Mitigación contra MITM en Starbucks

Hay varias formas de detectar si eres víctima de un ataque MITM, donde el atacante tiene la capacidad de desviar el tráfico y / o crear certificados falsos de una CA de confianza.

En el caso de que se conecte a un host al que se haya conectado anteriormente, se puede usar la fijación de certificados. Con la fijación de certificados, su cliente almacena el certificado que el host ha usado anteriormente y le avisa si el certificado ha cambiado. Así es como la gente en Irán descubrió el ataque MITM que el gobierno iraní estaba llevando a cabo en 2011 contra ciudadanos iraníes, utilizando certificados emitidos por el CA Diginotar, que había sido comprometido. Consulte enlace

Otra forma de detectar un certificado falso servido por un atacante MITM es usar un servicio como Perspectives ( enlace ) o Convergence (< a href="http://convergence.io/"> enlace ). Estos servicios funcionan mediante la creación de un grupo distribuido confiable de pares o "notarios" que trabajan juntos para verificar que todos los pares estén viendo el mismo certificado para un host determinado, y las conexiones entre pares se realicen a través de PKE utilizando claves previamente compartidas. p>     

En realidad no, no.

Primero, algunos términos. Usted menciona ARP Spoofing; Esto no es algo que se pueda detectar a nivel de IP. ARP es lo que le indica a qué dirección MAC dirigirse a sus marcos para enviarlos a una IP determinada; La suplantación ARP significa que usted cree que los está enviando a la IP correcta, pero su dispositivo los envía al atacante en la capa MAC. Sin embargo, esto puede ser detectado por un software que monitorea el tráfico ARP (prestando atención a las actualizaciones de ARP y notando cuando alguien envía uno que parece estar en conflicto con una actualización anterior).

La defensa contra un ataque MitM en un VPN basado en TLS es certificados (otros usan secretos compartidos). Alguien con un certificado falsificado ha ido mucho más allá de la etapa de "hacer su tarea", a la etapa "este es un atacante serio con capacidades serias". No es probable que funcione basándose en cosas que no están diseñadas para detener un MitM de ninguna manera y que se puedan replicar fácilmente (como una dirección RFC 1918 o la lista de puertos abiertos). Si el malo tiene las capacidades que su pregunta implica, pueden reenviar todos los paquetes al enrutador sin cambios, excepto aquellos con los que quieren meterse. No puede detectar esto, excepto al verificar la clave pública del certificado VPN con un valor que se sabe que es bueno, o al detectar la falsificación ARP en primer lugar.

Hay otras cosas que un atacante podría hacer; por ejemplo, podrían establecer un AP no autorizado conectado al real. Esto no implica suplantación ARP y no puede detectarse en la capa IP. No es tan difícil.

Básicamente: hay formas de realizar un ataque MitM. Para evitar eso, se inventaron los certificados; el punto de un certificado en una VPN es prevenir los ataques MitM. Usted está preguntando cómo evitar un MitM mientras se asume que la cosa diseñada para ese propósito exacto ha sido comprometida.

XArp se puede usar para detectar ataques de arp. También puede utilizar wireshark para analizar el flujo de tráfico a través de su dispositivo u observar las tablas de arp para detectar la falsificación de arp.