我们在我们的networking中使用思科ASA的防火墙和NATfunction(200台计算机)。
是否有可能configurationCisco ASA检测我们的networking内的stream量嗅探(例如wireshark)和networking检查(例如“nmap -sP 192.168.0。*”)?
在linux路由器上有一个叫做“antisniff”的工具,ASA有没有类似的东西?
数据包追踪(wireshark所做的)是不可检测的,时期。 它只是读取networking上已经存在的数据,因此完全是被动的。
nmap就像一个嗅探器 – 它是一个活跃的networking探测器,发送和接收数据包。
后者可以通过snort等应用程序进行检测; 思科ASA不具备此function。
数据包嗅探主要是一种被动技术,在诸如wireshark的程序中,一个接口被设置为混杂模式,所有的数据都被聆听,而不是被操作。 因此,无法检测到您的networking内部正在侦听的任何内容。 此外,阻止这种活动的任何尝试都会受到数据包嗅探器在本地子网上的限制,除非每台计算机都单独防火墙,否则将无法阻止嗅探器在networking上侦听。
但是请记住,如果您的交换机接近正常,则不是所有的stream量都会触发嗅探器,除非您在交换机上configuration了监控端口,然后将嗅探器插入此监控端口。 这不会使嗅探完全无用,有些stream量仍然会触发嗅探器,但是从一个主机发送给另一个主机的数据完全可能甚至不能嗅探到嗅探器。
如果你真的担心networking中的数据包嗅探,那么最好的办法就是在尽可能多的协议上实现encryption,这样即使数据包嗅探器正在监听和发现数据,也是不可读的。
端口扫描,如nmap完成,但是,是一种活跃的技术,因此,可以在networking内部检测到,除非使用它的人是足够明智的,以避免扫描网关,在这一点上,它可能会变得不可取决于你的开关。
< – 编辑 – >
正如@Mike Pennington所说,有几种检测方法,虽然只有一个我可以看到会影响wireshark,因为标准windows驱动程序中的混杂模式错误,请阅读他的超链接了解更多细节。
我有兴趣看看这个bug在现代NT系统中是否仍然很明显,我可能会自己去做。
尽pipe如此,我仍然认为这是一种被动技术,而且如果可能的话,还很难察觉(待调查)。
嗅探是主机configuration的一个function。 使用一些启发式或工具 来检测嗅探器是可能的 ; 然而,这些技术依赖于探测和stream量模式检测,所以这远远超出了ASA的能力。 由于嗅探器检测依赖于stream量模式,所以智能嗅探器操作员可以绕过检测技术,如果他们知道他们在做什么。
nmap是检测开放端口的另一个主机级工具。 如果您可以量化日志logging模式以查找 (请参阅logsurfer ), 则可以使用ASA阻止和跟踪nmap活动; 然而,ASA本身没有能力警告端口扫描器的使用情况,如果你想检测端口扫描,你真的在分析ASA日志。 ASA没有内置的检测端口扫描function的能力。
你需要一个真正的入侵检测系统来做你正在寻找的function。