hoe brute Force aanvallen te voorkomen met 8 Easy Tactics

hoe brute Force aanvallen te voorkomen met 8 Easy Tactics

neem een seconde en beantwoord deze schijnbaar eenvoudige vraag-hoeveel wachtwoorden heb je? Niet zo makkelijk te tellen, hè?

ongeveer 81% van de bevestigde datalekken zijn te wijten aan zwakke of gestolen wachtwoorden. Zorg ervoor dat uw wachtwoord sterk en uniek is!

In dit artikel duiken we in brute force aanvallen — wat ze zijn, hoe hackers ze gebruiken, en preventietechnieken.

Wat is een brute force aanval

een brute force aanval is een van de eenvoudigste en minst geavanceerde hacking methoden. Zoals de naam al aangeeft, brute kracht aanvallen zijn verre van subtiel. De theorie achter zo ‘ n aanval is dat als je een oneindig aantal pogingen neemt om een wachtwoord te raden, je uiteindelijk zeker gelijk hebt.

de aanvaller probeert met kracht toegang te krijgen tot een gebruikersaccount door te proberen de gebruikersnaam/e-mail en het wachtwoord te raden. Meestal, het motief achter het is om de geschonden account te gebruiken om een grootschalige aanval uit te voeren, stelen gevoelige gegevens, afsluiten van het systeem, of een combinatie van de drie.

het maken van code die dit type aanval uitvoert vergt niet veel fantasie of kennis, en er zijn zelfs op grote schaal beschikbare geautomatiseerde tools die enkele duizenden wachtwoordpogingen per seconde indienen.

hoe Brute Force aanvallen te identificeren

een brute force aanval is eenvoudig te identificeren en te onderzoeken. Je kunt ze detecteren door in je Apache access log of Linux log bestanden te kijken. De aanval zal een reeks mislukte inlogpogingen achterlaten, zoals hieronder te zien is:

Sep 21 20:10:10 host proftpd: yourserver (usersip) - USER theusername (Login failed): Incorrect password.

werkt het sluiten van rekeningen?

accounts blokkeren na een aantal onjuiste wachtwoordpogingen is een gangbare praktijk om brute krachtpogingen aan te pakken. Helaas is dat alleen niet altijd voldoende.

Hackers kunnen grootschalige aanvallen uitvoeren door één wachtwoord uit te proberen op enkele duizenden servers. In tegenstelling tot het proberen veel wachtwoorden op een enkele server, deze methode niet leiden tot de Account lockout, en het slim omzeilt dit defensieve mechanisme.

bijvoorbeeld, als een server vaak wordt aangevallen, kunnen honderden gebruikersaccounts constant worden geblokkeerd. Jouw server zou een gemakkelijke prooi zijn voor denial-of-service. Wees proactief om DDoS-aanvallen te detecteren en te stoppen.

helpt het gebruik van” LEET-speak”?

“Leetspeak” is een internettaal die elke tekst codeert door te vertalen naar ASCII-tekens.

Leetspeak was enige tijd een effectieve manier om een andere “beveiligingslaag” toe te voegen aan uw wachtwoordbeheer. Echter, hackers hebben gevangen op en begonnen met behulp van woordenboeken die letters vervangen door gewone Leet tekens. Hetzelfde geldt voor andere gangbare versleutelingsmethoden, zoals SHA-1.

Brute Force Attack Prevention Techniques

er zijn vele methoden om brute force aanvallen te stoppen of te voorkomen.

het meest voor de hand liggende is een sterk wachtwoordbeleid. Elke webapplicatie of publieke server moet het gebruik van sterke wachtwoorden afdwingen. Standaard gebruikersaccounts moeten bijvoorbeeld ten minste acht letters, een getal, hoofdletters en kleine letters en een speciaal teken bevatten. Bovendien moeten servers frequente wachtwoordwijzigingen vereisen.

laten we andere manieren onderzoeken om een brute force aanval te voorkomen.

• mislukte aanmeldpogingen beperken
• maak de root-gebruiker ontoegankelijk via SSH door het sshd_config-bestand
• gebruik geen standaardpoort, bewerk de poortregel in uw sshd_config-bestand
• gebruik
• logins beperken tot een opgegeven IP-adres of Bereik
• tweefactorverificatie
• unieke login-URL ‘ s
• logbestanden van monitorservers

account Lockouts na mislukte pogingen

zoals hierboven vermeld, is het implementeren van een account lockout na verschillende mislukte inlogpogingen niet effectief omdat het uw server gemakkelijk prooi maakt voor denial-of-service aanvallen. Echter, indien uitgevoerd met progressieve vertragingen, wordt deze methode veel effectiever.

account lockouts met progressieve vertragingen vergrendelen van een account alleen voor een bepaalde hoeveelheid tijd na een bepaald aantal mislukte aanmeldpogingen. Dit betekent dat geautomatiseerde brute force attack tools niet zo nuttig zal zijn. Bovendien, admins zullen niet te maken hebben met het ontsluiten van enkele honderden accounts elke 10 minuten of zo.

maak de Root gebruiker ontoegankelijk via SSH

SSH brute force pogingen worden vaak uitgevoerd op de root gebruiker van een server. Zorg ervoor dat je de root gebruiker ontoegankelijk maakt via SSH door het sshd_config bestand te bewerken. Stel de ‘DenyUsers root’ en ‘PermitRootLogin no’ opties.

Wijzig de standaardpoort

de meeste geautomatiseerde SSH-aanvallen worden geprobeerd op de standaardpoort 22. Dus, het draaien van sshd op een andere poort zou een nuttige manier kunnen zijn om met brute force aanvallen om te gaan.

om naar een niet-standaard poort te schakelen, bewerk je de poortregel in je sshd_config bestand.

gebruik

We zijn allemaal gewend geraakt aan het zien op het internet. Niemand houdt ervan om iets te begrijpen dat eruit ziet alsof het is gekrabbeld door een tweejarige, maar tools zoals render automated bots ineffectief.

die ene eis om een woord in te voeren, of het aantal katten op een gegenereerde afbeelding, is zeer effectief tegen bots, ook al zijn hackers begonnen met het gebruik van optische tekenherkenningstools om voorbij dit veiligheidsmechanisme te komen.

Houd er rekening mee dat het gebruik van hulpmiddelen zoals een negatieve invloed heeft op de gebruikerservaring.

Logins beperken tot een opgegeven IP-adres of Bereik

als u alleen toegang toestaat vanaf een aangewezen IP-adres of Bereik, zullen brute force aanvallers hard moeten werken om dat obstakel te overwinnen en krachtig toegang te krijgen.

het is als het plaatsen van een beveiliging perimeter rond uw meest waardevolle gegevens, en iedereen die niet afkomstig is van het juiste IP-adres is niet toegestaan toegang.

u kunt dit instellen door een externe toegangspoort aan te passen aan een statisch IP-adres. Als je geen statisch IP-adres hebt, kun je in plaats daarvan een VPN configureren. Een nadeel is dat dit misschien niet geschikt is voor elke use case.

gebruik 2-Factor authenticatie (2FA)

twee-factor authenticatie wordt door velen beschouwd als de eerste verdedigingslinie tegen brute force aanvallen. Het implementeren van een dergelijke oplossing vermindert het risico op een mogelijke datalek aanzienlijk.

het mooie aan 2FA is dat wachtwoord alleen niet genoeg is. Zelfs als een aanvaller het wachtwoord breekt, zouden ze toegang moeten hebben tot uw smartphone of e-mailclient. Zeer hardnekkige aanvallers kunnen proberen om dat obstakel te overwinnen, maar de meeste zullen omdraaien en zoeken naar een gemakkelijker doelwit.

unieke login-URL ‘s

unieke login-URL’ s maken voor verschillende gebruikersgroepen. Dit zal een brute force aanval niet stoppen, maar de invoering van die extra variabele maakt dingen een beetje uitdagender en tijdrovend voor een aanvaller.

Controleer uw serverlogs

zorg ervoor dat u uw logbestanden zorgvuldig analyseert. Beheerders weten dat logbestanden essentieel zijn voor het onderhouden van een systeem.

Logbeheertoepassingen, zoals Logwatch, kunnen u helpen bij het uitvoeren van dagelijkse controles en kunnen automatisch dagelijkse rapporten genereren.

Start actieve preventie & bescherming tegen Brute aanvallen vandaag

een ervaren en hardnekkige aanvaller zal altijd een manier vinden om uiteindelijk in te breken.

niettemin minimaliseert het implementeren van een combinatie van de hierboven beschreven methoden de kans dat u het slachtoffer wordt van een brute force aanval. Brute kracht aanvallers zoals easy proy, en zijn het meest waarschijnlijk om weg te draaien en te zoeken naar een ander doel als je een moersleutel in hun werk te gooien.