Quiero verificar mi sistema de detección de intrusiones en la red (intrusiones físicas como dispositivos o dispositivos no autorizados en wifi / Ethernet). Hasta ahora todo está bien, pero me preguntaba si bloquearía cada consulta en mi servidor con iptables, mi servidor todavía detectará la intrusión. ¿Hay una manera de probar esto o es simplemente ridículo?
Aclaración:
Utilizo un servidor que sigue explorando toda la red (utilizando pings y escuchando paquetes que usan tcpdump) en busca de cualquier dispositivo nuevo que se conecte a la red y genere un informe. Lo que estoy intentando probar es que si configuro un dispositivo para ignorar las sondas del servidor, ¿aún se puede detectar?
Explicación extensa:
En realidad, hago pasivo y activo escaneando la red. Pasivo, escuchando paquetes extraños de dispositivos no autorizados y haciendo ping a direcciones aleatorias activas para encontrar a alguien que pueda estar simplemente escuchando. Entonces, ¿es realmente seguro, no?