Чи справді викликає занепокоєння нюхання пакетів для паролів у повністю переключеній мережі?


27

Я адмініструю ряд серверів Linux, які потребують доступу до telnet для користувачів. В даний час облікові дані користувачів зберігаються локально на кожному сервері, і паролі, як правило, дуже слабкі, і немає необхідності в їх зміні. Невдовзі логотипи будуть інтегровані в Active Directory, і це більш чітко захищена ідентичність.

Чи справді є стурбованість тим, що пароль користувача може нюхати з локальної мережі, враховуючи, що у нас є повністю комутована мережа, тому будь-якому хакеру потрібно буде фізично вставити себе між комп'ютером користувача та сервером?


Оскільки ви перебуваєте в Linux, спробуйте ettercap. Ось підручник: openmaniak.com/ettercap_arp.php
Джозеф Керн

- "сервери Linux, яким потрібен доступ до telnet" ??? Я не бачив Linux-сервера, якому бракувало ssh останніх 5-10 років або близько того ... Схоже, я щось тут пропускаю ...
Йоган

@Johan - Програми, що працюють на цих серверах, доступні telnet протягом декількох років, ще до існування ssh. Компанія купує клієнт telnet для користувачів, які отримують доступ до цих додатків. Telnet також використовується для доступу до програм на сервері HP-UX та з мобільних телефонів. Отже, telnet дуже сильно закріпився і нікуди не їде, незалежно від того, що я думаю про це. FTP також.
mmcg

Відповіді:


42

Це викликає занепокоєння, оскільки існують інструменти, які здійснюють отруєння арпу (підробку), які дозволяють переконати комп’ютери, що ви - шлюз. Прикладом та відносно простим у використанні інструментом може бути ettercap, який автоматизує весь процес. Він переконає їх комп’ютер у тому, що ви є шлюзом, і нюхатиме трафік, він також буде пересилати пакети, так що, якщо не буде IDS, який працює, весь процес може бути прозорим і невизначеним.

Оскільки ці засоби доступні дітям, це загроза досить велика. Навіть якщо самі системи не такі важливі, люди повторно використовують паролі та можуть піддавати паролі більш важливі речі.

Комутовані мережі лише роблять нюхання більш незручним, а не важким або складним.


3
Я відповів на ваше конкретне запитання, але рекомендую також прочитати відповідь Ерні про ширший підхід до роздумів про безпеку.
Кайл Брандт

s / позує / отруєння /
grawity

grawity: я витрачаю приблизно стільки ж часу на виправлення мого огидного правопису за допомогою перевірки правопису firefox, як я пишу кожне повідомлення :-)
Кайл Брандт

4
+1 Ви можете всі заповнити mac таблиці перемикача та перетворити його на концентратор. Очевидно, що більші комутатори мають більші таблиці, а тому важче заповнити.
Девід Пашлі

Заповнення таблиць mac перемикача призводить до отримання одноадресних пакетів, призначених для невідомих (через атаку затоплення) адрес, які отримують трансляцію. VLAN все ще обмежують домен мовлення, тому він більше схожий на концентрацію на VLAN.
sh-beta

21

Так, але це не лише через те, що ти користуєшся Telnet і вашими слабкими паролями, це через ваше ставлення до безпеки.

Хороша безпека буває шарами. Не слід вважати, що оскільки у вас хороший брандмауер, ваша внутрішня безпека може бути слабкою. Ви повинні припустити, що в якийсь момент ваш брандмауер буде порушений, на робочих станціях будуть віруси, а ваш комутатор буде викрадений. Можливо, все одночасно. Ви повинні переконатися, що важливі речі мають хороші паролі, і менш важливі речі. Ви також повинні використовувати сильне шифрування, коли це можливо для мережевого трафіку. Це просте в налаштуванні, і в разі OpenSSH, робить ваше життя простіше з використанням відкритих ключів.

І тоді, ви також повинні стежити за працівниками. Переконайтесь, що всі не використовують один і той же обліковий запис для будь-якої функції. Це доставляє біль усім, коли когось звільняють, і вам потрібно змінити всі паролі. Ви також повинні переконатися, що вони не стають жертвою фішинг- атак через освіту (скажіть їм, що якщо ви коли-небудь попросите їх пароля, це буде тому, що вас щойно звільнили і більше не маєте доступу! У будь-кого іншого є ще менше підстав для запиту.), А також сегментування доступу на основі рахунку.

Оскільки це, здається, є для вас новою концепцією, вам, мабуть, корисно підібрати книгу про безпеку мережі / систем. Розділ 7 "Практика системного та мережевого адміністрування" трохи висвітлює цю тему, як і "Основні системи адміністрування", які я рекомендую прочитати в будь-якому випадку . Є також цілі книги, присвячені цій темі.


"Гарна безпека буває шарами". Дуже добре, я думаю, думав про те, щоб редагувати свою публікацію, щоб мати щось подібне, але це не було б так добре.
Кайл Брандт

12

Так, це викликає велике занепокоєння, оскільки при деяких простих отруєннях ARP ви можете нормально нюхати локальну мережу, не перебуваючи фізично на правильному порту комутатора, як і в старі добрі дні концентратора - і це дуже легко зробити.


3
Крім того, подумайте, скільки мережевих портів є в незахищених або сумнівно безпечних зонах. У одного з моїх минулих роботодавців було півдесятка у некерованому, незахищеному ліфті. Навіть якщо безпека порту подумайте, хто ще знаходиться у будівлі - двірники, службовці тощо, і пам’ятайте, що соціальна інженерія - один із найпростіших векторів, який обійде фізичний захист.
Карл Кацке

"Привіт, портьє! Я тут, щоб побачити Джона, але я трохи рано, чи можу я позичити безкоштовний конференц-зал для обробки електронної пошти на своєму ноутбуці? Дійсно? Чудово!"
Оскар Дувеборн

4

Ви, швидше за все, будуть зламані зсередини, ніж зовні.

ARP підробляння тривіально для різних попередньо вбудованих сценаріїв / інструментів, широко доступних в Інтернеті (ettercap згаданий в іншій відповіді), і вимагає лише того, щоб ви знаходилися в одному домені широкомовної передачі. Якщо кожен з ваших користувачів не має власної VLAN, ви вразливі до цього.

Зважаючи на те, наскільки широко поширений SSH, насправді немає причин використовувати telnet. OpenSSH безкоштовний і доступний практично для кожної ОС * у стилі nix. Він вбудований у всі дистрибутиви, які я коли-небудь використовував, і адміністрація досягла статусу "під ключ".


+1 Для згадування власників та доменів мовлення.
Максвелл

Трохи вийти з моєї глибини безпеки мережі тут ... Але я не впевнений, що VLAN захищатимуть вас як загальне правило: cisco.com/en/US/products/hw/switches/ps708/…
Kyle Brandt

+1 за згадування OpenSSH, коли ніхто інший не мав.
Ерні

1
Кайл - вразливості там здебільшого не мають значення. Атака затоплення MAC все ще обмежена домом широкомовної передачі, тому не потрібно стрибати VLAN. Те саме з атаками ARP. Атака з двократною капсуляцією VLAN, що всі цитує, чому VLAN є небезпечною, вимагає, щоб зловмисник був приєднаний до порту магістралі з нативною VLAN. Магістралі ніколи не повинні мати рідну VLAN в першу чергу ...
sh-beta

1

Використання простого тексту для будь-якої частини процесу входу та автентифікації задає проблеми. Вам не потрібна велика здатність збирати паролі користувачів. Оскільки ви плануєте переходити до AD в майбутньому, я припускаю, що ви робите якусь центральну аутентифікацію і для інших систем. Ви дійсно хочете, щоб усі ваші системи були широко відкритими для працівника, який знудився?

Чи може AD перейти зараз і витратити свій час на налаштування ssh. Потім повторно відвідайте AD і будь ласка, використовуйте ldaps, коли це робите.


1

Звичайно, у вас зараз комутаційна мережа ... Але все змінюється. І незабаром хтось захоче WiFi. Тоді що ти будеш робити?

А що станеться, якщо хтось із ваших довірених співробітників хоче прослуховувати іншого співробітника? Або їх начальник?


1

Я згоден з усіма існуючими коментарями. Я хотів би додати, що якщо ви ВІД запустили цей шлях, а іншого прийнятного рішення насправді не було, ви могли б забезпечити його наскільки це можливо. Використовуючи сучасні комутатори Cisco з такими функціями, як безпека портів та захищеність джерел IP, ви можете зменшити загрозу нападу підробляння арпу. Це створює більшу складність у мережі, а також більше накладних витрат на комутатори, тому це не ідеальне рішення. Очевидно, що найкраще робити - це зашифрувати що-небудь чутливе, щоб будь-які обнюхані пакети були непридатними для зловмисника.

Це означає, що часто приємно знаходити отруєння arp, навіть якщо вони просто погіршують продуктивність вашої мережі. Такі інструменти, як Arpwatch, можуть допомогти вам у цьому.


+1 за пропозицію можливого пом'якшення
mmcg

0

Комутовані мережі захищають лише від атак на маршруті, і якщо мережа є вразливою до підробки ARP, це робиться лише мінімально. Нешифровані паролі в пакетах також вразливі до нюхання в кінцевих точках.

Наприклад, візьміть linux shell-сервер з підтримкою telnet. Так чи інакше, це стає компрометованим, і погані люди мають корінь. Цей сервер зараз 0wn3d, але якщо вони хочуть завантажуватися на інші сервери у вашій мережі, їм потрібно буде зробити трохи більше роботи. Замість того, щоб глибоко розірвати файл passwd, вони включаються tcpdump протягом п'ятнадцяти хвилин і захоплюють паролі для будь-якого розпочатого сеансу telnet протягом цього часу. Завдяки повторному використанню пароля, це, ймовірно, дозволить зловмисникам імітувати законних користувачів в інших системах. Або якщо Linux-сервер використовує зовнішній аутентифікатор на зразок LDAP, NIS ++ або WinBind / AD, навіть глибоке злому файлу passwd не отримає їх багато, тому це набагато кращий спосіб отримати дешеві паролі.

Змініть 'telnet' на 'ftp', і у вас є та сама проблема. Навіть у комутованих мережах, які ефективно захищають від підробки / отруєння ARP, описаний вище сценарій все ще можливий із незашифрованими паролями.


0

Навіть поза темою отруєння ARP, яке будь-який досить хороший ІДС може виявити і, сподіваємось, запобігти. (А також безліч інструментів, призначених для запобігання). Викрадення кореневої ролі STP, вторгнення в маршрутизатор, підробка інформації про джерело-маршрутизацію, панорамування VTP / ISL, список продовжується, у будь-якому випадку - Є безліч методів MITM для мережі без фізичного переривання трафіку.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.