Η επίθεση man-in-the-middle στα δίκτυα επικοινωνίας

Η επίθεση man-in-the-middle στα δίκτυα επικοινωνίας

Η επίθεση man-in-the-middle στα δίκτυα επικοινωνίας (MITM) αποτελεί έναν τρόπο παραβίασης ασφαλείας των δικτύων. Ο επιτιθέμενος παρεμποδίζει μια νόμιμη/ κατοχυρωμένη επικοινωνία μεταξύ δύο μερών, τα οποία έχουν μεταξύ τους σχέσεις εμπιστοσύνης. Ο βασικός σκοπός του επιτήδειου χρήστη είναι να αποσπάσει ή ακόμα και να παραποιήσει πληροφορίες που στέλνονται μέσω του συστήματος επικοινωνίας από έναν από τους αρχικούς συμμετέχοντες.  Ελέγχοντας τη ροή επικοινωνίας, δε γίνεται αντιληπτός από τον αρχικό αποστολέα ή τον παραλήπτη. Ο κακόβουλος χρήστης πρέπει να βρίσκεται στο ίδιο υποδίκτυο με τον/τους host που θέλει να εξαπατήσει και αυτό να αποτελείται από μεταγωγείς.

Η επίθεση man-in-the-middle στα δίκτυα επικοινωνίας: πού βασίζεται

Τα θύματα εξαπατώνται με αποτέλεσμα να αποκαλύπτουν εμπιστευτικές πληροφορίες. Η επικοινωνία διεξάγεται κανονικά στην αντίληψη των νόμιμων μερών. Ο επιτιθέμενος υποκρίνεται πως είναι ο αρχικός αποστολέας, τον οποίο πιθανώς εμπιστεύεται ο παραλήπτης. Ο τύπος της επίθεσης που αξιοποιείται από τον επιτιθέμενο ονομάζεται ARP spoofing ή ARP poisoning, καθότι η παραβίαση πραγματοποιείται σε δίκτυο υπολογιστών βασιζόμενο στο πρωτόκολλο ARP.

Το πρωτόκολλο ARP (Address Resolution Protocol) είναι ένα πρωτόκολλο τηλεπικοινωνίας που αξιοποιείται για την ανάλυση των διευθύνσεων επιπέδου Δικτύου σε διευθύνσεις επιπέδου Συνδέσμου (επίπεδα του Μοντέλου Διαστρωμάτωσης  του Internet). Μέσω αυτού, μία δικτυακή διεύθυνση αντιστοιχίζεται σε συγκεκριμένη φυσική διεύθυνση (MAC address). Η λειτουργία του ARP αποφαίνεται κρίσιμη για δίκτυα πολλαπλής προσβασιμότητας και χρησιμοποιείται για τη διαχείριση των διευθύνσεων στα περισσότερα λειτουργικά συστήματα.

Ο κακόβουλος χρήστης μπορεί, μεταδίδοντας λανθασμένα πακέτα ARP, να μπερδέψει τους host ώστε να στείλουν τα πλαίσια δεδομένων τους στον ενδιάμεσο χρήστη χωρίς να το αντιληφθούν.

Η επίθεση man-in-the-middle στα δίκτυα επικοινωνίας: πώς διεξάγεται

Έστω ότι η νόμιμη επικοινωνία διεξάγεται μεταξύ των μερών Α και Β. Τα μέρη αυτά έχουν συνδυασμό IP- MAC 192.168.0.10- 10:10:10:10:10:10 και 192.168.0.20- 20:20:20:20:20:20 αντίστοιχα. Σκοπός του επιτήδειου είναι να πλαστογραφήσει τα στοιχεία του, ώστε στους καταλόγους ARP των νόμιμων μερών να φαίνεται ως ο έταιρος νόμιμος συνομιλητής.

Στέλνει λοιπόν πακέτα ARP στον Α με την IP του Β (192.168.0.20) και τη δική του φυσική διεύθυνση MAC 30:30:30:30:30:30. Όταν λοιπόν ο Α θέλει να στείλει δεδομένα στον Β, θα χρησιμοποιήσει την διεύθυνση MAC του επιτιθέμενου. Με τον ίδιο τρόπο ο τελευταίος στέλνει πακέτα ARP στον Β με την IP του Α (192.168.0.10) και την ισχύουσα φυσική του διεύθυνση MAC 30:30:30:30:30:30.

Τα νόμιμα μέρη χρησιμοποιούν τα δεδομένα που έχουν πλέον αποθηκευμένα στους καταλόγους τους. Με αυτόν τον τρόπο τα πακέτα επικοινωνίας αποστέλλονται απευθείας στον επιτιθέμενο χρήστη. Η επικοινωνία διεξάγεται χωρίς τα μέρη Α και Β να ενοχληθούν, αρκεί ο επιτιθέμενος να ολοκληρώνει την αποστολή κάθε πακέτου στον αρχικό προορισμό του. Στην περίπτωση που κάποιο πακέτο δε δρομολογηθεί σωστά, πιθανώς οι δυο host να καταλάβουν πως η επικοινωνία τους παρακολουθείται.

Η επίθεση man-in-the-middle στα δίκτυα επικοινωνίας: πρόληψη και προστασία

Ανάλογα με τα δικαιώματα που κατέχει ένας χρήστης (διαχειριστής δικτύου ή απλός χρήστης), η προσέγγιση των μεθόδων για προστασία διαφέρουν. Οι διαχειριστές έχουν πρόσβαση στο δρομολογητή (router) και κατ’ επέκταση είναι ευκολότερο για ένα διαχειριστή να εντοπίσει μία επίθεση ARP poisoning.

Ο διαχειριστής μπορεί ν’ ανακαλύψει την παρουσία  ενός επιτιθέμενου, από τη διακίνηση των δικτυακών πακέτων. Ο υπολογιστής μέσω του οποίου θα πραγματοποιείται μία επίθεση ARP spoofing, συνήθως παρουσιάζει μεγάλη κίνηση, καθώς λαμβάνει όλα τα πακέτα που ανταλλάσσουν οι υπολογιστές- στόχοι. Ο διαχειριστής δύναται επίσης  να αποτρέψει μία ανάλογη εν εξελίξει επίθεση, χρησιμοποιώντας στατικές καταχωρήσεις στον πίνακα καταχωρήσεων ARP.

Σε ένα στατικό πίνακα ARP η διεύθυνση IP κάθε υπολογιστή του δικτύου είναι αντιστοιχισμένη μονοσήμαντα με μία διεύθυνση MAC. Είναι πρακτικά αδύνατον κάποιος να αλλάξει τις αντιστοιχίσεις MAC address – IP address.  Οι στατικοί πίνακες εξασφαλίζουν ασφάλεια, προϋποθέτοντας όμως ότι σε κάθε υπολογιστή του δικτύου θα προστεθούν όλες οι αντιστοιχίσεις διευθύνσεων IP και MAC. Σε μικρά δίκτυα οι στατικές καταχωρήσεις αποτελούν άριστη λύση, καθώς μπορούν να υλοποιηθούν και να συντηρηθούν χωρίς ιδιαίτερο κόπο. Σε μεγάλα δίκτυα  για τις αντιστοιχίσεις διευθύνσεων IP – MAC και σε κάθε αλλαγή (π.χ. αντικατάσταση κάρτας δικτύου) πρέπει να επαναλαμβάνεται εκ νέου η ίδια διαδικασία.

Με την οπτική του χρήστη από την άλλη, τα πράγματα γίνονται πιο περίπλοκα, καθώς δεν υπάρχει κανένα ουσιαστικό μέτρο αποτροπής του ARP spoofing. Υπάρχει βέβαια η δυνατότητα εγκατάστασης εργαλείων προειδοποίησης για την περίπτωση ύπαρξης ανάλογης επίθεσης (XArp, ArpON). Τέτοιου είδους εργαλεία  δύνανται να εντοπίσουν τις προσπάθειες για αλλαγή των στοιχείων του καταλόγου ARP και κυκλοφορούν για λειτουργικά συστήματα τόσο Windows όσο και Linux. Κάποια εξ αυτών μπορούν ακόμη και να αναιρέσουν τις αλλαγές που εντοπίστηκαν στα ζεύγη IP- MAC του καταλόγου ARP του συστήματος, οπότε και να καταστήσουν την επίθεση αναποτελεσματική.

Απάντηση

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.