Gli approcci citati sono un po 'confusi e spiegherò perché. In un'infrastruttura opportunamente progettata, molti dei punti elenco elencati saranno trattati:
Scansioni di rilevamento host orario - Se implementa una protezione avanzata delle porte sugli switch e utilizzato NAC - PacketFence ( dal momento che hai menzionato l'open source, l'ho fatto anche io) non dovresti preoccuparti di cosa è stato collegato. Il contatore sarebbe qualcuno che commenta: " Beh sì, ma i MAC potrebbero essere falsificati " Dico: " Se qualcuno si trova sulla tua rete PHYSICAL a spoofing degli indirizzi MAC, hai cose più importanti di cui preoccuparti: il controllo degli indirizzi di rete eseguito correttamente riduce al minimo il lancio di qualcosa sulla rete.
Rilevamento host passivo permanente tramite broadcast - Questo è stato risolto con il commento NAC, ma anche se non fosse stato, non tutti gli host rispondono alla trasmissione.
Scansione oraria di tutti gli host per nic in modalità promiscua : si tratta di un problema di autorizzazioni / problema di sistema. Un utente normale non può mettere un'interfaccia in modalità promiscua. I sistemi correttamente corretti includono l'aggiornamento del software. Senza una vulnerabilità o autorizzazioni, un utente non sarebbe in grado di attivare la modalità promiscua, con NAC, non sarebbero in grado di installare la propria macchina.
Scansione oraria di tutti gli host per l'inoltro IP attivato : ulteriore overkill. Senza le autorizzazioni per il sistema e la rete, non vedo come si verificherà l'inoltro.
Scansioni vulnerabili quotidiane "non distruttive" di tutti gli host (usando OpenVAS) - Questo è un sacco di rumore.
Molto di ciò che hai scritto riguarda l'allineamento con l'approccio "castello" alla sicurezza. È qui che continui a costruire per impedire di entrare. In questo caso, invece di guardare ciò che hai e come usarlo, stai aggiungendo ulteriori problemi lungo la strada. L'auditing del conto (registrare i comandi sudo, controllare chi può fare ciò che è un amministratore) è un approccio migliore rispetto a chiedersi se qualcuno sta mettendo qualcosa in modalità promiscua. L'implementazione di NAC mantiene i sistemi non testati e non verificati dalla rete. È un due punch: "nessuna macchina casuale, nessuna macchina esistente può essere manomessa, non ci sono vulnerabilità". È un approccio più rapido, più efficace e più scalabile rispetto a quello che hai citato.