Maatregelen tegen MITM / DNS Hijack?

Eigenlijk blijft er weinig anders over dan enkel vertrouwde (Wi-Fi) netwerken te gebruiken (als in goed beveiligd, lage waarschijnlijkheid op een hack van netwerk) en als dat niet kan 4G. Bij beide dan ook tenminste het DNS verkeer versleutelen.

Ik loop al een aantal jaar rond met een tablet dat altijd het (o.a.) DNS verkeer naar eigen DNS servers in een datacenter stuurt voorzien van IPsec. En dat werkt verrassend vaak niet op Wi-Fi netwerken bij bedrijven e.d. En ook niet zomaar via tethering op een telefoon; dan moet het vaak in een VPN tunnel vanaf de telefoon.

Niet werkbaar voor de 'gewone man' dus. Maar Tweakers moet het wel lukken.

Skyaero schreef op maandag 1 oktober 2018 @ 10:10:
• Het meest eenvoudige leek mij het aanpassen van de DNS server in mijn telefoon. Ik wil mijn telefoon (zoals ik dat onder Windows kan) vertellen welke DNS server ik wil gebruiken (bijv. OpenDNS). Probleem daarbij: Dat kan niet op mijn Nokia 2 / Android 7. En third party apps lijken veelal niet betrouwbaar.

Dat gaat tevens niet helpen.

Volgens mij "luistert" die pineapple naar (onversleutelde) DNS requests, blokkeert/black-holed de antwoorden en stuurt een speciaal geprepareerd antwoord terug. Maakt dus niet uit welke DNS-server je gebruikt.

Tja... ik heb, sinds ik zo'n onbeperkt abonnement op mijn telefoon heb, mijn wifi niet meer aangehad. Mede omdat 4g sneller bleek dan wat mijn modem (op twee meter afstand) kon uitpoepen.
Wil ik (onderweg) van mijn laptop gebruik maken, dan wordt mijn telefoon hotspot (al was het maar omdat de wifi in de trein mij te beperkt is).

Je hoeft WiFi niet volledig uit te schakelen. Wat je niet (NOOIT) moet doen, en als het goed is toch al niet deed, is verbinden met onbeveiligde wifi-netwerken of netwerken waarvan de WPA-key publiekelijk bekend is.

En neem voor de zekerheid ook even het lijstje bekende netwerken in je telefoon/op je laptop door, om te kijken of er niet nog zo'n netwerk in staat dat je tig jaar geleden één keer gebruikt hebt.

mcDavid schreef op maandag 1 oktober 2018 @ 12:28:
Je hoeft WiFi niet volledig uit te schakelen. Wat je niet (NOOIT) moet doen, en als het goed is toch al niet deed, is verbinden met onbeveiligde wifi-netwerken of netwerken waarvan de WPA-key publiekelijk bekend is.

En neem voor de zekerheid ook even het lijstje bekende netwerken in je telefoon/op je laptop door, om te kijken of er niet nog zo'n netwerk in staat dat je tig jaar geleden één keer gebruikt hebt.

Ok, dat is een redelijke random tip. Je weet wat zo'n Pineapple doet of kan doen?

Niet in detail, nee. Maar voor zover ik weet wordt WPA2 encryptie nog altijd als veilig beschouwd. Zolang je device alle recente securitypatches heeft en niet (automatisch) verbind met onversleutelde netwerken, wordt het dus lastig te MITM'en. Al is het natuurlijk altijd mogelijk de key te bruteforcen, maar als je je daar zorgen om maakt moet je eigenlijk helemáál geen wifi (of watvoor (draadloze) netwerkverbinding dan ook) gebruiken.

mcDavid schreef op maandag 1 oktober 2018 @ 13:12:
Niet in detail, nee. Maar voor zover ik weet wordt WPA2 encryptie nog altijd als veilig beschouwd. Zolang je device alle recente securitypatches heeft en niet (automatisch) verbind met onversleutelde netwerken, wordt het dus lastig te MITM'en. Al is het natuurlijk altijd mogelijk de key te bruteforcen, maar als je je daar zorgen om maakt moet je eigenlijk helemáál geen wifi (of watvoor (draadloze) netwerkverbinding dan ook) gebruiken.

Ok, dus jouw telefoon verbind niet automagisch met bekende netwerken? "Is [netwerk] met SSID [.....] beschikbaar?".

Stel iemand anders biedt zich aan als SSID [.....], juist...WPA2 of niet, jouw telefoon wil daarmee verbinding maken.

Geen openbaar netwerk voor nodig. Alleen de bereidwilligheid van een device om verbinding te maken met een bekend netwerk.

DNSSEC zou een client kunnen beveiliging tegen (DNS-)spoofing, maar dan ben je volledig afhankelijk van....ja...DNS-instellingen. Anders een VPN-connectie opzetting richting een bekend en geverifieerd punt.

[Voor 10% gewijzigd door eric.1 op 01-10-2018 13:27]

Maar hij zal alleen verbinding maken als het wachtwoord overeenkomt met wat je telefoon heeft opgeslagen. Het is niet mogelijk voor een router om te zeggen "oh het is wel goed, verbind maar ook al heb je een ander wachtwoord in de handshake", noch is het mogelijk om te zeggen "ik ben een onbeveiligd netwerk" en dat je telefoon daarmee verbind terwijl deze een beveiligd netwerk heeft onthouden. Daarom is de tip

niet automatisch verbinden met onbeveiligde wifi-netwerken of netwerken waarvan de WPA-key publiekelijk bekend is

een zeer goede.

Verder is preloaded HSTS in principe (net) voldoende om een MITM te voorkomen. Een pineapple kan geen geldig certificaat voor iedere willekeurige website genereren. Alleen een SSLstrip(2) attack maakt veel websites alsnog kwetsbaar die geen preloaded HSTS hebben. Als alternatief kun je zelf kijken of je wel via https verbonden bent op het juiste domein. En geen waarschuwingen negeren.

[Voor 27% gewijzigd door OnTracK op 01-10-2018 13:38]