MITM 공격-얼마나 가능성이 있습니까?


35

인터넷 보안에서 "중간자"공격이 발생할 가능성은 얼마나됩니까?

ISP 서버를 제외하고 인터넷 통신의 "중간"에있는 실제 시스템은 무엇입니까?

이론적 위험과 반대로 MITM 공격과 관련된 실제 위험 은 무엇입니까 ?

편집 : 나는이 질문에 무선 액세스 포인트에 관심이 없습니다. 물론 보안이 필요하지만 이것은 분명합니다. 무선 액세스 포인트는 모든 사람이들을 수 있도록 통신이 방송된다는 점에서 독특합니다. 일반 유선 인터넷 통신은 대상으로 라우팅됩니다. 경로의 시스템 만 트래픽을 볼 수 있습니다.


13
이론적 위험과 실제 위험은 일반적으로 IT 보안에 대해 이야기 할 때와 동일합니다.
Mark Henderson

3
Farseeker x2, 오늘은 이론적이며 내일은 현실입니다. 그 차이입니다.
크리스 S

1
@Farseeker : 차이점은 이론상 위험에는 실제 세계에서는 거의 없을 수있는 시나리오가 포함된다는 것입니다. 중간에있는 컴퓨터가 인터넷 패킷을 해독 할 수는 있지만 중간에 언제이를 수행 할 컴퓨터가 있을까요?
CJ7

1
@Zephyr : 적은 수의 목표에 집중 한 소수의 해커조차도 심각한 피해를 줄 수 있습니다. 내가 당신을보고 있어요 ... 어 ... "프레드". 반드시 차이를 만드는 숫자는 아니지만 동기 부여입니다.
추후 공지가있을 때까지 일시 중지되었습니다.

답변:


43

먼저 Border Gateway Protocol에 대해 이야기 해 봅시다 . 인터넷은 AS (Autonomous Systems)로 알려진 수천 개의 엔드 포인트로 구성되며 BGP (Border Gateway Protocol)라는 프로토콜로 데이터를 라우팅합니다. 최근에 BGP 라우팅 테이블의 크기가 기하 급수적으로 증가하여 10 만 개가 넘는 항목이 무너졌습니다. 라우팅 하드웨어의 전력이 증가하더라도 BGP 라우팅 테이블의 크기는 계속 커질 수 있습니다.

MITM 시나리오에서 까다로운 부분은 BGP가 다른 자율 시스템이 제공하는 경로를 암시 적으로 신뢰한다는 것입니다. 즉, AS에서 스팸을 충분히 보내면 모든 경로가 임의의 자치 시스템으로 이어질 수 있습니다. MITM 트래픽에 대한 가장 확실한 방법이며 이론적 인 것은 아닙니다. Defcon 보안 컨벤션 사이트는 공격을 시연하기 위해 2007 년 보안 연구원의 웹 사이트로 리디렉션되었습니다. 파키스탄이이 사이트를 검열하고 실수로 자신의 (죽은) 경로를 파키스탄 이외의 여러 AS에게 최고라고 선언했을 때 여러 아시아 국가에서 유튜브가 다운되었습니다.

소수의 학계 그룹 이 협력 AS로부터 BGP 라우팅 정보 를 수집하여 트래픽 경로를 변경하는 BGP 업데이트를 모니터링합니다. 그러나 상황이 없으면 합법적 인 변경을 악의적 인 하이재킹과 구별하는 것이 어려울 수 있습니다. 자연 재해, 회사 합병 등에 대처하기 위해 항상 교통 경로가 변경됩니다.

다음으로 'Global MITM Attack Vectors (글로벌 MITM 공격 경로)'목록에서 논의 할 도메인 이름 시스템 (DNS)입니다.

ISC의 Fine DNS 서버 BIND 는 오랜 시간 동안 테스트를 거쳤으며 Microsoft 및 Cisco의 DNS 서비스와 같이 상대적으로 무질서한 것으로 나타 났지만, 인터넷에서 표준 이름을 사용하여 모든 트래픽을 위험에 빠뜨릴 수있는 몇 가지 주목할만한 취약점이 발견되었습니다 (실제로 모든 교통).

나는 DNS 캐시 중독 공격에 대한 Dan Kaminsky의 연구 에 대해 논의하지 않을 것 입니다. 그러나 인터넷 보안을 심각하게 손상시킨 몇 가지 다른 DNS 버그가 있습니다.

동적 업데이트 영역 버그로 인해 DNS 서버가 충돌하여 컴퓨터와 DNS 캐시를 원격으로 손상시킬 수 있습니다.

Transaction Signatures Bug 는 취약점이 발표 될 때 BIND를 실행하는 모든 서버의 완전한 원격 루트 손상을 허용하여 명백하게 DNS 항목이 손상 될 수 있도록했습니다.

마지막으로 , 우리가 논의해야한다 ARP 중독 , 802.11q 되돌아 , STP-트렁크 하이재킹 , RIPv1 라우팅 정보 주입 및 OSPF 네트워크에 대한 공격의 늪.

이러한 공격은 독립적 인 회사의 네트워크 관리자에게 '가족'입니다 (당연히 그들이 통제 할 수있는 공격을 고려할 때). 기본 정보 보안 또는 TCP에 익숙한 모든 사람이 ARP 중독을 알게되었으므로 이러한 각 공격의 기술적 세부 사항을 논의하는 것은이 단계에서 약간 지루합니다. 다른 공격은 많은 네트워크 관리자 나 서버 보안 전문가에게 친숙한 얼굴 일 것입니다. 이것이 우려되는 경우 Snort 와 같은 무료 및 오픈 소스 유틸리티 에서 CiscoHP 의 엔터프라이즈 급 소프트웨어에 이르기까지 매우 훌륭한 네트워크 방어 유틸리티가 많이 있습니다.. 또는, 많은 정보가 담긴 책들이이 주제에 대해 다루기에는 너무 많지만 네트워크 보안을 추구하는 데 도움이 된 것으로 밝혀진 몇 가지 네트워크 보안 모니터링 , 네트워크 보안 아키텍처 및 고전적인 네트워크 전사 등이 있습니다.

어쨌든 사람들은 이러한 종류의 공격에 ISP 또는 정부 수준의 액세스가 필요하다고 가정하는 것이 다소 혼란 스럽습니다. 네트워킹 지식과 적절한 도구 (정확히 이론적 인 도구가 아닌 HPING 및 Netcat)에서 CCIE의 평균 이상을 요구하지 않습니다. 보안을 유지하려면주의하십시오.


8
당연히 그렇지. bank.example.com으로 가고 대신 의도 한 목적지로 프록시 또는 가장하는 다른 사이트를 방문한다고 생각합니다. 이것이 MITM 공격이라고 생각하지 않으면 MITM이 무엇인지 이해하지 못합니다.
duffbeer703

1
DNS에 관한 한, 명백히 도달하려는 사이트의 실제 IP로 패킷을 보낼 수 있습니다. REAL BGP 라우트를 전송하는 동안 BGP에 대한 연결 상태와 활성 상태 사이를 빠르게 전환하는 등의 작업을 수행 할 수 있습니다. 또는 대부분의 인터넷과 마찬가지로 중독 된 경로 외에 호스트에 대한 대체 경로가있는 경우이를 라우팅 매개 변수로 지정할 수 있습니다. 그러나이 Craig에 관심이있어서 좋았습니다. 보안은 꽤 분야입니다. 분류 된 것이 있다고 생각하면 다른 것이 나타납니다.
ŹV-

1
DNS 문제에 대한 다른 질문에 답변하기 위해 단계가 작동하지 않는 것 같습니다. 공격자는 적절한 대상을 알고 있으며 프록시 역할을합니다. 실제로 트래픽 흐름이 A <-> C가 아니라 A <-> B <-> C 인 경우 C와 대화한다고 생각합니다. 라우팅 정보가 손상되었습니다. 공격자가 올바른 데이터를 가지고 있거나 손상되지 않은 DNS 서버를 사용하고 있습니다.
Bart Silverstrim 2016 년

2
@ Craig- 사진이 없습니다. MITM은 대상과 대상 사이에 에이전트를 삽입합니다. 라우팅이든 DNS이든 또는 원하는 다른 것이 든; 이러한 공격은 MITM으로 표시된 버튼을 누르고 코드를 해독하는 영화와는 다릅니다. 이것은 끝의 수단이며 혼합 공격의 일부입니다.
Bart Silverstrim 2016 년

3
그리고 패킷이 올바른 목적지에 도착하는 것에 대한 귀하의 질문에 답변했습니다. 공격자 시스템 적절한 경로를 알고 있습니다. 시스템에 "올바른"사이트라고 말한 다음 프록시처럼 전달하여 사용자를 대신하여 요청을 보낸 다음 회신합니다. 그것은 "중간"부분입니다. 컴퓨터가 더럽혀 져서 무슨 일이 일어나고 있는지 모릅니다. 그것은 당신의 시스템이 루프에서 빠져 나가는 농담과 같습니다.
Bart Silverstrim 2016 년

14

다음은 MITM 시나리오 중 하나입니다.

호텔에 큰 컨벤션이 있다고 가정 해 봅시다. ACME Anvils와 훌륭한 TNT는 만화 위험 산업의 주요 경쟁 업체입니다. 그들의 제품, 특히 개발에 새로운 제품에 관심이있는 사람은 계획을 세우는 것을 진지하게 좋아할 것입니다. 우리는 그의 사생활을 보호하기 위해 그를 WC라고 부를 것입니다.

WC는 Famous Hotel에서 시간을 내기 위해 일찍 체크인합니다. 그는 호텔에 FamousHotel-5를 통해 FamousHotel-1이라는 Wi-Fi 액세스 포인트가 있음을 발견했습니다. 그래서 그는 액세스 포인트를 설정하고 그것을 FamousHotel-6이라고 부릅니다.

이제 컨벤션 담당자가 체크인하기 시작합니다. 두 회사의 가장 큰 고객 중 하나 인 RR이라고 부르고 체크인하고 WC 근처에 방을 가져옵니다. 그는 랩톱을 설치하고 공급 업체와 전자 메일을 교환하기 시작합니다.

화장실이 미치게 맞붙고있다! "나의 사악한 계획이 효과가있다!"고 그는 소리 쳤다. 팔! 추락! 동시에 그는 모루와 TNT 묶음에 맞았습니다. ACME Anvils, Terrific TNT, RR 및 Famous Hotel의 보안 팀이이 공격을 예상하여 함께 협력 한 것 같습니다.

삐 소리!

편집하다:

적시성 * : 여행 팁 : 공항 Wi-Fi "허니팟"에주의하십시오

* 글쎄, 그것은 내 RSS 피드에 방금 나타났습니다.


좋아,하지만 무선은 완전히 다른 볼 게임이 아닌가? 아마도 내 질문을 유선 연결로 제한했을 것입니다.
CJ7

1
@Craig : 요점은 같습니다. 누군가가 로컬 네트워크 청취, 무선 또는 유선상에있을 가능성이 높습니다. 인터넷에서 MitM을 찾는 것은 기본적으로 일어나지 않을 것입니다.
Chris S

5
ACME 모루와 좋아요, TNT에 대한 한
파하드 Sadah

@Chris : 무선 액세스 포인트가없는 경우 누군가 내 로컬 네트워크에 어떻게 접속합니까? 컴퓨터 중 하나에 맬웨어가 있습니까? 그렇다면 어떻게 데이터가 네트워크에서 해커에게 전송됩니까?
CJ7

2
@Craig : MITM 공격은 존재하지 않습니다. 걱정하지 마십시오. 우리는 NSA에 숨어있는 편집증 멍청이입니다.
duffbeer703

5

그것은 전적으로 상황에 달려 있습니다. ISP를 얼마나 신뢰하십니까? ISP의 구성에 대해 얼마나 알고 있습니까? 자신의 설정은 얼마나 안전합니까?

이와 같은 대부분의 "공격"은 파일의 키 입력 및 암호를 가로채는 트로이 목마 맬웨어 일 가능성이 높습니다. 그다지 눈에 띄지 않거나보고되지 않는 것만으로도 항상 일어납니다.

그리고 ISP 수준에서 정보가 얼마나 자주 유출됩니까? 소규모 ISP를 위해 일할 때 우리는 더 높은 계층의 액세스를 재판매했습니다. 그래서 우리에게 전화를 건 사람이 우리 네트워크에 들어 왔고, 만약 당신이 우리의 웹 서버 나 메일 서버와 대화하지 않았다면, 트래픽은 더 높은 계층의 공급자에게갔습니다. 또는 관리자가 얼마나 신뢰할 만한지.

누군가가 "잠재적으로"트래픽이 추적 경로를 볼 수있는 지점 수를 알고 싶다면 각 라우팅 포인트에서 응답 할 수있는 지점 수를 볼 수 있습니다. 그것은 클로킹 된 장치가 그 사이에 있지 않다고 가정합니다. 그리고 이러한 장치는 각각 라우터이며 라우터로 위장한 것은 아닙니다.

문제는 공격이 얼마나 널리 퍼져 있는지 알 수 없다는 것입니다. 신용 정보가 손상되지 않는 한 회사 가 발견 한 공격을 공개 해야 한다는 규정 은 없습니다. 대부분의 회사는 창피하거나 일이 너무 많아서하지 않습니다. 멀웨어의 양이 멀어지면 생각보다 훨씬 더 널리 퍼져있을 수 있으며, 심지어 그 열쇠는 공격 을 발견 하는 것입니다. 맬웨어가 제대로 작동하면 대부분의 사용자는 언제 발생하는지 알 수 없습니다. 그리고 실제 사람-가져 오기 및 스 누프-트래픽-제공자-제공자 시나리오는 회사가 필요하지 않은 한보고하지 않는 시나리오입니다.

물론 이들은 회사가 귀하의 트래픽을 기록하고 귀하에게 알리지 않고 정부 기관에 공개해야하는 시나리오를 무시합니다. 미국에 거주하는 경우 Patriot Act 덕분에 도서관과 ISP는 정보를 수집하고 있음을 알리지 않고 데이터 여행 및 이메일 및 인터넷 사용 기록을 기록 할 수 있습니다.

다시 말해, 일반적인 MITM 및 가로 채기 공격이 사용자에게 어떤 영향을 미치는지에 대한 확실한 데이터는 없지만, 그것이 편안 할 것보다 높음을 암시하는 증거가 있다는 것입니다.


3

실제 질문은 "다른 곳이 아닌 MITM 공격에 얼마나 많은 제한된 자원을 제공해야합니까?"입니다.

이것은 관련된 통신의 특성에 따라 다르며 단일 답변이 없습니다. 내 경험상 그것은 다른 보안 위험에 비해 큰 위험은 아니지만 일반적으로 최소화하기에 가장 저렴한 것입니다 (예 : SSL 인증서 및 HTTPS를 사용하는 것만으로도 충분 함). 위험 할 수 있습니다.


https 또는 ssl은 MITM으로부터 사용자를 보호하지 않습니다. 단순히 원하는 대상에 대한 사용자 에이전트 역할을하여 인증서를 받고 암호화를 해제하는 반면, 기꺼이 루트 CA를 찾을 수 있다고 가정하면 새 인증서로 다시 암호화합니다.
요요

2

집에 무선 액세스 포인트가 있습니까? 직장에서 프록시 서버?

정부 / isp 음모가 많지 않으면 이러한 진입 / 탈출 지점이 손상 될 수 있습니다. ISP 인프라의 구성 요소가 손상 될 수도 있습니다.

웹 브라우저를 사용하십니까? 트래픽을 중간에있는 사람에게 보내도록 브라우저를 구성하는 것은 매우 사소한 일입니다. 이 방법을 사용하여 특정 은행 및 중개 거래를 다시 라우팅하는 브라우저 악성 코드가 있었으며, 특히 유선 권한이있는 소규모 비즈니스에 적합합니다.

보안은 위험 관리에 관한 것입니다. 위험을 처리하는 방법에는 발생 가능성과 영향의 두 가지 기본 속성이 있습니다. 심각한 자동차 사고를 당할 확률은 매우 낮지 만 개인 안전에 미치는 영향은 크므로 안전 벨트를 구부리고 유아를 카시트에 넣으십시오.

사람들이 게 으르거나 싸면 재난이 종종 발생합니다. 멕시코만에서 BP는 모든 종류의 위험 요소를 무시했습니다. 위험 요소는 계약자에게 위험을 전가하고 사고없이 충분한 우물을 뚫었다 고 생각했기 때문에 사고 가능성이 매우 낮았습니다.


1
나는> 나는 사람들이 자신의 계산 위험 이러한 종류의 복용에 아무 문제가 없다 1.이 upvote에 수 소원 자신의 데이터뿐만 때 MITM 같은 것들을 무시하고 다른 사람의 데이터가 라인입니다 - 그것을 할 고객, 환자, 또는 무엇 이건 - 슬퍼하며 너무 흔합니다. 모든 공격 경로 나 시나리오를 예상 할 수는 없지만 완화 및 위험 관리에 대한 계층화 된 심층 방어 접근 방식이 필수적입니다.
nedm

0

MitM 공격은 로컬 네트워크에서 거의 독점적으로 발생합니다. 인터넷을 통한 연결을 이용하려면 ISP 또는 정부 수준의 액세스가 필요합니다. 따라서 해당 수준의 리소스를 가진 사람이 데이터를 사용하는 경우는 거의 없습니다.

누군가가 네트워크에 들어 오면 심각한 문제가 발생하지만 그 외부에서는 문제가 없을 것입니다.


사실이 아니다. zypher의 게시물을보십시오.
duffbeer703

@ duffbeer : zephyr의 게시물에 대한 내 의견보기
CJ7

MITM은 소스와 대상 사이에 삽입 된 것입니다. 로컬 네트워크이거나 ISP의 어느 곳에 나있을 수 있습니다. 목적지 또는 교통 수단의 누군가가 귀하의 정보를 원하지 않는다는 것을 어떻게 알 수 있습니까? 사람들을 스토킹하기 위해 정보를 남용한 경찰이 있습니다. 공유지? 하지만 자신의 권력을 남용했거나 발견하지 않은 사람이 누구인지 아십니까?
Bart Silverstrim 2016 년

0

@Craig : 편집 중에 잘못된 정보가 있습니다. 무선 네트워킹은 브로드 캐스트 기반이 아닙니다. 무선 통신 세션 (무선 클라이언트와 무선 액세스 포인트 간)에서 전송되는 데이터는 모든 사람이 "브로드 캐스트"하지 않습니다. 무선 클라이언트는 AP와 연관되고 상기 클라이언트와 AP 사이에서 통신이 이루어진다. 데이터가 "브로드 캐스트 된"무선 신호로 캡슐화되어 브로드 캐스트되고 있다는 의미라면 매우 구체적인 무선 장비 (RMON 가능 무선 어댑터) 및 소프트웨어 도구를 사용하여 스니핑 할 수 있습니다. 동일한 AP와 관련이없는 무선 클라이언트는 앞에서 언급 한 장비를 제외하고 무선 트래픽을 가로 채거나 "듣는"메커니즘이 없습니다. TCP \ IP 네트워크의 무선 통신은 전송 매체를 제외한 유선 네트워크의 경우와 본질적으로 동일하게 작동합니다 (물리적 와이어와 반대되는 전파). 모든 사람이 도청 할 수 있도록 WiFi 트래픽이 브로드 캐스트 된 경우에는 절대 드로잉 보드를 떠나지 않았을 것입니다.

즉, 무선 네트워크는 트래픽을 가로 채기 위해 불량 시스템을 "주입"하기 위해 무선 네트워크에 액세스 할 필요가 없기 때문에 MITM 공격에 더 큰 위험이 있다고 생각합니다.


당신은 무선 라디오 신호가 방송되고 장비에 의해 가로 챌 수 있다고 말했다. 내 질문이 어떻게 모순 되는가?
CJ7

당신은 모든 사람이들을 수 있도록 무선 트래픽이 브로드 캐스트되었다고 말했지만 기술적으로 올바르지 않습니다. 무선 신호는 전파를 기반으로한다는 점에서 브로드 캐스트되지만 무선 클라이언트와 무선 AP 사이의 통신은 포인트입니다. 무선 클라이언트는 모든 사람이들을 수있는 트래픽을 브로드 캐스트하지 않습니다. 모든 사람에게 트래픽이 브로드 캐스트된다는 진술은 누군가에게 무선 네트워킹이 작동하지 않는 방식으로 작동한다는 인상을 줄 수 있습니다.
joeqwerty 2016 년

현대의 802.11 무선과 관련한 방송 문제는 대부분의 경우 전송 계층이 어떤 형태의 WPA 암호화로 보호된다는 점에서 다소 문제가 있습니다. 유선 트래픽은 물리적 위치와 배선 실의 잠금 장치로 보호됩니다. 내가 작업 한 대부분의 환경에서 스위치 및 배선 인프라를 쉽게 사용할 수있는 클라이언트 네트워크는 신뢰할 수없는 네트워크로 취급됩니다.
duffbeer703
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.