MITM 공격-얼마나 가능성이 있습니까?

인터넷 보안에서 "중간자"공격이 발생할 가능성은 얼마나됩니까?

ISP 서버를 제외하고 인터넷 통신의 "중간"에있는 실제 시스템은 무엇입니까?

이론적 위험과 반대로 MITM 공격과 관련된 실제 위험 은 무엇입니까 ?

편집 : 나는이 질문에 무선 액세스 포인트에 관심이 없습니다. 물론 보안이 필요하지만 이것은 분명합니다. 무선 액세스 포인트는 모든 사람이들을 수 있도록 통신이 방송된다는 점에서 독특합니다. 일반 유선 인터넷 통신은 대상으로 라우팅됩니다. 경로의 시스템 만 트래픽을 볼 수 있습니다.

먼저 Border Gateway Protocol에 대해 이야기 해 봅시다 . 인터넷은 AS (Autonomous Systems)로 알려진 수천 개의 엔드 포인트로 구성되며 BGP (Border Gateway Protocol)라는 프로토콜로 데이터를 라우팅합니다. 최근에 BGP 라우팅 테이블의 크기가 기하 급수적으로 증가하여 10 만 개가 넘는 항목이 무너졌습니다. 라우팅 하드웨어의 전력이 증가하더라도 BGP 라우팅 테이블의 크기는 계속 커질 수 있습니다.

MITM 시나리오에서 까다로운 부분은 BGP가 다른 자율 시스템이 제공하는 경로를 암시 적으로 신뢰한다는 것입니다. 즉, AS에서 스팸을 충분히 보내면 모든 경로가 임의의 자치 시스템으로 이어질 수 있습니다. MITM 트래픽에 대한 가장 확실한 방법이며 이론적 인 것은 아닙니다. Defcon 보안 컨벤션 사이트는 공격을 시연하기 위해 2007 년 보안 연구원의 웹 사이트로 리디렉션되었습니다. 파키스탄이이 사이트를 검열하고 실수로 자신의 (죽은) 경로를 파키스탄 이외의 여러 AS에게 최고라고 선언했을 때 여러 아시아 국가에서 유튜브가 다운되었습니다.

소수의 학계 그룹 이 협력 AS로부터 BGP 라우팅 정보 를 수집하여 트래픽 경로를 변경하는 BGP 업데이트를 모니터링합니다. 그러나 상황이 없으면 합법적 인 변경을 악의적 인 하이재킹과 구별하는 것이 어려울 수 있습니다. 자연 재해, 회사 합병 등에 대처하기 위해 항상 교통 경로가 변경됩니다.

다음으로 'Global MITM Attack Vectors (글로벌 MITM 공격 경로)'목록에서 논의 할 도메인 이름 시스템 (DNS)입니다.

ISC의 Fine DNS 서버 BIND 는 오랜 시간 동안 테스트를 거쳤으며 Microsoft 및 Cisco의 DNS 서비스와 같이 상대적으로 무질서한 것으로 나타 났지만, 인터넷에서 표준 이름을 사용하여 모든 트래픽을 위험에 빠뜨릴 수있는 몇 가지 주목할만한 취약점이 발견되었습니다 (실제로 모든 교통).

나는 DNS 캐시 중독 공격에 대한 Dan Kaminsky의 연구 에 대해 논의하지 않을 것 입니다. 그러나 인터넷 보안을 심각하게 손상시킨 몇 가지 다른 DNS 버그가 있습니다.

동적 업데이트 영역 버그로 인해 DNS 서버가 충돌하여 컴퓨터와 DNS 캐시를 원격으로 손상시킬 수 있습니다.

Transaction Signatures Bug 는 취약점이 발표 될 때 BIND를 실행하는 모든 서버의 완전한 원격 루트 손상을 허용하여 명백하게 DNS 항목이 손상 될 수 있도록했습니다.

마지막으로 , 우리가 논의해야한다 ARP 중독 , 802.11q 되돌아 , STP-트렁크 하이재킹 , RIPv1 라우팅 정보 주입 및 OSPF 네트워크에 대한 공격의 늪.

이러한 공격은 독립적 인 회사의 네트워크 관리자에게 '가족'입니다 (당연히 그들이 통제 할 수있는 공격을 고려할 때). 기본 정보 보안 또는 TCP에 익숙한 모든 사람이 ARP 중독을 알게되었으므로 이러한 각 공격의 기술적 세부 사항을 논의하는 것은이 단계에서 약간 지루합니다. 다른 공격은 많은 네트워크 관리자 나 서버 보안 전문가에게 친숙한 얼굴 일 것입니다. 이것이 우려되는 경우 Snort 와 같은 무료 및 오픈 소스 유틸리티 에서 Cisco 및 HP 의 엔터프라이즈 급 소프트웨어에 이르기까지 매우 훌륭한 네트워크 방어 유틸리티가 많이 있습니다.. 또는, 많은 정보가 담긴 책들이이 주제에 대해 다루기에는 너무 많지만 네트워크 보안을 추구하는 데 도움이 된 것으로 밝혀진 몇 가지 네트워크 보안 모니터링 , 네트워크 보안 아키텍처 및 고전적인 네트워크 전사 등이 있습니다.

어쨌든 사람들은 이러한 종류의 공격에 ISP 또는 정부 수준의 액세스가 필요하다고 가정하는 것이 다소 혼란 스럽습니다. 네트워킹 지식과 적절한 도구 (정확히 이론적 인 도구가 아닌 HPING 및 Netcat)에서 CCIE의 평균 이상을 요구하지 않습니다. 보안을 유지하려면주의하십시오.

다음은 MITM 시나리오 중 하나입니다.

호텔에 큰 컨벤션이 있다고 가정 해 봅시다. ACME Anvils와 훌륭한 TNT는 만화 위험 산업의 주요 경쟁 업체입니다. 그들의 제품, 특히 개발에 새로운 제품에 관심이있는 사람은 계획을 세우는 것을 진지하게 좋아할 것입니다. 우리는 그의 사생활을 보호하기 위해 그를 WC라고 부를 것입니다.

WC는 Famous Hotel에서 시간을 내기 위해 일찍 체크인합니다. 그는 호텔에 FamousHotel-5를 통해 FamousHotel-1이라는 Wi-Fi 액세스 포인트가 있음을 발견했습니다. 그래서 그는 액세스 포인트를 설정하고 그것을 FamousHotel-6이라고 부릅니다.

이제 컨벤션 담당자가 체크인하기 시작합니다. 두 회사의 가장 큰 고객 중 하나 인 RR이라고 부르고 체크인하고 WC 근처에 방을 가져옵니다. 그는 랩톱을 설치하고 공급 업체와 전자 메일을 교환하기 시작합니다.

화장실이 미치게 맞붙고있다! "나의 사악한 계획이 효과가있다!"고 그는 소리 쳤다. 팔! 추락! 동시에 그는 모루와 TNT 묶음에 맞았습니다. ACME Anvils, Terrific TNT, RR 및 Famous Hotel의 보안 팀이이 공격을 예상하여 함께 협력 한 것 같습니다.

삐 소리!

편집하다:

적시성 ^* : 여행 팁 : 공항 Wi-Fi "허니팟"에주의하십시오

^{* 글쎄, 그것은 내 RSS 피드에 방금 나타났습니다.}

그것은 전적으로 상황에 달려 있습니다. ISP를 얼마나 신뢰하십니까? ISP의 구성에 대해 얼마나 알고 있습니까? 자신의 설정은 얼마나 안전합니까?

이와 같은 대부분의 "공격"은 파일의 키 입력 및 암호를 가로채는 트로이 목마 맬웨어 일 가능성이 높습니다. 그다지 눈에 띄지 않거나보고되지 않는 것만으로도 항상 일어납니다.

그리고 ISP 수준에서 정보가 얼마나 자주 유출됩니까? 소규모 ISP를 위해 일할 때 우리는 더 높은 계층의 액세스를 재판매했습니다. 그래서 우리에게 전화를 건 사람이 우리 네트워크에 들어 왔고, 만약 당신이 우리의 웹 서버 나 메일 서버와 대화하지 않았다면, 트래픽은 더 높은 계층의 공급자에게갔습니다. 또는 관리자가 얼마나 신뢰할 만한지.

누군가가 "잠재적으로"트래픽이 추적 경로를 볼 수있는 지점 수를 알고 싶다면 각 라우팅 포인트에서 응답 할 수있는 지점 수를 볼 수 있습니다. 그것은 클로킹 된 장치가 그 사이에 있지 않다고 가정합니다. 그리고 이러한 장치는 각각 라우터이며 라우터로 위장한 것은 아닙니다.

문제는 공격이 얼마나 널리 퍼져 있는지 알 수 없다는 것입니다. 신용 정보가 손상되지 않는 한 회사 가 발견 한 공격을 공개 해야 한다는 규정 은 없습니다. 대부분의 회사는 창피하거나 일이 너무 많아서하지 않습니다. 멀웨어의 양이 멀어지면 생각보다 훨씬 더 널리 퍼져있을 수 있으며, 심지어 그 열쇠는 공격 을 발견 하는 것입니다. 맬웨어가 제대로 작동하면 대부분의 사용자는 언제 발생하는지 알 수 없습니다. 그리고 실제 사람-가져 오기 및 스 누프-트래픽-제공자-제공자 시나리오는 회사가 필요하지 않은 한보고하지 않는 시나리오입니다.

물론 이들은 회사가 귀하의 트래픽을 기록하고 귀하에게 알리지 않고 정부 기관에 공개해야하는 시나리오를 무시합니다. 미국에 거주하는 경우 Patriot Act 덕분에 도서관과 ISP는 정보를 수집하고 있음을 알리지 않고 데이터 여행 및 이메일 및 인터넷 사용 기록을 기록 할 수 있습니다.

다시 말해, 일반적인 MITM 및 가로 채기 공격이 사용자에게 어떤 영향을 미치는지에 대한 확실한 데이터는 없지만, 그것이 편안 할 것보다 높음을 암시하는 증거가 있다는 것입니다.

실제 질문은 "다른 곳이 아닌 MITM 공격에 얼마나 많은 제한된 자원을 제공해야합니까?"입니다.

이것은 관련된 통신의 특성에 따라 다르며 단일 답변이 없습니다. 내 경험상 그것은 다른 보안 위험에 비해 큰 위험은 아니지만 일반적으로 최소화하기에 가장 저렴한 것입니다 (예 : SSL 인증서 및 HTTPS를 사용하는 것만으로도 충분 함). 위험 할 수 있습니다.

집에 무선 액세스 포인트가 있습니까? 직장에서 프록시 서버?

정부 / isp 음모가 많지 않으면 이러한 진입 / 탈출 지점이 손상 될 수 있습니다. ISP 인프라의 구성 요소가 손상 될 수도 있습니다.

웹 브라우저를 사용하십니까? 트래픽을 중간에있는 사람에게 보내도록 브라우저를 구성하는 것은 매우 사소한 일입니다. 이 방법을 사용하여 특정 은행 및 중개 거래를 다시 라우팅하는 브라우저 악성 코드가 있었으며, 특히 유선 권한이있는 소규모 비즈니스에 적합합니다.

보안은 위험 관리에 관한 것입니다. 위험을 처리하는 방법에는 발생 가능성과 영향의 두 가지 기본 속성이 있습니다. 심각한 자동차 사고를 당할 확률은 매우 낮지 만 개인 안전에 미치는 영향은 크므로 안전 벨트를 구부리고 유아를 카시트에 넣으십시오.

사람들이 게 으르거나 싸면 재난이 종종 발생합니다. 멕시코만에서 BP는 모든 종류의 위험 요소를 무시했습니다. 위험 요소는 계약자에게 위험을 전가하고 사고없이 충분한 우물을 뚫었다 고 생각했기 때문에 사고 가능성이 매우 낮았습니다.

MitM 공격은 로컬 네트워크에서 거의 독점적으로 발생합니다. 인터넷을 통한 연결을 이용하려면 ISP 또는 정부 수준의 액세스가 필요합니다. 따라서 해당 수준의 리소스를 가진 사람이 데이터를 사용하는 경우는 거의 없습니다.

누군가가 네트워크에 들어 오면 심각한 문제가 발생하지만 그 외부에서는 문제가 없을 것입니다.

@Craig : 편집 중에 잘못된 정보가 있습니다. 무선 네트워킹은 브로드 캐스트 기반이 아닙니다. 무선 통신 세션 (무선 클라이언트와 무선 액세스 포인트 간)에서 전송되는 데이터는 모든 사람이 "브로드 캐스트"하지 않습니다. 무선 클라이언트는 AP와 연관되고 상기 클라이언트와 AP 사이에서 통신이 이루어진다. 데이터가 "브로드 캐스트 된"무선 신호로 캡슐화되어 브로드 캐스트되고 있다는 의미라면 매우 구체적인 무선 장비 (RMON 가능 무선 어댑터) 및 소프트웨어 도구를 사용하여 스니핑 할 수 있습니다. 동일한 AP와 관련이없는 무선 클라이언트는 앞에서 언급 한 장비를 제외하고 무선 트래픽을 가로 채거나 "듣는"메커니즘이 없습니다. TCP \ IP 네트워크의 무선 통신은 전송 매체를 제외한 유선 네트워크의 경우와 본질적으로 동일하게 작동합니다 (물리적 와이어와 반대되는 전파). 모든 사람이 도청 할 수 있도록 WiFi 트래픽이 브로드 캐스트 된 경우에는 절대 드로잉 보드를 떠나지 않았을 것입니다.

즉, 무선 네트워크는 트래픽을 가로 채기 위해 불량 시스템을 "주입"하기 위해 무선 네트워크에 액세스 할 필요가 없기 때문에 MITM 공격에 더 큰 위험이 있다고 생각합니다.