Tengo una red de pequeñas empresas que consta de ca. 15 dispositivos, unos conmutadores y dos enrutadores. Recientemente, se me ocurrió que todas las medidas de seguridad que he estado tomando no son muy productivas: o bien bloquean algunos puertos (o, para ser más específicos, todos los puertos excepto algunos) o monitorizo de forma retroactiva lo que sucede en la red.
Por ejemplo, tengo un dispositivo NAS que normalmente no tiene comunicación con Internet. Soy el único que inicia sesión en él (lo que también podría confirmar desde los registros del servidor). Sin embargo, al usar las herramientas de monitoreo de tráfico en mi Ubiquiti EdgeRouter Lite, pude ver que el dispositivo tenía comunicación SSL con algo / alguien en algún lugar. Como no tengo ningún rastreo permanente de tráfico, no tengo ni idea ni forma de averiguar por qué o con quién sucedió esto.
¿Existe una solución factible para que una pequeña empresa maneje mejor este tipo de situaciones, por ejemplo? ¿Establece algunos patrones de comportamiento habituales para dispositivos de red y comienza a monitorearlos y crea alertas cuando el comportamiento observado se desvía de los patrones habituales asumidos? Por ejemplo, me gustaría especificar que si el servidor en 192.168.199.100 se comunica con cualquier dispositivo en Internet, debería recibir un correo electrónico, o si el servidor en 192.168.199.101 usa cualquier protocolo excepto FTP con un servidor fuera de un país específico se debe impedir que se comunique con Internet.