Wireshark es una aplicación de análisis de protocolos. El analizador de protocolos mostrará la IP de origen, la IP de destino y los servicios que se ejecutan en su red. Por supuesto, verá una gran cantidad de análisis asociados con cosas como los 10 mejores conversadores, los 10 mejores protocolos, etc.
Eso produce mucho ruido y no querrás mirar esto todo el día para determinar si estás siendo entrometido. Desea algo más automático que filtre el ruido y solo informe si sucedió un cierto conjunto de eventos. Ese tipo de alerta realmente pertenece al dominio de un sensor de detección de intrusos (IDS) que procesará el tráfico y luego detonará alertas cuando se cumplan los umbrales.
Sin embargo, un analizador de protocolos es bueno de entender. Puede usarlo para probar listas de control de acceso (ACL), por ejemplo. Si tiene un servidor web en una red DMZ que intenta conectarse a través del protocolo MS SQL, el analizador de protocolos mostrará la IP del servidor web que ingresa a través del firewall al servidor MS SQL utilizando el puerto TCP 1433 (protocolo MS SQL).
- ¿Hay algún programa que me permita transmitir juegos de una computadora a otra a través de Internet?
- ¿Cómo funciona la multiplexación y demultiplexación en el protocolo tcp / IP?
- ¿Cuál es la diferencia entre un ingeniero de redes y un ingeniero de redes IP?
- No tengo conexión a Internet cada vez que inicio mi PC. Tengo que reiniciar mi PC para que funcione la conexión a Internet. ¿Por qué?
- ¿Qué es un socket en las redes de computadoras?
Digamos que insertamos un servicio de aplicación en un servidor separado para que el servidor web le haga solicitudes, procese algún tipo de lógica de negocios y luego tenga que llegar al servidor MS SQL para realizar consultas, etc. Cambiaríamos nuestras ACL de firewall para que la dirección IP del servidor de aplicaciones pueda iniciar las comunicaciones TCP 1433 con la dirección IP del servidor de la base de datos, pero se denegará el resto del tráfico, incluido el tráfico TCP 1433 procedente del servidor web. Ahora, podemos realizar una consulta desde el servidor web a MS SQL a través de TCP 1433. Si el firewall funciona, entonces debería denegar este tráfico y no veríamos esta IP de origen. Si vemos que el tráfico TCP 1433 proviene del servidor web, tendremos que investigar nuestras ACL. Por el contrario, si el protocolo analizado muestra que el cortafuegos pasa correctamente el tráfico del servidor de aplicaciones al servidor MS SQL, pero no obtenemos una respuesta, entonces podríamos investigar y ver si un cortafuegos está configurado en el sistema operativo del servidor que podría tener un bloqueo de ACL.
La otra cosa que puede encontrar es el tráfico que no esperaba. Recuerdo una situación a fines de la década de 1990 en la que estaba usando un analizador de protocolos para solucionar una tormenta de transmisión en el sitio de un cliente. El problema era que los administradores del sistema del sitio se habían vuelto locos con la implementación del servidor de Windows en todo lo que estaba a la vista, incluidas sus propias estaciones de trabajo. Windows tenía un error por el cual todos los servidores iniciarían una elección de navegador maestro cada 4 horas, lo que provocó una gran tormenta de transmisión que saturó la red. La solución fue establecer un servidor como el navegador maestro. También encontré algo de tráfico IPX (protocolo Novell Netware) en el enlace Ethernet. Tuvimos que buscar físicamente las instalaciones de este servidor y en realidad lo encontramos por encima del techo. Había sido una antigua puerta de enlace SNA utilizada para el acceso del terminal a una unidad central que había desaparecido hace mucho tiempo. Sorprendentemente, el servidor había estado funcionando durante 7 u 8 años sin reiniciar. Este es un ejemplo de algo que podría usarse, potencialmente, para un acceso de puerta trasera.
