O farejamento de pacotes para senhas em uma rede totalmente comutada é realmente uma preocupação?

27

Administro vários servidores linux que requerem acesso telnet para os usuários. Atualmente, as credenciais do usuário são armazenadas localmente em cada servidor e as senhas tendem a ser muito fracas e não há requisitos para serem alteradas. Os logons em breve serão integrados ao Active Directory e essa é uma identidade mais bem guardada.

É realmente uma preocupação que a senha do usuário possa ser detectada na LAN, uma vez que possuímos uma rede totalmente comutada, para que qualquer hacker precise se inserir fisicamente entre o computador do usuário e o servidor?

mmcg
fonte
Como você está no Linux, tente o ettercap. Aqui está um tutorial: openmaniak.com/ettercap_arp.php
Joseph Kern
- "servidores linux que requerem acesso telnet" ??? Eu não vi um servidor linux que faltava ssh últimos 5-10 anos ou assim ... Sinto como se estivesse faltando alguma coisa aqui ...
Johan
@Johan - Os aplicativos em execução nesses servidores são acessados ​​por telnet há alguns anos, desde antes da existência do ssh. A empresa compra um cliente de telnet para os usuários que acessam esses aplicativos. O Telnet também é usado para acessar aplicativos em um servidor HP-UX e em aparelhos celulares. Portanto, o telnet está muito entrincheirado e não vai a lugar nenhum, não importa o que eu pense sobre isso. FTP da mesma forma.
mmcg

Respostas:

42

É uma preocupação razoável, pois existem ferramentas que realizam envenenamento por arp (falsificação) que permitem convencer os computadores de que você é o gateway. Um exemplo e uma ferramenta relativamente fácil de usar seria o ettercap que automatiza todo o processo. Ele convencerá o computador deles de que você é o gateway e farejará o tráfego; também encaminhará pacotes, a menos que exista um IDS executando todo o processo, seja transparente e não detectado.

Como essas ferramentas estão disponíveis para as crianças , é uma ameaça bastante grande. Mesmo que os sistemas em si não sejam tão importantes, as pessoas reutilizam senhas e podem expô-las a coisas mais importantes.

As redes comutadas apenas tornam o sniffing mais inconveniente, não difícil ou difícil.

Kyle Brandt
fonte
3
Respondi sua pergunta específica, mas recomendo a leitura da resposta de Ernie, além de uma abordagem mais ampla para pensar em segurança.
Kyle Brandt
s / posando / envenenamento /
grawity
grawity: Eu gasto cerca de tanto tempo corrigindo minha ortografia hediondo com verificação ortográfica firefox como eu escrever cada post :-)
Kyle Brandt
4
+1 Você pode preencher todas as tabelas mac de um switch e transformá-lo em um hub. Obviamente, switches maiores têm tabelas maiores e, portanto, mais difíceis de preencher.
David Pashley
O preenchimento das tabelas mac do switch leva a pacotes de difusão ponto a ponto destinados a endereços desconhecidos (por causa do ataque de inundação) serem difundidos. As VLANs ainda restringem o domínio de transmissão, por isso é mais um hub por VLAN.
sh-beta
21

Sim, mas não é apenas por causa do uso do Telnet e de suas senhas fracas, é por causa da sua atitude em relação à segurança.

Boa segurança vem em camadas. Você não deve assumir que, por ter um bom firewall, sua segurança interna pode ser fraca. Você deve assumir que, em algum momento, seu firewall estará comprometido, as estações de trabalho terão vírus e seu switch será invadido. Possivelmente tudo ao mesmo tempo. Você deve garantir que coisas importantes tenham boas senhas e coisas menos importantes também. Você também deve usar criptografia forte quando possível para o tráfego de rede. É simples de configurar, e no caso de OpenSSH, torna a sua vida mais fácil com o uso de chaves públicas.

E então, você também deve tomar cuidado com os funcionários. Certifique-se de que todos não estejam usando a mesma conta para qualquer função. Isso torna uma dor para todos quando alguém é demitido e você precisa alterar todas as senhas. Você também deve garantir que eles não sejam vítimas de ataques de phishing por meio da educação (diga a eles que, se você já solicitou a senha deles, seria porque você acabou de ser demitido e não tem mais acesso! Qualquer outra pessoa tem ainda menos motivos para perguntar.), Além de segmentar o acesso por conta.

Como esse parece ser um novo conceito para você, provavelmente é uma boa ideia escolher um livro sobre segurança de rede / sistemas. O capítulo 7 de "A prática da administração de sistemas e redes" aborda um pouco esse tópico, assim como a "Administração de sistemas essenciais", que eu recomendo a leitura de qualquer maneira . Há também livros inteiros dedicados ao assunto.

Ernie
fonte
"A boa segurança vem em camadas." Muito bem dito, penso, pensei em editar meu post para ter algo assim, mas não teria se expressado tão bem.
Kyle Brandt
12

Sim, é uma grande preocupação, pois com algum envenenamento simples por ARP, você normalmente pode cheirar a LAN sem estar fisicamente na porta do switch correta, como nos bons e velhos dias do hub - e é muito fácil de fazer.

Oskar Duveborn
fonte
3
Além disso, pense em quantas portas de rede existem em áreas inseguras ou questionáveis. Um dos meus antigos empregadores tinha meia dúzia em um saguão de elevador não monitorado e inseguro. Mesmo se a porta estiver segura, pense em quem mais está no prédio - zeladores, técnicos de serviço etc. - e lembre-se de que a engenharia social é um dos vetores mais fáceis de contornar a segurança física.
22413 Karl Karlzzz
"Oi, recepcionista! Estou aqui para ver John, mas estou um pouco adiantada, posso emprestar uma sala de conferência gratuita para lidar com alguns emails no meu laptop? Sério? Ótimo!"
Oskar Duveborn
4

É mais provável que você seja invadido por dentro do que por fora.

A falsificação de ARP é trivial com os vários scripts / ferramentas pré-criados amplamente disponíveis na Internet (o ettercap foi mencionado em outra resposta) e exige apenas que você esteja no mesmo domínio de transmissão. A menos que cada um de seus usuários esteja com sua própria VLAN, você estará vulnerável a isso.

Dado o quão amplo é o SSH, não há realmente nenhuma razão para usar o telnet. O OpenSSH é gratuito e disponível para praticamente todos os sistemas operacionais no estilo * nix existentes. Está embutido em todas as distros que já usei e a administração atingiu o status de chave na mão.

sh-beta
fonte
+1 Para mencionar Vlans e domínios de transmissão.
Maxwell
Tirando um pouco da profundidade da segurança da minha rede aqui ... Mas não tenho certeza de que as VLANs o protegerão como regra geral: cisco.com/en/US/products/hw/switches/ps708/…
Kyle Brandt
+1 por mencionar o OpenSSH quando ninguém mais o fez.
Ernie
11
Kyle - as vulnerabilidades são principalmente irrelevantes. O ataque de inundação de MAC ainda é restrito pelo domínio de broadcast, portanto, não há salto de VLAN. O mesmo com os ataques ARP. O ataque de salto de VLAN de encapsulamento duplo que todo mundo cita como o motivo pelo qual as VLANs são inseguras exige que o invasor seja conectado a uma porta de tronco com uma VLAN nativa. Trunks deve nunca mais ter uma VLAN nativa em primeiro lugar ...
sh-beta
1

Usar texto sem formatação para qualquer parte do processo de login e autenticação está causando problemas. Você não precisa de muita capacidade para coletar senhas de usuários. Como você planeja migrar para o AD no futuro, presumo que você também esteja executando algum tipo de autenticação central para outros sistemas. Você realmente deseja que todos os seus sistemas estejam abertos a um funcionário com ressentimento?

O AD pode se mover por enquanto e gastar seu tempo configurando o ssh. Em seguida, visite novamente o AD e use o ldaps quando fizer isso.

goo
fonte
1

Claro, você tem uma rede comutada agora ... Mas as coisas mudam. E logo alguém vai querer WiFi. Então o que você vai fazer?

E o que acontece se um de seus funcionários de confiança quiser bisbilhotar outro funcionário? Ou o chefe deles?

Rory
fonte
1

Eu concordo com todos os comentários existentes. Eu gostaria de acrescentar que, se você tivesse que executar dessa maneira, e realmente não houvesse outra solução aceitável, poderia protegê-la o máximo possível. Usando os modernos switches Cisco com recursos como segurança de porta e IP Source Guard, você pode atenuar a ameaça de ataques de falsificação / envenenamento por arp. Isso cria mais complexidade na rede e mais sobrecarga para os comutadores, portanto não é uma solução ideal. Obviamente, a melhor coisa a fazer é criptografar qualquer coisa sensível, para que todos os pacotes detectados sejam inúteis para um invasor.

Dito isto, geralmente é bom encontrar um envenenador por arp, mesmo que simplesmente porque eles prejudicam o desempenho da sua rede. Ferramentas como o Arpwatch podem ajudá-lo com isso.

Brad
fonte
+1 para sugerir possível mitigação
mmcg
0

As redes comutadas apenas se defendem contra ataques durante a rota e, se a rede estiver vulnerável à falsificação do ARP, o fará apenas minimamente. Senhas não criptografadas em pacotes também são vulneráveis ​​a farejar nos pontos finais.

Por exemplo, considere um servidor de linux habilitado para telnet. De alguma forma, fica comprometido e as pessoas más têm raízes. Agora, esse servidor é 0wn3d, mas se eles quiserem inicializar com outros servidores na sua rede, precisarão fazer um pouco mais de trabalho. Em vez de decifrar profundamente o arquivo passwd, eles ativam o tcpdump por quinze minutos e agarram as senhas de qualquer sessão de telnet iniciada durante esse período. Devido à reutilização de senha, isso provavelmente permitirá que os invasores emulem usuários legítimos em outros sistemas. Ou se o servidor linux estiver usando um autenticador externo como LDAP, NIS ++ ou WinBind / AD, até mesmo quebrar profundamente o arquivo passwd não os obteria muito, então essa é uma maneira muito melhor de obter senhas mais baratas.

Altere 'telnet' para 'ftp' e você terá o mesmo problema. Mesmo em redes comutadas que efetivamente se defendem contra falsificação / envenenamento por ARP, o cenário acima ainda é possível com senhas não criptografadas.

sysadmin1138
fonte
0

Mesmo além do tópico ARP Poisoning, que qualquer IDS razoavelmente bom pode e irá detectar e, esperamos, impedir. (Bem como uma infinidade de ferramentas destinadas a evitá-lo). Seqüestro de função de raiz STP, Invadir o roteador, falsificação de informações de roteamento de origem, panning de VTP / ISL. A lista continua.

ŹV -
fonte