Là gói đánh hơi cho mật khẩu trên một mạng chuyển đổi hoàn toàn thực sự là một mối quan tâm?

Tôi quản trị một số máy chủ linux yêu cầu truy cập telnet cho người dùng. Hiện tại thông tin đăng nhập của người dùng được lưu trữ cục bộ trên mỗi máy chủ và mật khẩu có xu hướng rất yếu và không có yêu cầu nào phải thay đổi. Các đăng nhập sẽ sớm được tích hợp với Active Directory và đây là một danh tính được bảo vệ chặt chẽ hơn.

Có thực sự lo ngại rằng mật khẩu của người dùng có thể bị đánh hơi từ mạng LAN do chúng tôi có một mạng được chuyển đổi hoàn toàn để bất kỳ hacker nào cũng cần phải tự chèn vào giữa máy tính của người dùng và máy chủ không?

Đó là một mối quan tâm hợp lý vì có những công cụ thực hiện ngộ độc arp (giả mạo) cho phép bạn thuyết phục các máy tính rằng bạn là cổng. Một ví dụ và công cụ tương đối dễ sử dụng sẽ là ettercap tự động hóa toàn bộ quá trình. Nó sẽ thuyết phục máy tính của họ rằng bạn là cổng và đánh hơi lưu lượng, nó cũng sẽ chuyển tiếp các gói vì vậy trừ khi có IDS chạy toàn bộ quá trình có thể trong suốt và không bị phát hiện.

Vì những công cụ này có sẵn cho những đứa trẻ, nó là một mối đe dọa khá lớn. Ngay cả khi bản thân các hệ thống không quan trọng, mọi người sẽ sử dụng lại mật khẩu và có thể tiết lộ mật khẩu cho những thứ quan trọng hơn.

Mạng chuyển mạch chỉ làm cho việc đánh hơi trở nên bất tiện hơn, không khó khăn hay khó khăn.

Có, nhưng không chỉ vì bạn sử dụng Telnet và mật khẩu yếu, mà là do thái độ của bạn đối với bảo mật.

An ninh tốt đến trong các lớp. Bạn không nên cho rằng vì bạn có một tường lửa tốt, bảo mật nội bộ của bạn có thể yếu. Bạn nên cho rằng tại một số thời điểm, tường lửa của bạn sẽ bị xâm phạm, các máy trạm sẽ có vi-rút và công tắc của bạn sẽ bị tấn công. Có thể tất cả cùng một lúc. Bạn nên chắc chắn rằng những thứ quan trọng có mật khẩu tốt và những thứ ít quan trọng hơn cũng làm như vậy. Bạn cũng nên sử dụng mã hóa mạnh khi có thể cho lưu lượng mạng. Việc cài đặt thật đơn giản và trong trường hợp OpenSSH, giúp cuộc sống của bạn dễ dàng hơn với việc sử dụng các khóa công khai.

Và sau đó, bạn cũng phải coi chừng nhân viên. Đảm bảo mọi người không sử dụng cùng một tài khoản cho bất kỳ chức năng nào. Điều này làm cho mọi người khác đau đớn khi ai đó bị sa thải và bạn cần thay đổi tất cả mật khẩu. Bạn cũng phải đảm bảo rằng họ không trở thành nạn nhân của các cuộc tấn công lừa đảo thông qua giáo dục (nói với họ rằng nếu bạn từng hỏi họ mật khẩu của họ, thì đó là vì bạn vừa bị đuổi việc và bạn không còn quyền truy cập nữa! Bất cứ ai khác thậm chí có ít lý do để hỏi.), Cũng như phân đoạn truy cập trên cơ sở mỗi tài khoản.

Vì đây dường như là một khái niệm mới đối với bạn, có lẽ bạn nên chọn một cuốn sách về bảo mật mạng / hệ thống. Chương 7 của "Thực hành hệ thống và Mạng cục" bao gồm chủ đề này một chút, cũng như "Quản trị hệ thống khái quát", cả hai mà tôi khuyên bạn nên đọc nào . Ngoài ra còn có toàn bộ sách dành riêng cho chủ đề.

Vâng, đó là một mối quan tâm lớn vì với một số vụ ngộ độc ARP đơn giản, bạn thường có thể đánh hơi được mạng LAN mà không cần ở cổng chuyển đổi bên phải, giống như trong những ngày trung tâm cũ - và điều đó cũng rất dễ thực hiện.

Bạn có nhiều khả năng bị hack từ bên trong hơn bên ngoài.

Việc giả mạo ARP là không đáng kể với các tập lệnh / công cụ dựng sẵn khác nhau có sẵn trên Internet (ettercap đã được đề cập trong một câu trả lời khác) và chỉ yêu cầu bạn ở trên cùng một miền quảng bá. Trừ khi mỗi người dùng của bạn sử dụng Vlan của riêng họ, bạn sẽ dễ bị điều này.

Cho rằng SSH lan rộng như thế nào thì thực sự không có lý do gì để sử dụng telnet. OpenSSH là miễn phí và có sẵn cho hầu hết mọi hệ điều hành kiểu * nix ngoài kia. Nó được tích hợp sẵn trên tất cả các bản phân phối tôi từng sử dụng và quản trị đã đạt đến trạng thái chìa khóa trao tay.

Sử dụng văn bản thuần túy cho bất kỳ phần nào của quá trình đăng nhập và xác thực sẽ gây rắc rối. Bạn không cần nhiều khả năng thu thập mật khẩu người dùng. Khi bạn dự định chuyển sang AD trong tương lai, tôi giả sử bạn cũng đang thực hiện một số loại xác thực trung tâm cho các hệ thống khác. Bạn có thực sự muốn tất cả các hệ thống của bạn mở rộng cho một nhân viên với một mối hận thù?

AD có thể di chuyển bây giờ và dành thời gian của bạn để thiết lập ssh. Sau đó truy cập lại AD và vui lòng sử dụng ldaps khi bạn làm.

Chắc chắn, bạn đã có một mạng chuyển đổi ngay bây giờ ... Nhưng mọi thứ thay đổi. Và sẽ sớm có người muốn có WiFi. Sau đó, bạn sẽ làm gì?

Và điều gì xảy ra nếu một trong những nhân viên đáng tin cậy của bạn muốn rình mò một nhân viên khác? Hay ông chủ của họ?

Tôi đồng ý với tất cả các ý kiến ​​hiện có. Tôi muốn thêm vào mặc dù nếu bạn HAD chạy theo cách này và thực sự không có giải pháp nào khác có thể chấp nhận được, bạn có thể bảo mật nó nhiều nhất có thể. Sử dụng các thiết bị chuyển mạch hiện đại của Cisco với các tính năng như bảo mật cổng và IP Source Guard, bạn có thể giảm thiểu nguy cơ tấn công giả mạo / ngộ độc arp. Điều này tạo ra sự phức tạp hơn trong mạng cũng như chi phí hoạt động cao hơn cho các thiết bị chuyển mạch, vì vậy đây không phải là một giải pháp lý tưởng. Rõ ràng điều tốt nhất để làm là mã hóa bất cứ thứ gì nhạy cảm để bất kỳ gói tin bị đánh hơi nào đều vô dụng đối với kẻ tấn công.

Điều đó nói rằng, thật tuyệt khi có thể tìm thấy một kẻ đầu độc arp ngay cả khi đơn giản chỉ vì chúng làm giảm hiệu suất của mạng của bạn. Các công cụ như Arpwatch có thể giúp bạn điều này.

Các mạng chuyển đổi chỉ bảo vệ chống lại các cuộc tấn công trên đường và nếu mạng dễ bị giả mạo ARP thì điều đó chỉ xảy ra ở mức tối thiểu. Mật khẩu không được mã hóa trong các gói cũng dễ bị đánh hơi ở điểm cuối.

Ví dụ: lấy một máy chủ shell linux hỗ trợ telnet. Bằng cách nào đó, nó bị xâm phạm và những người xấu đã root. Máy chủ đó hiện là 0wn3d, nhưng nếu họ muốn bootstrap đến các máy chủ khác trong mạng của bạn, họ sẽ cần phải làm thêm một chút. Thay vì bẻ khóa sâu tập tin passwd, họ bật tcpdump trong mười lăm phút và lấy mật khẩu cho bất kỳ phiên telnet nào được khởi tạo trong thời gian đó. Do sử dụng lại mật khẩu, điều này có thể sẽ cho phép những kẻ tấn công giả lập người dùng hợp pháp trên các hệ thống khác. Hoặc nếu máy chủ linux đang sử dụng một trình xác thực bên ngoài như LDAP, NIS ++ hoặc WinBind / AD, thậm chí việc bẻ khóa sâu tệp passwd sẽ không nhận được chúng nhiều vì vậy đây là cách tốt hơn để lấy mật khẩu với giá rẻ.

Thay đổi 'telnet' thành 'ftp' và bạn có cùng một vấn đề. Ngay cả trên các mạng chuyển mạch bảo vệ hiệu quả chống giả mạo / đầu độc ARP, kịch bản trên vẫn có thể xảy ra với mật khẩu không được mã hóa.

Thậm chí ngoài chủ đề về Ngộ độc ARP, mà bất kỳ IDS hợp lý nào cũng có thể và sẽ phát hiện và hy vọng ngăn chặn. (Cũng như rất nhiều công cụ nhằm ngăn chặn nó). Đánh cắp vai trò gốc STP, đột nhập vào bộ định tuyến, giả mạo thông tin định tuyến nguồn, quét VTP / ISL, Danh sách vẫn tiếp tục, trong mọi trường hợp - Có các kỹ thuật NUMEROUS để MITM một mạng mà không chặn lưu lượng truy cập.