it-swarm-korea.com

SSLstrip을 방어 할 때의 옵션?

궁금한 점이 있습니다. 특히 SSLstrip에 대한 방어 제안이 있습니까?

22
Skizit

다음은 SSLstrip, Firesheep 및 유사한 공격으로부터 사용자를 보호 할 수있는 권장 사항입니다.

  • HTTPS Everywhere 또는 ForceTLS를 설치하십시오. (HTTPS Everywhere가 더 사용하기 쉽습니다.) 그러면 가능한 경우 브라우저가 SSL 버전의 웹 사이트를 사용하도록 지시합니다.

  • 브라우저에 인증서 경고가 표시되면 경고를 무시하지 말고 해당 웹 사이트를 계속 탐색하지 마십시오.

  • 온라인 뱅킹과 같은 중요한 사이트의 경우 보안 네트워크를 사용하는 동안 컴퓨터에서 사이트의 HTTPS (SSL) 버전으로 이동 한 다음 해당 페이지를 책갈피에 추가하십시오. 그런 다음 해당 페이지로 이동하려는 경우 항상 책갈피를 열어 사이트를여십시오. 주소 표시 줄이나 검색 창에 주소를 입력하지 마십시오.

  • 단일 사이트 만 탐색하려면 사이트 별 브라우저 구성을 고려하십시오. 이것은 대부분의 목적에는 필요하지 않지만 일부 공격에 대한 추가 보안을 제공합니다. 예를 들어 온라인 뱅킹을 사용하는 비즈니스에 적합 할 수 있습니다.

  • 또는 HTTPS Everywhere 대신 VPN 서비스를 통해 웹 탐색을 수행 할 수 있습니다.

  • SSL (TLS라고도 함)을 사용하고 인증서의 유효성을 확인하도록 이메일 클라이언트를 구성하십시오. 그러면 이메일 서버에 대한 연결이 암호화됩니다.

Firesheep, SSLstrip 및 유사한 공격으로부터 사용자를 보호하기 위해 웹 사이트에서 수행 할 수있는 작업에 대한 권장 사항은 다음과 같습니다.

  • 사이트 전체에서 SSL을 활성화합니다 (예 : HTTPS).

  • HSTS (HTTP Strict Transport Security)를 사용하십시오.

  • 인증서가 유효한지 확인하십시오. 보다 중요한 보안 사이트를 위해서는 EV (Extended Validation) 인증서를 구입하십시오.

  • 보안 쿠키를 활성화합니다. 즉, 모든 쿠키에 보안 속성이 제공되도록하여 사용자 브라우저가 SSL로 보호 된 연결을 통해서만 쿠키를 다시 보내고 SSL이 아닌 (HTTP) 링크를 통해 쿠키를 공개하지 않도록합니다.

  • HTTP (비 SSL) 액세스를 비활성화하거나 사용자를 SSL 버전의 웹 사이트로 리디렉션하십시오.

  • 버튼과 같은 타사 Javascript 라이브러리, 위젯 등의 사용을 피하거나 최소화하십시오. 또는이를 사용해야하는 경우 https : URL에서 제공하고 해당 URL을 호스팅하는 사이트가 신뢰할 수있는 사이트인지 확인하십시오.

다른 주제로, 메일 서버 관리자는 IMAP에 대해 SSL/TLS 보호를 활성화하거나 모든 연결에서 SSL/TLS를 사용해야하는 경우와 SMTP 서버에서 STARTTLS를 활성화하여 사용자를 보호 할 수 있습니다.

18
D.W.

Privoxy 규칙 사용 :

echo '{ +redirect{[email protected]://@https://@} }
.foo.org' >> /etc/privoxy/user.action

사이트가 허용 된 사이트 인 경우 HTTPS로 리디렉션합니다. 예에서 www.foo.org 및 foo.org 및 subdomain.foo.org는 프록시가 리디렉션하기 때문에 HTTPS 만 사용할 수 있습니다. SSLStrip mitm이 있으면 페이지가로드 및로드 및로드됩니다 ... 도달 할 수 없습니다. 나는 이것이 매우 좋은 해결책이라고 생각합니다 (fixme).

1
LanceBaynes