4 votos

Puede nuestro firewall de detectar el tráfico de esnifar dentro de la red?

Utilizamos Cisco ASA firewall y NAT funciones en nuestra red (200 equipos).

Hay alguna posibilidad de configurar Cisco ASA para detectar el tráfico de sniffering (por ejemplo wireshark) y de inspección de red(por ejemplo, "nmap -sP 192.168.0.*") dentro de nuestra red?

No hay herramienta llamada "antisniff" en linux, routers, ¿ ASA analógico?

3voto

adaptr Puntos14002

Paquete de seguimiento (lo que wireshark) es indetectable, y punto. Simplemente lee los datos ya presentes en la red y por lo tanto es totalmente pasivo.

nmap no es nada como un sniffer - es un activo de la sonda de red que envía y recibe paquetes.

El último podría ser detectado con aplicaciones tales como snort; el Cisco ASA no tiene esta capacidad.

2voto

Alex Berry Puntos1807

Packet sniffing es principalmente una tecnología pasiva, en programas como wireshark de una interfaz se establece en modo promiscuo y todos los datos que se escucha, pero no actuó. Como tal, no hay manera de detectar nada como esta escuchando en el interior de su red. Además, cualquier intento de bloquear este tipo de actividad está limitada por el hecho de que el sniffer de paquetes será en la subred local, a menos que el firewall de cada equipo individualmente usted no será capaz de bloquear un sniffer de escuchar en la red.

Tenga en cuenta también, sin embargo, que si usted tiene interruptores de acercarse a cualquier lugar cerca decente, no todo el tráfico va a estar golpeando el sniffer a menos que usted haya configurado un puerto de monitor en los interruptores y, a continuación, enchufe el sniffer en este puerto de monitor. Esto no te hace oler completamente inútil, algunos de tráfico todavía golpear el sniffer, pero los datos enviados desde un host destinado a otro host totalmente no puede ni siquiera entrar en el sniffer.

Si usted está realmente preocupado acerca de la detección de paquetes dentro de la red su mejor apuesta va a ser para implementar el cifrado como muchos de los protocolos que apreciamos como sea posible, de esa manera, incluso si un sniffer de paquetes se escucha y se encontró de datos, sería ilegible.

Escaneo de puertos como nmap logra, sin embargo, es un activo de la tecnología y, como tal, puede ser detectado dentro de la red, a menos que la persona que la utiliza es lo suficientemente sabio como para evitar la detección de la puerta de enlace, punto en el cual puede convertirse en undectable de nuevo dependiendo de los modificadores.

<-- edit -->

Como @Mike Pennington ha indicado, hay un par de métodos de detección, aunque sólo puedo ver afectaría wireshark, siendo el modo promiscuo error en el controlador estándar de windows, leer su hipervínculo para obtener más detalles.

Me interesaría ver si este error es todavía evidente en los modernos sistemas de, yo podría darle una oportunidad a mí mismo.

Sigo manteniendo que es una tecnología pasiva, aunque, y es bastante difícil de detectar, si es posible (pendiente de investigación).

1voto

Mike Pennington Puntos6056

Oler es una función de host de configuración. Detección de sniffers es posible mediante el uso de algunas heurísticas o herramientas; sin embargo, estas técnicas se basan en señales de tráfico y detección de patrones, así que esto está muy lejos de las capacidades de la ASA. Desde sniffer de detección se basa en cosas como los patrones de tráfico, inteligente sniffer operadores pueden eludir las técnicas de detección si saben lo que están haciendo.

nmap es otro nivel de host herramienta para detectar puertos abiertos. Usted puede bloquear y pista de nmap actividad utilizando un ASA si se puede cuantificar el registro de los patrones a buscar (ver logsurfer); sin embargo, el ASA no tiene la capacidad de alerta en el puerto-el uso del escáner, realmente eres el análisis de la ASA registros después de que el hecho de si se quiere detectar la exploración de puertos. El ASA no tiene incorporado en las capacidades para detectar puerto-análisis del mismo.

Usted necesita un verdadero Sistema de Detección de Intrusiones para hacer el tipo de funciones que usted está buscando.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;