Definování útoků hrubou silou
Útok hrubou silou je typ techniky hackingu, ve které se útočník pokusí získat přístup k síti nebo systému odhadem kombinace uživatelského jména a hesla prostřednictvím automatizovaného procesu. Útočník obvykle používá program, který vygeneruje velký počet pokusů o přihlášení za krátkou dobu, aby vyzkoušel každou možnou kombinaci znaků, dokud se nezjistí správná kombinace znaků. Tento typ útoku může být účinný proti slabým heslům a systémům zabezpečení bez ochrany před útoky hrubou silou, ale je časově náročný a zjišťuje se bezpečnostními opatřeními, jako jsou uzamčení účtu po několika neúspěšných pokusech o přihlášení.
Služby pro správu, porty a protokoly
Útočníci bez předchozí znalosti legitimních přihlašovacích údajů v systému nebo prostředí hádají hesla, aby se pokusili získat přístup k účtům. Bez znalosti hesla pro účet se nežádoucí osoba pokusí systematicky uhodnout heslo pomocí opakujícího se nebo iterativního mechanismu. Útočník hádá přihlašovací údaje bez předchozích znalostí hesel systému nebo prostředí během operace, přičemž používá seznam běžných hesel. Hádání hesel často bere v úvahu zásady cíle týkající se složitosti hesel nebo používá zásady, které zamknou účty po mnoha neúspěšných pokusech.
Při hádání hesel se obvykle používají služby pro správu nad běžně používanými porty. Mezi běžně cílené služby patří:
| Služba pro správu | Port a protokol |
|---|---|
| SSH (Secure Shell) | 22 / TCP (transmission control protocol) |
| Telnet (Teletype Network) | 23 / TCP (Transmission Control Protocol) |
| FTP (File Transfer Protocol) | 21 / TCP (transmission Control Protocol) |
| NetBIOS (základní vstupní/výstupní systém sítě)/SMB (serverový blok zpráv)/Samba | 139 a 445 / TCP (Transmission Control Protocol) |
| LDAP (Lightweight Directory Access Protocol) | 389 / TCP (Transmission Control Protocol) |
| Kerberos | 88 / TCP (protokol pro řízení přenosu) |
| RDP (Remote Desktop Protocol) | 3389 / TCP (Transmission Control Protocol) |
| Služby pro správu PROTOKOLU HTTP/HTTP (Hypertext Transfer Protocol) | 80 a 443 / TCP (Transmission Control Protocol) |
| MSSQL (Microsoft jazyk SQL (Structured Query Language)) | 1433 / TCP (Transmission Control Protocol) |
| Oracle | 1521 / TCP (Transmission Control Protocol) |
| My SQL (My jazyk SQL (Structured Query Language)) | 3306 / TCP (Transmission Control Protocol) |
| VNC (Virtual Network Computing) | 5900 / TCP (Transmission Control Protocol) |
| SNMP (Simple Network Management Protocol) | 161 a 162 / UDP (User Datagram Protocol) / 162 / TCP (Transmission Control Protocol) |
Útoky hrubou silou a případy použití
Tyto programy lze použít jednotlivě nebo v kombinaci ke spuštění úspěšného útoku hrubou silou na cílovou síť nebo systém. Útočníci používají několik typů útoků hrubou silou, mezi které patří:
| Typy programů útoku hrubou silou | Případ použití |
|---|---|
| Crackery hesel | používá se k uhodnutí hesel a šifrovacích klíčů. |
| Skenery portů | slouží k identifikaci otevřených portů v síti nebo systému. |
| Mapovače sítě | slouží k mapování topologie sítě. |
| Servery webových aplikací | slouží k testování ohrožení zabezpečení webových aplikací. |
| Nástroje hrubou silou SSH | používá se k odhadu přihlašovacích údajů SSH. |
| Nástroje hrubou silou vzdálené plochy | slouží k odhadu přihlašovacích údajů protokolu RDP. |
| Nástroje pro hrubou silou FTP | slouží k odhadu přihlašovacích údajů FTP. |
| Nástroje hrubou silou protokolu SNMP | používá se k odhadu řetězců komunity SNMP. |
Označení útoku
- Extrémní počty neúspěšných přihlášení z mnoha neznámých uživatelských jmen
- Žádné úspěšné ověřování z více připojení RDP (Remote Desktop Protocol) nebo z nových zdrojových IP adres
Příklad: Potenciální upozornění na pokus o útok hrubou silou SQL
Postupy pro tupé útoky hrubou silou
Ke zmírnění útoků hrubou silou můžete využít několik postupů:
Zakažte veřejnou IP adresu a použijte jednu z těchto metod připojení:
- Použití virtuální soukromé sítě typu Point-to-Site (VPN)
- Vytvoření S2S (Site-to-site) VPN
- Pomocí Azure ExpressRoute můžete vytvářet zabezpečené propojení z místní sítě do Azure.
Vyžadování dvojúrovňového ověřování
Delší a složitější heslo
Omezit pokusy o přihlášení
Implementace testu CAPTCHA
-
O CAPTCHAs - Kdykoli budete chtít, aby se lidé zaregistrovali na vašem webu nebo dokonce zadali jméno a adresu URL (například pro komentář blogu), můžete dostat povodeň falešných jmen. Automatizované programy (boty) se pokoušejí zanechat URL na všech nalezených webových stránkách. (Běžnou motivací je publikovat adresy URL produktů k prodeji.) Pomocí nástroje CAPTCHA můžete ověřit, jestli je uživatel skutečným člověkem a ne počítačovým programem, a ověřit uživatele při registraci nebo jiném zadání jména a webu.
- CAPTCHA je zkratka pro zcela automatizovaný veřejný Turingův test k rozlišení počítačů a lidí. CAPTCHA je test odpovědi na výzvu , ve kterém je uživatel požádán, aby udělal něco, co je pro člověka snadné, ale obtížné pro automatizovaný program. Nejběžnějším typem CAPTCHA je ten, kde vidíte zkreslená písmena a zobrazí se výzva k jejich zadání. (Zkreslení by mělo robotům znesnadnit dešifrování písmen.)
-
O CAPTCHAs - Kdykoli budete chtít, aby se lidé zaregistrovali na vašem webu nebo dokonce zadali jméno a adresu URL (například pro komentář blogu), můžete dostat povodeň falešných jmen. Automatizované programy (boty) se pokoušejí zanechat URL na všech nalezených webových stránkách. (Běžnou motivací je publikovat adresy URL produktů k prodeji.) Pomocí nástroje CAPTCHA můžete ověřit, jestli je uživatel skutečným člověkem a ne počítačovým programem, a ověřit uživatele při registraci nebo jiném zadání jména a webu.
Omezte dobu, po kterou jsou porty otevřené.