在完全交换的网络上对数据包进行嗅探是否真的需要担心？

27

我管理许多需要用户进行telnet访问的linux服务器。当前，用户的凭据存储在每台服务器的本地，并且密码通常非常弱，因此不需要更改它们。登录将很快与Active Directory集成在一起，这是一个受到更严格保护的身份。

考虑到我们拥有完全交换的网络，是否真的会担心从LAN嗅探用户的密码，因此任何黑客都需要在用户的计算机和服务器之间进行物理插入？

security password telnet

— 毫米波
source

由于您使用的是Linux，请尝试使用ettercap。这是一个教程：openmaniak.com/ettercap_arp.php

— Joseph Kern 2009年

-“需要telnet访问的linux服务器” 我没有看到过去5-10年左右缺少ssh的linux服务器...感觉就像我在这里丢失了某些东西...

— Johan

@Johan-从ssh出现之前，telnet已经访问了这些服务器上运行的应用程序已有几年了。该公司为访问这些应用程序的用户购买了一个telnet客户端。Telnet还用于访问HP-UX服务器上的应用程序和手机。因此，telnet根深蒂固，无论我怎么想，它都不会走开。FTP同样。

— mmcg

42

这是一个合理的问题，因为有一些工具可以完成arp中毒（欺骗），使您确信计算机是网关。一个例子，比较容易使用的工具是ettercap，自动化的全过程。它将使他们的计算机相信您是网关并嗅探流量，它还将转发数据包，因此，除非运行了IDS，否则整个过程可能是透明的且未被检测到。

由于这些工具可供儿童使用，因此这是一个相当大的威胁。即使系统本身不那么重要，人们也会重复使用密码，并且可能会将密码暴露给更重要的事物。

交换网络只会使嗅探更加不便，而不是困难或困难。

— 凯尔·勃兰特（Kyle Brandt）
source

3

我回答了您的特定问题，但是我建议您阅读Ernie的答案，其中涉及更广泛的安全性思考方法。

— 凯尔·布兰特

s /

— pose

grawity：我花费大约与我写每篇文章一样的时间来用firefox拼写检查纠正我的丑陋拼写：-)

— Kyle Brandt

4

+1您都可以填写交换机的mac表并将其变成集线器。显然，较大的交换机具有较大的表，因此很难填充。

— 大卫·帕什利

填充交换机的mac表会导致广播到目的地址未知（由于洪泛攻击）的单播数据包。VLAN仍然限制广播域，因此它更像每个VLAN的集线器。

— sh-beta

21

是的，但这不仅是因为您使用了Telnet和弱密码，还因为您对安全性的态度。

好的安全性是分层的。您不应该假设由于您拥有良好的防火墙，所以内部安全性可能很弱。您应该假设在某个时间点，您的防火墙将受到攻击，工作站将受到病毒感染，并且您的交换机将被劫持。可能同时所有。您应该确保重要的事情具有良好的密码，而次要的事情也具有良好的密码。您还应该在可能的情况下对网络流量使用强加密。设置很简单，对于OpenSSH，使用公钥可以使您的生活更轻松。

然后，您还必须提防员工。确保每个人在使用任何给定功能时都没有使用相同的帐户。当有人被解雇并且您需要更改所有密码时，这会使其他所有人感到痛苦。您还必须确保他们不会通过教育成为网络钓鱼攻击的受害者（告诉他们，如果您曾经要求他们提供密码，那是因为您刚刚被解雇了，而且您再也无法访问了！其他任何人都没有理由问。），以及按帐户划分访问权限。

因为这对您来说似乎是一个新概念，所以拿起有关网络/系统安全性的书对您来说可能是一个好主意。“系统和网络管理实践”的第7章以及“基本系统管理”也涵盖了该主题，无论如何我还是建议阅读两者。也有专门针对该主题的整本书。

— 厄尼
source

“好的安全性是分层的。” 说得很好，我想过要编辑我的帖子，使其具有类似这样的内容，但是表达得不是很好。

— 凯尔·布兰特

12

是的，这是一个很大的问题，因为某些简单的ARP中毒通常使您可以嗅探LAN而无需物理地位于正确的交换机端口，就像在过去的旧集线器时代一样，这也很容易做到。

— 奥斯卡·杜韦伯恩（Oskar Duveborn）
source

3

另外，请考虑在不安全或可疑的安全区域中有多少个网络端口。我过去的一位雇主在一个不受监视的，不安全的电梯大厅里打了六个。即使端口是安全的，也要考虑建筑物中还有谁—看门人，服务技术人员等—并记住，社会工程是绕过物理安全性的最简单方法之一。

— 卡特凯兹

“嗨，接待员！我来这里是要见约翰，但我还早了一点，我可以借一间免费会议室在笔记本电脑上处理一些电子邮件吗？真的吗？太棒了！”

— Oskar Duveborn

4

您更有可能是从内部而不是外部被黑客入侵。

ARP欺骗与Internet上广泛可用的各种预构建脚本/工具无关紧要（另一个答案中提到ettercap），并且仅要求您位于同一广播域中即可。除非每个用户都在各自的VLAN上，否则您很容易受到此攻击。

鉴于SSH的普及程度，实际上没有理由使用telnet。OpenSSH是免费的，几乎可用于所有* nix风格的操作系统。它内置于我曾经使用过的所有发行版中，并且管理已达到交钥匙状态。

— sh-beta
source

+1关于提及VLAN和广播域。

— 麦克斯韦

有点失控这里我的网络安全深度的......但我不知道的VLAN要么保护你作为一般规则：cisco.com/en/US/products/hw/switches/ps708/...

— 凯尔·勃兰特

+1表示没有其他人提及OpenSSH。

— 厄尼（Ernie），2009年

1

凯尔（Kyle）-那里的漏洞大多无关紧要。MAC泛洪攻击仍然受到广播域的限制，因此没有VLAN跳跃。与ARP攻击相同。每个人都将双重封装VLAN跳跃攻击称为VLAN不安全的原因，要求攻击者使用本地VLAN连接到中继端口。中继线绝对不应该首先具有本机VLAN ...

— sh-beta，2009年

1

在登录和身份验证过程的任何部分使用纯文本都会带来麻烦。您不需要大量的功能来收集用户密码。当您计划将来迁移到AD时，我假设您也在对其他系统进行某种集中身份验证。您是否真的希望所有系统对有怨恨的员工开放？

AD可以暂时移动并花费时间设置ssh吗？然后重新访问AD，请在这样做时使用ldaps。

— 咕
source

1

当然，您现在已经有了交换网络...但是情况发生了变化。很快有人会想要WiFi。那你要怎么办

如果您信任的员工之一想窥探另一位员工会怎样？还是他们的老板？

— 罗里
source

1

我同意所有现有的意见。我想补充一点，但是如果您必须以这种方式运行，并且确实没有其他可接受的解决方案，则可以尽可能地保护它。使用具有端口安全性和IP Source Guard等功能的现代Cisco交换机，您可以减轻arp欺骗/中毒攻击的威胁。这会增加网络的复杂性以及交换机的更多开销，因此它不是理想的解决方案。显然，最好的办法是对敏感数据进行加密，以使任何嗅探到的数据包都对攻击者毫无用处。

就是说，找到arp毒药通常是一件好事，即使仅仅是因为它们会降低网络性能。像Arpwatch这样的工具可以帮助您。

— 布拉德
source

+1表示可能的缓解措施

— mmcg

0

交换网络只能防御路由攻击，如果网络容易受到ARP欺骗的攻击，则只能做到极少。数据包中未加密的密码也容易被端点嗅探。

例如，以启用了telnet的linux shell服务器为例。不知何故，它受到了损害，坏人也扎根了。该服务器现在是0wn3d，但是如果他们想引导到网络上的其他服务器，则需要做更多的工作。他们没有深度破解passwd文件，而是打开tcpdump十五分钟，并在这段时间内获取任何已启动telnet会话的密码。由于密码的重复使用，这可能会使攻击者在其他系统上模拟合法用户。或者，如果linux服务器使用的是LDAP，NIS ++或WinBind / AD之类的外部身份验证器，那么即使深度破解passwd文件也不会带来太多好处，因此，这是一种廉价地获取密码的更好方法。

将“ telnet”更改为“ ftp”，您会遇到相同的问题。即使在有效防御ARP欺骗/中毒的交换网络上，使用未加密的密码仍然可以实现上述情况。

— sysadmin1138
source

0

甚至超出了ARP中毒的主题，任何合理的IDS都可以并且将会检测到并有望阻止它。（以及用于防止它的大量工具）。STP根角色劫持，闯入路由器，源路由信息欺骗，VTP / ISL平移，列表继续存在，无论如何-有多种技术可用于MITM网络，而无需物理拦截流量。

— ŹV-
source