sábado, 4 de enero de 2014

Ataque por fuerza bruta (III de III)

Tras conocer algunos de los escenarios donde puede surgir un ataque de fuerza bruta y las muchas consecuencias que puede ocasionar el no fortificar tus sistemas para que soporte o inutilicen un ataque de este tipo, veremos que medidas se pueden implementar y cuando implementarlas para evitar este tipo de ataques. 

Evitando ataques de fuerza bruta a contraseñas o usuarios (sin conexión):

Algunas empresas aunque muy reducidas acostumbran a cifrar la mayoría de información, dentro de esta información se suele cifrar tanto el usuario, como la contraseña, aunque en su mayoría unicamente cifran la contraseña y hay quienes dejan todo sin cifrar. Pero si en tu empresa acostumbran a cifrar al menos alguno de los dos parámetros, no basta con cifrar la información, debes de establecer unas políticas de contraseñas que sean lo suficientemente estrictas y asegurarte que cada usuario cumpla con esta norma, en la cual se establezcan contraseñas al menos de 12 o mas caracteres case sensitive, alfanumérica en combinación de símbolos y establecer un cambio periódico de estas, así como educar a los usuarios para que no utilicen la misma contraseña para todos los servicios. Una contraseña cifrada de este tipo mataría a cualquier atacante que quisiera obtener una contraseña para acceder a algún sistema o servicio, aca tienes una tabla de tiempos estimados para obtener una contraseña por fuerza bruta, de acuerdo a su nivel de complejidad .  

              Figura 1: Tiempo para sacar una contraseña según su complejidad.

Evitando ataques de fuerza bruta a sistemas o servicios (con conexión):

Cuando entran en juego servicios o sistemas que están en internet expuestos al publico e incluso si están implementados en una intranet es necesario establecer algunas medidas de seguridad que pueda ayudar evitar cualquier posible intento de ataque por fuerza bruta o diccionario.  

Bloqueo por IP

Esta es una de las medidas utilizadas para poder detener un ataque de fuerza bruta, pero no suele ser una solución ideal en términos de justicia, porque puede que un usuario malintencionado  dentro de una red con muchos ordenadores y una sola IP publica, como puede ser en una universidad, empresa o un sitio con internet publico, automáticamente dejaría sin servicio o sin acceso a los sistemas a los demás usuarios. Puede resultar una medida útil en caso donde los servicios o sistemas deban acceder desde un determinado rangos de IP, para esta situación podría aplicarse esta medida de protección, pero antes de implementarla, asegurate de es apropiada y no cometerás ninguna injusticia con otros usuarios.

Bloqueo de usuario/contraseña 

Una medida muy importante y muy optima de evitar ataques de fuerza bruta, es el bloqueo de usuario/contraseña según un numero intentos fallidos. Lo común y usual en muchos servicios o sistemas es la protección contra ataques de fuerza bruta por contraseña, al intentar acceder a la cuenta de fulanito y superar mas de 3 intentos fallidos, la cuenta se bloquea y no puedes acceder. Pero muchos administradores no toman en cuenta el ataque inverso, es decir, el ataque de fuerza bruta por usuario, lo cual implica, establecer una contraseña fija y probarla contra todos los usuarios del sistema o servicio. Por ello, cuando tengas un servicio, asegurate de evitar tanto ataques de fuerza bruta por contraseña y usuario.

Captchas  

El uso de estos se ha popularizado en los últimos tiempos por el alto grado de impacto que tiene al momento de mitigar y en la mayoría de casos acabar con un ataque de fuerza bruta, pero a pesar de sus buenos resultados, también debes de evaluar bajo que entornos y que servicios o sistemas lo emplearas, ya que estos sistemas son engorrosos y en definitiva no deberían de implementarse dentro de la una intranet, pero en ningún momento debería de descartarse implementarla en cualquier otro servicio o sistema que este expuesto al publico.

Si aun no has comprobado si tus servicios o sistemas son vulnerables ante este tipo de ataques, puede dejar el café de un lado y tomar algunas herramientas y comprobarlos, si pueden atacar alguno de tus sistemas por fuerza bruta, ya es hora de que empieces a implementar algunas de las medidas de seguridad expuestas.

Saludos.
Lexer Pars.        

***************************************************************************************************************************************
Ataque por fuerza bruta (I de III)
Ataque por fuerza bruta (III de III)
***************************************************************************************************************************************

No hay comentarios:

Publicar un comentario