Пакет осуществляет сниффинг для паролей в полностью коммутируемой сети действительно беспокойства?

Да, но это не только из-за Вашего использования Telnet и Ваших слабых паролей, это из-за Вашего отношения к безопасности.

Хорошая безопасность существует слоев. Вы не должны предполагать, что, потому что у Вас есть хороший брандмауэр, Ваша внутренняя безопасность может быть слабой. Необходимо предположить, что в какой-то момент вовремя, брандмауэр будет поставлен под угрозу, рабочие станции будут иметь вирусы, и переключатель будет угнан. Возможно все одновременно. Необходимо удостовериться, что важные вещи имеют хорошие пароли, и менее важные вещи делают также. Необходимо также использовать устойчивое шифрование, если это возможно, для сетевого трафика. Это просто настроить, и в случае OpenSSH, делает Вашу жизнь легче с использованием открытых ключей.

И затем, также необходимо не упустить сотрудников. Удостоверьтесь общий не использование того же счета на любую заданную функцию. Это делает это болью для всех остальных, когда кто-то уволен, и необходимо изменить все пароли. Также необходимо удостовериться, что они не пали жертвой фишинговых атак через образование (скажите им, что, если бы Вы когда-нибудь просили у них их пароль, это было бы, потому что Вы только что стали уволенными, и у Вас больше нет доступа! У кого-либо еще есть еще меньше причины спросить.), а также сегментирующийся доступ на основе на учетную запись.

Так как это, кажется, новое понятие Вам, это - вероятно, хорошая идея для Вас забрать книгу по безопасности сети/систем. Глава 7 "Практики Системного администрирования и Администрирования сети" затрагивает эту тему немного, как делает "Существенную Системную администрацию", оба из которых я рекомендую читать так или иначе. Существуют также все книги, выделенные предмету.

Да это - большое беспокойство, поскольку с некоторым простым ARP, отравляющим Вас, может обычно осуществлять сниффинг LAN, не будучи физически в правильном порту коммутатора, так же, как в старые добрые дни концентратора - и очень легко сделать также.

Вы, более вероятно, будете взломаны с внутренней части, чем внешняя сторона.

Спуфинг ARP тривиален с различными предварительно созданными сценариями/инструментами, широко доступными в Интернете (ettercap, был упомянут в другом ответе), и требует только, чтобы Вы были на том же широковещательном домене. Если каждый из Ваших пользователей не находится на их собственном VLAN, Вы уязвимы для этого.

Учитывая то, как широко распространенный SSH нет действительно никакой причины использовать telnet. OpenSSH свободен и доступен для фактически каждого *отклонять-стиль ОС там. Это встроено на всех дистрибутивах, которые я когда-либо использовал, и администрирование достигло состояния под ключ.

Используя простой текст для любой части входа в систему и процесса аутентификации напрашивается на неприятности. Вам не нужна большая способность собрать пароли пользователя. Поскольку Вы планируете к перемещению в AD в будущем, я предполагаю, что Вы делаете своего рода централизованную аутентификацию для других систем также. Вы действительно хотите все свои системы, широко открытые для сотрудника с недовольством?

Может AD перемещение на данный момент и проводить Ваше время, настраивая ssh. Затем пересмотрите AD и используйте ldaps, когда Вы делаете.

Я соглашаюсь со всеми существующими комментариями. Я хотел добавить хотя, что, если Вы должны были выполнить этот путь и туда действительно не были никаким другим приемлемым решением, Вы могли защитить его так, как Вы можете. Используя современные Коммутаторы Cisco с функциями как безопасность порта и охрана источника IP, можно смягчить угрозу arp, имитирующего / отравляющие нападения. Это создает больше сложности в сети, а также больше служебном для переключателей, таким образом, это не идеальное решение. Очевидно, лучшая вещь сделать, шифруют что-либо чувствительное так, чтобы любые сниффинговые пакеты были бесполезны взломщику.

Тем не менее часто хорошо смочь найти arp отравителя, даже если просто, потому что они ухудшают производительность Вашей сети. Инструменты как Arpwatch могут помочь Вам с этим.

Несомненно, у Вас есть коммутируемая сеть теперь... Но вещи изменение. И скоро кто-то захочет WiFi. Затем, что Вы собираетесь сделать?

И что происходит, если один из Ваших доверяемых сотрудников хочет шпионить на другом сотруднике? Или их босс?

Коммутируемые сети только защищают от в пути нападений, и если сеть уязвима для ARP, имитирующего его, делает так только минимально. Незашифрованные пароли в пакетах также уязвимы для пренебрежения конечными точками.

Например, возьмите поддерживающий telnet сервер оболочки Linux. Так или иначе это поставлено под угрозу, и у плохих людей есть корень. Тот сервер теперь 0wn3d, но если они захотят загрузиться к другим серверам в Вашей сети, то они должны будут сделать немного больше работы. Вместо глубокой трещины passwd файл, они включают tcpdump в течение пятнадцати минут и захватывают пароли для любого, инициировал сессию telnet в течение того времени. Из-за повторного использования пароля, это, вероятно, позволит взломщикам эмулировать законных пользователей в других системах. Или если сервер Linux использует внешний аутентификатор как LDAP, NIS ++, или WinBind/AD, даже глубоко взламывая passwd файл не получил бы их очень, таким образом, это - намного лучший способ получить пароли дешево.

Измените 'telnet' на 'ftp', и у Вас есть та же проблема. Даже в коммутируемых сетях, которые эффективно защищают от спуфинга/отравления ARP, вышеупомянутый сценарий все еще возможен с незашифрованными паролями.

Даже вне темы Отравления ARP, Которое любой довольно хороший IDS может и обнаружит и надо надеяться предотвратит. (А также множество инструментов намеревалось предотвратить его). Корневой ролевой угон STP, Вторжение в маршрутизатор, спуфинг информации о Маршрутизации от источника, панорамирование VTP/ISL, список продолжается, В любом случае - существуют МНОГОЧИСЛЕННЫЕ методы к MITM сеть, физически не прерывая трафик.