Utilizamos las funciones NAT y firewall de Cisco ASA en nuestra red (200 computadoras).
¿Existe alguna posibilidad de configurar Cisco ASA para detectar el rastreo de tráfico (por ejemplo, Wireshark) y la inspección de la red (por ejemplo, "nmap -sP 192.168.0.*") dentro de nuestra red?
Existe una herramienta llamada "antisniff" en los enrutadores Linux. ¿ASA tiene algún análogo?
Respuesta1
El rastreo de paquetes (lo que hace Wireshark) es indetectable, punto. Simplemente lee datos que ya están presentes en la red y, por lo tanto, es completamente pasivo.
nmap no se parece en nada a un rastreador: es una sonda de red activa que envía y recibe paquetes.
Esto último podría detectarse con aplicaciones como snort; Cisco ASA no tiene esta capacidad.
Respuesta2
El rastreo de paquetes es principalmente una tecnología pasiva; en programas como Wireshark, una interfaz se configura en modo promiscuo y todos los datos se escuchan, pero no se actúa sobre ellos. Como tal, no hay forma de detectar algo como esto escuchando dentro de su red. Además, cualquier intento de bloquear dicha actividad está limitado por el hecho de que el rastreador de paquetes estará en la subred local; a menos que establezca un firewall en cada computadora individualmente, no podrá impedir que un rastreador escuche en la red.
Sin embargo, tenga en cuenta también que si tiene conmutadores que se aproximan a lo decente, no todo el tráfico llegará al rastreador a menos que haya configurado un puerto de monitor en los conmutadores y luego conecte el rastreador a este puerto de monitor. Esto no hace que el rastreo sea completamente inútil, parte del tráfico aún llegará al rastreador, pero es posible que los datos enviados desde un host destinados a otro host ni siquiera lleguen al rastreador.
Si realmente le preocupa el rastreo de paquetes dentro de su red, lo mejor que puede hacer será implementar el cifrado en tantos protocolos como sea posible, de esa manera, incluso si un rastreador de paquetes estuviera escuchando y encontrara datos, estos serían ilegibles. .
Sin embargo, el escaneo de puertos como el que realiza nmap es una tecnología activa y, como tal, podría detectarse dentro de la red, a menos que la persona que lo utiliza sea lo suficientemente inteligente como para evitar escanear la puerta de enlace, momento en el cual puede volverse indetectable nuevamente dependiendo de su interruptores.
<-- editar -->
Como ha dicho @Mike Pennington, existen algunos métodos de detección, aunque solo uno que veo afectaría a Wirehark, siendo el error del modo promiscuo en el controlador estándar de Windows; lea su hipervínculo para obtener más detalles.
Me interesaría ver si este error todavía es evidente en los sistemas NT modernos; podría intentarlo yo mismo.
Sin embargo, sigo manteniendo que es una tecnología pasiva y que es bastante difícil de detectar, si es posible (investigación pendiente).
Respuesta3
El rastreo es una función de la configuración del host. Detección de rastreadoreses posible usando algunas heurísticasoherramientas; sin embargo, estas técnicas se basan en sondas y detección de patrones de tráfico, por lo que esto está muy fuera de las capacidades del ASA. Dado que la detección de rastreadores se basa en aspectos como los patrones de tráfico, los operadores de rastreadores inteligentes pueden eludir las técnicas de detección si saben lo que están haciendo.
nmapes otra herramienta a nivel de host para detectar puertos abiertos. Puede bloquear y rastrear la actividad de nmap usando un ASAsi puede cuantificar los patrones de registro a buscar(versurfista de troncos); sin embargo, el ASA en sí no tiene la capacidad de alertar sobre el uso del escáner de puertos; en realidad, está analizando los registros de ASA después del hecho si desea detectar el escaneo de puertos. El ASA no tiene capacidades integradas para detectar escaneos de puertos por sí mismo.
Necesita un sistema de detección de intrusiones real para realizar el tipo de funciones que está buscando.