企業資安:如何防範中間人 (MitM) 攻擊?

網路基礎架構是企業使用者溝通及分享資訊的主要管道,因此,對於企圖滲透企業以竊取企業資料或者造成企業停擺的駭客來說,網路基礎架構是他們攻擊的首要目標。

中間人攻擊 (Man-in-the-Middle Attack) 簡稱 MitM攻擊,是一種從中「竊聽」兩端通訊內容的攻擊手法,可能對企業造成重大威脅。由於駭客不僅能從中接收資料,還能從中插入自己的資料,因此企業所傳輸的資料不僅可能外流,更可能遭到竄改。有鑑於企業網路很可能會傳輸一些關鍵的資料,因此 MiTM 攻擊是 IT 人員必須正視的重大真實威脅。

要防範 MiTM 攻擊,IT 人員首先要了解網路犯罪集團攻擊使用者和企業機構的各種技巧,如此當自己遭到攻擊時才能有所警覺。

位址解析協定 (ARP) 快取汙染

位址解析協定 (Address Resolution Protocol,簡稱 ARP) 是一種透過資料連結層 (data link layer) 將網路位址 (如 IPV4 和 IPV6) 對應到實體位址 (如 MAC 位址) 的通訊協定。基本上主機必須發送一個 ARP 請求到某個 TCP/IP 網路上來查詢對應的實體位址。但因為 ARP 協定安全性的問題,歹徒可能利用一種叫做 假冒 ARP 資料 (ARP Spoofing) 的技巧來發動 MiTM 攻擊。

由於 ARP 協定缺乏認證機制,因此駭客可以發送一個假的 ARP 訊息到區域網路 (LAN) 上,讓駭客鎖定的目標主機 IP 位址改對應到駭客電腦的實體位址。如此一來,原本要傳送給目標主機的網路流量都會改傳送至駭客的電腦。駭客接收到網路流量之後就能從事監聽或篡改通訊內容。

如何降低風險:

將電腦 IP 位址與 MAC 位址的對應資料手動加入快取當中並設成靜態 ARP 資料,是防止 ARP 快取遭到汙染的方法之一。此方法可防止駭客利用 ARP 請求/回覆訊息來汙染快取,因為網路上的裝置都將使用本機上手動設定的快取。然而這方法並不適合規模較大的企業機構,因為這樣網路上的每一台裝置都必須手動設定。

另一種方法是 IT 人員可採用 具備防範 ARP 假冒功能的軟體解決方案 來監控端點裝置上的執行程序,一發現傳送可疑 ARP 流量的執行程序就將它終止。

至於一般使用者,請務必透過 HTTPS 加密通訊協定來瀏覽網站,以防止駭客從中監聽。

SSL 和 TLS 挾持

SSL 和 TLS都是藉由加密連線來保障網站通訊安全的協定。一般使用者最常見到的加密連線應該就是 HTTPS 通訊協定。此協定基本上就是在傳統的 HTTP 通訊協定上加入 SSL 和 TLS 的加密保護。雖然這類通訊協定可提供更安全的連線,但依然可能遇到 MiTM 攻擊。因為許多使用者在連上某個網站時,不會在網址列上輸入「https」來啟用加密連線,因此使用者會先經由標準的 HTTP 協定連上沒有加密的網站,然後才被網站重導到使用 HTTPS 連線的網站。所以,駭客可在這個階段挾持連線,然後利用類似  sslstrip 的工具來去除 SSL 連線的保護。

如何降低風險:

HTTP 強制安全傳輸技術 (簡稱 HSTS) 是一套經由特殊的回應標頭來防範 MiTM 攻擊的安全機制,並且強制只能透過 TLS 或 SSL 連線來連上網站。如此就能避免一開始先經由 HTTP 連線再重導至使用 HTTPS 的網站所造成的漏洞。企業 IT 人員應該將 HSTS 列為一項標準安全措施,如此就能大幅提升網站安全,避免 MiTM 事件發生。既能保障企業安全,也保護網站訪客。

至於一般使用者則應隨時留意網站是否安全,在您輸入任何敏感資料 (如帳號密碼) 之前,務必先檢查網址列是否有 (綠色) 鎖頭的圖案。如果有這個 (綠色) 鎖頭圖案,代表您正在使用有效憑證所加密的網站連線。

假冒網域名稱伺服器 (DNS) 資料

另一種常見的駭客攻擊技巧就是利用假冒的資料來欺騙網路,網路犯罪集團經常使用假冒資訊的技巧來滲透網路,進而取得機密的資料和資訊。

歹徒利用假冒資訊的方式很多,例如,假冒網域名稱伺服器 (Domain Name Server,簡稱 DNS) 資料就是一種常見的 MiTM 攻擊。在假冒 DNS 資料 (DNS Spoofing) 的攻擊手法當中,駭客會利用 DNS 的設計漏洞來汙染 DNS 快取,讓 DNS 傳回的 IP 位址指向駭客所掌控的網站,例如:網路釣魚網站。DNS 資料遭到假冒的情況不容易發掘,因為駭客所架設的惡意網站經常跟原本的正常網站長得很像。

如何降低風險:

對於不熟悉這類攻擊的使用者來說,其實很難察覺自己的 DNS 資料遭人假冒。所以,IT 人員可定期清理本地端電腦與網路伺服器的 DNS 快取以保障網路使用者的安全。此外,使用 Microsoft 作業系統的用戶可利用 Domain Name Security System Extensions (DNSSEC) 網域名稱安全系統延伸模組來提升 DNS 的安全性,包括:來源的權威性、資料的完整性,以及受驗證的不存在性。DNSSEC 尤其能夠防範假冒 DNS 資料的攻擊。

趨勢科技解決方案

要防範網路遭到 MiTM 攻擊,需要一套結合多種不同防範技巧與解決方案的方法。

除了上述最佳實務原則之外,企業仍須考慮採用多層式的解決方案來保護網路的所有層面。

趨勢科技的 趨勢科技HYPERLINK “https://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites 智慧型防護套裝軟體和 Network Defense 網路防禦兩項解決方案可保護大型企業與中小企業,防範網路攻擊。這些解決方案提供了完整的多層式防護,經由電子郵件標頭檢查來偵測社交工程技巧與假冒行為,以及其他網路相關攻擊。

 

原文出處:Infosec Guide: Defending Against Man-in-the-Middle Attacks