martedì 15 gennaio 2013

Il troubleshooting di pfSense

Negli anni l'esigenza di connettere sempre più dispositivi in rete, la necessità di offrire servizi sempre più complessi, la crescita esponenziale di attacchi informatici ha fatto si che le reti siano divenute sempre più complesse e far si che tutto funzioni correttamente è diventato un impresa ardua. Errori di configurazioni, anomalie hardware, problemi di rete sono solo alcuni esempi dei problemi che quotidianamente possono affliggere le configurazioni di apparati complessi come i firewall.
Cosa fare in queste situazioni?

Per prima cosa occorre mantenere la calma ed armarsi di molta pazienza, in secondo luogo occorre intraprendere un lavoro meticoloso di analisi. Questo lavoro non può essere fatto senza gli strumenti giusti.
In quest'articolo vedremo alcuni strumenti indispensabili per condurre indagini accurate, non entreremo nel dettaglio dei singoli strumenti perchè spesso sono talmente ricchi di funzionalità e complessi da richiedere degli approfondimenti.

Gli strumenti di pfSense


I primi strumenti sono messi a disposizione da pfSense stesso, non sono molto complessi ma consentono alcune verifiche di primo livello che in molti casi possono essere sufficienti alla risoluzione del problema.
Questi strumenti si trovano nel menù Diagnostics ed in aggiunta nel menù Status > System logs.
Gli strumenti messi a disposizione di pfSense permettono di indagare quel che sta avvenendo all'interno del nostro firewall permettendoci di visualizzare lo stato di differenti registri fino alla cattura di tutto il traffico attraverso Packet Capture.

Ultimate Boot CD

Per effettuare diagnosi accurate sui problemi hardware è possibile utilizzare il software Ultimate Boot CD.
Si tratta di un software free che può essere avviato da CD o da USB.
Questa distribuzione mette a disposizione un enorme quantità di strumenti per la diagnostica ed il test di vari componenti hardware fino al recupero di sistemi.

Wireshark

Wireshark è  un software per analisi di protocollo o packet sniffer. Le funzionalità di Wireshark sono molto simili a quelle di tcpdump, ma con un'interfaccia grafica, e maggiori funzionalità di ordinamento e filtraggio. Permette all'utente di osservare tutto il traffico presente sulla rete utilizzando la modalità promiscua della scheda di rete.Nel caso di pfSense non è necessario utilizzare lo sniffer integrato poichè si può sfruttare la funzionalità di Packet capture di pfSense per acquisire il traffico di una certa interfaccia e successivamente analizzarlo con Wireshark.
Tra tutti gli strumenti è quello che preferisco, ha una potenza incredibile e permette di arrivare ad ispezzionare ogni singolo pacchetto. Gli strumenti inclusi nel software consentono anche analisi specifiche come nel caso di protocolli VOIP. Quando c'è un problema che non è stato possibile investigare con altri strumenti wireshark è l'unico strumento in grado di dare risposte. Ovviamente permettendo un analisi molto approfondita richiede anche conoscenze dello stack TCP/IP molto approfondite altrimenti si rischia di annegare in un mare di informazioni incomprensibili.

NMAP

NMAP è un software per effettuare port scanning, network mapping e security auditing.  Grazie a questo strumento è possibile scansionare gli hosts e i servizi di una rete, ma oltre a scoprire se un host è up o down e quali porte sono aperte o chiuse, può determinare quale sistema operativo è installato sul bersaglio, il nome e la versione dei servizi in ascolto, una stima dell’uptime dell’host, il tipo di periferica e la presenza o meno di un firewall. Con Nmap avremo la possibilità di ottenere tutte le informazioni di una rete informatica e in questo modo conoscerne problemi e eventuali punti di debolezza. Nmap consente un livello di analisi profonda e dettaglita su ciò che un host espone alle altre macchine. Nonostante il suo utilizzo possa sembrare un po’ ostico l’interfaccia grafica Zenmap ne facilita l’utilizzo anche ai meno esperti.

iPerf

Iperf è un tools utilizzato per il test delle performance di rete. Iperf crea stream TCP ed UDP e misura il throughput della rete. Il software è costituito da una componente client ed una componente server, il traffico generato tra client e server viene misurato per verificare le reali performance della rete. pfSense dispone anche di un pacchetto aggiuntivo che permette di aggiungere questo strumento al firewall stesso permettendogli di fare da client o server. Come sempre esiste una versione grafica chiamata jperf
Questo tools è molto utile per determinare le reali performance del nostro firewall con diversi protocolli, nelle connessioni VPN, nel testing del trafficshaper e per effettuare stress test di rete e firewall.

OpenVAS e BackTrack

Concludiamo la carrellata degli strumenti utili al troubleshooting di pfSense con un framework ed una distribuzione che racchiudono alcuni dei software già visti. OpenVAS (Open Vulnerability Assessment System) e BackTrack sono studiati in modo specifico per effettuare analisi delle vulnerabilità di una rete e per effettuare dei penetration test. Sono strumenti che vanno un po'oltre le normali esigenze di troubleshooting ma che possono dimostrari indispensabili per effettuare una verifica accurata ed approfondita della reale sicurezza messa in campo dal nostro firewall.

Avremo modo di riincontrare alcuni di questi tools in altri articolo in cui entreremo nel dettaglio del loro funzionamento e vedremo come impiegarli sul campo.
Posta un commento