте двухфакторную аутентификацию (2FA)
Двухфакторную аутентификацию многие считают первой линией защиты от атак грубой силы. Внедрение такого решения значительно снижает риск потенциальной утечки данных.
Преимущество 2FA в том, что одного пароля недостаточно. Даже если злоумышленник взломает пароль, он должен будет получить доступ к вашему смартфону или почтовому клиенту. Очень настойчивые злоумышленники могут попытаться преодолеть это препятствие, но большинство развернется и будет искать более легкую цель.
Используйте уникальные URL-адреса входа
Создайте уникальные URL-адреса входа для различных групп пользователей. Это не остановит атаку "грубой силы", но введение дополнительной переменной немного усложняет задачу и отнимает время у злоумышленника.
Следите за журналами сервера
Убедитесь, что вы тщательно анализируете файлы журналов. Администраторы знают, что файлы журналов очень важны для поддержания системы.
Приложения для управления журналами, такие как Logwatch, могут помочь вам проводить ежедневные проверки и автоматически генерировать ежедневные отчеты.
Начните активное предотвращение и защиту от атак грубой силы уже сегодня
Опытный и настойчивый злоумышленник всегда найдет способ взломать систему.
Тем не менее, применение комбинации описанных выше методов сводит к минимуму вероятность того, что вы станете жертвой атаки грубой силы. Атакующие грубой силой любят легкую добычу и, скорее всего, отвернутся и будут искать другую цель, если вы помешаете им.