Frage:
Kann ich einen MITM-Angriff erkennen?
TigerCoding
2012-02-23 18:07:57 UTC
view on stackexchange narkive permalink

Basierend auf dieser Frage hier: Sind "Man in the Middle" -Angriffe äußerst selten?

Ist es möglich, Man-in-the-Middle-Angriffe zu erkennen, und wenn Wie würde man also vorgehen?

Was ist außerdem, wenn der Angriff über eine Verbindung mit dem lokalen Netzwerk, z. B. Telefonleitungen, erfolgt? Gibt es eine Möglichkeit, dies zu erkennen?

Eine ausgezeichnete Antwort würde alle Methoden berühren, die in dieser Antwort enthalten sind: http://serverfault.com/a/153065/3139
Sechs antworten:
CodeExpress
2012-02-23 21:54:44 UTC
view on stackexchange narkive permalink

Beim Surfen können Sie jedes Mal überprüfen, ob das Zertifikat, das Ihnen von der Website präsentiert wird, von einer legitimen Zertifizierungsstelle ausgestellt wurde oder ein gefälschtes Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, der Ihr Browser vertraut. Offensichtlich ist es nicht möglich, dies manuell zu tun. Es gibt also Tools, die dies für Sie erledigen.

Cert Patrol und Perspective sind Browser-Plugins, die im Wesentlichen dies tun. Sie notieren, welche Domainnamen Probleme mit welchen Zertifizierungsstellen (z. B. Google => Thwate usw.) und vielen anderen Parametern im Zusammenhang mit den Zertifikaten sind, und alarmieren den Benutzer, wenn sich entweder die Zertifizierungsstelle ändert oder wenn sich der öffentliche Schlüssel im Zertifikat ändert .

Dies ist offensichtlich keine Erkennung von MITM, sondern eher ein Präventionsschema, bei dem festgestellt wird, dass das von der Website präsentierte Zertifikat etwas Seltsames ist.

Auch während der Verbindung zu einem SSH-Server Es wird nach dem Server-Fingerabdruck gefragt. Ich wäre alarmiert, wenn mein SSH-Client mir einen neuen Fingerabdruck präsentiert, nachdem ich zuvor eine Verbindung zu einem Server hergestellt habe. Der Server-Host-Schlüssel wird nach der ersten Verbindung in der Datei "unknown_hosts" gespeichert. Der einzige Grund, warum der Client mich auffordert, den Fingerabdruck erneut zu überprüfen, besteht darin, dass entweder der SSH-Server neu gestartet / aktualisiert wurde oder ich MITMed bin.

Absolute Paranoia fordert Sie auf, den Systemadministrator am Telefon anzurufen und den Fingerabdruck zu bestätigen, indem Sie ihn dazu bringen, den Schlüssel zu sprechen.

Warum macht es einen Unterschied, wer den Fingerabdruck liest, wenn ich den "Mann in der Mitte" nenne? Sicher ist er in der Lage, mir den Fingerabdruck seines eigenen schlechten Gastgebers zu sagen.
Ich habe Perspective hier als unbrauchbar erwiesen: http://security.stackexchange.com/questions/12081/ssl-fingerprint-inconsistency-what-does-it-mean
* setzt Zinnfolienhut auf * Wie können Sie bestätigen, dass der Mann, mit dem Sie sprechen, kein MITM ist, der Ihre Telefonleitung angreift oder / und einen IMSI-Catcher für MITM Ihres Mobiltelefons bereitstellt, zusätzlich zu MITM, das Ihre Internetverbindung angreift??
@Aron Das kannst du nicht.Es ist jedoch anzumerken, dass es ein ziemlich spektakulärer (und verzweifelter) Angriff sein muss, wenn ein Angreifer Ihre Internetverbindung erfolgreich MITMT, sowie auf der Website des Unternehmens (wo Sie die schlechte Telefonnummer oder den Systemadministrator angegeben haben) oder MITMsIhre Telefonverbindung.Ich würde niemals in einer solchen Situation sein wollen;)
dr jimbob
2012-02-23 21:35:24 UTC
view on stackexchange narkive permalink

Können Sie einen MitM-Angriff erkennen? Hängt von der Art des angegriffenen Systems und der Art des Angriffs ab.

Angenommen, ein hoch entwickelter Angreifer hat die Kontrolle über einen Router zwischen Ihnen und dem Internet im Allgemeinen erlangt und leitet Ihren Datenverkehr an gefälschte Server weiter, für die er die Kontrolle hat Ein MitM (z. B. erfasst DNS-Anforderungen und gibt falsche Antworten an ihre Server oder verwendet Network Address Translation (NAT)).

Nehmen wir nun an, Sie gehen zu http: //www.facebook. com und werden zu einer http -Anmeldeseite geleitet, die der Kontrolle des Angreifers unterliegt. Vorhersehbar könnte der Angreifer eine Seite aufrufen, die die Anmeldeseite von Facebook nachahmt, Ihre Authentifizierungsinformationen erfasst und diese Informationen verwendet, um eine Verbindung zum echten Facebook herzustellen, und dann den Inhalt vom echten Facebook zu Ihrem Browser weiterleiten. Dies kann nahezu nahtlos erfolgen, mit der Ausnahme, dass die versteckte Formularpostaktion auf der ersten Anmeldeseite nicht https lautet. Angenommen, Ihre Einstellungen lauten stattdessen immer https für Facebook, und Sie haben https://www.facebook.com aufgerufen. Der MitM-Angriff würde rote Fahnen an den Browser senden, da der Angreifer kein vertrauenswürdiges Zertifikat für facebook.com hat. Zugegeben, viele Benutzer ignorieren diese Browser-Warnungen (da sie manchmal aus harmlosen Gründen auftreten, z. B. aufgrund eines abgelaufenen Schlüssels oder einer Intranetsite, die keinen selbstsignierten Schlüssel verwendet). Dies alles ging davon aus, dass der Angreifer es nicht zusätzlich geschafft hat, sich in Facebook zu hacken und seine privaten Zertifikate zu erhalten ODER eine Zertifizierungsstelle (Zertifizierungsstelle) zu gefährden, um falsche Zertifikate zu generieren, denen die meisten Webbrowser vertrauen, ODER Ihren Webbrowser zuvor so zu ändern, dass er vertraut / nicht warnen nicht vor ungültigen Zertifikaten.

Im Allgemeinen ist es mit http nahezu unmöglich, MitM-Angriffe zu erkennen. Mit https sollte Ihr Browser Sie jedoch automatisch erkennen und warnen, es sei denn, der Angreifer hat Ihre bereits gefährdet System oder das System am anderen Ende (einschließlich der Zertifizierungsstelle als System am anderen Ende).

Nächstes Beispiel: ssh . Verwendet wiederum privat-öffentliche Server-Schlüsselpaare zur Authentifizierung von Computern. Wenn ich also häufig von meinem Heimcomputer aus in meine Arbeitsmaschine ssh, hat mein Heimcomputer den öffentlichen Schlüssel meiner Arbeitsmaschine aufgezeichnet und ihm vertraut (der in einer Datei ~ / .ssh / unknown_hosts gespeichert ist). Wenn ein MitM-Angriff versucht wurde, während ich von meinem Heimcomputer aus eine Verbindung herstellte, bemerkte ssh sofort, dass der MitM-Computer nicht über den privaten Schlüssel meines Arbeitscomputers verfügte, und ließ mich nicht anmelden (es sei denn, ich habe dies ausdrücklich angegeben) hat den öffentlichen Schlüssel aus meiner Liste bekannte_Hosts entfernt (was ich nur tun würde, wenn ich sagen würde, ich hätte auf einen neuen Computer aktualisiert oder den Serverschlüssel geändert). Auch hier sind MitM-Angriffe über ssh sehr einfach zu erkennen, es sei denn, der Angreifer ist entweder bereits als Root in meinen Arbeitscomputer eingebrochen und hat den privaten Schlüssel auf seinen Host kopiert, oder er ist bereits in meinen Heimcomputer eingebrochen und hat die Öffentlichkeit geändert Schlüssel für meine Arbeitsmaschine, aufgezeichnet in ~ / .ssh / unknown_hosts ODER es ist meine erste Verbindung zum Server (und ich habe den Server nicht in meinen bekannten_Hosts oder erkenne ihn Host-Fingerabdruck).

M'vy
2012-02-23 20:46:12 UTC
view on stackexchange narkive permalink

Die Erkennung des MitM-Schemas ist das grundlegende Ziel eines jeden Authentifizierungsprotokolls. Damit dies funktioniert, benötigen Sie:

  • Eine sichere Methode zum Abrufen der Authentifizierungsinformationen (Serverzertifikat, freigegebener Schlüssel, ...)
  • Überprüfen Sie die Authentizität der ausgetauschten Nachricht mit dem Server.

Der Server sollte dasselbe mit dem Client tun. Mit einem symmetrischen Schema sollte dies leicht möglich sein. Wenn Sie asymmetrische Protokolle wie SSL verwenden, müssen Sie:

  • das Serverzertifikat abrufen und es ordnungsgemäß authentifizieren können
  • Mit dem darin eingebetteten öffentlichen Schlüssel mit dem Server kommunizieren Zertifikat, damit niemand die Nachricht entschlüsseln kann
  • Der Server und Sie haben sich auf ein gemeinsames eindeutiges Geheimnis geeinigt, um eine symmetrische Verschlüsselung für zukünftige Verbindungen zu verwenden.
Aki
2012-02-24 13:10:06 UTC
view on stackexchange narkive permalink

Nein , das können Sie nicht. Es gibt viele Möglichkeiten, dies zu tun.

In vielen Antworten erfahren Sie, wie Sie nach bestimmten MITM-Angriffen suchen , was meiner Meinung nach nicht der Punkt ist.

Ein MITM bedeutet nicht, dass der Angreifer versucht, Ihren Datenstrom zu entschlüsseln und Ihnen einen anderen Schlüssel / Fingerabdruck zu präsentieren. Er ist nur ein Knoten zwischen Ihnen und Ihrem Zielhost.

Es gibt viele Möglichkeiten, in eine MITM-Situation zu gelangen. Jede kann durch eine ordnungsgemäße Netzwerkadministration verhindert werden. Alle Knoten zwischen Ihnen und Ihrem Ziel Host sollte gesichert sein . Jedes Netzwerk sollte so konzipiert sein, dass es jedem möglichen MITM widersteht, einschließlich des Missbrauchs von Routing-Protokollen, ARP-Spoofing, DNS-Spoofing, der einfachen Installation einer physischen Bridge usw.

Um Sicherheit zu erreichen, wird es in einen MITM-Angriff verwickelt Sollte dies keine Rolle spielen, können Sie sich nicht auf Vertrauen und Glück verlassen und das Internet nicht kontrollieren. Sie müssen davon ausgehen, dass Sie sich in einer feindlichen Umgebung befinden, es sei denn, dies wurde durch eine ordnungsgemäße Prüfung als sicher erwiesen Netzwerk sicherer, authentifizieren und verschlüsseln Sie Ihre Daten. Es ist jedoch immer irgendwann anfällig und meistens auf eine Fehlkonfiguration oder einen Fehler im Protokoll / in der Implementierung selbst zurückzuführen.

Kurz gesagt, erkennen Sie MITM nicht, sondern:

  • Sichern Sie Ihr LAN oder bitten Sie jemanden, dies zu tun.
  • Richten Sie sichere Tunnelprotokolle ein, um auf sichere entfernte Netzwerke und Systeme zuzugreifen.

Die Erkennung von MITM ist möglich Aber es hängt damit zusammen, was Sie verwenden, die Port-Sicherheit für CISCO IOS oder einfach die Verwendung von SNORT auf einer Unix-Box. Sie können unmöglich eine vollständige Liste erhalten, sie passt einfach zu einer bestimmten Situation und außerdem sind Angreifer immer kreativ genug, um etwas zu finden, an das Sie nicht gedacht haben. Lesen Sie daher meine beiden obigen Ratschläge.

"Nein, das kannst du nicht, es gibt viele Möglichkeiten, das zu tun." Das ist eine schlechte Formulierung.Du widersprichst dir.
Aki meinte wahrscheinlich "Sie können MITM nicht erkennen, es gibt viele Möglichkeiten [zu MITM]."Es ist kein Widerspruch.
Es ist einfach völlig falsch: Es gibt viele Möglichkeiten, einen MITM-Angriff zu erkennen (Zertifikatfehler, fehlerhaft injiziertes JS, unerwartete Anforderungen für einen Host / eine URL, die / der nie an anderer Stelle veröffentlicht wurde usw.).Die richtige Formulierung wäre "Sie können einen unzureichend verstohlenen Angreifer erkennen".
noktec
2012-02-23 20:01:09 UTC
view on stackexchange narkive permalink

Sie können Ihre ARP-Tabelle überprüfen. Oder Sie können sich die gute Website MITM TUTORIALs [ https://toschprod.wordpress.com/2012/03/04/mitm-8-countermeasures/] ansehen, die erklärt im Detail, was ist ein Mann in der Mitte und wie man sie vermeidet. Ich denke, das Lesen seines Tutorials gibt Ihnen eine ausgezeichnete Vorstellung davon, was passiert und wie man es verhindert und wie man sie erkennt.

Ich habe alle 6 seiner Seiten über MITM-Angriffe durchgesehen, und es scheint im Grunde ein Tutorial zu sein, wie man sie macht. Ich konnte keine Informationen darüber finden, wie ich erkennen kann, wann es passiert. Bisher habe ich nur http://nakkaya.com/mocha.html gefunden und bin mir nicht sicher, ob das eine gute Lösung ist oder nicht.
Ich habe gerade nachgesehen! und du hast recht ... er hat den anderen Teil bewegt. Ich werde versuchen, es woanders zu finden!
Kristiyan
2017-01-28 21:00:50 UTC
view on stackexchange narkive permalink

Gehen Sie zum CMD und geben Sie arp -a ein. Wenn die MAC-Adresse des Routers mit jedem anderen Knoten (Gerät) identisch ist, ist dieses Gerät der "MAN in der Mitte". So einfach.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...