ScreSkill.com - Nasza pasja...
Zabezpieczenie przed atakiem typu MITM na WPAD - Wersja do druku

+- ScreSkill.com - Nasza pasja... (https://screskill.com)
+-- Dział: Forum dyskusyjne (https://screskill.com/forumdisplay.php?fid=103)
+--- Dział: Komputery (https://screskill.com/forumdisplay.php?fid=123)
+---- Dział: Bezpieczeństwo (https://screskill.com/forumdisplay.php?fid=134)
+---- Wątek: Zabezpieczenie przed atakiem typu MITM na WPAD (/showthread.php?tid=1872)



Zabezpieczenie przed atakiem typu MITM na WPAD - PATYrek - 11-05-2019

Co to takiego ten WPAD?

[Obrazek: 20160802WPAD1.jpg]

WPAD (Web Proxy Auto-Discovery), jest on domyślnie aktywowany we wszystkich systemach Windows.
Dzięki włączonej opcji na komputerze, laptopie a nawet telefonie (o ile posiada taką opcję) możliwe jest przechwytywanie ruchu danej osoby w sieci.
W jaki sposób?
Osoba która ma włączoną tą opcję w swoim urządzeniu, pozostawia ślad w danej sieci w postaci pliku o nazwie "PAC". Który to jest wysyłany do serwera proxy do strony atakującego.
Atakujący poprzez podstawienie własnych namiarów w tym pliku jest w stanie odczytać wszystkie dane z niezaszyfrowanych połączeń "https" zarówno jak i z "https", czyli z szyfrowanych połączeń z tym że w tym 2 przypadku dochodzi się do tego przez zapytania DNS-owe przechwytując następnie URL ofiary.
Atak może być pokroju lokalnego, poprzez podłączenie się do nieautoryzowanego WIFI typu np."hostspot" czy też globalnego poprzez atak na dany router i wszystkich urządzeń podłączonych do niego (chodzi tutaj głównie o firmy).




Jak wyłączyć te ustrojstwo?

A więc tak:

Panel sterowania > Sieć i internet > Opcje internetowe > Połączenia > Ustawienia sieci LAN
Następnie...
Odznaczamy opcję "Automatycznie wykryj ustawienia"


Co jeżeli chcemy korzystać jednak z tego WPAD?

1. Metoda:

Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej >Kliknij prawym przyciskiem myszy PPM (na wybrane połączenie przewodowe/bezprzewodowe)  > Właściwości > Protokół internetowy w wersji 4 (TCP/IPv4) > Zaznacz "Użyj następującego adresu IP"

2. Metoda:

Zmodyfikuj “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad” -> “Wpad” Dodając DWORD (32-Bit Value) o nazwie “WpadOverride” z wartością “1”.


Rady?
Generalnie zalecamy wyłączenie tej opcji w swoich urządzeniach, radzimy również nie korzystać z internetu od nieautoryzowanych dostawców.


RE: Zabezpieczenie przed atakiem typu MITM na WPAD - HypnoBeast - 11-05-2019

Bardzo interesujący poradnik, może w przyszłości właśnie tego rozwiązania będę potrzebował do danej sytuacji Wink.