O nosso firewall pode detectar sniffing de tráfego dentro da rede?

4

Usamos as funções de firewall e NAT do Cisco ASA em nossa rede (200 computadores).

Existe alguma possibilidade de configurar o Cisco ASA para detectar sniffering de tráfego (por exemplo, wireshark) e inspeção de rede (por exemplo, "nmap -sP 192.168.0. *") dentro de nossa rede?

Existe uma ferramenta chamada "antisniff" nos roteadores Linux. O ASA tem algum analógico?

    
por Arthur Elimhanov 23.08.2012 / 09:06

3 respostas

3

Rastreio de pacotes (o que o wireshark faz) é indetectável, ponto final. Ele meramente lê dados já presentes na rede e, portanto, é totalmente passivo.

O nmap não é nada como um sniffer - é uma sonda de rede ativa que envia e recebe pacotes.

O último pode ser detectado com aplicativos como o snort; o Cisco ASA não tem esse recurso.

    
por 23.08.2012 / 09:43
2

O sniffing de pacotes é principalmente uma tecnologia passiva, em programas como o wireshark, uma interface é configurada para o modo promíscuo e todos os dados são escutados, mas não executados. Como tal, não há como detectar nada parecido com isso em sua rede. Além disso, qualquer tentativa de bloquear tal atividade é limitada pelo fato de o sniffer de pacotes estar na sub-rede local, a menos que você firewallize cada computador individualmente, você não seria capaz de bloquear um sniffer de escutar na rede.

Lembre-se também, porém, que se você tiver switches aproximando-se de algo decente, nem todo o tráfego estará atingindo o sniffer, a menos que você tenha configurado uma porta de monitor nos switches e conecte o sniffer a essa porta de monitor. Isso não torna o sniffing totalmente inútil, algum tráfego ainda atingirá o sniffer, mas os dados enviados de um host destinado a outro host podem nem atingir o sniffer.

Se você está realmente preocupado com o sniffing de pacotes dentro de sua rede, sua melhor aposta será implementar a criptografia em quantos protocolos desejar, dessa forma, mesmo que um sniffer de pacotes estivesse ouvindo e encontrasse dados, seria ilegível.

A varredura de portas, como o nmap, é uma tecnologia ativa e, como tal, pode ser detectada dentro da rede, a menos que a pessoa seja sábia o suficiente para evitar a varredura do gateway, podendo ficar indetectável novamente dependendo dos seus comutadores.

< - edit - >

Como disse @Mike Pennington, existem alguns métodos de detecção, embora somente um que eu possa ver possa afetar o wireshark, sendo o bug do modo promíscuo no driver padrão do Windows, leia seu hyperlink para mais detalhes.

Eu estaria interessado em ver se esse bug ainda é aparente nos sistemas modernos do NT, eu mesmo poderia tentar.

Eu ainda mantenho que é uma tecnologia passiva, e é bem difícil de detectar, se possível (investigação pendente).

    
por 23.08.2012 / 10:01
1

O sniffing é uma função da configuração do host. A detecção de sniffers é possível usando algumas heurísticas ou ; no entanto, essas técnicas dependem de sondagens e detecção de padrões de tráfego, portanto, isso está muito além dos recursos do ASA. Como a detecção de sniffers se baseia em padrões de tráfego, os operadores de sniffer inteligentes podem contornar as técnicas de detecção se souberem o que estão fazendo.

nmap é outra ferramenta no nível do host para detectar portas abertas. Você pode bloquear e rastrear a atividade do nmap usando um ASA se puder quantificar os padrões de registro para procurar (consulte logsurfer ); no entanto, o próprio ASA não tem a capacidade de alertar sobre o uso do scanner de portas; você está realmente analisando os logs do ASA após o fato, se quiser detectar o escaneamento de portas. O ASA não possui recursos integrados para detectar as verificações de porta em si.

Você precisa de um sistema de detecção de invasões real para realizar o tipo de função que está procurando.

    
por 23.08.2012 / 09:50