การสูดดมแพ็กเก็ตสำหรับรหัสผ่านในเครือข่ายที่มีการสลับเปลี่ยนเต็มเป็นเรื่องที่น่ากังวลหรือไม่?

27

ฉันจัดการเซิร์ฟเวอร์ linux จำนวนหนึ่งที่ต้องการการเข้าถึง telnet สำหรับผู้ใช้ ขณะนี้ข้อมูลประจำตัวของผู้ใช้จะถูกเก็บไว้ในเซิร์ฟเวอร์แต่ละเครื่องและรหัสผ่านมีแนวโน้มที่จะอ่อนแอมากและไม่มีข้อกำหนดสำหรับพวกเขาที่จะเปลี่ยน การเข้าสู่ระบบจะถูกรวมเข้ากับ Active Directory ในไม่ช้าและนี่คือข้อมูลประจำตัวที่ได้รับการปกป้องอย่างใกล้ชิด

เป็นเรื่องที่กังวลหรือไม่ว่ารหัสผ่านของผู้ใช้อาจถูกดักจาก LAN เนื่องจากเรามีเครือข่ายที่เปลี่ยนอย่างสมบูรณ์ดังนั้นแฮกเกอร์ใด ๆ จะต้องแทรกตัวเองระหว่างคอมพิวเตอร์ของผู้ใช้กับเซิร์ฟเวอร์

security password telnet

— mmcg
แหล่งที่มา

เนื่องจากคุณอยู่บน linux ให้ลอง ettercap นี่คือการกวดวิชา: openmaniak.com/ettercap_arp.php

— โจเซฟเคอร์น

- "เซิร์ฟเวอร์ linux ที่ต้องใช้การเข้าถึง telnet" ??? ฉันไม่ได้เห็นเซิร์ฟเวอร์ลินุกซ์ที่หายไป SSH สุดท้าย 5-10 ปีหรือมากกว่านั้น ... รู้สึกเหมือนฉันหายไปบางสิ่งบางอย่างที่นี่ ...

— โจฮาน

@Johan - แอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์เหล่านี้มีการเข้าถึงโดย telnet มานานหลายปีตั้งแต่ก่อนที่จะมีอยู่ ssh บริษัท ซื้อไคลเอ็นต์ telnet สำหรับผู้ใช้ที่เข้าถึงแอพเหล่านี้ Telnet ยังใช้เพื่อเข้าถึงแอพบนเซิร์ฟเวอร์ HP-UX และจากโทรศัพท์มือถือ ดังนั้นเทลเน็ตจึงยึดที่มั่นเป็นอย่างมากและไม่ไปไหนทั้งนั้นไม่ว่าฉันจะคิดอย่างไร FTP เช่นเดียวกัน

— mmcg

42

มันเป็นข้อกังวลที่สมเหตุสมผลเนื่องจากมีเครื่องมือที่ทำให้สำเร็จarp poisoning (spoofing) ที่อนุญาตให้คุณโน้มน้าวคอมพิวเตอร์ที่คุณเป็นเกตเวย์ ตัวอย่างและเครื่องมือที่ใช้งานง่ายจะเป็นettercapที่ทำให้กระบวนการทั้งหมดเป็นไปโดยอัตโนมัติ มันจะโน้มน้าวคอมพิวเตอร์ของคุณว่าคุณเป็นประตูและสูดอากาศมันก็จะส่งต่อแพ็คเก็ตดังนั้นหากไม่มีIDS ที่ใช้งานกระบวนการทั้งหมดอาจจะโปร่งใสและตรวจไม่พบ

เนื่องจากเครื่องมือเหล่านี้พร้อมใช้งานสำหรับkiddiesจึงเป็นภัยคุกคามที่ค่อนข้างใหญ่ แม้ว่าระบบของพวกเขาจะไม่สำคัญนัก แต่ผู้คนจะใช้รหัสผ่านซ้ำและอาจเปิดเผยรหัสผ่านให้กับสิ่งที่สำคัญกว่า

เครือข่ายที่สับเปลี่ยนเท่านั้นทำให้การดมกลิ่นไม่สะดวกขึ้นไม่ยากหรือยาก

— ไคล์แบรนด์
แหล่งที่มา

3

ฉันตอบคำถามเฉพาะของคุณ แต่ฉันขอแนะนำให้อ่านคำตอบของเออร์นี่เกี่ยวกับวิธีการที่กว้างขึ้นเพื่อคิดถึงเรื่องความปลอดภัย

— Kyle Brandt

s / วางตัว / เป็นพิษ /

— grawity

grawity: ฉันใช้เวลามากในการแก้ไขการสะกดคำที่น่าเกลียดของฉันด้วยการตรวจสอบการสะกดของ firefox ขณะที่ฉันเขียนบทความแต่ละโพสต์ :-)

— Kyle Brandt

4

+1 คุณสามารถเติมตาราง mac ของสวิตช์ทั้งหมดแล้วเปลี่ยนเป็นฮับ เห็นได้ชัดว่าสวิตช์ที่ใหญ่กว่านั้นมีตารางที่ใหญ่กว่าและเติมยากกว่า

— David Pashley

การเติมตาราง mac ของสวิตช์จะนำไปสู่การส่งข้อมูลแบบ unicast ที่ไม่ทราบสาเหตุ VLAN ยังคง จำกัด โดเมนการออกอากาศดังนั้นจึงเป็นเหมือนฮับต่อ VLAN

— sh-beta

21

ใช่ แต่ไม่ใช่เพราะการใช้งาน Telnet และรหัสผ่านที่อ่อนแอของคุณ แต่เป็นเพราะทัศนคติของคุณที่มีต่อความปลอดภัย

การรักษาความปลอดภัยที่ดีมาในชั้น คุณไม่ควรสันนิษฐานว่าเพราะคุณมีไฟร์วอลล์ที่ดีความปลอดภัยภายในของคุณอาจไม่ปลอดภัย คุณควรสมมติว่าในบางช่วงเวลาไฟร์วอลล์ของคุณจะถูกบุกรุกเวิร์กสเตชันจะมีไวรัสและสวิตช์ของคุณจะถูกขโมย อาจเป็นไปได้ทั้งหมดในเวลาเดียวกัน คุณควรตรวจสอบให้แน่ใจว่าสิ่งสำคัญมีรหัสผ่านที่ดีและสิ่งสำคัญก็น้อยเช่นกัน คุณควรใช้การเข้ารหัสที่รัดกุมเมื่อเป็นไปได้สำหรับการรับส่งข้อมูลเครือข่าย ตั้งค่าได้ง่ายและในกรณีของ OpenSSH ทำให้ชีวิตของคุณง่ายขึ้นด้วยการใช้กุญแจสาธารณะ

จากนั้นคุณต้องระวังพนักงานด้วย ตรวจสอบให้แน่ใจว่าทุกคนไม่ได้ใช้บัญชีเดียวกันกับฟังก์ชั่นที่กำหนด สิ่งนี้ทำให้คนอื่นเจ็บปวดเมื่อมีคนถูกไล่ออกและคุณต้องเปลี่ยนรหัสผ่านทั้งหมด คุณต้องให้แน่ใจว่าพวกเขาจะไม่ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งผ่านการศึกษา (บอกพวกเขาว่าถ้าคุณเคยถามพวกเขาเพื่อขอรหัสผ่านอาจเป็นเพราะคุณเพิ่งถูกไล่ออกและไม่สามารถเข้าถึงได้อีกต่อไป! ทุกคนมีเหตุผลที่จะถามน้อยกว่า) รวมถึงการแบ่งกลุ่มการเข้าถึงตามแต่ละบัญชี

เนื่องจากนี่เป็นแนวคิดใหม่สำหรับคุณจึงอาจเป็นความคิดที่ดีที่คุณจะรับหนังสือเกี่ยวกับความปลอดภัยของเครือข่าย / ระบบ บทที่ 7 ของ "การปฏิบัติของระบบและการบริหารเครือข่าย" ครอบคลุมหัวข้อนี้เล็กน้อยเช่นเดียวกับ "ระบบการบริหารที่สำคัญ" ซึ่งทั้งสองอย่างผมขอแนะนำให้อ่านอยู่แล้ว นอกจากนี้ยังมีหนังสือทั้งเล่มสำหรับเรื่องนี้ด้วย

— เออร์นี่
แหล่งที่มา

"ความปลอดภัยที่ดีมาในเลเยอร์" ดีมากบอกว่าฉันคิดว่าคิดเกี่ยวกับการแก้ไขโพสต์ของฉันจะมีอะไรเช่นนี้ แต่มันจะไม่แสดงออกมาดีนัก

— Kyle Brandt

12

ใช่มันเป็นความกังวลอย่างใหญ่หลวงเช่นเดียวกับการวางยาพิษ ARP แบบง่าย ๆ โดยปกติคุณสามารถสูดดม LAN ได้โดยไม่ต้องอยู่ที่สวิตช์พอร์ตที่ถูกต้องเช่นเดียวกับในวันฮับเก่าที่ดี - และมันก็ง่ายมาก

— Oskar Duveborn
แหล่งที่มา

3

นอกจากนี้ให้คิดถึงจำนวนพอร์ตเครือข่ายที่มีอยู่ในพื้นที่ที่ไม่ปลอดภัยหรือมีความปลอดภัยอย่างน่าสงสัย หนึ่งในนายจ้างที่ผ่านมาของฉันมีครึ่งโหลในล็อบบี้ลิฟต์ที่ไม่ได้รับการตรวจสอบและไม่ปลอดภัย แม้ว่าพอร์ตของคุณจะปลอดภัย แต่ลองคิดดูว่ามีใครอยู่ในอาคารเช่นภารโรงช่างเทคนิคบริการ ฯลฯ และจำไว้ว่าวิศวกรรมทางสังคมเป็นหนึ่งในเวกเตอร์ที่ง่ายที่สุดในการหลีกเลี่ยงความปลอดภัยทางกายภาพ

— คาร์ล Katzke

"สวัสดีพนักงานต้อนรับ! ฉันมาที่นี่เพื่อดูจอห์น แต่ฉันเร็วไปหน่อยฉันขอยืมห้องประชุมฟรีเพื่อจัดการกับอีเมลบนแล็ปท็อปของฉันได้หรือไม่จริงเหรอ?

— Oskar Duveborn

4

คุณมีแนวโน้มที่จะถูกแฮ็กจากภายในมากกว่าด้านนอก

การปลอมแปลง ARP นั้นไม่สำคัญกับสคริปต์ / เครื่องมือที่สร้างไว้ล่วงหน้าจำนวนมากที่มีอยู่บนอินเทอร์เน็ต (ettercap ถูกกล่าวถึงในคำตอบอื่น) และต้องการเพียงว่าคุณอยู่ในโดเมนออกอากาศเดียวกัน นอกจากว่าผู้ใช้แต่ละคนจะอยู่ใน VLAN ของตัวเองคุณก็มีช่องโหว่ในเรื่องนี้

เมื่อพิจารณาว่า SSH ที่แพร่หลายนั้นไม่มีเหตุผลอะไรที่จะใช้ telnet OpenSSH ให้บริการฟรีและใช้ได้กับระบบปฏิบัติการ * nix ทุกรูปแบบ มันติดตั้งใน distros ทั้งหมดที่ฉันเคยใช้และการดูแลระบบมีสถานะเป็นแบบครบวงจร

— SH-เบต้า
แหล่งที่มา

+1 สำหรับการพูดถึง Vlans และโดเมนการออกอากาศ

— Maxwell

เริ่มออกจากส่วนลึกของความปลอดภัยเครือข่ายของฉันที่นี่ ... แต่ฉันไม่แน่ใจว่า VLANs จะปกป้องคุณตามกฎทั่วไป: cisco.com/en/US/products/hw/switch/ps708/

— Kyle Brandt

+1 สำหรับการพูดถึง OpenSSH เมื่อไม่มีคนอื่น

— เออร์นี่

1

ไคล์ - ช่องโหว่ส่วนใหญ่ไม่เกี่ยวข้อง การโจมตีของ MAC ที่ท่วมท้นยังคงถูก จำกัด โดยโดเมนการออกอากาศดังนั้นจึงไม่มีการหยุด VLAN เช่นเดียวกันกับการโจมตี ARP การห่อหุ้มสองครั้ง VLAN - กระโดดการโจมตีที่ทุกคนอ้างว่าทำไม VLANs ไม่ปลอดภัยต้องโจมตีแนบกับพอร์ตลำต้นกับ VLAN ดั้งเดิม กางเกงควรไม่เคยมี VLAN พื้นเมืองในสถานที่แรก ...

— SH-เบต้า

1

การใช้ข้อความธรรมดาสำหรับส่วนใด ๆ ของกระบวนการเข้าสู่ระบบและการตรวจสอบจะถามปัญหา คุณไม่ต้องการความสามารถอย่างมากในการรวบรวมรหัสผ่านของผู้ใช้ ในขณะที่คุณวางแผนที่จะย้ายไปที่ AD ในอนาคตฉันคิดว่าคุณกำลังทำการตรวจสอบกลางสำหรับระบบอื่น ๆ ด้วย คุณต้องการให้ระบบทั้งหมดของคุณเปิดกว้างสำหรับพนักงานที่มีความเสียใจหรือไม่?

โฆษณาสามารถย้ายได้ในขณะนี้และใช้เวลาของคุณในการตั้งค่า ssh จากนั้นเยี่ยมชมโฆษณาอีกครั้งและโปรดใช้ ldaps เมื่อคุณทำ

— สารที่หนา
แหล่งที่มา

1

แน่นอนว่าคุณมีเครือข่ายที่เปลี่ยนไปแล้ว ... แต่ทุกอย่างเปลี่ยนไป และอีกไม่นานจะมีคนต้องการ WiFi ถ้าอย่างนั้นคุณจะทำอะไร?

และจะเกิดอะไรขึ้นหากพนักงานคนใดคนหนึ่งของคุณเชื่อถือได้ต้องการที่จะสอดแนมพนักงานคนอื่น? หรือเจ้านายของพวกเขา?

— Rory
แหล่งที่มา

1

ฉันเห็นด้วยกับความคิดเห็นที่มีอยู่ทั้งหมด ฉันต้องการเพิ่มว่าถ้าคุณมีวิธีนี้และไม่มีวิธีแก้ปัญหาอื่น ๆ ที่ยอมรับได้คุณสามารถรักษาความปลอดภัยให้ได้มากที่สุด การใช้สวิตช์ของ Cisco ที่ทันสมัยพร้อมคุณสมบัติเช่นการรักษาความปลอดภัยพอร์ตและ IP Source Guard คุณสามารถลดการคุกคามของการโจมตี arp spoofing / การเป็นพิษ สิ่งนี้สร้างความซับซ้อนมากขึ้นในเครือข่ายรวมทั้งค่าใช้จ่ายเพิ่มเติมสำหรับสวิตช์ดังนั้นจึงไม่ใช่โซลูชันที่สมบูรณ์แบบ เห็นได้ชัดว่าสิ่งที่ดีที่สุดที่ต้องทำคือเข้ารหัสสิ่งที่ละเอียดอ่อนเพื่อให้แพ็คเก็ตดมกลิ่นใด ๆ นั้นไร้ประโยชน์ต่อผู้โจมตี

ที่กล่าวมามักจะเป็นเรื่องดีที่จะสามารถค้นหาตัววางพิษได้แม้เพียงเพราะพวกเขาลดประสิทธิภาพของเครือข่ายของคุณ เครื่องมืออย่าง Arpwatch สามารถช่วยคุณได้

— แบรด
แหล่งที่มา

+1 สำหรับการแนะนำการบรรเทาที่เป็นไปได้

— mmcg

0

เครือข่ายที่สลับเปลี่ยนจะป้องกันการโจมตีระหว่างทางเท่านั้นและหากเครือข่ายมีความเสี่ยงต่อการปลอมแปลง ARP เครือข่ายนั้นจะทำเพียงเล็กน้อยเท่านั้น รหัสผ่านที่ไม่ได้เข้ารหัสในแพ็คเก็ตก็มีความเสี่ยงที่จะดมกลิ่นที่จุดสิ้นสุด

ตัวอย่างเช่นใช้ linux shell-server ที่เปิดใช้งาน telnet ยังไงก็เถอะมันจะได้รับการประนีประนอมและคนไม่ดีมีราก เซิร์ฟเวอร์นั้นตอนนี้เป็น 0wn3d แต่ถ้าพวกเขาต้องการบูตสแตรปกับเซิร์ฟเวอร์อื่น ๆ ในเครือข่ายของคุณพวกเขาจะต้องทำงานอีกเล็กน้อย แทนที่จะเจาะลึกไฟล์ passwd พวกเขาเปิด tcpdump เป็นเวลาสิบห้านาทีและคว้ารหัสผ่านสำหรับเซสชัน telnet ใด ๆ ที่เริ่มต้นในช่วงเวลานั้น เนื่องจากมีการใช้รหัสผ่านซ้ำจึงอาจทำให้ผู้โจมตีเลียนแบบผู้ใช้ที่ถูกกฎหมายในระบบอื่น ๆ หรือหากเซิร์ฟเวอร์ linux ใช้ตัวพิสูจน์ความถูกต้องภายนอกเช่น LDAP, NIS ++ หรือ WinBind / AD แม้การถอดรหัสไฟล์ passwd จะไม่ทำให้พวกเขามีความลึกมากนักนี่เป็นวิธีที่ดีกว่าในการรับรหัสผ่านอย่างถูกวิธี

เปลี่ยน 'telnet' เป็น 'ftp' และคุณมีปัญหาเดียวกัน แม้ในเครือข่ายที่มีการสลับซึ่งสามารถป้องกันการปลอมแปลง ARP / การเป็นพิษได้อย่างมีประสิทธิภาพสถานการณ์ดังกล่าวยังคงเป็นไปได้ด้วยรหัสผ่านที่ไม่ได้เข้ารหัส

— sysadmin1138
แหล่งที่มา

0

นอกเหนือจากหัวข้อการเป็นพิษ ARP ซึ่ง IDS ที่ดีใด ๆ ที่สมเหตุสมผลสามารถและสามารถตรวจจับและป้องกันได้ (รวมถึงเครื่องมือที่มีให้เพื่อป้องกัน) บทบาทการรูท STP การเจาะเข้าไปในเราเตอร์การปลอมแปลงข้อมูลการกำหนดเส้นทางต้นทางการแพน VTP / ISL รายการดำเนินต่อไปในทุกกรณี - มีเทคนิคมากมายที่ MITM เครือข่ายโดยไม่มีการสกัดกั้นการรับส่งข้อมูล

— ŹV -
แหล่งที่มา