Ist das Aufspüren von Paketen nach Passwörtern in einem vollständig vermittelten Netzwerk wirklich ein Problem?

27

Ich verwalte eine Reihe von Linux-Servern, für die Benutzer Telnet-Zugriff benötigen. Derzeit werden die Anmeldeinformationen des Benutzers lokal auf jedem Server gespeichert. Die Kennwörter sind in der Regel sehr schwach und müssen nicht geändert werden. Die Anmeldungen werden in Kürze in Active Directory integriert und dies ist eine besser abgesicherte Identität.

Ist es wirklich bedenklich, dass das Kennwort des Benutzers aus dem LAN abgerufen werden könnte, da wir über ein vollständig vermitteltes Netzwerk verfügen, sodass sich jeder Hacker physisch zwischen dem Computer des Benutzers und dem Server einfügen müsste?

mmcg
quelle
Da Sie unter Linux arbeiten, versuchen Sie es mit ettercap. Hier ist ein Tutorial: openmaniak.com/ettercap_arp.php
Joseph Kern
- "Linux-Server, die Telnet-Zugang benötigen" ??? Ich habe in den letzten fünf bis zehn Jahren keinen Linux-Server gesehen, auf dem SSH fehlte ... Ich habe das Gefühl, dass mir hier etwas fehlt ...
Johan
@Johan - Auf die Anwendungen, die auf diesen Servern ausgeführt werden, wurde seit einigen Jahren per Telnet zugegriffen, bevor es ssh gab. Das Unternehmen kauft einen Telnet-Client für die Benutzer, die auf diese Apps zugreifen. Telnet wird auch für den Zugriff auf Apps auf einem HP-UX Server und von Mobiltelefonen verwendet. Aus diesem Grund ist Telnet fest verankert und geht nirgendwo hin, egal was ich davon halte. FTP ebenfalls.
MMCG

Antworten:

42

Dies ist ein berechtigtes Problem, da es Tools gibt, mit denen Sie Arp-Vergiftungen (Spoofing) durchführen können, um Computer davon zu überzeugen, dass Sie das Gateway sind. Ein Beispiel für ein relativ einfach zu verwendendes Tool wäre ettercap , das den gesamten Prozess automatisiert. Der Computer wird davon überzeugt, dass Sie das Gateway sind, und der Datenverkehr wird überwacht. Außerdem werden Pakete weitergeleitet, sodass der gesamte Prozess möglicherweise transparent und unerkannt bleibt, sofern kein IDS ausgeführt wird .

Da diese Tools für Kinder verfügbar sind, ist sie eine ziemlich große Bedrohung. Auch wenn die Systeme selbst nicht so wichtig sind, verwenden die Benutzer Kennwörter erneut und setzen sie möglicherweise wichtigeren Dingen aus.

Vermittelte Netzwerke machen das Schnüffeln nur unbequemer, nicht schwerer oder schwieriger.

Kyle Brandt
quelle
3
Ich habe Ihre spezifische Frage beantwortet, empfehle jedoch, auch die Antwort von Ernie zu lesen, um einen umfassenderen Ansatz zum Nachdenken über Sicherheit zu finden.
Kyle Brandt
s / Posieren / Vergiftung /
Grawity
Grawity: Ich verbringe ungefähr so ​​viel Zeit damit, meine abscheuliche Rechtschreibung mit der Firefox-Rechtschreibprüfung zu korrigieren, wie ich jeden Beitrag schreibe :-)
Kyle Brandt
4
+1 Sie können alle Mac-Tabellen eines Switches füllen und ihn in einen Hub verwandeln. Offensichtlich haben größere Schalter größere Tabellen und sind daher schwerer zu füllen.
David Pashley
Das Ausfüllen der Mac-Tabellen des Switches führt dazu, dass Unicast-Pakete für unbekannte (wegen des Flooding-Angriffs) Adressen gesendet werden. VLANs beschränken weiterhin die Broadcast-Domäne, sodass es sich eher um einen Hub pro VLAN handelt.
Sh-Beta
21

Ja, aber es liegt nicht nur an Ihrer Verwendung von Telnet und Ihren schwachen Passwörtern, sondern auch an Ihrer Einstellung zur Sicherheit.

Gute Sicherheit kommt in Schichten. Sie sollten nicht davon ausgehen, dass Ihre interne Sicherheit aufgrund einer guten Firewall schwach sein kann. Sie sollten davon ausgehen, dass irgendwann Ihre Firewall kompromittiert wird, die Arbeitsstationen Viren enthalten und Ihr Switch entführt wird. Möglicherweise alle gleichzeitig. Sie sollten sicherstellen, dass wichtige Dinge gute Passwörter haben und weniger wichtige Dinge auch. Wenn möglich, sollten Sie auch eine starke Verschlüsselung für den Netzwerkverkehr verwenden. Es ist einfach einzurichten und erleichtert Ihnen im Falle von OpenSSH das Leben mit öffentlichen Schlüsseln.

Und dann muss man auch noch auf die Mitarbeiter achten. Stellen Sie sicher, dass nicht jeder für eine bestimmte Funktion dasselbe Konto verwendet. Dies macht es für alle anderen zum Schmerz, wenn jemand gefeuert wird und Sie alle Passwörter ändern müssen. Sie müssen auch sicherstellen, dass sie nicht durch Aufklärung Phishing- Angriffen zum Opfer fallen (sagen Sie ihnen, dass Sie gerade gefeuert wurden und keinen Zugriff mehr haben , wenn Sie sie jemals nach ihrem Passwort gefragt haben). Jeder andere hat noch weniger Grund, danach zu fragen.) Und den Zugriff auf Konto-Basis zu segmentieren.

Da dies für Sie ein neues Konzept zu sein scheint, ist es wahrscheinlich eine gute Idee, ein Buch über Netzwerk- / Systemsicherheit zu lesen. Kapitel 7 von "Die Praxis der System- und Netzwerkadministration" behandelt dieses Thema ein wenig, ebenso wie "Essential Systems Administration", die ich sowieso beide zum Lesen empfehle . Es gibt auch ganze Bücher zu diesem Thema.

Ernie
quelle
"Gute Sicherheit kommt in Schichten." Sehr gut gesagt, ich denke, ich habe darüber nachgedacht, meinen Beitrag so zu bearbeiten, aber es hätte sich nicht so gut ausgedrückt.
Kyle Brandt
12

Ja, es ist ein großes Problem, da Sie mit einer einfachen ARP-Vergiftung normalerweise das LAN schnüffeln können, ohne physisch am richtigen Switch-Port zu sein, genau wie in den guten alten Hub-Tagen - und das ist auch sehr einfach .

Oskar Duveborn
quelle
3
Überlegen Sie außerdem, wie viele Netzwerkports sich in unsicheren oder fragwürdig sicheren Bereichen befinden. Einer meiner früheren Arbeitgeber hatte ein halbes Dutzend in einer nicht überwachten, unsicheren Aufzugslobby. Auch wenn der Hafen sicher ist, denken Sie daran, wer sich noch im Gebäude befindet - Hausmeister, Servicetechniker usw. - und denken Sie daran, dass Social Engineering einer der einfachsten Methoden ist, um die physische Sicherheit zu umgehen.
Karl Katzke
"Hallo Empfangsdame! Ich bin hier, um John zu sehen, aber ich bin ein bisschen zu früh. Könnte ich mir einen kostenlosen Konferenzraum ausleihen, um ein paar E-Mails auf meinem Laptop zu bearbeiten? Wirklich? Großartig!"
Oskar Duveborn
4

Es ist wahrscheinlicher, dass Sie von innen als von außen gehackt werden.

ARP-Spoofing ist mit den verschiedenen vorgefertigten Skripten / Tools, die im Internet weit verbreitet sind (ettercap wurde in einer anderen Antwort erwähnt), trivial und erfordert nur, dass Sie sich in derselben Broadcast-Domäne befinden. Sofern sich nicht jeder Ihrer Benutzer in einem eigenen VLAN befindet, sind Sie dafür anfällig.

Angesichts der Verbreitung von SSH gibt es keinen Grund, Telnet zu verwenden. OpenSSH ist kostenlos und für praktisch alle * nix-artigen Betriebssysteme verfügbar. Es ist in allen Distributionen integriert, die ich jemals verwendet habe, und die Verwaltung hat den Status "Turnkey" erreicht.

sh-beta
quelle
+1 Für die Erwähnung von Vlans und Broadcasting-Domains.
Maxwell,
Hier kann ich ein wenig aus meiner Netzwerksicherheit herausholen
Kyle Brandt
+1 für die Erwähnung von OpenSSH, wenn dies noch niemand getan hat.
Ernie
1
Kyle - die Schwachstellen dort sind meistens irrelevant. Der MAC-Flooding-Angriff wird weiterhin durch die Broadcast-Domäne eingeschränkt, sodass kein VLAN-Hopping erfolgt. Gleiches gilt für die ARP-Angriffe. Für den VLAN-Hopping-Angriff mit doppelter Kapselung, der von allen als Grund für die Unsicherheit von VLANs angegeben wird, muss der Angreifer an einen Trunk-Port mit einem systemeigenen VLAN angeschlossen sein. Trunk soll nie eine native VLAN an erster Stelle hat ...
sh-beta
1

Die Verwendung von Klartext für einen beliebigen Teil des Anmelde- und Authentifizierungsprozesses ist problematisch. Sie brauchen nicht viel Fähigkeit, Benutzerkennwörter zu sammeln. Da Sie in Zukunft auf AD umsteigen möchten, nehmen wir an, dass Sie eine Art zentrale Authentifizierung auch für andere Systeme durchführen. Wollen Sie wirklich, dass alle Ihre Systeme einem Mitarbeiter mit Groll offenstehen?

Kann sich die AD erst einmal bewegen und Ihre Zeit damit verbringen, ssh einzurichten? Dann besuche AD erneut und benutze bitte ldaps, wenn du dies tust.

Schmiere
quelle
1

Klar, Sie haben jetzt ein Wählnetz ... Aber die Dinge ändern sich. Und bald wird jemand WiFi wollen. Was wirst du dann tun?

Und was passiert, wenn einer Ihrer vertrauenswürdigen Mitarbeiter einen anderen Mitarbeiter beschnuppern möchte? Oder ihr Chef?

Rory
quelle
1

Ich stimme allen vorhandenen Kommentaren zu. Ich wollte jedoch hinzufügen, dass Sie, wenn Sie auf diese Weise arbeiten MÜSSEN und es wirklich keine andere akzeptable Lösung gibt, diese so weit wie möglich sichern können. Mit modernen Cisco-Switches mit Funktionen wie Port-Sicherheit und IP Source Guard können Sie die Bedrohung durch Arp-Spoofing / Poisoning-Angriffe verringern. Dies führt zu einer höheren Komplexität des Netzwerks und einem höheren Overhead für die Switches. Daher ist dies keine ideale Lösung. Offensichtlich ist es am besten, alle sensiblen Daten zu verschlüsseln, damit ein Angreifer keine aufgespürten Pakete erhält.

Trotzdem ist es oftmals schön, einen Arp-Poisoner zu finden, auch wenn er die Leistung Ihres Netzwerks beeinträchtigt. Tools wie Arpwatch können Ihnen dabei helfen.

Brad
quelle
+1 für mögliche
Abhilfemaßnahmen
0

Vermittelte Netzwerke schützen sich nur gegen Angriffe von unterwegs, und wenn das Netzwerk für ARP-Spoofing anfällig ist, ist dies nur minimal. Unverschlüsselte Kennwörter in Paketen können auch an den Endpunkten abgehört werden.

Nehmen Sie zum Beispiel einen telnet-fähigen Linux-Shell-Server. Irgendwie wird es kompromittiert und die schlechten Leute haben Wurzeln. Dieser Server ist jetzt 0wn3d, aber wenn sie auf andere Server in Ihrem Netzwerk booten möchten, müssen sie etwas mehr arbeiten. Anstatt die passwd-Datei tief zu knacken, wird tcpdump für fünfzehn Minuten aktiviert und die Kennwörter für jede in dieser Zeit initiierte Telnet-Sitzung abgerufen. Aufgrund der erneuten Verwendung von Kennwörtern können die Angreifer wahrscheinlich legitime Benutzer auf anderen Systemen emulieren. Oder wenn der Linux-Server einen externen Authentifikator wie LDAP, NIS ++ oder WinBind / AD verwendet, würde selbst ein tiefes Knacken der passwd-Datei nicht viel bringen. Dies ist eine weitaus bessere Möglichkeit, um Passwörter kostengünstig zu erhalten.

Ändern Sie 'telnet' in 'ftp' und Sie haben das gleiche Problem. Selbst in geswitchten Netzwerken, die sich effektiv gegen ARP-Spoofing / -Poisoning schützen, ist das oben beschriebene Szenario mit unverschlüsselten Passwörtern möglich.

sysadmin1138
quelle
0

Auch jenseits des Themas ARP-Vergiftung, die einigermaßen gutes IDS erkennen und hoffentlich verhindern kann und wird. (Sowie eine Fülle von Werkzeugen, die es verhindern sollen). Hijacking von STP-Root-Rollen, Eindringen in den Router, Spoofing von Source-Routing-Informationen, VTP / ISL-Panning. Die Liste geht weiter.

ŹV -
quelle