Kablosuz ağlarda Man-in-the-Middle Attack

MITM saldırısı WLAN sisteminde muhtemelen en güçlü saldırılardan biridir. Bu ataklarda kullanılabilecek birçok farklı konfigürasyon seçeneği vardır. Biz bugün yapacağımız saldırıda en yaygın olan – saldırgan kablolu şekilde internete bağlanıp Wireless Adaptör ile gerçek olmayan bir AP (Access Point) üretir ve çevreye kurbanın erişmek istediği bir AP ile aynı ismi kullanıp broadcast yayını yapar. Eğer kurban yanlışlıkla bu tuzağa düşerse (ya da gerçek olan AP’den daha güçlü sinyal yayarak ve şifre koymadan tuzak olan AP’ye bağlanması sağlanabilir) ve gerçek olduğunu düşünüp hassas işlemlere devam edebilir.

Saldırgan kurduğu kablolu ve kablosuz bağlantı arasındaki köprü sayesinde kurbanın trafiğini şeffaf bir şekilde izleyebilir.

Şimdi bu saldırıyı kablosuz ağlarda adım adım simüle edelim.

  1. Bu atağı gerçekleştirmek için öncelikle saldırganın bilgisayarından airbase-ng kullanarak “Certby” adında yeni bir AP kuracağız. Aşağıdaki komutu terminalde yürütelim:

Airbase-ng –essid Certby -c 11 wlan0   (wlan modu: Monitor)

  1. Önemli noktalardan biri yukarıdaki komutu yürüttüğümüzde at0 adında yeni bir arayüz oluşturur. Bunu kablolu taraf ile yazılım tabanlı AP olan certby arasında bir arayüz olarak düşünebilirsiniz.
  2. Şimdi de saldırganın bilgisayarından kablolu (eth0) ile kablosuz (at0) arayüz arasında oluşan köprüyü kuralım. Komutların aşağıdaki gibidir:
  • brctl addbr mitm-bridge
  • brctl addif mitm-bridge eth0
  • brctl addif mitm-bridge at0
  • ifconfig eth0 0.0.0.0 up
  • ifconfig at0 0.0.0.0 up
  1. Bu köprüye IP adresi atayıp gateway ile olan bağlantıyı kontrol edebiliriz. Tabi ki bunu DHCP kullanarak yapıyoruz. IP atamak için aşağıdaki komutu kullanıyoruz.
  • ifconfig Certby-bridge 192.168.1.104 up
  1. Şimdi çekirdekte IP yönlendirmeyi açalım böylece yönlendirme ve paket iletme işleminin doğru şekilde gerçekleşmesi için aşağıdaki komutu kullanalım:
  • echo 1 > /proc/sys/net/ipv4/ip_forward
  1. Şimdi kurbanın bilgisayarından Certby erişim noktasına bağlanalım. Bilgisayar otomatik olarak DHCP üzerinden bir IP adresi alacaktır. Şimdi bağlantıyı kontrol etmek için kablolu bağlantı tarafı olan 192.168.1.1‘e ping atabiliriz:
  2. Eğer cihazın ping paketlerine karşılık verdiğini görüyorsak artık tuzak kurulmuş demektir.
  3. Bunu ayrıca terminalden airbase-ng komutunu kullanarak da doğrulayabiliriz.
  4. Burada dikkat edilmesi gereken ilginç bir nokta da tüm trafiğin kablosuz arayüzü kablolu tarafa bağladığımızda trafik üzerinde tam kontrole sahip oluyoruz. Bunu Wireshark’ı başlatıp at0 arayüzünü dinleyerek de doğrulayabiliriz.
  5. Kurbanın bilgisayarından 192.168.1.1’e ping atalım. Wireshark’a baktığımızda ICMP paketlerinin bizim için listelendiğini görebiliyoruz. İşte bu Man-in-the-Mittle saldırısının gücü.

Sonuç:

Hedeflediğimiz şirketin wifi ağının herkese açık halini üretip bağlanan cihazların trafiğini görebildik. Cihazların trafiğini görebilmek demek eğer ki kurbanlar arasında hassas bilgilere erişimi olan kişiler de varsa saldırgan trafiği analiz edip bu gizli bilgileri ifşa edebilir. Bu nedenle halka açık olan ve şifre istemeyen ağlara bağlanırken çok dikkatli olunmalı gerekli önlemler de alınmalıdır.

Kaynakça:

Kali Linux Wireless Penetration Testing: Beginner’s Guide: Cameron Buchanan 138/142