O farejamento de pacotes para senhas em uma rede totalmente comutada é realmente uma preocupação?

Administro vários servidores linux que requerem acesso telnet para os usuários. Atualmente, as credenciais do usuário são armazenadas localmente em cada servidor e as senhas tendem a ser muito fracas e não há requisitos para serem alteradas. Os logons em breve serão integrados ao Active Directory e essa é uma identidade mais bem guardada.

É realmente uma preocupação que a senha do usuário possa ser detectada na LAN, uma vez que possuímos uma rede totalmente comutada, para que qualquer hacker precise se inserir fisicamente entre o computador do usuário e o servidor?

É uma preocupação razoável, pois existem ferramentas que realizam envenenamento por arp (falsificação) que permitem convencer os computadores de que você é o gateway. Um exemplo e uma ferramenta relativamente fácil de usar seria o ettercap que automatiza todo o processo. Ele convencerá o computador deles de que você é o gateway e farejará o tráfego; também encaminhará pacotes, a menos que exista um IDS executando todo o processo, seja transparente e não detectado.

Como essas ferramentas estão disponíveis para as crianças , é uma ameaça bastante grande. Mesmo que os sistemas em si não sejam tão importantes, as pessoas reutilizam senhas e podem expô-las a coisas mais importantes.

As redes comutadas apenas tornam o sniffing mais inconveniente, não difícil ou difícil.

Sim, mas não é apenas por causa do uso do Telnet e de suas senhas fracas, é por causa da sua atitude em relação à segurança.

Boa segurança vem em camadas. Você não deve assumir que, por ter um bom firewall, sua segurança interna pode ser fraca. Você deve assumir que, em algum momento, seu firewall estará comprometido, as estações de trabalho terão vírus e seu switch será invadido. Possivelmente tudo ao mesmo tempo. Você deve garantir que coisas importantes tenham boas senhas e coisas menos importantes também. Você também deve usar criptografia forte quando possível para o tráfego de rede. É simples de configurar, e no caso de OpenSSH, torna a sua vida mais fácil com o uso de chaves públicas.

E então, você também deve tomar cuidado com os funcionários. Certifique-se de que todos não estejam usando a mesma conta para qualquer função. Isso torna uma dor para todos quando alguém é demitido e você precisa alterar todas as senhas. Você também deve garantir que eles não sejam vítimas de ataques de phishing por meio da educação (diga a eles que, se você já solicitou a senha deles, seria porque você acabou de ser demitido e não tem mais acesso! Qualquer outra pessoa tem ainda menos motivos para perguntar.), Além de segmentar o acesso por conta.

Como esse parece ser um novo conceito para você, provavelmente é uma boa ideia escolher um livro sobre segurança de rede / sistemas. O capítulo 7 de "A prática da administração de sistemas e redes" aborda um pouco esse tópico, assim como a "Administração de sistemas essenciais", que eu recomendo a leitura de qualquer maneira . Há também livros inteiros dedicados ao assunto.

Sim, é uma grande preocupação, pois com algum envenenamento simples por ARP, você normalmente pode cheirar a LAN sem estar fisicamente na porta do switch correta, como nos bons e velhos dias do hub - e é muito fácil de fazer.

É mais provável que você seja invadido por dentro do que por fora.

A falsificação de ARP é trivial com os vários scripts / ferramentas pré-criados amplamente disponíveis na Internet (o ettercap foi mencionado em outra resposta) e exige apenas que você esteja no mesmo domínio de transmissão. A menos que cada um de seus usuários esteja com sua própria VLAN, você estará vulnerável a isso.

Dado o quão amplo é o SSH, não há realmente nenhuma razão para usar o telnet. O OpenSSH é gratuito e disponível para praticamente todos os sistemas operacionais no estilo * nix existentes. Está embutido em todas as distros que já usei e a administração atingiu o status de chave na mão.

Usar texto sem formatação para qualquer parte do processo de login e autenticação está causando problemas. Você não precisa de muita capacidade para coletar senhas de usuários. Como você planeja migrar para o AD no futuro, presumo que você também esteja executando algum tipo de autenticação central para outros sistemas. Você realmente deseja que todos os seus sistemas estejam abertos a um funcionário com ressentimento?

O AD pode se mover por enquanto e gastar seu tempo configurando o ssh. Em seguida, visite novamente o AD e use o ldaps quando fizer isso.

Claro, você tem uma rede comutada agora ... Mas as coisas mudam. E logo alguém vai querer WiFi. Então o que você vai fazer?

E o que acontece se um de seus funcionários de confiança quiser bisbilhotar outro funcionário? Ou o chefe deles?

Eu concordo com todos os comentários existentes. Eu gostaria de acrescentar que, se você tivesse que executar dessa maneira, e realmente não houvesse outra solução aceitável, poderia protegê-la o máximo possível. Usando os modernos switches Cisco com recursos como segurança de porta e IP Source Guard, você pode atenuar a ameaça de ataques de falsificação / envenenamento por arp. Isso cria mais complexidade na rede e mais sobrecarga para os comutadores, portanto não é uma solução ideal. Obviamente, a melhor coisa a fazer é criptografar qualquer coisa sensível, para que todos os pacotes detectados sejam inúteis para um invasor.

Dito isto, geralmente é bom encontrar um envenenador por arp, mesmo que simplesmente porque eles prejudicam o desempenho da sua rede. Ferramentas como o Arpwatch podem ajudá-lo com isso.

As redes comutadas apenas se defendem contra ataques durante a rota e, se a rede estiver vulnerável à falsificação do ARP, o fará apenas minimamente. Senhas não criptografadas em pacotes também são vulneráveis ​​a farejar nos pontos finais.

Por exemplo, considere um servidor de linux habilitado para telnet. De alguma forma, fica comprometido e as pessoas más têm raízes. Agora, esse servidor é 0wn3d, mas se eles quiserem inicializar com outros servidores na sua rede, precisarão fazer um pouco mais de trabalho. Em vez de decifrar profundamente o arquivo passwd, eles ativam o tcpdump por quinze minutos e agarram as senhas de qualquer sessão de telnet iniciada durante esse período. Devido à reutilização de senha, isso provavelmente permitirá que os invasores emulem usuários legítimos em outros sistemas. Ou se o servidor linux estiver usando um autenticador externo como LDAP, NIS ++ ou WinBind / AD, até mesmo quebrar profundamente o arquivo passwd não os obteria muito, então essa é uma maneira muito melhor de obter senhas mais baratas.

Altere 'telnet' para 'ftp' e você terá o mesmo problema. Mesmo em redes comutadas que efetivamente se defendem contra falsificação / envenenamento por ARP, o cenário acima ainda é possível com senhas não criptografadas.

Mesmo além do tópico ARP Poisoning, que qualquer IDS razoavelmente bom pode e irá detectar e, esperamos, impedir. (Bem como uma infinidade de ferramentas destinadas a evitá-lo). Seqüestro de função de raiz STP, Invadir o roteador, falsificação de informações de roteamento de origem, panning de VTP / ISL. A lista continua.