数据包在完全交换networking上嗅探密码真的是一个问题吗?

我pipe理许多需要用户telnet访问的linux服务器。 目前,用户的凭证存储在每台服务器的本地,密码往往非常薄弱,不需要更改。 login很快就会与Active Directory整合在一起,这是一个更严密的保护标识。

考虑到我们有一个完全交换的networking,所以任何黑客都需要在用户的计算机和服务器之间进行物理插入,是否真的担心用户的密码会从局域网中被嗅探到?

这是一个合理的关注,因为有一些工具可以完成ARP中毒 (欺骗),让你说服电脑,你是网关。 一个例子和相对容易使用的工具将是自动化整个过程的ettercap 。 它会说服他们的计算机,你是网关,嗅探stream量,它也将转发数据包,所以除非有一个IDS运行整个过程可能是透明的和未被发现的。

由于这些工具对小孩有用,这是一个相当大的威胁。 即使系统本身并不重要,人们可以重复使用密码,并可能将密码暴露给更重要的事情。

交换networking只能使嗅探更加不方便,不困难或困难。

是的,但这不仅仅是因为你使用了Telnet和弱密码,这是因为你对安全的态度。

良好的安全性层出不穷。 你不应该认为,因为你有一个好的防火墙,你的内部安全可能会很弱。 你应该假设在某个时间点,你的防火墙会被攻破,工作站将会有病毒,并且你的交换机将被劫持。 可能全部在同一时间。 你应该确保重要的事情有很好的密码,不太重要的事情也可以。 对于networkingstream量,您还应该使用强大的encryptionfunction。 设置起来很简单,而在OpenSSH的情况下,使用公钥可以让你的生活更轻松

然后,你也必须警惕员工。 确保每个人都不使用相同的帐户的任何给定的function。 当别人被解雇了,你需要改变所有的密码的时候,这对所有人来说都是一种痛苦。 您还必须确保他们不会受到通过教育进行的networking钓鱼攻击(告诉他们,如果曾经要求他们input密码,那是因为您刚刚被解雇,而且您再也无法访问了!任何人都没有更多的理由要求),以及按照账户划分访问权限。

由于这对你来说似乎是一个新的概念,所以你可以拿起一本关于networking/系统安全的书。 “系统与networkingpipe理实践”第7章稍微讨论了这个问题,就像“基本系统pipe理”一样,这两者我都推荐阅读。 也有整本书专门针对这个问题。

是的,这是一个大问题,就像一些简单的ARP中毒一样,你可以正常地嗅探局域网,而不需要身处正确的交换机端口,就像在老式的中心时代一样 – 这也很容易做到。

你比在外面更容易被黑客攻击。

在互联网上广泛使用各种预制脚本/工具(ettercap在另一个答案中提到),ARP欺骗是微不足道的,只需要你在同一个广播域。 除非你的每个用户都在自己的VLAN上,否则你很容易受到这个影响。

鉴于如何广泛的SSH是真的没有理由使用telnet。 OpenSSH是免费的,可用于几乎所有* nix风格的操作系统。 它内置于我曾经使用过的所有发行版,并且pipe理已经达到了交钥匙状态。

对login和身份validation过程的任何部分使用纯文本都是很麻烦的。 您不需要大量的能力来收集用户密码。 正如你打算在将来转向AD时,我假设你正在为其他系统做一些中央authentication。 你真的希望你所有的系统都敞开怀疑吗?

AD现在可以移动,并花时间设置ssh。 然后重新访问AD,当你这样做的时候请使用ldaps。

当然,现在你已经有了一个交换networking……但是事情改变了。 很快有人会需要WiFi。 那你打算怎么办?

如果你的一个值得信赖的员工想要窥探另一个员工,会发生什么? 还是他们的老板?

我同意所有现有的意见。 我想补充一点,如果你想这样做,而且没有其他可以接受的解决办法,那么你可以尽可能地保护它。 使用具有端口安全和IP Source Guard等function的现代Cisco交换机,可以减轻arp欺骗/中毒攻击的威胁。 这在networking中造成了更多的复杂性以及更多的开关开销,所以这不是一个理想的解决scheme。 显然,最好的办法是encryption任何敏感的东西,这样任何嗅探的数据包对攻击者都是无用的。

也就是说,即使仅仅因为它们降低了networking的性能,也能够find一个arp中毒者。 像Arpwatch这样的工具可以帮助你。

交换networking只能抵御航路上的攻击,而且如果networking容易受到ARP欺骗的攻击,它只能做到最低限度。 数据包中未encryption的密码也容易在端点嗅探。

例如,使用支持telnet的linux shell服务器。 不知何故,它会受到损害,坏人有根。 该服务器现在是0wn3d,但如果他们想引导到networking上的其他服务器,他们需要做更多的工作。 而不是深入破解密码文件,他们打开tcpdump十五分钟,并抓住任何启动的telnet会话的密码在那段时间。 由于密码重用,这可能会使攻击者模仿其他系统上的合法用户。 或者,如果linux服务器使用LDAP,NIS ++或WinBind / AD等外部身份validation程序,那么即使深入破解passwd文件也不会太多,所以这是以更便宜的方式获取密码的好方法。

将“telnet”更改为“ftp”,并具有相同的问题。 即使在有效防范ARP欺骗/中毒的交换networking中,上述情况仍然可以使用未encryption的密码。

甚至超出了ARP中毒的话题,任何合理的IDS都可以检测到,并有望得到预防。 (以及旨在防止它的大量工具)。 STP根angular色劫持,入侵路由器,源路由信息欺骗,VTP / ISL平移,列表继续,无论如何 – 有NUMEROUS技术MITMnetworking没有物理拦截stream量。