Las 5 mejores herramientas para prevenir ataques de fuerza bruta

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es una técnica de piratería que implica probar muchas contraseñas diferentes con la esperanza de finalmente adivinar la correcta correctamente. El primer paso en cualquier ataque de fuerza bruta es elegir un objetivo; por lo tanto, los piratas informáticos comienzan escaneando las redes en busca de puertos abiertos y luego intentan adivinar las contraseñas. Si un pirata informático adivina la contraseña correcta, intentará iniciar sesión. Una vez que haya iniciado sesión, tendrá control total sobre la red.

La fuerza bruta ataca los sistemas de destino utilizando grandes volúmenes de datos dirigidos/enviados a ellos simultáneamente; enviar solicitudes o mucha información inútil a un servidor o servicio objetivo. Estos ataques se utilizan para saturar servidores y dispositivos de red.

En un ataque de fuerza bruta, el atacante usa una gran cantidad de poder de cómputo para intentar romper el sistema. Como se discutió anteriormente, el ataque de fuerza bruta es un método para adivinar contraseñas o probar combinaciones de caracteres hasta encontrar una que funcione. Los ataques a menudo están automatizados, lo que significa que se realizan sin intervención humana; estos tipos de ataques a menudo se denominan "piratería".

¿Cómo indicar ataques de fuerza bruta?

Varias acciones que indican un ataque de fuerza bruta, como:

1. Intentos de inicio de sesión repetidos: una gran cantidad de intentos de inicio de sesión fallidos en poco tiempo es una clara indicación de un ataque de fuerza bruta.
2. Alto uso de recursos: los ataques de fuerza bruta pueden causar un alto uso de CPU o memoria en el servidor de destino, ya que está tratando de procesar una gran cantidad de intentos de inicio de sesión.
3. Tráfico de red inusual: un ataque de fuerza bruta generará una gran cantidad de tráfico entrante que se puede detectar al monitorear los patrones de tráfico de la red.
4. Direcciones IP sospechosas: los registros se pueden verificar en busca de direcciones IP sospechosas que intentan conectarse repetidamente al servidor.

¿Cómo identifico ataques de fuerza bruta SSH en un servidor Linux?

Para detectar intentos de fuerza bruta SSH en un servidor Linux (como CentOS 7, Fedora 21 y RHEL 7), puede usar elcomando journalctl con los siguientes parámetros:

# diarioctl -u sshd |grep "Contraseña fallida"

Este comando buscará en los registros del sistema cualquier entrada relacionada con el servicio SSH que incluya la cadena "Contraseña fallida ", que indica un intento de inicio de sesión fallido.

Para los sistemas antiguos basados ​​en RedHat que usan upstart (como CentOS 6 y RHEL 6), puede buscar posibles intentos de intrusión en el archivo /var/log/secure usando el siguiente comando:

#cat /var/log/seguro |grep "Contraseña fallida"

Este comando buscará en elarchivo /var/log/secure cualquier entrada que incluya la cadena " Contraseña fallida".

¿Cómo identifico ataques de fuerza bruta en un servidor de Windows?

ElVisor de eventos es una herramienta integrada en Windows que le permite ver los registros del sistema y de la aplicación.Puede acceder al Visor de eventos yendo al menú Inicio, escribiendo "Visor de eventos" y presionando Entrar. Busque registros relacionados con la seguridad, el sistema y la aplicación en el Visor de eventos.

El "Registro de seguridad" en el Visor de eventos contiene registros de eventos relacionados con la seguridad, como los intentos de inicio de sesión. Puede encontrar el Registro de seguridad expandiendo la carpetaRegistros de Windows en el Visor de eventos y luego haciendo clic en "Seguridad".

Busque registros con los ID de evento 4625 y 4624, que indican intentos de inicio de sesión fallidos y exitosos, respectivamente.

Nota: es importante revisar regularmente los registros y monitorear el tráfico de la red para identificar cualquier actividad sospechosa que pueda indicar un ataque de fuerza bruta.

En este blog, hemos discutido varias herramientas y métodos que pueden usarse para prevenir ataques de fuerza bruta.

Las 5 mejores herramientas para prevenir ataques de fuerza bruta

1. IP Ban

IPBan es una herramienta eficaz para prevenir ataques de fuerza bruta, ya que bloquea los intentos repetidos de inicio de sesión desde una dirección IP específica. Los ataques de fuerza bruta generalmente involucran scripts automatizados que repetidamente intentan adivinar las credenciales de inicio de sesión de un usuario probando diferentes combinaciones de nombre de usuario y contraseña. IPBan funciona cuando una gran cantidad de intentos fallidos de inicio de sesión provienen de una sola dirección IP. En este caso, IPBan bloquea automáticamente esa IP para que no realice más intentos.

La aplicación de seguridad IPBan está desarrollada para Windows y Linux para detener botnets y piratas informáticos. La seguridad es el objetivo principal de un administrador de servidor, por lo tanto, las botnets definidas por el administrador y los piratas informáticos en el firewall también pueden mejorar el rendimiento. Cada intento fallido de inicio de sesión consume una gran cantidad de recursos de la CPU y del sistema; esto ocurre principalmente en entornos de escritorio remoto y SSH.

IPBan protege los escritorios remotos (RDP), SSH, SMTP y bases de datos como MySQL o SQL Server de intentos fallidos de inicio de sesión. También puede agregar otros protocolos en servidores Windows o Linux editando el archivo de configuración de IPBan.

Requisitos –

• IPBan necesita .NET 6 SDK para compilar y depurar código.
• IPBan requiere IDE o terminal con acceso de administrador o raíz.

Plataformas compatibles:

• Windows 8.1 o posterior (x86, x64), Windows Server 2012 o posterior (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 puede funcionar con algunas modificaciones. Dado que Windows Server 2008 llegó al final de su vida útil, ya no cuenta con soporte oficial.
• En CentOS y RedHat Linux, deberá instalar manualmente IPtables e IPset utilizando el administrador de paquetes Yum.
• IPBan no es compatible con Mac OS X.
• Puede descargar la aplicación IPBan desde aquí.

La instalación de IPBan en un servidor puede proporcionar varios beneficios para ayudar a prevenir ataques de fuerza bruta:

• IPBan verifica si una gran cantidad de intentos de inicio de sesión fallidos provienen de la misma dirección IP. Una vez que detecta la IP, bloquea automáticamente la IP para que no realice más intentos; esto detiene efectivamente el ataque en seco y ayuda a proteger el servidor.
• IPBan puede aumentar en gran medida la seguridad de un servidor al evitar el acceso no autorizado y proteger la información confidencial.
• IPBan puede ayudar a reducir la carga del servidor bloqueando los accesos no autorizados incluso antes de que lleguen a la aplicación web; esto reduce la cantidad de solicitudes que el servidor tiene que manejar.
• Al instalar IPBan, también podemos mejorar el rendimiento del servidor.

En general, IPBan es una herramienta poderosa y efectiva para prevenir ataques de fuerza bruta. También es fácil de configurar y usar. Esto lo convierte en una excelente opción para cualquier sitio web o servidor que necesite protección contra este tipo de ataques.

2. LCR

Config Server Firewall (CSF) es un firewall de aplicaciones web (WAF) que protege sitios web y servidores de ataques de fuerza bruta. Con el CSF, puede monitorear la actividad del usuario, rastrear a los visitantes y garantizar que el sitio web y el servidor permanezcan seguros. Además , puede monitorear cualquier cambio en el flujo de tráfico de la red y detectar cualquier brecha de seguridad.

Beneficios de instalar un cortafuegos –

• Los cortafuegos evitan el acceso no autorizado a servidores en redes privadas a través de software o hardware.
• Los cortafuegos protegen las redes informáticas al monitorear y controlar el flujo de datos entre los sistemas internos y los dispositivos externos.
• Un firewall generalmente monitorea los paquetes entrantes y salientes (tráfico) en una computadora; filtrar contenido ilegal o bloquear solicitudes web no deseadas.
• Impide que los programas envíen información fuera de la red interna a menos que el usuario lo autorice específicamente. Por lo tanto, evita que los piratas informáticos accedan a datos confidenciales.
• Puede configurar reglas en el firewall y bloquear la dirección IP del sistema de intentos de inicio de sesión fallidos.
• Si tiene un WHM/cPanel en el servidor, puede habilitar la protección de fuerza bruta de cPHulk. Esta característica protege al servidor contra ataques de fuerza bruta.
• Evitará que los virus entren o se propaguen a través de la red de una empresa.

Puede consultar este artículo para descargar CSF en su servidor.

3. Vigilante del mal

EvlWatcher funciona de manera similar a una aplicación Fail2ban en un servidor de Windows. La aplicación EvlWatcher verifica los archivos de registro del servidor en busca de intentos de inicio de sesión fallidos y otras actividades desconfiadas. Si EvlWatcher encuentra más de un número predefinido de intentos de inicio de sesión fallidos, bloquea las direcciones IP durante un período específico. Al usar EvlWatcher, puede evitar el acceso no autorizado a su servidor.

EvlWatcher es una excelente aplicación. Una vez que lo instale, protegerá automáticamente su servidor con sus reglas predeterminadas que también puede cambiar editando config.xml . También hay una lista permanente de prohibición de IP para aquellos que intentan violar el servidor repetidamente; aterrizan automáticamente allí después de tres golpes. Puede modificar el tiempo de bloqueo o hacer excepciones en la aplicación.

En GitHub, el proyecto EvlWatcher aún está en desarrollo activo.
Puede descargar EvlWatcher desde aquí.

4. Malwarebytes

Un ataque de fuerza bruta consiste en adivinar posibles combinaciones de contraseñas hasta encontrar la correcta. Si este ataque tiene éxito, el malware puede propagarse por la red y descifrar los datos cifrados. Por lo tanto, Malwarebytes Premium protege los servidores contra ataques de fuerza bruta utilizando tecnología antivirus y antimalware avanzada.

Al explotar las vulnerabilidades de las contraseñas de RDP, los ciberdelincuentes llevan a cabo ataques de fuerza bruta en los servidores y distribuyen malware en forma de ransomware y spyware. La función Brute Force Protection de Malwarebytes reduce la exposición de la conexión RDP y detiene los ataques en curso.

Si está buscando un antivirus que brinde protección contra malware en tiempo real contra amenazas generalizadas y ataques de fuerza bruta, Malwarebytes Premium es una buena opción. Malwarebytes Premium le proporciona una protección óptima sin necesidad de software antivirus adicional. También puede escanear manualmente su servidor a pedido si le preocupa que haya sido infectado recientemente con un virus o un intento de ataque de fuerza bruta.

Malwarebytes es compatible con Windows, Linux, Mac OS, Android y Chrome OS.

Malwarebytes es gratis durante 14 días después de instalarlo en su dispositivo. Al final de la prueba gratuita, el programa ejecutará solo las funciones más básicas y podrá continuar usándolo sin cargo adicional. Para obtener una protección proactiva en tiempo real las 24 horas del día, los 7 días de la semana, deberá comprar una licencia Premium de Malwarebytes por uno o dos años.

Puede descargar la aplicación Malwarebytes desde aquí.

5. centinela

Sentry es una aplicación de protección de fuerza bruta totalmente automatizada que protege las conexiones SSH de forma silenciosa y sin problemas sin necesidad de interacción con el usuario. Es una herramienta de protección segura y poderosa contra ataques de fuerza bruta en servidores Linux. Sentry está escrito en Perl. su instalación e implementación son bastante sencillas y no requiere ninguna dependencia.

Sentry detecta y previene ataques de fuerza bruta contra el demonio SSH (SSHd). Los ataques de fuerza bruta SSH son bloqueados por Sentry utilizando contenedores TCP y varios cortafuegos populares; fue diseñado para proteger el demonio SSH; sin embargo, esto también funciona con servicios FTP y MUA. Puede ampliar fácilmente Sentry para admitir listas de bloqueo adicionales. Su objetivo principal es reducir el número de recursos.

Para detectar conexiones maliciosas, Sentry emplea reglas flexibles. Por lo general, se considera sospechoso cuando un usuario intenta iniciar sesión en un sistema con un nombre de usuario o una contraseña no válidos. Esto es particularmente cierto para el protocolo SSH, que se utiliza para acceder y administrar servidores de forma remota. Cuando un usuario no válido intenta iniciar sesión a través de SSH, el servidor generalmente rechazará el intento de inicio de sesión y puede registrar el evento como una alerta de seguridad. Puede ver las reglas relacionadas con el script de Sentry en la sección de configuración.

Consulte este artículo para obtener información sobre cómo descargar la herramienta Sentry en el servidor.

Técnicas para prevenir ataques de fuerza bruta

1. Utilice una contraseña segura.

Lo primero que debe hacer es crear una contraseña segura. Una contraseña segura significa que es difícil de adivinar y usa caracteres que no se usan comúnmente. Puede usar cualquier carácter que desee, solo asegúrese de que no se usen comúnmente. Si usa una palabra del diccionario, trate de evitar palabras que las personas puedan adivinar fácilmente. Por ejemplo, si intenta crear una contraseña que incluya la palabra 'contraseña', no elija algo como '[correo electrónico protegido]'. En su lugar, elige algo como 'passw0rd' o 'my_secret_password'.

2. No reutilices las contraseñas.

Al reutilizar la misma contraseña en varias cuentas, aumenta el riesgo de que un atacante pueda obtener acceso a varias cuentas con un solo conjunto de credenciales de inicio de sesión. Esto puede tener consecuencias graves, como pérdidas financieras o el robo de información personal.

Es importante evitar la reutilización de contraseñas, ya que también aumenta el riesgo de un ataque de fuerza bruta. Si tiene la misma contraseña para varios sitios web, alguien que tenga acceso a su cuenta de correo electrónico también podrá acceder a esos sitios. Por lo tanto, si cambia su contraseña en un sitio, asegúrese de cambiarla también en todos los demás. El uso de contraseñas únicas para cada cuenta y el uso de un administrador de contraseñas para generarlas y almacenarlas de forma segura puede ayudar a prevenir ataques de fuerza bruta.

3. Cambie su contraseña con frecuencia.

Cambiar su contraseña a menudo es una práctica importante para evitar ataques de fuerza bruta, ya que este ataque implica adivinar las credenciales de inicio de sesión repetidamente para obtener acceso. Al cambiar regularmente su contraseña, hace que sea más difícil para un atacante adivinar las credenciales de inicio de sesión correctas.

Se recomienda que cambie su contraseña al menos cada tres meses o con mayor frecuencia si sospecha que su cuenta puede haber sido comprometida. Al crear una nueva contraseña, es importante usar una contraseña segura y única que contenga una combinación de letras, números y caracteres especiales. Evite usar información fácil de adivinar, como su nombre, fecha de nacimiento o palabras comunes.

4. Mantenga su software actualizado.

Es importante mantener actualizado el software de su computadora para mantener una seguridad inquebrantable. Los desarrolladores de software lanzan actualizaciones que contienen correcciones de seguridad importantes que pueden ayudar a que su computadora permanezca protegida contra virus, malware y otras amenazas en línea. Al buscar e instalar actualizaciones regularmente, puede ayudar a mantener su computadora segura y funcionando sin problemas. También es una buena idea consultar regularmente los sitios web del software que utiliza para ver si hay actualizaciones importantes disponibles.

5. Utilice la autenticación de dos factores (2FA).

Al agregar la autenticación de dos factores, puede hacer que su información de inicio de sesión sea más segura. En esto, deberá ingresar su nombre de usuario, contraseña y un código de mensaje de texto enviado a su teléfono o dirección de correo electrónico al iniciar sesión. Esto ayuda a proteger aún más sus datos, incluso si alguien roba su combinación de nombre de usuario y contraseña.

6. Cambie los puertos predeterminados del servicio RDP/SSH.

El sistema operativo Microsoft Windows viene con Servicios de escritorio remoto en el puerto predeterminado 3389. Dado que es un puerto de uso común, puede ser un objetivo fácil para ataques de fuerza bruta contra escritorios remotos.

Al consultar este artículo, puede cambiar fácilmente el puerto RDP 3389 a un puerto no estándar en su VPS/servidor dedicado de Windows.

Del mismo modo, el servicio SSH también viene con el puerto 22. Puede cambiar este puerto consultando nuestros artículos;

• Para CentOS, consulte este artículo.
• Para Ubuntu, consulte este artículo.

7. Restrinja el acceso al servicio RDP para direcciones IP específicas

La restricción basada en IP permite a los administradores restringir el acceso a servicios específicos solo a un rango de direcciones IP registradas. Para asegurar las conexiones RDP, muchos administradores eligen usar restricciones basadas en IP. Esto permite que solo ciertas direcciones IP se conecten al puerto RDP. Esto puede ayudar a prevenir el acceso no autorizado y proteger contra posibles amenazas de seguridad.

Puede consultar este artículo para establecer restricciones basadas en IP.

Conclusión

Los ataques de fuerza bruta se pueden prevenir empleando múltiples herramientas y técnicas, que hemos discutido en este artículo. Desde el uso de contraseñas seguras y autenticación multifactor hasta el uso de un puerto no estándar para los servicios RDP/SSH, restringir el acceso a los servicios RDP/SSH para direcciones IP específicas es esencial para mantenerse a salvo de los ataques de fuerza bruta.

También es importante monitorear los registros de su servidor y el tráfico de red para identificar cualquier actividad sospechosa que pueda indicar un ataque de fuerza bruta. Además, varias herramientas en línea que están disponibles en línea pueden ayudar a prevenir ataques de fuerza bruta al bloquear los intentos de inicio de sesión repetidos desde una sola dirección IP.

Por lo tanto, seguir estos sencillos pasos garantizará que sus datos y otra información personal permanezcan a salvo de los piratas informáticos.