Là gói đánh hơi cho mật khẩu trên một mạng chuyển đổi hoàn toàn thực sự là một mối quan tâm?


27

Tôi quản trị một số máy chủ linux yêu cầu truy cập telnet cho người dùng. Hiện tại thông tin đăng nhập của người dùng được lưu trữ cục bộ trên mỗi máy chủ và mật khẩu có xu hướng rất yếu và không có yêu cầu nào phải thay đổi. Các đăng nhập sẽ sớm được tích hợp với Active Directory và đây là một danh tính được bảo vệ chặt chẽ hơn.

Có thực sự lo ngại rằng mật khẩu của người dùng có thể bị đánh hơi từ mạng LAN do chúng tôi có một mạng được chuyển đổi hoàn toàn để bất kỳ hacker nào cũng cần phải tự chèn vào giữa máy tính của người dùng và máy chủ không?


Vì bạn đang dùng linux, hãy thử ettercap. Đây là một hướng dẫn: openmaniak.com/ettercap_arp.php
Joseph Kern

- "máy chủ linux yêu cầu truy cập telnet" ??? Tôi đã không thấy một máy chủ linux bị thiếu ssh trong 5-10 năm qua hoặc lâu hơn ... Cảm giác như tôi đang thiếu một cái gì đó ở đây ...
Johan

@Johan - Các ứng dụng chạy trên các máy chủ này đã được telnet truy cập trong một số năm, kể từ trước khi ssh tồn tại. Công ty mua một máy khách telnet cho những người dùng truy cập các ứng dụng này. Telnet cũng được sử dụng để truy cập các ứng dụng trên máy chủ HP-UX và từ thiết bị cầm tay di động. Do đó telnet rất cố thủ và không đi đến đâu cho dù tôi nghĩ gì về nó. FTP cũng vậy.
mmcg

Câu trả lời:


42

Đó là một mối quan tâm hợp lý vì có những công cụ thực hiện ngộ độc arp (giả mạo) cho phép bạn thuyết phục các máy tính rằng bạn là cổng. Một ví dụ và công cụ tương đối dễ sử dụng sẽ là ettercap tự động hóa toàn bộ quá trình. Nó sẽ thuyết phục máy tính của họ rằng bạn là cổng và đánh hơi lưu lượng, nó cũng sẽ chuyển tiếp các gói vì vậy trừ khi có IDS chạy toàn bộ quá trình có thể trong suốt và không bị phát hiện.

Vì những công cụ này có sẵn cho những đứa trẻ, nó là một mối đe dọa khá lớn. Ngay cả khi bản thân các hệ thống không quan trọng, mọi người sẽ sử dụng lại mật khẩu và có thể tiết lộ mật khẩu cho những thứ quan trọng hơn.

Mạng chuyển mạch chỉ làm cho việc đánh hơi trở nên bất tiện hơn, không khó khăn hay khó khăn.


3
Tôi đã trả lời câu hỏi cụ thể của bạn, nhưng tôi khuyên bạn cũng nên đọc câu trả lời của Ernie về cách tiếp cận rộng hơn để suy nghĩ về bảo mật.
Kyle Brandt

s / đặt ra / ngộ độc /
grawity

grawity: Tôi dành nhiều thời gian để sửa lỗi chính tả ghê tởm của mình bằng kiểm tra chính tả firefox khi tôi viết mỗi bài :-)
Kyle Brandt

4
+1 Tất cả bạn có thể điền vào bảng mac của công tắc và biến nó thành một trung tâm. Rõ ràng các công tắc lớn hơn có các bảng lớn hơn và do đó khó lấp đầy hơn.
David Pashley

Việc lấp đầy các bảng mac của công tắc dẫn đến các gói tin unicast dành cho các địa chỉ không xác định (vì cuộc tấn công ngập lụt) đang được phát sóng. Các Vlan vẫn hạn chế miền phát sóng, do đó, nó giống như một trung tâm trên mỗi Vlan.
sh-beta

21

Có, nhưng không chỉ vì bạn sử dụng Telnet và mật khẩu yếu, mà là do thái độ của bạn đối với bảo mật.

An ninh tốt đến trong các lớp. Bạn không nên cho rằng vì bạn có một tường lửa tốt, bảo mật nội bộ của bạn có thể yếu. Bạn nên cho rằng tại một số thời điểm, tường lửa của bạn sẽ bị xâm phạm, các máy trạm sẽ có vi-rút và công tắc của bạn sẽ bị tấn công. Có thể tất cả cùng một lúc. Bạn nên chắc chắn rằng những thứ quan trọng có mật khẩu tốt và những thứ ít quan trọng hơn cũng làm như vậy. Bạn cũng nên sử dụng mã hóa mạnh khi có thể cho lưu lượng mạng. Việc cài đặt thật đơn giản và trong trường hợp OpenSSH, giúp cuộc sống của bạn dễ dàng hơn với việc sử dụng các khóa công khai.

Và sau đó, bạn cũng phải coi chừng nhân viên. Đảm bảo mọi người không sử dụng cùng một tài khoản cho bất kỳ chức năng nào. Điều này làm cho mọi người khác đau đớn khi ai đó bị sa thải và bạn cần thay đổi tất cả mật khẩu. Bạn cũng phải đảm bảo rằng họ không trở thành nạn nhân của các cuộc tấn công lừa đảo thông qua giáo dục (nói với họ rằng nếu bạn từng hỏi họ mật khẩu của họ, thì đó là vì bạn vừa bị đuổi việc và bạn không còn quyền truy cập nữa! Bất cứ ai khác thậm chí có ít lý do để hỏi.), Cũng như phân đoạn truy cập trên cơ sở mỗi tài khoản.

Vì đây dường như là một khái niệm mới đối với bạn, có lẽ bạn nên chọn một cuốn sách về bảo mật mạng / hệ thống. Chương 7 của "Thực hành hệ thống và Mạng cục" bao gồm chủ đề này một chút, cũng như "Quản trị hệ thống khái quát", cả hai mà tôi khuyên bạn nên đọc nào . Ngoài ra còn có toàn bộ sách dành riêng cho chủ đề.


"Bảo mật tốt đến trong các lớp." Tôi nghĩ rất rõ, tôi nghĩ về việc chỉnh sửa bài viết của mình để có cái gì đó như thế này, nhưng nó sẽ không thể hiện tốt như vậy.
Kyle Brandt

12

Vâng, đó là một mối quan tâm lớn vì với một số vụ ngộ độc ARP đơn giản, bạn thường có thể đánh hơi được mạng LAN mà không cần ở cổng chuyển đổi bên phải, giống như trong những ngày trung tâm cũ - và điều đó cũng rất dễ thực hiện.


3
Ngoài ra, hãy suy nghĩ về việc có bao nhiêu cổng mạng trong các khu vực không an toàn hoặc nghi vấn an toàn. Một trong những người chủ trước đây của tôi đã có nửa tá trong một sảnh thang máy không được giám sát, không an toàn. Ngay cả khi cổng an toàn, hãy nghĩ về ai khác trong tòa nhà - người gác cổng, công nghệ dịch vụ, v.v. - và hãy nhớ rằng kỹ thuật xã hội là một trong những vectơ dễ dàng nhất để vượt qua an ninh vật lý.
Karl Katzke

"Chào nhân viên tiếp tân! Tôi đến đây để gặp John nhưng tôi hơi sớm, tôi có thể mượn một phòng hội thảo miễn phí để xử lý một số e-mail trên máy tính xách tay của mình không? Thật sao? Tuyệt vời!"
Oskar Duveborn

4

Bạn có nhiều khả năng bị hack từ bên trong hơn bên ngoài.

Việc giả mạo ARP là không đáng kể với các tập lệnh / công cụ dựng sẵn khác nhau có sẵn trên Internet (ettercap đã được đề cập trong một câu trả lời khác) và chỉ yêu cầu bạn ở trên cùng một miền quảng bá. Trừ khi mỗi người dùng của bạn sử dụng Vlan của riêng họ, bạn sẽ dễ bị điều này.

Cho rằng SSH lan rộng như thế nào thì thực sự không có lý do gì để sử dụng telnet. OpenSSH là miễn phí và có sẵn cho hầu hết mọi hệ điều hành kiểu * nix ngoài kia. Nó được tích hợp sẵn trên tất cả các bản phân phối tôi từng sử dụng và quản trị đã đạt đến trạng thái chìa khóa trao tay.


+1 Để đề cập đến Vlans và các miền phát sóng.
Maxwell

Khai thác một chút về độ sâu bảo mật mạng của tôi ở đây ... Nhưng tôi không chắc Vlan sẽ bảo vệ bạn như một quy tắc chung: cisco.com/en/US/products/hw/switches/ps708/ trộm
Kyle Brandt

+1 để đề cập đến OpenSSH khi không có ai khác.
Ernie

1
Kyle - các lỗ hổng ở đó hầu hết không liên quan. Cuộc tấn công lũ lụt MAC vẫn bị hạn chế bởi miền phát sóng, do đó không có nhảy Vlan. Tương tự với các cuộc tấn công ARP. Cuộc tấn công nhảy Vlan đóng gói kép mà mọi người đều trích dẫn là tại sao Vlan không an toàn đòi hỏi kẻ tấn công phải được gắn vào một cổng trung kế với Vlan gốc. Trunk không bao giờ nên có Vlan bản địa ở vị trí đầu tiên ...
sh-beta

1

Sử dụng văn bản thuần túy cho bất kỳ phần nào của quá trình đăng nhập và xác thực sẽ gây rắc rối. Bạn không cần nhiều khả năng thu thập mật khẩu người dùng. Khi bạn dự định chuyển sang AD trong tương lai, tôi giả sử bạn cũng đang thực hiện một số loại xác thực trung tâm cho các hệ thống khác. Bạn có thực sự muốn tất cả các hệ thống của bạn mở rộng cho một nhân viên với một mối hận thù?

AD có thể di chuyển bây giờ và dành thời gian của bạn để thiết lập ssh. Sau đó truy cập lại AD và vui lòng sử dụng ldaps khi bạn làm.


1

Chắc chắn, bạn đã có một mạng chuyển đổi ngay bây giờ ... Nhưng mọi thứ thay đổi. Và sẽ sớm có người muốn có WiFi. Sau đó, bạn sẽ làm gì?

Và điều gì xảy ra nếu một trong những nhân viên đáng tin cậy của bạn muốn rình mò một nhân viên khác? Hay ông chủ của họ?


1

Tôi đồng ý với tất cả các ý kiến ​​hiện có. Tôi muốn thêm vào mặc dù nếu bạn HAD chạy theo cách này và thực sự không có giải pháp nào khác có thể chấp nhận được, bạn có thể bảo mật nó nhiều nhất có thể. Sử dụng các thiết bị chuyển mạch hiện đại của Cisco với các tính năng như bảo mật cổng và IP Source Guard, bạn có thể giảm thiểu nguy cơ tấn công giả mạo / ngộ độc arp. Điều này tạo ra sự phức tạp hơn trong mạng cũng như chi phí hoạt động cao hơn cho các thiết bị chuyển mạch, vì vậy đây không phải là một giải pháp lý tưởng. Rõ ràng điều tốt nhất để làm là mã hóa bất cứ thứ gì nhạy cảm để bất kỳ gói tin bị đánh hơi nào đều vô dụng đối với kẻ tấn công.

Điều đó nói rằng, thật tuyệt khi có thể tìm thấy một kẻ đầu độc arp ngay cả khi đơn giản chỉ vì chúng làm giảm hiệu suất của mạng của bạn. Các công cụ như Arpwatch có thể giúp bạn điều này.


+1 để đề xuất giảm thiểu có thể
mmcg

0

Các mạng chuyển đổi chỉ bảo vệ chống lại các cuộc tấn công trên đường và nếu mạng dễ bị giả mạo ARP thì điều đó chỉ xảy ra ở mức tối thiểu. Mật khẩu không được mã hóa trong các gói cũng dễ bị đánh hơi ở điểm cuối.

Ví dụ: lấy một máy chủ shell linux hỗ trợ telnet. Bằng cách nào đó, nó bị xâm phạm và những người xấu đã root. Máy chủ đó hiện là 0wn3d, nhưng nếu họ muốn bootstrap đến các máy chủ khác trong mạng của bạn, họ sẽ cần phải làm thêm một chút. Thay vì bẻ khóa sâu tập tin passwd, họ bật tcpdump trong mười lăm phút và lấy mật khẩu cho bất kỳ phiên telnet nào được khởi tạo trong thời gian đó. Do sử dụng lại mật khẩu, điều này có thể sẽ cho phép những kẻ tấn công giả lập người dùng hợp pháp trên các hệ thống khác. Hoặc nếu máy chủ linux đang sử dụng một trình xác thực bên ngoài như LDAP, NIS ++ hoặc WinBind / AD, thậm chí việc bẻ khóa sâu tệp passwd sẽ không nhận được chúng nhiều vì vậy đây là cách tốt hơn để lấy mật khẩu với giá rẻ.

Thay đổi 'telnet' thành 'ftp' và bạn có cùng một vấn đề. Ngay cả trên các mạng chuyển mạch bảo vệ hiệu quả chống giả mạo / đầu độc ARP, kịch bản trên vẫn có thể xảy ra với mật khẩu không được mã hóa.


0

Thậm chí ngoài chủ đề về Ngộ độc ARP, mà bất kỳ IDS hợp lý nào cũng có thể và sẽ phát hiện và hy vọng ngăn chặn. (Cũng như rất nhiều công cụ nhằm ngăn chặn nó). Đánh cắp vai trò gốc STP, đột nhập vào bộ định tuyến, giả mạo thông tin định tuyến nguồn, quét VTP / ISL, Danh sách vẫn tiếp tục, trong mọi trường hợp - Có các kỹ thuật NUMEROUS để MITM một mạng mà không chặn lưu lượng truy cập.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.