Lo sniffer di pacchetti per le password su una rete completamente commutata è davvero un problema?

Gestisco un numero di server Linux che richiedono l'accesso telnet per gli utenti. Attualmente le credenziali dell'utente sono archiviate localmente su ciascun server e le password tendono ad essere molto deboli e non è necessario modificarle. Gli accessi saranno presto integrati con Active Directory e questa è un'identità più strettamente protetta.

È davvero preoccupante che la password dell'utente possa essere sniffata dalla LAN dato che abbiamo una rete completamente commutata, quindi ogni hacker dovrebbe inserirsi fisicamente tra il computer dell'utente e il server?

È una preoccupazione ragionevole in quanto vi sono strumenti che consentono l' avvelenamento da arp (spoofing) che consentono di convincere i computer di essere il gateway. Un esempio e uno strumento relativamente facile da usare sarebbe ettercap che automatizza l'intero processo. Convincerà il loro computer che sei il gateway e annuserà il traffico, inoltre inoltrerà i pacchetti, quindi a meno che non vi sia un ID in esecuzione l'intero processo potrebbe essere trasparente e non rilevato.

Poiché questi strumenti sono disponibili per i bambini è una minaccia abbastanza grande. Anche se i sistemi stessi non sono così importanti, le persone riutilizzano le password e potrebbero esporre le password a cose più importanti.

Le reti commutate rendono lo sniffing solo più scomodo, non difficile o difficile.

Sì, ma non è solo a causa del tuo utilizzo di Telnet e delle tue password deboli, è anche a causa del tuo atteggiamento nei confronti della sicurezza.

La buona sicurezza arriva a strati. Non dovresti supporre che, poiché hai un buon firewall, la tua sicurezza interna può essere debole. Dovresti presumere che a un certo punto il tuo firewall sarà compromesso, le workstation avranno virus e il tuo switch verrà dirottato. Forse tutti allo stesso tempo. Dovresti assicurarti che le cose importanti abbiano una buona password, e anche cose meno importanti. Dovresti anche utilizzare la crittografia avanzata quando possibile per il traffico di rete. È semplice da configurare e, nel caso di OpenSSH, ti semplifica la vita con l'uso di chiavi pubbliche.

E poi, devi anche fare attenzione ai dipendenti. Assicurati che tutti non stiano utilizzando lo stesso account per una determinata funzione. Questo rende un dolore per tutti gli altri quando qualcuno viene licenziato e devi cambiare tutte le password. Devi anche assicurarti che non cadano vittime di attacchi di phishing attraverso l'istruzione (dì loro che se avessi mai chiesto loro la password, sarebbe perché sei appena stato licenziato e non hai più accesso! Chiunque altro ha ancora meno motivi per chiedere.), Oltre a segmentare l'accesso in base all'account.

Dal momento che questo sembra essere un nuovo concetto per te, è probabilmente una buona idea per te prendere un libro sulla sicurezza della rete / dei sistemi. Il capitolo 7 di "The Practice of System and Network Administration" tratta un po 'questo argomento, così come "Essential Systems Administration", che consiglio entrambi di leggere comunque . Ci sono anche interi libri dedicati all'argomento.

Sì, è una grande preoccupazione poiché con un semplice avvelenamento da ARP puoi normalmente annusare la LAN senza essere fisicamente alla giusta porta dello switch, proprio come ai bei vecchi tempi dell'hub - ed è anche molto facile da fare.

È più probabile che venga violato dall'interno che dall'esterno.

Lo spoofing ARP è banale con i vari script / strumenti predefiniti ampiamente disponibili su Internet (ettercap è stato citato in un'altra risposta) e richiede solo che tu sia sullo stesso dominio di trasmissione. A meno che ognuno dei tuoi utenti non sia sulla propria VLAN, sei vulnerabile a questo.

Considerato quanto sia diffuso SSH non c'è davvero alcun motivo per usare telnet. OpenSSH è gratuito e disponibile praticamente per ogni sistema operativo in stile * nix. È integrato in tutte le distro che abbia mai usato e l'amministrazione ha raggiunto lo stato chiavi in ​​mano.

L'uso di testo semplice per qualsiasi parte del processo di accesso e autenticazione richiede problemi. Non è necessaria una grande capacità di raccogliere le password degli utenti. Dato che hai intenzione di passare ad AD in futuro, suppongo che stai facendo una sorta di autenticazione centrale anche per altri sistemi. Vuoi davvero che tutti i tuoi sistemi siano aperti a un dipendente con rancore?

L'AD può spostarsi per ora e passare il tempo a configurare ssh. Quindi visita nuovamente AD e, per favore, usa ldaps quando lo fai.

Certo, ora hai una rete commutata ... Ma le cose cambiano. E presto qualcuno vorrà il WiFi. Allora cosa hai intenzione di fare?

E cosa succede se uno dei tuoi dipendenti di fiducia vuole ficcare il naso su un altro dipendente? O il loro capo?

Sono d'accordo con tutti i commenti esistenti. Volevo aggiungere però che se dovessi correre in questo modo, e non esistesse davvero un'altra soluzione accettabile, potresti assicurarla il più possibile. Utilizzando i moderni switch Cisco con funzionalità come la sicurezza delle porte e IP Source Guard, è possibile mitigare la minaccia di attacchi di spoofing / avvelenamento da arp. Ciò crea una maggiore complessità nella rete e un maggior sovraccarico per gli switch, quindi non è una soluzione ideale. Ovviamente la cosa migliore da fare è crittografare qualsiasi cosa sensibile in modo che eventuali pacchetti annusati siano inutili per un attaccante.

Detto questo, è spesso bello poter trovare un avvelenatore arp anche se semplicemente perché degradano le prestazioni della tua rete. Strumenti come Arpwatch possono aiutarti in questo.

Le reti commutate si difendono solo dagli attacchi in rotta e, se la rete è vulnerabile allo spoofing ARP, lo fa solo in minima parte. Le password non crittografate nei pacchetti sono anche vulnerabili all'annusamento agli end-point.

Ad esempio, prendi un server shell linux abilitato per telnet. In qualche modo, viene compromesso e le persone cattive hanno radice. Quel server ora è 0wn3d, ma se vogliono eseguire il bootstrap su altri server della tua rete dovranno fare un po 'più di lavoro. Anziché eseguire il cracking approfondito del file passwd, accendono tcpdump per quindici minuti e prendono le password per qualsiasi sessione telnet avviata durante quel periodo. A causa del riutilizzo della password, ciò probabilmente consentirà agli aggressori di emulare utenti legittimi su altri sistemi. Oppure, se il server Linux utilizza un autenticatore esterno come LDAP, NIS ++ o WinBind / AD, anche il cracking approfondito del file passwd non li otterrebbe molto, quindi questo è un modo molto migliore per ottenere password a basso costo.

Cambia 'telnet' in 'ftp' e hai lo stesso problema. Anche su reti commutate che difendono efficacemente dallo spoofing / avvelenamento di ARP, lo scenario sopra è ancora possibile con password non crittografate.

Anche al di là del tema dell'avvelenamento da ARP, che qualsiasi IDS ragionevolmente buono può e rileverà e si spera prevenga. (Oltre a una pletora di strumenti destinati a prevenirlo). Dirottamento del ruolo principale STP, Rottura nel router, spoofing delle informazioni sull'instradamento di origine, panning VTP / ISL, l'elenco continua, In ogni caso - Esistono NUMEROSE tecniche per MITM una rete senza intercettare fisicamente il traffico.