Может ли наш брандмауэр обнаруживать перехват трафика внутри сети?

Трассировка пакетов (что делает wireshark) не обнаруживается, точка. Он просто читает данные, уже присутствующие в сети, и, следовательно, является полностью пассивным.

Nmap - это не что иное, как анализатор - это активный сетевой зонд, который отправляет и получает пакеты.

Последний может быть обнаружен с помощью таких приложений, как snort; Cisco ASA не имеет этой возможности.

Обнаружение пакетов - это в основном пассивная технология, в таких программах, как wireshark, интерфейс настроен на случайный режим, и все данные прослушиваются, но не обрабатываются. Таким образом, нет способа обнаружить что-либо подобное прослушиванию внутри вашей сети. Кроме того, любая попытка заблокировать такую ​​активность ограничена тем фактом, что анализатор пакетов будет находиться в локальной подсети, если вы не настроите брандмауэр для каждого компьютера отдельно, вы не сможете заблокировать прослушивание в сети.

Имейте в виду, однако, что, если у вас есть коммутаторы, приближающиеся где-нибудь близко к приличному, не весь трафик будет поражать анализатор, если вы не настроили порт монитора на коммутаторах, а затем подключили анализатор к этому порту монитора. Это не делает прослушивание полностью бесполезным, некоторый трафик все равно попадет на анализатор, но данные, отправленные с одного хоста, предназначенного для другого хоста, могут даже не попасть в анализатор.

Если вы действительно беспокоитесь о перехвате пакетов в вашей сети, лучше всего будет внедрить шифрование на как можно большем количестве протоколов, которые вам дороги, таким образом, даже если перехватчик пакетов прослушивал и находил данные, он был бы нечитаемым,

Сканирование портов, такое как nmap, однако, является активной технологией и, как таковое, может быть обнаружено внутри сети, если только человек, использующий его, не достаточно мудр, чтобы избежать сканирования шлюза, и в этот момент он может снова стать не обнаруживаемым, в зависимости от вашего переключатели.

<- редактировать ->

Как сказал @Mike Pennington, есть несколько методов обнаружения, хотя только один из них, который я вижу, может повлиять на wireshark, являющийся ошибкой в ​​беспорядочном режиме в стандартном драйвере Windows, прочитайте его гиперссылку для более подробной информации.

Мне было бы интересно посмотреть, если эта ошибка все еще заметна в современных системах NT, я мог бы попробовать сам.

Я по-прежнему утверждаю, что это пассивная технология, и ее довольно сложно обнаружить, если это вообще возможно (в ожидании расследования).

Обнюхивание является функцией конфигурации хоста. Обнаружение снифферов возможно с использованием некоторых эвристик или инструментов; однако эти методы основаны на пробах и обнаружении шаблонов трафика, так что это далеко за пределами возможностей ASA. Поскольку обнаружение перехватчиков зависит от таких факторов, как модели трафика, операторы интеллектуальных перехватчиков могут обойти методы обнаружения, если они знают, что делают.

nmap это еще один инструмент уровня хоста для обнаружения открытых портов. Вы можете блокировать и отслеживать действия nmap с помощью ASA, если можете количественно определить шаблоны журналов для поиска (см. Logsurfer); однако сама ASA не имеет возможности предупреждать об использовании сканера портов, вы действительно анализируете журналы ASA после факта, если вы хотите обнаружить сканирование портов. ASA не имеет встроенных возможностей для обнаружения сканирования портов самостоятельно.

Вам нужна настоящая система обнаружения вторжений, чтобы выполнять те функции, которые вы ищете.