Eu fui encarregado de ativar o firewall local em mais de 100 servidores. Os sistemas estão executando muitos aplicativos diferentes usando muitas portas diferentes. Comecei com uma varredura nmap, mas sem ir a cada sistema e observar o fluxo de dados (tcpdump) não consigo pensar em uma maneira que eu possa ver se essas portas abertas estão realmente sendo conectadas e utilizadas. Eu sei que há maneiras difíceis de fazer isso, mas espero que também seja fácil.
Existe uma ferramenta / script lá fora que vai assistir a portas abertas (como netstat) ao longo do tempo (ao contrário do netstat sem fantasia) e colocar os resultados em alguma forma de arquivo / log?
Que tipo de equipamento de switch / roteamento está no meio de tudo isso? A razão pela qual eu pergunto é que este parece ser um caso perfeito para amostragem de dados do netflow de seus switches. Isso, é claro, exigiria equipamentos de rede que suportem a exportação de dados de fluxo de rede.
Além disso, tudo o que posso imaginar seria executar o tcpdump em cada host e, em seguida, agregar os dados de alguma forma. Isso deve ser fácil de ser escrito, se necessário.
Eu usaria tcpdump e nmap : primeiro eu verificaria as máquinas de destino procurando portas abertas e presumiria que essas portas estão em uso, com o objetivo de reduzir o parâmetro tcpdump portrange para TCP e UDP. Em seguida, eu executaria tcpdump -w /some/file.pcap portrange <your_nmap_range> por um dia ou uma semana, ou qualquer outra coisa, e depois executaria as conexões estabelecidas.
Você também pode fazer algo semelhante com o perfmon se quiser usar o Windows. Tenho certeza de que há contadores TCP / IP e eles também podem incluir o ID do processo que você pode restringir.
Você também pode encontrar tcpview de uso da Sysinternals, mas não sei se pode logar ou não.
Isso soa como uma "ferramenta certa" para o tipo de pergunta do trabalho. Eu amo uma boa linha de comando; no entanto, para algo assim, você realmente quer investigar ferramentas GUI e baseadas em banco de dados que farão mapeamento automático de dependência de rede. Vários fornecedores vendem uma coisa dessas e muitos oferecem testes gratuitos de 30 dias (o Ipswitch WhatsUp vem imediatamente à mente).