우리는 네트워크(컴퓨터 200대)에서 Cisco ASA의 방화벽과 NAT 기능을 사용합니다.
네트워크 내부에서 트래픽 스니퍼링(예: Wireshark) 및 네트워크 검사(예: "nmap -sP 192.168.0.*")를 감지하도록 Cisco ASA를 구성할 수 있습니까?
Linux 라우터에는 "antisniff"라는 도구가 있습니다. ASA에 아날로그가 있습니까?
답변1
패킷 추적(wireshark의 기능)은 감지할 수 없습니다. 이는 네트워크에 이미 존재하는 데이터를 읽을 뿐이므로 완전히 수동적입니다.
nmap은 스니퍼와는 전혀 다릅니다. 즉, 패킷을 보내고 받는 활성 네트워크 프로브입니다.
후자는 snort와 같은 애플리케이션으로 탐지할 수 있습니다. Cisco ASA에는 이 기능이 없습니다.
답변2
패킷 스니핑은 주로 수동적 기술입니다. Wireshark와 같은 프로그램에서는 인터페이스가 무차별 모드로 설정되고 모든 데이터를 수신하지만 조치를 취하지는 않습니다. 따라서 네트워크 내부에서 이와 같은 청취를 감지할 방법이 없습니다. 또한 이러한 활동을 차단하려는 시도는 패킷 스니퍼가 로컬 서브넷에 있다는 사실로 인해 제한됩니다. 모든 컴퓨터에 개별적으로 방화벽을 설치하지 않는 한 스니퍼가 네트워크에서 수신하는 것을 차단할 수 없습니다.
그러나 스위치가 거의 괜찮은 위치에 접근하는 경우 스위치에 모니터 포트를 구성한 다음 스니퍼를 이 모니터 포트에 연결하지 않는 한 모든 트래픽이 스니퍼에 도달하는 것은 아닙니다. 이것이 스니핑을 완전히 쓸모없게 만드는 것은 아니며 일부 트래픽은 여전히 스니퍼에 도달하지만 한 호스트에서 다른 호스트로 전송된 데이터는 스니퍼에 전혀 도달하지 못할 수도 있습니다.
네트워크 내부의 패킷 스니핑이 걱정된다면 가장 좋은 방법은 가능한 한 많은 프로토콜에 암호화를 구현하는 것입니다. 이렇게 하면 패킷 스니퍼가 듣고 데이터를 찾았더라도 읽을 수 없게 됩니다. .
그러나 nmap과 같은 포트 스캐닝은 활성 기술이므로 이를 사용하는 사람이 게이트웨이 스캐닝을 피할 만큼 현명하지 않는 한 네트워크 내부에서 감지될 수 있습니다. 스위치.
<-- 편집 -->
@Mike Pennington이 언급했듯이 몇 가지 감지 방법이 있지만 내가 볼 수 있는 방법 중 하나만이 Wireshark에 영향을 미칠 수 있습니다. 표준 Windows 드라이버의 무차별 모드 버그이므로 자세한 내용은 그의 하이퍼링크를 읽어보세요.
나는 이 버그가 현대 NT 시스템에서 여전히 뚜렷한지 알고 싶습니다. 직접 시도해 볼 수도 있습니다.
하지만 나는 여전히 이것이 수동적 기술이며 가능하다면 탐지하기가 매우 어렵다고 주장합니다(조사 대기 중).
답변3
스니핑은 호스트 구성의 기능입니다. 스니퍼 감지일부 휴리스틱을 사용하여 가능합니다.또는도구; 그러나 이러한 기술은 프로브 및 트래픽 패턴 감지에 의존하므로 이는 ASA의 기능을 훨씬 벗어납니다. 스니퍼 탐지는 트래픽 패턴과 같은 요소에 의존하기 때문에 스마트 스니퍼 운영자는 자신이 수행하는 작업을 알면 탐지 기술을 우회할 수 있습니다.
nmap열린 포트를 감지하는 또 다른 호스트 수준 도구입니다. ASA를 사용하여 nmap 활동을 차단하고 추적할 수 있습니다.찾아야 할 로깅 패턴을 정량화할 수 있는 경우(보다로그서퍼); 그러나 ASA 자체에는 포트 스캐너 사용에 대해 경고하는 기능이 없으므로 포트 스캔을 감지하려면 실제로 ASA 로그를 분석해야 합니다. ASA에는 포트 스캔 자체를 감지하는 기본 제공 기능이 없습니다.
원하는 기능을 수행하려면 실제 침입 탐지 시스템이 필요합니다.