Como ahora sé que su pregunta es teórica, puedo responderla mejor sobre cómo puede configurar su red para que pueda contarlo. La forma exacta de configurarlo variará de un dispositivo a otro, pero hay muchas opciones disponibles. La clave es que necesita un dispositivo capaz de iniciar sesión que se encuentre en una ubicación de la red y que todo lo que la persona haga lo haga.
Para una red doméstica promedio, este podría ser el punto de acceso inalámbrico, el enrutador o, si corresponde, la puerta de enlace o el firewall. El punto de acceso inalámbrico obtendrá la información correcta a medida que se conecte a la red y se asegurará de que se registre toda la actividad que ingresa a la red inalámbrica, pero si fueran a usar su conexión inalámbrica para comprometer un sistema cableado y luego usar el cableado sistema, tendría un registro incompleto.
Lo más probable es que el enrutador también sirva como puerta de enlace y cortafuegos (el dispositivo que proporciona al resto de la red acceso a Internet y garantiza que Internet no tenga acceso no deseado a la red privada). El registro en la puerta de enlace y / o firewall garantiza que se registre todo el tráfico saliente, pero no le dirá nada sobre lo que el intruso hizo internamente en su red.
En la mayoría de las redes domésticas, ya que solo hay un enrutador y, por lo general, también sirve como punto de acceso inalámbrico, puerta de enlace y firewall, terminará teniendo acceso a todas las conexiones que fluyen a través de la red. Puede que no tenga acceso a todos los contenidos de los paquetes que enruta (si se usa el cifrado), pero al menos (por necesidad) tiene acceso a la información de enrutamiento (es decir, de dónde proviene y adónde va). Este es probablemente el mejor lugar para iniciar sesión en una red doméstica.
La mayoría de los enrutadores de consumo no tienen este tipo de registro de forma predeterminada, sin embargo, los firmwares de terceros como DD-WRT a menudo agregan la capacidad de registro a los enrutadores que pueden escribir en una tienda interna (espacio limitado) o en una red compartida. Exactamente qué información se puede almacenar y cómo se formatea varía de un dispositivo a otro, pero en general la información como la dirección IP y MAC del cliente, así como la dirección IP, el puerto y el protocolo de destino solicitados (como TCP o UDP) también como una marca de tiempo puede darle mucho de lo que necesita para obtener al menos una idea general de lo que estaba pasando.
Si el espacio no es un objeto, incluso puede ser posible registrar el contenido de cada paquete enviado a través de la red, pero será una gran cantidad de espacio y puede que no sea seguro excluir las direcciones MAC "conocidas" de la red. iniciar sesión para intentar reducir la cantidad, ya que la simulación de MAC es bastante fácil en una red inalámbrica. (IE, el intruso puede verse como una máquina válida) Por supuesto, si va a tener este tipo de longitud, también puede hacer un certificado por máquina y / o no usar una tecla débil en cuyo punto es probable que el problema Se evitará en primer lugar.