完全にスイッチされたネットワークでのパスワードのパケットスニッフィングは本当に問題ですか？

Question

ユーザーにtelnetアクセスを必要とする多くのLinuxサーバーを管理しています。現在、ユーザーの資格情報は各サーバーにローカルに保存されており、パスワードは非常に脆弱な傾向があり、変更する必要はありません。ログオンはまもなくActiveDirectoryと統合され、これはより厳密に保護されたIDです。

完全に切り替えられたネットワークがあり、ハッカーがユーザーのコンピューターとサーバーの間に物理的に自分自身を挿入する必要がある場合、ユーザーのパスワードがLANから盗聴されるのは本当に心配ですか？

Kyle Brandt · Accepted Answer

arp poisoning （なりすまし）を実行して、自分がゲートウェイであることをコンピュータに納得させるツールがあるため、これは合理的な懸念事項です。例として、比較的使いやすいツールは、プロセス全体を自動化する ettercap です。それはあなたがゲートウェイであることを彼らのコンピュータに納得させ、トラフィックを盗聴します、それはまたパケットを転送するので IDSが実行されているプロセス全体が透過的で検出されないかもしれません。

これらのツールは kiddies で利用できるため、かなり大きな脅威です。システム自体はそれほど重要ではない場合でも、人々はパスワードを再利用し、より重要なものにパスワードを公開する可能性があります。

スイッチドネットワークは、スニッフィングをより不便にするだけで、難しくも難しくもありません。

Ernie · Answer

はい。ただし、Telnetの使用とパスワードの脆弱性だけでなく、セキュリティに対する態度も原因です。

優れたセキュリティは層状になっています。優れたファイアウォールがあるため、内部セキュリティが弱い可能性があると思い込まないでください。ある時点で、ファイアウォールが危険にさらされ、ワークステーションがウイルスに感染し、スイッチがハイジャックされると想定する必要があります。おそらくすべて同時に。重要なものには適切なパスワードを設定し、重要度の低いものにはパスワードを設定する必要があります。また、ネットワークトラフィックで可能な場合は、強力な暗号化を使用する必要があります。設定は簡単で、OpenSSHの場合は、公開鍵を使用することで簡単にできます。

また、従業員にも注意する必要があります。特定の機能に全員が同じアカウントを使用していないことを確認してください。これにより、誰かが解雇され、すべてのパスワードを変更する必要がある場合、他のすべての人にとって苦痛になります。また、教育を通じてフィッシング攻撃の犠牲にならないようにする必要があります（あなたの場合は彼らにパスワードを尋ねた、それはあなたが解雇されたばかりでもうアクセスできないからだろう！他の誰もが尋ねる理由はさらに少ない。）そしてアカウントごとにアクセスをセグメント化する。

これはあなたにとって新しい概念のように思われるので、ネットワーク/システムのセキュリティに関する本を手に入れることはおそらく良い考えです。「システムおよびネットワーク管理の実践」の第7章では、「基本的なシステム管理」と同様に、このトピックについて少し説明しています。どちらもとにかく読むことをお勧めします。この主題に捧げられた本全体もあります。

Oskar Duveborn · Answer

はい、それは大きな懸念です。いくつかの単純なARPポイズニングでは、古き良きハブの日と同じように、通常は物理的に正しいスイッチポートにいることなくLANを傍受できます。そして非常に簡単です。

sh-beta · Answer

外側よりも内側からハッキングされる可能性が高くなります。

ARPスプーフィングは、インターネット上で広く利用可能なさまざまな事前に作成されたスクリプト/ツール（些細なことは別の回答で言及されています）を使用して簡単で、同じブロードキャストドメインにいることだけが必要です。各ユーザーが独自のVLANを使用していない限り、これに対して脆弱です。

SSHがどれだけ普及しているかを考えると、Telnetを使用する理由は本当にありません。 OpenSSH は無料で、事実上すべての* nixスタイルのOSで利用できます。これは、私がこれまでに使用したすべてのディストリビューションに組み込まれており、管理はターンキーステータスに達しています。

goo · Answer

ログインおよび認証プロセスの任意の部分にプレーンテキストを使用すると、問題が発生します。ユーザーパスワードを収集するための多くの機能は必要ありません。将来的にADへの移行を計画しているので、他のシステムでも何らかの中央認証を行っていると思います。本当に恨みのある従業員にすべてのシステムを広く公開したいですか？

ADは今のところ移動して、sshのセットアップに時間を費やすことができますか。次に、ADに再度アクセスして、LDAPを使用してください。

Rory · Answer

確かに、あなたは今スイッチドネットワークを持っています...しかし状況は変わります。そしてすぐに誰かがWiFiを欲しがるでしょう。次に、あなたは何をするつもりですか？

そして、信頼できる従業員の1人が別の従業員を覗き見したい場合はどうなりますか？または彼らの上司？

Brad · Answer

私は既存のすべてのコメントに同意します。ただし、この方法で実行する必要があり、他に受け入れられる解決策が実際になかった場合は、できる限りそれを保護できることを付け加えておきます。ポートセキュリティやIPソースガードなどの機能を備えた最新のシスコスイッチを使用すると、arpスプーフィング/ポイズニング攻撃の脅威を軽減できます。これにより、ネットワークの複雑さが増し、スイッチのオーバーヘッドが増えるため、理想的なソリューションではありません。明らかに最善の方法は、機密性の高いものを暗号化して、盗聴されたパケットが攻撃者にとって役に立たないようにすることです。

とは言っても、ネットワークのパフォーマンスを低下させるという理由だけでarpポイズナーを見つけることができるのは、多くの場合良いことです。 Arpwatchのようなツールがこれに役立ちます。

ŹV - · Answer

ARPポイズニングのトピックを超えても、適度に優れたIDSはこれを検出でき、できれば防止できます。（同様にそれを防ぐことを目的とした多数のツール）。 STP root role hijacking、Breaking into the router、Source-Routing information spoofing、VTP/ISL panning、theリストが続く、いずれにせよ-物理的に傍受することなくネットワークをMITMするための無数のテクニックがあるトラフィック。

sysadmin1138 · Answer

スイッチドネットワークは、途中の攻撃に対してのみ防御し、ネットワークがARPスプーフィングに対して脆弱である場合、それは最小限にしか防御しません。パケット内の暗号化されていないパスワードも、エンドポイントでの盗聴に対して脆弱です。

たとえば、telnet対応のLinuxシェルサーバーを考えてみましょう。どういうわけか、それは危険にさらされ、悪い人々は根を持っています。そのサーバーは現在0wn3dですが、ネットワーク上の他のサーバーにbootstrapしたい場合は、もう少し作業を行う必要があります。passwdファイルを深くクラックするのではなく、 tcpdumpを15分間実行し、その間に開始されたtelnetセッションのパスワードを取得します。パスワードが再利用されるため、攻撃者は他のシステムで正当なユーザーをエミュレートできる可能性があります。または、LinuxサーバーがLDAP、NIS ++などの外部認証機能を使用している場合、またはWinBind/AD、passwdファイルを深くクラックしても、それらはあまり取得されないため、これはパスワードを安価に取得するためのはるかに優れた方法です。

'telnet'を 'ftp'に変更すると、同じ問題が発生します。 ARPスプーフィング/ポイズニングを効果的に防御するスイッチドネットワークでも、暗号化されていないパスワードを使用すると、上記のシナリオが発生する可能性があります。