Czy węszenie pakietów w poszukiwaniu haseł w całkowicie przełączonej sieci jest naprawdę problemem?

Zarządzam wieloma serwerami Linux, które wymagają dostępu Telnet dla użytkowników. Obecnie poświadczenia użytkownika są przechowywane lokalnie na każdym serwerze, a hasła są zazwyczaj bardzo słabe i nie ma potrzeby ich zmiany. Loginy wkrótce zostaną zintegrowane z usługą Active Directory i jest to bardziej strzeżona tożsamość.

Czy to naprawdę niepokojące, że hasło użytkownika może być powąchane z sieci LAN, biorąc pod uwagę, że mamy w pełni przełączoną sieć, więc każdy haker musiałby fizycznie wstawić się między komputerem użytkownika a serwerem?

Jest to uzasadniony problem, ponieważ istnieją narzędzia, które powodują zatrucie arp (fałszowanie), które pozwalają przekonać komputery, że jesteś bramą. Przykładem i stosunkowo łatwym w użyciu narzędziem może być ettercap, który automatyzuje cały proces. Przekona ich komputer, że jesteś bramą i wącha ruch, będzie także przekazywał pakiety, więc jeśli nie uruchomi się IDS, cały proces może być przezroczysty i niewykryty.

Ponieważ te narzędzia są dostępne dla dzieciaków jest to dość duże zagrożenie. Nawet jeśli same systemy nie są tak ważne, ludzie ponownie używają haseł i mogą narazić hasła na ważniejsze rzeczy.

Przełączane sieci tylko utrudniają wąchanie, nie są trudne ani trudne.

Tak, ale nie tylko z powodu korzystania z usługi Telnet i słabych haseł, ale także z stosunku do bezpieczeństwa.

Dobre bezpieczeństwo jest wielowarstwowe. Nie należy zakładać, że ponieważ masz dobrą zaporę, twoje wewnętrzne bezpieczeństwo może być słabe. Powinieneś założyć, że w pewnym momencie twoja zapora ogniowa zostanie przejęta, stacje robocze będą miały wirusy, a twój przełącznik zostanie przejęty. Być może wszystko w tym samym czasie. Powinieneś upewnić się, że ważne rzeczy mają dobre hasła, a mniej ważne również. Powinieneś również korzystać z silnego szyfrowania, jeśli to możliwe, dla ruchu sieciowego. To proste w konfiguracji, a w przypadku OpenSSH, sprawia swoje życie łatwiejsze przy użyciu kluczy publicznych.

A potem trzeba też uważać na pracowników. Upewnij się, że wszyscy nie używają tego samego konta do dowolnej funkcji. Sprawia to ból wszystkim, gdy ktoś zostaje zwolniony, a ty musisz zmienić wszystkie hasła. Trzeba również upewnić się, że nie paść ofiarą phishingu ataków poprzez edukację (im powiedzieć, że jeśli pan nie pytał ich o hasło, byłoby to dlatego, że właśnie dostał zwolniony i nie masz już dostępu! Każdy jeszcze ma mniej powodów, by o to pytać), a także segmentować dostęp dla poszczególnych kont.

Ponieważ wydaje się to dla ciebie nowa koncepcja, prawdopodobnie dobrym pomysłem jest wybranie książki o bezpieczeństwie sieci / systemów. Rozdział 7 „Praktyka systemu i sieci administracji” obejmuje ten temat nieco, podobnie jak „Essential Administration Systems”, z których oba polecam czytanie anyway . Są też całe książki poświęcone temu tematowi.

Tak, jest to duży problem, ponieważ przy niektórych prostych zatruciach ARP możesz normalnie wąchać sieć LAN bez fizycznego korzystania z odpowiedniego portu przełącznika, tak jak w starych dobrych czasach koncentratora - i jest to również bardzo łatwe .

Bardziej prawdopodobne jest, że zostaniesz zhakowany od wewnątrz niż z zewnątrz.

Fałszowanie ARP jest trywialne w przypadku różnych gotowych skryptów / narzędzi szeroko dostępnych w Internecie (ettercap wspomniano w innej odpowiedzi) i wymaga tylko, abyś był w tej samej domenie rozgłoszeniowej. Chyba że każdy z Twoich użytkowników ma własną sieć VLAN, jesteś narażony na to.

Biorąc pod uwagę szeroki zasięg SSH, naprawdę nie ma powodu, aby używać telnet. OpenSSH jest bezpłatny i dostępny dla praktycznie każdego * systemu operacyjnego w stylu nix. Jest wbudowany we wszystkie dystrybucje, z których kiedykolwiek korzystałem, a administracja osiągnęła status „pod klucz”.

Używanie zwykłego tekstu w dowolnej części procesu logowania i uwierzytelniania wymaga problemów. Nie potrzebujesz dużej umiejętności gromadzenia haseł użytkowników. Ponieważ planujesz w przyszłości przejść do AD, zakładam, że wykonujesz pewnego rodzaju centralne uwierzytelnianie również dla innych systemów. Czy naprawdę chcesz, aby wszystkie twoje systemy były szeroko otwarte dla pracownika z urazą?

Czy AD może się teraz przenieść i poświęcić czas na konfigurację ssh. Następnie ponownie odwiedź AD i skorzystaj z ldaps, kiedy to zrobisz.

Jasne, masz już przełączoną sieć ... Ale wszystko się zmienia. A wkrótce ktoś będzie chciał WiFi. Co zamierzasz zrobić?

A co się stanie, jeśli jeden z zaufanych pracowników zechce podejrzeć innego pracownika? A może ich szef?

Zgadzam się ze wszystkimi istniejącymi komentarzami. Chciałem jednak dodać, że jeśli MUSISZ działać w ten sposób, a tak naprawdę nie było innego akceptowalnego rozwiązania, możesz zabezpieczyć je w jak największym stopniu. Korzystając z nowoczesnych przełączników Cisco z funkcjami takimi jak bezpieczeństwo portów i IP Source Guard, możesz zmniejszyć zagrożenie atakami fałszowania / zatrucia arp. Powoduje to większą złożoność sieci, a także większe obciążenie dla przełączników, więc nie jest to idealne rozwiązanie. Oczywiście najlepszą rzeczą do zrobienia jest szyfrowanie wszystkiego, co wrażliwe, tak aby wszelkie obwąchane pakiety były bezużyteczne dla atakującego.

To powiedziawszy, często miło jest znaleźć truciciela arp, nawet jeśli tylko dlatego, że obniżają one wydajność twojej sieci. Narzędzia takie jak Arpwatch mogą ci w tym pomóc.

Przełączane sieci bronią się tylko przed atakami przelotowymi, a jeśli sieć jest podatna na fałszowanie ARP, robi to tylko minimalnie. Nieszyfrowane hasła w pakietach są również podatne na wąchanie w punktach końcowych.

Na przykład weź serwer powłoki Linux z obsługą Telnetu. Jakoś to idzie na kompromis i źli ludzie mają korzenie. Ten serwer ma teraz numer 0wn3d, ale jeśli będą chcieli uruchomić się z innymi serwerami w sieci, będą musieli wykonać nieco więcej pracy. Zamiast głęboko włamać się do pliku passwd, włączają tcpdump na piętnaście minut i przechwytują hasła do każdej zainicjowanej sesji telnet w tym czasie. Z powodu ponownego użycia hasła prawdopodobnie pozwoli to atakującym na emulację legalnych użytkowników w innych systemach. Lub jeśli serwer Linux używa zewnętrznego uwierzytelniacza, takiego jak LDAP, NIS ++ lub WinBind / AD, nawet głębokie złamanie pliku passwd nie dałoby im wiele, więc jest to o wiele lepszy sposób na tanie uzyskanie haseł.

Zmień „telnet” na „ftp” i masz ten sam problem. Nawet w sieciach przełączanych, które skutecznie chronią przed fałszowaniem / zatruwaniem ARP, powyższy scenariusz jest nadal możliwy w przypadku nieszyfrowanych haseł.

Nawet poza tematem Zatruć ARP, które każdy rozsądnie dobry IDS może wykryć i, miejmy nadzieję, mu zapobiec. (A także mnóstwo narzędzi, które mają temu zapobiec). Przejęcie roli root STP, włamanie się do routera, fałszowanie informacji o routingu źródła, przesuwanie VTP / ISL, lista jest długa, w każdym razie - istnieją MIESZKANE techniki MITM w sieci bez fizycznego przechwytywania ruchu.