Sto imparando alcuni concetti di sicurezza della rete e ho la seguente domanda:
Un caso di attacco di intercettazione è che un avversario si posiziona in qualche modo all'interno di una rete per ordinare il traffico di comunicazione tra due host. Nel caso, come potrebbe l'avversario posizionarsi all'interno di questa rete senza essere osservato dai sistemi di rilevamento di intrusi o da qualsiasi tipo di sistema di rilevamento?
Le possibilità di come questo può accadere sono molteplici. Un utente malintenzionato dovrà controllare un singolo computer all'interno o all'esterno della rete. A seconda della rete, potrebbe essere possibile annusare parti significative del traffico. È difficile per rilevare gli sniffer di rete passivi. Un IDS potrebbe rilevare tentativi di estrarre i dati sniffati, ma i dettagli di ciò che viene rilevato o meno sono altamente specifici per l'ID utilizzato.
Inoltre, se l'attaccante riesce a posizionarsi in una posizione privilegiata appena al di fuori dei sistemi protetti da IDS, sarà fondamentalmente irrilevabile.
Per capire meglio come potrebbe funzionare, ecco un esempio poco incline di intercettazione passiva: immagina un data center dove chiunque può affittare un posto per il proprio server. Supponiamo ora che la rete non sia stata configurata correttamente, e che il traffico sia stato inviato in modo casuale alle macchine sbagliate (sì, ciò accade). Quei pacchetti potrebbero essere annusati da altri server nel data center; nessun IDS rileverà questo tipo di intercettazioni poiché è fatto al di fuori della responsabilità dell'IDS. L'utente malintenzionato non sarebbe in grado di vedere il traffico tutto verso e dal suo target, ma i dati sensibili potrebbero essere rilevati a prescindere.
Questo non è possibile. Se un avversario cattura una macchina nella rete, un software può ascoltare su qualsiasi traffico del dispositivo di rete di quella macchina. Quindi, tutto il traffico da e verso quella macchina è compromesso.
Se un avversario può piazzare una nuova macchina sotto il suo controllo sulla rete, è comunque in grado di afferrare il traffico che attraversa in qualche modo la scheda di rete di quel dispositivo. Interagire con la rete in qualsiasi modo può rivelare l'attacco a un rilevatore di intrusione, quindi l'interazione con la rete non è un'opzione.
Con l'ascolto puro ci sono due casi:
1. viene usato un hub
Poiché gli hub trasmettono semplicemente tutti i pacchetti, tutto il traffico che attraversa gli hub a cui è collegato un avversario è compromesso.
2. un interruttore è usato
Gli switch non trasmettono il traffico. In questo caso, un avversario non può afferrare alcun traffico senza interagire con la rete (cosa potrebbe rivelare l'attacco). Questo è il motivo per cui gli switch vengono utilizzati nella maggior parte dei casi in cui la sicurezza non svolge alcun ruolo.
Se l'hub / switch / router nella rete può essere controllato da un utente malintenzionato, tutti i dati che attraversano tale hub sono compromessi, ovviamente. A seconda delle dimensioni e dell'infrastruttura di quella rete, molti dati sensibili potrebbero essere compromessi in questo modo.
TL; DR: su reti moderne che trasportano informazioni sensibili, questo è impossibile.
P.S .: Intrusion Detection è anche solo un software. E il software ha dei bug. Quindi, conoscere quale firewall / software di rilevamento è utilizzato nella rete di destinazione consentirà alcuni modi per interagire con la rete. Il traffico che può essere compromesso in questo caso è imprevedibile. Lo stesso vale per l'acquisizione di un nodo di rete (hub / switch / router): se ciò può essere fatto senza rilevamento, un utente malintenzionato avrà accesso a un'ampia scala di dati su tale rete.
Leggi altre domande sui tag attack-prevention packet ids