Empecé a pensar en cómo abordar el análisis del tráfico de mi red para obtener información relacionada con SSL y el uso del navegador para mi granja de servidores web. También sospecho que hay algunos servidores web ocultos (heredados, desconocidos) que se ejecutan en nuestra red y me gustaría intentar capturar conexiones a ellos también.
Básicamente estoy buscando una solución barata que pueda:
- Registre todas las conexiones y su protocolo, de manera similar a cómo Wireshark registrará src / dst y el protocolo, pero no recopilará los datos en sí. Sólo el encabezado y la información de tipo de protocolo. (por ejemplo, direcciones IP de origen / destino, protocolo y cualquier versión / detalles del protocolo, como la versión SSL / TLS, etc.)
- Para la conexión HTTP, registre el atributo "Usuario-Agente" del navegador. (para que pueda compilar pasivamente un poco de una versión de navegador / imagen de compatibilidad)
- Ser capaz de hacerlo para puertos no estándar sería una ventaja. Limitar la colección a solo protocolos específicos sería idea. p.ej. solo recopila HTTP, SSL y TLS.
Terminaría conectando un servidor dedicado a recopilar esta información en un puerto duplicado en cada conmutador bajo mi control.
Esto ayudaría con el seguimiento de actividades como:
- Averigüe qué servicios web están permitiendo versiones débiles de SSL / TLS. p.ej. Si veo algún SSLv2 / 3, consideraría encontrar y volver a configurar esos servidores web al mínimo TLS v1.1.
- Obtenga una imagen de la marca y la versión del navegador web del usuario final, de modo que pueda tomar decisiones sobre qué cambios mínimos de seguridad se pueden realizar de manera segura. p.ej. Si el 15% de los navegadores son IE8 en Vista (!) que no es compatible con TLSv1.1 +, lo sabría de antemano. Además, podría revisar esas IP y determinar si alguna de ellas son recursos de red heredados que deben investigarse, no solo un usuario final con software obsoleto.
- Determine qué direcciones IP de servicios web no son conocidas para poder rastrear esos servicios.
La razón por la que pregunto y no solo aullando con la experimentación con tcpdump y OpenDPI son las preocupaciones de rendimiento. No estoy seguro de qué sucederá cuando refleje un puerto Gigabit. Puede resultar difícil no solo capturar esta información (recuerde que no quiero un volcado de paquetes, solo información de tipo de encabezado, y pueden ser registros colapsados, no necesito conocer cada conexión, solo la src / dst / protocolos únicos) pero para determinar si la captura no se ha realizado correctamente. p.ej. ¿Cómo sabría que el 50% de las conexiones se ignoraron?
Probablemente ejecutaría esto durante una semana para permitir que un perfil de usuario se acumule.
Si alguien tiene alguna sugerencia o recomendación, soy todo oídos. Gracias.