top of page

Zabezpečenie pred Útokom Brute-Force

 

 

Podstata útoku:

Podstatou útoku Brute-Force, "útok hrubou silou", je rozlúštenie šifry bez toho aby poznal klúč k dešifrovaniu. Jedná sa o pravidelné systematické testovanie všetkých kombinačných možností (A,B,C,...) alebo vybrané podmnožiny všetkých kombinácií (1,2,3,...). Počas tohto útoku sa útočník snaží uhádnuť napríklad prihlasovacie heslo k aplikácií. Nástroj, ktorý vykonáva tento útok sa môže nastaviť buď na testovanie všetkých kombinácií (a,A,-,0,...), iba niektoré kombinácie ako napríklad iba písmená (a,b,c,..) alebo testuje slová zo slovníka. Počas útoku sa zasielajú na server veľké množstvá hesiel, ktoré produkuje používaný nástroj. Server musí na každé zle zadané heslo odpovedať chybovou správou. No pokiaľ je heslo správne, tak útočníka prihlási k danému serveru alebo aplikácií. 

 

Zabezpečenie pred útokom:

Útok Brute-Force je veľmi nebezpečný, pretože odhalí každé jedno heslo. No použitím vhodného zabezpečenia sa dá veľmi významne predĺžiť čas odhalenia hesla.

 

Použitie silného hesla

  • použite najmenej 8 znakov dlhé heslo - čím dlhšie heslo tým lepšie heslo

  • použite heslo z rôznych znakov - Veľké, malé písmena, čísla, symboly prípadne medzery ak sú povolené

  • nepoužívajte opakované heslá, slovníkové slová, mená, geografické názvy ani dátum narodenia, identifikačné čísla, mená predkov ani žiadne iné ľahko rozpoznateľné informácie

  • používajte zámerne heslá s "chybou". Ako napríklad="n@pR1kl@d"

  • nepíšte si heslá na viditelné miesta ako stôl, monitor, ...

  • často meňte heslá. Ak bolo heslo náhodou ukradnuté, tak pre útočníka nemá žiadnu cenu.

 

Použitie bezpečnostných funkcii - Cisco zariadenia

  • Silné heslá sú silné iba ak sú utajené. Preto je potrebné zabezpečiť aby boli utajené pred útočníkom.

  • Príkaz service password-encryption zabezpečí, že heslá budu ochránené pred tým aby boli zobrazované ako čistý text ale v šifrovanej podobe.

  • Príkaz security passwords min-length zabezpečí, že všetky heslá, ktoré budu zadávané budú musieť byť požadovanej dĺžky

  • Príkazom login block-for 120 attempts 3 within 60 zabezpečíme zariadenie pred použitím Brute-Force útoku. Týmto príkazom zablokujeme prihlasovanie po tom čo bolo opakovane zadané zlé heslo. Po viac násobnom zadaní zlého hesla, sa prihlasovanie zablokuje na určitý čas, a tým znefunkčníme použite Brute-Force nástroja.

  • Príkaz banner motd #message# zariadi to, že útočníkoví dá podobné znamenie ako "Zákaz vstupu!". Bannery sú dôležité preto aby bolo možné útočníka trestne stíhať, pretože nemá prístup k systému oprávnene.

  • Príkazom exec-timeout 10, zabezpečím to že odpojí užívateľa pripojeného k zariadeniu potom čo presiahne nastavenú dobu nečinnosti. Nastavuje sa na konzolový port, vty a aux port.

 

 

 

© 2015 Vytvoril Ján Ivák

bottom of page