Является ли перехват пакетов для паролей в полностью коммутируемой сети действительно проблемой?

27

Я управляю рядом серверов linux, которым для пользователей требуется доступ по telnet. В настоящее время учетные данные пользователя хранятся локально на каждом сервере, и пароли имеют тенденцию быть очень слабыми, и нет необходимости изменять их. Скоро вход в систему будет интегрирован с Active Directory, и это более строго защищенная идентификационная информация.

Действительно ли опасением является то, что пароль пользователя может быть получен из локальной сети, учитывая, что у нас полностью коммутируемая сеть, поэтому любому хакеру потребуется физически вставлять себя между компьютером пользователя и сервером?

MMCG
источник
Поскольку вы работаете в Linux, попробуйте ettercap. Вот учебник: openmaniak.com/ettercap_arp.php
Джозеф Керн
Linux-серверы, которым требуется доступ через telnet? Я не видел linux-сервера, который пропускал ssh последние 5-10 лет или около того ... Такое ощущение, что я что-то здесь упускаю ...
Johan
@Johan - приложения, запущенные на этих серверах, были доступны telnet в течение нескольких лет, еще до появления ssh. Компания покупает клиент Telnet для пользователей, которые получают доступ к этим приложениям. Telnet также используется для доступа к приложениям на сервере HP-UX и с мобильных телефонов. Следовательно, telnet очень укоренился и никуда не денется, что бы я ни думал об этом. FTP тоже.
mmcg

Ответы:

42

Это разумная проблема, поскольку существуют инструменты, которые выполняют отравление (подделку) arp, что позволяет вам убедить компьютеры, что вы являетесь шлюзом. Примером и относительно простым в использовании инструментом будет ettercap, который автоматизирует весь процесс. Он убедит их компьютер в том, что вы являетесь шлюзом, и перехватит трафик, он также будет пересылать пакеты, поэтому, если не работает IDS, весь процесс может быть прозрачным и необнаруженным.

Поскольку эти инструменты доступны для детей, это довольно большая угроза. Даже если сами системы не так важны, люди повторно используют пароли и могут раскрыть пароли для более важных вещей.

Коммутируемые сети только делают нюхание более неудобным, а не трудным или сложным.

Кайл Брандт
источник
3
Я ответил на ваш конкретный вопрос, но я также рекомендую прочитать ответ Эрни о более широком подходе к размышлениям о безопасности.
Кайл Брандт
s / позирование / отравление /
grawity
grawity: я трачу столько же времени на исправление своего отвратительного правописания с помощью проверки правописания Firefox, сколько пишу каждый пост :-)
Кайл Брандт,
4
+1 Вы все можете заполнить таблицы mac переключателя и превратить его в концентратор. Очевидно, что у более крупных переключателей большие таблицы, поэтому их сложнее заполнить.
Дэвид Пашли
Заполнение таблиц mac коммутатора приводит к тому, что широковещательные пакеты, предназначенные для неизвестных (из-за атаки затопления) адресов, становятся широковещательными. VLAN по-прежнему ограничивают широковещательный домен, так что это больше похоже на концентратор на VLAN.
sh-beta
21

Да, но это не только из-за того, что вы используете Telnet и ваши слабые пароли, но и из-за вашего отношения к безопасности.

Хорошая безопасность приходит в слоях. Не следует полагать, что из-за хорошего брандмауэра ваша внутренняя безопасность может быть слабой. Вы должны предположить, что в какой-то момент ваш брандмауэр будет скомпрометирован, на рабочих станциях появятся вирусы, и ваш коммутатор будет взломан. Возможно, все одновременно. Вы должны убедиться, что важные вещи имеют хорошие пароли, а менее важные - тоже. Вы также должны использовать надежное шифрование, когда это возможно для сетевого трафика. Это простое в настройке, и в случае OpenSSH, делает вашу жизнь проще с использованием открытых ключей.

И затем, вы также должны следить за сотрудниками. Убедитесь, что все не используют одну и ту же учетную запись для любой данной функции. Это причиняет боль всем, когда кто-то увольняется, и вам нужно сменить все пароли. Вы также должны убедиться, что они не становятся жертвами фишинговых атак через образование (скажите им, что если вы когда-нибудь спросите их пароль, это произойдет потому, что вас только что уволили и у вас больше нет доступа! У кого-то еще есть меньше причин спрашивать.), А также сегментирование доступа для каждой учетной записи.

Поскольку это кажется вам новой концепцией, вам, вероятно, будет полезно взять книгу о безопасности сетей / систем. Глава 7 «Практики системного и сетевого администрирования» немного охватывает эту тему, также как и «Администрирование основных систем», оба из которых я рекомендую прочитать в любом случае . Есть также целые книги, посвященные этой теме.

Эрни
источник
«Хорошая безопасность приходит в слоях». Очень хорошо сказал, я думаю, думал о редактировании моего поста, чтобы иметь что-то вроде этого, но это не выразилось бы так хорошо.
Кайл Брандт
12

Да, это большая проблема, так как при некотором простом отравлении ARP вы обычно можете прослушивать локальную сеть, не находясь физически на правильном порту коммутатора, как в старые добрые времена хаба - и это тоже очень легко сделать.

Оскар Дювеборн
источник
3
Кроме того, подумайте о том, сколько сетевых портов находится в небезопасных или сомнительно безопасных областях. У одного из моих прошлых работодателей было полдюжины в неконтролируемом небезопасном вестибюле лифта. Даже если порт безопасен, подумайте о том, кто еще находится в здании - уборщиках, специалистах по обслуживанию и т. Д. - и помните, что социальная инженерия - один из самых простых векторов обхода физической безопасности.
Карл Кацке
«Привет, администратор! Я здесь, чтобы увидеться с Джоном, но я немного рано, могу ли я взять бесплатный конференц-зал для обработки электронной почты на моем ноутбуке? Правда? Отлично!»
Оскар Дюверборн
4

Вы, скорее всего, будете взломаны изнутри, а не снаружи.

Подмена ARP тривиальна с помощью различных готовых скриптов / инструментов, широко доступных в Интернете (ettercap был упомянут в другом ответе), и требует только, чтобы вы находились в одном и том же широковещательном домене. Если каждый из ваших пользователей не имеет собственной VLAN, вы уязвимы для этого.

Учитывая, насколько широко распространен SSH, нет никакой причины использовать telnet. OpenSSH бесплатен и доступен практически для любой ОС * nix-стиля. Он встроен во все дистрибутивы, которые я когда-либо использовал, и администрация достигла статуса «под ключ».

ш-бета
источник
+1 За упоминание Vlans и вещательных доменов.
Максвелл
Немного о глубине моей сетевой безопасности ... Но я не уверен, что VLAN защитят вас, как правило: cisco.com/en/US/products/hw/switches/ps708/…
Кайл Брандт
+1 за упоминание OpenSSH, когда никто другой не имел.
Эрни
1
Кайл - уязвимости там в основном не имеют значения. Атака MAC-адресации по-прежнему ограничена широковещательным доменом, поэтому перескок VLAN отсутствует То же самое с атаками ARP. Атака с двойной инкапсуляцией с использованием VLAN-перескоков, которую все цитируют, почему VLAN небезопасны, требует, чтобы злоумышленник был подключен к транковому порту с собственной VLAN. Во -первых, у магистралей никогда не должно быть собственной VLAN ...
sh-beta
1

Использование простого текста для любой части процесса входа в систему и проверки подлинности вызывает проблемы. Вам не нужно много возможностей для сбора паролей пользователей. Поскольку в будущем вы планируете перейти на AD, я предполагаю, что вы выполняете некоторую центральную аутентификацию и для других систем. Вы действительно хотите, чтобы все ваши системы были широко открыты для работника с недовольством?

Может ли AD сейчас двигаться и тратить свое время на настройку ssh. Затем снова посетите AD и, пожалуйста, используйте ldaps.

липкая
источник
1

Конечно, теперь у вас есть коммутируемая сеть ... Но все меняется. И скоро кто-то захочет WiFi. Тогда что ты собираешься делать?

И что произойдет, если один из ваших доверенных сотрудников захочет шпионить за другим сотрудником? Или их босс?

Рори
источник
1

Я согласен со всеми существующими комментариями. Хотелось бы добавить, что если вы ДОЛЖНЫ работать таким образом, а другого приемлемого решения действительно не было, вы можете защитить его настолько, насколько сможете. Используя современные коммутаторы Cisco с такими функциями, как защита портов и IP Source Guard, вы можете уменьшить угрозу атак спуфинга / отравления arp. Это создает большую сложность в сети, а также увеличивает нагрузку на коммутаторы, поэтому это не идеальное решение. Очевидно, что лучшее, что нужно сделать, - это зашифровать что-нибудь чувствительное, чтобы любые перехваченные пакеты были бесполезны для атакующего.

Тем не менее, часто приятно иметь возможность найти отравителя арп, даже если просто потому, что они ухудшают производительность вашей сети. Такие инструменты, как Arpwatch, могут помочь вам в этом.

штифтик
источник
+1 за предложение возможного смягчения
mmcg
0

Коммутируемые сети защищают только от атак на маршруте, и если сеть уязвима для спуфинга ARP, она делает это только минимально. Незашифрованные пароли в пакетах также уязвимы для перехвата в конечных точках.

Например, возьмите сервер оболочки Linux с поддержкой telnet. Так или иначе, это становится скомпрометированным, и плохие люди имеют корни. Этот сервер теперь 0wn3d, но если они хотят загрузить другие серверы в вашей сети, им нужно будет проделать немного больше работы. Вместо глубокого взлома файла passwd, они включают tcpdump на пятнадцать минут и получают пароли для любого инициированного сеанса telnet в течение этого времени. Из-за повторного использования пароля это, вероятно, позволит злоумышленникам эмулировать законных пользователей в других системах. Или, если сервер linux использует внешний аутентификатор, такой как LDAP, NIS ++ или WinBind / AD, даже глубокий взлом файла passwd не принесет им много пользы, так что это намного лучший способ получить пароли дешево.

Измените 'telnet' на 'ftp', и у вас возникнет та же проблема. Даже в коммутируемых сетях, которые эффективно защищают от спуфинга / отравления ARP, вышеописанный сценарий все еще возможен с незашифрованными паролями.

sysadmin1138
источник
0

Даже за пределами темы ARP Poisoning, которую любой достаточно хороший IDS может и будет обнаруживать, и мы надеемся предотвратить. (А также множество инструментов, предназначенных для предотвращения этого). Перехват роли корня STP, взлом маршрутизатора, подмена информации о маршрутизации источника, панорамирование VTP / ISL, список можно продолжить. В любом случае - существуют МНОГИЕ методы для MITM сети без физического перехвата трафика.

--V -
источник