Windows Server 2008/2003 - determina todas as portas de rede local “usadas”

4

Eu fui encarregado de ativar o firewall local em mais de 100 servidores. Os sistemas estão executando muitos aplicativos diferentes usando muitas portas diferentes. Comecei com uma varredura nmap, mas sem ir a cada sistema e observar o fluxo de dados (tcpdump) não consigo pensar em uma maneira que eu possa ver se essas portas abertas estão realmente sendo conectadas e utilizadas. Eu sei que há maneiras difíceis de fazer isso, mas espero que também seja fácil.

Existe uma ferramenta / script lá fora que vai assistir a portas abertas (como netstat) ao longo do tempo (ao contrário do netstat sem fantasia) e colocar os resultados em alguma forma de arquivo / log?

    
por moniker 23.08.2010 / 21:04

3 respostas

2

Que tipo de equipamento de switch / roteamento está no meio de tudo isso? A razão pela qual eu pergunto é que este parece ser um caso perfeito para amostragem de dados do netflow de seus switches. Isso, é claro, exigiria equipamentos de rede que suportem a exportação de dados de fluxo de rede.

Além disso, tudo o que posso imaginar seria executar o tcpdump em cada host e, em seguida, agregar os dados de alguma forma. Isso deve ser fácil de ser escrito, se necessário.

    
por 23.08.2010 / 21:42
1

Eu usaria tcpdump e nmap : primeiro eu verificaria as máquinas de destino procurando portas abertas e presumiria que essas portas estão em uso, com o objetivo de reduzir o parâmetro tcpdump portrange para TCP e UDP. Em seguida, eu executaria tcpdump -w /some/file.pcap portrange <your_nmap_range> por um dia ou uma semana, ou qualquer outra coisa, e depois executaria as conexões estabelecidas.

Você também pode fazer algo semelhante com o perfmon se quiser usar o Windows. Tenho certeza de que há contadores TCP / IP e eles também podem incluir o ID do processo que você pode restringir.

Você também pode encontrar tcpview de uso da Sysinternals, mas não sei se pode logar ou não.

    
por 23.08.2010 / 22:07
0

Isso soa como uma "ferramenta certa" para o tipo de pergunta do trabalho. Eu amo uma boa linha de comando; no entanto, para algo assim, você realmente quer investigar ferramentas GUI e baseadas em banco de dados que farão mapeamento automático de dependência de rede. Vários fornecedores vendem uma coisa dessas e muitos oferecem testes gratuitos de 30 dias (o Ipswitch WhatsUp vem imediatamente à mente).

    
por 05.08.2011 / 21:47