Il sistema operativo pfSense orientato ai firewall e per funzionare come router, permette di catturare tutto il traffico di rete in una determinata interfaccia che abbiamo configurato, sia dalla WAN che dalla LAN, e, ovviamente, permette anche di catturare il traffico di un certa VLAN se li abbiamo configurati sul computer. Saremo in grado di catturare il traffico in entrambe le direzioni, sia in download che in upload, e consente anche la limitazione tramite indirizzi IP e persino porte TCP / UDP. Oggi in questo articolo ti mostreremo come catturare il traffico di rete per effettuare un'analisi approfondita e vedere se c'è qualche tipo di problema.
Perché voglio acquisire il traffico di rete?
Effettuare un'acquisizione del traffico di rete è molto importante per rilevare possibili problemi di comunicazione. Immaginiamo che un determinato computer debba inviare o ricevere un determinato traffico e non lo riceva, è possibile che una regola nel file firewall lo sta impedendo o che il problema non è nel firewall ma negli interruttori che abbiamo collegato. È molto normale che gli switch siano configurati con determinati ACL per proteggere ulteriormente la rete e potremmo anche attivare diversi tipi di contromisure per attacchi DoS che potrebbero verificarsi nella rete locale. Nel caso in cui il traffico non raggiunga il pfSense, è possibile che il problema sia nel “mezzo”, cioè negli interruttori, quindi ci aiuterà a escludere problemi di configurazione e vedere tutto il flusso di traffico.
Se abbiamo qualche tipo di problema di comunicazione e non riusciamo a trovare dove potrebbe essere il problema, dobbiamo escludere che sia un problema con il firewall / router stesso con pfSense, quindi andare a rivedere i diversi interruttori che abbiamo in mezzo . È qui che entra in gioco la «Packet capture» di pfSense, che ci permetterà di catturare tutto il traffico di una certa interfaccia di rete.
Come funziona la "cattura dei pacchetti" in pfSense
Il dispositivo di cattura del traffico è installato di default nel sistema operativo pfSense, non dovremo installarlo tramite l'elenco dei software disponibili che abbiamo la possibilità di installare. Dobbiamo andare al " Diagnostica / Acquisizione pacchetti "Sezione per vedere le opzioni di configurazione disponibili.
In questa sezione avremo diverse opzioni di configurazione, per “mettere a punto” il packet capturer, cosa fondamentale per non catturare assolutamente tutto il traffico di rete, ma solo il traffico che selezioniamo appositamente.
La prima cosa che dobbiamo fare è il « Interfaccia «, Qui dobbiamo scegliere l'interfaccia fisica o logica (se usi VLAN) da utilizzare per catturare i pacchetti.
Il sistema operativo pfSense ci permette di abilitare la “modalità promiscua”. In "modalità non promiscua" il sistema acquisirà solo il traffico diretto all'host che passa attraverso una data interfaccia. Nella "modalità promiscua" abiliteremo la modalità sniffing, e catturerà tutte le informazioni che la scheda di rete vede, tuttavia, è possibile che l'hardware che usi in pfSense non supporti questa funzionalità.
Possiamo anche scegliere e filtrare se vogliamo IPv4, IPv6 o entrambi i protocolli di rete.
Successivamente, dobbiamo scegliere quale protocollo vogliamo catturare, possiamo catturare qualsiasi protocollo (Any) o filtrare per ICMP, TCP, UDP e molto altro.
Altre opzioni disponibili sono la possibilità di scegliere l'opzione "Indirizzo host". Questa opzione ci permette di catturare solo il traffico che ha come origine o destinazione uno specifico indirizzo IP o indirizzo MAC (se connesso direttamente alla stessa sottorete). Se non inseriamo nulla, catturerà tutti i pacchetti che viaggiano attraverso l'interfaccia, senza filtrare affatto per IP o MAC.
Possiamo anche configurare la porta di origine o di destinazione se utilizziamo TCP e / o UDP, ideali per catturare solo il traffico che ci interessa. Tutti i protocolli del livello dell'applicazione fanno uso di porte di origine e destinazione specifiche, ad esempio, se vogliamo catturare il traffico HTTP, inseriremo la porta 80 e filtreremo tramite TCP, poiché è ciò che utilizza il protocollo del livello dell'applicazione HTTP.
In "Packet Length" dovremo mettere 0 per catturare tutti i frame e non limitare dalla dimensione del frame, e in "Count" è consigliabile mettere 0 per catturare tutto il traffico fino a quando non lo fermiamo manualmente, di default è il valore di 100 che potrebbe essere molto piccolo a seconda dell'attrezzatura in questione.
Nella sezione “Livello di dettaglio” possiamo fare la cattura di rete mostrata nella parte inferiore con più o meno dettaglio, ma nella maggior parte dei casi quello che faremo è scaricare la cattura dei dati ed esaminarla attentamente in programmi come Wireshark.
Nel nostro caso, cattureremo il traffico del nostro smartphone per verificare quali dati stiamo inviando a Internet, filtreremo per protocollo "Any" e qualsiasi porta, ovvero cattureremo tutto il traffico che va a o proviene dal 10.11.1.4.
In questo esempio, acquisiremo con qualsiasi lunghezza di pacchetto, ma con un massimo di 100 pacchetti. Il livello di dettaglio è "normale" e clicchiamo su "Avvia" per avviare l'acquisizione dei dati.
Mentre il packet capturer è in esecuzione, vedremo che ci mostrerà un pulsante "Stop" e subito sotto vedremo "Packet capture is running".
Quando clicchiamo su «Stop», ci mostrerà quando l'acquisizione è iniziata e quando si è interrotta. Possiamo vedere lo screenshot appena sotto, ma abbiamo pochissime informazioni perché il livello di dettaglio era "normale". Nella stragrande maggioranza dei casi, è meglio fare clic su "Download Capture" e scaricare l'acquisizione dei dati per ulteriori analisi.
Dato che abbiamo il programma Wireshark installato, ciò che potremo fare è aprire direttamente questa cattura per esaminarla in dettaglio.
Come puoi vedere di seguito, abbiamo tutta l'acquisizione dei dati in Wireshark e possiamo vedere tutto il traffico in entrata e in uscita sul nostro smartphone.
Come hai visto, catturare il traffico con pfSense è davvero facile e semplice, e ci permetterà di rilevare eventuali problemi di comunicazione delle diverse apparecchiature, ed escludere problemi di configurazione degli switch, del pfSense o direttamente nei PC.
