インターネットセキュリティにおける「中間者攻撃」の可能性はどの程度ですか?
ISPサーバーとは別に、インターネット通信の「真ん中」にある実際のマシンは何ですか?
理論的なリスクとは対照的に、MITM攻撃に関連する実際のリスクは何ですか?
編集:この質問では、ワイヤレスアクセスポイントには興味がありません。もちろん、セキュリティで保護する必要がありますが、これは明白です。ワイヤレスアクセスポイントは、誰もが聞くことができるように通信がブロードキャストされるという点で独特です。通常の有線インターネット通信は宛先にルーティングされます-ルート内のマシンのみがトラフィックを認識します。
まず、話しましょうボーダーゲートウェイプロトコル。インターネットは、AS(自律システム)と呼ばれる数千のエンドポイントで構成されており、BGP(ボーダーゲートウェイプロトコル)と呼ばれるプロトコルでデータをルーティングします。近年、BGPルーティングテーブルのサイズは指数関数的に増加しており、1つの100,000エントリをはるかに超えています。ルーティングハードウェアの能力が向上しても、BGPルーティングテーブルの拡大し続けるサイズにほとんど対応できません。
MITMシナリオのトリッキーな部分は、BGPが他の自律システムが提供するルートを暗黙的に信頼することです。つまり、ASからの十分なスパミングにより、どのルートも任意の自律システムにつながる可能性があります。これはMITMトラフィックへの最も明白な方法であり、単なる理論的なものではありません。Defconセキュリティコンベンションのサイトは、攻撃を実証するために2007年にセキュリティ研究者のWebサイトにリダイレクトされました。 Youtubeは、パキスタンがサイトを検閲し、独自の(デッド)ルートをパキスタン以外のいくつかのASに最適と誤って宣言したときに、いくつかのアジアの国でダウンしました。
少数の アカデミックグループ 協力するASから BGPルーティング情報 を収集して、トラフィックパスを変更するBGP更新を監視します。しかし、コンテキストがないと、正当な変更と悪意のあるハイジャックを区別するのが難しい場合があります。自然災害や企業合併などに対応するため、交通経路は常に変化しています。
次に、「グローバルMITM攻撃ベクトル」リストについてDomain Name System(DNS)について説明します。
ISCのFine DNSサーバー [〜#〜] bind [〜#〜] は時の試練に耐え、比較的無傷で(MicrosoftとCiscoのDNS製品と同様に)出てきましたが、いくつかの注目すべき脆弱性がインターネット上の正規化された名前を使用してすべてのトラフィック(つまり、実質的にすべてのトラフィック)を危険にさらす可能性があることがわかりました。
私は、DNSキャッシュポイズニング攻撃について Dan Kaminskyの研究 について議論することすらしません。他の場所で打ち負かされており、ブラックハット-ラスベガスによって「これまでで最も過大なバグ」を与えられただけです。ただし、インターネットのセキュリティを著しく侵害している他のいくつかのDNSバグが存在します。
動的更新ゾーンのバグ DNSサーバーがクラッシュし、マシンとDNSキャッシュをリモートで侵害する可能性がありました。
トランザクションシグネチャバグ 脆弱性が発表された時点でBINDを実行しているサーバーの完全なリモートルート侵害が可能で、明らかにDNSエントリが侵害される可能性があります。
最後に、議論する必要がありますARPポイズニング、 802.11q Retracing、STP-Trunk Hijacking、RIPv1ルーティング情報注入およびOSPFネットワークに対する多数の攻撃。
これらの攻撃は、独立した企業のネットワーク管理者にとっての「家族」です(当然のことながら、これらが制御できるのはこれらの攻撃だけだと考えてください)。基本的な情報セキュリティまたはTCPに精通しているすべての人がARPポイズニングを習得しているため、これらの各攻撃の技術的詳細について議論することは、この段階では少し退屈です。他の攻撃は、多くのネットワーク管理者またはサーバーセキュリティ愛好家。これらが懸念事項である場合、 Snort などのフリーおよびオープンソースユーティリティから-のエンタープライズレベルソフトウェアまで、非常に優れたネットワーク防御ユーティリティが数多く存在します Cisco および [〜#〜] hp [〜#〜] 。または、多くの有益な本がこれらのトピックをカバーしており、議論するには多すぎますが、追跡に役立つものをいくつか見つけましたネットワークセキュリティの例には、 ネットワークセキュリティモニタリングのタオ 、 ネットワークセキュリティアーキテクチャ 、および従来の ネットワークウォリアー が含まれます。
いずれにせよ、この種の攻撃にはISPレベルまたは政府レベルのアクセスが必要であると人々が想定していることは、いくぶん不安に感じます。それらは、ネットワークの知識と適切なツール(つまり、正確な理論上のツールではなく、HPINGとNetcat)において平均的なCCIEが持っている以上のものを必要としません。安全を確保したい場合は警戒してください。
以下は、私に関係するMITMシナリオの1つです。
ホテルで大きな大会があるとします。 ACME AnvilsとTerrific TNTは、漫画の危険産業における主要な競争相手です。彼らの製品、特に開発中の新しい製品に既得権を持つ人は、彼の足を彼らの計画に真剣に取り入れることを真剣に愛するでしょう。私たちは彼をWCと呼び、プライバシーを保護します。
WCは有名なホテルに早くチェックインして、セットアップする時間を与えました。彼は、ホテルにFamousHotel-1からFamousHotel-5と呼ばれるwifiアクセスポイントがあることを発見しました。そこで、彼はアクセスポイントをセットアップしてFamousHotel-6と呼び、ランドスケープに溶け込み、他のAPの1つにブリッジします。
さて、コンベンション参加者がチェックインを開始します。たまたま、両社の最大の顧客の1人であるRRを呼び出してチェックインし、WCの近くに部屋を確保します。彼はラップトップをセットアップし、サプライヤーとのメールの交換を開始します。
トイレはマニアックにハマっています! 「私の悪党の計画はうまくいっている!」と彼は叫ぶ。ブーム!クラッシュ!同時に、彼はアンビルとTNTの束に見舞われました。 ACME Anvils、Terrific TNT、RR、Famous Hotelのセキュリティチームがこの攻撃を予測して協力していたようです。
ビープビープ!
編集:
いかにタイムリー*: 旅行のヒント:空港のwi-fi "ハニーポット"に注意してください
*さて、RSSフィードに表示されるだけでした。
それは完全に状況に依存しています。 ISPをどれくらい信頼していますか? ISPの構成についてどのくらい知っていますか?そして、あなた自身の設定はどのくらい安全ですか?
このような「攻撃」のほとんどは、ファイルからキーストロークとパスワードを傍受するトロイの木馬マルウェアである可能性が非常に高いです。あまり気づかれなかったり、あまり報告されなかったりするだけで、常に起こります。
また、ISPレベル内で情報が漏洩する頻度はどれくらいですか?私が小規模なISPで働いていたとき、別の上位のアクセス層を転売していました。ですから、私たちにダイヤルした人が私たちのネットワークに入ってきて、あなたが私たちのウェブサーバーやメールサーバーと話をしていなかったなら、トラフィックはより高い層のプロバイダーに行きました、そして私達は彼らのネットワークであなたのデータをどうしたのかわかりません、または、管理者の信頼度。
誰かが「潜在的に」トラフィックを見ることができるスポットの数を知りたい場合は、tracerouteを実行すると、各ルーティングポイントで応答するのと同じくらい多くが表示されます。これは、クローキングされたデバイスがそれらの一部の間にないことを前提としています。そして、それらのデバイスはそれぞれ実際にはルーターであり、ルーターを装ったものではありません。
問題は、攻撃がどれだけ蔓延しているかを知ることができないことです。企業がクレジット情報が危険にさらされない限り発見された攻撃を開示することを持っていると言う規制はありません。ほとんどの企業は、恥ずかしい(または作業が多すぎる)ため、そうしません。マルウェアが大量に存在しているため、おそらくあなたが思っているよりもはるかに蔓延しており、それでも重要なのはdiscovered攻撃を行うことです。マルウェアが適切に機能する場合、ほとんどのユーザーはそれがいつ発生するかを知りません。そして、実際の提供者のシナリオは、企業が報告する必要がない限り報告しないシナリオです。
もちろん、これらは企業があなたのトラフィックの記録を保持し、あなたに告げることなく政府機関にそれらを開示することを強いられるシナリオを無視します。米国にいる場合、Patriot Actのおかげで、図書館やISPは、あなたに関する情報を収集していることを告げることなく、データの移動やメール、閲覧履歴を記録せざるを得ません。
言い換えれば、MITMと傍受攻撃がユーザーにどの程度蔓延しているのかについての明確なデータはありませんが、快適であるよりも高いことを示唆する証拠があり、ほとんどのユーザーはその情報を取得するのに十分気にしていないのです。
本当の質問は、「他の場所ではなくMITM攻撃にどれだけのリソースを費やすべきか」です。
これは、含まれる通信の性質の多くに依存し、単一の答えはありません。私の経験では、他のセキュリティリスクに比べてそれほど大きなリスクではありませんが、通常は最小化するのに安価です(たとえば、SSL証明書とHTTPSの使用で十分な場合が多いため)。それがあり得るリスク。
自宅に無線アクセスポイントはありますか?職場のプロキシサーバー?
これらのイングレス/イーグレスポイントのいずれかは、政府/ ISPの大規模な陰謀なしに侵害される可能性があります。また、ISPインフラストラクチャのコンポーネントが侵害される可能性もあります。
Webブラウザを使用していますか?中央の人にトラフィックを送るようにブラウザを設定するのはかなり簡単です。この方法を使用して特定の銀行取引と証券取引を再ルーティングするブラウザマルウェアがありました。
セキュリティはリスク管理に関するものです...リスクへの対処方法に2つの基本的な属性があります:発生の確率と影響です。深刻な自動車事故に遭遇する実際の確率は非常に低いですが、個人の安全への影響が高いため、シートベルトを締めて幼児をカーシートに乗せます。
人々が怠惰または安くなったり、あるいはその両方になると、災害がしばしばその結果になります。メキシコ湾では、BPは請負業者にリスクを移転していると信じており、事故なく十分な井戸を掘削しているため、あらゆる種類のリスク要因を無視していたため、事故の可能性は非常に低かった。
MitM攻撃は、ローカルネットワークでほぼ独占的に発生します。インターネットを介した接続を利用するには、ISPまたは政府レベルのアクセスが必要です。そのレベルのリソースを持つ人がデータを利用することは非常にまれです。
誰かがネットワークに侵入すると、深刻な問題が発生しますが、それ以外では、おそらく問題はありません。
@クレイグ:あなたの編集にはいくつかの誤った情報があります。ワイヤレスネットワークはブロードキャストベースではありません。ワイヤレス通信セッション(ワイヤレスクライアントとワイヤレスアクセスポイントの間)で送信されるデータは、誰にとっても「ブロードキャスト」されません。ワイヤレスクライアントはAPに関連付けられ、通信は前記クライアントとAPの間で行われます。 「ブロードキャスト」される無線信号にカプセル化されているためにデータがブロードキャストされることを意味している場合、非常に特定のワイヤレス機器(RMON対応のワイヤレスアダプター)とソフトウェアツールを使用してデータを傍受できます。同じAPに関連付けられていないワイヤレスクライアントには、前述の機器を除いて、ワイヤレストラフィックを傍受または「聞く」メカニズムはありません。 TCP\IPネットワークでの無線通信は、物理的なワイヤーではなく電波である伝送メディアを除いて、有線ネットワークと基本的に同じように機能します。誰もが盗聴できるようにWiFiトラフィックがブロードキャストされていたとしても、それが計画の場を離れることはなかったでしょう。
そうは言っても、ワイヤレスネットワークにアクセスして不正なシステムを「挿入」してトラフィックを傍受するために物理ネットワークにアクセスする必要がないため、ワイヤレスネットワークはMITM攻撃に対して大きなリスクをもたらすと思います。