Ho iniziato a pensare a come affrontare l'analisi del mio traffico di rete per informazioni relative al protocollo SSL e all'utilizzo del browser per la mia server farm web. Sospetto anche che ci siano alcuni server Web shadow (legacy, sconosciuti) in esecuzione sulla nostra rete e mi piacerebbe provare a catturare le connessioni anche con loro.
Fondamentalmente sto cercando una soluzione economica che possa:
- Registra tutte le connessioni e il loro protocollo, in modo simile a come Wireshark registri src / dst e protocollo, ma non raccoglie i dati stessi. Basta intestazione e informazioni sul tipo di protocollo. (ad esempio indirizzi IP sorgente / destinazione, protocollo e qualsiasi versione / dettagli del protocollo, come la versione SSL / TLS, ecc ...)
- Per la connessione HTTP, registra l'attributo "User-Agent" del browser. (quindi posso costruire passivamente un po 'di una versione browser / immagine di compatibilità)
- Essere in grado di farlo per porte non standard sarebbe un vantaggio. Limitare la raccolta ai soli protocolli specifici sarebbe un'idea. per esempio. raccogliere solo HTTP, SSL e TLS.
finirei per collegare un server dedicato alla raccolta di queste informazioni in una porta con mirroring su ogni switch sotto il mio controllo.
Ciò aiuterebbe a seguire attività come:
- Scopri quali servizi web consentono versioni SSL / TLS deboli. per esempio. se vedo SSLv2 / 3, prenderei in considerazione la possibilità di trovare e riconfigurare quei server Web al minimo TLS v1.1.
- Ottenere un'immagine della marca e della versione del browser Web dell'utente finale, in modo da poter prendere decisioni su quali modifiche di sicurezza minime potrebbero essere apportate in modo sicuro. per esempio. se il 15% dei browser sono IE8 su Vista (!) che non supporta TLSv1.1 +, vorrei sapere in anticipo. Inoltre, potrei rivedere quegli IP e determinare se alcuni di essi sono risorse di rete legacy che dovrebbero essere investigate, non solo alcuni utenti finali con software scaduto.
- Determina quali IP del servizio Web non sono conosciuti, quindi potrei rintracciare quei servizi.
Il motivo per cui sto chiedendo e non solo di sperimentare con tcpdump e OpenDPI sono le preoccupazioni per le prestazioni. Non sono sicuro se o cosa potrebbe accadere quando eseguo il mirroring di una porta Gigabit. Potrebbe rivelarsi difficile non solo acquisire queste informazioni (ricorda che non voglio un dump di pacchetti, solo informazioni sul tipo di intestazione, e possono essere record compressi, non ho bisogno di conoscere ogni singola connessione, solo src / dst / protocollo unici) ma per determinare se l'acquisizione non ha successo. per esempio. come faccio a sapere che il 50% delle connessioni è stato ignorato?
Probabilmente lo eseguirò per una settimana per consentire la creazione di un profilo utente.
Se qualcuno ha suggerimenti o raccomandazioni, sono tutto orecchie. Grazie.