Apakah packet sniffing untuk kata sandi pada jaringan yang diaktifkan sepenuhnya benar-benar memprihatinkan?

Saya mengelola sejumlah server linux yang memerlukan akses telnet untuk pengguna. Saat ini kredensial pengguna disimpan secara lokal di setiap server dan kata sandi cenderung sangat lemah dan tidak ada persyaratan bagi mereka untuk diubah. Log masuk akan segera diintegrasikan dengan Active Directory dan ini adalah identitas yang dijaga lebih dekat.

Apakah benar-benar kekhawatiran bahwa kata sandi pengguna dapat diendus dari LAN mengingat bahwa kami memiliki jaringan yang sepenuhnya diaktifkan sehingga setiap peretas perlu memasukkan diri secara fisik antara komputer pengguna dan server?

Ini adalah kekhawatiran yang masuk akal karena ada alat yang menghasilkan keracunan arp (spoofing) yang memungkinkan Anda meyakinkan komputer bahwa Anda adalah gateway. Contoh dan alat yang relatif mudah digunakan adalah ettercap yang mengotomatiskan seluruh proses. Ini akan meyakinkan komputer mereka bahwa Anda adalah gateway dan mengendus lalu lintas, itu juga akan meneruskan paket jadi kecuali ada IDS yang menjalankan seluruh proses mungkin transparan dan tidak terdeteksi.

Karena alat ini tersedia untuk kiddies itu adalah ancaman yang cukup besar. Bahkan jika sistem itu sendiri tidak begitu penting, orang menggunakan kembali kata sandi dan mungkin mengekspos kata sandi untuk hal-hal yang lebih penting.

Jaringan yang diaktifkan hanya membuat mengendus lebih nyaman, tidak sulit atau sulit.

Ya, tapi itu bukan hanya karena Anda menggunakan Telnet dan kata sandi Anda yang lemah, itu karena sikap Anda terhadap keamanan.

Keamanan yang baik datang berlapis-lapis. Anda tidak boleh berasumsi bahwa karena Anda memiliki firewall yang bagus, keamanan internal Anda bisa lemah. Anda harus mengasumsikan bahwa pada suatu saat, firewall Anda akan dikompromikan, workstation akan memiliki virus, dan switch Anda akan dibajak. Mungkin semuanya sekaligus. Anda harus memastikan bahwa hal-hal penting memiliki kata sandi yang baik, dan hal-hal yang kurang penting juga. Anda juga harus menggunakan enkripsi yang kuat bila memungkinkan untuk lalu lintas jaringan. Sangat mudah untuk diatur, dan dalam hal OpenSSH, membuat hidup Anda lebih mudah dengan penggunaan kunci publik.

Dan kemudian, Anda juga harus berhati-hati terhadap karyawan. Pastikan semua orang tidak menggunakan akun yang sama untuk fungsi apa pun yang diberikan. Ini membuatnya sakit untuk semua orang ketika seseorang dipecat dan Anda perlu mengubah semua kata sandi. Anda juga harus memastikan bahwa mereka tidak menjadi korban serangan phishing melalui pendidikan (katakan kepada mereka bahwa jika Anda pernah meminta kata sandi mereka, itu karena Anda baru saja dipecat dan Anda tidak memiliki akses lagi! Orang lain memiliki alasan yang lebih kecil untuk bertanya.), Serta mengelompokkan akses berdasarkan per akun.

Karena ini tampaknya menjadi konsep baru bagi Anda, mungkin ide yang baik bagi Anda untuk mengambil buku tentang keamanan jaringan / sistem. Bab 7 dari "Praktik Administrasi Sistem dan Jaringan" membahas sedikit topik ini, seperti halnya "Administrasi Sistem Esensial", yang keduanya saya sarankan tetap baca . Ada juga seluruh buku yang didedikasikan untuk subjek ini.

Ya itu adalah masalah besar karena dengan beberapa keracunan ARP sederhana, Anda biasanya dapat mengendus LAN tanpa secara fisik berada di port switch yang tepat, sama seperti di masa lalu yang baik - dan sangat mudah dilakukan juga.

Anda lebih cenderung diretas dari dalam daripada di luar.

Spoofing ARP sepele dengan berbagai skrip / alat prebuilt banyak tersedia di Internet (ettercap disebutkan dalam jawaban lain), dan hanya mengharuskan Anda berada di domain siaran yang sama. Kecuali jika masing-masing pengguna menggunakan VLAN mereka sendiri, Anda rentan terhadap hal ini.

Mengingat betapa luasnya SSH, tidak ada alasan untuk menggunakan telnet. OpenSSH gratis dan tersedia untuk hampir semua OS * nix-style di luar sana. Ini bawaan pada semua distro yang pernah saya gunakan, dan administrasi telah mencapai status turnkey.

Menggunakan teks biasa untuk setiap bagian dari proses login dan otentikasi sedang mengalami masalah. Anda tidak perlu banyak kemampuan untuk mengumpulkan kata sandi pengguna. Ketika Anda berencana untuk pindah ke AD di masa depan, saya menganggap Anda sedang melakukan semacam otentikasi terpusat untuk sistem lain juga. Apakah Anda benar-benar ingin semua sistem Anda terbuka lebar untuk seorang karyawan dengan dendam?

Dapatkah AD bergerak untuk saat ini dan menghabiskan waktu Anda mengatur ssh. Kemudian kunjungi kembali AD dan gunakan ldaps ketika Anda melakukannya.

Tentu, Anda memiliki jaringan yang diaktifkan sekarang ... Tapi segalanya berubah. Dan segera seseorang akan menginginkan WiFi. Lalu apa yang akan kamu lakukan?

Dan apa yang terjadi jika salah satu karyawan tepercaya Anda ingin mengintip karyawan lain? Atau bos mereka?

Saya setuju dengan semua komentar yang ada. Saya ingin menambahkan bahwa jika Anda HARUS menjalankan cara ini, dan benar-benar tidak ada solusi yang dapat diterima, Anda dapat mengamankannya sebanyak mungkin. Menggunakan switch Cisco modern dengan fitur-fitur seperti keamanan port dan IP Source Guard, Anda dapat mengurangi ancaman serangan spoofing / keracunan arp. Ini menciptakan lebih banyak kompleksitas dalam jaringan serta lebih banyak overhead untuk switch, jadi itu bukan solusi yang ideal. Tentunya hal terbaik untuk dilakukan adalah mengenkripsi segala sesuatu yang sensitif sehingga paket yang diendus tidak berguna bagi penyerang.

Yang mengatakan, itu sering baik untuk dapat menemukan racun arp bahkan jika hanya karena mereka menurunkan kinerja jaringan Anda. Alat-alat seperti Arpwatch dapat membantu Anda dengan ini.

Jaringan yang diaktifkan hanya bertahan terhadap serangan dalam perjalanan, dan jika jaringan rentan terhadap spoofing ARP, itu hanya terjadi secara minimal. Kata sandi yang tidak terenkripsi dalam paket juga rentan terhadap mengendus pada titik akhir.

Sebagai contoh, ambil linux-server linux yang diaktifkan dengan telnet. Entah bagaimana, itu bisa dikompromikan dan orang jahat berakar. Server itu sekarang 0wn3d, tetapi jika mereka ingin bootstrap ke server lain di jaringan Anda, mereka perlu melakukan lebih banyak pekerjaan. Daripada meretas file passwd, mereka menghidupkan tcpdump selama lima belas menit dan mengambil kata sandi untuk setiap sesi telnet yang dimulai selama waktu itu. Karena penggunaan kembali kata sandi, ini kemungkinan akan memungkinkan penyerang untuk meniru pengguna yang sah pada sistem lain. Atau jika server linux menggunakan autentikator eksternal seperti LDAP, NIS ++, atau WinBind / AD, bahkan cracking dalam file passwd tidak akan banyak, jadi ini adalah cara yang jauh lebih baik untuk mendapatkan kata sandi dengan murah.

Ubah 'telnet' ke 'ftp' dan Anda memiliki masalah yang sama. Bahkan pada jaringan yang diaktifkan yang secara efektif bertahan terhadap spoofing / poisoning ARP, skenario di atas masih dimungkinkan dengan kata sandi yang tidak dienkripsi.

Bahkan di luar topik Keracunan ARP, yang dapat dideteksi dan diharapkan oleh IDS yang cukup baik dan mudah-mudahan dapat dicegah. (Serta sejumlah besar alat yang dimaksudkan untuk mencegahnya). STP membajak peran root, Membobol router, Sumber-Routing informasi spoofing, VTP / ISL panning, Daftar ini terus berlanjut, Dalam hal apa pun - Ada banyak teknik untuk MITM jaringan tanpa secara fisik menyadap lalu lintas.