Siempre puedes buscar esas tarjetas WiFi y Ethernet que están en modo promiscuo, ya que no deberían ser así. Si implementas un buen AV como sophos, puedes bloquear todos los puertos USB y unidades de CD. Bloquee los privilegios para ciertas cosas como CMD, Ejecutar y tal vez C :. Si implementa un proxy, puede filtrar el sitio web no deseado en una lista negra para que el usuario no pueda acceder a ellos y descargarlos de esa manera. Esa es más una respuesta para prevenir que para descubrir, pero espero que esto ayude.
Usando algún tipo de monitor de red, toque de red, barrido de ping u otra herramienta de monitoreo de tráfico ... No, la captura de tráfico es generalmente inestable a menos que el atacante intente hacer ruido y capturar el tráfico.
Existen herramientas de administración de sys que pueden monitorear los programas instalados en máquinas autorizadas, y puede usar control de acceso a la red para limitar Los dispositivos no autorizados acceden a la red. Sin embargo, todavía es posible que un atacante capture el tráfico. El atacante puede estar limitado a su dominio de transmisión / enrutamiento basado en conmutadores, enrutadores, VLANS si está tratando de guardar silencio; sin embargo, es posible obtener acceso para abarcar el puerto o usar algo como a PwnPlug en el punto estratégico de la red. Sin embargo, cuanta más red desee acceder, más difícil será permanecer en silencio.
En general, cuando es posible ejecutar conexiones individuales con cifrado, ya sea TLS / SSL o alguna otra cosa, es una buena manera de limitar las escuchas ilegales, pero todavía hay posibilidades de compromiso.
El mejor plan de acción, es implementar múltiples capas de protección . Esto puede incluir sensores IDS / IPS estratégicamente en la red, herramientas de monitoreo / ejecución de aplicaciones de estaciones de trabajo, control de acceso a la red, revisiones físicas del sitio, deshabilitación de puertos no utilizados, etc.
Lea otras preguntas en las etiquetas network windows network-scanners wireshark