Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
Gaten

6 technieken van netwerkkapers (en wat je ertegen doet)

Om je te bewapenen tegen aanvallers, kijken we naar 6 veelgebruikte trucs.

Wat doe je tegen SSL Stripping, ARP Cache Poisoning en andere man-in-the-middle-technieken? We bekijken zes methodes en geven advies om netwerkkapingen via deze methodes te voorkomen.

Man-in-the-middle-aanvallen zijn lastige en geniepige methodes die opduiken in alles van je cloud-inzet tot middelen om communicatie te beveiligen. Het idee is dat aanvallers meeliften op de communicatie tussen twee punten om belangrijke gegevens af te romen.

Je moet weten welke methoden worden gebruikt om netwerkcommunicatie te kapen om je er tegen te kunnen wapenen. In dit artikel behandelen we zes veelvoorkomende aanvallen en we spraken beveiligingsspecialisten om te weten te komen hoe je je hier tegen wapent.

1. Sessiekaping

Dit gebeurt als een aanvaller een securitytoken van een browsersessie die wordt gebruikt tussen server en client te pakken krijgt. Hiermee krijgt de crimineel toegang tot de gebruiker, de webserver, of allebei.

Er zijn meerdere manieren om een sessiekaping in gang te brengen, onder meer met packetsniffing om het sessie-ID te bemachtigen, bruteforcen van ID's die niet lang genoeg zijn of via een man-in-the-browser-aanval. Met die laatste wordt de browser geïnfecteerd met een trojan om communicatie tussen de browser en de server te kunnen manipuleren.

Hoe man-in-the-browser malware werkt en sessies kaapt.

Bestrijding:

Deze methode maakt dus gebruik van kwetsbaarheden als zwakke (korte) sessie-ID's en tools als packetsniffing of trojans. Een bedrijf moet daarom in de eerste plaats gebruikmaken van sterke sessie-ID's. Daarnaast moet het verkeer worden beveiligd met technologieën als IPsec en VPN. Verder is het verstandig gebruik te maken van virtuele machines die na infectie opnieuw starten vanaf basisimage zonder besmetting.

2. DNS-spoofing

Als aanvallers gecachte DNS-records vervangen, kan de koppeling die DNS maakt tussen een IP-adres en domein worden aangepast. Dat noemen we DNS-spoofing en het betekent dat bijvoorbeeld iemand die naar computerworld.nl surft niet naar het eigenlijke IP-adres van deze site gaat, maar naar het IP-adres van iemand anders. Die kan bijvoorbeeld een exploitpagina draaien of een site nabootsen om gebruikers ertoe te zetten inloggegevens achter te laten.

In deze tutorial worden gegevens in een DNS-hostfile vervangen door de associaties die de aanvaller maakt.

Bestrijding:

Deze aanval werkt als een DNS-server de associaties van domeinen met IP-adressen die het krijgt van een legitieme autoriteit niet controleert. Een aanvaller kan zo verbinding leggen met de gebruiker, zonder dat de websitebeheerder daar een melding van ontvangt. Dit voorkom je met DNSSEC.

3. Nep-accesspoints

Het aanbieden van een WiFi-spot die een andere nabootst is de meest gebruikelijke aanval. Met tools als Kali Linux, Wireshark, Aircrack-ng of Ettercrap pikken aanvallers draadloze communicatie op, identificeren ze WLAN-gebruikers en bepalen ze welk accesspoint ze gebruiken. De aanvaller kan er dan voor zorgen dat ze uit hun verbinding worden gelogd en de slachtoffers verbinding maken met hun AP.

Tools die netwerkbeheerders gebruiken om pakketjes te analyseren, worden ook gebruikt door mensen met snode bedoelingen.

Bestrijding:

Valse WiFi-hotspots gebruiken dezelfde SSID als het gekloonde accesspoint en versterken het signaal zodat het sterker is dan het signaal van de oorspronkelijke AP. Aanvallers rekenen erop dat een apparaat vervolgens automatisch verbinding legt met het SSID met de sterkste verbinding. Om deze aanval te voorkomen moet automatisch verbinden zijn uitgeschakeld. Kijk vervolgens kritisch naar de beschikbare SSID's en wees op je hoede als twee dezelfde naam gebruiken.

4. SSL-kaping

Met deze methode kruipt een aanvaller in de handshake-procedure van een encryptieproces. Het is dan de bedoeling om gebruikers naar een onversleutelde site te brengen in plaats van de https-versie die ze eigenlijk verwachten. De proof of concept van deze aanval is uitgedacht door legendarische beveiligingsonderzoeker Moxie Marlinspike. Een tool monitort daarbij het verkeer en vervangt een https-link voor een link naar http.

Moxie Marlinspike legt op Blackhat 2009 uit hoe SSL Stripping in zijn werk gaat.

Bestrijding:

Zorg ervoor dat certificaatbeheertools de recentste versie van TLS gebruiken en maak voor zover mogelijk niet meer gebruik van SSL. Kijk wel naar de kwetsbaarheden in deze technologieën. Zo is RC4-versleuteling kwetsbaar voor MitM-aanvallen en dat moet dan ook niet meer gebruikt worden in je oplossing. Verder moeten TLS en andere authenticatiemiddelen uiteraard correct zijn geconfigureerd.

5. ARP Cache Poisoning

Zoals je misschien al in een van de voorgaande video's hebt gezien, zorgt het Adress Resolution Protocol (ARP) ervoor dat IP-adressen worden vertaald naar het MAC-adres van een daaraan geassocieerde machine. Als deze vertaalslag wordt gemaakt, wordt het omgezette resultaat opgeslagen in een cache: de ARP-cache.

Met de aanval worden valse IP-naar-MAC-associaties in ARP-replies gestuurd, zodat de netwerkhosts hun ARP-caches bijwerken met incorrecte informatie. De aanvaller zorgt er op die manier voor dat zijn of haar MAC-adres wordt gezien als de legitieme host waardoor data die daarvoor is bedoeld kan worden opgepikt.

Een basisuitleg van ARP: IP-hosts willen van elkaar weten wie ze zijn en wisselen hardwareadressen uit.

Bestrijding:

Een gelaagde beveiligingsaanpak helpt tegen ARP Cache Poisoning en andere MitM-aanvallen. Gebruik Deep Packet Inspection (DPI) en andere netwerkmonitoringstools om te kijken welke pakketjes worden aangeboden, zodat je valse ARP-replies ziet gebeuren. Het is verder belangrijk om deze tools zelf ook goed te beveiligen, zodat ze niet worden gefopt door aanvallers.

6. Man-in-the-cloud

Bij een man-in-the-cloud-aanval worden OAuth-tokens op de korrel genomen om het geautomatiseerde synchronisatieproces met cloudtools over te kunnen nemen. Tools als Box, Dropbox, Google Drive en OneDrive synchroniseren automatisch meerdere apparaten met elkaar en gebruiken OAuth om de gebruiker te legitimeren.

Een aanvaller phisht de gebruiker om diens OAuth-token te bemachtigen. Die zet vervolgens dat token op een eigen apparaat, waarna de dienst bestanden gaat synchroniseren vanuit de account van de originele cloudgebruiker naar het systeem van de aanvaller. De aanvaller kan die synchronisatielink behouden, zonder dat de eigenaar dat doorheeft.

Via OAuth stellen de client en server een offline shared secret in en deze token wordt gebruikt om een applicatie in het vervolg geautomatiseerd toegang te geven tot de server.

Bestrijding:

Een Cloud Access Security Broker werpt zich op als proxy tussen jou en de cloudleverancier en zorgt er bijvoorbeeld voor dat beveiliginsgspolicy's die de cloudtool niet aanbiedt worden afgedwongen. Tools als CloudLock for Okta bieden zo een extra beveiligingslaag die ervoor zorgt dat eventuele wolven in schaapskleren in de cloudcommunicatie in realtime worden opgemerkt.

Relevante profielen

Bekijk alle CIO-profielen »
Bekijk alle CXO-profielen »

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview