La faiblesse principale de sécurité du telnet est que toutes les communications entre le client de telnet et le serveur sont passées dans le plaintext (c'est-à-dire, non codé) à travers le réseau. Cela signifie que les usernames, les mots de passe, les données sensibles de système, et toute autre information probablement confidentielle est évident à n'importe qui qui court un renifleur de réseau situé entre le client et le serveur. Le plus mauvais de tous, en raison de la manière un réseau conduit d'IP fonctionne, usine sur d'autres parties du réseau pourrait également gagner la visibilité des données.
|
|
Ceci rend le telnet peu convenable pour l'usage dans les environnements où le degré de sécurité du réseau fondamental ou de chaque centre serveur en route ne peut pas être complètement fait confiance. Pour le mettre une autre manière, comme un administrateur d'UNIX, vous n'ont probablement aucun contrôle de sécurité en dehors de de votre système que—vos options sont confinées aux commandes gérées par le système central de réseau seulement.
D'autres attaques incluent l'insertion ou rejouent les attaques dans lesquelles un homme au milieu (MITM) change les données en marche ou les jeux soutiennent une saisie de données plus tôt. Imaginez se trouver ajouter un utilisateur au système sans des mains !
Les fournisseurs peuvent embarquer des systèmes avec des identifications d'utilisateur de défaut et des mots de passe. À moins que vous changiez des mots de passe de défaut ou fermiez les comptes, un attaquant à distance peut accéder en employant le telnet.
Par défaut, les fournisseurs tendent à embarquer le démon de telnet avec un message de sollicitation d'ouverture de défaut qui salue des utilisateurs avec le nom du logiciel d'exploitation, de la version, et parfois de l'architecture de système. Ce genre d'information aide des attaquants. Avec lui, ils peuvent fouetter hors de leurs exploits plus méchantes adaptées spécifiquement à votre plateforme. Pourquoi fournissez cette information loin tellement facilement à un attaquant ? La réalité est cela qui enlève cette information n'arrêtera pas votre logiciel d'exploitation de l'identification à distance. (pour découvrir pourquoi, lisez dessus.) Cependant, je discuterais cela annonçant vos détails de système à n'importe qui qui établit un rapport à votre machine fait à des choses peu trop un facile ! Enlevez le produit/information de version de votre bannière d'ouverture. Quelques emplacements remplacent la salutation de fournisseur avec un message légal d'"aucun accès non autorisé". Vérifiez avec votre service juridique des mots spécifiques.
Le démon de telnet fuit des informations sur votre logiciel d'exploitation d'une manière moins évidente, aussi. Le protocole de telnet définit un certain nombre d'options de telnet. Quand un client de telnet se relie à un serveur de telnet, l'une ou l'autre extrémité peut transmettre des options de telnet. Celles-ci permettent à un côté d'exprimer ses possibilités et fonctionnalité demandée à l'autre—par exemple, son type terminal. Un attaquant à distance, capable se relier au démon de telnet, peut employer ceci à son avantage.
Il n'y a aucune exécution standard de démon de telnet. Les différents fournisseurs ont mis en application différentes options de telnet. En examinant les options de telnet et l'ordre dans lesquels ils sont reçus, un attaquant peut prendre des empreintes digitales votre logiciel d'exploitation.
Avant de lancer une attaque sur un emplacement, un attaquant effectuera la reconnaissance à distance. Ils voudront découvrir le type et la version du logiciel d'exploitation et des services que vous courez. Les démons de réseau annoncent généralement leur version de logiciel sur un raccordement de client. Ceci peut aider quand vous êtes dépannage à distance parce que les administrateurs de réseau peuvent facilement identifier des incompatibilités de version de logiciel. De la même manière cependant, il aide l'attaquant. Armé avec cette information, elle peut rechercher des bases de données de vulnérabilité des faiblesses connues ou, en vue d'une attaque, recréer un système identique dans son laboratoire pour l'essai de pénétration.
Une réaction commune à ce problème doit enlever le produit/information de version des bannières de système. Ceci pourrait signifier
· Les démons ouverts de réseau de source de Recompiling avec cette information ont dépouillé
· Recouvrement des cordes de bannière dans les binaries fermés de source
· Modification des dossiers de configuration (par exemple,/etc../issue sur Solaris)
Ceci contrecarrera saisir de bannière.
Cependant, même si vous faisiez ceci à tous vos démons de réseau, la version de votre logiciel d'exploitation et de tout son logiciel de réseau peut encore être identifiée à distance par le processus de l'analyse comportementale.
Les versions de logiciel changent en raison des difficultés de bogue, dispositifs additionnels de logiciel, entailles d'exécution, et ainsi de suite. L'attaquant peut sonder pour des différences de dispositif ou de bogue entre les versions, déterminant de ce fait la version spécifique en service. Ce n'est pas le long et compliqué chargez-le pourrait retentir. L'attaquant peut faire la prétention raisonnable qu'un emplacement court une version et un travail relativement récents en arrière. En fait, ce genre de fonctionnalité est incorporé à quelques modules de balayage commerciaux de vulnérabilité.
Les piles du TCP/IP des fournisseurs répondent différemment à un ensemble indiqué de paquets. Par à distance l'empreinte digitale la pile de TCP/IP, il est souvent possible d'identifier le logiciel d'exploitation en service et sa version. L'attaquant envoie un ordre des paquets avec des attributs spécifiques. Les paquets de réponse envoyés par le serveur de victime contiennent les éléments uniques ces, une fois considérés ensemble, identifient uniquement l'exécution du TCP/IP d'un fournisseur. L'outil de queso a à l'origine employé cette approche. Cette stratégie a été alors adoptée et augmentée par Fyodor dans son outil de nmap fourni par le HTTP : //www.insecure.org/nmap .
Les fournisseurs TCP/piles d'IP exhibent également des caractéristiques de distinction de synchronisation dans leur manipulation des paquets. Quand un système reçoit un paquet, le matériel d'interface de réseau produit d'une interruption. Le grain traite le paquet basé sur l'information contenue dans l'en-tête de paquet. Le moment pris pour une plateforme indiquée pour traiter le paquet changera selon le chemin de code pris (c'est-à-dire, si c'est x, puis faites y ; si c'est x et z, faites j). En envoyant les paquets multiples de la complexité variable, il est théoriquement possible de mesurer des temps de réponse et de les comparer aux lignes de base connues pour identifier des systèmes. Ceci a été discuté dans les forum publics, bien qu'aucun outil n'ait été édité en date d'encore.
Les paramètres de modification de grain de réseau peuvent empreinte digitale défaire de TCP/IP pile. Ceux-ci changent la manière dont la pile de TCP/IP se comporte et contrecarrera des techniques connues d'empreinte digitale.
Ceci pourrait vous laisser se demandant s'il vaut la peine d'enlever des détails de système des bannières du tout. Il y a certainement pièce pour la discussion, mais ma vue personnelle est que, pour les centres serveurs Internet-exposés, elle vaut la peine l'effort, aussi longtemps que vous comprenez qu'il ne vous achète pas aucune vraie sécurité. Ce qui obtenez réellement vous est sécurité par obscurité. Mais, ce pourrait juste être un sursis de l'attaquant moins avançé qui compte sur le balayage de bannière-saisir-modèle pour identifier les victimes potentielles. Quand la prochaine vulnérabilité à distance exploitable obtient annoncée, il est peu susceptible apparaître votre système de bannière-moins sur le manuscrit kiddies'radar. Sûr, vous devrez appliquer des pièces rapportées—mais au moins vous pourriez éviter l'embarras de l'clouement par un amateur !
Une option doit employer le chiffrage de couteau ou VPN-basé. C'est une solution partielle ; elle n'a pas comme conséquence le chiffrage bout à bout. Ceci peut encore laisser le flux de données de telnet ouvert d'attaques de MITM près de l'une ou l'autre fin du raccordement.
Le remplacement supérieur de solution et d'actions pour le telnet est la coquille bloquée (SSH). SSH est déployé dans le monde entier aux milliers d'emplacements et est devenu la manière standard d'accéder à distance à un serveur d'UNIX à travers les réseaux potentiellement hostiles.
SSH est un service de TCP-based qui, par défaut, écoute sur le port 22.
Online: 404 users browsing the articles directory
|
|