Guida alle tecnologie

Come prevenire attacchi brute force con Brutelock

5 min read Sicurezza Aggiornato 18 Oct 2025
Prevenire attacchi brute force con Brutelock
Prevenire attacchi brute force con Brutelock

Perché usare Brutelock

Brutelock è un software open source che osserva attivamente i log del sistema e blocca immediatamente gli IP malevoli che tentano di forzare accessi. Supporta SSH, FTP, POP, IMAP e altri servizi tramite regole estendibili: basta indicare il file di log e una regex di ricerca.

Importante: Brutelock blocca gli IP a livello di firewall; è progettato per ridurre rapidamente i tentativi di login falliti, ma deve far parte di una strategia di difesa a più livelli.

Prerequisiti

  • Accesso root o privilegi sudo sul server.
  • Tool di compilazione (gcc, make, build-essential o equivalenti per la tua distribuzione).
  • Spazio su disco in /usr/local/ per installare l’agente.
  • Una chiave di sottoscrizione (opzionale per la versione gratuita o per funzioni aggiornate).

Installazione passo-passo

Segui questi passaggi per installare l’agente Brutelock:

  1. Scarica l’agente Brutelock e salva il file in /usr/local/.

  2. Esegui:

    cd /usr/local/

  3. Estrai l’archivio (sostituisci version_number con la versione corretta):

    tar -xjvf brutelock-version_number.tar.bz2

  4. Entra nella directory appena estratta:

    cd /usr/local/brutelock-version_number

  5. Configura la build:

    ./configure

  6. Compila il programma:

    make

  7. Installa l’agente:

    make install

  8. Modifica il nuovo file di configurazione: / usr/local/brutelock/conf/brutelock.conf Inserisci la tua chiave di sottoscrizione se disponibile.

  9. Modifica il percorso del log SSH nel file di configurazione se necessario. Se non sei sicuro del log del tuo sistema, consulta il README incluso nel pacchetto di Brutelock. Decommenta anche altri servizi che desideri proteggere (ftp, pop, imap).

  10. Aggiungi eventuali IP alla whitelist: /usr/local/brutelock/conf/whitelist (un IP per riga). Includi almeno localhost (127.0.0.1) e l’IP pubblico del server.

  11. Aggiungi una chain separata a iptables:

    /sbin/iptables -N Brutelock-Firewall-INPUT
    /sbin/iptables -I INPUT -j Brutelock-Firewall-INPUT

  12. Avvia il demone di Brutelock:

    /usr/local/brutelock/bin/brutelockd

  13. Controlla i log del sistema e osserva la diminuzione dei tentativi di accesso falliti.

Configurazione e controlli post-installazione

  • Verifica che il demone sia attivo (ps, systemctl o controlla il processo brutelockd).
  • Controlla /var/log/auth.log o il file di log specificato per vedere le azioni di blocco.
  • Aggiorna la whitelist ogni volta che aggiungi servizi di monitoraggio o cambi IP amministrativi.

Nota: la chiave di sottoscrizione consente aggiornamenti e funzionalità aggiuntive; la versione gratuita continua a bloccare automaticamente gli IP.

Quando Brutelock potrebbe non bastare

  • Attacchi distribuiti (botnet) che usano molteplici IP: Brutelock blocca singoli IP, ma non elimina la pressione da fonti distribuite.
  • Attacchi da IP dinamici o proxy: bloccare un singolo IP può avere effetto limitato se l’attaccante cambia frequentemente gli IP.
  • Servizi non loggati o log incompleti: Brutelock si basa sui log; se un servizio non registra tentativi, Brutelock non può individuarli.

Mitigazioni: usare rate limiting a livello di rete, WAF/cloud protection, autenticazione a due fattori e monitoraggio delle anomalie.

Approcci alternativi e complementari

  • fail2ban: altro strumento che usa pattern nei log per bloccare IP; configura azioni personalizzate e integrazioni con sistemi di notifica.
  • Filtri firewall centralizzati (pf, nftables): gestire regole più granulari e rate limiting.
  • Soluzioni cloud (WAF, CDN): spostare parte del traffico su layer gestiti che filtrano attacchi ricorrenti.

Scegliere una soluzione dipende dal rischio, budget e complessità dell’infrastruttura: spesso è utile combinare più strumenti.

Checklist per ruolo

  • Sysadmin:
    • Verificare permessi e dipendenze prima dell’installazione.
    • Mantenere aggiornata la whitelist.
    • Provare il riavvio e la persistenza del demone.
  • Security Officer:
    • Definire criteri di risposta agli IP bloccati.
    • Integrare log di Brutelock nel SIEM.
  • DevOps:
    • Automatizzare deploy/rollback della configurazione.
    • Testare su staging prima di applicare in produzione.

Criteri di verifica (test di accettazione)

  • Dopo l’installazione, generare tentativi di login falliti da un IP di test e verificare che venga bloccato.
  • Verificare che gli IP in whitelist non vengano bloccati.
  • Assicurarsi che il blocco sia visibile nei log e che iptables contenga la chain Brutelock-Firewall-INPUT.

Suggerimenti di sicurezza aggiuntiva

  • Abilitare l’autenticazione a due fattori per utenti critici.
  • Disabilitare l’accesso root via SSH e usare chiavi pubbliche.
  • Limitare l’accesso SSH tramite AllowUsers o tramite VPN interna.
  • Monitorare regolarmente i log e aggiornare le regole di Brutelock.

Mini-metodologia consigliata (5 passi)

  1. Installare e avviare Brutelock in ambiente di test.
  2. Configurare log e regex per i servizi critici.
  3. Aggiungere whitelist e policy di blocco conservative.
  4. Monitorare i falsi positivi per 48–72 ore.
  5. Applicare in produzione e integrare con alerting.

Glossario (1 riga ciascuno)

  • Brute force: tentativo ripetuto di indovinare credenziali.
  • Demone (daemon): processo che gira in background.
  • Whitelist: elenco di IP che non devono essere bloccati.
  • iptables: strumento di filtraggio dei pacchetti su Linux.

FAQ

Cos’è Brutelock? Brutelock è un software open source che monitora i log e blocca IP malevoli per prevenire attacchi brute force.

Serve una chiave di sottoscrizione? Non obbligatoria per il blocco base; la sottoscrizione fornisce aggiornamenti e funzionalità aggiuntive.

Come testare che funzioni? Simula tentativi di login falliti da un IP di test e verifica che compaia nelle regole iptables e nei log di Brutelock.

Riepilogo

Brutelock è uno strumento pratico per ridurre i tentativi di login non autorizzati tramite il blocco automatico di IP malevoli. Per massimizzare l’efficacia, combinalo con hardening SSH, autenticazione a più fattori e soluzioni di rete. Segui la checklist e i test di verifica prima di applicare le regole in produzione.

Nota importante: mantieni sempre una whitelist aggiornata (127.0.0.1 e l’IP del server almeno) per evitare di auto-bloccarti.

Condividere: X/Twitter Facebook LinkedIn Telegram
Autore
Redazione

Materiali simili

Errore caa70004 Teams: risoluzione su Windows
Supporto tecnico

Errore caa70004 Teams: risoluzione su Windows

Disattivare digitazione gestuale su Android
Android

Disattivare digitazione gestuale su Android

gdi32full.dll mancante: come riparare Windows 10
Windows

gdi32full.dll mancante: come riparare Windows 10

Immagine profilo personalizzata su Netflix
Streaming

Immagine profilo personalizzata su Netflix

Convertire .img in file flashabili per Odin
Android

Convertire .img in file flashabili per Odin

Come far diventare un video virale su TikTok
Social Media

Come far diventare un video virale su TikTok