Является ли перехват пакетов для паролей в полностью коммутируемой сети действительно проблемой?

Я управляю рядом серверов linux, которым для пользователей требуется доступ по telnet. В настоящее время учетные данные пользователя хранятся локально на каждом сервере, и пароли имеют тенденцию быть очень слабыми, и нет необходимости изменять их. Скоро вход в систему будет интегрирован с Active Directory, и это более строго защищенная идентификационная информация.

Действительно ли опасением является то, что пароль пользователя может быть получен из локальной сети, учитывая, что у нас полностью коммутируемая сеть, поэтому любому хакеру потребуется физически вставлять себя между компьютером пользователя и сервером?

Это разумная проблема, поскольку существуют инструменты, которые выполняют отравление (подделку) arp, что позволяет вам убедить компьютеры, что вы являетесь шлюзом. Примером и относительно простым в использовании инструментом будет ettercap, который автоматизирует весь процесс. Он убедит их компьютер в том, что вы являетесь шлюзом, и перехватит трафик, он также будет пересылать пакеты, поэтому, если не работает IDS, весь процесс может быть прозрачным и необнаруженным.

Поскольку эти инструменты доступны для детей, это довольно большая угроза. Даже если сами системы не так важны, люди повторно используют пароли и могут раскрыть пароли для более важных вещей.

Коммутируемые сети только делают нюхание более неудобным, а не трудным или сложным.

Да, но это не только из-за того, что вы используете Telnet и ваши слабые пароли, но и из-за вашего отношения к безопасности.

Хорошая безопасность приходит в слоях. Не следует полагать, что из-за хорошего брандмауэра ваша внутренняя безопасность может быть слабой. Вы должны предположить, что в какой-то момент ваш брандмауэр будет скомпрометирован, на рабочих станциях появятся вирусы, и ваш коммутатор будет взломан. Возможно, все одновременно. Вы должны убедиться, что важные вещи имеют хорошие пароли, а менее важные - тоже. Вы также должны использовать надежное шифрование, когда это возможно для сетевого трафика. Это простое в настройке, и в случае OpenSSH, делает вашу жизнь проще с использованием открытых ключей.

И затем, вы также должны следить за сотрудниками. Убедитесь, что все не используют одну и ту же учетную запись для любой данной функции. Это причиняет боль всем, когда кто-то увольняется, и вам нужно сменить все пароли. Вы также должны убедиться, что они не становятся жертвами фишинговых атак через образование (скажите им, что если вы когда-нибудь спросите их пароль, это произойдет потому, что вас только что уволили и у вас больше нет доступа! У кого-то еще есть меньше причин спрашивать.), А также сегментирование доступа для каждой учетной записи.

Поскольку это кажется вам новой концепцией, вам, вероятно, будет полезно взять книгу о безопасности сетей / систем. Глава 7 «Практики системного и сетевого администрирования» немного охватывает эту тему, также как и «Администрирование основных систем», оба из которых я рекомендую прочитать в любом случае . Есть также целые книги, посвященные этой теме.

Да, это большая проблема, так как при некотором простом отравлении ARP вы обычно можете прослушивать локальную сеть, не находясь физически на правильном порту коммутатора, как в старые добрые времена хаба - и это тоже очень легко сделать.

Вы, скорее всего, будете взломаны изнутри, а не снаружи.

Подмена ARP тривиальна с помощью различных готовых скриптов / инструментов, широко доступных в Интернете (ettercap был упомянут в другом ответе), и требует только, чтобы вы находились в одном и том же широковещательном домене. Если каждый из ваших пользователей не имеет собственной VLAN, вы уязвимы для этого.

Учитывая, насколько широко распространен SSH, нет никакой причины использовать telnet. OpenSSH бесплатен и доступен практически для любой ОС * nix-стиля. Он встроен во все дистрибутивы, которые я когда-либо использовал, и администрация достигла статуса «под ключ».

Использование простого текста для любой части процесса входа в систему и проверки подлинности вызывает проблемы. Вам не нужно много возможностей для сбора паролей пользователей. Поскольку в будущем вы планируете перейти на AD, я предполагаю, что вы выполняете некоторую центральную аутентификацию и для других систем. Вы действительно хотите, чтобы все ваши системы были широко открыты для работника с недовольством?

Может ли AD сейчас двигаться и тратить свое время на настройку ssh. Затем снова посетите AD и, пожалуйста, используйте ldaps.

Конечно, теперь у вас есть коммутируемая сеть ... Но все меняется. И скоро кто-то захочет WiFi. Тогда что ты собираешься делать?

И что произойдет, если один из ваших доверенных сотрудников захочет шпионить за другим сотрудником? Или их босс?

Я согласен со всеми существующими комментариями. Хотелось бы добавить, что если вы ДОЛЖНЫ работать таким образом, а другого приемлемого решения действительно не было, вы можете защитить его настолько, насколько сможете. Используя современные коммутаторы Cisco с такими функциями, как защита портов и IP Source Guard, вы можете уменьшить угрозу атак спуфинга / отравления arp. Это создает большую сложность в сети, а также увеличивает нагрузку на коммутаторы, поэтому это не идеальное решение. Очевидно, что лучшее, что нужно сделать, - это зашифровать что-нибудь чувствительное, чтобы любые перехваченные пакеты были бесполезны для атакующего.

Тем не менее, часто приятно иметь возможность найти отравителя арп, даже если просто потому, что они ухудшают производительность вашей сети. Такие инструменты, как Arpwatch, могут помочь вам в этом.

Коммутируемые сети защищают только от атак на маршруте, и если сеть уязвима для спуфинга ARP, она делает это только минимально. Незашифрованные пароли в пакетах также уязвимы для перехвата в конечных точках.

Например, возьмите сервер оболочки Linux с поддержкой telnet. Так или иначе, это становится скомпрометированным, и плохие люди имеют корни. Этот сервер теперь 0wn3d, но если они хотят загрузить другие серверы в вашей сети, им нужно будет проделать немного больше работы. Вместо глубокого взлома файла passwd, они включают tcpdump на пятнадцать минут и получают пароли для любого инициированного сеанса telnet в течение этого времени. Из-за повторного использования пароля это, вероятно, позволит злоумышленникам эмулировать законных пользователей в других системах. Или, если сервер linux использует внешний аутентификатор, такой как LDAP, NIS ++ или WinBind / AD, даже глубокий взлом файла passwd не принесет им много пользы, так что это намного лучший способ получить пароли дешево.

Измените 'telnet' на 'ftp', и у вас возникнет та же проблема. Даже в коммутируемых сетях, которые эффективно защищают от спуфинга / отравления ARP, вышеописанный сценарий все еще возможен с незашифрованными паролями.

Даже за пределами темы ARP Poisoning, которую любой достаточно хороший IDS может и будет обнаруживать, и мы надеемся предотвратить. (А также множество инструментов, предназначенных для предотвращения этого). Перехват роли корня STP, взлом маршрутизатора, подмена информации о маршрутизации источника, панорамирование VTP / ISL, список можно продолжить. В любом случае - существуют МНОГИЕ методы для MITM сети без физического перехвата трафика.