Tamamen anahtarlanmış bir ağdaki şifreler için paket koklama gerçekten kaygı verici mi?

Kullanıcılar için telnet erişimi gerektiren birkaç linux sunucusu yönetiyorum. Şu anda, kullanıcının kimlik bilgileri her sunucuda yerel olarak depolanmaktadır ve şifreler çok zayıf olma eğilimindedir ve değiştirilmeleri gerekmez. Oturumlar yakında Active Directory ile entegre olacak ve bu daha yakından korunan bir kimlik.

Tamamen anahtarlamalı bir ağımız olduğu için herhangi bir korsanın kullanıcının bilgisayarı ile sunucu arasına fiziksel olarak girmesi gerekebileceği için, kullanıcının şifresinin LAN’dan çekilmesi gerçekten endişe verici midir?

Bilgisayarları ağ geçidi olduğunuza ikna etmenize izin veren arp zehirlenmesini (sahtekarlığı) gerçekleştiren araçlar olduğu için bu makul bir endişe kaynağıdır . Örnek ve nispeten kullanımı kolay bir araç , tüm süreci otomatikleştiren ettercap olacaktır . Bu ağ geçidi ve trafik koklayarak o bilgisayarlarını ikna edecek, bununla birlikte ileri paketlerin bir olmadıkça bu yüzden çalışan IDS şeffaf ve fark edilmeden olabilir tüm süreci.

Bu araçlar çocuklar için mevcut olduğundan, oldukça büyük bir tehdittir. Sistemlerin kendisi o kadar önemli olmasa bile, insanlar şifreleri yeniden kullanır ve şifreleri daha önemli şeylere maruz bırakabilir.

Anahtarlanan ağlar, koklamayı sadece daha elverişsiz, zor veya zor değil yapar.

Evet, ancak Telnet kullanımınız ve zayıf şifreleriniz nedeniyle değil, güvenlik yönündeki tutumunuzdan da kaynaklanmaktadır.

İyi güvenlik katmanlarda gelir. İyi bir güvenlik duvarınız olduğundan, iç güvenliğinizin zayıf olabileceğini varsaymamalısınız. Bir noktada, güvenlik duvarınızın tehlikeye gireceğini, iş istasyonlarının virüs içereceğini ve anahtarınızın ele geçirileceğini varsaymalısınız. Muhtemelen hepsi aynı anda. Önemli şeylerin iyi şifreleri olduğundan ve daha az önemli şeylerin de olduğundan emin olmalısınız. Ağ trafiği için mümkün olduğunda güçlü şifrelemeyi de kullanmalısınız. Kurulumu kolaydır ve OpenSSH durumunda , açık anahtar kullanımıyla hayatınızı kolaylaştırır .

Ve sonra çalışanlara da dikkat etmelisin. Herkesin herhangi bir işlev için aynı hesabı kullanmadığından emin olun. Bu, birileri kovulduğunda herkes için acı verir ve tüm şifreleri değiştirmeniz gerekir. Ayrıca emin onlar kurban kalmamasıdır yapmak zorunda phishing eğitim (eğer onlara aracılığıyla saldırılar sen hiç onların şifrelerini girmelerini istedi sadece ateş kazanılmış, bunun nedeni olacağını ve artık erişiminiz yoksa! Başka birinin sormak için daha az nedeni vardır.

Bu sizin için yeni bir kavram gibi gözüktüğünden, ağ / sistem güvenliği ile ilgili bir kitap almanız iyi bir fikir olabilir. "Sistem ve Ağ Yönetimi Uygulaması" Bölüm 7 okumayı tavsiye ikisi de biraz olarak "Temel Sistemleri İdaresi" does Bu konuyu kapsar zaten . Ayrıca konuya adanmış kitapların tümü var.

Evet, bazı basit ARP zehirlenmelerinde olduğu gibi LAN'ı normalde fiziksel olarak doğru anahtar bağlantı noktasında, tıpkı iyi eski hub günlerinde olduğu gibi koklayabildiğiniz gibi - ve bunu yapmak çok kolaydır .

İçeriden dışarıdan daha çok saldırıya uğramanız daha olası.

ARP sahtekarlığı, Internet'te yaygın olarak bulunan çeşitli önceden oluşturulmuş komut dosyaları / araçlarıyla önemsizdir (ettercap başka bir yanıtta belirtilmiştir) ve yalnızca aynı yayın alanında olmanızı gerektirir. Kullanıcılarınızın her biri kendi VLAN'larında değilse, buna karşı savunmasızsınızdır.

SSH'nin ne kadar yaygın olduğu göz önüne alındığında, telnet kullanmak için hiçbir neden yoktur. OpenSSH , hemen hemen her * nix tarzı işletim sistemi için ücretsiz ve kullanılabilir durumdadır. Şimdiye kadar kullandığım tüm dağıtımlarda yerleşiktir ve yönetim anahtar teslim duruma gelmiştir.

Oturum açma ve onaylama işleminin herhangi bir kısmı için düz metin kullanmak sorun istiyor. Kullanıcı şifreleri toplamak için büyük bir yeteneğe ihtiyacınız yoktur. Gelecekte AD'ye geçmeyi planladığınızda, diğer sistemler için de bir tür merkezi kimlik doğrulama yaptığınızı farz ediyorum. Gerçekten tüm sistemlerinizin kin çalışan bir kişiye açık olmasını istiyor musunuz?

AD şimdilik harekete geçip vaktinizi ssh olarak ayarlayabilir mi? Sonra AD’yi tekrar ziyaret edin ve lütfen ldapları kullanın.

Tabii, artık anahtarlı bir ağınız var ... Ama işler değişiyor. Ve yakında birisi WiFi isteyecektir. O zaman ne yapacaksın?

Peki, güvenilir çalışanlarınızdan biri başka bir çalışanı araştırmak isterse ne olur? Veya patronları?

Mevcut yorumların tümüne katılıyorum. Bu şekilde çalıştırmak zorunda kalırsanız ve gerçekten kabul edilebilir başka bir çözüm yoksa, elinizden geldiğince güvence altına alabilirsiniz. Liman güvenliği ve IP Source Guard gibi özelliklere sahip modern Cisco anahtarlarını kullanarak, arp sahtekarlığı / zehirlenme saldırıları tehdidini azaltabilirsiniz. Bu, ağ için daha fazla karmaşıklık ve ayrıca anahtarlar için daha fazla ek yük yaratır, bu nedenle ideal bir çözüm değildir. Açıkçası, yapılacak en iyi şey, hassas olan her şeyi şifrelemek, böylece koklanan paketlerin bir saldırgana faydası olmaz.

Bununla birlikte, ağınızın performansını düşürdüğü için bile bir arp zehirleyici bulabilmeniz çok hoş. Arpwatch gibi araçlar bu konuda size yardımcı olabilir.

Anahtarlanan ağlar yalnızca yoldaki saldırılara karşı savunur ve ağ ARP sahtekarlığına karşı savunmasızsa, bunu yalnızca minimum düzeyde yapar. Paketlerdeki şifrelenmemiş şifreler de son noktalarda koklamaya açıktır.

Örneğin, bir telnet etkin linux kabuk sunucusu alın. Her nasılsa, tehlikeye girer ve kötü insanların kökü olur. Bu sunucu şimdi 0wn3d'dir, ancak ağınızdaki diğer sunuculara önyükleme yapmak istiyorlarsa, biraz daha fazla iş yapmaları gerekir. Şifreli dosyayı derinleştirmek yerine, onbeş dakika boyunca tcpdump özelliğini açar ve bu süre zarfında başlatılmış olan herhangi bir telnet oturumu için şifreleri alır. Parolanın yeniden kullanılması nedeniyle, saldırganların meşru kullanıcıları diğer sistemlerde taklit etmesine izin verilebilir. Veya linux sunucusu LDAP, NIS ++ veya WinBind / AD gibi harici bir kimlik doğrulayıcı kullanıyorsa, passwd dosyasını derin bir şekilde kırmak bile onları çok iyi alamaz, bu yüzden şifreleri ucuza almak için çok daha iyi bir yoldur.

'Telnet'i' ftp 'olarak değiştirin ve aynı sorunu yaşayın. ARP sahteciliği / zehirlenmesine karşı etkili bir şekilde savunan anahtarlı ağlarda bile, yukarıdaki senaryo şifrelenmemiş parolalarla mümkündür.

ARP Zehirlenmesi başlığının ötesinde bile, hangi makul derecede iyi IDS tespit edip, önleyebilir. (Önlenmesi gereken birçok araç yanı sıra). STP root rolünü ele geçirme, Yönelticiye zorla girme, Kaynak Yönlendirme bilgi sahtekarlığı, VTP / ISL panning, Liste devam eder, Her halükarda - Trafiği fiziksel olarak engellemeden MITM'e sayısız teknik vardır.