Sto esaminando le opzioni per segmentare un'unità aziendale meno sicura dietro un Cisco 5505. Voglio intraprendere questa azione in modo silenzioso e trasparente per motivi politici.
Voglio sapere se è possibile alimentare l'analisi del traffico in qualche tipo di motore per analizzare una whitelist di applicazioni e porte. PER ESEMPIO. carica un paio di giorni di file pcapng e recupera un elenco di "IP.src, IP.dst, Port, Nome applicazione". Esistono strumenti per questo tipo di profilazione?
Puoi usare Wireshark per estrarre statistiche di conversazione dalle acquisizioni di pacchetti. Queste informazioni possono quindi essere ordinate attraverso per determinare quali porte vengono utilizzate regolarmente:
QuestaschermataprovienedallevocidelmenuWiresharkStatistics->Conversations.Haancheunpulsante"Copia" che ti permetterà di ottenere questi dati come CSV; è quindi possibile estrarre le porte di destinazione semplicemente:
gawk -F, '{print $4}' convo.csv | sort | uniq -c
o eseguire analisi più complesse in base all'origine e alla destinazione. Personalmente, se lo facessi, caricarei il CSV in un database SQLite per facilitare l'interrogazione in sette modi da domenica.
Puoi anche automatizzare l'estrazione delle statistiche di conversazione usando tshark per ridurre il carico di lavoro - meno cliccoso, più pratico.
Non so se comprendo abbastanza bene la tua domanda, ma per me sembra che tutto ciò che vuoi veramente sia aprire i file pcapng in Wireshark .
Forse la mia risposta è totalmente fuori strada. Se questo è il caso, si prega di specificare ulteriormente la domanda.
Leggi altre domande sui tag monitoring firewalls risk-management packet network-scanners