পুরোপুরি স্যুইচ করা নেটওয়ার্কে পাসওয়ার্ডগুলির জন্য প্যাকেট স্নিফিং করা কি সত্যিই উদ্বেগজনক?

27

আমি বেশ কয়েকটি লিনাক্স সার্ভার পরিচালনা করি যার জন্য ব্যবহারকারীদের জন্য টেলনেট অ্যাক্সেস প্রয়োজন। বর্তমানে ব্যবহারকারীর শংসাপত্রগুলি প্রতিটি সার্ভারে স্থানীয়ভাবে সংরক্ষণ করা হয় এবং পাসওয়ার্ডগুলি খুব দুর্বল থাকে এবং সেগুলি পরিবর্তন করার প্রয়োজন নেই। লগনগুলি শীঘ্রই অ্যাক্টিভ ডিরেক্টরিতে একীভূত হবে এবং এটি আরও ঘনিষ্ঠভাবে রক্ষিত একটি পরিচয়।

ল্যান থেকে আমাদের ব্যবহারকারীর পাসওয়ার্ড স্নিগ্ধ করা যেতে পারে তা কী সত্যিই উদ্বেগজনক যে কোনও হ্যাকারের ব্যবহারকারীর কম্পিউটার এবং সার্ভারের মধ্যে শারীরিকভাবে নিজেকে প্রবেশ করতে হবে?

security  password  telnet 
mmcg
সূত্র
আপনি যেহেতু লিনাক্সে রয়েছেন তাই এটারক্যাপ চেষ্টা করুন। এখানে একটি টিউটোরিয়াল দেওয়া হয়েছে: ওপেনমানিয়াক.com
জোসেফ কার্ন
- "লিনাক্স সার্ভারগুলির জন্য যা টেলনেট অ্যাক্সেসের প্রয়োজন" ??? আমি এমন লিনাক্স সার্ভারটি দেখিনি যা গত 5-10 বছর বা তারও বেশি সময় ধরে নিখোঁজ ছিল ... মনে হচ্ছে আমি এখানে কিছু মিস করছি ...
জোহান
@ জোহান - এসএসএসের অস্তিত্ব থাকার আগে থেকে এই সার্ভারগুলিতে চলমান অ্যাপ্লিকেশনগুলি কয়েক বছর ধরে টেলনেট দ্বারা অ্যাক্সেস করা হয়েছে। সংস্থা এই অ্যাপগুলিতে অ্যাক্সেসকারী ব্যবহারকারীদের জন্য একটি টেলনেট ক্লায়েন্ট কিনে। এইচপি-ইউএক্স সার্ভারে এবং মোবাইল হ্যান্ডসেট থেকে অ্যাপ্লিকেশনগুলি অ্যাক্সেস করতেও টেলনেট ব্যবহার করা হয়। অতএব টেলনেটটি খুব বেশি জড়িত এবং এটি সম্পর্কে আমি যেভাবে চিন্তা করি তা নির্বিঘ্নে কোথাও চলে না। এফটিপি অনুরূপ।
এমএমসিজি

উত্তর:

42

এটি যুক্তিসঙ্গত উদ্বেগের কারণ সেখানে এমন সরঞ্জাম রয়েছে যা আরপ পয়জনাইজিং (স্পুফিং) সম্পন্ন করে যা কম্পিউটারগুলি আপনাকে প্রবেশদ্বার বলে বোঝাতে দেয় allow একটি উদাহরণ এবং অপেক্ষাকৃত সহজ ব্যবহার সরঞ্জামে হবে ettercap যে স্বয়ংক্রিয়রূপে পুরো প্রক্রিয়া। এটি তাদের কম্পিউটারকে বুঝিয়ে দেবে যে আপনিই গেটওয়ে এবং ট্র্যাফিক স্নিগ্ধ করবেন, এটি প্যাকেটগুলিও ফরোয়ার্ড করবে যাতে পুরো প্রক্রিয়াটি স্বচ্ছ এবং সনাক্ত না হয়ে আইডিএস না চালানো সম্ভব হয়।

যেহেতু এই সরঞ্জামগুলি বাচ্চাদের জন্য উপলব্ধ এটি মোটামুটি বড় হুমকি। এমনকি সিস্টেমগুলি এগুলি গুরুত্বপূর্ণ না হলেও, লোকেরা পাসওয়ার্ড পুনরায় ব্যবহার করে এবং আরও গুরুত্বপূর্ণ জিনিসগুলিতে পাসওয়ার্ড প্রকাশ করতে পারে।

স্যুইচড নেটওয়ার্কগুলি কেবল স্নিফিংকে আরও অসুবিধে করে তোলে, কঠিন বা কঠিন নয়।

কাইল ব্র্যান্ড
সূত্র
3
আমি আপনার নির্দিষ্ট প্রশ্নের উত্তর দিয়েছি, তবে আমি সুরক্ষার বিষয়ে চিন্তাভাবনার বিস্তৃত পদ্ধতির বিষয়েও এর্নির উত্তর পড়ার পরামর্শ দিই।
কাইল ব্র্যান্ডট
এস /
পোজিং
গুরুতরতা: আমি প্রতিটি পোস্ট লেখার সাথে সাথে ফায়ারফক্স স্পেল চেক দিয়ে আমার ঘৃণ্য বানান সংশোধন করতে প্রায় সময় ব্যয় করি :-)
কাইল ব্র্যান্ড্ট
4
+1 আপনি সকলেই একটি সুইচের ম্যাক টেবিলগুলি পূরণ করতে পারেন এবং এটিকে একটি হাবতে রূপান্তর করতে পারেন। স্পষ্টতই বড় স্যুইচগুলিতে আরও বড় টেবিল রয়েছে এবং তাই পূরণ করা শক্ত।
ডেভিড প্যাশলে
স্যুইচের ম্যাক সারণীগুলি পূরণ করা অজানা (বন্যার আক্রমণের কারণে) এর ঠিকানাগুলি ব্রডকাস্ট হওয়ার জন্য অ্যানিকাস্ট প্যাকেটগুলি নিয়ে যায়। ভিএলএএনরা এখনও ব্রডকাস্ট ডোমেনকে সীমাবদ্ধ করে, তাই এটি ভিএলএন প্রতি হাবের মতো।
sh-beta
21

হ্যাঁ, তবে এটি কেবল আপনার টেলনেট এবং আপনার দুর্বল পাসওয়ার্ড ব্যবহারের কারণে নয়, এটি সুরক্ষার প্রতি আপনার মনোভাবের কারণে।

ভাল সুরক্ষা স্তর আসে। আপনার ধরে নেওয়া উচিত নয় যে আপনার একটি ভাল ফায়ারওয়াল রয়েছে তাই আপনার অভ্যন্তরীণ সুরক্ষা দুর্বল হতে পারে। আপনার ধরে নেওয়া উচিত যে কোনও এক সময় আপনার ফায়ারওয়াল আপস করা হবে, ওয়ার্কস্টেশনে ভাইরাস থাকবে এবং আপনার সুইচ হাইজ্যাক হয়ে যাবে। সম্ভবত সব একই সময়ে। আপনার অবশ্যই নিশ্চিত হওয়া উচিত যে গুরুত্বপূর্ণ জিনিসগুলিতে ভাল পাসওয়ার্ড রয়েছে এবং কম গুরুত্বপূর্ণ জিনিসও তা করে। নেটওয়ার্ক ট্র্যাফিকের জন্য সম্ভব হলে আপনার শক্তিশালী এনক্রিপশন ব্যবহার করা উচিত। এটি সেট আপ করা সহজ, এবং ওপেনএসএসএইচের ক্ষেত্রে জনসাধারণের কী ব্যবহার করে আপনার জীবন সহজ করে তোলে ।

এবং তারপরে, আপনাকে কর্মীদের জন্যও নজর রাখতে হবে। নিশ্চিত করুন যে কোনও নির্দিষ্ট ফাংশনের জন্য সবাই একই অ্যাকাউন্ট ব্যবহার করছে না not যখন কেউ বরখাস্ত হয়ে যায় এবং আপনাকে সমস্ত পাসওয়ার্ড পরিবর্তন করতে হবে তখন এটি অন্য সবার জন্য কষ্ট হয়। আপনাকে নিশ্চিত করতে হবে যে তারা শিক্ষার মাধ্যমে ফিশিং আক্রমণগুলির শিকার না হয় (তাদের বলুন যে আপনি যদি তাদের পাসওয়ার্ডের জন্য জিজ্ঞাসা করেন তবে এটি হ'ল কারণ আপনি সবেমাত্র বরখাস্ত হয়ে গেছেন এবং আপনার আর অ্যাক্সেস নেই)! অন্য কারও কাছে জিজ্ঞাসা করার কম কারণও রয়েছে)) পাশাপাশি প্রতি অ্যাকাউন্টের ভিত্তিতে অ্যাক্সেসকে বিভাগ করার জন্য।

যেহেতু এটি আপনার কাছে একটি নতুন ধারণা বলে মনে হচ্ছে, তাই নেটওয়ার্ক / সিস্টেম সুরক্ষা সম্পর্কিত কোনও বই বাছাই করা আপনার পক্ষে সম্ভবত একটি ভাল ধারণা। "সিস্টেম এবং নেটওয়ার্ক প্রশাসনের অনুশীলন" এর 7 তম অধ্যায়ে এই বিষয়টিকে কিছুটা কভার করা হয়েছে, যেমনটি "এসেনশিয়াল সিস্টেম অ্যাডমিনিস্ট্রেশন" রয়েছে, উভয়ই আমি যেভাবেই পড়ার পরামর্শ দিই । বিষয়টিতে নিবেদিত পুরো বইও রয়েছে।

Ernie
সূত্র
"স্তরগুলিতে ভাল সুরক্ষা আসে" " খুব ভাল বলেছি আমি বলেছি, আমার পোস্টটি সম্পাদনার বিষয়ে এই জাতীয় কিছু রাখার জন্য ভেবেছিলাম তবে এটি এতটা ভালভাবে প্রকাশ করতে পারত না।
কাইল ব্র্যান্ডট
12

হ্যাঁ এটি খুব বড় উদ্বেগের মতো কিছু সাধারণ এআরপি বিষক্রিয়ার সাথে আপনি সাধারণত ভাল ওল্ড হাবের দিনগুলির মতো ডান সুইচ বন্দরে শারীরিকভাবে না হয়ে ল্যানকে শুঁকতে পারেন - এবং এটি করা খুব সহজ

ওসকার ডুভোবার
সূত্র
3
এছাড়াও, সুরক্ষিত বা প্রশ্নযুক্ত সুরক্ষিত অঞ্চলে কতগুলি নেটওয়ার্ক পোর্ট রয়েছে সে সম্পর্কেও ভাবেন। আমার অতীতের একজন নিয়োগকর্তা নিরক্ষিত, নিরাপত্তাহীন লিফটে লবিতে আধ ডজন রেখেছিলেন। বন্দরের সুরক্ষিত থাকলেও, ভবনটিতে আর কে আছেন - ভবনের দরবার, পরিষেবা প্রযুক্তি ইত্যাদি সম্পর্কে চিন্তাভাবনা করুন - এবং মনে রাখবেন যে সামাজিক প্রকৌশল শারীরিক সুরক্ষা বাইপাস করার অন্যতম সহজ ভেক্টর।
কার্ল কাটজ্কে
"হাই রিসেপশনিস্ট! আমি জনকে দেখতে এখানে এসেছি তবে আমি কিছুটা তাড়াতাড়ি, আমার ল্যাপটপে কিছু ই-মেইল হ্যান্ডেল করার জন্য কি আমি একটি মুক্ত সম্মেলনের ঘর ধার করতে পারি? সত্যিই? দুর্দান্ত!"
ওসকার ডুভের্বন
4

আপনার বাইরে থেকে বাইরে থেকে কুপিয়ে যাওয়ার সম্ভাবনা বেশি।

এআরপি স্পুফিং ইন্টারনেটে বিস্তৃত বিভিন্ন প্রাক-বিল্ট স্ক্রিপ্ট / সরঞ্জামগুলির সাথে নগণ্য (এটারক্যাপটি অন্য উত্তরে উল্লেখ করা হয়েছিল), এবং কেবলমাত্র আপনি একই সম্প্রচার ডোমেনে থাকা প্রয়োজন। আপনার প্রত্যেকে ব্যবহারকারীর নিজস্ব ভিএলএএন না থাকলে আপনি এতে ঝুঁকিপূর্ণ।

এসএসএইচটি কতটা বিস্তৃত তা দেওয়া আসলেই টেলনেট ব্যবহার করার কোনও কারণ নেই। ওপেনএসএসএইচ নিখরচায় এবং কার্যত প্রতিটি * নিক্স-স্টাইলের ওএসের জন্য উপলব্ধ। এটি আমি যে সমস্ত ডিসস্ট্রো ব্যবহার করেছি তার উপর অন্তর্নির্মিত এবং প্রশাসনের পক্ষ থেকে টার্নকি স্ট্যাটাসে পৌঁছেছে।

SH-বিটা
সূত্র
ভ্লানস এবং সম্প্রচারিত ডোমেনগুলি উল্লেখ করার জন্য +1।
ম্যাক্সওয়েল
এখানে আমার নেটওয়ার্ক সুরক্ষার গভীরতা থেকে কিছুটা বেরিয়ে আসা ... তবে আমি নিশ্চিত নই যে ভিএলএএনরা আপনাকে একটি সাধারণ নিয়ম হিসাবে রক্ষা করবে: cisco.com/en/US/products/hw/switches/ps708/…
কাইল ব্র্যান্ড্ট
অন্য কেউ যখন ছিল না তখন ওপেনএসএসএইচ উল্লেখের জন্য +1
আর্নি
1
কাইল - দুর্বলতাগুলি বেশিরভাগ অপ্রাসঙ্গিক। ম্যাক বন্যার আক্রমণ এখনও ব্রডকাস্ট ডোমেন দ্বারা সীমাবদ্ধ, সুতরাং কোনও ভিএলএএন হপিং করছে না। এআরপি আক্রমণগুলির সাথে একই। ডাবল-এনক্যাপসুলেশন ভিএলএএন-হপিং আক্রমণ যা ভিএলএএনরা কেন নিরাপত্তাহীন তা হ'ল আক্রমণকারীকে একটি নেটিভ ভিএলএএন সহ ট্রাঙ্ক বন্দরে সংযুক্ত করা দরকার। ট্রাঙ্কগুলির প্রথম স্থানে কোনও দেশীয় ভিএলএএন থাকা উচিত নয় ...
sh-beta
1

লগইন এবং প্রমাণীকরণ প্রক্রিয়ার যে কোনও অংশের জন্য সরল পাঠ্য ব্যবহার করা সমস্যার জন্য জিজ্ঞাসা করছে। ব্যবহারকারীর পাসওয়ার্ড সংগ্রহ করার জন্য আপনার খুব বেশি দক্ষতার দরকার নেই। যেমন আপনি ভবিষ্যতে এডি তে যাওয়ার পরিকল্পনা করছেন, আমি ধরে নিচ্ছি আপনি অন্যান্য সিস্টেমের জন্যও কিছু প্রকার কেন্দ্রীয় প্রমাণীকরণ করছেন। আপনি কি সত্যিই চান যে আপনার সমস্ত সিস্টেমগুলি কোনও প্রবণতা সহ কোনও কর্মচারীর জন্য প্রশস্ত উন্মুক্ত?

এডিটি কি আপাতত স্থানান্তর করতে পারে এবং এসএসএস স্থাপনে আপনার সময় ব্যয় করতে পারে? তারপরে পুনরায় AD তে যান এবং আপনি যখন করবেন তখন দয়া করে ldaps ব্যবহার করুন।

সস্তা ভাবালুতা
সূত্র
1

অবশ্যই, আপনি এখন একটি সুইচড নেটওয়ার্ক পেয়েছেন ... তবে বিষয়গুলি পরিবর্তন হয় change এবং শীঘ্রই কেউ ওয়াইফাই চাইবে। তাহলে আপনি কি করতে যাচ্ছেন?

এবং যদি আপনার বিশ্বাসযোগ্য কোনও কর্মচারী অন্য কোনও কর্মচারীর উপর ঝাঁপিয়ে পড়তে চায় তবে কী হবে? নাকি তাদের বস?

ররি
সূত্র
1

আমি বিদ্যমান সমস্ত মন্তব্যে একমত আমি যুক্ত করতে চেয়েছিলাম যে আপনি যদি এইভাবে চালাতে চান, এবং সত্যিই অন্য কোনও গ্রহণযোগ্য সমাধান না পাওয়া যায় তবে আপনি এটিকে যতটা সম্ভব সুরক্ষিত করতে পারেন। পোর্ট সিকিউরিটি এবং আইপি সোর্স গার্ডের মতো বৈশিষ্ট্যগুলি সহ আধুনিক সিসকো সুইচগুলি ব্যবহার করে, আপনি আরপ স্পুফিং / বিষক্রিয়ার আক্রমণগুলির হুমকিকে প্রশমিত করতে পারেন। এটি নেটওয়ার্কে আরও জটিলতার পাশাপাশি স্যুইচগুলির জন্য আরও ওভারহেড তৈরি করে, সুতরাং এটি একটি আদর্শ সমাধান নয়। স্পষ্টতই করণীয় সেরা কাজটি হ'ল সংবেদনশীল কোনও জিনিস এনক্রিপ্ট করা যাতে কোনও স্মিফ প্যাকেট আক্রমণকারীর পক্ষে অকেজো।

এটি বলেছিল যে, আপনার নেটওয়ার্কের কার্যকারিতা হ্রাস করার কারণে কেবল একটি আর্প-বিষের সন্ধান করতে সক্ষম হওয়াই প্রায়শই ভাল। আরপওয়াচের মতো সরঞ্জামগুলি এতে আপনাকে সহায়তা করতে পারে।

সরু চেপটা পেরেক-বিশেষ
সূত্র
সম্ভাব্য প্রশমন পরামর্শ দেওয়ার জন্য +1
এমএমসিজি
0

স্যুইচ করা নেটওয়ার্কগুলি কেবল এন-রুট আক্রমণগুলির বিরুদ্ধে প্রতিরক্ষা করে এবং নেটওয়ার্ক যদি এআরপি-র স্পোফিংয়ের পক্ষে ঝুঁকিপূর্ণ হয় তবে এটি কেবলমাত্র ন্যূনতমভাবে করে does প্যাকেটে এনক্রিপ্ট করা পাসওয়ার্ডগুলি শেষ পয়েন্টগুলিতে স্নিফিংয়ের পক্ষেও ঝুঁকিপূর্ণ।

উদাহরণস্বরূপ, একটি টেলনেট-সক্ষম লিনাক্স শেল-সার্ভার নিন। একরকম, এটি আপোস হয় এবং খারাপ লোকের শিকড় থাকে। সেই সার্ভারটি এখন 0wn3d, তবে তারা যদি আপনার নেটওয়ার্কের অন্যান্য সার্ভারগুলিতে বুটস্ট্র্যাপ করতে চান তবে তাদের আরও কিছুটা কাজ করা দরকার। পাসডাব্লুডি ফাইলটি গভীর-ক্র্যাক করার পরিবর্তে, তারা পনের মিনিটের জন্য tcpdump চালু করে এবং সেই সময়ে কোনও শুরু করা টেলনেট সেশনের জন্য পাসওয়ার্ডগুলি দখল করে। পাসওয়ার্ড পুনরায় ব্যবহারের কারণে, সম্ভবত আক্রমণকারীদের অন্যান্য সিস্টেমে বৈধ ব্যবহারকারীর অনুকরণের অনুমতি দেওয়া হবে। অথবা যদি লিনাক্স সার্ভার এলডিএপি, এনআইএস ++, বা উইনবাইন্ড / এডি এর মতো কোনও বহিরাগত প্রমাণীকরণকারক ব্যবহার করে তবে পাসওড্ড ফাইলের গভীর ক্র্যাকিংয়ের ফলে সেগুলি এত বেশি পাওয়া যায় না তাই সস্তায় পাসওয়ার্ড পাওয়ার আরও ভাল উপায়।

'টেলনেট' কে 'ftp' এ পরিবর্তন করুন এবং আপনার একই সমস্যা রয়েছে। এমনকি স্যুইচড নেটওয়ার্কগুলিতে যা এআরপি স্পুফিং / বিষের বিরুদ্ধে কার্যকরভাবে রক্ষা করে, উপরের দৃশ্যটি এখনও এনক্রিপ্ট করা পাসওয়ার্ড দিয়ে সম্ভব।

sysadmin1138
সূত্র
0

এমনকি এআরপি বিষাক্তকরণের বিষয় ছাড়িয়েও, যা কোনও যুক্তিসঙ্গত ভাল আইডিএস সনাক্ত করতে পারে এবং আশা করি এটি প্রতিরোধ করবে। (পাশাপাশি এটি প্রতিরোধের উদ্দেশ্যে সরঞ্জামগুলির আধিক্য)) এসটিপি রুট ভূমিকা হাইজ্যাকিং, রাউটারে ব্রেকিং, সোর্স-রাউটিং তথ্য ফাঁকি দেওয়া, ভিটিপি / আইএসএল প্যানিং, তালিকাটি এগিয়ে যায়, কোনও অবস্থাতেই - শারীরিকভাবে ট্র্যাফিককে বাধা না দিয়ে কোনও নেটওয়ার্ককে এমআইটিএম-এর মজাদার কৌশল রয়েছে।

--V -
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.