Le reniflage de paquets pour les mots de passe sur un réseau entièrement commuté est-il vraiment une préoccupation?

J'administre un certain nombre de serveurs Linux qui nécessitent un accès Telnet pour les utilisateurs. Actuellement, les informations d'identification de l'utilisateur sont stockées localement sur chaque serveur et les mots de passe ont tendance à être très faibles et il n'est pas nécessaire de les modifier. Les connexions seront bientôt intégrées à Active Directory et il s'agit d'une identité plus étroitement surveillée.

Est-ce vraiment une préoccupation que le mot de passe de l'utilisateur puisse être reniflé du LAN étant donné que nous avons un réseau entièrement commuté, de sorte que tout pirate informatique devrait s'insérer physiquement entre l'ordinateur de l'utilisateur et le serveur?

C'est une préoccupation raisonnable car il existe des outils qui permettent d' empoisonner les arp (usurpation d'identité) et qui vous permettent de convaincre les ordinateurs que vous êtes la passerelle. Un exemple et un outil relativement facile à utiliser serait ettercap qui automatise l'ensemble du processus. Il convaincra son ordinateur que vous êtes la passerelle et renifle le trafic, il transmettra également les paquets, donc à moins qu'il n'y ait un IDS exécutant, le processus entier pourrait être transparent et non détecté.

Étant donné que ces outils sont disponibles pour les enfants, il s'agit d'une menace assez importante. Même si les systèmes eux-mêmes ne sont pas si importants, les gens réutilisent les mots de passe et peuvent exposer les mots de passe à des choses plus importantes.

Les réseaux commutés ne font que renifler plus gênant, ni dur ni difficile.

Oui, mais ce n'est pas seulement à cause de votre utilisation de Telnet et de vos mots de passe faibles, c'est à cause de votre attitude envers la sécurité.

Une bonne sécurité se présente par couches. Vous ne devez pas supposer que, comme vous disposez d'un bon pare-feu, votre sécurité interne peut être faible. Vous devez supposer qu'à un moment donné, votre pare-feu sera compromis, les postes de travail auront des virus et votre commutateur sera piraté. Peut-être tout en même temps. Vous devez vous assurer que les choses importantes ont de bons mots de passe, et les choses moins importantes aussi. Vous devez également utiliser un cryptage fort lorsque cela est possible pour le trafic réseau. Il est simple à configurer et, dans le cas d'OpenSSH, vous facilite la vie avec l'utilisation de clés publiques.

Et puis, il faut aussi faire attention aux employés. Assurez-vous que tout le monde n'utilise pas le même compte pour une fonction donnée. Cela fait mal à tout le monde lorsque quelqu'un est renvoyé et que vous devez changer tous les mots de passe. Vous devez également vous assurer qu'ils ne soient pas victimes d' attaques de phishing par le biais de l'éducation (dites-leur que si vous leur avez déjà demandé leur mot de passe, ce serait parce que vous venez d'être viré et que vous n'y avez plus accès! N'importe qui d'autre a encore moins de raisons de demander.), Ainsi que la segmentation de l'accès par compte.

Comme cela semble être un nouveau concept pour vous, c'est probablement une bonne idée pour vous de prendre un livre sur la sécurité des réseaux / systèmes. Le chapitre 7 de "La pratique de l'administration système et réseau" couvre un peu ce sujet, tout comme "l'administration des systèmes essentiels", que je recommande quand même de lire . Il existe également des livres entiers dédiés au sujet.

Oui, c'est une grande préoccupation car avec un simple empoisonnement ARP, vous pouvez normalement renifler le LAN sans être physiquement au bon port de commutateur, tout comme dans les bons vieux jours de concentrateur - et c'est très facile à faire aussi.

Vous êtes plus susceptible d'être piraté de l'intérieur que de l'extérieur.

L'usurpation ARP est triviale avec les divers scripts / outils préconstruits largement disponibles sur Internet (ettercap a été mentionné dans une autre réponse), et nécessite seulement que vous soyez sur le même domaine de diffusion. À moins que chacun de vos utilisateurs ne possède son propre VLAN, vous êtes vulnérable à cela.

Étant donné l'étendue de la SSH, il n'y a vraiment aucune raison d'utiliser telnet. OpenSSH est gratuit et disponible pour pratiquement tous les systèmes d'exploitation de type * nix. Il est intégré à toutes les distributions que j'ai jamais utilisées et l'administration a atteint le statut clé en main.

L'utilisation de texte brut pour n'importe quelle partie du processus de connexion et d'authentification pose problème. Vous n'avez pas besoin de beaucoup de capacité pour rassembler les mots de passe des utilisateurs. Comme vous envisagez de passer à AD à l'avenir, je suppose que vous effectuez également une sorte d'authentification centrale pour d'autres systèmes. Voulez-vous vraiment que tous vos systèmes soient largement ouverts à un employé qui en veut?

L'AD peut-il se déplacer pour l'instant et passer votre temps à configurer ssh. Ensuite, revenez sur AD et veuillez utiliser ldaps lorsque vous le faites.

Bien sûr, vous avez maintenant un réseau commuté ... Mais les choses changent. Et bientôt, quelqu'un voudra le WiFi. Alors qu'est-ce que tu vas faire?

Et que se passe-t-il si l'un de vos employés de confiance veut espionner un autre employé? Ou leur patron?

Je suis d'accord avec tous les commentaires existants. Je voulais cependant ajouter que si vous deviez procéder de cette façon, et qu'il n'y avait vraiment aucune autre solution acceptable, vous pouviez la sécuriser autant que possible. En utilisant des commutateurs Cisco modernes avec des fonctionnalités telles que la sécurité des ports et IP Source Guard, vous pouvez atténuer la menace d'attaques d'usurpation / empoisonnement d'arp. Cela crée plus de complexité dans le réseau ainsi que plus de surcharge pour les commutateurs, ce n'est donc pas une solution idéale. Évidemment, la meilleure chose à faire est de crypter tout ce qui est sensible afin que tout paquet reniflé soit inutile pour un attaquant.

Cela dit, il est souvent agréable de pouvoir trouver un poison arp même si c'est simplement parce qu'ils dégradent les performances de votre réseau. Des outils comme Arpwatch peuvent vous y aider.

Les réseaux commutés ne se défendent que contre les attaques en route, et si le réseau est vulnérable à l'usurpation ARP, il ne le fait que de manière minimale. Les mots de passe non chiffrés dans les paquets sont également vulnérables au reniflement aux points de terminaison.

Par exemple, prenez un serveur shell Linux compatible Telnet. D'une certaine manière, cela est compromis et les mauvaises personnes ont des racines. Ce serveur est maintenant 0wn3d, mais s'ils veulent démarrer sur d'autres serveurs de votre réseau, ils devront faire un peu plus de travail. Plutôt que de pirater le fichier passwd, ils activent tcpdump pendant quinze minutes et récupèrent les mots de passe pour toute session telnet lancée pendant cette période. En raison de la réutilisation des mots de passe, cela permettra probablement aux attaquants d'émuler des utilisateurs légitimes sur d'autres systèmes. Ou si le serveur linux utilise un authentificateur externe comme LDAP, NIS ++ ou WinBind / AD, même une fissuration profonde du fichier passwd ne les obtiendrait pas beaucoup, c'est donc une bien meilleure façon d'obtenir des mots de passe à moindre coût.

Remplacez «telnet» par «ftp» et vous rencontrez le même problème. Même sur les réseaux commutés qui se défendent efficacement contre l'usurpation d'identité / empoisonnement ARP, le scénario ci-dessus est toujours possible avec des mots de passe non chiffrés.

Même au-delà du sujet de l'intoxication ARP, que tout IDS raisonnablement bon peut détecter et empêchera, espérons-le. (Ainsi qu'une pléthore d'outils destinés à l'empêcher). Détournement de rôle racine STP, intrusion dans le routeur, usurpation d'informations de routage source, panoramique VTP / ISL, la liste continue, dans tous les cas - il existe de NOMBREUSES techniques pour MITMER un réseau sans intercepter physiquement le trafic.