Sono su una rete WiFi con un router SonicWall (suppongo che questo sia fornito con un IDS).
Se qualcuno sulla mia rete lancia un attacco MiTM su di me, l'amministratore di rete sarà in grado di rilevarlo?
Un IDS / IPS / Network Firewall previene un simile attacco?
O devo essere vigile e proteggermi da un simile attacco?
Dipende dalla posizione dell'IDS relativa alla rete e dalle capacità dell'IDS.
Gli attacchi di spoofing ARP o DHCP vengono eseguiti all'interno della rete locale. Dall'esterno di questa rete non sembrano diversi dalle normali connessioni. Pertanto, al fine di rilevare tali attacchi, l'IDS deve trovarsi all'interno della stessa rete in cui si verifica l'attacco. Gli attacchi di spoofing ARP e DHCP possono talvolta essere già prevenuti da router migliori senza bisogno di un IDS.
Lo spoofing del DNS può essere effettuato all'interno o all'esterno della rete. Se l'attacco avviene all'interno, un IDS al di fuori della rete non sarà in grado di rilevare questo attacco, anche se in teoria potrebbe rilevare alcuni risultati dell'attacco. Su tali risultati potrebbe essere il tentativo di accedere a un server Web specifico sull'indirizzo IP sbagliato che potrebbe essere rilevato confrontando l'intestazione dell'Host nella richiesta con l'indirizzo IP di destinazione.
Se lo spoofing del DNS viene eseguito dall'esterno della rete protetta dall'IDS, l'IDS potrebbe essere in grado di rilevare tali attacchi, a seconda di quanto sono sofisticati.
Oltre ai limiti teorici su quali tipi di attacchi possono essere attaccati a causa della posizione dell'IDS nella rete, ci sono limiti pratici sulle capacità di rilevazione che dipendono dal tipo di IDS, dalla specifica configurazione ecc. Quindi anche se attacchi potrebbe in teoria essere rilevato, un IDS specifico con una configurazione specifica potrebbe non essere in grado di farlo.
Leggi altre domande sui tag wifi network router firewalls man-in-the-middle