Il troubleshooting di pfSense
Negli anni l'esigenza di connettere sempre più dispositivi in rete, la necessità di offrire servizi sempre più complessi, la crescita esponenziale di attacchi informatici ha fatto si che le reti siano divenute sempre più complesse e far si che tutto funzioni correttamente è diventato un impresa ardua. Errori di configurazioni, anomalie hardware, problemi di rete sono solo alcuni esempi dei problemi che quotidianamente possono affliggere le configurazioni di apparati complessi come i firewall.
Cosa fare in queste situazioni?
Per prima cosa occorre mantenere la calma ed armarsi di molta pazienza, in secondo luogo occorre intraprendere un lavoro meticoloso di analisi. Questo lavoro non può essere fatto senza gli strumenti giusti.
In quest'articolo vedremo alcuni strumenti indispensabili per condurre indagini accurate, non entreremo nel dettaglio dei singoli strumenti perchè spesso sono talmente ricchi di funzionalità e complessi da richiedere degli approfondimenti.
Gli strumenti di pfSense
I primi strumenti sono messi a disposizione da pfSense stesso, non sono molto complessi ma consentono alcune verifiche di primo livello che in molti casi possono essere sufficienti alla risoluzione del problema.
Questi strumenti si trovano nel menù Diagnostics ed in aggiunta nel menù Status > System logs.
Questi strumenti si trovano nel menù Diagnostics ed in aggiunta nel menù Status > System logs.
Gli strumenti messi a disposizione di pfSense permettono di indagare quel che sta avvenendo all'interno del nostro firewall permettendoci di visualizzare lo stato di differenti registri fino alla cattura di tutto il traffico attraverso Packet Capture.
Ultimate Boot CD
Per effettuare diagnosi accurate sui problemi hardware è possibile utilizzare il software Ultimate Boot CD.Si tratta di un software free che può essere avviato da CD o da USB.
Questa distribuzione mette a disposizione un enorme quantità di strumenti per la diagnostica ed il test di vari componenti hardware fino al recupero di sistemi.
Wireshark
Wireshark è un software per analisi di protocollo o packet sniffer. Le funzionalità di Wireshark sono molto simili a quelle di tcpdump, ma con un'interfaccia grafica,
e maggiori funzionalità di ordinamento e filtraggio. Permette
all'utente di osservare tutto il traffico presente sulla rete
utilizzando la modalità promiscua della scheda di rete.Nel caso di pfSense non è necessario utilizzare lo sniffer integrato poichè si può sfruttare la funzionalità di Packet capture di pfSense per acquisire il traffico di una certa interfaccia e successivamente analizzarlo con Wireshark.
Tra tutti gli strumenti è quello che preferisco, ha una potenza incredibile e permette di arrivare ad ispezzionare ogni singolo pacchetto. Gli strumenti inclusi nel software consentono anche analisi specifiche come nel caso di protocolli VOIP. Quando c'è un problema che non è stato possibile investigare con altri strumenti wireshark è l'unico strumento in grado di dare risposte. Ovviamente permettendo un analisi molto approfondita richiede anche conoscenze dello stack TCP/IP molto approfondite altrimenti si rischia di annegare in un mare di informazioni incomprensibili.
NMAP
NMAP è un software per effettuare port scanning, network mapping e security auditing. Grazie a questo strumento è possibile scansionare gli hosts e i servizi
di una rete, ma oltre a scoprire se un host è up o down e quali
porte sono aperte o chiuse, può determinare quale sistema operativo è
installato sul bersaglio, il nome e la versione dei servizi in ascolto,
una stima dell’uptime dell’host, il tipo di periferica e la presenza o
meno di un firewall. Con Nmap avremo la possibilità di ottenere tutte le informazioni di una
rete informatica e in questo modo conoscerne problemi e eventuali punti
di debolezza. Nmap consente un livello di analisi profonda e dettaglita
su ciò che un host espone alle altre macchine. Nonostante il suo
utilizzo possa sembrare un po’ ostico l’interfaccia grafica Zenmap ne
facilita l’utilizzo anche ai meno esperti.
iPerf
Iperf è un tools utilizzato per il test delle performance di rete. Iperf crea stream TCP ed UDP e misura il throughput della rete. Il software è costituito da una componente client ed una componente server, il traffico generato tra client e server viene misurato per verificare le reali performance della rete. pfSense dispone anche di un pacchetto aggiuntivo che permette di
aggiungere questo strumento al firewall stesso permettendogli di fare da
client o server. Come sempre esiste una versione grafica chiamata jperf
Questo tools è molto utile per determinare le reali performance del nostro firewall con diversi protocolli, nelle connessioni VPN, nel testing del trafficshaper e per effettuare stress test di rete e firewall.OpenVAS e BackTrack
Concludiamo la carrellata degli strumenti utili al troubleshooting di pfSense con un framework ed una distribuzione che racchiudono alcuni dei software già visti. OpenVAS (Open Vulnerability Assessment System) e BackTrack (ora Kali Linux) sono studiati in modo specifico per effettuare analisi delle vulnerabilità di una rete e per effettuare dei penetration test. Sono strumenti che vanno un po'oltre le normali esigenze di troubleshooting ma che possono dimostrari indispensabili per effettuare una verifica accurata ed approfondita della reale sicurezza messa in campo dal nostro firewall.
Avremo modo di riincontrare alcuni di questi tools in altri articolo in cui entreremo nel dettaglio del loro funzionamento e vedremo come impiegarli sul campo.
0 commenti:
Posta un commento