it-swarm-id.com

Bisakah saya mendeteksi serangan MITM?

Berdasarkan pertanyaan ini di sini: Apakah serangan "man in the middle" sangat jarang?

Apakah mungkin untuk mendeteksi serangan man-in-the-middle, dan jika demikian, bagaimana caranya?

Selain itu, bagaimana jika serangan itu terjadi melalui koneksi ke jaringan lokal, seperti saluran telepon? Apakah ada cara untuk mendeteksinya?

41
TigerCoding

Saat menjelajah, Anda dapat memeriksa setiap saat apakah sertifikat yang disajikan kepada Anda oleh situs web dikeluarkan oleh CA yang sah atau sertifikat palsu yang dikeluarkan oleh beberapa CA yang dipercayai oleh browser Anda. Jelas tidak mungkin melakukannya secara manual. Jadi, ada alat yang melakukannya untuk Anda.

Patrol Cert dan Perspektif adalah plugin browser yang melakukan hal itu. Mereka mencatat nama domain mana yang menjadi masalah dengan CA (mis. Google => Thwate, dll.) Dan banyak parameter lain yang terkait dengan sertifikat dan akan memperingatkan pengguna jika CA berubah OR = jika kunci publik dalam perubahan sertifikat.

Ini jelas bukan deteksi MITM, mereka lebih seperti skema pencegahan dengan mendeteksi bahwa ada yang aneh dengan sertifikat yang disajikan oleh situs web.

Juga saat terhubung ke server SSH, ia meminta sidik jari server. Saya akan terkejut jika klien ssh saya memberi saya sidik jari baru setelah saya sebelumnya terhubung ke server. Kunci Host server akan disimpan ke file known_hosts setelah koneksi pertama, satu-satunya alasan klien meminta saya untuk memvalidasi sidik jari lagi adalah karena server SSH telah memulai kembali/memperbarui OR Saya sedang MITMed.

Paranoia absolut menuntut Anda untuk memanggil admin sistem di telepon dan mengonfirmasi sidik jari dengan membuatnya mengucapkan kuncinya.

27
CodeExpress

Bisakah Anda mendeteksi serangan MitM? Tergantung pada jenis sistem yang diserang dan jenis serangan.

Katakanlah beberapa penyerang canggih telah mendapatkan kendali atas router hulu antara Anda dan internet secara umum dan mengalihkan lalu lintas Anda ke server palsu di bawah kendali mereka untuk MitM (misalnya, menangkap permintaan DNS dan memberikan balasan palsu ke server mereka, atau menggunakan Terjemahan Alamat Jaringan (NAT)).

Sekarang katakanlah Anda pergi ke http://www.facebook.com Dan diarahkan ke halaman login http di bawah kendali penyerang. Diperkirakan penyerang dapat memunculkan halaman yang meniru halaman login facebook, menangkap informasi otentikasi Anda, dan menggunakan informasi itu untuk terhubung ke facebook asli, dan kemudian mengarahkan konten dari facebook asli ke browser Anda. Hal ini dapat dilakukan di dekat yang tampaknya tanpa pengecualian dari tindakan posting bentuk tersembunyi yang tidak https pada halaman login awal. Misalnya, pengaturan Anda adalah untuk selalu menggunakan https untuk facebook, dan Anda pergi ke https://www.facebook.com. Serangan MitM akan mengirim bendera merah ke browser, karena penyerang tidak akan memiliki sertifikat tepercaya untuk facebook.com. Memang, banyak pengguna akan mengabaikan peringatan peramban ini (karena kadang-kadang terjadi karena alasan jinak seperti kunci kedaluwarsa atau situs intranet yang tidak menggunakan kunci yang ditandatangani sendiri). Ini semua berasumsi bahwa penyerang belum berhasil meretas Facebook dan mendapatkan sertifikat pribadi mereka OR kompromi CA (otoritas sertifikat) untuk dapat menghasilkan sertifikat palsu yang dipercaya oleh sebagian besar peramban web OR sebelumnya mengubah browser web Anda sehingga mempercayai/tidak memperingatkan tentang sertifikat yang tidak valid.

Secara umum dengan http hampir tidak mungkin untuk mendeteksi serangan MitM, tetapi dengan https browser Anda akan secara otomatis mendeteksi dan memperingatkan Anda, kecuali jika penyerang telah membahayakan sistem Anda atau sistem di sisi lain. end (termasuk CA sebagai sistem di ujung lainnya).

Contoh berikutnya: ssh. Sekali lagi, gunakan keypairs server privat-publik untuk mengotentikasi komputer. Jadi jika saya sering ssh ke mesin kerja saya dari komputer di rumah, komputer di rumah saya telah mencatat dan mempercayai kunci publik dari mesin kerja saya (yang disimpan dalam file ~/.ssh/known_hosts). Jika serangan MitM dicoba ketika saya terhubung dari mesin rumah saya, ssh akan segera melihat bahwa mesin MitM tidak memiliki kunci pribadi dari mesin kerja saya dan tidak akan membiarkan saya masuk (kecuali saya secara khusus menghapus kunci publik dari daftar known_hosts saya; yang hanya akan saya lakukan jika katakan saya memutakhirkan ke mesin baru atau mengubah kunci server). Sekali lagi, serangan MitM atas ssh sangat mudah dideteksi kecuali penyerang baik telah membobol mesin kerja saya sebagai root dan menyalin kunci pribadi ke Host _ OR sudah membobol mesin rumah saya dan mengubah kunci publik untuk mesin kerja saya yang direkam dalam ~/.ssh/known_hosts OR pertama kali saya terhubung ke server (dan saya tidak memiliki server di known_hosts atau mengenali sidik jari Host-nya).

11
dr jimbob

Deteksi skema MitM adalah tujuan dasar dari setiap protokol otentikasi. Agar berhasil, Anda perlu:

  • Cara aman untuk mendapatkan informasi otentikasi (Sertifikat server, kunci bersama, ...)
  • Verifikasi keaslian pesan yang dipertukarkan dengan server.

Server harus melakukan hal yang sama dengan klien. Dengan skema simetris, itu harus dilakukan dengan mudah. Saat menggunakan protokol asimetris seperti SSL, Anda harus:

  • Dapatkan sertifikat server dan dapat mengautentikasi dengan benar
  • Berkomunikasi dengan server menggunakan kunci publik yang disematkan dalam sertifikat itu, sehingga tidak ada yang bisa mendekripsi pesan tersebut
  • Server dan Anda akan menyetujui rahasia unik bersama untuk menggunakan enkripsi simetris untuk koneksi di masa mendatang.
4
M'vy

Tidak, Anda tidak bisa, ada banyak cara untuk melakukan ini.

Banyak jawaban di sini akan memberi tahu Anda bagaimana periksa untuk serangan MITM tertent, yang saya percaya bukan itu intinya.

MITM tidak berarti penyerang akan mencoba menguraikan aliran data Anda dan memberi Anda kunci/sidik jari yang berbeda. Dia hanya simpul antara Anda dan Host tujuan Anda.

Ada banyak cara untuk masuk ke situasi MITM, masing-masing dapat dicegah dengan administrasi jaringan yang tepat, semua node antara Anda dan Host tujuan Anda harus diamankan. Setiap jaringan harus dirancang untuk menolak setiap kemungkinan MITM, termasuk penyalahgunaan protokol routing, spoofing ARP, spoofing DNS, cukup memasang jembatan fisik, dll.

Untuk mencapai keamanan, tertangkap dalam serangan MITM seharusnya tidak menjadi masalah, Anda tidak dapat mengandalkan kepercayaan dan keberuntungan dan Anda tidak dapat mengontrol internet, Anda harus menganggap Anda berada di lingkungan yang bermusuhan kecuali terbukti aman dengan audit yang tepat. Menggunakan protokol yang aman seperti TLS, SSH dan berpotensi IPSec, dapat membuat jaringan Anda lebih aman, mengotentikasi, dan menyamarkan data Anda. Namun itu selalu rentan di beberapa titik dan sebagian besar waktu itu berasal dari kesalahan konfigurasi atau cacat dalam protokol/implementasi itu sendiri.

Singkatnya, jangan mendeteksi MITM, tetapi sebaliknya:

  • Amankan LAN Anda atau minta seseorang untuk melakukannya
  • Atur protokol tunneling aman untuk mengakses jaringan dan sistem yang jauh yang aman

Mendeteksi MITM dimungkinkan tetapi ini terkait dengan apa yang Anda gunakan, keamanan pelabuhan untuk Cisco IOS atau hanya menggunakan SNORT pada kotak Unix mana pun. Anda tidak mungkin mendapatkan daftar lengkap, hanya cocok dengan yang diberikan situasi dan selain itu, penyerang selalu cukup kreatif untuk menemukan sesuatu yang tidak Anda pikirkan, jadi lihat 2 saran saya di atas.

3
Aki

Anda dapat memeriksa tabel ARP Anda. Atau Anda dapat melihat situs web yang bagus MITM TUTORIALs [ https://toschprod.wordpress.com/2012/03/04/mitm-8-countermeasures/] yang menjelaskan secara mendalam apa yang dimaksud pria di tengah dan bagaimana cara menghindarinya. Saya kira membaca tutorialnya akan memberi Anda ide yang bagus tentang apa yang terjadi dan bagaimana mencegahnya, serta cara mendeteksi mereka.

0
noktec