В нашей сети (200 компьютеров) мы используем функции межсетевого экрана и NAT Cisco ASA.
Есть ли возможность настроить Cisco ASA для обнаружения перехвата трафика (например, Wireshark) и проверки сети (например, «nmap -sP 192.168.0.*») внутри нашей сети?
На маршрутизаторах Linux есть инструмент под названием «antisniff». Есть ли у ASA аналог?
решение1
Трассировка пакетов (то, что делает Wireshark) необнаружима, точка. Она просто считывает данные, уже имеющиеся в сети, и, следовательно, полностью пассивна.
Nmap не имеет ничего общего с сниффером — это активный сетевой зонд, который отправляет и получает пакеты.
Последнее можно обнаружить с помощью таких приложений, как snort; Cisco ASA не имеет такой возможности.
решение2
Сниффинг пакетов — это в основном пассивная технология, в программах типа Wireshark интерфейс устанавливается в беспорядочный режим, и все данные прослушиваются, но не обрабатываются. Таким образом, нет способа обнаружить что-либо подобное прослушиванию внутри вашей сети. Кроме того, любая попытка заблокировать такую активность ограничена тем фактом, что сниффер пакетов будет находиться в локальной подсети, если только вы не заблокируете каждый компьютер по отдельности, вы не сможете заблокировать сниффер от прослушивания в сети.
Однако имейте в виду, что если у вас есть коммутаторы, приближающиеся к приличным, не весь трафик будет попадать в сниффер, если только вы не настроили порт монитора на коммутаторах, а затем не подключили сниффер к этому порту монитора. Это не делает сниффер совершенно бесполезным, часть трафика все равно попадет в сниффер, но данные, отправленные с одного хоста, предназначенные для другого хоста, могут вообще не попасть в сниффер.
Если вы действительно обеспокоены перехватом пакетов внутри вашей сети, лучшим решением будет реализовать шифрование на как можно большем количестве протоколов, которыми вы пользуетесь. В этом случае даже если перехватчик пакетов прослушивает сеть и обнаруживает данные, их невозможно будет прочитать.
Однако сканирование портов, такое как nmap, является активной технологией и, как таковое, может быть обнаружено внутри сети, если только человек, использующий его, не будет достаточно благоразумен, чтобы избежать сканирования шлюза, в результате чего он может снова стать необнаружимым в зависимости от ваших коммутаторов.
<-- править -->
Как заявил @Mike Pennington, существует несколько методов обнаружения, хотя я вижу, что только один из них повлияет на Wireshark, а именно ошибка неразборчивого режима в стандартном драйвере Windows. Более подробную информацию можно найти по его гиперссылке.
Мне было бы интересно узнать, проявляется ли эта ошибка в современных системах NT, я, возможно, попробую сам.
Однако я по-прежнему утверждаю, что это пассивная технология, и ее довольно трудно обнаружить, если вообще возможно (ожидается расследование).
решение3
Сниффинг — это функция конфигурации хоста. Обнаружение сниффероввозможно с использованием некоторой эвристикиилиинструменты; однако эти методы основаны на зондах и обнаружении шаблонов трафика, поэтому это далеко за пределами возможностей ASA. Поскольку обнаружение сниффера основано на таких вещах, как шаблоны трафика, операторы умных снифферов могут обойти методы обнаружения, если они знают, что делают.
nmapеще один инструмент на уровне хоста для обнаружения открытых портов. Вы можете блокировать и отслеживать активность nmap с помощью ASAесли вы можете количественно оценить закономерности регистрации, чтобы искать(видетьlogsurfer); однако, сам ASA не имеет возможности оповещать об использовании сканера портов, вы на самом деле анализируете журналы ASA постфактум, если хотите обнаружить сканирование портов. ASA не имеет встроенных возможностей для обнаружения сканирования портов.
Вам нужна настоящая система обнаружения вторжений, которая будет выполнять те функции, которые вы ищете.