Network Monitor 3.3 - Disponibile per il download

Si arricchisce ulteriormente di nuove funzionalità questa release di Microsoft Network Monitor. Questo update, dalla 3.2 alla 3.3, introduce il supporto ufficiale del nuovo OS Microsoft, Windows 7 ed di Microsoft Hyper-V. E' disponibile in versioni a 32/64 bit e Itanium.

Direttamente dal blog del team di sviluppo di Network Monitor:

"...
· Ability to capture WWAN (mobile broadband) and Tunnel traffic on Windows 7.
· Full Hyper-V support on Windows Server 2008
· Right-click-add-to-alias: Right-click a frame in the Frame Summary window with an IPv4, IPv6 or MAC address to add that address as a new alias. This is one of those little things that simplifies your work-flow.
· Right-click-go-to-definition: Have you ever wondered where and how the protocols fields you see in the Frame Details are defined in our in-built parsers? Wonder no more. Introducing right-click-go-to-definition: right-click a field in the Frame Details window and select Go To Data Field Definition or Go To Data Type Definition to see where the field is defined in the NPL parsers.
· Autoscroll: Another one of those little, but priceless things … auto-scroll. See the most recent traffic as it comes in. In a live capture, click the AutoScroll button on the main toolbar to have the Frame Summary window automatically scroll down to display the most recent frames as they come in. Click Autoscroll again to freeze the view in its present location.
· Core Parser Set: We heard your concerns about our parsing performance, and created an optimized Core parser set that only contains 32 protocol parsers for network layer and transport protocols (e.g., Ethernet, IP, and TCP). This parser set can increase your parsing performance by up to 200% depending on the data you are viewing. To enable the Core parser set, go to Tools > Options from the main menu, and click on the Parser tab. Click on the Common folder and click the stubs button to load stub parsers for this folder. Do the same thing for the Windows folder
· ETL Support: Network Monitor 3.3 can open and correlate information in ETL files generated by Network Tracing in Windows 7.

And now for the main event … two of our most exciting features that will revolutionize how you analyze your traces:

· Frame Commenting: Read all about this feature in our previous blog article. Briefly, Frame Commenting lets you attach comments to frames in a saved capture file. Select the Frame Comments tab in the lower-right window to add, view, edit, or delete comments. With this feature you can annotate a trace with your comments and observations and store that metadata directly with the capture file itself!
· Experts: Experts are stand-alone applications that analyze Network Monitor capture data. In Network Monitor 3.3 we provide a simple interface for registering experts with the product and invoking them on a saved capture file. We have made some initial experts available online at http://go.microsoft.com/fwlink/?LinkID=133950. Simply install the experts and run them directly from the UI on a capture file.

..."
fonte: NM Team Blog

Network Monitor è uno strumento fondamentale durante le fasi di analisi e troubleshooting.

Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
Annuncio sul blog del Team di sviluppo di NM
Donwload di Network Monitor 3.3

Installare Network Monitor (Step-by-Step)

In questo post vedremo come installare la versione di Microsoft Network Monitor disponibile in forma nativa con la versione server di Windows. La versione di Windows a cui farò riferimento è la 2003 R2 SP2.

IMPORTANTE: In tutti i casi in cui vi troviate ad utilizzare un analizzatore di protocollo, o strumenti di diagnosi di rete, verificate sempre, sempre, sempre di essere autorizzati per il loro uso e di NON violare la privacy dei vostri utenti!!

Dove è necessario installare Network Monitor? Ovunque abbiamo la necessità di analizzare il traffico. Preferibilmente su una postazione dedicata al monitoraggio da connettere, all'occorenza, alla rete interna o esterna. Solo in caso di vera necessità installiamolo sulla macchina ISA Server. 

IMPORTANTE: Verificate di avere disponibili il CD/DVD o share contenente i file di installazione di Windows Server. Saranno rischiesti allo step 5.

	1. Andare su Start | Control Panel | Add or Remove Programs
2. Fare clic su Add or Remove Windows Components
	3. Selezionare Management and Monitoring Tools e poi fare clic su Details
4. Selezionare Network Monitor Tools e poi fare clic su OK
	5. Fare clic su Next per avviare l'installazione. Quando richiesto indicare la posizione dei file di installazione di Windows Server.
5. Fare clic su Finish per completare l'installazione.

Possiamo verificare la corretta installazione di Microsoft Network Monitor andando a visualizzare le proprietà del TCP/IP della connessione di rete. Sarà presente un nuovo driver di rete Network Monitor Driver.

Possiamo lanciare Microsoft Network Monitor da Start | All Programs | Administrative Tools | Network Monitor

Appena lanciamo Network Monitor è necessario indicare l'interfaccia di rete da utilizzare per l'acquisizione del traffico. Facciamo clic su OK e selezioniamo l'interfaccia di rete da utilizzare (questa potrà essere cambiata anche in un secondo momento).

IMPORTANTE: L'interfaccia di rete, per essere utilizzabile da Network Monitor, deve supportare la modalità promiscua.

A questo punto il nostro Network Monitor è installato e pronto all'uso.

 

Mi auguro che questo post vi sia utile.
Per domande e commenti scrivete tranquillamente sul forum di ISAserver.it.

Luca

Error Code 10060: Connection timeout

Vi segnalo un ottimo post di Yuri Diogenes sul blog del Team di sviluppo di ISA Server riguardante un errore che ISA Server rende manifesto: 10060 Connection Timeout o, nella versione italiana, si è verificato un timeout prima del recupero della pagina.

Di seguito vi riporto la schermata che viene visualizzata da ISA Server quando si scatena questo errore:
 
Qual'è la causa di questo problema?

"(...) ISA didn’t receive an answer from the destination host (...)"

9 volte su 10 il problema non è ISA Server ma ISA Server rende questo problema manifesto. Questo porta l'utente ad affermare erroneamente che il problema sia proprio ISA.

Come risolvere il problema?
Indagare...indagare...indagare.
Come giustamente evidenzia Yuri, vanno ricercate le cause che impediscono ad ISA di ricevere una risposta dall'host di destinazione prima che si scateni il timeout. 

Per prima cosa dobbiamo verificare di aver configurato in maniera corretta il TCP/IP del server Windows dove ISA Server è installato.
Vi rimando a questo mio post: Configurare correttamente il TCP/IP per ISA Server 2006 Standard.
Altro punto da verificare è il processo di risoluzione dei nomi DNS da parte del server DNS utilizzato da ISA Server. Non ultimo verificare il livello di latenza presente nella connettività WAN. Oltre  a questi aspetti possiamo approfondire l'analisi entrando nel merito della sessione HTTP mediante l'utilizzo di  analizzatori di protocollo come:
- Network Monitor (fra i componenti aggiuntivi di Windows Server)
- il nuovo Microsoft Network Monitor 3.2 
- WireShark  ecc. 

L'obiettivo e' quindi capire perché ISA Server non ricevere risposta dall'host di destinazione. Quindi giusto per ribadire un concetto fondamentale...

E' ISA Server che scatena il Timeout?  NO!

"(...) the timeout is a due the Windows Operating parameter under the TCP/IP stack or better saying the windows Sockets implementation called winsock.(...)"
fonte: ISABLOG

E' possibile modificare le condizioni di Timeout? Sì, ma non è raccomandato.

Intervenire sul registry Windows deve rappresentare l'ultima ratio. L'articolo KB191143 della Knowledge base Microsoft fornisce le indicazioni su dove/come intervenire per mitigare l'errore 10060.
E' necessario intervenire sul parametro TcpMaxDataRetransmissions, che controlla il numero di volte che Windows tenta di riconnettersi prima di generare un Connection Timeout, modificando il suo valore di default. E' possibile portare questo valore a 10, effetuare un test e nel caso in cui la condizione di Timeout permanga, a 20 e così via. E' bene tener presente che in questo modo mitigo l'effetto ma non risolvo la causa scatenante.

TcpMaxDataRetransmissions è un parametro di Windows e non di ISA Server ed è presente nel registry nella sezione HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Il post integrale di Yuri Diogenes è consultabile qui

Luca

Microsoft Network Monitor 3.2 Rilasciato in versione definitiva

E' stata rilasciata la versione definitiva di Network Monitor 3.2 - ver 3.2.1303.0 -. E' possibile scaricarlo, gratuitamente, direttamente dal sito Microsoft Download. 
Questa versione verrà resa disponibile anche via Microsoft Update. Chi avesse installato Microsoft Network Monitor 3.1 potrà aggiornalo direttamente alla 3.2.

Fra le novità introdotte il Process Tracking che evidenzia quanto l'acquisizione della Sysinternals cominci a farsi vedere.

Ecco, direttamente dal sito Microsoft Connect le novità di questa versione:

"....

• Process Tracking: Now you can identify rogue applications sending network data! View all the processes on your machine generating network traffic (process name and PID). Use the conversation tree to view frames associated with each process (Se a qualcuno ricorda Process Explorer alzi la mano! n.d.r).

• Capture engine re-architecture to improve capture rate in high-speed networks. Network Monitor 3.2 drops significantly fewer frames that Network Monitor 3.1.
• Find conversations: You asked for this. Many of our users found conversation tracking to be difficult to use as the view grew hard to manage, and it was difficult to correlate the frames they were seeing with the conversation nodes in the tree. Now, you can quickly isolate frames in the same network conversation. Just right-click on a frame and select a conversation to track, and you will see all the frames in that conversation. View TCP streams, HTTP flows etc.

• Extensive parser set: Parsers for over 300 protocols! As before, the parsers are fully customizable.
• Better parser management: By default only a subset of parsers are loaded. You can load the full parser set by going to Tools>Options>Parser and choose Full vs. Stub implementations.
• CodePlex Ready: In the upcoming months, we plan to place all our Windows parsers on the Microsoft open-source CodePlex site and allow the community to modify and contribute parsers. You can find out more information on this here. This version of Network Monitor seamlessly integrates new parser packages.
• Network Monitor API: Create your own applications that capture, parse and analyze network traffic!
• More extensive documentation of the API and NPL. Access the documentation from Help > NPL and API Documentation.
• IA64 builds.
• PCAP capture file support*.
• ContainsBin Plug-in: Search frames for arbitrary byte sequences or strings.

...."

Per scaricare Microsoft Network Monitor 3.2 fai clic qui.

Luca

Ecco come ISA Server analizza il traffico!

Uno degli aspetti abbastanza "confusi" nella documentazione di ISA Server riguarda proprio i metodi di analisi del traffico di rete.

Infatti, non si trova documento che non parli di deep inspection, deep packet inspection, deep application inspection... ma, lasciando da parte le diverse variazioni sul tema deep inspection, quello che non viene detto è fino a quale livello di profondità arriva l'analisi del traffico di rete da parte di ISA Server: Livello 7, Livello 4, Livello 3?

Leggendo l'articolo di Jim Harrison - Program Manager, ISA SE si è fatta un pò chiarezza.  

In sintesi, con ISA Server non ha molto senso parlare di Packet-Layer inspection ma invece di Application-layer inspection che prevede una analisi combinata di:

• Data stream evaluation
• Protocol behavior evaluation

Un metodo più complesso, più costoso dal punto di vista Hardware (RAM, CPU) ma che trova il suo perché se  visto nell'ottica di protocolli come l'HTTP, SMTP ecc. e l'escalation di attacchi a livello applicativo.

Oss.: Quando si parla di Packet, si fa solitamente riferimento al livello 3 (Network) dello stack OSI. A questo livello troviamo il protocollo IP, è infatti frequente l'utilizzo combinato di IP Packet. Al livello 4 (Transport) si parla invece solitamente di Datagram. Al livello 4 troviamo i protocolli TCP e UDP. Con il termine deep packet inspection si intende l'analisi approfondita del traffico a partire dal livello 3 (IP).

Riporto per completezza un estratto del documento:

"...

the actions that ISA Server performs on and as a result of many common protocols are frequently not based on “deep packet inspection”, but “data stream” and “protocol behavior” evaluation.
(...)
...the concept of “packet-level” functionality is rarely accurate.The more accurate statement to describe ISA Server behavior is “application-layer inspection”, which encompasses the concepts of data stream and protocol behavior analysis.
..."
fonte: Microsoft

L'articolo orginale, in lingua inglese, di cui consiglio caldamente la lettura è scaricabile qui.

Luca

I Terminal Services di Windows Server 2008 su Internet Magazine di Settembre

Sul numero di Settembre di Internet Magazine - ed. Master - è stato pubblicato il mio articolo sui Terminal Services di Windows Server 2008. L'articolo vi permetterà di installare ed utilizzare i Terminal Services, in particolare potrete vedere la pubblicazione delle Applicazioni mediante la creazione di pacchetti MSI distribuibili via Group Policy.

E' possibile acquistare e scaricare, in formato PDF, il numero di Luglio ad un prezzo davvero incredibile 1€ invece dei 4,90€ del formato cartaceo.

Per scaricare il numero in formato PDF fare clic qui

TCP/IP Fundamentals for Microsoft Windows V 2.0

E' stata aggiornata la guida al TCP/IP di Microsoft Windows. Include il TCP/IP anche per i sistemi operativi Windows Vista e Windows Server 2008. All'interno di questa guida, di ben 560 pagine - praticamente quanto un Training Kit - si trova veramente tutto ciò che riguarda il TCP/IP di Windows. Il file, di quasi 5MB, è scaricabile in formato PDF. Di seguito la drescrizione direttamente dal sito Microsoft:

"...This online book is a structured, introductory approach to the basic concepts and principles of the Transmission Control Protocol/Internet Protocol (TCP/IP) protocol suite, how the most important protocols function, and their basic configuration in the Microsoft Windows Vista, Windows Server 2008, Windows XP, and Windows Server 2003 families of operating systems. This book is primarily a discussion of concepts and principles to lay a conceptual foundation for the TCP/IP protocol suite and provides an integrated discussion of both Internet Protocol version 4 (IPv4) and Internet Protocol version 6 (IPv6)..." 

Se avete consultato una guida - Microsoft e NON - attinente alle finalità di ISAserver.it e l'avete trovata particolarmente interessante e utile segnalatemela, sara' mia cura valutarla e pubblicarla sul blog.

Per scaricare la guida fare clic qui