Tras conocer algunos de los escenarios
donde puede surgir un ataque de fuerza bruta y las muchas consecuencias
que puede ocasionar el no fortificar tus sistemas para que soporte o
inutilicen un ataque de este tipo, veremos que medidas se pueden
implementar y cuando implementarlas para evitar este tipo de ataques.
Algunas
empresas aunque muy reducidas acostumbran a cifrar la mayoría de
información, dentro de esta información se suele cifrar tanto el
usuario, como la contraseña, aunque en su mayoría unicamente cifran la
contraseña y hay quienes dejan todo sin cifrar. Pero si en tu empresa
acostumbran a cifrar al menos alguno de los dos parámetros, no basta con
cifrar la información, debes de establecer unas políticas de
contraseñas que sean lo suficientemente estrictas y asegurarte que cada
usuario cumpla con esta norma, en la cual se establezcan contraseñas al
menos de 12 o mas caracteres case sensitive, alfanumérica en
combinación de símbolos y establecer un cambio periódico de estas, así
como educar a los usuarios para que no utilicen la misma contraseña para
todos los servicios. Una contraseña cifrada de este tipo mataría a
cualquier atacante que quisiera obtener una contraseña para acceder a
algún sistema o servicio, aca tienes una tabla de tiempos estimados para
obtener una contraseña por fuerza bruta, de acuerdo a su nivel de
complejidad .
Figura 1: Tiempo para sacar una contraseña según su complejidad.
Evitando ataques de fuerza bruta a sistemas o servicios (con conexión):
Cuando entran en juego servicios o sistemas que están en internet expuestos al publico e
incluso si están implementados en una intranet es necesario establecer
algunas medidas de seguridad que pueda ayudar evitar cualquier posible
intento de ataque por fuerza bruta o diccionario.
Bloqueo por IP
Esta es una de las medidas utilizadas para poder detener un ataque de fuerza bruta, pero no suele ser una solución ideal en términos de justicia, porque puede que un usuario malintencionado dentro de una red con muchos ordenadores y una sola IP publica, como puede ser en una universidad, empresa o un sitio con internet publico, automáticamente dejaría sin servicio o sin acceso a los sistemas a los demás usuarios. Puede resultar una medida útil en caso donde los servicios o sistemas deban acceder desde un determinado rangos de IP, para esta situación podría aplicarse esta medida de protección, pero antes de implementarla, asegurate de es apropiada y no cometerás ninguna injusticia con otros usuarios.
Bloqueo de usuario/contraseña
Una medida muy importante y muy optima de evitar ataques de fuerza bruta, es el bloqueo de usuario/contraseña según un numero intentos fallidos. Lo común y usual en muchos servicios o sistemas es la protección contra ataques de fuerza bruta por contraseña, al intentar acceder a la cuenta de fulanito y superar mas de 3 intentos fallidos, la cuenta se bloquea y no puedes acceder. Pero muchos administradores no toman en cuenta el ataque inverso, es decir, el ataque de fuerza bruta por usuario, lo cual implica, establecer una contraseña fija y probarla contra todos los usuarios del sistema o servicio. Por ello, cuando tengas un servicio, asegurate de evitar tanto ataques de fuerza bruta por contraseña y usuario.
Captchas
El uso de estos se ha popularizado en los últimos tiempos por el alto grado de impacto que tiene al momento de mitigar y en la mayoría de casos acabar con un ataque de fuerza bruta, pero a pesar de sus buenos resultados, también debes de evaluar bajo que entornos y que servicios o sistemas lo emplearas, ya que estos sistemas son engorrosos y en definitiva no deberían de implementarse dentro de la una intranet, pero en ningún momento debería de descartarse implementarla en cualquier otro servicio o sistema que este expuesto al publico.
Si aun no has comprobado si tus servicios o sistemas son vulnerables ante este tipo de ataques, puede dejar el café de un lado y tomar algunas herramientas y comprobarlos, si pueden atacar alguno de tus sistemas por fuerza bruta, ya es hora de que empieces a implementar algunas de las medidas de seguridad expuestas.
Saludos.Esta es una de las medidas utilizadas para poder detener un ataque de fuerza bruta, pero no suele ser una solución ideal en términos de justicia, porque puede que un usuario malintencionado dentro de una red con muchos ordenadores y una sola IP publica, como puede ser en una universidad, empresa o un sitio con internet publico, automáticamente dejaría sin servicio o sin acceso a los sistemas a los demás usuarios. Puede resultar una medida útil en caso donde los servicios o sistemas deban acceder desde un determinado rangos de IP, para esta situación podría aplicarse esta medida de protección, pero antes de implementarla, asegurate de es apropiada y no cometerás ninguna injusticia con otros usuarios.
Bloqueo de usuario/contraseña
Una medida muy importante y muy optima de evitar ataques de fuerza bruta, es el bloqueo de usuario/contraseña según un numero intentos fallidos. Lo común y usual en muchos servicios o sistemas es la protección contra ataques de fuerza bruta por contraseña, al intentar acceder a la cuenta de fulanito y superar mas de 3 intentos fallidos, la cuenta se bloquea y no puedes acceder. Pero muchos administradores no toman en cuenta el ataque inverso, es decir, el ataque de fuerza bruta por usuario, lo cual implica, establecer una contraseña fija y probarla contra todos los usuarios del sistema o servicio. Por ello, cuando tengas un servicio, asegurate de evitar tanto ataques de fuerza bruta por contraseña y usuario.
Captchas
El uso de estos se ha popularizado en los últimos tiempos por el alto grado de impacto que tiene al momento de mitigar y en la mayoría de casos acabar con un ataque de fuerza bruta, pero a pesar de sus buenos resultados, también debes de evaluar bajo que entornos y que servicios o sistemas lo emplearas, ya que estos sistemas son engorrosos y en definitiva no deberían de implementarse dentro de la una intranet, pero en ningún momento debería de descartarse implementarla en cualquier otro servicio o sistema que este expuesto al publico.
Si aun no has comprobado si tus servicios o sistemas son vulnerables ante este tipo de ataques, puede dejar el café de un lado y tomar algunas herramientas y comprobarlos, si pueden atacar alguno de tus sistemas por fuerza bruta, ya es hora de que empieces a implementar algunas de las medidas de seguridad expuestas.
Lexer Pars.
***************************************************************************************************************************************
Ataque por fuerza bruta (I de III)
Ataque por fuerza bruta (III de III)
***************************************************************************************************************************************
***************************************************************************************************************************************
Hola, muchas gracias por la información, me pregunto de qué año es ésta tabla, si es online y que consideraciones de hw se tomaron para brindar estos datos.
ResponderEliminarHola, muchas gracias por la información, me pregunto de qué año es ésta tabla, si es online y que consideraciones de hw se tomaron para brindar estos datos.
ResponderEliminar