完全にスイッチされたネットワークでのパスワードのパケットスニッフィングは本当に心配ですか？

ユーザーのtelnetアクセスを必要とする多くのLinuxサーバーを管理しています。現在、ユーザーの資格情報は各サーバーにローカルに保存されており、パスワードは非常に弱い傾向があり、パスワードを変更する必要はありません。ログオンは間もなくActive Directoryと統合され、これはより厳密に保護されたIDです。

ネットワークが完全に切り替えられているため、ハッカーがユーザーのコンピューターとサーバーの間に物理的に自分自身を挿入する必要があるため、ユーザーのパスワードがLANから盗聴されるのは本当に心配ですか？

arpポイズニング（スプーフィング）を実行するツールがあり、コンピューターが自分がゲートウェイであることを確信させることができるため、これは合理的な懸念事項です。例であり、比較的使いやすいツールは、プロセス全体を自動化するettercapです。あなたのゲートウェイであるとコンピュータに確信させ、トラフィックを盗聴します。また、プロセス全体を実行するIDSがない限り、パケットを転送するため、透過的で検出されない可能性があります。

これらのツールは子供が利用できるため、かなり大きな脅威です。システム自体がそれほど重要ではない場合でも、ユーザーはパスワードを再利用し、パスワードをより重要なものにさらす可能性があります。

ネットワークの切り替えは、スニッフィングをより不便にするだけで、難しくも難しくもしません。

はい。ただし、Telnetの使用と弱いパスワードだけでなく、セキュリティに対する態度も理由です。

優れたセキュリティは階層化されています。優れたファイアウォールがあるため、内部セキュリティが脆弱であると想定しないでください。ある時点で、ファイアウォールが危険にさらされ、ワー​​クステーションがウイルスに感染し、スイッチがハイジャックされると想定する必要があります。おそらくすべて同時に。重要なものには適切なパスワードを使用し、重要性の低いものにもパスワードを使用するようにしてください。また、ネットワークトラフィックに可能な限り強力な暗号化を使用する必要があります。設定は簡単で、OpenSSHの場合、公開鍵を使用することで作業が楽になります。

また、従業員にも注意する必要があります。特定の機能で全員が同じアカウントを使用していないことを確認してください。これにより、誰かが解雇され、すべてのパスワードを変更する必要がある場合、他のすべての人にとって苦痛になります。あなたはまた、彼らが犠牲に該当しないことを確認する必要があり、フィッシング教育（あればということを伝えて攻撃あなたは今まで自分のパスワードを求めましたあなただけの解雇得ているので、それは次のようになり、あなたはもうアクセスできません！他の人には尋ねる理由がさらに少なくなります。）、アカウントごとにアクセスをセグメント化します。

これはあなたにとって新しい概念のように思えるので、おそらくネットワーク/システムのセキュリティに関する本を手に入れるのは良い考えです。「システムおよびネットワーク管理の実践」の第7章では、このトピックについて少し説明しています。「エッセンシャルシステム管理」についても同様です。また、主題に捧げられた本全体があります。

はい、単純なARPポイズニングでは、古き良きハブ時代のように、物理的に正しいスイッチポートにいなくてもLANをスニッフィングできるので、それは大きな懸念事項です。そして、それも非常に簡単です。

外部よりも内部からハッキングされる可能性が高くなります。

ARPスプーフィングは、インターネット上で広く利用可能なさまざまな構築済みのスクリプト/ツールとは簡単であり（ettercapは別の回答で言及されています）、同じブロードキャストドメインにいることだけが必要です。各ユーザーが独自のVLANを使用している場合を除き、これに対して脆弱です。

SSHが広く普及していることを考えると、実際にtelnetを使用する理由はありません。OpenSSHは無料で、事実上すべての* nixスタイルのOSで利用できます。これまでに使用したすべてのディストリビューションに組み込まれており、管理はターンキーステータスに達しました。

ログインおよび認証プロセスの任意の部分にプレーンテキストを使用すると、トラブルが発生します。ユーザーのパスワードを収集するための大きな能力は必要ありません。将来ADに移行することを計画しているので、他のシステムでも何らかの中央認証を行っていると思います。reallyみを持つ従業員に対してすべてのシステムを広く開放したいのですか？

ADは今のところ動き、sshのセットアップに時間を費やすことができますか。その後、ADに再アクセスし、LDAPを使用してください。

確かに、あなたはスイッチドネットワークを手に入れました。そしてすぐに誰かがWiFiを欲するようになるでしょう。それから、あなたは何をするつもりですか？

そして、信頼できる従業員の1人が別の従業員を覗き見したい場合はどうなりますか？それとも上司？

既存のすべてのコメントに同意します。ただし、この方法で実行する必要があり、他に受け入れられるソリューションが実際になかった場合は、できる限りセキュリティを確保できることを付け加えました。ポートセキュリティやIPソースガードなどの機能を備えた最新のCiscoスイッチを使用すると、ARPスプーフィング/ポイズニング攻撃の脅威を軽減できます。これにより、ネットワークの複雑さとスイッチのオーバーヘッドが増加するため、理想的なソリューションではありません。明らかに、最善の方法は機密性の高いものをすべて暗号化し、スニッフィングされたパケットが攻撃者に役に立たないようにすることです。

とはいえ、単にネットワークのパフォーマンスを低下させるからといって、arp poisonerを見つけることができると便利です。Arpwatchなどのツールがこれを支援します。

スイッチドネットワークは、途中での攻撃に対してのみ防御し、ネットワークがARPスプーフィングに対して脆弱な場合、最小限の防御しか行いません。パケット内の暗号化されていないパスワードも、エンドポイントでのスニッフィングに対して脆弱です。

たとえば、Telnet対応のLinuxシェルサーバーを取り上げます。どういうわけか、それは危険にさらされ、悪い人たちは根を張ります。そのサーバーは0wn3dになりましたが、ネットワーク上の他のサーバーにブートストラップする場合は、もう少し作業が必要になります。passwdファイルを深くクラックするのではなく、tcpdumpを15分間オンにして、その間に開始されたtelnetセッションのパスワードを取得します。パスワードの再利用により、攻撃者が他のシステムの正当なユーザーをエミュレートできるようになる可能性があります。または、LinuxサーバーがLDAP、NIS ++、またはWinBind / ADのような外部認証システムを使用している場合、passwdファイルを深くクラックしてもそれらはあまり取得されないので、これはパスワードを安く取得するはるかに良い方法です。

「telnet」を「ftp」に変更すると、同じ問題が発生します。ARPスプーフィング/ポイズニングを効果的に防御するスイッチドネットワーク上であっても、暗号化されていないパスワードでも上記のシナリオは可能です。

ARP中毒のトピックを超えて、合理的に優れたIDSが検出し、できれば防ぐことができます。（それを防ぐためのツールも多数あります）。STPルートロールのハイジャック、ルーターへの侵入、ソースルーティング情報のスプーフィング、VTP / ISLパニング、リストの継続