Mitigazione contro MITM a Starbucks

2

Il WiFi pubblico gratuito, ad esempio Starbucks, è conveniente. Mi chiedo se c'è un modo per verificare che un laptop sia connesso al router wireless Starbucks e non a un uomo nel mezzo che ha ingannato il mio laptop usando lo spoofing ARP.

Potrei usare Starbucks WiFi per connettermi a una VPN aziendale. Avrebbe senso fare una rapida acquisizione di banner e una scansione delle porte comune del mio gateway predefinito per vedere se qualcosa sembra strano prima di provare a connettermi alla VPN aziendale? Starbucks utilizza un indirizzo IP di rete privata RFC 1918 coerente per il router?

Per questa domanda supponi che il cattivo abbia fatto i compiti.

-Il mio portatile riceve una parodia ARP prima che io sia in grado di connettermi alla mia VPN.

L'uomo al centro ha un certificato di una CA attendibile. link

    
posta user584583 19.03.2015 - 23:42
fonte

3 risposte

2

Ci sono alcuni modi che puoi rilevare se sei vittima di un attacco MITM, in cui l'attaccante ha la capacità di deviare il traffico e / o di creare certificati fasulli da una CA attendibile.

Nel caso in cui ci si connetta a un host a cui si è precedentemente collegato, è possibile utilizzare il blocco dei certificati. Con il blocco dei certificati, il client memorizza il certificato precedentemente utilizzato dall'host e avvisa l'utente se il certificato è stato modificato. Questo è il modo in cui le persone in Iran hanno scoperto l'attacco MITM che il governo iraniano stava conducendo nel 2011 contro i cittadini iraniani, usando certificati rilasciati dal CA Diginotar, che era stato compromesso. Vedi link

Un altro modo per rilevare un falso certificato servito da un aggressore MITM è utilizzare un servizio come Perspectives ( link ) o Convergence (< a href="http://convergence.io/"> link ). Questi servizi funzionano creando un gruppo distribuito fidato di peer, o "notai" che lavorano insieme per verificare che ogni peer stia vedendo lo stesso certificato per un determinato host e che le connessioni tra peer vengano eseguite tramite PKE utilizzando chiavi pre-condivise.

    
risposta data 22.03.2015 - 12:49
fonte
2

Non proprio, no.

In primo luogo, alcuni termini. Lei parla dello spoofing ARP; questo non è qualcosa che puoi rilevare a livello IP. ARP è ciò che ti dice quale indirizzo MAC indirizzare i tuoi frame per inviarli ad un dato IP; Lo spoofing ARP significa che si pensa di inviarli all'IP corretto, ma il dispositivo li indirizza all'utente malintenzionato sul livello MAC. Questo può, tuttavia, essere rilevato dal software che monitora il traffico ARP (prestando attenzione agli aggiornamenti ARP e notando quando qualcuno ne invia uno che sembra in conflitto con un aggiornamento precedente).

La difesa per un attacco MitM su un VPN basato su TLS è certificati (altri usano segreti condivisi). Qualcuno con un certificato forgiato è andato ben oltre la fase "fatto i compiti", nella fase "questo è un attaccante serio con capacità serie". Affidarsi a cose che non sono progettate per fermare un MitM in alcun modo e sono facilmente replicabili (come un indirizzo RFC 1918 o l'elenco di porte aperte) non è probabile che funzioni. Se il cattivo ha le capacità che la tua domanda implica, può semplicemente inoltrare tutti i pacchetti sul router invariato tranne per quelli con cui vogliono fare confusione. Non è possibile rilevarlo, ad eccezione della verifica della chiave pubblica del certificato VPN rispetto a un valore noto, o del rilevamento dello spoofing ARP in primo luogo.

Ci sono altre cose che un utente malintenzionato potrebbe fare; per esempio, potevano creare un AP rogue collegato a quello reale. Ciò non implica lo spoofing ARP e non può essere rilevato a livello IP. Non è poi così difficile.

In sostanza: ci sono modi per fare un attacco MitM. Per evitare ciò, sono stati inventati i certificati; il punto di un certificato su una VPN è prevenire gli attacchi MitM. Stai chiedendo come evitare un MitM mentre presumi che la cosa progettata per quello scopo sia stata compromessa.

    
risposta data 20.03.2015 - 00:22
fonte
1

XArp può essere utilizzato per il rilevamento di attacchi arp. Puoi anche usare wireshark per analizzare il flusso di traffico attraverso il tuo dispositivo o osservare le tabelle arp per rilevare lo spoof dell'arp!

    
risposta data 17.07.2017 - 15:00
fonte