Man in the middle saldırısı ağda, iki bağlantı arasındaki iletişimin dinlenmesi ile çeşitli verilerin ele geçirilmesi veya iletişimi dinlemekle kalmayıp her türlü değişikliğin yapılmasını da kapsayan bir saldırı yöntemidir. MITM’de iki taraf arasındaki iletişim kesilebilir ya da yanıltıcı bir iletişim oluşturulabilir. Bu saldırı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.
Kablosuz ağlarda ise paketler tamamen broadcast olarak yayıldığı için herhangi bir ön işleme gerek olmaksızın tüm paketler saldırgan tarafından yakalanabilir. Bu sebeple Ücretsiz Wi-Fi sağlayan alanlar, MiTM saldırısının gerçekleştirilmesi için en uygun alanlardır. Şifrelenmemiş paketlerin içerikleri kolaylıkla okunabilir. Wifi alanlarındaki saldırganlar network trafiğini kendi üzerlerinden geçecek şekilde yönlendirirler. Böylece o ağdaki kişilerin trafiği saldırgan üzerinden akmaya başlar. Bu trafiği ele geçiren saldırgan buradan birçok kişisel veri şifre vs. elde edebilir.
Saldırganın gerçekleştirdiği saldırıda hedef ile ağ unsurları (sunucu, switch, router ya da modem) arasında geçen trafiği dinlemek ve İletişim ağı üzerinde serbestçe dolaşan veri paketlerini ele geçirmek yerel ağda veya uzak bir ağda gerçekleştirebilir. Aşağıdakiler dâhilinde birçok farklı çeşidi de bulunmaktadır.
Yerel Ağ Üzerinde Yapılabilecek Saldırılar
ARP Poisoning (ARP Zehirlenmesi): Saldırgan sahte ARP Request çerçevesi ile kendisini hedef olarak gösterir. Böylece gerçek hedefe gidecek olan paketler saldırgana doğru gelir. Saldırgan MAC Adresini hedef bilgisayarın tablosuna ‘Ağ Cihazı MAC Adresi’ olarak eşleştirme yaptırır. Trafik bu şekilde kendi üzerinden akmaya başlar.
DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma): DNS ön bellek zehirlenmesi bir DNS sunucusunun ön bellek veri tabanına veri eklenerek ya da oradaki veriler değiştirilerek ad sunucunun yanlış IP adresleri dönmesine ve trafiğin başka bir bilgisayara (sıklıkla da saldırıyı gerçekleştirenin bilgisayarına) yönlendirilmesine neden olan bir saldırıdır.
Port Stealing: Saldırgan, sahte ARP çerçevesi oluşturarak hedef sunucunun MAC adresini kaynak adres olarak kullanır. Switch, kurban bilgisayarın aslında bir saldırganın bağlı olduğu porta bağlı olduğunu sanarak kandırılır. Böylece kurbanın bilgisayarı için gönderilen tüm veri çerçeveleri, saldırganın switch portuna gönderilir.
STP Mangling: STP protokolünün çalışmasını engelleyen ve sürekli topoloji değişim isteği yollayan bir saldırı türüdür.
Yerel Ağdan Uzak Ağa Gateway Aracılığıyla Yapılabilecek Saldırılar
ARP Poisoning (ARP Zehirlenmesi)
DNS Spoofing (DNS Önbellek Zehirlenmesi, Aldatma)
DHCP Spoofing (DHCP Aldatma): Saldırgan DHCP sunucusu görevi görerek kurban bilgisayarlara IP dağıtır ve gateway olarak kendi adresini verir. Bu şekilde ağ trafiği kendi üzerinden akar.
ICMP Redirection: Yayınlanan ICMP Redirect mesajları saldırı amacıyla saldırganlar tarafından trafiğini üzerlerine almak için kullanılan saldırı yöntemidir.
IRDP Spoofing: ICMP Router keşif protokolü, ana bilgisayarın aktif yönlendiricilerin IP adresini keşfetmesini sağlar. Saldırgan, sahte ağdaki IRDP yönlendirici reklam iletisini alt ağdaki ana bilgisayara göndererek varsayılan yönlendiricisini değiştirmesine neden olur.
Route Mangling: Saldırgan internetteki istemci için en iyi route olduğunu gatewaye sahte paketler yollayarak kandırır. Paketler gatewaye uğramadan doğruca istemciye iletilir.
Uzak Ağ Üzerinde Yapılabilecek Saldırılar
DNS Poisoning (DNS Zehirlenmesi)
Traffic Tunneling: Saldırganın bir tünel oluşturarak kendisini iç ağa yerleştirmesine olanak tanıyan saldırı türüdür
Route Mangling
Tespit ve Korunma Yöntemleri
-Ortadaki adam saldırısının tespiti oldukça zor olduğu için korunma yöntemlerine önem vermek daha uygun olacaktır.
-Kimlik doğrulama, mesajın nereden geldiğine dair doğrulama sağlanması korunma ve tespit için yöntemlerden biri olabilir. Sunucuyla değiştirilen iletinin orijinal olduğunu doğrulamak sahte paketlerden korunmayı sağlamaktadır. Sertifikalar kullanılarak kimlik doğrulaması yapılabilir. TLS gibi bir açık anahtara altyapısı MITM saldırısına karşı TCP’yi sağlamlaştırabilir. DNSSEC, DNS kayıtlarını doğrulayarak kötü niyetli ıpye yönlendirmesini engelleyerek DNS protokolünün güvenliğini sağlayabilir. SSH ve potansiyel olarak IPSec gibi güvenli protokolleri kullanmak ağı daha güvenli hale getirebilir, verileri doğrulayabilir ve şifreleyebilir. Ağda bulunan her noktanın güvenli sağlamlaştırılmalıdır.
-Kablosuz erişim noktalarında güçlü bir şifreleme mekanizmasına sahip olmak, istenmeyen kullanıcıların ağınıza katılmasını önler. Şifreleme uygulaması ne kadar güçlü olursa, ağ oa kadar güvenli olur. Halka açık ve şifresiz WiFi ağlarını kullanmaktan kaçının.
-Ağınızın yetkisiz erişimi engellemek için güçlü güvenlik duvarları ve protokolleri olmalıdır.
-Sahtecilik denemelerini tespit etmek ve engellemek için üçüncü taraf penetrasyon test araçlarını, yazılımını ve HTTPS şifrelemesini kullanın. HTTPS destekli siteleri kullanın.
-Sisteminizde çalışan açılışta çalışan bir tarayıcı içeren etkin virüs ve kötü amaçlı yazılım koruması yükleyin.
-Çalışanların bu konuda bilinçli olmasını sağlamak için eğitimler verin.
-VPN kullanın. Hassas veri alışverişi için güvenli olan yerel bir ağ çerçevesinde bir alt ağ oluşturmak için kullanılabilir. Anahtar tabanlı şifreleme, tüm trafiğin şifrelenmesini sağlayacak ve şifrelenen verileri yalnızca yetkili kişiler görebilecektir. Bu nedenle VPN varsa ortadaki adam saldırılarının gerçekleştirilmesi zor olmaktadır.
Adli Analiz
Ağda bir MiTM saldırısı olup olmadığını ve saldırısı gerçekleştiyse kaynağını tespit etmek için bakılacak kayıtlar şunlardır.
– Sunucunun IP adresi – DNS adı
– Sunucunun X.509 sertifikası geçerlilik durumu, hangi sertifika otoritesi tarafından imzalanmış vb. sertifika ile ilgili detayların incelenmesiyle saldırı analizi yapılabilir.
Kaynak : Beyaz.Net