在完全交换的网络上嗅探密码的数据包真的令人担心吗？

这是一个合理的担忧，因为有工具可以实现arp 中毒（欺骗）让你说服计算机你就是网关。下面是一个示例，相对而言易于使用的工具将会伊特卡普可以自动完成整个过程。它会让他们的计算机相信你是网关，并嗅探流量，它还会转发数据包，因此除非有IDS 运行整个过程可能是透明的和不被发现的。

由于这些工具可供小孩子这是一个相当大的威胁。即使系统本身并不那么重要，人们也会重复使用密码，并可能将密码泄露给更重要的东西。

交换网络只会使嗅探变得更加不方便，而不会变得更加困难。

是的，但这不仅仅是因为您使用 Telnet 和您的弱密码，还因为您对安全的态度。

良好的安全性是分层次的。您不应该认为因为有了良好的防火墙，您的内部安全性就会很弱。您应该假设在某个时间点，您的防火墙会受到攻击，工作站会感染病毒，您的交换机会被劫持。可能所有这些都会同时发生。您应该确保重要的东西有好的密码，不太重要的东西也有。您还应该尽可能对网络流量使用强加密。设置起来很简单，对于 OpenSSH 来说，可以让您的生活更轻松使用公钥。

然后，你还必须注意员工。确保每个人不会使用同一个帐户执行任何特定功能。当有人被解雇并且你需要更改所有密码时，这会给其他人带来麻烦。你还必须确保他们不会成为网络钓鱼通过教育来应对攻击（告诉他们如果你如果你曾经问过他们密码，那一定是因为你刚被解雇了，无法再访问密码了！其他人就更没有理由问了。)，以及按帐户细分访问权限。

由于这对你来说似乎是一个新概念，所以你最好读一本关于网络/系统安全的书。《系统和网络管理实践》第 7 章对这个主题做了一些介绍，《基本系统管理》也做了介绍，我建议你阅读这两本书反正还有一些整本书都是专门讨论这个主题的。

是的，这是一个大问题，因为通过一些简单的 ARP 中毒，你通常可以在没有物理上处于正确的交换机端口的情况下嗅探 LAN，就像过去的集线器时代一样 - 而且这很容易也要做。

在登录和身份验证过程的任何部分使用纯文本都是自找麻烦。您不需要太多的能力来收集用户密码。由于您计划将来迁移到 AD，我假设您也在为其他系统进行某种集中身份验证。您真的想让所有系统都向心怀怨恨的员工敞开大门吗？

AD 现在可以移动，然后花时间设置 ssh。然后重新访问 AD，并在访问时使用 ldaps。