Obrana proti Man in the middle útoku (diskuse)

AbcLinuxu:/ Blogy / Frostyho_blog / Detekce podvržené MAC adresy / Obrana proti Man in the middle útoku (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (2) ?

Vložit další komentář

24.4.2011 00:26 wamba | skóre: 38 | blog: wamba
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

no udělal jsem pár změn (pro inspiraci) s tím, že getGatewayIPs a nejspíš i getGatewayMACs by chtěli přepsat (neměl jsem sílu přijít na to jak :))

 #!/usr/bin/perl 
# mitm.pl --- The script scans the default gateway MAC address against the user's trusted list. It is suitable for a simple defense against MITM (Man In The Middle) attacks.
#   CZ: Skript prověřuje MAC adresu výchozí brány oproti uživatelem prověřeným. Je vhodný pro jednoduchou obranu proti MITM (Man In The Middle) útokům.

# Author: 'FrostyX <frostyx@email.cz>
# Created: 23 Apr 2011
# Version: 0.01

use warnings;
use strict;

use List::Util qw{first};
use Getopt::Long;
use Pod::Usage;
use 5.010;

my $conky;
my $help;
my $man;

# Použití vhodné metody rozhraní podle argumentu
# předanému při spouštění skriptu
GetOptions(
    'conky'  => \$conky,
    'help|?' => \$help,
    'man'    => \$man
) or pod2usage(2);

pod2usage(1) if $help;
pod2usage( -exitstatus => 0, -verbose => 2 ) if $man;

if ($conky) {
    Iconky();
}
else {
    Imain();
}

# Seznam prověřených MAC adres
my @trusted = (
    '00:0e:2e:fa:be:6d',    # Doma
    '00:1b:38:ab:e3:a4',    # Test - Toshiba NTB
    'xx:xx:xx:xx:xx:xx',    # SPS WIFI 1
);

my %trusted_hash = map { $_ => 1 } @trusted;

# Použití pro conky
#   - Neodřádkovává výstup
sub Iconky {
    if ( !checkGateway() ) {
        print 'Unsafe GW! ';
    }
    return 1;
}

# Funkce main
#   - Zavolá se pokud skritpu nebude předán parametr
sub Imain {
    if ( checkGateway() ) {
        say 'Gateway has trusted MAC';
    }
    else {
        say q{WARNING: Gateway hasn't trusted MAC};
    }
    return 1;
}

# Zkontroluje, zda jsou naše brány povolené
sub checkGateway {
    my @mac = getGatewayMACs();
    if ( first { !$trusted_hash{$_} } @mac ) {
        return 0;
    }
    else {
        return 1;
    }
}

# Vrátí IP adresy bran
sub getGatewayIPs {
    my @route = split 'default', `ip route list |grep default`;
    my @ip;

    foreach my $x (@route) {
        if ($x) {
            my @entry = split q{ }, $x;
            push @ip, $entry[1];
        }
    }
    return @ip;
}

# Vrátí MAC adresy bran
sub getGatewayMACs {
    my @ip = getGatewayIPs();
    my @mac;

    foreach my $x (@ip) {
        my @route = split q{ }, `cat /proc/net/arp |grep $x`;
        push @mac, $route[3];
    }

    return @mac;
}

__END__

=head1 NAME

mitm.pl - Defense against MITM

=head1 SYNOPSIS

mitm.pl [options] 

            Options:
              --help            brief help message
              --man             full documentation
              --conky           

=head1 DESCRIPTION

  The script scans the default gateway MAC address against the user's trusted list. It is suitable for a simple defense against MITM (Man In The Middle) attacks. 

=head1 AUTHOR

FrostyX  <frostyx@email.cz>


=head1 COPYRIGHT AND LICENSE

Copyright (C) 2011 by FrostyX

This program is free software; you can redistribute it and/or modify
it under the same terms as Perl itself, either Perl version 5.8.2 or,
at your option, any later version of Perl 5 you may have available.

=head1 BUGS

None reported... yet.

=cut

This would have been so hard to fix when you don't know that there is in fact an easy fix.

24.4.2011 01:11 wamba | skóre: 38 | blog: wamba
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

snad díky pozdní hodině. samozřejmě my @trusted = ... a my %trusted_hash = ...

musí být nad if ($conky){...

This would have been so hard to fix when you don't know that there is in fact an easy fix.

24.4.2011 01:18 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

Moc jsem to nezkoumal, ale co se stane, když si útočník změní MAC na nějakou „trusted“?

Jinak správně bys měl být schopen MITM detekovat i bez tohoto, třeba tím, že ti nebudou sedět certifikáty u SSL/SSH, přes které se jistě všude připojuješ ;-)

24.4.2011 09:20 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

A naopak, to, že default gateway je "prověřená", zdaleka neznamená, že tam "muž uprostřed" (nebo žena či dítě) není.

24.4.2011 09:45 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Nejdřív jsem nechápal jaký typ MiM má tazatel na mysli. Tohle vypadá spíš na obranu proti ARP spoofingu. Ta se dá udělat mnohem jednodušeji: nastavte si pevný ARP záznam pro vaši gateway.

Obecně ochranu proti MiM můžete udělat tak že ve vaší aplikaci kryptograficky ověříte totožnost obou konců spojení u každé zaslané zprávy. Normálně to dělá např. zmíněné ssh, spousta implementací vpn, nebo libovolná ssl aplikace, při použití server+client certifikátu.

Příkladem toho kde MiM je možný jsou např. schemata kde se nejdřív přes https "přihlásíte" a pak pokračujete v práci přes http.

In Ada the typical infinite loop would normally be terminated by detonation.

24.4.2011 10:58 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Man in the middle (zkratka MITM, z angličtiny „člověk uprostřed“ nebo „člověk mezi“) patří mezi nejznámější problémy v informatice a kryptografii. Jeho podstatou je snaha útočníka odposlouchávat komunikaci mezi účastníky tak, že se stane aktivním prostředníkem. Důležitým faktem je, že v prostředí současných běžných počítačových sítí není nutné, aby komunikace přes útočníka přímo fyzicky procházela, protože lze síťový provoz snadno přesměrovat.

ARP spoofing: Pokud chce útočník odposlouchávat komunikaci mezi dvěma uzly lokální sítě, stačí mu oběma z nich podstrčit svoji MAC adresu, a přijatá data posílat dál skutečným adresátům.

Obě citace jsou z wikipedie, takže pokud jsou nepravdivé, tak mě prosím upozorněte. Dle mého z nich ale vyplívá totéž. "Útočník stojí mezi mnou a serverem a vidí veškerou mou komunikaci." Pht má pravdu, že označení ARP spoofing je přesnější označení toho co jsem v zápisku zmiňoval. Myslím si ale, že jsem neříkal hlouposti, když jsem použil termín Man in the middle, protože když někomu podstrčím MAC adresu a jeho pakety pak posílam pravému serveru, stanu se tak tím "člověkem uprostřed".

FrostyX.cz | 1984 was not supposed to be an instruction manual.

24.4.2011 13:39 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Ad wikipedia:

Na české wikipedii jsou občas bláboly. Doporučuji číst anglickou wikipedii (a z ní odkazované zdroje).

sítí není nutné, aby komunikace přes útočníka přímo fyzicky procházela, protože lze síťový provoz snadno přesměrovat

... takže pokud mnou provoz neprochází tak si to dokážu zařídit aby procházel. To je přesně ten typ blábolu o kterém mluvím. Cf. en.wikipedia.org:

The attacker must be able to intercept all messages going between the two victims and inject new ones

Ad rozdíl k arp spoof:

Man in middle je typ útoku definovaný tak a tak. ARP spoofing je jiný druh útoku který může a nemusí mimo jiné být použit při realizaci MiM. Takže a předně MiM lze dělat i bez použití ARP spoof. Vámi uvedený skript je 1) pouze detektor nikoliv obrana proti ARP spoofu (a není v tom moc dobrý :) a 2) není obecnou ochranou ani detekcí MiM útoku a 3) nespecifikoval jste proti jakému protokolu se má ten MiM odehrát.

když někomu podstrčím MAC adresu a jeho pakety pak posílam pravému serveru, stanu se tak tím "člověkem uprostřed".

Abych uvedl předchozí rozdíl na příkladu, tak tím že se stanete člověkem uprostřed, neznamená že můžete provést MiM útok, a na druhou stranu, stát se člověkem uprostřed nemusí nutně znamenat podstrčení MAC adresy.

In Ada the typical infinite loop would normally be terminated by detonation.

24.4.2011 13:54 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Díky za vysvětlení. Už chápu, proč jsem tě možná zpočátku zmátl. Asi jsem špatně uvedl jak se chci bránit. Záměr byl bránit se pouze tak, že detekuji podvrženou MAC adresu (čili ten arp spoof). Potom už jsem schopný si dotyčného člověka osobně najít (alespoň teda na té siti, o které je řeč).

Všechny nepřesnosti v zápisku uvedu na pravou míru za pár hodin

FrostyX.cz | 1984 was not supposed to be an instruction manual.

24.4.2011 21:43 mnicky
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Presne. Najlepsou obranou proti ARP spoofingu je staticky zaznam v ARP tabulke:

# arp -s GATEWAY_IP GATEWAY_MAC

24.4.2011 12:30 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Tvůj komentář mě hodně zaujal. Mohl bys to rozvést prosím ? Ještě ti řeknu mou úvahu:

nechá si svou MAC adresu. Skript mě upozorní, protože jeho adresa nebude v seznamu.
nastaví si stejnou adresu jako má server. Nebude mu to fungovat. Nejsem si úplně jistý co se stane - ověřím si to v pondělí přímo na té síti. Imho se stane to, že se vůbec nepřipojí k síti, nebo něco podobného.
Nastaví si některou z adres, kterou mám ve svém seznamu (mimo té, která už je na síti). Potom jsem nahranej a skript mě neupozorní. Tady bude potřeba se spoléhat na další zabezpečení které tu zmiňují ostatní (šifrování, ssl, ...).

Bodem 3. se zabývat nebudeme. Budeme předpokládat, že se seznam útočníkovi nikdy nedostane do ruk. V takovém případě je pravděpodobnost, že si někdo nastaví jednu z těch adres mizivá.

FrostyX.cz | 1984 was not supposed to be an instruction manual.

24.4.2011 12:33 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

V arp tabulce je jen seznam adres, se kterými komunikuješ, pokud bude v cestě něco s bridgem (br0 obsahující eth0 a eth1), tak Tě odposlechne a nedovíš se o tom.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

24.4.2011 13:03 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Sakra, asi mi něco uniká. Přijdu, připojím síťovej kabel, DHCP server (na ip 192.168.1.1) mi přidělí ip, masku a bránu. V tuhle chvíli už bych měl mít záznam o ip adrese 192.168.1.1 v arp tabulce. Provede se ta moje kontrola a zjistí, že je vše OK. V libovolnou chvíli mi útočník podstrčí informaci o tom, že IP adresa 192.168.1.1 má novou MAC adresu (tu jeho). Záznam v mojí arp tabulce se změní. Po spuštění mého skriptu zjistím, že je někde problém. Ať si útočník dělá co chce, pořád budu mít jako gateway IP adresu 192.168.1.1 a proto budu ověřovat její MAC adresu, kterou mám v arp tabulce.

Co konkrétně z toho co jsem řekl je špatně?

FrostyX.cz | 1984 was not supposed to be an instruction manual.

24.4.2011 13:07 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Mluvím o chvíli, kdy nejste fyzicky u kabelu, nevíte, co je s tim switchem/routerem, nemáte ono fyzické spojení pod kontrolou, zda není nikdo mezi vámi a dalším L2/L3 hopem. A i kdyby, switche umí port-mirroring apod. Pokud šifrujete, je vidět, že tečou data, pokud nešifrujete, je vidět, co posíláte/dostáváte.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

24.4.2011 20:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

A také to nejsou vždy switche. Máme wi-fi a dokonce jsou i dnes občas k vidění i pravé a nefalšované huby.

24.4.2011 13:47 Martin Mareš
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Co na tom seznamu bude? Asi stroje, se kterými často komunikujete, že? Ty si ovšem útočník může velmi snadno zmapovat a celá "ochrana" je k ničemu.

Opravdu bych být Vámi nepřepokládal, že útočník je takové pako, a místo pofiderních ochran založených na nevědomosti útočníka, použil ochranu solidní, totiž šifrování.

24.4.2011 20:54 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Když pominu všechno ostatní, kde berete tu neochvějnou jistotu, že "man in the middle" musí sedět hned na prvním hopu? A i pokud ano, proč by nemohl sedět třeba na té pravé gatewayi?

24.4.2011 10:31 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

To je pravda. Když si útočník změní MAC na nějakou z toho seznamu, budu asi nahranej. Na druhou stranu útočník o žádném seznamu neví (teď už možná ano, ale jsou tam adresy, které tam potom nebudou). Logické by bylo, kdyby si nastavil stejnou MAC jako má ten skutečný server se kterým chci komunikovat, ale mám za to, že to nebude fungovat.

S tím SSL to taky není úplně žhavý. Například abych se připojil do školní sítě, musím odsouhlasit tohle - "The site's security certificate is not trusted!". Pro útočníka by pak už nemuselo být tak těžké podstrčit mi upravený certifikát.

O tom SSL jste tu psali skoro všichni, tzn tato reakce je určena všem.

FrostyX.cz | 1984 was not supposed to be an instruction manual.

24.4.2011 10:47 R
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Ten certifikat si ulozis/importujes v momente, ked vies, ze je pravy. Potom to bude fungovat bez varovania (za predpokladu, ze sedi CN s hostname) do momentu, ked sa ten certifikat zmeni. Funguje to vo vsetkych browseroch, akurat v Chrome sa mi to nikdy nepodarilo...

24.4.2011 11:16 ahoj
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

To je pravda. Když si útočník změní MAC na nějakou z toho seznamu, budu asi nahranej. Na druhou stranu útočník o žádném seznamu neví...

Security through obscurity. ;-)

24.4.2011 13:49 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Logické by bylo, kdyby si nastavil stejnou MAC jako má ten skutečný server se kterým chci komunikovat, ale mám za to, že to nebude fungovat.

Ve skutečnosti to fungovat bude celkem obstojně.

S tím SSL to taky není úplně žhavý. Například abych se připojil do školní sítě, musím odsouhlasit tohle - "The site's security certificate is not trusted!". Pro útočníka by pak už nemuselo být tak těžké podstrčit mi upravený certifikát.

Přesně tak, pokud provedete MiM ve chvíli kdy uživatel odsouhlasuje certifikát, tak máte přístup k obsahu zašifrovaných zpráv. Na druhou stranu je tahle fáze jediným místem kde lze v SSL protokolu udělat MiM útok.

In Ada the typical infinite loop would normally be terminated by detonation.

24.4.2011 13:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Například abych se připojil do školní sítě, musím odsouhlasit tohle - "The site's security certificate is not trusted!". Pro útočníka by pak už nemuselo být tak těžké podstrčit mi upravený certifikát.

Proto je tam (někde - Chromium nepoužívám) tlačítko, které zobrazí fingerprint. Stejný fingerprint by pak měl zapečetěný viset někde ve škole. Porovnáš je, a hned víš, na čem jsi.

Že to tak mnohdy není, je bohužel smutná skutečnost. Buď ani admin neví, co to vlastně otisk certifikátu je a proč by ho to mělo zajímat - hlavně různí učitelé informatiky na netechnických ZŠ/SŠ, kteří dostali správu pod kontrolu, nebo to admin neudělá, protože byrokratický bordel a 99 % uživatelů stejně neví, co s tím.

24.4.2011 14:38 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

protože byrokratický bordel a 99 % uživatelů stejně neví, co s tím

A nebo je to prostě špatně navržený systém.

In Ada the typical infinite loop would normally be terminated by detonation.

24.4.2011 15:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Jasně, máme něco lepšího? (neflamuju, fakt mě to zajímá)

25.4.2011 10:20 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Ne. A ačkoli spousta částí toho systému zlepšit nějak jde, bezpečnost jako taková žádné magické jednoduché řešení nemá.

In Ada the typical infinite loop would normally be terminated by detonation.

24.4.2011 11:18 ahoj
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

šifrovat, šifrovat, šifrovat... :-)

24.4.2011 15:03 antonym
Rozbalit Rozbalit vše Re: Obrana proti Man in the middle útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

tohle te ochrani jen pred tim uplne nejlamerstejsim... proti mac floodingu ti to nepomuze, proti MiM kdekoliv za prvnim routrem ti to nepomuze...

pouzivej radsi vpn (a nezapomen ani na ochranu vlastniho pocitace)

25.4.2011 09:37 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: Detekce podvržené MAC adresy

Odpovědět | Sbalit | Link | Blokovat | Admin

Zkuste pouzit arpalert. Viz http://www.arpalert.org/arpalert.html

27.4.2011 17:41 CEST
Rozbalit Rozbalit vše Re: Detekce podvržené MAC adresy

Odpovědět | Sbalit | Link | Blokovat | Admin

Osobne z prace na web pouzivam proxy, na kterou pristupuju pres OpenVPN. Cili, pokud by me nekdo monitoroval, tak vidi UDP pristup na jeden stroj na jednu masinu. Podobne s SSH.

Pokud chci nekam jit, aniz by nekdo mohl sledovat kam jdu a zaroven cilovy server nemohl zjistit, odkud jsem prisel, tak pouzivam TOR.

Pokud se chces vyhnout sledovani ve svoji siti a nevadi ti, kdyz cilove servery budou vedet odkud jdes, porid si VPN nekde v inetu. Pak ti bude uplne jedno, jestli te nejakej manik sleduje pres nejakej HUB, Wifi, port-monitoring na switchi nebo arp spoofingem.

Založit nové vlákno • Nahoru

Tiskni Sdílej: