جلوگیری از حملات Brute Force با استفاده ازپیکربندی Account Lockout

Brute Force چیست؟

هکر می تواند با استفاده از روش Brute Force رمز عبور کاربران را با به دست بیاورد به این صورت که با انجام تست پسورد با پسورد لیست به نتیجه برسد.

Brute Force یک روش حمله سایبری در حوزه امنیت اطلاعات است که در آن حمله‌کننده با تلاش‌های متعدد و تکراری، به صورت خودکار کلیه گزینه‌های ممکن را برای حدس زدن رمزعبور یا کد امنیتی یک سیستم یا حساب کاربری امتحان می‌کند. این روش معمولاً به منظور نفوذ به حساب‌ها یا سیستم‌های محافظت شده با رمز انجام می‌شود و به دلیل تکراری بودن و افزایش شانس حدس زدن موفق در مقایسه با روش‌های دیگر، معمولاً به عنوان یک روش حمله قدرتی شناخته می‌شود.

پیکربندی Account Lockout چیست؟ و در صورت عدم پیکربندی باعث ایجاد چه حملاتی می شود؟

برای جلوگیری از این حمله ها راه های متفاوتی وجود دارد ولی به صورت استاندارد مطابق با CISمی توان از Pluggable Authentication Modules (pam) استفاده کرد که تنظیم می شود بعد از چند بار تست ناموفق، کاربر مورد نظر به مدت چند دقیقه غیر فعال شود.

مثلا:

 اگر یک کاربر در تعداد مشخصی از تلاش ها (مثلا 3 تلاش) نتواند رمز عبور خود را درست وارد کند حساب کاربری او قفل شود و نتواند دوباره تلاش کند.

این ویژگی به هکر  اجازه نمی دهد که به صورت بی پایان رمز عبور را حدس بزنند.این کار به شدت احتمال موفقیت حملات Broute force را کاهش می دهد و سطح امنیت سیستم را بالا می برد.

برای پیکربندی مراحل زیر را انجام دهید:

*** توجه داشته باشید که ابتدا بر روی یک آزمایشگاه که مشابه با محیط واقعی سازمان خود است تست کنید و بعد بر روی ماشین های واقعی پیاده سازی کنید.***

به مسیر /etc/security رفته و فایل faillock.conf را مطابق با سیاست های سازمان تنظیم و ذخیره کنید.(پارامتر های زیر را تنظیم کنید ) مقادیر زیر به صورت تست است:

با حذف # دستور مورد نظر را از حالت Comment خارج کنید و مقادیر را دلخواه تنظیم کنید:

audit

deny = 3

unlock_time = 60

root_unlock_time = 60

به مسیر /etc/ssh بروید و فایل sshd_config را باز کرده و خط زیر را به آن اضافه کنید:

ChallengeResponseAuthentication yes

به مسیر /etc/pam.d رفته و فایل sshd را ویرایش کنید و خطوط زیر را در بالای include common-auth@ اضافه کنید (ترتیب خطوط زیر اهمیت دارد).

# here are the per-package modules (the “Primary” block)

auth     required                      pam_faillock.so preauth # Added to enable faillock

auth     [success=1 default=ignore]    pam_unix.so nullok

auth     [default=die]                 pam_faillock.so authfail # Added to enable faillock

auth     sufficient                    pam_faillock.so authsucc # Added to enable faillock

# here’s the fallback if no module succeeds

auth     requisite                     pam_deny.so

# prime the stack with a positive return value if there isn’t one already;

# this avoids us returning an error just because nothing sets a success code

# since the modules above will each just jump around

auth     required                      pam_permit.so

# and here are more per-package modules (the “Additional” block)

auth     optional                      pam_cap.so

# end of pam-auth-update config

و بالای خط include common-account@ خط زیر را اضافه کنید.

account required pam_faillock.so

سپس سرویس را Restart و یا در صورت امکان ماشین را Restart کنید.

بعد از اعمال تغییرات باید بعد از زدن پسورد اشتباه با ارور زیر مواجه شوید:

**** توجه داشته باشید که برای جلوگیری از این نوع حملات بهتر است که برروی فایروال تنظیمات انجام شود تا IP که با آن Brute Force انجام شده بلاک شود.