Man-in-the-middle

Bij een man-in-the-middle-aanval (MITM) nestelt een aanvaller zich ongemerkt tussen twee partijen die denken rechtstreeks met elkaar te praten. Al het verkeer loopt via de aanvaller, die kan meelezen én wijzigen.

Hoe de aanvaller ertussen komt

TechniekWerkwijze
ARP-spoofingOp het lokale netwerk claimen dat jouw MAC-adres bij het IP van de gateway hoort
Rogue access pointEen vals wifi-netwerk met een vertrouwde naam
DNS-spoofingValse DNS-antwoorden sturen slachtoffers naar de server van de aanvaller
Malafide proxyVerkeer via een door de aanvaller beheerde tussenstap leiden

Verdediging

Versleuteling met authenticatie is dé verdediging: de aanvaller kan verkeer wel onderscheppen, maar niet lezen of ongemerkt wijzigen.

  • TLS met certificaatvalidatie — een MITM kan geen geldig certificaat voor het echte domein tonen; negeer certificaatwaarschuwingen dus nooit
  • SSH host keys — de waarschuwing "REMOTE HOST IDENTIFICATION HAS CHANGED" is precies dit alarm
  • VPN — op onvertrouwde netwerken al het verkeer versleutelen
  • HSTS — voorkomt dat een aanvaller HTTPS naar HTTP terugschakelt

Zie ook

  • arp — het protocol dat ARP-spoofing misbruikt
  • tls — versleuteling die MITM breekt
  • certificaat — waarom validatie cruciaal is
  • vpn — bescherming op onvertrouwde netwerken
  • ssh — host keys als MITM-detectie
beveiligingnetwerk