Le reniflage de paquets pour les mots de passe sur un réseau entièrement commuté est-il vraiment une préoccupation?

27

J'administre un certain nombre de serveurs Linux qui nécessitent un accès Telnet pour les utilisateurs. Actuellement, les informations d'identification de l'utilisateur sont stockées localement sur chaque serveur et les mots de passe ont tendance à être très faibles et il n'est pas nécessaire de les modifier. Les connexions seront bientôt intégrées à Active Directory et il s'agit d'une identité plus étroitement surveillée.

Est-ce vraiment une préoccupation que le mot de passe de l'utilisateur puisse être reniflé du LAN étant donné que nous avons un réseau entièrement commuté, de sorte que tout pirate informatique devrait s'insérer physiquement entre l'ordinateur de l'utilisateur et le serveur?

mmcg
la source
Puisque vous êtes sous Linux, essayez ettercap. Voici un tutoriel: openmaniak.com/ettercap_arp.php
Joseph Kern
- "serveurs linux qui nécessitent un accès telnet" ??? Je n'ai pas vu un serveur Linux qui manquait ssh depuis 5 à 10 ans environ ... On dirait que je manque quelque chose ici ...
Johan
@Johan - Les applications exécutées sur ces serveurs sont accessibles par telnet depuis quelques années, bien avant que ssh n'existe. La société achète un client Telnet pour les utilisateurs qui accèdent à ces applications. Telnet est également utilisé pour accéder aux applications sur un serveur HP-UX et à partir de combinés mobiles. Telnet est donc bien ancré et ne va nulle part, peu importe ce que j'en pense. FTP également.
mmcg

Réponses:

42

C'est une préoccupation raisonnable car il existe des outils qui permettent d' empoisonner les arp (usurpation d'identité) et qui vous permettent de convaincre les ordinateurs que vous êtes la passerelle. Un exemple et un outil relativement facile à utiliser serait ettercap qui automatise l'ensemble du processus. Il convaincra son ordinateur que vous êtes la passerelle et renifle le trafic, il transmettra également les paquets, donc à moins qu'il n'y ait un IDS exécutant, le processus entier pourrait être transparent et non détecté.

Étant donné que ces outils sont disponibles pour les enfants, il s'agit d'une menace assez importante. Même si les systèmes eux-mêmes ne sont pas si importants, les gens réutilisent les mots de passe et peuvent exposer les mots de passe à des choses plus importantes.

Les réseaux commutés ne font que renifler plus gênant, ni dur ni difficile.

Kyle Brandt
la source
3
J'ai répondu à votre question spécifique, mais je recommande également de lire la réponse d'Ernie sur une approche plus large de la réflexion sur la sécurité.
Kyle Brandt
s / posant / empoisonnement /
grawity
grawity: Je passe à peu près autant de temps à corriger mon orthographe hideuse avec la vérification orthographique de Firefox que j'écris chaque article :-)
Kyle Brandt
4
+1 Vous pouvez tous remplir les tables mac d'un commutateur et le transformer en hub. De toute évidence, les commutateurs plus gros ont des tables plus grandes et donc plus difficiles à remplir.
David Pashley
Le remplissage des tables mac du commutateur entraîne la diffusion des paquets unicast destinés à des adresses inconnues (en raison de l'attaque par inondation). Les VLAN limitent toujours le domaine de diffusion, c'est donc plus comme un concentrateur par VLAN.
sh-beta
21

Oui, mais ce n'est pas seulement à cause de votre utilisation de Telnet et de vos mots de passe faibles, c'est à cause de votre attitude envers la sécurité.

Une bonne sécurité se présente par couches. Vous ne devez pas supposer que, comme vous disposez d'un bon pare-feu, votre sécurité interne peut être faible. Vous devez supposer qu'à un moment donné, votre pare-feu sera compromis, les postes de travail auront des virus et votre commutateur sera piraté. Peut-être tout en même temps. Vous devez vous assurer que les choses importantes ont de bons mots de passe, et les choses moins importantes aussi. Vous devez également utiliser un cryptage fort lorsque cela est possible pour le trafic réseau. Il est simple à configurer et, dans le cas d'OpenSSH, vous facilite la vie avec l'utilisation de clés publiques.

Et puis, il faut aussi faire attention aux employés. Assurez-vous que tout le monde n'utilise pas le même compte pour une fonction donnée. Cela fait mal à tout le monde lorsque quelqu'un est renvoyé et que vous devez changer tous les mots de passe. Vous devez également vous assurer qu'ils ne soient pas victimes d' attaques de phishing par le biais de l'éducation (dites-leur que si vous leur avez déjà demandé leur mot de passe, ce serait parce que vous venez d'être viré et que vous n'y avez plus accès! N'importe qui d'autre a encore moins de raisons de demander.), Ainsi que la segmentation de l'accès par compte.

Comme cela semble être un nouveau concept pour vous, c'est probablement une bonne idée pour vous de prendre un livre sur la sécurité des réseaux / systèmes. Le chapitre 7 de "La pratique de l'administration système et réseau" couvre un peu ce sujet, tout comme "l'administration des systèmes essentiels", que je recommande quand même de lire . Il existe également des livres entiers dédiés au sujet.

Ernie
la source
"Une bonne sécurité vient par couches." Très bien dit je pense, pensé à éditer mon post pour avoir quelque chose comme ça, mais ça ne se serait pas aussi bien exprimé.
Kyle Brandt
12

Oui, c'est une grande préoccupation car avec un simple empoisonnement ARP, vous pouvez normalement renifler le LAN sans être physiquement au bon port de commutateur, tout comme dans les bons vieux jours de concentrateur - et c'est très facile à faire aussi.

Oskar Duveborn
la source
3
En outre, pensez au nombre de ports réseau dans les zones non sécurisées ou douteuses. Un de mes anciens employeurs en avait une demi-douzaine dans un hall d'ascenseur non surveillé et non sécurisé. Même si le port est sécurisé, pensez à qui d'autre est dans le bâtiment - concierges, techniciens de service, etc. - et rappelez-vous que l'ingénierie sociale est l'un des vecteurs les plus faciles à contourner la sécurité physique.
Karl Katzke
"Salut réceptionniste! Je suis ici pour voir John mais je suis un peu en avance, pourrais-je emprunter une salle de conférence gratuite pour gérer les e-mails sur mon ordinateur portable? Vraiment? Génial!"
Oskar Duveborn
4

Vous êtes plus susceptible d'être piraté de l'intérieur que de l'extérieur.

L'usurpation ARP est triviale avec les divers scripts / outils préconstruits largement disponibles sur Internet (ettercap a été mentionné dans une autre réponse), et nécessite seulement que vous soyez sur le même domaine de diffusion. À moins que chacun de vos utilisateurs ne possède son propre VLAN, vous êtes vulnérable à cela.

Étant donné l'étendue de la SSH, il n'y a vraiment aucune raison d'utiliser telnet. OpenSSH est gratuit et disponible pour pratiquement tous les systèmes d'exploitation de type * nix. Il est intégré à toutes les distributions que j'ai jamais utilisées et l'administration a atteint le statut clé en main.

sh-beta
la source
+1 Pour mentionner les VLAN et les domaines de diffusion.
Maxwell
Obtenir un peu de ma profondeur de sécurité réseau ici ... Mais je ne suis pas sûr que les VLAN vous protégeront en règle générale: cisco.com/en/US/products/hw/switches/ps708/…
Kyle Brandt
+1 pour avoir mentionné OpenSSH alors que personne d'autre ne l'avait fait.
Ernie
1
Kyle - les vulnérabilités y sont pour la plupart hors de propos. L'attaque par inondation MAC est toujours limitée par le domaine de diffusion, donc pas de saut de VLAN. Même chose avec les attaques ARP. L'attaque par sauts de VLAN à double encapsulation que tout le monde cite pour expliquer pourquoi les VLAN ne sont pas sécurisés nécessite que l'attaquant soit connecté à un port de jonction avec un VLAN natif. Les trunks ne devraient jamais avoir un VLAN natif en premier lieu ...
sh-beta
1

L'utilisation de texte brut pour n'importe quelle partie du processus de connexion et d'authentification pose problème. Vous n'avez pas besoin de beaucoup de capacité pour rassembler les mots de passe des utilisateurs. Comme vous envisagez de passer à AD à l'avenir, je suppose que vous effectuez également une sorte d'authentification centrale pour d'autres systèmes. Voulez-vous vraiment que tous vos systèmes soient largement ouverts à un employé qui en veut?

L'AD peut-il se déplacer pour l'instant et passer votre temps à configurer ssh. Ensuite, revenez sur AD et veuillez utiliser ldaps lorsque vous le faites.

goo
la source
1

Bien sûr, vous avez maintenant un réseau commuté ... Mais les choses changent. Et bientôt, quelqu'un voudra le WiFi. Alors qu'est-ce que tu vas faire?

Et que se passe-t-il si l'un de vos employés de confiance veut espionner un autre employé? Ou leur patron?

Rory
la source
1

Je suis d'accord avec tous les commentaires existants. Je voulais cependant ajouter que si vous deviez procéder de cette façon, et qu'il n'y avait vraiment aucune autre solution acceptable, vous pouviez la sécuriser autant que possible. En utilisant des commutateurs Cisco modernes avec des fonctionnalités telles que la sécurité des ports et IP Source Guard, vous pouvez atténuer la menace d'attaques d'usurpation / empoisonnement d'arp. Cela crée plus de complexité dans le réseau ainsi que plus de surcharge pour les commutateurs, ce n'est donc pas une solution idéale. Évidemment, la meilleure chose à faire est de crypter tout ce qui est sensible afin que tout paquet reniflé soit inutile pour un attaquant.

Cela dit, il est souvent agréable de pouvoir trouver un poison arp même si c'est simplement parce qu'ils dégradent les performances de votre réseau. Des outils comme Arpwatch peuvent vous y aider.

Brad
la source
+1 pour avoir suggéré une atténuation possible
mmcg
0

Les réseaux commutés ne se défendent que contre les attaques en route, et si le réseau est vulnérable à l'usurpation ARP, il ne le fait que de manière minimale. Les mots de passe non chiffrés dans les paquets sont également vulnérables au reniflement aux points de terminaison.

Par exemple, prenez un serveur shell Linux compatible Telnet. D'une certaine manière, cela est compromis et les mauvaises personnes ont des racines. Ce serveur est maintenant 0wn3d, mais s'ils veulent démarrer sur d'autres serveurs de votre réseau, ils devront faire un peu plus de travail. Plutôt que de pirater le fichier passwd, ils activent tcpdump pendant quinze minutes et récupèrent les mots de passe pour toute session telnet lancée pendant cette période. En raison de la réutilisation des mots de passe, cela permettra probablement aux attaquants d'émuler des utilisateurs légitimes sur d'autres systèmes. Ou si le serveur linux utilise un authentificateur externe comme LDAP, NIS ++ ou WinBind / AD, même une fissuration profonde du fichier passwd ne les obtiendrait pas beaucoup, c'est donc une bien meilleure façon d'obtenir des mots de passe à moindre coût.

Remplacez «telnet» par «ftp» et vous rencontrez le même problème. Même sur les réseaux commutés qui se défendent efficacement contre l'usurpation d'identité / empoisonnement ARP, le scénario ci-dessus est toujours possible avec des mots de passe non chiffrés.

sysadmin1138
la source
0

Même au-delà du sujet de l'intoxication ARP, que tout IDS raisonnablement bon peut détecter et empêchera, espérons-le. (Ainsi qu'une pléthore d'outils destinés à l'empêcher). Détournement de rôle racine STP, intrusion dans le routeur, usurpation d'informations de routage source, panoramique VTP / ISL, la liste continue, dans tous les cas - il existe de NOMBREUSES techniques pour MITMER un réseau sans intercepter physiquement le trafic.

ŹV -
la source