Чи справді викликає занепокоєння нюхання пакетів для паролів у повністю переключеній мережі?

Я адмініструю ряд серверів Linux, які потребують доступу до telnet для користувачів. В даний час облікові дані користувачів зберігаються локально на кожному сервері, і паролі, як правило, дуже слабкі, і немає необхідності в їх зміні. Невдовзі логотипи будуть інтегровані в Active Directory, і це більш чітко захищена ідентичність.

Чи справді є стурбованість тим, що пароль користувача може нюхати з локальної мережі, враховуючи, що у нас є повністю комутована мережа, тому будь-якому хакеру потрібно буде фізично вставити себе між комп'ютером користувача та сервером?

Це викликає занепокоєння, оскільки існують інструменти, які здійснюють отруєння арпу (підробку), які дозволяють переконати комп’ютери, що ви - шлюз. Прикладом та відносно простим у використанні інструментом може бути ettercap, який автоматизує весь процес. Він переконає їх комп’ютер у тому, що ви є шлюзом, і нюхатиме трафік, він також буде пересилати пакети, так що, якщо не буде IDS, який працює, весь процес може бути прозорим і невизначеним.

Оскільки ці засоби доступні дітям, це загроза досить велика. Навіть якщо самі системи не такі важливі, люди повторно використовують паролі та можуть піддавати паролі більш важливі речі.

Комутовані мережі лише роблять нюхання більш незручним, а не важким або складним.

Так, але це не лише через те, що ти користуєшся Telnet і вашими слабкими паролями, це через ваше ставлення до безпеки.

Хороша безпека буває шарами. Не слід вважати, що оскільки у вас хороший брандмауер, ваша внутрішня безпека може бути слабкою. Ви повинні припустити, що в якийсь момент ваш брандмауер буде порушений, на робочих станціях будуть віруси, а ваш комутатор буде викрадений. Можливо, все одночасно. Ви повинні переконатися, що важливі речі мають хороші паролі, і менш важливі речі. Ви також повинні використовувати сильне шифрування, коли це можливо для мережевого трафіку. Це просте в налаштуванні, і в разі OpenSSH, робить ваше життя простіше з використанням відкритих ключів.

І тоді, ви також повинні стежити за працівниками. Переконайтесь, що всі не використовують один і той же обліковий запис для будь-якої функції. Це доставляє біль усім, коли когось звільняють, і вам потрібно змінити всі паролі. Ви також повинні переконатися, що вони не стають жертвою фішинг- атак через освіту (скажіть їм, що якщо ви коли-небудь попросите їх пароля, це буде тому, що вас щойно звільнили і більше не маєте доступу! У будь-кого іншого є ще менше підстав для запиту.), А також сегментування доступу на основі рахунку.

Оскільки це, здається, є для вас новою концепцією, вам, мабуть, корисно підібрати книгу про безпеку мережі / систем. Розділ 7 "Практика системного та мережевого адміністрування" трохи висвітлює цю тему, як і "Основні системи адміністрування", які я рекомендую прочитати в будь-якому випадку . Є також цілі книги, присвячені цій темі.

Так, це викликає велике занепокоєння, оскільки при деяких простих отруєннях ARP ви можете нормально нюхати локальну мережу, не перебуваючи фізично на правильному порту комутатора, як і в старі добрі дні концентратора - і це дуже легко зробити.

Ви, швидше за все, будуть зламані зсередини, ніж зовні.

ARP підробляння тривіально для різних попередньо вбудованих сценаріїв / інструментів, широко доступних в Інтернеті (ettercap згаданий в іншій відповіді), і вимагає лише того, щоб ви знаходилися в одному домені широкомовної передачі. Якщо кожен з ваших користувачів не має власної VLAN, ви вразливі до цього.

Зважаючи на те, наскільки широко поширений SSH, насправді немає причин використовувати telnet. OpenSSH безкоштовний і доступний практично для кожної ОС * у стилі nix. Він вбудований у всі дистрибутиви, які я коли-небудь використовував, і адміністрація досягла статусу "під ключ".

Використання простого тексту для будь-якої частини процесу входу та автентифікації задає проблеми. Вам не потрібна велика здатність збирати паролі користувачів. Оскільки ви плануєте переходити до AD в майбутньому, я припускаю, що ви робите якусь центральну аутентифікацію і для інших систем. Ви дійсно хочете, щоб усі ваші системи були широко відкритими для працівника, який знудився?

Чи може AD перейти зараз і витратити свій час на налаштування ssh. Потім повторно відвідайте AD і будь ласка, використовуйте ldaps, коли це робите.

Звичайно, у вас зараз комутаційна мережа ... Але все змінюється. І незабаром хтось захоче WiFi. Тоді що ти будеш робити?

А що станеться, якщо хтось із ваших довірених співробітників хоче прослуховувати іншого співробітника? Або їх начальник?

Я згоден з усіма існуючими коментарями. Я хотів би додати, що якщо ви ВІД запустили цей шлях, а іншого прийнятного рішення насправді не було, ви могли б забезпечити його наскільки це можливо. Використовуючи сучасні комутатори Cisco з такими функціями, як безпека портів та захищеність джерел IP, ви можете зменшити загрозу нападу підробляння арпу. Це створює більшу складність у мережі, а також більше накладних витрат на комутатори, тому це не ідеальне рішення. Очевидно, що найкраще робити - це зашифрувати що-небудь чутливе, щоб будь-які обнюхані пакети були непридатними для зловмисника.

Це означає, що часто приємно знаходити отруєння arp, навіть якщо вони просто погіршують продуктивність вашої мережі. Такі інструменти, як Arpwatch, можуть допомогти вам у цьому.

Комутовані мережі захищають лише від атак на маршруті, і якщо мережа є вразливою до підробки ARP, це робиться лише мінімально. Нешифровані паролі в пакетах також вразливі до нюхання в кінцевих точках.

Наприклад, візьміть linux shell-сервер з підтримкою telnet. Так чи інакше, це стає компрометованим, і погані люди мають корінь. Цей сервер зараз 0wn3d, але якщо вони хочуть завантажуватися на інші сервери у вашій мережі, їм потрібно буде зробити трохи більше роботи. Замість того, щоб глибоко розірвати файл passwd, вони включаються tcpdump протягом п'ятнадцяти хвилин і захоплюють паролі для будь-якого розпочатого сеансу telnet протягом цього часу. Завдяки повторному використанню пароля, це, ймовірно, дозволить зловмисникам імітувати законних користувачів в інших системах. Або якщо Linux-сервер використовує зовнішній аутентифікатор на зразок LDAP, NIS ++ або WinBind / AD, навіть глибоке злому файлу passwd не отримає їх багато, тому це набагато кращий спосіб отримати дешеві паролі.

Змініть 'telnet' на 'ftp', і у вас є та сама проблема. Навіть у комутованих мережах, які ефективно захищають від підробки / отруєння ARP, описаний вище сценарій все ще можливий із незашифрованими паролями.

Навіть поза темою отруєння ARP, яке будь-який досить хороший ІДС може виявити і, сподіваємось, запобігти. (А також безліч інструментів, призначених для запобігання). Викрадення кореневої ролі STP, вторгнення в маршрутизатор, підробка інформації про джерело-маршрутизацію, панорамування VTP / ISL, список продовжується, у будь-якому випадку - Є безліч методів MITM для мережі без фізичного переривання трафіку.