it-swarm-tr.com

Bir MITM saldırısı tespit edebilir miyim?

Burada bu soruya dayanarak: "Ortadaki adam" saldırıları çok nadir mi?

Ortadaki adam saldırılarını tespit etmek mümkün mü ve eğer öyleyse, bu nasıl olur?

Ayrıca, telefon hatları gibi yerel ağa bağlanarak saldırı gerçekleşiyorsa ne olur? Bunu tespit etmenin bir yolu var mı?

41
TigerCoding

Tarama yaparken, web sitesi tarafından size sunulan sertifikanın meşru bir CA tarafından yayınlanıp yayınlanmadığını veya tarayıcınızın güvendiği bazı CA tarafından verilen sahte bir sertifikayı yayınlayıp yayınlamadığını her zaman kontrol edebilirsiniz. Açıkçası elle yapmak mümkün değil. Yani, bunu sizin için yapan araçlar var.

Cert Patrol ve Perspective bunu yapan tarayıcı eklentileridir. Hangi alan adlarının CA'ların (örn. Google => Thwate vb.) Ve sertifikalarla ilgili diğer birçok parametrenin sorun olduğunu not ederler ve CA'dan biri değiştiğinde kullanıcıyı uyarırlar OR = sertifikadaki ortak anahtar değişirse.

Bunlar açıkça MITM tespit değil, web sitesi tarafından sunulan sertifika hakkında bir şey garip olduğunu tespit ederek daha çok önleme şemaları gibidir.

Ayrıca bir SSH sunucusuna bağlanırken, sunucu parmak izini ister. Ssh istemcim daha önce bir sunucuya bağlandıktan sonra bana yeni bir parmak izi sunuyorsa endişelenirim. Sunucu Bağlantısı anahtarı ilk bağlantıdan sonra bilinen_hosts dosyasına kaydedilir, istemcinin parmak izini tekrar doğrulamamı istemesinin tek nedeni SSH sunucusunun yeniden başlatılması/güncellenmesi OR MITMed.

Mutlak paranoya, sistem yöneticisini telefonla aramanızı ve anahtarı konuşmasını sağlayarak parmak izini onaylamanızı ister.

27
CodeExpress

Bir MitM saldırısı tespit edebiliyor musunuz? Saldırılacak sistemin türüne ve saldırı türüne bağlıdır.

Bazı karmaşık saldırganların genel olarak sizinle internet arasında bir yönlendirici kontrolünü ele geçirdiğini ve trafiğinizi bir MitM için kendi kontrolleri altında sahte sunuculara yönlendirdiğini (ör. DNS isteklerini yakalar ve sunucularına sahte yanıtlar verir veya Ağ Adresi Çevirisi kullanır) (NAT)).

Şimdi http://www.facebook.com 'A gidip saldırganların kontrolü altındaki http giriş sayfasına yönlendirildiğinizi varsayalım. Muhtemelen saldırgan, facebook'un giriş sayfasını taklit eden, kimlik doğrulama bilgilerinizi yakalayan ve gerçek facebook'a bağlanmak için bu bilgileri kullanan ve ardından gerçek facebooktaki içeriği tarayıcınıza yönlendiren bir sayfa açabilir. Bu, gizli giriş sonrası eyleminin ilk giriş sayfasında https olmaması dışında neredeyse hiç yapılabilir. Bunun yerine ayarlarınızın facebook için her zaman https kullanacağını varsayalım ve https://www.facebook.com Öğesine gittiniz. MitM saldırısı tarayıcıya kırmızı bayraklar gönderir, çünkü saldırganın facebook.com için güvenilir bir sertifikası olmaz. Birçok kullanıcı bu tarayıcı uyarılarını yok sayar (bazen süresi dolmuş bir anahtar veya kendinden imzalı bir anahtar kullanmayan bir intranet sitesi gibi iyi niyetli nedenlerle ortaya çıkar). Tüm bunlar, saldırganın ek olarak facebook'a girmeyi ve özel sertifikalarını almayı başaramadığını varsayıyordu OR çoğu web tarayıcısı tarafından güvenilen sahte sertifikalar oluşturabilmek için bir CA'nın (sertifika yetkilisi) güvenliğini aşmıştır OR daha önce web tarayıcınızı değiştirerek geçersiz sertifikalara güvendiğini/uyarmadığını söyledi.

Genel olarak http ile MitM saldırılarını tespit etmek neredeyse imkansızdır, ancak https ile, saldırgan sisteminizi veya diğer sisteminizi zaten tehlikeye atmadıkça tarayıcınız sizi otomatik olarak algılamalı ve uyarmalıdır. (diğer uçta bir sistem olarak CA dahil).

Sonraki örnek: ssh. Yine, bilgisayarların kimliğini doğrulamak için özel-ortak sunucu anahtar çiftlerini kullanır. Bu yüzden sık sık ev bilgisayarımdan iş makineme ssh yaparsam, ev bilgisayarım iş makinemin genel anahtarını kaydetmiş ve güvenir (bu ~/.ssh/known_hosts Dosyasında tutulur). Ev makinemden bağlanırken bir MitM saldırısı denendiğinde, ssh, MitM makinesinin iş makinemin özel anahtarına sahip olmadığını ve giriş yapmama izin vermediğini hemen fark ederdi (özellikle known_hosts listemden herkese açık anahtar; yalnızca yeni bir makineye yükseltme yaptığımda veya sunucu anahtarını değiştirdiğimde bunu yapardım). Yine, ssh üzerindeki MitM saldırılarının algılanması çok kolaydır, çünkü saldırgan zaten iş makineme kök olarak girip özel anahtarı bir Ana Bilgisayarına kopyalamadıysa OR zaten ev makineme girmedi ve ~/.ssh/known_hosts OR içine kaydedilen iş makinem için ortak anahtarı değiştirdim, sunucuya ilk kez bağlandığım (ve known_hosts klasörümde sunucum yok veya tanıyorum Host parmak izi).

11
dr jimbob

MitM şemasının tespiti, herhangi bir kimlik doğrulama protokolünün temel amacıdır. Bunun çalışması için ihtiyacınız olan:

  • Kimlik doğrulama bilgilerini almanın güvenli bir yolu (Sunucu sertifikası, paylaşılan anahtar, ...)
  • Sunucuyla değiştirilen iletinin gerçekliğini doğrulayın.

Sunucu istemcide de aynısını yapmalıdır. Simetrik bir şema ile kolayca yapılmalıdır. SSL gibi asimetrik protokolleri kullanırken şunları yapmanız gerekir:

  • Sunucu sertifikasını alın ve doğru bir şekilde kimlik doğrulaması yapın
  • Kimsenin iletinin şifresini çözememesi için bu sertifikaya katıştırılmış genel anahtarını kullanarak sunucuyla iletişim kurun
  • Sunucu ve gelecekteki bağlantılar için simetrik şifreleme kullanmak için paylaşılan benzersiz bir sır üzerinde anlaşmış olacaksınız.
4
M'vy

Hayır, yapamazsınız, bunu yapmanın birçok yolu vardır.

Burada birçok cevap nasıl belirli MITM saldırılarını kontrol edin, inanıyorum nokta değil söyleyecektir.

Bir MITM, saldırganın veri akışınızı deşifre edeceği ve size farklı bir anahtar/parmak izi sunacağı anlamına gelmez. O, siz ve hedef Host'unuz arasındaki sadece bir düğümdür.

Bir MITM durumuna girmenin birçok yolu vardır, her biri uygun ağ yönetimi tarafından önlenebilir, siz ve hedef Ana Makineniz arasındaki tüm düğümler güvenli olmalıdır. Her ağ, yönlendirme protokollerini, ARP kimlik sahtekarlığını, DNS kimlik sahtekarlığını, yalnızca fiziksel bir köprü kurmayı vb.

Güvenliği sağlamak için, bir MITM saldırısına yakalanmak önemli değil, güvene ve şansa güvenemezsiniz ve interneti kontrol edemezsiniz, uygun bir denetim tarafından güvenli olduğu kanıtlanmadığı sürece düşmanca bir ortamda olduğunuzu varsaymalısınız. TLS, SSH ve potansiyel olarak IPSec gibi güvenli protokolleri kullanmak, ağınızı daha güvenli hale getirebilir, verilerinizi doğrulayabilir ve şifreleyebilir. Bununla birlikte, bir noktada her zaman savunmasızdır ve çoğu zaman, bir yanlış yapılandırmadan veya protokol/uygulamanın kendisindeki bir kusurdan gelir.

Kısacası MITM'yi tespit etmeyin, bunun yerine:

  • LAN'ınızı koruyun veya birinden yapmasını isteyin
  • Güvenli uzak ağlara ve sistemlere erişmek için güvenli tünel protokollerini ayarlayın

MITM'i algılamak mümkündür, ancak kullandığınız şeyle ilgilidir, Cisco IOS veya herhangi bir Unix kutusunda SNORT kullanmak) bağlantı noktası güvenliği. Durum ve ayrıca saldırganlar her zaman aklınıza gelmeyen bir şey bulabilecek kadar yaratıcıdır, bu yüzden yukarıdaki 2 tavsiyeme bakın.

3
Aki

ARP tablonuzu kontrol edebilirsiniz. Ya da iyi web sitesine bakabilirsiniz MITM TUTORIALs [ https://toschprod.wordpress.com/2012/03/04/mitm-8-countermeasures/] açıklayan derinlemesine bir adam nedir ve nasıl önlenir. Eğitimini okumak size neler olup bittiğini ve nasıl önleneceğini ve bunları nasıl tespit edeceğiniz konusunda mükemmel bir fikir verecektir.

0
noktec