क्या पूरी तरह से स्विच किए गए नेटवर्क पर पासवर्ड के लिए पैकेट सूँघना वास्तव में एक चिंता का विषय है?

मैं ऐसे कई लिनक्स सर्वरों का प्रबंधन करता हूं जिनके लिए उपयोगकर्ताओं के लिए टेलनेट एक्सेस की आवश्यकता होती है। वर्तमान में उपयोगकर्ता के क्रेडेंशियल्स प्रत्येक सर्वर पर स्थानीय रूप से संग्रहीत होते हैं और पासवर्ड बहुत कमजोर होते हैं और उन्हें बदलने की कोई आवश्यकता नहीं होती है। लॉगऑन को जल्द ही सक्रिय निर्देशिका के साथ एकीकृत किया जाएगा और यह एक अधिक बारीकी से पहरा है।

क्या यह वास्तव में एक चिंता है कि उपयोगकर्ता के पासवर्ड को दिए गए LAN से सूँघा जा सकता है कि हमारे पास पूरी तरह से स्विच किया गया नेटवर्क है इसलिए किसी भी हैकर को उपयोगकर्ता के कंप्यूटर और सर्वर के बीच शारीरिक रूप से सम्मिलित होने की आवश्यकता होगी?

यह एक उचित चिंता है क्योंकि ऐसे उपकरण हैं जो आरपी पॉइज़निंग (स्पूफिंग) को पूरा करते हैं जो आपको कंप्यूटर को समझाने की अनुमति देते हैं कि आप प्रवेश द्वार हैं। एक उदाहरण और उपकरण का उपयोग करने के लिए अपेक्षाकृत आसान है पूरी प्रक्रिया को स्वचालित बनाने वाला ettercap होगा । यह उनके कंप्यूटर को आश्वस्त करेगा कि आप गेटवे हैं और ट्रैफ़िक को सूँघते हैं, यह पैकेट को भी आगे बढ़ाएगा, जब तक कि एक आईडी नहीं है , पूरी प्रक्रिया को पारदर्शी और पूर्ववत किया जा सकता है।

चूंकि ये उपकरण किडियों के लिए उपलब्ध हैं इसलिए यह एक बड़ा खतरा है। यहां तक ​​कि अगर सिस्टम खुद महत्वपूर्ण नहीं हैं, तो लोग पासवर्ड का पुन: उपयोग करते हैं और अधिक महत्वपूर्ण चीजों के लिए पासवर्ड को उजागर कर सकते हैं।

स्विच्ड नेटवर्क केवल अधिक असुविधाजनक सूँघता है, कठिन या कठिन नहीं।

हां, लेकिन यह टेलनेट के आपके उपयोग और आपके कमजोर पासवर्ड के कारण नहीं है, यह सुरक्षा के प्रति आपके रवैये के कारण है।

परतों में अच्छी सुरक्षा आती है। आपको यह नहीं मानना ​​चाहिए कि क्योंकि आपके पास एक अच्छा फ़ायरवॉल है, तो आपकी आंतरिक सुरक्षा कमजोर हो सकती है। आपको यह मान लेना चाहिए कि किसी समय में, आपके फ़ायरवॉल से छेड़छाड़ की जाएगी, कार्यस्थानों में वायरस होंगे, और आपका स्विच हाईजैक हो जाएगा। संभवतः सभी एक ही समय में। आपको यह सुनिश्चित करना चाहिए कि महत्वपूर्ण चीजों में अच्छे पासवर्ड हैं, और कम महत्वपूर्ण चीजें भी हैं। नेटवर्क ट्रैफ़िक के लिए आपको मजबूत एन्क्रिप्शन का उपयोग करना चाहिए। इसे स्थापित करना सरल है, और ओपनएसएसएच के मामले में, सार्वजनिक कुंजी के उपयोग से आपका जीवन आसान हो जाता है।

और फिर, आपको कर्मचारियों के लिए भी देखना होगा। किसी भी फ़ंक्शन के लिए एक ही खाते का उपयोग नहीं करना सुनिश्चित करें। यह किसी और को निकाल दिए जाने पर सभी के लिए एक दर्द बना देता है और आपको सभी पासवर्ड बदलने की आवश्यकता होती है। आपको यह भी सुनिश्चित करना होगा कि वे शिक्षा के माध्यम से फ़िशिंग हमलों का शिकार न हों (उन्हें बताएं कि अगर आपने कभी उनसे उनका पासवर्ड पूछा है, तो ऐसा इसलिए होगा क्योंकि आपने अभी-अभी फायर किया है और आपके पास अब एक्सेस नहीं है! किसी और के पास भी पूछने का कम कारण है।), साथ ही प्रति-खाता आधार पर सेगमेंटिंग एक्सेस।

चूंकि यह आपके लिए एक नई अवधारणा प्रतीत होती है, इसलिए संभवतः आपके लिए नेटवर्क / सिस्टम सुरक्षा पर पुस्तक चुनना एक अच्छा विचार है। "द प्रेक्टिस ऑफ़ सिस्टम एंड नेटवर्क एडमिनिस्ट्रेशन" का अध्याय 7 इस विषय को थोड़ा कवर करता है, जैसा कि "आवश्यक सिस्टम एडमिनिस्ट्रेशन" करता है, दोनों मैं वैसे भी सलाह देते हैं । विषय को समर्पित पूरी किताबें भी हैं।

हाँ यह एक बड़ी चिंता की बात है कि कुछ सरल एआरपी विषाक्तता के साथ आप सामान्य रूप से सही स्विच पोर्ट पर शारीरिक रूप से बिना लैन को सूँघ सकते हैं, जैसे कि पुराने पुराने हब के दिनों में - और यह करना बहुत आसान है।

आपको अंदर से बाहर की तुलना में हैक होने की अधिक संभावना है।

एआरपी स्पूफिंग इंटरनेट पर व्यापक रूप से उपलब्ध विभिन्न प्रीबिल्ट स्क्रिप्ट / टूल के साथ तुच्छ है (ettercap का एक अन्य उत्तर में उल्लेख किया गया था), और केवल उसी प्रसारण डोमेन पर आपके लिए आवश्यक है। जब तक आपके प्रत्येक उपयोगकर्ता अपने स्वयं के वीएलएएन पर नहीं होते हैं, तब तक आप इसके लिए कमजोर होते हैं।

यह देखते हुए कि SSH कैसे व्यापक रूप से फैला हुआ है, टेलनेट का उपयोग करने का वास्तव में कोई कारण नहीं है। ओपनएसएसएच लगभग मुफ्त है और लगभग हर * निक्स-शैली ओएस के लिए उपलब्ध है। यह मेरे द्वारा उपयोग किए गए सभी डिस्ट्रोस पर अंतर्निहित है, और प्रशासन टर्नकी स्थिति तक पहुंच गया है।

लॉगिन और प्रमाणीकरण प्रक्रिया के किसी भी हिस्से के लिए सादे पाठ का उपयोग करना परेशानी के लिए पूछ रहा है। उपयोगकर्ता पासवर्ड इकट्ठा करने के लिए आपको बहुत अधिक क्षमता की आवश्यकता नहीं है। जैसा कि आप भविष्य में AD में जाने की योजना बना रहे हैं, मुझे लगता है कि आप अन्य प्रणालियों के लिए भी कुछ केंद्रीय प्रमाणीकरण कर रहे हैं। क्या तुम सच में चाहते हैं कि आपके सभी सिस्टम एक कर्मचारी के लिए व्यापक रूप से खुले हों?

क्या AD अब आगे बढ़ सकता है और अपना समय ssh सेट करने में व्यतीत कर सकता है। फिर AD पर फिर से जाएँ और जब भी आप करें ldaps का उपयोग करें।

ज़रूर, अब आपको एक स्विचड नेटवर्क मिल गया है ... लेकिन चीजें बदल जाती हैं। और जल्द ही कोई वाईफाई चाहता है। फिर आप क्या करने जा रहे हैं?

और अगर आपका कोई भरोसेमंद कर्मचारी किसी दूसरे कर्मचारी पर झपटना चाहता है तो क्या होगा? या उनका बॉस?

मैं सभी मौजूदा टिप्पणियों से सहमत हूं। मैं हालांकि यह जोड़ना चाहता था कि यदि आप इस तरह से दौड़ते हैं, और वास्तव में कोई अन्य स्वीकार्य समाधान नहीं है, तो आप इसे जितना संभव हो उतना सुरक्षित कर सकते हैं। पोर्ट सिक्योरिटी और आईपी सोर्स गार्ड जैसी सुविधाओं के साथ आधुनिक सिस्को स्विच का उपयोग करके, आप arp स्पूफिंग / विषाक्तता के हमलों के खतरे को कम कर सकते हैं। यह स्विच के लिए नेटवर्क के साथ-साथ अधिक ओवरहेड में अधिक जटिलता पैदा करता है, इसलिए यह एक आदर्श समाधान नहीं है। जाहिर है सबसे अच्छी बात यह है कि किसी भी चीज़ को संवेदनशील बनाना एन्क्रिप्ट है ताकि किसी भी सूंघने वाले पैकेट एक हमलावर के लिए बेकार हो।

उस ने कहा, यह अक्सर अच्छा लगता है कि यहां तक ​​कि अगर वे आपके नेटवर्क के प्रदर्शन को नीचा दिखाते हैं, तो भी एक जहरीला जहर खोजने में सक्षम हैं। अर्पोच जैसे उपकरण इसमें आपकी मदद कर सकते हैं।

स्विच किए गए नेटवर्क केवल एन-रूट हमलों के खिलाफ की रक्षा करते हैं, और यदि नेटवर्क एआरपी को खराब करने के लिए कमजोर है, तो यह केवल न्यूनतम रूप से ऐसा करता है। पैकेट में अनएन्क्रिप्टेड पासवर्ड भी एंड-पॉइंट्स पर सूँघने के लिए असुरक्षित हैं।

उदाहरण के लिए, एक टेलनेट-सक्षम लिनक्स शेल-सर्वर लें। किसी तरह, यह समझौता हो जाता है और बुरे लोग जड़ हो जाते हैं। वह सर्वर अब 0wn3d है, लेकिन यदि वे आपके नेटवर्क पर अन्य सर्वर को बूटस्ट्रैप करना चाहते हैं, तो उन्हें थोड़ा और काम करने की आवश्यकता होगी। पासवार्ड फ़ाइल को डीप-क्रैक करने के बजाय, वे पंद्रह मिनट के लिए tcpdump को चालू करते हैं और उस दौरान किसी भी आरंभ किए गए टेलनेट सत्र के पासवर्ड को पकड़ लेते हैं। पासवर्ड के पुन: उपयोग के कारण, यह हमलावरों को अन्य प्रणालियों पर वैध उपयोगकर्ताओं का अनुकरण करने की अनुमति देगा। या अगर linux सर्वर LDAP, NIS ++, या WinBind / AD जैसे किसी बाहरी प्रमाणक का उपयोग कर रहा है, तो भी पासवार्ड फाइल को डीप क्रैक करने से उन्हें ज्यादा फायदा नहीं होगा इसलिए यह पासवर्ड को सस्ते में प्राप्त करने का एक बेहतर तरीका है।

'Telnet' को 'ftp' में बदलें और आपके पास एक ही मुद्दा है। यहां तक ​​कि स्विच किए गए नेटवर्क पर जो एआरपी स्पूफिंग / विषाक्तता से प्रभावी ढंग से बचाव करते हैं, उपरोक्त परिदृश्य अभी भी अनएन्क्रिप्टेड पासवर्ड के साथ संभव है।

एआरपी पॉइज़निंग के विषय से परे, जो किसी भी कारण से अच्छी आईडीएस का पता लगा सकता है और उम्मीद कर सकता है। (के रूप में अच्छी तरह से इसे रोकने के लिए इरादा उपकरणों की अधिकता)। एसटीपी रूट रोल हाईजैकिंग, राउटर में ब्रेकिंग, सोर्स-रूटिंग जानकारी स्पूफिंग, वीटीपी / आईएसएल पैनिंग, लिस्ट आगे बढ़ती है, किसी भी स्थिति में - शारीरिक रूप से यातायात बाधित किए बिना एक नेटवर्क को MITM करने के लिए NUMEROUS तकनीकें हैं।