완전히 전환 된 네트워크에서 암호에 대한 패킷 스니핑이 실제로 문제가됩니까?

사용자에게 텔넷 액세스가 필요한 여러 Linux 서버를 관리합니다. 현재 사용자의 자격 증명은 각 서버에 로컬로 저장되며 암호는 매우 약한 경향이 있으며 암호를 변경할 필요가 없습니다. 로그온은 곧 Active Directory와 통합 될 것이며보다 밀접하게 보호되는 ID입니다.

네트워크가 완전히 전환되어 해커가 사용자의 컴퓨터와 서버 사이에 물리적으로 자신을 삽입해야한다는 점에서 LAN에서 사용자의 암호를 스니핑 할 수 있다는 것이 정말로 우려 되는가?

arp 중독 (스푸핑)을 수행하여 컴퓨터가 사용자가 게이트웨이임을 확신 할 수있게 하는 도구가 있기 때문에 합리적인 문제 입니다. 예를 들어 비교적 사용하기 쉬운 도구 는 전체 프로세스를 자동화하는 ettercap 입니다. 컴퓨터가 게이트웨이임을 알리고 트래픽 을 감지하며 전체 프로세스가 투명하고 감지되지 않을 수 있는 IDS 가없는 한 패킷도 전달합니다 .

이러한 도구는 어린이들 에게 제공되므로 상당히 큰 위협입니다. 시스템 자체가 그렇게 중요하지 않더라도 사람들은 암호를 재사용하고 더 중요한 것에 암호를 노출시킬 수 있습니다.

교환 네트워크는 스니핑을 더 불편하거나 어렵지 않게 만듭니다.

그렇습니다. 그러나 단지 Telnet을 사용하고 암호가 약하기 때문이 아니라 보안에 대한 태도 때문입니다.

좋은 보안은 여러 계층으로 제공됩니다. 방화벽이 우수하기 때문에 내부 보안이 약하다고 가정해서는 안됩니다. 특정 시점에서 방화벽이 손상되고 워크 스테이션에 바이러스가 있으며 스위치가 하이재킹 될 것이라고 가정해야합니다. 아마도 모두 동시에. 중요한 것에는 좋은 암호가 있어야하고 덜 중요한 것 역시 있습니다. 또한 네트워크 트래픽에 가능한 강력한 암호화를 사용해야합니다. 설정이 간단하고 OpenSSH의 경우 공개 키를 사용하여 보다 쉽게 생활 할 수 있습니다.

그런 다음 직원을 조심해야합니다. 모든 사람이 특정 기능에 대해 동일한 계정을 사용하지 않도록하십시오. 이것은 누군가 해고 당하고 모든 비밀번호를 변경해야 할 때 다른 사람들에게 고통을줍니다. 당신은 또한 확실히 그들은 희생양하지 않는 것을 확인해야 피싱 교육 (경우에 그들에게 통해 공격 당신이 이제까지 자신의 암호를 그들에게 물었다 방금 해고 왔 때문에, 그것은 것입니다 그리고 당신은 더 이상 액세스 할 수 없습니다! 계정별로 액세스 권한을 분할 할뿐 아니라 다른 사람이 물어볼 이유가 훨씬 적습니다.

이것이 새로운 개념 인 것 같으므로 네트워크 / 시스템 보안에 관한 서적을 선택하는 것이 좋습니다. "시스템 및 네트워크 관리 실습"의 7 장에서는 "필수 시스템 관리"와 마찬가지로이 주제에 대해 약간 설명 합니다 . 주제에 관한 책도 있습니다.

예. 간단한 ARP 중독의 경우 오래된 허브와 마찬가지로 올바른 스위치 포트에 물리적 으로 있지 않고 LAN을 스니핑 할 수 있으므로 큰 걱정이됩니다 . 또한 매우 쉽습니다 .

외부보다 내부에서 해킹 당할 가능성이 높습니다.

ARP 스푸핑은 인터넷에서 광범위하게 사용할 수있는 다양한 사전 빌드 된 스크립트 / 도구 (사소한 답변에서 ettercap이 언급 되었음)로는 사소한 것이며 동일한 브로드 캐스트 도메인에 있어야합니다. 각 사용자가 자신의 VLAN에 있지 않으면이 취약점에 취약합니다.

SSH가 얼마나 널리 퍼져 있는지를 고려할 때 실제로 텔넷을 사용할 이유가 없습니다. OpenSSH 는 무료이며 거의 모든 * nix 스타일 OS에 사용할 수 있습니다. 그것은 내가 사용한 모든 배포판에 내장되어 있으며 관리는 턴키 상태에 도달했습니다.

로그인 및 인증 프로세스의 모든 부분에 일반 텍스트를 사용하면 문제가 발생합니다. 사용자 암호를 수집하는 데 많은 능력이 필요하지 않습니다. 앞으로 AD로 이동할 계획이므로 다른 시스템에 대해서도 일종의 중앙 인증을 수행한다고 가정합니다. 정말로 모든 시스템이 원한을 가진 직원에게 공개되기를 원하십니까?

광고가 지금 움직이고 ssh를 설정하는 데 시간을 할애 할 수 있습니까? 그런 다음 AD를 다시 방문하여 ldap을 사용하십시오.

물론, 이제 네트워크가 바뀌 었습니다.하지만 상황이 바뀝니다. 그리고 곧 누군가가 WiFi를 원할 것입니다. 그럼 어떻게 할거야?

신뢰할 수있는 직원 중 한 명이 다른 직원을 스누핑하려는 경우 어떻게됩니까? 아니면 그들의 상사?

기존 의견에 모두 동의합니다. 나는이 방법으로 실행해야하고 실제로 수용 가능한 다른 솔루션이 없다면 가능한 한 많이 보호 할 수 있다고 덧붙이고 싶었습니다. 포트 보안 및 IP Source Guard와 같은 기능을 갖춘 최신 Cisco 스위치를 사용하여 arp 스푸핑 / 중독 공격의 위협을 완화 할 수 있습니다. 이로 인해 네트워크의 복잡성이 증가하고 스위치의 오버 헤드가 증가하므로 이상적인 솔루션이 아닙니다. 분명히 가장 좋은 방법은 민감한 모든 것을 암호화하여 스니핑 된 패킷이 공격자에게 쓸모가 없도록하는 것입니다.

즉, 단순히 arp 포이즌이 단순히 네트워크의 성능을 저하시키기 때문에 arp 포이즌을 찾을 수 있다는 것이 좋습니다. Arpwatch와 같은 도구가 도움이 될 수 있습니다.

교환 네트워크는 라우팅 경로 공격 만 방어하며, 네트워크가 ARP 스푸핑에 취약한 경우에는 최소한의 공격 만 수행합니다. 패킷의 암호화되지 않은 비밀번호는 엔드 포인트 스니핑에 취약합니다.

예를 들어, 텔넷 가능 Linux 쉘 서버를 사용하십시오. 어쨌든 그것은 타협되고 나쁜 사람들은 뿌리를 내립니다. 해당 서버는 이제 0wn3d이지만 네트워크의 다른 서버로 부트 스트랩하려면 약간 더 많은 작업을 수행해야합니다. passwd 파일을 크래킹하지 않고 15 분 동안 tcpdump를 켜고 해당 시간 동안 시작된 텔넷 세션의 암호를 가져옵니다. 암호 재사용으로 인해 공격자는 다른 시스템에서 합법적 인 사용자를 에뮬레이션 할 수 있습니다. 또는 Linux 서버가 LDAP, NIS ++ 또는 WinBind / AD와 같은 외부 인증자를 사용하는 경우 passwd 파일을 심하게 크래킹해도 크게 얻을 수 없으므로 암호를 저렴하게 얻을 수있는 훨씬 더 좋은 방법입니다.

'telnet'을 'ftp'로 변경하면 같은 문제가 있습니다. ARP 스푸핑 / 중독을 효과적으로 방어하는 교환 네트워크에서도 위의 시나리오는 여전히 암호화되지 않은 암호로 가능합니다.

합리적으로 좋은 IDS가 탐지하고 희망적으로 예방할 수있는 ARP 중독의 주제를 넘어서도. (그리고 그것을 방지하기위한 수많은 도구). STP 루트 역할 하이재킹, 라우터 침입, 소스 라우팅 정보 스푸핑, VTP / ISL 패닝, 목록이 계속됩니다.