프록시 서버를 피하기 위해 Unix를 도메인 컨트롤러로 사용하시겠습니까?

이것이 가능한가?

이것은 흥미로운 점이다. 현재(2022년) 이런 종류의 공격은 여전히 ​​가능할 수 있지만 지난 10년 동안 이러한 공격은 더욱 어려워지고 효율성이 떨어졌습니다.

이유는 너무 저렴해서(무료) 암호화는 구현하기가 매우 쉬워서 이제 대부분의 서비스가 암호화됩니다. 이는 귀하의 브라우저가 웹 서버와 함께 암호화된 채널을 연 다음 웹 서버에 귀하가 연결하려는 도메인 이름 역할을 할 권한이 있음을 증명하도록 요청한다는 것을 의미합니다.

"중개자"는 다음을 수행할 수 있습니다.

• 암호화된 채널을 열었지만 원하는 웹사이트에 대한 인증을 받았음을 증명할 수 없습니다(쓸모 없는)
• 기록암호화됨귀하와 서버 사이의 트래픽은 해독될 수 없으므로 실제로 전송되는 내용을 알 수 있는 방법이 없습니다. (쓸모 없는과학자들이 양자 컴퓨팅을 해독할 때까지)
• 안에정말 정말 정말암호화된 채널을 통해 전송된 프로토콜 유형을 감지하는 방법은 제한되어 있습니다. 예를 들어, 중국의방화벽암호화된 채널이 다음과 같이 사용되고 있는지 여부를 탐지하는 것이 분명히 가능합니다.VPN(Y/N) 패킷 길이/타이밍을 복호화하지 않고 분석합니다. (쓸모 없는중국 당국은 제외)

귀하가 연결하는 IP 주소와 도메인 이름은 일반 검색 시 노출될 수 있지만 그게 전부입니다.

브라우저에서 도메인 이름 옆에 있는 작은 자물쇠를 확인하세요. 만약 존재한다면 중간자 공격은 귀하가 탐색 중인 내용을 스누핑할 수 없을 가능성이 높습니다.

유일한 위험은...누군가가 당신을 속여 새로운 장치를 설치하도록 할 수 있다면CA 인증서귀하의 컴퓨터에 침입하면 해당 컴퓨터가 중간자 공격의 위험에 처할 수 있습니다. 이는 컴퓨터가 해커를 인증 기관인 것처럼 신뢰하기 때문입니다.

무엇이 불가능합니까?

나는 (물리적 "점퍼"나 이와 유사한 것을 통해) 극지방의 케이블 인터넷 회선에 물리적으로 설치되었을 수 있는 프록시 서버(중간자 공격)를 피하기 위해 Unix를 설정할 수 있는지 궁금합니다.

단순히 과거처럼 "피하다"? 아니요, 그렇지 않을 가능성이 높습니다. 그 이유는 공격자의 기기를 거치지 않는 연결이 더 이상 없을 수 있기 때문이다.

공격은 덜 침해적인 방식으로 ISP의 DHCP 서버를 속임으로써 수행될 가능성이 높습니다. 이는 잘못된 기본 게이트웨이 주소 및/또는 DNS 서버를 사용하도록 케이블 모뎀(라우터)을 재구성하는 데 사용될 수 있습니다. 유일한 증거는 케이블 모뎀(라우터)에 있으며 홈 네트워크의 어떤 것도 이를 감지할 수 없습니다.

이론적으로는 이러한 유형의 DHCP 공격(하드코딩 DNS 및 기본 게이트웨이)을 방지하기 위해 케이블 모뎀을 재구성할 수 있습니다. 그러나 공격자가 실제로 인터넷에 물리적으로 다시 연결하는 경우 이는 많은 보호 기능을 제공하지 않습니다.

Unix를 사용하여 프록시 서버와의 트래픽을 거부하고 알려진 합법적인 IP 또는 웹 주소에만 직접 연결할 수 있습니까? 인터넷을 무작위로 서핑할 필요가 없습니다.

귀하가 설명하는 중간자 공격은 DNS 서버를 스푸핑하지 않는 한 IP 주소를 변경하지 않을 것입니다.

즉, iptables 방화벽 규칙을 사용하여 들어오는 트래픽을 소수의 "알려진" IP 주소로만 제한할 수 있습니다. 여기서는 예제를 제시하지 않겠습니다. 실제로 작동하지 않을 것 같기 때문입니다.

어떤 보호 조치를 취할 수 있습니까?

이러한 국지적 공격을 방지하기 위해 할 수 있는 한 가지 방법은 적절하게 설정된 암호화된 VPN을 사용하는 것입니다. 이렇게 하면 라우팅됩니다.모두인터넷 트래픽은 암호화된 채널을 통해 VPN 서버로 이동합니다. 이는 문제를 VPN 서버의 보안으로 이동시킵니다.

걱정된다면 "TOR"를 찾아보는 것도 좋습니다.