it-swarm-eu.dev

Kann ich einen MITM-Angriff erkennen?

Basierend auf dieser Frage hier: Sind "Mann in der Mitte" -Angriffe äußerst selten?

Ist es möglich, Man-in-the-Middle-Angriffe zu erkennen, und wenn ja, wie würde man vorgehen?

Was ist außerdem, wenn der Angriff über eine Verbindung mit dem lokalen Netzwerk erfolgt, z. B. über Telefonleitungen? Gibt es eine Möglichkeit, dies zu erkennen?

41
TigerCoding

Während des Surfens können Sie jedes Mal überprüfen, ob das Zertifikat, das Ihnen von der Website präsentiert wird, von einer legitimen Zertifizierungsstelle ausgestellt wurde oder ein gefälschtes Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, der Ihr Browser vertraut. Offensichtlich ist es nicht möglich, es manuell zu machen. Es gibt also Tools, die dies für Sie erledigen.

Cert Patrol und Perspective sind Browser-Plugins, die im Wesentlichen das tun. Sie notieren, welche Domainnamen Probleme mit welchen Zertifizierungsstellen (z. B. Google => Thwate usw.) und vielen anderen Parametern im Zusammenhang mit den Zertifikaten sind, und alarmieren den Benutzer, wenn sich eine der Zertifizierungsstellen ändert OR = wenn sich der öffentliche Schlüssel im Zertifikat ändert.

Dies ist offensichtlich keine Erkennung von MITM, sondern eher ein Präventionsschema, bei dem festgestellt wird, dass das auf der Website präsentierte Zertifikat etwas Seltsames ist.

Während der Verbindung zu einem SSH-Server wird nach dem Server-Fingerabdruck gefragt. Ich wäre alarmiert, wenn mein SSH-Client mir einen neuen Fingerabdruck präsentiert, nachdem ich zuvor eine Verbindung zu einem Server hergestellt habe. Der Server-Host-Schlüssel wird nach der ersten Verbindung in der Datei "unknown_hosts" gespeichert. Der einzige Grund, warum der Client mich auffordert, den Fingerabdruck erneut zu überprüfen, besteht darin, dass entweder der SSH-Server neu gestartet/aktualisiert wurde OR Ich bin MITMed.

Absolute Paranoia erfordert, dass Sie den Systemadministrator am Telefon anrufen und den Fingerabdruck bestätigen, indem Sie ihn machen den Schlüssel sprechen.

27
CodeExpress

Können Sie einen MitM-Angriff erkennen? Hängt von der Art des angegriffenen Systems und der Art des Angriffs ab.

Angenommen, ein hoch entwickelter Angreifer hat die Kontrolle über einen Router zwischen Ihnen und dem Internet im Allgemeinen erlangt und leitet Ihren Datenverkehr an gefälschte Server weiter, die unter seiner Kontrolle für ein MitM stehen (z. B. erfasst DNS-Anforderungen und gibt falsche Antworten an seine Server oder verwendet die Netzwerkadressübersetzung (NAT)).

Angenommen, Sie gehen zu http://www.facebook.com Und werden zu einer Anmeldeseite http geleitet, die der Kontrolle des Angreifers unterliegt. Vorhersehbar könnte der Angreifer eine Seite aufrufen, die die Anmeldeseite von Facebook nachahmt, Ihre Authentifizierungsinformationen erfasst und diese Informationen verwendet, um eine Verbindung zum realen Facebook herzustellen, und dann den Inhalt vom realen Facebook zu Ihrem Browser weiterleiten. Dies könnte nahezu nahtlos erfolgen, mit der Ausnahme, dass die Aktion für versteckte Formulare auf der ersten Anmeldeseite nicht https lautet. Angenommen, Ihre Einstellungen lauten stattdessen immer https für Facebook, und Sie gingen zu https://www.facebook.com. Der MitM-Angriff würde rote Fahnen an den Browser senden, da der Angreifer kein vertrauenswürdiges Zertifikat für facebook.com hat. Zugegeben, viele Benutzer ignorieren diese Browser-Warnungen (da sie manchmal aus harmlosen Gründen auftreten, z. B. aufgrund eines abgelaufenen Schlüssels oder einer Intranetsite, die keinen selbstsignierten Schlüssel verwendet). Dies alles ging davon aus, dass der Angreifer es nicht zusätzlich geschafft hat, sich in Facebook zu hacken und seine privaten Zertifikate OR zu erhalten, um eine Zertifizierungsstelle (Zertifizierungsstelle) zu gefährden, um falsche Zertifikate generieren zu können, denen die meisten Webbrowser OR zuvor vertraut haben Ihr Webbrowser vertraut/warnt nicht vor ungültigen Zertifikaten.

Im Allgemeinen ist es mit http nahezu unmöglich, MitM-Angriffe zu erkennen, aber mit https sollte Ihr Browser Sie automatisch erkennen und warnen, es sei denn, der Angreifer hat Ihr System oder das System auf der anderen Seite bereits kompromittiert Ende (einschließlich der Zertifizierungsstelle als System am anderen Ende).

Nächstes Beispiel: ssh. Verwendet wiederum privat-öffentliche Server-Schlüsselpaare zur Authentifizierung von Computern. Wenn ich also häufig von meinem Heimcomputer aus auf meine Arbeitsmaschine ssh, hat mein Heimcomputer den öffentlichen Schlüssel meiner Arbeitsmaschine aufgezeichnet und ihm vertraut (der in einer Datei ~/.ssh/known_hosts Gehalten wird). Wenn ein MitM-Angriff versucht wurde, während ich eine Verbindung von meinem Heimcomputer herstellte, bemerkte ssh sofort, dass der MitM-Computer nicht über den privaten Schlüssel meines Arbeitscomputers verfügte, und ließ mich nicht anmelden (es sei denn, ich entfernte den Schlüssel ausdrücklich öffentlicher Schlüssel aus meiner known_hosts - Liste (was ich nur tun würde, wenn ich sagen würde, ich hätte ein Upgrade auf einen neuen Computer durchgeführt oder den Serverschlüssel geändert). Auch hier sind MitM-Angriffe über ssh sehr einfach zu erkennen, es sei denn, der Angreifer ist bereits als Root in meinen Arbeitscomputer eingebrochen und hat den privaten Schlüssel auf einen Host kopiert. OR ist bereits in meinen Heimcomputer eingebrochen und hat sich geändert Der öffentliche Schlüssel für meine Arbeitsmaschine, der in ~/.ssh/known_hosts OR aufgezeichnet ist, ist meine erste Verbindung zum Server (und ich habe den Server nicht in meinem known_hosts oder erkenne seinen Host-Fingerabdruck). .

11
dr jimbob

Die Erkennung des MitM-Schemas ist das grundlegende Ziel eines jeden Authentifizierungsprotokolls. Damit das funktioniert, brauchen Sie:

  • Ein sicherer Weg, um die Authentifizierungsinformationen abzurufen (Serverzertifikat, freigegebener Schlüssel, ...)
  • Überprüfen Sie die Authentizität der mit dem Server ausgetauschten Nachricht.

Der Server sollte dasselbe mit dem Client tun. Mit einem symmetrischen Schema sollte dies leicht möglich sein. Wenn Sie asymmetrische Protokolle wie SSL verwenden, müssen Sie:

  • Holen Sie sich das Serverzertifikat und authentifizieren Sie es ordnungsgemäß
  • Kommunizieren Sie mit dem Server über den in dieses Zertifikat eingebetteten öffentlichen Schlüssel, damit niemand die Nachricht entschlüsseln kann
  • Der Server und Sie haben sich auf ein gemeinsames eindeutiges Geheimnis geeinigt, um eine symmetrische Verschlüsselung für zukünftige Verbindungen zu verwenden.
4
M'vy

Nein, Sie können nicht, es gibt viele Möglichkeiten, dies zu tun.

Viele Antworten hier zeigen Ihnen, wie Sie auf bestimmte MITM-Angriffe prüfen, was ich glaube ist nicht der Punkt.

Ein MITM bedeutet nicht, dass der Angreifer versucht, Ihren Datenstrom zu entschlüsseln und Ihnen einen anderen Schlüssel/Fingerabdruck zu präsentieren. Er ist nur ein Knoten zwischen Ihnen und Ihrem Zielhost.

Es gibt viele Möglichkeiten, in eine MITM-Situation zu geraten. Jede kann durch eine ordnungsgemäße Netzwerkadministration verhindert werden. Alle Knoten zwischen Ihnen und Ihrem Zielhost sollten gesichert sein.. Jedes Netzwerk sollte so konzipiert sein, dass es jedem möglichen MITM widersteht, einschließlich des Missbrauchs von Routing-Protokollen, ARP-Spoofing, DNS-Spoofing, der einfachen Installation einer physischen Bridge usw.

Um Sicherheit zu erreichen, sollte es keine Rolle spielen, in einen MITM-Angriff verwickelt zu werden. Sie können sich nicht auf Vertrauen und Glück verlassen und das Internet nicht kontrollieren. Sie müssen davon ausgehen, dass Sie sich in einer feindlichen Umgebung befinden, es sei denn, dies wurde durch eine ordnungsgemäße Prüfung als sicher erwiesen. Durch die Verwendung sicherer Protokolle wie TLS, SSH und möglicherweise IPSec kann Ihr Netzwerk sicherer werden, Ihre Daten authentifizieren und verschlüsseln. Es ist jedoch immer irgendwann anfällig und meistens auf eine Fehlkonfiguration oder einen Fehler im Protokoll/in der Implementierung selbst zurückzuführen.

Kurz gesagt, erkennen Sie MITM nicht, sondern:

  • Sichern Sie Ihr LAN oder bitten Sie jemanden, dies zu tun
  • Richten Sie sichere Tunnelprotokolle ein, um auf sichere entfernte Netzwerke und Systeme zuzugreifen

Das Erkennen von MITM ist möglich, hängt jedoch von Ihrer Verwendung, der Port-Sicherheit für Cisco IOS oder der Verwendung von SNORT auf einer Unix-Box) ab. Sie können möglicherweise keine vollständige Liste erhalten, sie stimmt nur mit einer bestimmten Liste überein Außerdem sind Angreifer immer kreativ genug, um etwas zu finden, an das Sie nicht gedacht haben. Lesen Sie daher meine beiden obigen Ratschläge.

3
Aki

Sie können Ihre ARP-Tabelle überprüfen. Oder schauen Sie sich die gute Website MITM TUTORIALs [ https://toschprod.wordpress.com/2012/03/04/mitm-8-countermeasures/] an, die erklärt im Detail, was ist ein Mann in der Mitte und wie man sie vermeidet. Ich denke, das Lesen des Tutorials gibt Ihnen eine hervorragende Vorstellung davon, was passiert und wie Sie es verhindern und wie Sie es erkennen können.

0
noktec