我们的网络(200 台计算机)中使用 Cisco ASA 的防火墙和 NAT 功能。
是否有可能配置 Cisco ASA 来检测网络内的流量嗅探(例如 wireshark)和网络检查(例如“nmap -sP 192.168.0.*”)?
Linux 路由器上有一种名为“antisniff”的工具,ASA 有类似的吗?
答案1
数据包跟踪(wireshark 的功能)是不可检测的。它仅读取网络上已有的数据,因此完全是被动的。
nmap 与嗅探器完全不同 - 它是一种发送和接收数据包的主动网络探测器。
后者可以通过 snort 等应用程序检测到;而 Cisco ASA 没有此功能。
答案2
数据包嗅探主要是一种被动技术,在像 wireshark 这样的程序中,接口设置为混杂模式,所有数据都会被监听,但不会执行任何操作。因此,无法检测到网络内部的此类监听。此外,任何阻止此类活动的尝试都会受到数据包嗅探器位于本地子网这一事实的限制,除非您单独为每台计算机设置防火墙,否则您将无法阻止嗅探器在网络上监听。
不过,还要记住,如果您的交换机接近正常状态,除非您在交换机上配置了监控端口,然后将嗅探器插入此监控端口,否则并非所有流量都会到达嗅探器。这并不意味着嗅探完全无用,一些流量仍会到达嗅探器,但从一个主机发送到另一个主机的数据甚至可能不会到达嗅探器。
如果您真的担心网络内部的数据包嗅探,那么最好的办法就是对尽可能多的您珍视的协议实施加密,这样,即使数据包嗅探器正在监听并发现数据,也是无法读取的。
但是,nmap 等端口扫描是一种主动技术,因此可以在网络内部检测到,除非使用它的人足够聪明,可以避免扫描网关,此时它可能会再次变得无法检测到,具体取决于您的交换机。
<-- 编辑 -->
正如@Mike Pennington 所说,有几种检测方法,但我能看到的只有一种会影响 wireshark,即标准 Windows 驱动程序中的混杂模式错误,请阅读他的超链接了解更多详细信息。
我很想知道这个错误是否仍然存在于现代 NT 系统中,我可能会自己尝试一下。
不过,我仍然坚持认为它是一种被动技术,而且很难被发现,如果可能的话(有待调查)。
答案3
嗅探是主机配置的一个功能。嗅探器的检测使用一些启发式方法可以实现或者工具;但是,这些技术依赖于探测器和流量模式检测,因此这远远超出了 ASA 的能力范围。由于嗅探器检测依赖于流量模式等因素,因此如果聪明的嗅探器操作员知道自己在做什么,他们就可以绕过检测技术。
nmap是另一种用于检测开放端口的主机级工具。您可以使用 ASA 阻止和跟踪 nmap 活动如果你能量化记录模式来寻找(看日志冲浪者);但是,ASA 本身不具备对端口扫描器使用情况发出警报的能力,如果您想检测端口扫描,您实际上是在事后分析 ASA 日志。ASA 本身没有检测端口扫描的内置功能。
您需要一个真正的入侵检测系统来实现您所寻求的功能。