Czy węszenie pakietów w poszukiwaniu haseł w całkowicie przełączonej sieci jest naprawdę problemem?

27

Zarządzam wieloma serwerami Linux, które wymagają dostępu Telnet dla użytkowników. Obecnie poświadczenia użytkownika są przechowywane lokalnie na każdym serwerze, a hasła są zazwyczaj bardzo słabe i nie ma potrzeby ich zmiany. Loginy wkrótce zostaną zintegrowane z usługą Active Directory i jest to bardziej strzeżona tożsamość.

Czy to naprawdę niepokojące, że hasło użytkownika może być powąchane z sieci LAN, biorąc pod uwagę, że mamy w pełni przełączoną sieć, więc każdy haker musiałby fizycznie wstawić się między komputerem użytkownika a serwerem?

mmcg
źródło
Ponieważ jesteś na Linuksie, spróbuj ettercap. Oto samouczek: openmaniak.com/ettercap_arp.php
Joseph Kern
- „serwery Linux, które wymagają dostępu przez telnet” ??? Nie widziałem serwera z linuksem, w którym brakowało ssh przez ostatnie 5-10 lat ... Wydaje mi się, że coś tu brakuje ...
Johan
@Johan - aplikacje działające na tych serwerach są dostępne przez telnet od kilku lat, zanim jeszcze istniało ssh. Firma kupuje klienta Telnet dla użytkowników uzyskujących dostęp do tych aplikacji. Telnet służy również do uzyskiwania dostępu do aplikacji na serwerze HP-UX i z telefonów komórkowych. Dlatego telnet jest bardzo mocno zakorzeniony i nigdzie się nie wybiera bez względu na to, co o nim myślę. FTP podobnie.
mmcg,

Odpowiedzi:

42

Jest to uzasadniony problem, ponieważ istnieją narzędzia, które powodują zatrucie arp (fałszowanie), które pozwalają przekonać komputery, że jesteś bramą. Przykładem i stosunkowo łatwym w użyciu narzędziem może być ettercap, który automatyzuje cały proces. Przekona ich komputer, że jesteś bramą i wącha ruch, będzie także przekazywał pakiety, więc jeśli nie uruchomi się IDS, cały proces może być przezroczysty i niewykryty.

Ponieważ te narzędzia są dostępne dla dzieciaków jest to dość duże zagrożenie. Nawet jeśli same systemy nie są tak ważne, ludzie ponownie używają haseł i mogą narazić hasła na ważniejsze rzeczy.

Przełączane sieci tylko utrudniają wąchanie, nie są trudne ani trudne.

Kyle Brandt
źródło
3
Odpowiedziałem na twoje konkretne pytanie, ale polecam również przeczytanie odpowiedzi Erniego na temat szerszego podejścia do bezpieczeństwa.
Kyle Brandt,
s / posing / zatrucia /
grawity
grawity: spędzam mniej więcej tyle czasu korygowania moje ohydne ortograficzny sprawdzania pisowni firefox jak ja pisząc każdego postu :-)
Kyle Brandt
4
+1 Możesz wypełnić wszystkie tabele mac przełącznika i zamienić go w hub. Oczywiście większe przełączniki mają większe tabele i dlatego trudniej je wypełnić.
David Pashley,
Wypełnienie tabel mac przełącznika prowadzi do emisji pakietów emisji pojedynczej przeznaczonych pod nieznane (z powodu ataku powodziowego) adresy. Sieci VLAN nadal ograniczają domenę rozgłoszeniową, więc bardziej przypomina koncentrator na sieć VLAN.
sh-beta,
21

Tak, ale nie tylko z powodu korzystania z usługi Telnet i słabych haseł, ale także z stosunku do bezpieczeństwa.

Dobre bezpieczeństwo jest wielowarstwowe. Nie należy zakładać, że ponieważ masz dobrą zaporę, twoje wewnętrzne bezpieczeństwo może być słabe. Powinieneś założyć, że w pewnym momencie twoja zapora ogniowa zostanie przejęta, stacje robocze będą miały wirusy, a twój przełącznik zostanie przejęty. Być może wszystko w tym samym czasie. Powinieneś upewnić się, że ważne rzeczy mają dobre hasła, a mniej ważne również. Powinieneś również korzystać z silnego szyfrowania, jeśli to możliwe, dla ruchu sieciowego. To proste w konfiguracji, a w przypadku OpenSSH, sprawia swoje życie łatwiejsze przy użyciu kluczy publicznych.

A potem trzeba też uważać na pracowników. Upewnij się, że wszyscy nie używają tego samego konta do dowolnej funkcji. Sprawia to ból wszystkim, gdy ktoś zostaje zwolniony, a ty musisz zmienić wszystkie hasła. Trzeba również upewnić się, że nie paść ofiarą phishingu ataków poprzez edukację (im powiedzieć, że jeśli pan nie pytał ich o hasło, byłoby to dlatego, że właśnie dostał zwolniony i nie masz już dostępu! Każdy jeszcze ma mniej powodów, by o to pytać), a także segmentować dostęp dla poszczególnych kont.

Ponieważ wydaje się to dla ciebie nowa koncepcja, prawdopodobnie dobrym pomysłem jest wybranie książki o bezpieczeństwie sieci / systemów. Rozdział 7 „Praktyka systemu i sieci administracji” obejmuje ten temat nieco, podobnie jak „Essential Administration Systems”, z których oba polecam czytanie anyway . Są też całe książki poświęcone temu tematowi.

Ernie
źródło
„Dobre bezpieczeństwo jest wielowarstwowe”. Bardzo dobrze powiedziane, myślę, pomyślałem o edytowaniu mojego postu, aby mieć coś takiego, ale nie byłoby tak dobrze wyrażone.
Kyle Brandt,
12

Tak, jest to duży problem, ponieważ przy niektórych prostych zatruciach ARP możesz normalnie wąchać sieć LAN bez fizycznego korzystania z odpowiedniego portu przełącznika, tak jak w starych dobrych czasach koncentratora - i jest to również bardzo łatwe .

Oskar Duveborn
źródło
3
Ponadto zastanów się, ile portów sieciowych znajduje się w obszarach niepewnych lub wątpliwych. Jeden z moich poprzednich pracodawców miał pół tuzina w niezabezpieczonym, niepewnym holu windy. Nawet jeśli port jest bezpieczny, zastanów się, kto jeszcze jest w budynku - dozorcy, technicy serwisowi itp. - i pamiętaj, że inżynieria społeczna jest jednym z najłatwiejszych sposobów na ominięcie bezpieczeństwa fizycznego.
Karl Katzke,
„Cześć recepcjonisto! Jestem tutaj, aby zobaczyć Johna, ale jestem trochę za wcześnie, czy mogę pożyczyć bezpłatną salę konferencyjną, aby obsłużyć e-mail na moim laptopie? Naprawdę? Świetnie!”
Oskar Duveborn
4

Bardziej prawdopodobne jest, że zostaniesz zhakowany od wewnątrz niż z zewnątrz.

Fałszowanie ARP jest trywialne w przypadku różnych gotowych skryptów / narzędzi szeroko dostępnych w Internecie (ettercap wspomniano w innej odpowiedzi) i wymaga tylko, abyś był w tej samej domenie rozgłoszeniowej. Chyba że każdy z Twoich użytkowników ma własną sieć VLAN, jesteś narażony na to.

Biorąc pod uwagę szeroki zasięg SSH, naprawdę nie ma powodu, aby używać telnet. OpenSSH jest bezpłatny i dostępny dla praktycznie każdego * systemu operacyjnego w stylu nix. Jest wbudowany we wszystkie dystrybucje, z których kiedykolwiek korzystałem, a administracja osiągnęła status „pod klucz”.

sh-beta
źródło
+1 Za wzmiankowanie o Vlanach i domenach nadawczych.
Maxwell,
Wydobywam trochę z głębi mojego bezpieczeństwa sieci ... Ale nie jestem pewien, czy sieci VLAN będą Cię chronić z reguły: cisco.com/en/US/products/hw/switches/ps708/…
Kyle Brandt
+1 za wzmiankę o OpenSSH, gdy nikt inny nie miał.
Ernie,
1
Kyle - tam podatności są w większości nieistotne. Atak zalewania MAC jest nadal ograniczony przez domenę rozgłoszeniową, więc nie przeskakuje VLAN. To samo dotyczy ataków ARP. Podwójnie enkapsulowany atak przeskakujący w VLAN, który wszyscy cytują, dlaczego VLAN jest niepewny, wymaga od atakującego podłączenia do portu trunk z natywną VLAN. Trunks nigdy nie powinien mieć natywnej sieci VLAN ...
sh-beta
1

Używanie zwykłego tekstu w dowolnej części procesu logowania i uwierzytelniania wymaga problemów. Nie potrzebujesz dużej umiejętności gromadzenia haseł użytkowników. Ponieważ planujesz w przyszłości przejść do AD, zakładam, że wykonujesz pewnego rodzaju centralne uwierzytelnianie również dla innych systemów. Czy naprawdę chcesz, aby wszystkie twoje systemy były szeroko otwarte dla pracownika z urazą?

Czy AD może się teraz przenieść i poświęcić czas na konfigurację ssh. Następnie ponownie odwiedź AD i skorzystaj z ldaps, kiedy to zrobisz.

maź
źródło
1

Jasne, masz już przełączoną sieć ... Ale wszystko się zmienia. A wkrótce ktoś będzie chciał WiFi. Co zamierzasz zrobić?

A co się stanie, jeśli jeden z zaufanych pracowników zechce podejrzeć innego pracownika? A może ich szef?

Rory
źródło
1

Zgadzam się ze wszystkimi istniejącymi komentarzami. Chciałem jednak dodać, że jeśli MUSISZ działać w ten sposób, a tak naprawdę nie było innego akceptowalnego rozwiązania, możesz zabezpieczyć je w jak największym stopniu. Korzystając z nowoczesnych przełączników Cisco z funkcjami takimi jak bezpieczeństwo portów i IP Source Guard, możesz zmniejszyć zagrożenie atakami fałszowania / zatrucia arp. Powoduje to większą złożoność sieci, a także większe obciążenie dla przełączników, więc nie jest to idealne rozwiązanie. Oczywiście najlepszą rzeczą do zrobienia jest szyfrowanie wszystkiego, co wrażliwe, tak aby wszelkie obwąchane pakiety były bezużyteczne dla atakującego.

To powiedziawszy, często miło jest znaleźć truciciela arp, nawet jeśli tylko dlatego, że obniżają one wydajność twojej sieci. Narzędzia takie jak Arpwatch mogą ci w tym pomóc.

Ćwiek
źródło
+1 za zasugerowanie możliwego ograniczenia
mmcg
0

Przełączane sieci bronią się tylko przed atakami przelotowymi, a jeśli sieć jest podatna na fałszowanie ARP, robi to tylko minimalnie. Nieszyfrowane hasła w pakietach są również podatne na wąchanie w punktach końcowych.

Na przykład weź serwer powłoki Linux z obsługą Telnetu. Jakoś to idzie na kompromis i źli ludzie mają korzenie. Ten serwer ma teraz numer 0wn3d, ale jeśli będą chcieli uruchomić się z innymi serwerami w sieci, będą musieli wykonać nieco więcej pracy. Zamiast głęboko włamać się do pliku passwd, włączają tcpdump na piętnaście minut i przechwytują hasła do każdej zainicjowanej sesji telnet w tym czasie. Z powodu ponownego użycia hasła prawdopodobnie pozwoli to atakującym na emulację legalnych użytkowników w innych systemach. Lub jeśli serwer Linux używa zewnętrznego uwierzytelniacza, takiego jak LDAP, NIS ++ lub WinBind / AD, nawet głębokie złamanie pliku passwd nie dałoby im wiele, więc jest to o wiele lepszy sposób na tanie uzyskanie haseł.

Zmień „telnet” na „ftp” i masz ten sam problem. Nawet w sieciach przełączanych, które skutecznie chronią przed fałszowaniem / zatruwaniem ARP, powyższy scenariusz jest nadal możliwy w przypadku nieszyfrowanych haseł.

sysadmin1138
źródło
0

Nawet poza tematem Zatruć ARP, które każdy rozsądnie dobry IDS może wykryć i, miejmy nadzieję, mu zapobiec. (A także mnóstwo narzędzi, które mają temu zapobiec). Przejęcie roli root STP, włamanie się do routera, fałszowanie informacji o routingu źródła, przesuwanie VTP / ISL, lista jest długa, w każdym razie - istnieją MIESZKANE techniki MITM w sieci bez fizycznego przechwytywania ruchu.

ŹV -
źródło