Ispezionare i pacchetti dati con un server Windows è un’operazione che permette di valutare la sicurezza della rete. Il monitoraggio del traffico di rete attraverso tool appositi permette di individuare sia problemi di connessione nel trasferimento dei pacchetti dati all’interno dell’infrastruttura, che di rilevare eventuali malware e attacchi informatici in corso. Per procedere al monitoraggio del traffico bisogna utilizzare degli specifici tool detti analizzatori di protocollo, che consentono di intercettare e ispezionare i pacchetti dati e trovare le informazioni di cui un utente ha bisogno. Microsoft da sempre mette a disposizione degli utenti dei tool gratuiti per l’ispezione dei pacchetti di rete: prima Network Monitor, poi abbandonato per Microsoft Message Analyzer, uno strumento completo per l’analisi del traffico. Poi dal 2019 Message Analyzer è stato ritirato e ora rimane solo il tool Microsoft Network Monitor. Ecco come fare per acquisire e ispezionare pacchetti di dati con l’analizzatore di protocollo gratuito di Microsoft.
I requisiti minimi hardware per procedere all’installazione sono un processore da 1 GHz o superiore, almeno 1 GB di RAM e 60 MB di spazio disponibile su disco rigido per l’archiviazione. Network Monitor 3.4 è supportato dai sistemi operativi Windows 10 e versioni precedenti, oltre che a Windows Server 2012 R2 e versioni precedenti.
In questo modo, si avvia in modo automatico l’acquisizione del traffico dati e nella schermata a sinistra apparirà un elenco di Network Conversations, con tutti i pacchetti dati che l’analizzatore di protocollo ha “catturato”. La visualizzazione degli elenchi dei pacchetti ha un’interfaccia molto intuitiva, con i pacchetti che vengono raggruppati ognuno sotto un processo, così da facilitare la ricerca e l’analisi di uno specifico processo. Sarà sufficiente fare clic sul segno “+” per aprire l’elenco con tutti i pacchetti intercettati.
Le operazioni di filtraggio possono essere eseguite scegliendo uno dei Filtri Standard oppure creando un filtro personalizzato direttamente nel programma.
Dopo aver aperto il pacchetto di cui si vuole fare l’analisi, nella schermata appariranno alcuni dati come il numero di frame, l’ora e la data di acquisizione, il nome del processo, l’origine, la destinazione, il nome del protocollo utilizzato e la descrizione del percorso del processo. In questa schermata, si potrà procedere con l’applicazione dei filtri. Ad esempio, un utente potrebbe decidere di ricorrere a un Filtro standard e scegliere nella sezione DNS l’opzione DNSAllNameQuery. Facendo clic su Applica, nella schermata verranno visualizzati solo i pacchetti che sono relativi a query DNS.
Network Monitor di Microsoft permette di creare nuovi filtri o di modificare quelli predefiniti già presenti nel programma. I modi per creare i filtri sono diversi: si può inserire un nome protocollo seguito da un punto, e grazie al completamento automatico appariranno all’utente tutti i possibili valori di campo disponibili. Oppure, si può usare l’operatore “==” per vedere se certi valori sono uguali tra loro. Per comprendere come modificare i filtri, si procede con alcuni esempi pratici.
Filtro per numero di porta. Il programma permette di utilizzare il protocollo http per filtrare il numero di porta, ma modificando le impostazioni si potrà tenere conto anche delle porte personalizzate, che sono particolarmente utili da analizzare quando si cercano problemi di sicurezza in rete. Nella barra dove inserire il filtro, si dovrà scrivere:
tcp.port == 80 OR Payloadheader.LowerProtocol.port == 80
tcp.port == 443 OR Payloadheader.LowerProtocol.port == 443
Filtro frame di negoziazione SSL. Se durante il monitoraggio si riscontra un problema sulla rete, può essere utile comprendere la negoziazione SSL e quindi di trovare quali sono i server che si sta tentando di utilizzare per la connessione. Per applicare questo tipo di filtro, bisogna digitare:
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.HandShakeType == 0x1
Filtro per ritrasmissioni TCP e ritrasmissioni SYN. Quando si riscontra un problema di caricamento o di download dei file, può essere utile analizzare come le ritrasmissioni TCP e SYN influenzano le prestazioni. Per farlo, si può impostare il filtro:
Property.TCPRetransmit == 1 || Property.TCPSynRetransmit == 1
Navigando in rete nei forum di supporto per l’utilizzo di Network Monitor sarà possibile di volta in volta individuare quali sono i filtri più adatti alle esigenze dell’utente. Utilizzando questo analizzatore di protocolli, sarà possibile ispezionare i pacchetti di dati con server Windows, così da poter individuare e risolvere ogni eventuale problema che potrebbe presentarsi.