Man in the middle (ortadaki adam), adında anlaşılacağı gibi birinin ağa girip, ağdaki trafiği kendi üzerinden geçirip tüm bilgileri görebilmesidir. Bu tür atakta, saldırganın bilgisayarı bir router, switch gibi davranır.
Mitm atağı yerel, yerelden uzak ve uzak ağlarda çeşitli yollarla yapılabilir. Bunlar şu şekilde sıralanabilir:
Yerel Ağda (Local Area Network):
- Arp Poisoning
- DNS Spoofing
- STP Mangling
- Port Stealing
Yerleden Uzak Ağda (From Local to Remote):
- ARP Poisoning
- DNS Spoofing
- DHCP Spoofing
- ICMP Redirect
- IRDP Spoofing
- Route Mangling
Uzak Ağda (Remote Network):
- DNS Poisoning
- Traffic Tunneling
- Route Mangling
Mitm atağında saldırgan, bilgisayarında router gibi davranmak için ip forwarding özelliğini etkin hale getirmelidir. Ancak Cain&Abel’ de buna gerek yoktur. Program, bu özelliği kendi bünyesinde barındırır.
Cain&Abel programında yerel ağda arp poisoning yöntemini kullanarak mitm atağını gerçekleştirelim.
1. İlk önce ağdaki bilgisayarları önceki yazımda anlattığım gibi tespit ediyoruz. Ağımızdaki düğümleri tespit ettikten sonra Mitm atağı için Arp zehirleme (arp poisoning) atağını gerçekleştirmemiz gerekir. Kurbanın (192.168.2.4) gönderdiği paketlerin, anahtarlayıcı (switch) yerine saldırgan bilgisayara (192.168.2.3) ulaşmasının sağlanması ile bu olay gerçekleştirilir. Bunun için de saldırganın fiziksel adresi (00:13:02:e2:58:44), anahtarlayıcının fiziksel adresi gibi gösterilmelidir. Cain&Abel programında, arp poisoning atağını Sniffer bölümü seçiliyken yapabiliriz.
2. Sniffer bölümünde APR (Arp Poison Routing) seçili iken artı (+)sembolüne tıklıyoruz.
3. Arp zehirleme atağı için kurbanı seçiyoruz.
4. Formun sağından Arp zehirlenmesinden etkilenmesi gereken düğüm ya da düğümleri seçiyoruz (192.168.2.1).
5. Arp poisoning aşaması tamamlanır, seçtiği kurbanın bir siteye girmesini bekler.
6. Kurban herhangi bir siteye girdiğinde eğer bilgisayarı güvenli değilse ya da güvenli bir ağda değilse, bu bilgisayarın tüm bilgileri saldırganın bilgisayarından geçer. Ve aşağıda bu yönlendirmeleri görebiliriz.
7. Eğer kullanıcı, sertifikası doğrulanmamış bir siteye giriş yapıyorsa, bir uyarı alır. Bu uyarıyı alan kullanıcıların işleme devam etmemesi gerekir. Çünkü bilgilerinin kötü niyetli biri tarafından izlenme olasılığı yüksektir. Aşağıda yanlış ve doğru olan sertifikaları görmekteyiz.
Arp poisoning yöntemi ile yapılan mitm atağı basit güvenlik önlemleriyle engellenebilir. Bunlardan bazıları şunlardır:
1. Anahtarlayıcı (Switch) üzerinde arp zehirlenmesi engellemek için kullanılması gereken örnek konfigürasyon:
CiscoSW(config)#ip arp inspection vlan 1
CiscoSW(config)#ip arp inspection validate dst-mac src-mac ip
CiscoSW(config)#arp access-list servers
CiscoSW(config-arp-nacl)#permit ip host 192.168.69.25 mac host 000c.2957.6b39 log
CiscoSW(config-arp-nacl)#exit
CiscoSW(config)#ip arp inspection filter servers vlan 1
2. Anahtarlayıcı (Switch) üzerinde her ip adresini bir fiziksel (mac) adresine eşleştirmek. Bu sayede varsayılan ağ geçidinin mac adresi değiştiğinde bu kullanım geçersiz olmaktadır.
Switch(config)#interface <arayüz adı> <arayüz numarası>
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum <toplam düğüm sayısı>
Switch(config-if)#switchport port-security violation <protect | restrict | shutdown>
Switch(config-if)#switchport port-security mac-address <Düğümün MAC adresi>
3. SSL sertifikası güvenlik uyarılarını dikkate almak. Eğer güvenli ssl sertifikaları kullanılırsa kurban girdiği sayfada öncelikle güvenlik sertifikası kontrolü yapılır. Kontrol sonucunda eşleşmeyen bir sertifika olursa hata mesajı görülür.
4. İzleme Programları kullanmak (Arpwatch, Arpsnmp)
Eğer ben bunlarla yetinmem diyorsanız, önleme yöntemlerini cisco cihazlar için ayrıntılı bir şekilde burada bulabilirsiniz.
Popularity: 19% [?]
