Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-01-04 GMT+08:00

Como o HSS intercepta ataques de força bruta?

Tipos de ataques de força bruta detectáveis

O HSS pode detectar os seguintes tipos de ataques de força bruta:

  • Windows: SqlServer (interceptação automática não é suportada atualmente) e Rdp
  • Linux: MySQL, vfstp e SSH
Se o MySQL ou o VSFTP estiver instalado em seu servidor, depois que o HSS for ativado, o agente adicionará regras a iptables para evitar ataques de força bruta do MySQL e VSFTP. Ao detectar um ataque de força bruta, o HSS adicionará o endereço IP de origem à lista de bloqueio. As regras adicionadas estão destacadas abaixo.
Figura 1 Regras adicionadas

As regras existentes do iptables são usadas para bloquear ataques de força bruta. É aconselhável mantê-las. Se elas forem excluídas, o HSS não será capaz de proteger o MySQL ou o VSFTP de ataques de força bruta.

Como os ataques de força bruta são interceptados

Os ataques de força bruta são um tipo de ataque de intrusão comum. Os atacantes enviam muitas senhas de servidor até que, eventualmente, adivinham corretamente e ganham controle sobre um servidor.

O HSS usa algoritmos de detecção de força bruta e uma lista negra de endereços IP para prevenir efetivamente ataques de força bruta e bloquear endereços IP de ataque. A duração do bloqueio para ataques SSH suspeitos é de 12 horas e para outros ataques suspeitos é de 24 horas. Se um endereço IP bloqueado não realizar ataques de força bruta na duração de bloqueio padrão, ele será desbloqueado automaticamente. O HSS suporta 2FA para autenticar a identidade do usuário, impedindo efetivamente que invasores invadam contas.

Você pode definir endereços IP de logon comuns e lista branca de endereços IP SSH que não serão bloqueados.

Se o HSS detectar ataques de quebra de contas em servidores usando o Kunpeng EulerOS (EulerOS com ARM), ele não bloqueará os endereços IP de origem e gerará apenas alarmes. A lista branca de endereços IP de logon SSH não entra em vigor para esses servidores.

Políticas de alarme

  • Se um hacker quebrar com sucesso a senha e fizer logon em um servidor, um alarme em tempo real será enviado imediatamente aos destinatários especificados.
  • Se um ataque de força bruta e riscos de invasão de contas forem detectados, um alarme em tempo real será enviado imediatamente para os destinatários especificados.
  • Se um ataque de força bruta for detectado e falhar, e nenhuma configuração insegura (como senhas fracas) for detectada no servidor, nenhum alarme em tempo real será enviado. O HSS resumirá todos os ataques em um dia em seu relatório diário de alarme. Você também pode visualizar ataques bloqueados na página Intrusions do console do HSS.

Visualização dos resultados da detecção de quebra por força bruta

  1. Faça logon no console de gerenciamento.
  2. No canto superior esquerdo da página, selecione uma região, clique em e escolha Security & Compliance > Host Security Service.

    Figura 2 Acessar o HSS

  3. Na tabela exibida após clicar em Brute-force attacks, você pode visualizar ataques bloqueados em servidores protegidos.

    Figura 3 Ataques de força bruta

  4. Clique em View Details em Blocked IP Addresses para verificar os endereços IP de origem, os tipos de ataques, o número de ataques interceptados, a hora da primeira e da última interceptação e o status da interceptação.

    • Blocked indica que o ataque de força bruta foi bloqueado pelo HSS.
    • Canceled indica que você desbloqueou o endereço IP de origem do ataque de força bruta.

      Por padrão, os invasores SSH suspeitos são bloqueados por 12 horas. Outros tipos de invasores suspeitos são bloqueados por 24 horas. Se um endereço IP bloqueado não realizar ataques de força bruta na duração de bloqueio padrão, ele será desbloqueado automaticamente.

Gerenciamento de endereços IP bloqueados

  • Se um servidor é frequentemente atacado, é aconselhável corrigir suas vulnerabilidades em tempo hábil e eliminar os riscos.

    É aconselhável ativar a 2FA e configurar endereços IP de logon comuns e a lista branca de IP de logon SSH.

  • Se um endereço IP válido for bloqueado por engano (por exemplo, depois que o pessoal de O&M inserir senhas incorretas várias vezes), desbloqueie manualmente o endereço IP.

    Se você desbloqueou manualmente um endereço IP, mas tentativas incorretas de senha desse endereço IP atingirem o limite novamente, esse endereço IP será bloqueado novamente.