¿Hay un método o un registro de Linux para registrar las direcciones IP (y otros datos de la red) que intentan comunicarse con una computadora portátil que se encuentra dentro de una red empresarial desde esa computadora portátil sin ejecutar pcap, pensando en el entorno BYOD?
Por ejemplo, si estoy sentado en una red empresarial y me gustaría ver "quién hoy intentó hablar conmigo, ya sea benigno o potencialmente malicioso" ... podría ver "IP X envió 2 paquetes ICMP en
Una forma fácil de registrar cualquier intento de conexión entrante (o saliente) es usar IPtables. IPtables tiene la capacidad de registrar información arbitraria en el registro del sistema. Una forma fácil de lograr esto es configurar una regla en la cadena de ENTRADA que envíe todo el tráfico no aceptado a una nueva cadena de REGISTRO, que enviará esos paquetes a syslog y finalmente los eliminará.
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
Luego, puedes ver tu syslog con: tail -f /var/log/<log_file> | grep IPTables-Dropped
Fuente: enlace
Lea otras preguntas en las etiquetas network byod logging monitoring