ファイアウォールはネットワーク内のトラフィックスニッフィングを検出できますか？

パケットトレース（wiresharkが行うこと）は検出できません。ネットワーク上にすでに存在するデータを読み取るだけなので、完全にパッシブです。

nmapはスニファのようなものではなく、パケットを送受信するアクティブなネットワークプローブです。

後者は、snortなどのアプリケーションで検出できます。 CiscoASAにはこの機能がありません。

パケットスニッフィングは主にパッシブテクノロジーであり、wiresharkなどのプログラムでは、インターフェイスがプロミスキャスモードに設定され、すべてのデータがリッスンされますが、処理されません。そのため、ネットワーク内でこのようなリスニングを検出する方法はありません。また、このようなアクティビティをブロックする試みは、パケットスニファがローカルサブネット上にあるという事実によって制限されます。ただし、すべてのコンピュータを個別にファイアウォールで保護しない限り、スニファがネットワーク上でリッスンするのをブロックすることはできません。

ただし、スイッチが適切な場所に近づいている場合、スイッチにモニターポートを構成してからこのモニターポートにスニファーを接続しない限り、すべてのトラフィックがスニファーに到達するわけではないことにも注意してください。これによってスニッフィングが完全に役に立たなくなるわけではありません。一部のトラフィックはスニファーにヒットしますが、あるホストから送信された別のホスト向けのデータは、スニファーにヒットしない場合もあります。

ネットワーク内のパケットスニッフィングについて本当に心配している場合は、パケットスニファがリッスンしてデータを見つけたとしても、できるだけ多くのプロトコルに暗号化を実装するのが最善の策です。 。

ただし、nmapなどのポートスキャンはアクティブなテクノロジーであるため、ゲートウェイのスキャンを回避するのに十分な賢明な方法がない限り、ネットワーク内で検出される可能性があります。その時点で、ユーザーによっては再びデクトできない可能性があります。スイッチ。

<-編集->

@Mike Penningtonが述べているように、検出方法はいくつかありますが、wiresharkに影響を与えるのは1つだけです。これは、標準のWindowsドライバーのプロミスキャスモードのバグであり、詳細については彼のハイパーリンクを参照してください。

このバグが最近のNTシステムでまだ明らかであるかどうかを確認したいので、自分で試してみるかもしれません。

しかし、それは受動的な技術であり、可能であれば検出するのはかなり難しいと私はまだ主張しています（調査待ち）。

スニッフィングはホスト構成の機能です。スニファの検出 いくつかのヒューリスティックを使用して可能 または ツール ;ただし、これらの手法はプローブとトラフィックパターンの検出に依存しているため、これはASAの機能をはるかに超えています。スニファ検出はトラフィックパターンなどに依存しているため、スマートスニファオペレータは、自分が何をしているかを知っていれば、検出技術を回避できます。

nmap は、開いているポートを検出するためのもう1つのホストレベルのツールです。ロギングパターンを定量化して検索できる場合は、ASAを使用してnmapアクティビティをブロックおよび追跡できます（ logsurfer を参照）。ただし、ASA自体にはポートスキャナーの使用状況を警告する機能がありません。ポートスキャンを検出する場合は、事後に実際にASAログを分析しています。 ASAには、ポートスキャン自体を検出するための組み込み機能はありません。

探している種類の機能を実行するには、実際の侵入検知システムが必要です。