joschi
Aus ProgrammingWiki
Man-in-the-Middle
Das Zielbei einem Man-in-the-Middle-Angriff ist es sich unbermerkt zwischen die Kommunikation von zwei oder mehr Partnern zu schleichen.Um zum Beispiel die Informationen mitzulesen oder zu manipulieren. Der Angreifer gibt sich hierbeio dem Sender als Empfänger aus und dem Empfänger als Sender, er begibt sich "in die Mitte" der Kommunikation. Anschließend leitet er eine Verbindungsanfrage des Senders zu sich um. Der nächste Schritt den der Angreifer macht ist eine Verbindung zu dem eigentlichen Empfänger der Nachricht aufzubauen. Wenn ihm das gelingen sollte kann der Angreifer unter Umständen alle Informationen, die der Sender an den vermeintlichen Empfänger sendet, einsehen oder manipulieren, bevor er sie an den richtigen Empfänger weiterleitet. Auf die Antworten des Empfängers kann der Angreifer wiederum ebenfalls zugreifen, wenn nicht entsprechende Schutzmechanismen wirksam sind.
Gegenmaßnahmen
Am effektivsten lässt sich dieser Angriffsform mit einer Verschlüsselung der Datenpakete entgegenwirken, wobei allerdings Schlüssel über ein zuverlässiges Medium verifiziert werden müssen. Das bedeutet, es muss eine gegenseitige Authentifizierung stattfinden; die beiden Kommunikationspartner müssen auf anderem Wege ihre digitalen Zertifikate oder einen gemeinsamen Schlüssel ausgetauscht haben, d. h., sie müssen sich entweder kennen oder eine Zertifizierungsstelle nutzen. -SSH (Secure Shell) bietet eine Möglichkeit, durch Fingerabdruck („fingerprint“) nach dem erstmaligen Anmelden („login“) zu prüfen, ob man tatsächlich den Zielrechner erreicht hat. -TLS (Transport Layer Security): Das u. a. bei HTTPS verwendete TLS beruht auf Zertifikaten; einem Schlüssel-Paar (öffentlicher und privater) plus beschreibender Informationen. Dieses Zertifikat wird i. d. R. von einer vertrauenswürdigen Zertifizierungsstelle unterschrieben, nachdem diese die Identität des Antragstellers festgestellt hat.
Wie verschaffen sich Mittelmänner Zugriff?
Um den Datenverkehr zwischen zwei oder mehr Systemen zu infiltrieren, bedienen sich Hacker verschiedener Techniken, die an bekannten Schwachstellen der Internetkommunikation ansetzten. Eine Angriffsfläche für LAN-interne Man-in-the-Middle-Attacks bietet zum Beispiel der Service DHCP (Dynamic Host Configuration Protocol), der für die Vergabe lokaler IP-Adressen zuständig ist, sowie das ARP-System (Address Resolution Protocol) zur Ermittlung von Hardwareadressen (Media-Access-Control, MAC). Globaler lassen sich Mittelsmannangriffe durch die Manipulation von DNS-Servern realisieren, die für die Auflösung von Internetadressen in öffentliche IPs zuständig sind. Darüber hinaus nutzen Hacker Sicherheitslücken in veralteter Browsersoftware aus oder stellen nichts ahnenden Internetnutzern korrumpierte WLAN-Zugänge zur Verfügung.
