¿La detección de paquetes para contraseñas en una red totalmente conmutada es realmente una preocupación?

Administro varios servidores Linux que requieren acceso telnet para los usuarios. Actualmente, las credenciales del usuario se almacenan localmente en cada servidor y las contraseñas tienden a ser muy débiles y no es necesario cambiarlas. Los inicios de sesión pronto se integrarán con Active Directory y esta es una identidad más estrechamente protegida.

¿Es realmente preocupante que la contraseña del usuario se pueda rastrear desde la LAN dado que tenemos una red totalmente conmutada, por lo que cualquier hacker necesitaría insertarse físicamente entre la computadora del usuario y el servidor?

Es una preocupación razonable ya que existen herramientas que logran envenenamiento por arp (suplantación de identidad) que le permiten convencer a las computadoras de que usted es la puerta de entrada. Un ejemplo y una herramienta relativamente fácil de usar sería ettercap que automatiza todo el proceso. Convencerá a su computadora de que usted es la puerta de enlace y detectará el tráfico, también reenviará paquetes, por lo que a menos que haya un IDS ejecutándose, todo el proceso podría ser transparente y no detectado.

Dado que estas herramientas están disponibles para los niños , es una amenaza bastante grande. Incluso si los sistemas en sí mismos no son tan importantes, las personas reutilizan las contraseñas y pueden exponerlas a cosas más importantes.

Las redes conmutadas solo hacen que el rastreo sea más incómodo, no difícil o difícil.

Sí, pero no es solo por su uso de Telnet y sus contraseñas débiles, es por su actitud hacia la seguridad.

La buena seguridad viene en capas. No debe suponer que debido a que tiene un buen firewall, su seguridad interna puede ser débil. Debe suponer que, en algún momento, su firewall se verá comprometido, las estaciones de trabajo tendrán virus y su interruptor será secuestrado. Posiblemente todo al mismo tiempo. Debes asegurarte de que las cosas importantes tengan buenas contraseñas, y las cosas menos importantes también. También debe utilizar un cifrado seguro cuando sea posible para el tráfico de red. Es fácil de configurar, y en el caso de OpenSSH, hace la vida más fácil con el uso de claves públicas.

Y luego, también debes tener cuidado con los empleados. Asegúrese de que todos no usen la misma cuenta para ninguna función determinada. Esto hace que sea difícil para todos los demás cuando alguien es despedido y usted necesita cambiar todas las contraseñas. También tiene que asegurarse de que no son víctimas de phishing ataques a través de la educación (diles que si se les preguntó nunca por su contraseña, que sería, ya que sólo hemos conseguido despedido y usted no tiene acceso más! Cualquier otra persona tiene incluso menos razones para preguntar), así como para segmentar el acceso por cuenta.

Dado que este parece ser un concepto nuevo para usted, probablemente sea una buena idea que elija un libro sobre seguridad de redes / sistemas. El Capítulo 7 de "La práctica de la administración de sistemas y redes" cubre un poco este tema, al igual que "Administración de sistemas esenciales", los cuales recomiendo leer de todos modos . También hay libros enteros dedicados al tema.

Sí, es una gran preocupación, ya que con una simple intoxicación por ARP, normalmente puede oler la LAN sin estar físicamente en el puerto del conmutador correcto, al igual que en los viejos tiempos del hub, y también es muy fácil de hacer.

Es más probable que te hackeen desde adentro que desde afuera.

La falsificación de ARP es trivial con los diversos scripts / herramientas precompilados ampliamente disponibles en Internet (ettercap se mencionó en otra respuesta), y solo requiere que esté en el mismo dominio de transmisión. A menos que cada uno de sus usuarios esté en su propia VLAN, usted es vulnerable a esto.

Dado lo extenso que es SSH, realmente no hay razón para usar telnet. OpenSSH es gratuito y está disponible para prácticamente todos los SO * nix-style que existen. Está integrado en todas las distribuciones que he usado, y la administración ha alcanzado el estado llave en mano.

El uso de texto sin formato para cualquier parte del proceso de inicio de sesión y autenticación es un problema. No necesita mucha capacidad para recopilar contraseñas de usuario. Como planea mudarse a AD en el futuro, supongo que también está haciendo algún tipo de autenticación central para otros sistemas. ¿Realmente desea que todos sus sistemas estén abiertos a un empleado que le guarda rencor?

¿Puede el AD moverse por ahora y pasar su tiempo configurando ssh? Luego, vuelva a visitar AD y utilice ldaps cuando lo haga.

Claro, ahora tienes una red conmutada ... Pero las cosas cambian. Y pronto alguien querrá WiFi. Entonces, ¿qué vas a hacer?

¿Y qué sucede si uno de sus empleados de confianza quiere espiar a otro empleado? O su jefe?

Estoy de acuerdo con todos los comentarios existentes. Sin embargo, quería agregar que si TENÍA que correr de esta manera, y realmente no había otra solución aceptable, podría asegurarlo tanto como pueda. Con los modernos conmutadores Cisco con características como la seguridad de puertos y la protección de fuente IP, puede mitigar la amenaza de ataques de suplantación / envenenamiento de arp. Esto crea más complejidad en la red, así como más sobrecarga para los conmutadores, por lo que no es una solución ideal. Obviamente, lo mejor que puede hacer es encriptar cualquier cosa sensible para que cualquier paquete inhalado sea inútil para un atacante.

Dicho esto, a menudo es bueno poder encontrar un envenenador de arp, incluso si simplemente degradan el rendimiento de su red. Herramientas como Arpwatch pueden ayudarte con esto.

Las redes conmutadas solo se defienden contra los ataques en ruta, y si la red es vulnerable a la falsificación de ARP, lo hace solo mínimamente. Las contraseñas sin cifrar en los paquetes también son vulnerables a la detección en los puntos finales.

Por ejemplo, tome un servidor de shell de Linux habilitado para telnet. De alguna manera, se compromete y las personas malas tienen raíces. Ese servidor ahora es 0wn3d, pero si quieren arrancar a otros servidores en su red deberán hacer un poco más de trabajo. En lugar de descifrar el archivo passwd, encienden tcpdump durante quince minutos y toman las contraseñas de cualquier sesión de telnet iniciada durante ese tiempo. Debido a la reutilización de la contraseña, esto probablemente permitirá a los atacantes emular a usuarios legítimos en otros sistemas. O si el servidor Linux está utilizando un autenticador externo como LDAP, NIS ++ o WinBind / AD, incluso el craqueo profundo del archivo passwd no les proporcionaría mucho, por lo que esta es una forma mucho mejor de obtener contraseñas a bajo precio.

Cambie 'telnet' a 'ftp' y tendrá el mismo problema. Incluso en redes conmutadas que efectivamente defienden contra la falsificación / envenenamiento de ARP, el escenario anterior todavía es posible con contraseñas sin cifrar.

Incluso más allá del tema de Intoxicación por ARP, que cualquier IDS razonablemente bueno puede detectar y detectará y, con suerte, evitará. (Además de una gran cantidad de herramientas destinadas a prevenirlo). Secuestro de roles de raíz STP, Intrusión en el enrutador, suplantación de información de enrutamiento de origen, panorámica VTP / ISL, la lista continúa, en cualquier caso: existen MUCHAS técnicas para MITM una red sin interceptar físicamente el tráfico.