Ist das Aufspüren von Paketen nach Passwörtern in einem vollständig vermittelten Netzwerk wirklich ein Problem?

Ich verwalte eine Reihe von Linux-Servern, für die Benutzer Telnet-Zugriff benötigen. Derzeit werden die Anmeldeinformationen des Benutzers lokal auf jedem Server gespeichert. Die Kennwörter sind in der Regel sehr schwach und müssen nicht geändert werden. Die Anmeldungen werden in Kürze in Active Directory integriert und dies ist eine besser abgesicherte Identität.

Ist es wirklich bedenklich, dass das Kennwort des Benutzers aus dem LAN abgerufen werden könnte, da wir über ein vollständig vermitteltes Netzwerk verfügen, sodass sich jeder Hacker physisch zwischen dem Computer des Benutzers und dem Server einfügen müsste?

Dies ist ein berechtigtes Problem, da es Tools gibt, mit denen Sie Arp-Vergiftungen (Spoofing) durchführen können, um Computer davon zu überzeugen, dass Sie das Gateway sind. Ein Beispiel für ein relativ einfach zu verwendendes Tool wäre ettercap , das den gesamten Prozess automatisiert. Der Computer wird davon überzeugt, dass Sie das Gateway sind, und der Datenverkehr wird überwacht. Außerdem werden Pakete weitergeleitet, sodass der gesamte Prozess möglicherweise transparent und unerkannt bleibt, sofern kein IDS ausgeführt wird .

Da diese Tools für Kinder verfügbar sind, ist sie eine ziemlich große Bedrohung. Auch wenn die Systeme selbst nicht so wichtig sind, verwenden die Benutzer Kennwörter erneut und setzen sie möglicherweise wichtigeren Dingen aus.

Vermittelte Netzwerke machen das Schnüffeln nur unbequemer, nicht schwerer oder schwieriger.

Ja, aber es liegt nicht nur an Ihrer Verwendung von Telnet und Ihren schwachen Passwörtern, sondern auch an Ihrer Einstellung zur Sicherheit.

Gute Sicherheit kommt in Schichten. Sie sollten nicht davon ausgehen, dass Ihre interne Sicherheit aufgrund einer guten Firewall schwach sein kann. Sie sollten davon ausgehen, dass irgendwann Ihre Firewall kompromittiert wird, die Arbeitsstationen Viren enthalten und Ihr Switch entführt wird. Möglicherweise alle gleichzeitig. Sie sollten sicherstellen, dass wichtige Dinge gute Passwörter haben und weniger wichtige Dinge auch. Wenn möglich, sollten Sie auch eine starke Verschlüsselung für den Netzwerkverkehr verwenden. Es ist einfach einzurichten und erleichtert Ihnen im Falle von OpenSSH das Leben mit öffentlichen Schlüsseln.

Und dann muss man auch noch auf die Mitarbeiter achten. Stellen Sie sicher, dass nicht jeder für eine bestimmte Funktion dasselbe Konto verwendet. Dies macht es für alle anderen zum Schmerz, wenn jemand gefeuert wird und Sie alle Passwörter ändern müssen. Sie müssen auch sicherstellen, dass sie nicht durch Aufklärung Phishing- Angriffen zum Opfer fallen (sagen Sie ihnen, dass Sie gerade gefeuert wurden und keinen Zugriff mehr haben , wenn Sie sie jemals nach ihrem Passwort gefragt haben). Jeder andere hat noch weniger Grund, danach zu fragen.) Und den Zugriff auf Konto-Basis zu segmentieren.

Da dies für Sie ein neues Konzept zu sein scheint, ist es wahrscheinlich eine gute Idee, ein Buch über Netzwerk- / Systemsicherheit zu lesen. Kapitel 7 von "Die Praxis der System- und Netzwerkadministration" behandelt dieses Thema ein wenig, ebenso wie "Essential Systems Administration", die ich sowieso beide zum Lesen empfehle . Es gibt auch ganze Bücher zu diesem Thema.

Ja, es ist ein großes Problem, da Sie mit einer einfachen ARP-Vergiftung normalerweise das LAN schnüffeln können, ohne physisch am richtigen Switch-Port zu sein, genau wie in den guten alten Hub-Tagen - und das ist auch sehr einfach .

Es ist wahrscheinlicher, dass Sie von innen als von außen gehackt werden.

ARP-Spoofing ist mit den verschiedenen vorgefertigten Skripten / Tools, die im Internet weit verbreitet sind (ettercap wurde in einer anderen Antwort erwähnt), trivial und erfordert nur, dass Sie sich in derselben Broadcast-Domäne befinden. Sofern sich nicht jeder Ihrer Benutzer in einem eigenen VLAN befindet, sind Sie dafür anfällig.

Angesichts der Verbreitung von SSH gibt es keinen Grund, Telnet zu verwenden. OpenSSH ist kostenlos und für praktisch alle * nix-artigen Betriebssysteme verfügbar. Es ist in allen Distributionen integriert, die ich jemals verwendet habe, und die Verwaltung hat den Status "Turnkey" erreicht.

Die Verwendung von Klartext für einen beliebigen Teil des Anmelde- und Authentifizierungsprozesses ist problematisch. Sie brauchen nicht viel Fähigkeit, Benutzerkennwörter zu sammeln. Da Sie in Zukunft auf AD umsteigen möchten, nehmen wir an, dass Sie eine Art zentrale Authentifizierung auch für andere Systeme durchführen. Wollen Sie wirklich, dass alle Ihre Systeme einem Mitarbeiter mit Groll offenstehen?

Kann sich die AD erst einmal bewegen und Ihre Zeit damit verbringen, ssh einzurichten? Dann besuche AD erneut und benutze bitte ldaps, wenn du dies tust.

Klar, Sie haben jetzt ein Wählnetz ... Aber die Dinge ändern sich. Und bald wird jemand WiFi wollen. Was wirst du dann tun?

Und was passiert, wenn einer Ihrer vertrauenswürdigen Mitarbeiter einen anderen Mitarbeiter beschnuppern möchte? Oder ihr Chef?

Ich stimme allen vorhandenen Kommentaren zu. Ich wollte jedoch hinzufügen, dass Sie, wenn Sie auf diese Weise arbeiten MÜSSEN und es wirklich keine andere akzeptable Lösung gibt, diese so weit wie möglich sichern können. Mit modernen Cisco-Switches mit Funktionen wie Port-Sicherheit und IP Source Guard können Sie die Bedrohung durch Arp-Spoofing / Poisoning-Angriffe verringern. Dies führt zu einer höheren Komplexität des Netzwerks und einem höheren Overhead für die Switches. Daher ist dies keine ideale Lösung. Offensichtlich ist es am besten, alle sensiblen Daten zu verschlüsseln, damit ein Angreifer keine aufgespürten Pakete erhält.

Trotzdem ist es oftmals schön, einen Arp-Poisoner zu finden, auch wenn er die Leistung Ihres Netzwerks beeinträchtigt. Tools wie Arpwatch können Ihnen dabei helfen.

Vermittelte Netzwerke schützen sich nur gegen Angriffe von unterwegs, und wenn das Netzwerk für ARP-Spoofing anfällig ist, ist dies nur minimal. Unverschlüsselte Kennwörter in Paketen können auch an den Endpunkten abgehört werden.

Nehmen Sie zum Beispiel einen telnet-fähigen Linux-Shell-Server. Irgendwie wird es kompromittiert und die schlechten Leute haben Wurzeln. Dieser Server ist jetzt 0wn3d, aber wenn sie auf andere Server in Ihrem Netzwerk booten möchten, müssen sie etwas mehr arbeiten. Anstatt die passwd-Datei tief zu knacken, wird tcpdump für fünfzehn Minuten aktiviert und die Kennwörter für jede in dieser Zeit initiierte Telnet-Sitzung abgerufen. Aufgrund der erneuten Verwendung von Kennwörtern können die Angreifer wahrscheinlich legitime Benutzer auf anderen Systemen emulieren. Oder wenn der Linux-Server einen externen Authentifikator wie LDAP, NIS ++ oder WinBind / AD verwendet, würde selbst ein tiefes Knacken der passwd-Datei nicht viel bringen. Dies ist eine weitaus bessere Möglichkeit, um Passwörter kostengünstig zu erhalten.

Ändern Sie 'telnet' in 'ftp' und Sie haben das gleiche Problem. Selbst in geswitchten Netzwerken, die sich effektiv gegen ARP-Spoofing / -Poisoning schützen, ist das oben beschriebene Szenario mit unverschlüsselten Passwörtern möglich.

Auch jenseits des Themas ARP-Vergiftung, die einigermaßen gutes IDS erkennen und hoffentlich verhindern kann und wird. (Sowie eine Fülle von Werkzeugen, die es verhindern sollen). Hijacking von STP-Root-Rollen, Eindringen in den Router, Spoofing von Source-Routing-Informationen, VTP / ISL-Panning. Die Liste geht weiter.