当社のネットワーク(200 台のコンピュータ)では、Cisco ASA のファイアウォールと NAT 機能を使用しています。
ネットワーク内のトラフィック スニッフィング (たとえば、Wireshark) とネットワーク検査 (たとえば、「nmap -sP 192.168.0.*」) を検出するように Cisco ASA を構成することは可能ですか?
Linux ルーターには「antisniff」というツールがありますが、ASA には類似のものはありますか?
答え1
パケット トレース (Wireshark が行うもの) は検出不可能です。ネットワーク上にすでに存在するデータを読み取るだけなので、完全に受動的です。
nmap はスニファーとはまったく異なり、パケットを送受信するアクティブなネットワーク プローブです。
後者は snort などのアプリケーションで検出できますが、Cisco ASA にはこの機能がありません。
答え2
パケット スニッフィングは主に受動的なテクノロジです。Wireshark などのプログラムでは、インターフェイスが無差別モードに設定され、すべてのデータが監視されますが、それに基づいて処理されることはありません。そのため、ネットワーク内でこのような監視を検出する方法はありません。また、このようなアクティビティをブロックする試みは、パケット スニッファーがローカル サブネット上にあるという事実によって制限されます。各コンピューターを個別にファイアウォールで保護しない限り、ネットワーク上で監視するスニッファーをブロックすることはできません。
ただし、スイッチが適切なレベルに近づいている場合は、スイッチにモニター ポートを設定し、そのモニター ポートにスニファーを接続しない限り、すべてのトラフィックがスニファーにヒットするわけではないことにも留意してください。これによってスニファーがまったく役に立たなくなるわけではなく、一部のトラフィックは依然としてスニファーにヒットしますが、あるホストから別のホストに向けられたデータはスニファーにヒットしない可能性もあります。
ネットワーク内でのパケット スニッフィングが本当に心配な場合は、できるだけ多くの重要なプロトコルに暗号化を実装するのが最善策です。そうすれば、たとえパケット スニッファーが盗聴してデータを見つけたとしても、そのデータは読み取れなくなります。
ただし、nmap などのポート スキャンはアクティブなテクノロジであるため、使用する人がゲートウェイのスキャンを回避するほど賢明でない限り、ネットワーク内で検出される可能性があります。ゲートウェイのスキャンを回避すると、スイッチによっては再び検出できなくなる可能性があります。
<-- 編集 -->
@Mike Pennington が述べたように、検出方法はいくつかありますが、Wireshark に影響するのは、標準の Windows ドライバーの無差別モードのバグだけであることがわかりました。詳細については、彼のハイパーリンクを参照してください。
このバグが現代の NT システムでもまだ発生しているかどうか知りたいので、自分で試してみるかもしれません。
ただし、これは受動的な技術であり、検出するのは非常に困難である(調査中)と私は依然として主張しています。
答え3
スニッフィングはホスト構成の機能です。スニッファーの検出いくつかのヒューリスティックスを使えば可能になるまたはツールただし、これらの手法はプローブとトラフィック パターン検出に依存しているため、ASA の機能の範囲外です。スニファー検出はトラフィック パターンなどに依存しているため、賢いスニファー オペレーターは、何をしているのかわかっていれば、検出手法を回避できます。
nmap開いているポートを検出する別のホストレベルのツールです。ASAを使用してnmapアクティビティをブロックおよび追跡できます。ログパターンを定量化して探せるなら(見るログサーファー); ただし、ASA 自体にはポート スキャナの使用について警告する機能がないため、ポート スキャンを検出するには、事後に ASA ログを分析する必要があります。ASA には、ポート スキャン自体を検出する組み込み機能はありません。
必要な機能を実行するには、本物の侵入検知システムが必要です。