Brute Force-Attacken gehören seit Jahren zu den bekanntesten Angriffen auf Netzwerke. Dabei versuchen Angreifer die Kennwörter durch eine Kombination zahlreicher Zeichen, inklusive Sonderzeichen zu erraten. Vor allem für Webdienste stellen solche Angriffe eine große Gefahr dar.
Für wen sind Brute Force-Angriffe gefährlich?
Brute-Force-Attacken sind vor allem für Serverdienste gefährlich, die im Internet zur Verfügung gestellt werden. Aber auch im internen Netzwerk können Brute-Force-Attacken durchgeführt werden, wenn Rechner mit Malware infiziert werden. Früher dauerten die Angriffe sehr lange, da die Kombinationen erst berechnet werden mussten. Durch die hohe Geschwindigkeit aktueller Netzwerke, Internetverbindungen und Prozessoren beschleunigen sich auch die Angriffe und kommen schneller zum Ziel. Administratoren und Entwickler sollten sich daher Gedanken drüber machen, wie solche Angriffe verhindert werden können.
Wirksamer Schutz vor Brute Force
Um Benutzerkonten so optimal wie möglich vor Brute-Force-Angriffen zu schützen, sollten diese so kompliziert wie möglich aufgebaut sein. Groß- und Kleinbuchstaben sollten genauso enthalten sein wie Zahlen und Sonderzeichen. Echte Wörter sollten keine enthalten sein, und auch nicht Teile des Benutzernamens. Viele Hacker nutzen Wörterbücher für Angriffe, daher sollte es selbstverständlich sein, dass Kennwörter von Anwendern nicht im Duden stehen. Dieser Schutz ist einer der wichtigsten überhaupt.
Um die Anmeldung noch sicherer zu gestalten, sollten Webdienste nicht nur mit Benutzernamen und Kennwörtern arbeiten, sondern mit Mehrwege-Authentifizierung. Diese kann aus einer PIN bestehen, weiteren Anmeldedaten wie geheime Fragen, oder die Bestätigung der Anmeldung per App oder SMS. Das verkompliziert die Anmeldung, erhöht aber die Sicherheit der Benutzer deutlich. Anwender können ihre Konten auf Webdiensten auf diesem Weg auch selbst schützen, indem sie die Mehrwege-Authentifizierung selbst aktivieren und nutzen, wenn Webdienste das anbieten.
Auch der Kennwortmechanismus sollte abgesichert werden. Benutzer, die zu oft ihr Kennwort falsch schreiben, sollten gesperrt werden. Um den Aufwand der Entsperrung zu vermeiden, lässt sich die Sperre natürlich auch an Zeitintervalle binden. Dadurch werden Brute-Force-Angriffe zwar nicht verhindert, aber ausgebremst. Allerdings laufen Sie in diesem Fall Gefahr, dass haufenweise Benutzerkonten Ihres Webdienstes gesperrt werden. Hier sollte also ein guter Kompromiss gefunden werden. Oftmals ist das Sperren von Benutzerkonten kein optimaler Weg, sollte aber geprüft werden. Durch gesperrte Konten können Hacker außerdem in Erfahrung bringen, welche Benutzerkonten tatsächlich vorhanden sind. Sinnvoll ist dieser Schutz zum Beispiel in internen Netzwerken.
In jedem Fall sollte das Zeitintervall zwischen der Eingabe von Kennwörtern erhöht werden, das bremst auch Brute-Force-Angriffe aus. Durch diese Eingabepausen lassen sich Angriffe oft effizienter verhindern, als durch das Sperren des Kontos. Mit jedem falschen Kennwort sollte sich das Intervall weiter erhöhen.
Webseiten gegen Brute-Force-Angriffe optimieren
Viele Brute-Force-Programme warten beim Eingeben der Kennwörter auf die Standard-Fehlermeldungen der Webseiten. Diesen Sachverhalt können Sie für sich nutzen und die Standard-Meldungen Ihres Webdienstes ändern. Auch wenn Fehler erscheinen, macht es Sinn, diese Meldung nicht an den Browser zurückzusenden, sondern eine Umleitung an ein externes System vorzunehmen, zum Beispiel eine andere Webseite. Auf dieser erhalten Anwender dann die Information, dass ihr Kennwort falsch eingegeben wurde. Für Anwender ist diese Vorgehensweise transparent. Da die meisten Brute-Force-Angreifer aber mit automatisierten Tools arbeiten, werden diese dadurch ausgebremst. Zwar lassen sich die Tools entsprechend anpassen, dennoch erreichen Sie auf diesem Weg schon einen weiteren Schutz.
Auch die Namen der Eingabefelder und der entsprechende Rückgabetext sollte so angepasst werden, dass Programme nicht erkennen, ob die Anmeldung erfolgreich oder erfolglos war.
IP-Adressen und Proxys sperren - Intrusion Detection Systeme nutzen
Versteckt sich der Angreifer hinter einem Proxy-Server und ist seine IP nicht auslesbar, sollte dieser Proxy gesperrt werden. Für sichere Serverdienste ist es generell sinnvoll die IP-Bereiche anonymer Proxys zu sperren. Ist die IP zu sehen, sollte diese sofort gesperrt werden. Ideal sind in diesem Bereich natürlich Firewalls, die solche Angriffe erkennen und die IP-Adressen automatisch blockieren können. Durch die enorme Anzahl freier Proxy-Server ist das Sperren natürlich ein Kampf gegen Windmühlen, aber immerhin besser als gar kein Schutz.
Mit Lösungen wie OSSEC können Unternehmen ein kostenloses Intrusion Detection System aufbauen. Bei OSSEC handelt es sich um ein Host-based Intrusion Detection System (HIDS), welches auf Basis verschiedener Quellen Angriffe auf das Netzwerk und verschiedene Server erkennen und verhindern kann. Sobald das System Angriffe erkennt, kann es Administratoren per E-Mail informieren und eigene Aktionen durchführen. Auch Brute-Force-Angriffe lassen sich auf diesem Weg blockieren und schnell entdecken.
OSSEC können Sie mit Windows, Linux, MacOS, HP-UX und AIS nutzen. Alle Möglichkeiten der Lösung zeigen die Entwickler in der Dokumentation.
Mit Zed Attack Proxy die Sicherheit der eigenen Serverdienste testen
Sie können Ihre eigenen Server und Serverdienste auch darauf testen, wie anfällig sie für Brute-Force-Attacken sind. Und entsprechend absichern. Ein wertvolles und kostenloses Hilfsmittel dazu ist Zed Attack Proxy (ZAP). Zed Attack Proxy können Sie kostenlos herunterladen.
Versteckte Verzeichnisse in Webanwendungen herausfinden, ist ein weit verbreitetes Ziel von Hackern. In solchen Verzeichnissen liegen häufig wichtige, geheime Daten. Außerdem sind solche Verzeichnisse häufig nicht so geschützt wie andere öffentliche Bereiche in Webanwendungen. Sie können mit ZAP auch nach dieser Sicherheitslücke in Ihrer Webanwendung suchen. Dazu gehen Sie folgendermaßen vor:
1. Rufen Sie die Seite, deren Webserver Sie auf versteckte Verzeichnisse überprüfen wollen, in einem Browser auf. Achten Sie darauf, dass ZAP gestartet und als Proxy im Browser eingetragen ist.
2. Auf der linken Seite in ZAP finden Sie nach dem Aufruf die übertragenen Daten. Markieren Sie die URL der Webanwendung, die Sie testen wollen.
3. Öffnen Sie in ZAP die Registerkarte Forced Browse.
4. Wählen Sie bei Site die URL aus, die Sie scannen wollen und bei Liste die Option directory-list-1.0.txt aus. Sie können natürlich bei weiteren Scanvorgängen noch mehr Optionen auswählen und die Seite mit verschiedenen Optionen scannen lassen.
5. Starten Sie den Angriff mit dem blauen Dreieck.
6. Der Angriff startet. Idealerweise sollten keine Verzeichnisse gefunden werden. Findet der Angriff Verzeichnisse, sehen Sie sich diese an und sichern Sie diese ab, damit sich diese nicht mehr öffnen lassen.
Zusatzsoftware gegen Brute-Force-Angriffe nutzen
Betreiben Sie eigene Webdienste oder Blogs, zum Beispiel auf Wordpress, bietet es sich an, diese Seiten und Dienste aktiv gegen Brute-Force-Angriffe zu schützen. Das Add-On BruteProtect kann Wordpress-Seiten vor Brute-Force-Angriffen weitgehend schützen. Das Tool wird bereits auf zahlreichen Wordpress-Seiten eingesetzt.
Es sammelt Angriffe auf alle Wordpress-Seiten und sammelt diese in einer Blacklist. Das heißt, Wordpress-Seiten profitieren von den Brute-Force-Angriffen auf andere Seiten; das kann Angriffe auf die eigene Seite verhindern. Durch diese Zusammenarbeit erhöht sich deutlich die Sicherheit. Neben diesem Add-On gibt es für zahlreiche Dienste weitere Werkzeuge. Administratoren und Webentwickler sollten jeweils prüfen, ob es für den entsprechenden Dienst ein Zusatzwerkzeug gibt, das vor Brute Force schützen kann.
Fazit
Brute-Force-Angriffe stellen eine reale Gefahr für Netzwerke, Webdienste und Server dar. Administratoren sollten sich mit dem Thema auseinandersetzen und rechtzeitig dafür sorgen, dass die Benutzerkonten optimal geschützt sind. (PC-Welt)