Мы используем межсетевой экран Cisco ASA и функции NAT в нашей сети (200 компьютеров).
Есть ли возможность настроить Cisco ASA для обнаружения сниффера трафика (например, wirehark) и проверки сети (например, «nmap -sP 192.168.0. *») Внутри нашей сети?
На Linux-роутерах есть инструмент под названием "antisniff". Есть ли у ASA аналог?
Отслеживание пакетов (то, что делает wirehark) не обнаруживается, точка. Он просто считывает данные, уже присутствующие в сети, и, следовательно, полностью пассивен.
Nmap - это не что иное, как сниффер - это активный сетевой зонд, который отправляет и принимает пакеты.
Последнее можно было обнаружить с помощью таких приложений, как snort; Cisco ASA не имеет этой возможности.
Обнюхивание пакетов - это в основном пассивная технология, в таких программах, как wirehark, интерфейс установлен в беспорядочный режим, и все данные прослушиваются, но не обрабатываются. Таким образом, нет никакого способа обнаружить что-либо подобное прослушиванию внутри вашей сети. Кроме того, любая попытка заблокировать такую активность ограничена тем фактом, что сниффер пакетов будет находиться в локальной подсети, если вы не настроите брандмауэр на каждый компьютер индивидуально, вы не сможете заблокировать снифферу возможность прослушивания в сети.
Однако имейте в виду, что если у вас есть коммутаторы, приближающиеся к приличным, не весь трафик будет попадать в сниффер, если вы не настроили порт монитора на коммутаторах, а затем подключили сниффер к этому порту монитора. Это не делает сниффинг полностью бесполезным, часть трафика все равно попадет в сниффер, но данные, отправленные с одного хоста, предназначенные для другого хоста, могут даже не попасть в сниффер.
Если вас действительно беспокоит перехват пакетов внутри вашей сети, лучше всего будет реализовать шифрование на как можно большем количестве протоколов, которые вам дороги, таким образом, даже если анализатор пакетов прослушивал и находил данные, они были бы нечитаемыми. .
Однако сканирование портов, такое как nmap, является активной технологией и, как таковая, может быть обнаружено внутри сети, если только человек, использующий его, не будет достаточно мудр, чтобы избежать сканирования шлюза, после чего он может снова стать необнаружимым в зависимости от вашего переключатели.
<- редактировать ->
Как заявил @Mike Pennington, существует несколько методов обнаружения, хотя только один, который я вижу, может повлиять на wirehark, являющийся ошибкой беспорядочного режима в стандартном драйвере Windows, прочтите его гиперссылку для более подробной информации.
Мне было бы интересно узнать, проявляется ли эта ошибка в современных системах NT, я мог бы попробовать ее сам.
Я по-прежнему утверждаю, что это пассивная технология, и ее довольно сложно обнаружить, если это вообще возможно (ожидает расследования).
Сниффинг - это функция конфигурации хоста. Обнаружение снифферов возможно с использованием эвристики или инструменты; однако эти методы полагаются на зонды и обнаружение шаблонов трафика, поэтому это далеко выходит за рамки возможностей ASA. Поскольку обнаружение снифферов основывается на таких вещах, как шаблоны трафика, операторы интеллектуальных снифферов могут обойти методы обнаружения, если они знают, что делают.
nmap - еще один инструмент на уровне хоста для обнаружения открытых портов. Вы можете блокировать и отслеживать активность nmap с помощью ASA если вы можете количественно определить шаблоны ведения журнала, чтобы искать (видеть логсерфер); однако сам ASA не имеет возможности предупреждать об использовании сканера портов, вы действительно анализируете журналы ASA постфактум, если хотите обнаружить сканирование портов. ASA не имеет встроенных возможностей для обнаружения самого сканирования портов.
Вам нужна настоящая система обнаружения вторжений для выполнения тех функций, которые вам нужны.