Wir verwenden in unserem Netzwerk (200 Computer) die Firewall- und NAT-Funktionen von Cisco ASA.
Gibt es eine Möglichkeit, Cisco ASA so zu konfigurieren, dass es Traffic-Sniffer (z. B. Wireshark) und Netzwerkinspektionen (z. B. „nmap -sP 192.168.0.*“) in unserem Netzwerk erkennt?
Auf Linux-Routern gibt es ein Tool namens „Antisniff“. Hat ASA etwas Entsprechendes?
Antwort1
Paketverfolgung (was Wireshark macht) ist nicht erkennbar, Punkt. Es liest lediglich Daten, die bereits im Netzwerk vorhanden sind und ist daher völlig passiv.
nmap ist nichts anderes als ein Sniffer – es ist eine aktive Netzwerksonde, die Pakete sendet und empfängt.
Letzteres könnte mit Anwendungen wie Snort erkannt werden; die Cisco ASA verfügt nicht über diese Funktion.
Antwort2
Paket-Sniffing ist hauptsächlich eine passive Technologie. In Programmen wie Wireshark wird eine Schnittstelle auf Promiscuous-Modus eingestellt und alle Daten werden abgehört, aber nicht verarbeitet. Daher gibt es keine Möglichkeit, derartiges Abhören in Ihrem Netzwerk zu erkennen. Außerdem wird jeder Versuch, derartige Aktivitäten zu blockieren, dadurch eingeschränkt, dass sich der Paket-Sniffer im lokalen Subnetz befindet. Wenn Sie nicht jeden Computer einzeln mit einer Firewall schützen, können Sie einen Sniffer nicht daran hindern, im Netzwerk zu lauschen.
Bedenken Sie jedoch auch, dass bei annähernd anständigen Switches nicht der gesamte Datenverkehr den Sniffer erreicht, es sei denn, Sie haben einen Monitor-Port auf den Switches konfiguriert und schließen den Sniffer dann an diesen Monitor-Port an. Das macht das Sniffing nicht völlig nutzlos, ein Teil des Datenverkehrs wird den Sniffer trotzdem erreichen, aber Daten, die von einem Host gesendet und für einen ganz anderen Host bestimmt sind, erreichen den Sniffer möglicherweise gar nicht.
Wenn Sie sich wirklich Sorgen über Paket-Sniffing in Ihrem Netzwerk machen, sollten Sie am besten möglichst viele der für Sie wichtigen Protokolle verschlüsseln. Auf diese Weise sind die Daten unlesbar, selbst wenn ein Paket-Sniffer zuhört und Daten findet.
Beim Port-Scanning, wie es beispielsweise nmap durchführt, handelt es sich jedoch um eine aktive Technologie und kann daher innerhalb des Netzwerks erkannt werden, es sei denn, der Benutzer ist klug genug, das Scannen des Gateways zu vermeiden. Ab diesem Zeitpunkt kann es, abhängig von Ihren Switches, wieder nicht mehr erkannt werden.
<-- bearbeiten -->
Wie @Mike Pennington erklärt hat, gibt es einige Methoden zur Erkennung. Allerdings sehe ich nur eine, die Wireshark beeinträchtigen würde, nämlich den Promiscuous-Mode-Bug im Standard-Windows-Treiber. Weitere Einzelheiten finden Sie unter seinem Hyperlink.
Mich würde interessieren, ob dieser Fehler in modernen NT-Systemen immer noch auftritt. Vielleicht probiere ich es selbst einmal aus.
Ich bleibe jedoch dabei, dass es sich um eine passive Technologie handelt und diese, wenn überhaupt (bis zur Untersuchung), nur schwer zu erkennen ist.
Antwort3
Sniffing ist eine Funktion der Host-Konfiguration. Erkennung von Snifferist mit einigen Heuristiken möglichoderWerkzeuge; diese Techniken basieren jedoch auf Sonden und der Erkennung von Verkehrsmustern, sodass dies weit über die Fähigkeiten der ASA hinausgeht. Da die Sniffer-Erkennung auf Dingen wie Verkehrsmustern basiert, können clevere Sniffer-Betreiber die Erkennungstechniken umgehen, wenn sie wissen, was sie tun.
nmapist ein weiteres Tool auf Hostebene zum Erkennen offener Ports. Sie können Nmap-Aktivitäten mithilfe eines ASA blockieren und verfolgen.Wenn Sie Protokollierungsmuster quantifizieren können, nach denen Sie suchen(sehenlogsurfer); die ASA selbst kann jedoch keine Warnungen über die Verwendung von Port-Scannern ausgeben. Um Port-Scans zu erkennen, müssen Sie die ASA-Protokolle im Nachhinein analysieren. Die ASA verfügt selbst über keine integrierten Funktionen zum Erkennen von Port-Scans.
Sie benötigen ein echtes Intrusion Detection System, um die gewünschten Funktionen ausführen zu können.