Apakah packet sniffing untuk kata sandi pada jaringan yang diaktifkan sepenuhnya benar-benar memprihatinkan?

27

Saya mengelola sejumlah server linux yang memerlukan akses telnet untuk pengguna. Saat ini kredensial pengguna disimpan secara lokal di setiap server dan kata sandi cenderung sangat lemah dan tidak ada persyaratan bagi mereka untuk diubah. Log masuk akan segera diintegrasikan dengan Active Directory dan ini adalah identitas yang dijaga lebih dekat.

Apakah benar-benar kekhawatiran bahwa kata sandi pengguna dapat diendus dari LAN mengingat bahwa kami memiliki jaringan yang sepenuhnya diaktifkan sehingga setiap peretas perlu memasukkan diri secara fisik antara komputer pengguna dan server?

mmcg
sumber
Karena Anda menggunakan linux, coba ettercap. Berikut tutorialnya: openmaniak.com/ettercap_arp.php
Joseph Kern
- "server linux yang memerlukan akses telnet" ??? Saya belum melihat server linux yang hilang ssh dalam 5-10 tahun terakhir atau lebih ... Rasanya seperti saya kehilangan sesuatu di sini ...
Johan
@Johan - Aplikasi yang berjalan di server ini telah diakses oleh telnet selama beberapa tahun, sejak sebelum ssh ada. Perusahaan membeli klien telnet untuk pengguna yang mengakses aplikasi ini. Telnet juga digunakan untuk mengakses aplikasi pada server HP-UX dan dari ponsel. Oleh karena itu telnet sangat mengakar dan tidak ke mana-mana tidak peduli apa yang saya pikirkan. FTP juga demikian.
mmcg

Jawaban:

42

Ini adalah kekhawatiran yang masuk akal karena ada alat yang menghasilkan keracunan arp (spoofing) yang memungkinkan Anda meyakinkan komputer bahwa Anda adalah gateway. Contoh dan alat yang relatif mudah digunakan adalah ettercap yang mengotomatiskan seluruh proses. Ini akan meyakinkan komputer mereka bahwa Anda adalah gateway dan mengendus lalu lintas, itu juga akan meneruskan paket jadi kecuali ada IDS yang menjalankan seluruh proses mungkin transparan dan tidak terdeteksi.

Karena alat ini tersedia untuk kiddies itu adalah ancaman yang cukup besar. Bahkan jika sistem itu sendiri tidak begitu penting, orang menggunakan kembali kata sandi dan mungkin mengekspos kata sandi untuk hal-hal yang lebih penting.

Jaringan yang diaktifkan hanya membuat mengendus lebih nyaman, tidak sulit atau sulit.

Kyle Brandt
sumber
3
Saya menjawab pertanyaan spesifik Anda, tetapi saya sarankan membaca jawaban Ernie juga tentang pendekatan yang lebih luas untuk memikirkan keamanan.
Kyle Brandt
s / berpose / keracunan /
grawity
grawity: Saya menghabiskan banyak waktu untuk mengoreksi ejaan mengerikan saya dengan firefox spell check seperti yang saya lakukan menulis setiap posting :-)
Kyle Brandt
4
+1 Anda semua dapat mengisi tabel mac switch dan mengubahnya menjadi hub. Jelas switch yang lebih besar memiliki tabel yang lebih besar dan karenanya lebih sulit untuk diisi.
David Pashley
Mengisi tabel mac switch mengarah ke paket unicast yang ditujukan untuk alamat yang tidak diketahui (karena serangan banjir) yang disiarkan. VLAN masih membatasi domain broadcast, jadi lebih seperti hub per VLAN.
sh-beta
21

Ya, tapi itu bukan hanya karena Anda menggunakan Telnet dan kata sandi Anda yang lemah, itu karena sikap Anda terhadap keamanan.

Keamanan yang baik datang berlapis-lapis. Anda tidak boleh berasumsi bahwa karena Anda memiliki firewall yang bagus, keamanan internal Anda bisa lemah. Anda harus mengasumsikan bahwa pada suatu saat, firewall Anda akan dikompromikan, workstation akan memiliki virus, dan switch Anda akan dibajak. Mungkin semuanya sekaligus. Anda harus memastikan bahwa hal-hal penting memiliki kata sandi yang baik, dan hal-hal yang kurang penting juga. Anda juga harus menggunakan enkripsi yang kuat bila memungkinkan untuk lalu lintas jaringan. Sangat mudah untuk diatur, dan dalam hal OpenSSH, membuat hidup Anda lebih mudah dengan penggunaan kunci publik.

Dan kemudian, Anda juga harus berhati-hati terhadap karyawan. Pastikan semua orang tidak menggunakan akun yang sama untuk fungsi apa pun yang diberikan. Ini membuatnya sakit untuk semua orang ketika seseorang dipecat dan Anda perlu mengubah semua kata sandi. Anda juga harus memastikan bahwa mereka tidak menjadi korban serangan phishing melalui pendidikan (katakan kepada mereka bahwa jika Anda pernah meminta kata sandi mereka, itu karena Anda baru saja dipecat dan Anda tidak memiliki akses lagi! Orang lain memiliki alasan yang lebih kecil untuk bertanya.), Serta mengelompokkan akses berdasarkan per akun.

Karena ini tampaknya menjadi konsep baru bagi Anda, mungkin ide yang baik bagi Anda untuk mengambil buku tentang keamanan jaringan / sistem. Bab 7 dari "Praktik Administrasi Sistem dan Jaringan" membahas sedikit topik ini, seperti halnya "Administrasi Sistem Esensial", yang keduanya saya sarankan tetap baca . Ada juga seluruh buku yang didedikasikan untuk subjek ini.

Ernie
sumber
"Keamanan yang baik datang berlapis-lapis." Sangat baik berkata saya pikir, berpikir tentang mengedit posting saya untuk memiliki sesuatu seperti ini, tetapi itu tidak akan diungkapkan dengan baik.
Kyle Brandt
12

Ya itu adalah masalah besar karena dengan beberapa keracunan ARP sederhana, Anda biasanya dapat mengendus LAN tanpa secara fisik berada di port switch yang tepat, sama seperti di masa lalu yang baik - dan sangat mudah dilakukan juga.

Oskar Duveborn
sumber
3
Selain itu, pikirkan tentang berapa banyak port jaringan yang ada di area yang tidak aman atau dipertanyakan. Salah satu majikan saya di masa lalu memiliki setengah lusin di lobi lift yang tidak diawasi dan tidak aman. Bahkan jika pelabuhan itu aman, pikirkan tentang siapa lagi yang ada di dalam gedung - petugas kebersihan, teknisi layanan, dll. - dan ingat bahwa rekayasa sosial adalah salah satu vektor termudah untuk melewati keamanan fisik.
Karl Katzke
"Hai, resepsionis! Aku ke sini untuk menemui John, tetapi aku sedikit lebih awal, bisakah aku meminjam ruang konferensi gratis untuk menangani beberapa e-mail di laptopku? Benarkah? Hebat!"
Oskar Duveborn
4

Anda lebih cenderung diretas dari dalam daripada di luar.

Spoofing ARP sepele dengan berbagai skrip / alat prebuilt banyak tersedia di Internet (ettercap disebutkan dalam jawaban lain), dan hanya mengharuskan Anda berada di domain siaran yang sama. Kecuali jika masing-masing pengguna menggunakan VLAN mereka sendiri, Anda rentan terhadap hal ini.

Mengingat betapa luasnya SSH, tidak ada alasan untuk menggunakan telnet. OpenSSH gratis dan tersedia untuk hampir semua OS * nix-style di luar sana. Ini bawaan pada semua distro yang pernah saya gunakan, dan administrasi telah mencapai status turnkey.

sh-beta
sumber
+1 Untuk menyebutkan Vans dan domain penyiaran.
Maxwell
Mendapatkan sedikit dari kedalaman keamanan jaringan saya di sini ... Tapi saya tidak yakin VLAN akan melindungi Anda sebagai aturan umum: cisco.com/en/US/products/hw/switches/ps708/…
Kyle Brandt
+1 untuk menyebutkan OpenSSH ketika tidak ada orang lain yang memilikinya.
Ernie
1
Kyle - kerentanan di sana sebagian besar tidak relevan. Serangan flooding MAC masih dibatasi oleh domain broadcast, jadi tidak ada VLAN yang melompat. Sama dengan serangan ARP. Serangan lompatan VLAN enkapsulasi ganda yang dikutip semua orang sebagai alasan mengapa VLAN tidak aman mengharuskan penyerang terpasang ke port trunk dengan VLAN asli. Batang harus tidak pernah memiliki VLAN asli di tempat pertama ...
sh-beta
1

Menggunakan teks biasa untuk setiap bagian dari proses login dan otentikasi sedang mengalami masalah. Anda tidak perlu banyak kemampuan untuk mengumpulkan kata sandi pengguna. Ketika Anda berencana untuk pindah ke AD di masa depan, saya menganggap Anda sedang melakukan semacam otentikasi terpusat untuk sistem lain juga. Apakah Anda benar-benar ingin semua sistem Anda terbuka lebar untuk seorang karyawan dengan dendam?

Dapatkah AD bergerak untuk saat ini dan menghabiskan waktu Anda mengatur ssh. Kemudian kunjungi kembali AD dan gunakan ldaps ketika Anda melakukannya.

goo
sumber
1

Tentu, Anda memiliki jaringan yang diaktifkan sekarang ... Tapi segalanya berubah. Dan segera seseorang akan menginginkan WiFi. Lalu apa yang akan kamu lakukan?

Dan apa yang terjadi jika salah satu karyawan tepercaya Anda ingin mengintip karyawan lain? Atau bos mereka?

Rory
sumber
1

Saya setuju dengan semua komentar yang ada. Saya ingin menambahkan bahwa jika Anda HARUS menjalankan cara ini, dan benar-benar tidak ada solusi yang dapat diterima, Anda dapat mengamankannya sebanyak mungkin. Menggunakan switch Cisco modern dengan fitur-fitur seperti keamanan port dan IP Source Guard, Anda dapat mengurangi ancaman serangan spoofing / keracunan arp. Ini menciptakan lebih banyak kompleksitas dalam jaringan serta lebih banyak overhead untuk switch, jadi itu bukan solusi yang ideal. Tentunya hal terbaik untuk dilakukan adalah mengenkripsi segala sesuatu yang sensitif sehingga paket yang diendus tidak berguna bagi penyerang.

Yang mengatakan, itu sering baik untuk dapat menemukan racun arp bahkan jika hanya karena mereka menurunkan kinerja jaringan Anda. Alat-alat seperti Arpwatch dapat membantu Anda dengan ini.

Brad
sumber
+1 untuk menyarankan kemungkinan mitigasi
mmcg
0

Jaringan yang diaktifkan hanya bertahan terhadap serangan dalam perjalanan, dan jika jaringan rentan terhadap spoofing ARP, itu hanya terjadi secara minimal. Kata sandi yang tidak terenkripsi dalam paket juga rentan terhadap mengendus pada titik akhir.

Sebagai contoh, ambil linux-server linux yang diaktifkan dengan telnet. Entah bagaimana, itu bisa dikompromikan dan orang jahat berakar. Server itu sekarang 0wn3d, tetapi jika mereka ingin bootstrap ke server lain di jaringan Anda, mereka perlu melakukan lebih banyak pekerjaan. Daripada meretas file passwd, mereka menghidupkan tcpdump selama lima belas menit dan mengambil kata sandi untuk setiap sesi telnet yang dimulai selama waktu itu. Karena penggunaan kembali kata sandi, ini kemungkinan akan memungkinkan penyerang untuk meniru pengguna yang sah pada sistem lain. Atau jika server linux menggunakan autentikator eksternal seperti LDAP, NIS ++, atau WinBind / AD, bahkan cracking dalam file passwd tidak akan banyak, jadi ini adalah cara yang jauh lebih baik untuk mendapatkan kata sandi dengan murah.

Ubah 'telnet' ke 'ftp' dan Anda memiliki masalah yang sama. Bahkan pada jaringan yang diaktifkan yang secara efektif bertahan terhadap spoofing / poisoning ARP, skenario di atas masih dimungkinkan dengan kata sandi yang tidak dienkripsi.

sysadmin1138
sumber
0

Bahkan di luar topik Keracunan ARP, yang dapat dideteksi dan diharapkan oleh IDS yang cukup baik dan mudah-mudahan dapat dicegah. (Serta sejumlah besar alat yang dimaksudkan untuk mencegahnya). STP membajak peran root, Membobol router, Sumber-Routing informasi spoofing, VTP / ISL panning, Daftar ini terus berlanjut, Dalam hal apa pun - Ada banyak teknik untuk MITM jaringan tanpa secara fisik menyadap lalu lintas.

ŹV -
sumber