Utilizamos funções de firewall e NAT do Cisco ASA em nossa rede (200 computadores).
Existe alguma possibilidade de configurar o Cisco ASA para detectar detecção de tráfego (por exemplo wireshark) e inspeção de rede (por exemplo "nmap -sP 192.168.0.*") dentro de nossa rede?
Existe uma ferramenta chamada "antisniff" em roteadores Linux. O ASA tem algum analógico?
Responder1
O rastreamento de pacotes (o que o wireshark faz) é indetectável, ponto final. Ele apenas lê os dados já presentes na rede e, portanto, é totalmente passivo.
O nmap não se parece em nada com um sniffer - é uma sonda de rede ativa que envia e recebe pacotes.
Este último pode ser detectado com aplicativos como o snort; o Cisco ASA não tem esse recurso.
Responder2
A detecção de pacotes é principalmente uma tecnologia passiva; em programas como o Wireshark, uma interface é configurada para o modo promíscuo e todos os dados são ouvidos, mas não há ação. Como tal, não há como detectar algo assim ouvindo dentro da sua rede. Além disso, qualquer tentativa de bloquear tal atividade é limitada pelo fato de o sniffer de pacotes estar na sub-rede local, a menos que você faça firewall em cada computador individualmente, você não seria capaz de impedir que um sniffer escutasse na rede.
Tenha em mente também que, se você tiver switches próximos de algo decente, nem todo o tráfego atingirá o sniffer, a menos que você tenha configurado uma porta de monitor nos switches e, em seguida, conecte o sniffer a essa porta de monitor. Isso não torna o sniffing totalmente inútil, algum tráfego ainda atingirá o sniffer, mas os dados enviados de um host destinado a outro host podem nem mesmo atingir o sniffer.
Se você está realmente preocupado com a detecção de pacotes dentro de sua rede, sua melhor aposta será implementar a criptografia no maior número possível de protocolos que você considera importantes, dessa forma, mesmo que um farejador de pacotes estivesse escutando e encontrando dados, seria ilegível .
A varredura de portas como a do nmap, no entanto, é uma tecnologia ativa e, como tal, pode ser detectada dentro da rede, a menos que a pessoa que a utiliza seja sábia o suficiente para evitar a varredura do gateway, ponto em que pode se tornar indetectável novamente, dependendo do seu comuta.
<--editar -->
Como @Mike Pennington afirmou, existem alguns métodos de detecção, embora apenas um que eu possa ver afetaria o wireshark, sendo o bug do modo promíscuo no driver padrão do Windows, leia o hiperlink para obter mais detalhes.
Eu estaria interessado em ver se esse bug ainda é aparente nos sistemas NT modernos. Posso tentar sozinho.
Ainda afirmo que é uma tecnologia passiva e muito difícil de detectar, se possível (investigação pendente).
Responder3
Sniffing é uma função da configuração do host. Detecção de farejadoresé possível usando algumas heurísticasouferramentas; entretanto, essas técnicas dependem de sondagens e detecção de padrões de tráfego, portanto, isso está muito fora das capacidades do ASA. Como a detecção do sniffer depende de coisas como padrões de tráfego, os operadores inteligentes do sniffer podem contornar as técnicas de detecção se souberem o que estão fazendo.
nmapé outra ferramenta em nível de host para detectar portas abertas. Você pode bloquear e rastrear a atividade do nmap usando um ASAse você puder quantificar padrões de registro para procurar(verlogsurfer); no entanto, o próprio ASA não tem a capacidade de alertar sobre o uso do scanner de porta; você está realmente analisando os logs do ASA após o fato se quiser detectar a varredura de porta. O ASA não possui recursos integrados para detectar varreduras de portas por si só.
Você precisa de um verdadeiro sistema de detecção de intrusão para realizar o tipo de funções que procura.