Cómo Comprobar si DataSunrise Recibe Tráfico
Básicamente, lo primero que se debe hacer es verificar el Dashboard para determinar si se ha establecido una conexión con el proxy de DataSunrise Security Suite. El conteo de conexiones establecidas se muestra en la sección del Dashboard:
Por ejemplo, en esta captura de pantalla puedes ver que hay 3 conexiones establecidas, que se pueden ver en la lista de Proxies -> columnas Sesiones. Además, de acuerdo con la sección de Sesiones Auditadas Activas, 2 de estas pertenecen a la aplicación DBeaver que está conectada al proxy.
Además, en este documento aprenderás con más detalle cómo verificar si todas las conexiones requeridas se han establecido correctamente.
Herramientas Requeridas
Necesitarás instalar herramientas específicas que te ayudarán a capturar el tráfico requerido.
Todas las instalaciones deben hacerse en una máquina donde esté instalado DataSunrise Security Suite.
En caso de que la captura de tráfico se realice en una máquina con sistema operativo Windows, se recomienda usar la herramienta llamada Wireshark: https://www.wireshark.org/download/
En caso de que la captura se realice en un sistema operativo basado en UNIX la herramienta recomendada es Tcpdump: https://en.wikipedia.org/wiki/Tcpdump
sudo yum install –y tcpdump
Información Requerida
Para determinar si el tráfico fluye entre una base de datos, el cliente y DataSunrise, es necesario conocer las direcciones IP de:
- Servidor de base de datos
- Servidor de DataSunrise
- Máquina de la aplicación cliente
- Número de puerto del proxy
Tan pronto como obtengas la información sobre las direcciones IP, puedes comenzar el proceso de verificación.
IMPORTANTE: asegúrate de que todas las preparaciones del lado de DataSunrise (la instancia está configurada y el Proxy está escuchando en el número de puerto deseado) y del lado de la aplicación cliente (la aplicación cliente está configurada para conectarse al proxy de DataSunrise) se hayan hecho correctamente.
Proceso de Verificación en Linux
Después de instalar correctamente el paquete Tcpdump, ejecuta el siguiente comando reemplazando los valores IP con aquellos que correspondan a tu entorno:
sudo tcpdump -nn --number \(host DatabaseIP and host DataSunrise\) or \(host DataSunriseIP and host ClientIP\) and ProxyPort
La aplicación Tcpdump comenzará a escuchar las conexiones que se establezcan de acuerdo con el filtro que has especificado.
Ahora necesitas establecer una conexión con el proxy de DataSunrise y verificar si la conexión deseada se ha establecido correctamente desde la dirección IP de la aplicación cliente a la dirección IP de DataSunrise y desde la dirección IP de DataSunrise a la dirección IP de la base de datos.
Ejemplo:
Intentemos realizar una prueba y ver qué sucede cuando intento conectarme a una máquina Amazon EC2 donde DataSunrise está instalado y configurado para proteger una base de datos MySQL. Las direcciones IP para el entorno de prueba:
172.31.17.62 - Base de datos 172.31.14.182 - DataSunrise 17.72.172.31 - Aplicación cliente 3306 – Puerto del proxy
Como puedes ver aquí, al establecer una conexión, la aplicación cliente se conectó desde el puerto 27217 a la dirección IP de la máquina DataSunrise en el puerto 3306 (línea 1) y después de esto DataSunrise se conectó a la base de datos desde el puerto 47000 al puerto 3306 (línea 4). La base de datos MySQL también responde a DataSunrise (línea 5) y no responde directamente a la aplicación cliente. Esto significa que la conexión se ha establecido correctamente y la aplicación cliente se conecta directamente al nombre de host de DataSunrise.
Windows
En la interfaz de usuario de WireShark, necesitarás especificar un filtro en el campo de texto del filtro.
Para identificar el tráfico correctamente, necesitarás ingresar el siguiente filtro reemplazando los valores IP con aquellos que correspondan a tu entorno:
((ip.addr==DataSunriseIP and ip.addr==ClientIP) and tcp.port == ProxyPort) or (ip.addr==DatabaseIP and ip.addr==DataSunriseIP)
Después de especificar el filtro, al igual que para Linux, necesitarás intentar establecer una conexión con el proxy de DataSunrise y verificar si todas las conexiones van correctamente a los destinos deseados.
Ejemplo:
Intentemos realizar una prueba y ver qué sucede cuando intento conectarme a la máquina donde está instalado DataSunrise y configurado para proteger una base de datos PostgreSQL. Las direcciones IP para el entorno de prueba:
18.0.14.148 - Base de datos 192.168.1.35 - DataSunrise 192.168.1.109 - Aplicación cliente 5433 – Puerto del proxy
Como puedes ver en la captura de pantalla, cuando presiono el botón de prueba de conexión en la máquina cliente, el tráfico va desde la dirección IP del cliente a la dirección IP de DataSunrise a través del puerto 5433 (línea 191). Después de eso, DataSunrise comienza a reenviar el tráfico a la dirección IP de la base de datos (línea 194). También hay muchas otras líneas que prueban que el tráfico va al servidor PostgreSQL (Columna de Protocolo). Por ejemplo, la línea 198 muestra que DataSunrise envió tráfico a la base de datos y luego la línea 200 muestra que la base de datos envió su respuesta a DataSunrise utilizando el protocolo PGSQL.
Esto significa que el tráfico va directamente a la dirección IP de la máquina DataSunrise deseada.