Parece haver muitas maneiras possíveis de criar ataques man-in-the-middle em pontos de acesso públicos, roubando o endereço IP local do ponto de acesso com a falsificação de ARP. Os possíveis ataques variam de falsificar campos de solicitação de senha a alterações de conexões HTTPS a HTTP e até mesmo a possibilidade recentemente descoberta de injetar cabeçalhos maliciosos no início de conexões TLS seguras.
No entanto, parece ser alegado que esses ataques não são muito comuns. Seria interessante ver por mim mesmo. Quais são as formas de detectar se um ataque desse tipo está sendo tentado por alguém na rede?
Acho que ter uma página de login HTTP simples seria uma pista óbvia, e é claro que você poderia rodar o Wireshark e continuar lendo todo o tráfego ARP interessante ... Mas uma solução automatizada seria um pouco mais conveniente. Algo que analisa coisas no fundo e alerta se um ataque é detectado na rede. Seria interessante ver por mim mesmo se esses ataques estão acontecendo em algum lugar.
Não há como detectar um MITM arbitrário, porque existem várias técnicas para realizá-las.
No entanto, a maioria dos ataques MITM em Ethernet ou WLAN usam ARP spoofing para redirecionar o tráfego. Existem ferramentas para detectar spoofing ARP, estas devem indicar a maioria dos ataques MITM. Veja por exemplo a página da Wikipedia para algumas ferramentas.
Não há uma maneira à prova de falhas de detectar isso (se houvesse, ataques MitM não seriam um problema!). Existem algumas técnicas possíveis, no entanto.
Você pode tentar ver os horários necessários para servir alguma coisa; um atraso pode indicar um ataque MitM ocorrendo. Ou pode apenas indicar que a rede está sendo lenta.
Se você acha que alguém está editando o conteúdo das coisas que está enviando / recebendo pela rede pública, verifique as impressões digitais / hashes MD5 / etc. dos dados que você está enviando / recebendo.
Como Maciek aponta, se o MitM estiver jogando com certificados e conexões SSL, isso deve ser bastante óbvio, já que os navegadores irão avisá-lo se os certificados não corresponderem (embora você precise confiar em seu navegador; se alguém já instalou certificados falsos no seu computador, isso não é muito útil).
Os ataques do MiM são feitos contra o tráfego criptografado (você não precisa fazer o MiM em tráfego não criptografado, pode apenas detectá-lo).
Existe alguma matemática por trás disso, mas é uma longa história: você tem que verificar a impressão digital chave. Por exemplo, quando você faz login via ssh pela primeira vez, o cliente ssh exibe a impressão digital dos servidores. Se você quiser se proteger contra o MiM, saiba qual é a impressão digital antes da tentativa de login (por exemplo, pergunte ao administrador usando outro canal seguro, por exemplo, conversa cara a cara).
Isso é muito impraticável. A resposta para esse problema são autoridades de certificação ( link ). Neste cenário, o computador armazena impressões digitais conhecidas de chaves de empresas confiáveis. Que empresas assinam chaves para outras empresas. É importante verificar se o certificado usado está assinado corretamente. Felizmente, os navegadores modernos fazem isso automaticamente e exibem muitos avisos se algo estiver errado.
arpwatch funciona para mim:
sudo aptitude install arpwatch
echo "wlan3 -a -n 10.10.0.0/24 -m [email protected]" | sudo tee -a /etc/arpwatch.conf
/etc/init.d/arpwatch start
Como você disse, seria bom automatizar a defesa. O link parece ajudar com o envio de alertas por SMS, etc. O resto é com você e seus filtros MTA ( postfix ) e de e-mail .