Les 5 meilleurs outils pour prévenir les attaques par force brute

Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute est une technique de piratage qui consiste à essayer de nombreux mots de passe différents dans l'espoir de deviner éventuellement le bon. La première étape de toute attaque par force brute consiste à choisir une cible ; par conséquent, les pirates commencent par analyser les réseaux à la recherche de ports ouverts, puis essaient de deviner les mots de passe. Si un pirate devine le mot de passe correct, il essaiera de se connecter. Une fois connecté, il aura un contrôle total sur le réseau.

La force brute attaque les systèmes cibles en utilisant de gros volumes de données qui leur sont destinées/envoyées simultanément ; envoyer des requêtes ou beaucoup d'informations inutiles à un serveur ou service ciblé. Ces attaques sont utilisées pour submerger les serveurs et les périphériques réseau.

Dans une attaque par force brute, l'attaquant utilise beaucoup de puissance de calcul pour essayer de casser le système. Comme indiqué précédemment, l'attaque par force brute est une méthode permettant de deviner des mots de passe ou d'essayer des combinaisons de caractères jusqu'à ce qu'ils en trouvent un qui fonctionne. Les attaques sont souvent automatisées, ce qui signifie qu'elles sont effectuées sans intervention humaine ; ces types d'attaques sont souvent appelés "piratage".

Comment indiquer les attaques par force brute ?

Plusieurs actions qui indiquent une attaque par force brute, telles que -

1. Tentatives de connexion répétées : un grand nombre de tentatives de connexion infructueuses dans un court laps de temps est une indication claire d'une attaque par force brute.
2. Utilisation élevée des ressources : les attaques par force brute peuvent entraîner une utilisation élevée du processeur ou de la mémoire sur le serveur ciblé, car il tente de traiter un grand nombre de tentatives de connexion.
3. Trafic réseau inhabituel : une attaque par force brute génère une grande quantité de trafic entrant qui peut être détectée en surveillant les modèles de trafic réseau.
4. Adresses IP suspectes : les journaux peuvent être vérifiés pour les adresses IP suspectes qui tentent à plusieurs reprises de se connecter au serveur.

Comment identifier les attaques SSH Brute Force sur un serveur Linux ?

Pour détecter les tentatives de force brute SSH sur un serveur Linux (tel que CentOS 7, Fedora 21 et RHEL 7), vous pouvez utiliser lacommande journalctl avec les paramètres suivants -

# journalctl -u sshd |grep "Echec du mot de passe"

Cette commande recherchera dans les journaux système toutes les entrées liées au service SSH qui incluent la chaîne "Mot de passe échoué ", qui indique une tentative de connexion échouée.

Pour les anciens systèmes basés sur RedHat utilisant upstart (tels que CentOS 6 et RHEL 6), vous pouvez rechercher d'éventuelles tentatives d'intrusion dans le fichier /var/log/secure en utilisant la commande suivante -

#cat /var/log/sécurisé |grep "Echec du mot de passe"

Cette commande recherchera dans lefichier /var/log/secure toutes les entrées qui incluent la chaîne « Failed password».

Comment identifier les attaques par force brute sur un serveur Windows ?

L'Observateur d'événements est un outil intégré à Windows qui vous permet d'afficher les journaux du système et des applications.Vous pouvez accéder à l'Observateur d'événements en allant dans le menu Démarrer, en tapant « Observateur d'événements » et en appuyant sur Entrée. Recherchez les journaux liés à la sécurité, au système et à l'application dans l'Observateur d'événements.

Le « Journal de sécurité » de l'Observateur d'événements contient des enregistrements d'événements liés à la sécurité, tels que les tentatives de connexion. Vous pouvez trouver le journal de sécurité en développant le dossierJournaux Windows dans l'Observateur d'événements, puis en cliquant sur "Sécurité".

Recherchez les journaux avec les ID d'événement 4625 et 4624, qui indiquent respectivement les tentatives de connexion échouées et réussies.

Remarque : Il est important de vérifier régulièrement les journaux et de surveiller le trafic réseau pour identifier toute activité suspecte pouvant indiquer une attaque par force brute.

Dans ce blog, nous avons discuté de divers outils et méthodes qui peuvent être utilisés pour empêcher les attaques par force brute.

Les 5 meilleurs outils pour prévenir les attaques par force brute

1. IP Ban

IPBan est un outil efficace pour prévenir les attaques par force brute car il bloque les tentatives de connexion répétées à partir d'une adresse IP spécifique. Les attaques par force brute impliquent généralement des scripts automatisés qui tentent à plusieurs reprises de deviner les identifiants de connexion d'un utilisateur en essayant différentes combinaisons de nom d'utilisateur et de mot de passe. IPBan fonctionne lorsqu'un grand nombre de tentatives de connexion infructueuses proviennent d'une seule adresse IP. Dans ce cas, IPBan empêche automatiquement cette IP de faire d'autres tentatives.

L'application de sécurité IPBan est développée pour Windows et Linux pour arrêter les botnets et les pirates. La sécurité est l'objectif principal d'un administrateur de serveur, par conséquent, les botnets définis par l'administrateur et les pirates dans le pare-feu peuvent également améliorer les performances. Chaque tentative de connexion infructueuse consomme une grande quantité de ressources CPU et système ; c'est principalement dans les environnements de bureau à distance et SSH.

IPBan protège les bureaux distants (RDP), SSH, SMTP et les bases de données telles que MySQL ou SQL Server contre les tentatives de connexion infructueuses. Vous pouvez également ajouter d'autres protocoles dans les serveurs Windows ou Linux en modifiant le fichier de configuration IPBan.

Exigences -

• IPBan a besoin du SDK .NET 6 pour créer et déboguer le code.
• IPBan nécessite un IDE ou un terminal avec un accès administrateur ou root.

Plates-formes prises en charge –

• Windows 8.1 ou plus récent (x86, x64), Windows Server 2012 ou plus récent (x86, x64), Linux (Ubuntu, Debian, CentOS, RedHat x64).
• IPBan Windows Server 2008 peut fonctionner avec quelques modifications. Comme Windows Server 2008 a atteint la fin de sa vie, il n'est plus officiellement pris en charge.
• Dans CentOS et RedHat Linux, vous devrez installer manuellement IPtables et IPset à l'aide du gestionnaire de packages Yum.
• IPBan n'est pas pris en charge sous Mac OS X.
• Vous pouvez télécharger l'application IPBan à partir d'ici.

L'installation d'IPBan sur un serveur peut offrir plusieurs avantages pour aider à prévenir les attaques par force brute :

• IPBan vérifie si un grand nombre de tentatives de connexion infructueuses proviennent de la même adresse IP. Une fois qu'il détecte l'adresse IP, il empêche automatiquement l'adresse IP de faire d'autres tentatives ; cela arrête efficacement l'attaque dans son élan et aide à protéger le serveur.
• IPBan peut augmenter considérablement la sécurité d'un serveur en empêchant tout accès non autorisé et en protégeant les informations sensibles.
• IPBan peut aider à réduire la charge du serveur en bloquant les accès non autorisés avant même qu'ils n'atteignent l'application Web ; cela réduit le nombre de requêtes que le serveur doit gérer.
• En installant IPBan, nous pouvons également améliorer les performances du serveur.

Dans l'ensemble, IPBan est un outil puissant et efficace pour prévenir les attaques par force brute. Il est également simple à configurer et à utiliser. Cela en fait une excellente option pour tout site Web ou serveur qui doit être protégé contre ces types d'attaques.

2. LCR

Config Server Firewall (CSF) est un pare-feu d'application Web (WAF) qui protège les sites Web et les serveurs contre les attaques par force brute. À l'aide du CSF, vous pouvez surveiller l'activité des utilisateurs, suivre les visiteurs et vous assurer que le site Web et le serveur restent sécurisés. De plus, vous pouvez surveiller tout changement dans le flux de trafic réseau et détecter toute faille de sécurité.

Avantages de l'installation d'un pare-feu -

• Les pare-feu empêchent l'accès non autorisé aux serveurs sur les réseaux privés via des logiciels ou du matériel.
• Les pare-feu protègent les réseaux informatiques en surveillant et en contrôlant le flux de données entre les systèmes internes et les périphériques externes.
• Un pare-feu surveille généralement les paquets entrants et sortants (trafic) sur un ordinateur ; filtrer les contenus illégaux ou bloquer les requêtes Web indésirables.
• Il empêche les programmes d'envoyer des informations en dehors du réseau interne à moins que l'utilisateur ne l'autorise spécifiquement à le faire. Ainsi, empêcher les pirates d'accéder aux données sensibles.
• Vous pouvez configurer des règles dans le pare-feu et bloquer l'adresse IP du système de tentatives de connexion infructueuses.
• Si vous avez un WHM/cPanel sur le serveur, vous pouvez activer cPHulk Brute Force Protection. Cette fonctionnalité protège le serveur contre les attaques par force brute.
• Il empêchera les virus d'entrer ou de se propager à travers le réseau d'une entreprise.

Vous pouvez vous référer à cet article pour télécharger CSF sur votre serveur.

3. Observateur d'Evl

EvlWatcher fonctionne de la même manière qu'une application Fail2ban sur un serveur Windows. L'application EvlWatcher vérifie les fichiers journaux du serveur pour les tentatives de connexion infructueuses et toute autre activité méfiante. Si EvlWatcher trouve plus qu'un nombre prédéfini de tentatives de connexion infructueuses, il bloque les adresses IP pour une durée spécifiée. En utilisant EvlWatcher, vous pouvez empêcher l'accès non autorisé à votre serveur.

EvlWatcher est une excellente application. Une fois installé, il protégera automatiquement votre serveur avec ses règles par défaut que vous pouvez également modifier en modifiant config.xml . Il existe également une liste permanente d'interdictions IP pour ceux qui tentent à plusieurs reprises de violer le serveur ; ils y atterrissent automatiquement après trois frappes. Vous pouvez modifier le temps de blocage ou faire des exceptions dans l'application.

Sur GitHub, le projet EvlWatcher est toujours en développement actif.
Vous pouvez télécharger EvlWatcher à partir d'ici.

4. Malwarebytes

Une attaque par force brute consiste à deviner les combinaisons de mots de passe possibles jusqu'à ce que la bonne soit trouvée. Si cette attaque réussit, les logiciels malveillants peuvent se propager sur le réseau et décrypter les données chiffrées. Ainsi, Malwarebytes Premium protège les serveurs contre les attaques par force brute en utilisant une technologie antivirus et anti-malware avancée.

En exploitant les vulnérabilités des mots de passe RDP, les cybercriminels mènent des attaques par force brute sur les serveurs, distribuant des logiciels malveillants sous forme de rançongiciels et de logiciels espions. La fonction Brute Force Protection de Malwarebytes réduit l'exposition de la connexion RDP et arrête les attaques en cours.

Si vous recherchez un antivirus qui offre une protection en temps réel contre les menaces généralisées et les attaques par force brute, Malwarebytes Premium est une bonne option. Malwarebytes Premium vous offre une protection optimale sans avoir besoin d'un logiciel antivirus supplémentaire. Vous pouvez également analyser manuellement votre serveur à la demande si vous craignez d'avoir été récemment infecté par un virus ou une tentative d'attaque par force brute.

Malwarebytes est pris en charge sur Windows, Linux, Mac OS, Android et Chrome OS.

Malwarebytes est gratuit pendant 14 jours après son installation sur votre appareil. À la fin de l'essai gratuit, le programme n'exécutera que les fonctions les plus élémentaires et vous pourrez continuer à l'utiliser sans frais supplémentaires. Pour bénéficier d'une protection proactive en temps réel 24h/24 et 7j/7, vous devrez acheter une licence Malwarebytes Premium pour un ou deux ans.

Vous pouvez télécharger l'application Malwarebytes à partir d'ici.

5. Sentinelle

Sentry est une application de protection contre la force brute entièrement automatisée qui protège les connexions SSH de manière silencieuse et transparente sans aucune interaction de l'utilisateur. C'est un outil de protection sécurisé et puissant contre les attaques par force brute sur les serveurs Linux. Sentry est écrit en Perl. son installation et son déploiement sont assez simples et ne nécessitent aucune dépendance.

Sentry détecte et empêche les attaques par force brute contre le démon SSH (SSHd). Les attaques par force brute SSH sont bloquées par Sentry à l'aide d'encapsuleurs TCP et de plusieurs pare-feu populaires ; il a été conçu pour protéger le démon SSH ; cependant, cela fonctionne également avec les services FTP et MUA. Vous pouvez facilement étendre Sentry pour prendre en charge des listes de blocage supplémentaires. Son premier objectif est de réduire le nombre de ressources.

Pour détecter les connexions malveillantes, Sentry utilise des règles flexibles. Il est généralement considéré comme suspect lorsqu'un utilisateur tente de se connecter à un système en utilisant un nom d'utilisateur ou un mot de passe invalide. Cela est particulièrement vrai pour le protocole SSH, qui est utilisé pour accéder et gérer les serveurs à distance. Lorsqu'un utilisateur non valide tente de se connecter via SSH, le serveur rejette généralement la tentative de connexion et peut enregistrer l'événement en tant qu'alerte de sécurité. Vous pouvez voir les règles liées aux scripts de Sentry dans la section de configuration.

Veuillez vous référer à cet article pour savoir comment télécharger l'outil Sentry sur le serveur.

Techniques de prévention des attaques par force brute

1. Utilisez un mot de passe fort.

La première chose à faire est de créer un mot de passe fort. Un mot de passe fort signifie qu'il est difficile à deviner et utilise des caractères qui ne sont pas couramment utilisés. Vous pouvez utiliser n'importe quel caractère que vous voulez, assurez-vous simplement qu'ils ne sont pas couramment utilisés. Si vous utilisez un mot du dictionnaire, essayez d'éviter les mots que les gens pourraient facilement deviner. Par exemple, si vous essayez de créer un mot de passe qui inclut le mot 'password', ne choisissez pas quelque chose comme '[email protected]'. Au lieu de cela, utilisez quelque chose comme 'passw0rd' ou 'my_secret_password'.

2. Ne réutilisez pas les mots de passe.

En réutilisant le même mot de passe sur plusieurs comptes, vous augmentez le risque qu'un attaquant puisse accéder à plusieurs comptes avec un seul ensemble d'informations d'identification de connexion. Cela peut avoir de graves conséquences, telles que des pertes financières ou le vol d'informations personnelles.

Il est important d'éviter de réutiliser les mots de passe car cela augmente également le risque d'attaque par force brute. Si vous avez le même mot de passe pour plusieurs sites Web, une personne ayant accès à votre compte de messagerie peut également accéder à ces sites. Donc, si vous changez votre mot de passe sur un site, assurez-vous de le changer également partout ailleurs. L'utilisation de mots de passe uniques pour chaque compte et l'utilisation d'un gestionnaire de mots de passe pour les générer et les stocker en toute sécurité peuvent aider à prévenir les attaques par force brute.

3. Changez fréquemment votre mot de passe.

Changer souvent votre mot de passe est une pratique importante pour prévenir les attaques par force brute, car cette attaque implique de deviner les identifiants de connexion à plusieurs reprises pour y accéder. En changeant régulièrement votre mot de passe, vous rendez plus difficile pour un attaquant de deviner les bons identifiants de connexion.

Il est recommandé de changer votre mot de passe au moins tous les trois mois ou plus fréquemment si vous pensez que votre compte a pu être compromis. Lors de la création d'un nouveau mot de passe, il est important d'utiliser un mot de passe fort et unique qui contient un mélange de lettres, de chiffres et de caractères spéciaux. Évitez d'utiliser des informations faciles à deviner telles que votre nom, votre date de naissance ou des mots courants.

4. Maintenez votre logiciel à jour.

Il est important de garder le logiciel de votre ordinateur à jour pour maintenir une sécurité inviolable. Les développeurs de logiciels publient des mises à jour contenant des correctifs de sécurité importants qui peuvent aider votre ordinateur à rester protégé contre les virus, les logiciels malveillants et autres menaces en ligne. En vérifiant et en installant régulièrement les mises à jour, vous pouvez contribuer à la sécurité et au bon fonctionnement de votre ordinateur. C'est aussi une bonne idée de consulter régulièrement les sites Web des logiciels que vous utilisez pour voir si des mises à jour importantes sont disponibles.

5. Utilisez l'authentification à deux facteurs (2FA).

En ajoutant une authentification à deux facteurs, vous pouvez rendre vos informations de connexion plus sécurisées. Dans ce cas, vous devrez entrer votre nom d'utilisateur, votre mot de passe et un code de message texte envoyé à votre téléphone ou à votre adresse e-mail lors de la connexion. Cela permet de protéger davantage vos données même si quelqu'un vole votre combinaison nom d'utilisateur/mot de passe.

6. Modifiez les ports par défaut du service RDP/SSH.

Le système d'exploitation Microsoft Windows est livré avec les services de bureau à distance sur le port par défaut 3389. Comme il s'agit d'un port couramment utilisé, il peut être une cible facile pour les attaques par force brute contre les postes de travail distants.

En vous référant à cet article, vous pouvez facilement changer le port RDP 3389 en un port non standard sur votre serveur Windows VPS/Dédié.

De même, le service SSH est également fourni avec le port 22. Vous pouvez modifier ce port en vous référant à nos articles ;

• Pour CentOS, reportez-vous à cet article.
• Pour Ubuntu, reportez-vous à cet article.

7. Restreindre l'accès au service RDP pour des adresses IP spécifiques

La restriction basée sur IP permet aux administrateurs de limiter l'accès à des services spécifiques à une plage d'adresses IP enregistrée uniquement. Pour sécuriser les connexions RDP, de nombreux administrateurs choisissent d'utiliser des restrictions basées sur IP. Cela permet uniquement à certaines adresses IP de se connecter au port RDP. Cela peut aider à empêcher tout accès non autorisé et à protéger contre les menaces de sécurité potentielles.

Vous pouvez vous référer à cet article pour définir des restrictions basées sur IP.

Conclusion

Les attaques par force brute peuvent être évitées en utilisant plusieurs outils et techniques, dont nous avons discuté dans cet article. De l'utilisation de mots de passe forts et de l'authentification multifacteur à l'utilisation du port non standard pour les services RDP/SSH, il est essentiel de restreindre l'accès aux services RDP/SSH pour des adresses IP spécifiques pour se protéger des attaques par force brute.

Il est également important de surveiller les journaux et le trafic réseau de votre serveur pour identifier toute activité suspecte pouvant indiquer une attaque par force brute. De plus, plusieurs outils en ligne disponibles en ligne peuvent aider à prévenir les attaques par force brute en bloquant les tentatives de connexion répétées à partir d'une seule adresse IP.

Ainsi, suivre ces étapes simples garantira que vos données et autres informations personnelles restent à l'abri des pirates.