O sniffing de pacotes para senhas em uma rede totalmente comutada é realmente uma preocupação?

27

Eu administro um número de servidores Linux que requerem acesso de telnet para os usuários. Atualmente, as credenciais do usuário são armazenadas localmente em cada servidor e as senhas tendem a ser muito fracas e não há necessidade de alterá-las. Os logons serão integrados em breve com o Active Directory e essa é uma identidade mais bem guardada.

É realmente uma preocupação que a senha do usuário possa ser detectada na LAN, já que temos uma rede totalmente comutada para que qualquer hacker precise se inserir fisicamente entre o computador do usuário e o servidor?

    
por mmcg 10.08.2009 / 17:06

9 respostas

42

É uma preocupação razoável, pois existem ferramentas que realizam envenenamento arp (spoofing) que permitem convencer os computadores que você são o gateway. Um exemplo e relativamente fácil de usar ferramenta seria ettercap que automatiza todo o processo. Ele convencerá o computador de que você é o gateway e farejará o tráfego. Ele também encaminhará os pacotes, a menos que haja um IDS em execução todo o processo pode ser transparente e não detectado.

Como essas ferramentas estão disponíveis para os kiddies , essa é uma ameaça bastante grande. Mesmo que os sistemas em si não sejam tão importantes, as pessoas reutilizam senhas e podem expor senhas a coisas mais importantes.

As redes comutadas apenas tornam o sniffing mais inconveniente, não difícil ou difícil.

    
por 10.08.2009 / 17:12
21

Sim, mas não é apenas por causa do uso do Telnet e suas senhas fracas, é por causa da sua atitude em relação à segurança.

Boa segurança vem em camadas. Você não deve presumir que, por ter um bom firewall, sua segurança interna pode ser fraca. Você deve assumir que, em algum momento, seu firewall será comprometido, as estações de trabalho terão vírus e seu switch será seqüestrado. Possivelmente tudo ao mesmo tempo. Você deve se certificar de que as coisas importantes tenham boas senhas e as menos importantes também. Você também deve usar criptografia strong quando possível para o tráfego de rede. É simples de configurar e, no caso do OpenSSH, torna a sua vida mais fácil com o uso de chaves públicas.

E então, você também precisa ficar atento aos funcionários. Certifique-se de que todos não estejam usando a mesma conta para qualquer função específica. Isso torna uma dor para todos os outros quando alguém é demitido e você precisa alterar todas as senhas. Você também precisa garantir que eles não sejam vítimas de ataques de phishing por meio da educação (diga-lhes que, se você já pediu sua senha, seria porque você acabou de ser demitido e você não tem mais acesso! Alguém tem ainda menos motivos para perguntar.), bem como segmentar o acesso por base de conta.

Como este parece ser um novo conceito para você, provavelmente é uma boa idéia pegar um livro sobre segurança de rede / sistemas. O Capítulo 7 de "A Prática de Administração de Sistemas e Redes" aborda este tópico um pouco, assim como "Administração de Sistemas Essenciais", que eu recomendo ler mesmo assim . Há também livros inteiros dedicados ao assunto.

    
por 10.08.2009 / 18:17
13

Sim, é uma grande preocupação, pois com um simples envenenamento por ARP, você normalmente pode farejar a LAN sem estar fisicamente na porta certa do switch, assim como nos bons e velhos dias de hub - e é muito fácil fazer também.

    
por 10.08.2009 / 17:12
4

Você tem mais chances de ser hackeado por dentro do que por fora.

O spoofing ARP é trivial com os vários scripts / ferramentas pré-construídos amplamente disponíveis na Internet (o ettercap foi mencionado em outra resposta) e requer apenas que você esteja no mesmo domínio de broadcast. A menos que cada um dos seus usuários esteja em sua própria VLAN, você estará vulnerável a isso.

Dada a forma como o SSH é amplamente difundido, não há realmente nenhuma razão para usar o telnet. O OpenSSH é gratuito e está disponível para praticamente todos os sistemas operacionais no estilo nix existentes. Ele está embutido em todas as distros que já usei e a administração alcançou o status de turnkey.

    
por 10.08.2009 / 17:21
1

O uso de texto sem formatação para qualquer parte do processo de login e autenticação está causando problemas. Você não precisa de muita habilidade para coletar senhas de usuários. Como você planeja mudar para o AD no futuro, eu suponho que você esteja fazendo algum tipo de autenticação central para outros sistemas também. Você realmente quer todos os seus sistemas abertos a um funcionário com rancor?

O AD pode se mover por enquanto e gastar seu tempo configurando o ssh. Então, volte a visitar o AD e, por favor, use ldaps quando fizer isso.

    
por 10.08.2009 / 17:46
1

Claro, você tem uma rede comutada agora ... Mas as coisas mudam. E em breve alguém vai querer WiFi. Então o que você vai fazer?

E o que acontece se um de seus funcionários de confiança quiser espionar outro funcionário? Ou o chefe deles?

    
por 10.08.2009 / 17:55
1

Concordo com todos os comentários existentes. Eu queria acrescentar que, se você tivesse que rodar dessa maneira, e realmente não houvesse outra solução aceitável, você poderia protegê-la o máximo que pudesse. Utilizando switches Cisco modernos com recursos como segurança de porta e IP Source Guard, você pode atenuar a ameaça de ataques de spoofing / envenenamento de arp. Isso cria mais complexidade na rede, bem como mais sobrecarga para os switches, por isso não é uma solução ideal. Obviamente, a melhor coisa a fazer é criptografar qualquer coisa sensível, de modo que qualquer pacote farejado seja inútil para um invasor.

Dito isso, é sempre bom poder encontrar um envenenador de arp, mesmo que simplesmente porque eles degradam o desempenho da sua rede. Ferramentas como o Arpwatch podem ajudá-lo com isso.

    
por 11.08.2009 / 21:44
0

As redes comutadas só defendem contra ataques em rota e, se a rede estiver vulnerável a falsificação de ARP, ela o faz apenas minimamente. Senhas não criptografadas em pacotes também são vulneráveis a sniffing nos pontos finais.

Por exemplo, use um servidor shell linux habilitado para telnet. De alguma forma, fica comprometido e as pessoas más têm raiz. Esse servidor agora é 0wn3d, mas se eles quiserem fazer o bootstrap para outros servidores em sua rede, precisarão fazer um pouco mais de trabalho. Em vez de quebrar o arquivo passwd, eles ativam o tcpdump por quinze minutos e pegam as senhas de qualquer sessão de telnet iniciada durante esse tempo. Devido à reutilização de senha, isso provavelmente permitirá que os invasores emulem usuários legítimos em outros sistemas. Ou, se o servidor linux estiver usando um autenticador externo como LDAP, NIS ++ ou WinBind / AD, mesmo o cracking profundo do arquivo passwd não os ajudaria muito, então essa é uma maneira muito melhor de obter senhas mais baratas.

Altere 'telnet' para 'ftp' e você terá o mesmo problema. Mesmo em redes comutadas que efetivamente se defendem contra spoofing / envenenamento de ARP, o cenário acima ainda é possível com senhas não criptografadas.

    
por 10.08.2009 / 18:18
0

Mesmo além do tópico de envenenamento por ARP, que qualquer IDS razoavelmente bom pode e irá detectar e evitar. (Bem como uma infinidade de ferramentas destinadas a impedi-lo). Seqüestro de papel de raiz STP, Quebrando no roteador, spoofing de informações de roteamento de origem, VTP / ISL panning, a lista continua, em qualquer caso - existem técnicas de numerosas para MITM uma rede sem fisicamente interceptar o tráfego.

    
por 10.02.2010 / 04:49