我們在網路(200 台電腦)中使用 Cisco ASA 的防火牆和 NAT 功能。
是否可以設定 Cisco ASA 來偵測我們網路內的流量嗅探(例如wireshark)和網路檢查(例如「nmap -sP 192.168.0.*」)?
Linux路由器上有一個名為「antisniff」的工具,ASA有類似的嗎?
答案1
資料包追蹤(wireshark 所做的)是無法偵測到的。它只會讀取網路上已有的數據,因此完全是被動的。
nmap 與嗅探器完全不同—它是一個發送和接收資料包的主動網路偵測器。
後者可以透過 snort 等應用程式檢測; Cisco ASA 不具備此功能。
答案2
資料包嗅探主要是一種被動技術,在wireshark等程式中,介面被設定為混雜模式,所有資料都會被監聽,但不會採取行動。因此,無法偵測到網路中類似的監聽行為。此外,任何阻止此類活動的嘗試都會受到封包嗅探器位於本機子網路上這一事實的限制,除非您單獨對每台電腦進行防火牆,否則您將無法阻止嗅探器在網路上偵聽。
但請記住,如果您的交換器接近體面,則並非所有流量都會到達嗅探器,除非您在交換器上配置了監控端口,然後將嗅探器插入此監控端口。這並不會使嗅探完全無用,有些流量仍然會到達嗅探器,但從一台主機發送到另一台主機的資料甚至可能完全不會到達嗅探器。
如果您真的擔心網路內部的資料包嗅探,那麼最好的選擇是對您所珍視的盡可能多的協定實施加密,這樣即使資料包嗅探器正在監聽並發現數據,它也將是不可讀的。
然而,諸如nmap 之類的連接埠掃描是一項主動技術,因此可以在網路內部檢測到,除非使用它的人足夠聰明,可以避免掃描網關,此時它可能會再次變得不可檢測,具體取決於您的情況開關。
<-- 編輯 -->
正如@Mike Pennington 所說,有幾種檢測方法,儘管我看到的只有一種會影響wireshark,即標準Windows 驅動程式中的混雜模式錯誤,請閱讀他的超連結以獲取更多詳細資訊。
我有興趣看看這個錯誤在現代 NT 系統中是否仍然明顯,我可能會自己嘗試一下。
不過,我仍然認為這是一種被動技術,如果可能的話,很難被偵測到(有待調查)。
答案3
嗅探是主機配置的功能。嗅探器的偵測可以使用一些啟發式方法或者工具;然而,這些技術依賴於探測和流量模式檢測,因此這遠遠超出了 ASA 的能力範圍。由於嗅探器偵測依賴流量模式等因素,因此聰明的嗅探器操作員如果知道自己在做什麼,就可以繞過偵測技術。
nmap是另一個偵測開放連接埠的主機級工具。您可以使用 ASA 阻止和追蹤 nmap 活動如果您可以量化要尋找的日誌記錄模式(看日誌衝浪者);然而,ASA 本身沒有能力對連接埠掃描器的使用情況發出警報,如果您想偵測連接埠掃描,您實際上是在事後分析 ASA 日誌。 ASA 本身沒有偵測連接埠掃描的內建功能。
您需要一個真正的入侵偵測系統來執行您正在尋找的功能。