Я администрирую несколько серверов Linux, которым требуется доступ по telnet для пользователей. В настоящее время учетные данные пользователя хранятся локально на каждом сервере, а пароли, как правило, очень слабые, и их не требуется менять. Вход в систему скоро будет интегрирован с Active Directory, и это будет более тщательно охраняемая личность.
Действительно ли вызывает беспокойство то, что пароль пользователя может быть перехвачен из локальной сети, учитывая, что у нас есть полностью коммутируемая сеть, поэтому любому хакеру придется физически вставлять себя между компьютером пользователя и сервером?
Это разумная проблема, поскольку есть инструменты, которые позволяют отравление arp (спуфинг), которые позволяют убедить компьютеры в том, что вы - шлюз. Пример и относительно простой в использовании инструмент было бы Ettercap что автоматизирует весь процесс. Он убедит их компьютер в том, что вы являетесь шлюзом, и перехватит трафик, он также будет пересылать пакеты, поэтому, если нет IDS работает весь процесс может быть прозрачным и незамеченным.
Поскольку эти инструменты доступны детишки это довольно большая угроза. Даже если сами системы не так важны, люди повторно используют пароли и могут раскрыть пароли для более важных вещей.
Коммутируемые сети только делают сниффинг более неудобным, а не трудным или трудным.
Да, но это не только из-за того, что вы используете Telnet и ваши слабые пароли, а из-за вашего отношения к безопасности.
Хорошая безопасность бывает многослойной. Не следует думать, что из-за наличия хорошего брандмауэра ваша внутренняя безопасность может быть слабой. Вы должны предположить, что в какой-то момент ваш брандмауэр будет взломан, на рабочих станциях будут вирусы, а ваш коммутатор будет взломан. Возможно, все одновременно. Вы должны убедиться, что для важных вещей есть хорошие пароли, а для менее важных - тоже. По возможности следует также использовать надежное шифрование для сетевого трафика. Его просто настроить, а в случае с OpenSSH он делает вашу жизнь Полегче с использованием открытых ключей.
Кроме того, вы также должны остерегаться сотрудников. Убедитесь, что все не используют одну и ту же учетную запись для какой-либо функции. Это причиняет боль всем остальным, когда кого-то увольняют и вам нужно сменить все пароли. Вы также должны убедиться, что они не станут жертвами фишинг нападения через образование (скажите им, что если ты когда-либо спрашивал их пароль, это было бы потому, что вас только что уволили и у вас больше нет доступа! У кого-то еще меньше причин спрашивать.), А также сегментирование доступа для каждой учетной записи.
Поскольку вам кажется, что это новая концепция, вероятно, вам стоит взять книгу по сетевой / системной безопасности. Глава 7 «Практики системного и сетевого администрирования» немного освещает эту тему, как и «Основное системное администрирование», которые я рекомендую прочитать. тем не мение. Есть также целые книги, посвященные этой теме.
Да, это серьезная проблема, поскольку при простом отравлении ARP вы обычно можете прослушивать локальную сеть, не находясь физически на правильном порту коммутатора, как в старые добрые времена концентраторов - и это очень просто делать тоже.
У вас больше шансов быть взломанным изнутри, чем снаружи.
Подмена ARP тривиальна с различными готовыми сценариями / инструментами, широко доступными в Интернете (ettercap упоминается в другом ответе), и требует только того, чтобы вы находились в том же широковещательном домене. Если каждый из ваших пользователей не находится в своей собственной VLAN, вы уязвимы для этого.
Учитывая, насколько широко распространен SSH, действительно нет причин использовать telnet. OpenSSH бесплатен и доступен практически для каждой ОС в стиле * nix. Он встроен во все дистрибутивы, которые я когда-либо использовал, а администрирование достигло статуса «под ключ».
Использование обычного текста для любой части процесса входа в систему и аутентификации вызывает проблемы. Вам не нужны особые умения собирать пароли пользователей. Поскольку в будущем вы планируете перейти на AD, я предполагаю, что вы выполняете некую централизованную аутентификацию и для других систем. Вы действительно хотите, чтобы все ваши системы были открыты для недоброжелательного сотрудника?
Может ли AD переместиться сейчас и потратить свое время на настройку ssh. Затем снова посетите AD и, пожалуйста, используйте ldaps, когда вы это сделаете.
Конечно, теперь у вас есть коммутируемая сеть ... Но все меняется. И скоро кому-то понадобится WiFi. Тогда что ты собираешься делать?
А что произойдет, если один из ваших доверенных сотрудников захочет подглядывать за другим? Или их босс?
Я согласен со всеми имеющимися комментариями. Я хотел бы добавить, однако, что если вы должны были работать таким образом, и на самом деле не было другого приемлемого решения, вы могли бы защитить его настолько, насколько это возможно. Используя современные коммутаторы Cisco с такими функциями, как безопасность портов и IP Source Guard, вы можете снизить угрозу атак с подменой / отравлением arp. Это усложняет сеть, а также увеличивает накладные расходы на коммутаторы, поэтому это не идеальное решение. Очевидно, что лучше всего зашифровать что-либо конфиденциальное, чтобы любые перехваченные пакеты были бесполезны для злоумышленника.
Тем не менее, часто приятно иметь возможность найти отравитель arp, даже если просто потому, что он снижает производительность вашей сети. В этом вам могут помочь такие инструменты, как Arpwatch.
Коммутируемые сети защищаются только от атак на маршруте, и если сеть уязвима для спуфинга ARP, она делает это минимально. Незашифрованные пароли в пакетах также уязвимы для перехвата в конечных точках.
Например, возьмем shell-сервер linux с поддержкой telnet. Каким-то образом он скомпрометирован, и у плохих людей есть root. Этот сервер теперь 0wn3d, но если они хотят выполнить загрузку на другие серверы в вашей сети, им потребуется немного больше работы. Вместо того, чтобы глубоко взламывать файл passwd, они включают tcpdump на пятнадцать минут и получают пароли для любого инициированного сеанса telnet в течение этого времени. Из-за повторного использования пароля это, вероятно, позволит злоумышленникам имитировать законных пользователей в других системах. Или, если сервер linux использует внешний аутентификатор, такой как LDAP, NIS ++ или WinBind / AD, даже глубокий взлом файла passwd не поможет им, так что это гораздо лучший способ дешево получить пароли.
Измените telnet на ftp, и у вас возникнет та же проблема. Даже в коммутируемых сетях, которые эффективно защищают от спуфинга / отравления ARP, описанный выше сценарий все еще возможен с незашифрованными паролями.
Даже за пределами темы отравления ARP, которое любая достаточно хорошая IDS может и будет обнаруживать и, надеюсь, предотвращать. (А также множество средств, предназначенных для предотвращения этого). Перехват корневой роли STP, Взлом маршрутизатора, Подмена информации о маршрутизации источника, Панорамирование VTP / ISL, Список можно продолжить, В любом случае - существует МНОЖЕСТВО методов для MITM сети без физического перехвата трафика.