Frage Ist das Paket-Sniffing für Passwörter in einem vollständig geswitchten Netzwerk wirklich ein Problem?


Ich verwalte eine Reihe von Linux-Servern, die den Telnet-Zugriff für Benutzer erfordern. Derzeit werden die Anmeldeinformationen des Benutzers lokal auf jedem Server gespeichert, und die Kennwörter sind in der Regel sehr schwach und müssen nicht geändert werden. Die Anmeldungen werden demnächst in Active Directory integriert und dies ist eine besser bewachte Identität.

Ist es wirklich ein Problem, dass das Passwort des Benutzers aus dem LAN geschnüffelt werden kann, da wir ein vollgeschaltetes Netzwerk haben, so dass sich jeder Hacker physisch zwischen dem Computer des Benutzers und dem Server einfügen muss?


27
2017-08-10 15:06


Ursprung


Da Sie auf Linux sind, versuchen Sie esetcap. Hier ist ein Tutorial: openmaniak.com/ettercap_arp.php - Joseph Kern
- "Linux-Server, die Telnet-Zugriff benötigen" ??? Ich habe keinen Linux-Server gesehen, der ssh die letzten 5-10 Jahre oder so vermisst hat ... Fühlt sich an, als ob ich etwas hier vermisse ... - Johan
@Johan - Auf die Anwendungen, die auf diesen Servern laufen, wurde seit einigen Jahren telnet zugegriffen, seit es ssh gab. Das Unternehmen kauft einen Telnet-Client für die Benutzer, die auf diese Apps zugreifen. Telnet wird auch für den Zugriff auf Apps auf einem HP-UX Server und von Mobiltelefonen verwendet. Daher ist Telnet sehr fest und geht nirgendwo hin, egal was ich darüber denke. FTP ebenfalls. - mmcg


Antworten:


Es ist eine vernünftige Sorge, da es Werkzeuge gibt, die es schaffen Arp-Vergiftung (Spoofing), mit denen Sie Computer davon überzeugen können, dass Sie das Gateway sind. Ein Beispiel und relativ einfach zu bedienendes Werkzeug wäre ettercap Das automatisiert den gesamten Prozess. Es wird ihren Computer davon überzeugen, dass Sie das Gateway sind und den Verkehr schnüffeln, es wird auch Pakete weiterleiten, es sei denn, es gibt ein IDS läuft Der gesamte Prozess könnte transparent und unerkannt sein.

Da diese Tools zur Verfügung stehen Kinder es ist eine ziemlich große Bedrohung. Selbst wenn die Systeme selbst nicht so wichtig sind, können Benutzer Passwörter wiederverwenden und Passwörter für wichtigere Dinge verfügbar machen.

Geschaltete Netzwerke machen das Schnüffeln nur unbequemer, nicht schwer oder schwierig.


42
2017-08-10 15:12



Ich habe Ihre spezifische Frage beantwortet, aber ich empfehle Ihnen, Ernies Antwort auch über einen breiteren Ansatz zum Thema Sicherheit zu lesen. - Kyle Brandt♦
s / posieren / vergiften / - grawity
grawity: Ich verbringe ungefähr so ​​viel Zeit damit, meine abscheuliche Rechtschreibung mit Firefox-Rechtschreibprüfung zu korrigieren, wie ich jeden Beitrag schreibe :-) - Kyle Brandt♦
+1 Sie können alle Mac-Tabellen eines Switches füllen und sie in einen Hub verwandeln. Offensichtlich haben größere Switches größere Tabellen und sind daher schwerer zu füllen. - David Pashley
Das Füllen der Mac-Tabellen des Switches führt zu Unicast-Paketen, die für unbekannte (wegen des Überschwemmungsangriffs) Adressen bestimmt sind, die gesendet werden. VLANs beschränken die Broadcast-Domäne immer noch, sodass es sich eher um einen Hub pro VLAN handelt. - sh-beta


Ja, aber nicht nur wegen Ihrer Verwendung von Telnet und Ihrer schwachen Passwörter, sondern auch wegen Ihrer Einstellung zur Sicherheit.

Gute Sicherheit kommt in Schichten. Sie sollten nicht davon ausgehen, dass Ihre interne Sicherheit schwach sein kann, weil Sie eine gute Firewall haben. Sie sollten davon ausgehen, dass zu einem bestimmten Zeitpunkt Ihre Firewall kompromittiert wird, die Workstations Viren enthalten und Ihr Switch entführt wird. Möglicherweise alle zur gleichen Zeit. Sie sollten sicherstellen, dass wichtige Dinge gute Passwörter haben und weniger wichtige Dinge auch. Sie sollten auch eine starke Verschlüsselung verwenden, wenn dies für den Netzwerkverkehr möglich ist. Es ist einfach einzurichten und im Falle von OpenSSH macht es dein Leben einfacher mit der Verwendung von öffentlichen Schlüsseln.

Und dann müssen Sie auch auf die Mitarbeiter aufpassen. Stellen Sie sicher, dass nicht jeder Benutzer dasselbe Konto für eine bestimmte Funktion verwendet. Dies macht es für alle anderen schmerzhaft, wenn jemand gefeuert wird und Sie alle Passwörter ändern müssen. Sie müssen auch sicherstellen, dass sie nicht Opfer werden Phishing Angriffe durch Bildung (sagen Sie ihnen, wenn Sie Ich habe sie immer nach ihrem Passwort gefragt, weil Sie gerade gefeuert wurden und Sie keinen Zugang mehr haben! Jeder hat noch weniger Grund zu fragen.), Sowie den Zugriff auf einzelne Konten zu segmentieren.

Da dies für Sie ein neues Konzept zu sein scheint, ist es wahrscheinlich eine gute Idee, ein Buch über Netzwerk- / Systemsicherheit zu lesen. Kapitel 7 von "Die Praxis der System- und Netzwerkadministration" behandelt dieses Thema ein wenig, ebenso wie die "Essential Systems Administration", die ich zu lesen empfehle sowieso. Es gibt auch ganze Bücher, die dem Thema gewidmet sind.


21
2017-08-10 16:17



"Gute Sicherheit kommt in Schichten." Sehr gut gesagt, denke ich, dachte darüber nach, meinen Beitrag zu bearbeiten, um so etwas zu haben, aber es hätte sich nicht so gut ausgedrückt. - Kyle Brandt♦


Ja, es ist ein großes Problem, denn bei einer einfachen ARP-Vergiftung können Sie normalerweise das LAN schnüffeln, ohne physisch am richtigen Switch-Port zu sein, wie in den guten alten HUB-Tagen - und es ist sehr leicht auch tun.


13
2017-08-10 15:12



Denken Sie außerdem darüber nach, wie viele Netzwerk-Ports es in unsicheren oder fraglich sicheren Bereichen gibt. Einer meiner früheren Arbeitgeber hatte ein halbes Dutzend in einer nicht überwachten, unsicheren Aufzugshalle. Selbst wenn der Hafen sicher ist, denken Sie darüber nach, wer noch im Gebäude ist - Hausmeister, Kundendiensttechniker usw. - und denken Sie daran, dass Social Engineering einer der einfachsten Vektoren ist, um die physische Sicherheit zu umgehen. - Karl Katzke
"Hallo Rezeptionistin! Ich bin hier, um John zu sehen, aber ich bin ein bisschen früh, könnte ich mir einen kostenlosen Konferenzraum ausleihen, um ein paar E-Mails auf meinem Laptop zu bearbeiten? Wirklich? Großartig!" - Oskar Duveborn


Sie werden eher von innen gehackt als von außen.

ARP-Spoofing ist mit den verschiedenen vorgefertigten Skripts / Tools, die im Internet weit verbreitet sind (in einer anderen Antwort wird Ettercap erwähnt), trivial und erfordert nur, dass Sie sich in derselben Broadcast-Domäne befinden. Sofern sich nicht jeder Ihrer Benutzer in einem eigenen VLAN befindet, sind Sie dafür anfällig.

Angesichts der Verbreitung von SSH gibt es keinen Grund, Telnet zu verwenden. OpenSSH ist kostenlos und für praktisch jedes * nix-style OS verfügbar. Es ist in alle Distributionen integriert, die ich je benutzt habe, und die Administration hat den Turnkey-Status erreicht.


4
2017-08-10 15:21



+1 Für Erwähnung von Vlans und Broadcasting Domains. - Maxwell
Hier ein wenig aus meiner Netzwerksicherheitstiefe herauskommen ... Aber ich bin mir nicht sicher, ob VLANs Sie als allgemeine Regel schützen werden: cisco.com/de/DE/produkte/hw/schalter/ps708/... - Kyle Brandt♦
+1 für die Erwähnung von OpenSSH, als niemand sonst hatte. - Ernie
Kyle - die Schwachstellen dort sind meist irrelevant. Der MAC-Flooding-Angriff ist immer noch durch die Broadcast-Domäne eingeschränkt, also kein VLAN-Hopping. Gleiches gilt für die ARP-Angriffe. Der Doppelkapselungs-VLAN-Hopping-Angriff, den jeder als Grund dafür angibt, warum VLANs unsicher sind, erfordert, dass der Angreifer an einen Trunk-Port mit einem nativen VLAN angeschlossen wird. Trunks sollten noch nie habe ein natives VLAN an erster Stelle ... - sh-beta


Die Verwendung von Nur-Text für einen Teil des Anmelde- und Authentifizierungsprozesses erfordert Ärger. Sie benötigen keine großen Fähigkeiten, um Benutzerkennwörter zu sammeln. Da Sie planen, in Zukunft zu AD zu wechseln, gehe ich davon aus, dass Sie auch für andere Systeme eine zentrale Authentifizierung durchführen. Wollen Sie wirklich alle Ihre Systeme für einen Mitarbeiter mit einem Groll öffnen?

Kann sich die AD jetzt bewegen und Ihre Zeit damit verbringen, ssh einzurichten? Dann besuche AD und benutze bitte ldaps, wenn du es tust.


1
2017-08-10 15:46





Klar, du hast jetzt ein geschaltetes Netzwerk ... Aber die Dinge ändern sich. Und bald wird jemand WiFi wollen. Was wirst du dann tun?

Und was passiert, wenn einer Ihrer vertrauten Mitarbeiter einen anderen Mitarbeiter ausspionieren möchte? Oder ihr Chef?


1
2017-08-10 15:55





Ich stimme allen bestehenden Kommentaren zu. Ich wollte hinzufügen, dass, wenn Sie diesen Weg laufen müssten und es wirklich keine andere akzeptable Lösung gab, Sie es so gut wie möglich sichern könnten. Durch die Verwendung moderner Cisco-Switches mit Funktionen wie Port-Sicherheit und IP Source Guard können Sie die Gefahr von Arp-Spoofing- / Poisoning-Angriffen mindern. Dies führt zu mehr Komplexität im Netzwerk und erhöht den Overhead für die Switches. Daher ist es keine ideale Lösung. Offensichtlich ist es das Beste, etwas Sensitives zu verschlüsseln, so dass alle erschnüffelten Pakete für einen Angreifer nutzlos sind.

Trotzdem ist es oft schön, einen arp-Pointer zu finden, auch wenn sie die Leistung Ihres Netzwerks beeinträchtigen. Tools wie Arpwatch können dir dabei helfen.


1
2017-08-11 19:44



+1 für mögliche Abschwächung - mmcg


Geschaltete Netzwerke schützen nur vor Angriffen auf der Route, und wenn das Netzwerk anfällig für ARP-Spoofing ist, tut es dies nur minimal. Unverschlüsselte Passwörter in Paketen sind auch anfällig für Sniffing an den Endpunkten.

Nehmen Sie zum Beispiel einen telnetfähigen Linux-Shell-Server. Irgendwie wird es kompromittiert und die schlechten Leute haben Wurzel. Dieser Server ist jetzt 0wn3d, aber wenn er zu anderen Servern in Ihrem Netzwerk booten will, muss er etwas mehr arbeiten. Anstatt die passwd-Datei tief zu knacken, schalten sie tcpdump für 15 Minuten ein und greifen während dieser Zeit die Kennwörter für jede initiierte Telnet-Sitzung auf. Aufgrund der Wiederverwendung von Passwörtern werden die Angreifer dadurch wahrscheinlich legitime Benutzer auf anderen Systemen emulieren können. Oder wenn der Linux-Server einen externen Authenticator wie LDAP, NIS ++ oder WinBind / AD verwendet, würde selbst das tiefe Knacken der passwd-Datei nicht viel bewirken, also ist dies ein weitaus besserer Weg, Passwörter billig zu bekommen.

Ändern Sie "Telnet" zu "ftp" und Sie haben das gleiche Problem. Selbst in geswitchten Netzwerken, die effektiv gegen ARP-Spoofing / -Vergiftung schützen, ist das obige Szenario weiterhin mit unverschlüsselten Passwörtern möglich.


0
2017-08-10 16:18





Auch über das Thema ARP-Poisoning hinaus, das jede einigermaßen gute IDS erkennen und hoffentlich verhindern kann. (Sowie eine Fülle von Werkzeugen, die es verhindern sollen). STP-Root-Rollen-Hijacking, Breaking in den Router, Source-Routing-Informationen Spoofing, VTP / ISL-Panning, Die Liste geht weiter, In jedem Fall - Es gibt ZAHLREICHE Techniken, MITM ein Netzwerk ohne physischen Verkehr abzufangen.


0
2018-02-10 03:49