si hay un escaneo de puertos en el mismo segmento y no llega al firewall, no es detectable por nada. ¿Hay alguna solución para eso? ¿Tal vez usando Windows FW en la estación de trabajo para monitorear? ¿Hay alguna forma de crear una regla tal vez definida por el usuario utilizando un cortafuegos de Windows predeterminado, que detecte cuándo hay muchos intentos de conectarse al host utilizando varios puertos y luego crear un evento de seguridad? ¿Algo así se puede imponer usando gpo o algo?
No estoy seguro de lo que está preguntando, por lo que responderé según lo que entiendo:
si hay un escaneo de puerto en el mismo segmento y no alcanza el firewall en absoluto, no es detectable por nada.
Esto tiene poco sentido. Si hay un escaneo de puertos en la misma RED y no llega al firewall, ¿no es detectable por nada? Considere la siguiente red interna:
Network 10.10.10.0
Subnet 255.255.255.0
Router 10.10.10.1
Firewall 10.10.10.2
Si estoy en 10.10.10.3 y escaneo 10.10.10.4 mi escaneo de puerto puede o no ser detectado en el firewall dependiendo de su configuración. Una vez, hubo " PortMagic " escaneo de puertos detector para Windows, pero no lo instalaría en NINGUNA COSTA sino en una PC doméstica. No es una herramienta comercial, e incluso si lo fuera, probablemente confundirías a tus usuarios o los harías paranoicos.
En segundo lugar, los atacantes pueden alterar la exploración de puertos mediante el uso de señuelos y, a menos que configure estas herramientas automatizadas correctamente, está haciendo más daño que beneficio. Por ejemplo, si configuró un bloqueo automático, considere escanear su máquina con la IP de 10.10.10.10 con la siguiente sintaxis:
nmap -sS -vvv -D 10.10.10.2,10.10.10.1 10.10.10.10
-D 10.10.10.2,10.10.10.1 estos señuelos que estoy usando serán bloqueados por 10.10.10.10 lo que significa que la máquina estará fuera de línea. Solo porque una máquina está siendo escaneada en puertos, no significa que alguien TENDRÁ hackear esa máquina. Todo se reduce a si la máquina es vulnerable o no, y si esa vulnerabilidad es EXPLOTABLE .
Piensa en una casa. Cada casa tiene ventanas. Cada casa es vulnerable . Su casa tiene un guardia de seguridad en servicio, con Rottweilers dentro de una cerca alrededor del perímetro. Les puedo asegurar que su casa no es explotable. Al menos no tan fácil como la casa sin protecciones. Sin embargo, incluso esta analogía no es tan buena porque algunas casas tienen más ventanas que otras. ¿Qué hay detrás de esas ventanas? (por ejemplo, qué servicios está ejecutando y que alguien puede explotar).
En resumen , tendrás que usar un paquete sniffer para detectar tráfico Eso no está destinado para su computadora. Esto requiere que su interfaz de red esté configurada en el modo 'monitor' para aprovechar la forma en que las redes enrutan los paquetes. No todas las tarjetas inalámbricas pueden hacer esto, tendrás que ver si la tuya es compatible.
Dos ejemplos de detectores de red son Wireshark y tcpdump .
Si desea ir un paso más allá, use un IDS como Snort , como se muestra en estos ejemplos de topología de red . Esta sería la forma óptima para que usted se identifique y proteja contra el tráfico malicioso destinado a su red.
Lea otras preguntas en las etiquetas firewalls windows monitoring
