In che modo l'accesso al NAS ospite non consente di mitigare l'attacco MitM?

0

Circa un anno fa, Microsoft ha disabilitato l'accesso ospite ai dispositivi NAS in Windows 10. Come sito web della community spiega, questo è stato fatto per ragioni di sicurezza:

While the server may be fine not distinguishing among clients for files [...], this can actually put you at risk elsewhere. Without an account and password, the client doesn't end up with a secure connection to the server. A malicious server can put itself in the middle (also known as the Man-In-The-Middle attack), and trick the client into sending files or accepting malicious data.

Devo ammettere che non capisco questo argomento. Quanto è difficile creare un server malevolo che accetta qualsiasi nome utente / password? Sembra che questa spiegazione sia minimizzata al punto da non spiegare nulla. Qualcuno potrebbe spiegare come disabilitare l'accesso ospite impedisce gli attacchi MitM in questo caso?

    
posta Dmitry Grigoryev 24.01.2017 - 17:40
fonte

1 risposta

2

Considera il seguente scenario:

  1. Imposta la tua casella NAS a casa con accesso ospite.
  2. Hai configurato il tuo laptop per connetterti alla scatola NAS con accesso ospite.
  3. Configura il tuo programma di backup per eseguire il backup dei dati nella casella NAS.
  4. Porta il tuo laptop in un bar e unisciti al WiFi gratuito.
  5. Un utente malintenzionato crea una casella NAS sulla rete della caffetteria.
  6. Il tuo laptop pensa che questa sia la tua casella NAS di casa, che si connetta ad essa con successo usando l'accesso ospite e che esegue il backup dei dati nella casella NAS dell'utente malintenzionato.

L'utente malintenzionato ora dispone di un backup del sistema, incluse immagini, documenti, ecc. Disabilitando l'accesso ospite, si impedisce al laptop di connettersi e effettuare il backup con successo.

Questa correzione per la sicurezza è una patch che ora richiede che tutte le connessioni siano "autenticate". Per la maggior parte degli utenti domestici di Windows, ciò significa che devono impostare un Gruppo Home . L'attaccante della caffetteria non può creare una scatola NAS contraffatta che possa ingannare il tuo computer, perché non conosce la password del tuo Gruppo Home.

Gruppo Home utilizza SMB per autenticare reciprocamente i peer e SMB utilizza un protocollo challenge / response per garantire che le password non vengano mai inviate tramite la rete. Invece, challenge / response usa la matematica per dimostrare che il client conosce la password senza effettivamente inviare la vera password.

    
risposta data 24.01.2017 - 18:02
fonte

Leggi altre domande sui tag