Qualche giorno fa ricevo la telefonata di un cliente che si lamenta per l'eccessiva lentezza della rete ed anche per il fatto che periodicamente la rete stessa sia vittima di trojans, virus ed altro ancora; la cosa mi insospettisce alquanto, dato che ormai da parecchio tempo, salvo i soliti, sporadici problemi la rete era più o meno "a posto"

La rete in questione proviene da una situazione "ereditata" nel senso che il cliente a suo tempo era stato acquisito e si era deciso (anche su richiesta dello stesso) di non intervenire in maniera troppo radicale sulla configurazione; in ogni caso, ecco la configurazione di massima della rete



come si può notare esistono più connessioni verso internet; ISA 2004 gestisce il traffico dei clients della LAN verso internet e verso la DMZ, un Cisco PIX gestisce invece il traffico tra i servers della DMZ ed internet, inoltre esistono ulteriori tre connessioni di cui una viene utilizzata come connessione secondaria verso internet ed altre due per supportare come linea primaria e linea di backup alcune VPN; ammetto che la connessione delle ultime tre linee allo stesso switch non sia il massimo ma.. purtroppo il cliente non ha voluto cambiare la cosa, per cui.. va bene anche così

Tornando al problema visto all'inizio.. mi accordo telefonicamente col sysadmin del cliente per un intervento ed il giorno stabilito mi reco presso la sede del cliente stesso; premetto che in fase di ristrutturazione della rete era stato riveduto tutto il cablaggio applicando come necessario le "labels" ai vari cavi ecc. ecc. in modo da facilitare la gestione del tutto.. in ogni caso.. arrivo dal cliente, faccio le solite quattro chiacchiere iniziali di rito, controllo i logs (scoprendo che in effetti c'è qualcosa che non va) e, insieme al "sysadmin" andiamo agli armadi di cablaggio; la prima reazione che ho avuto a quel punto è stato il panico totale, i cavi erano stati spostati, le etichette NON coincidevano più, molti cavi erano stati aggiunti senza essere etichettati ed in generale il cablaggio assomigliava più ad un gomitolo che a qualcosa di umanamente gestibile.. vabbè.. mi dico, proviamo a capirci qualcosa...

Accendo il portatile ed avvio uno sniffer (ethereal per la precisione), lascio girare lo sniffer per un certo tempo e poi mi metto ad analizzare i pacchetti ricevuti e.. SORPRESA !! Sulla LAN (sulla rete LOCALE) vedo transitare pacchetti di tutti i tipi con IP privati NON appartenenti alle subnet del cliente o addirittura con IP PUBBLICI !!!

A questo punto comincio ad avere il forte sospetto che il "gomitolo" nasconda qualche orrendo segreto  mi armo di pazienza ed inizio a controllare il cablaggio che connette internet alla LAN; la connessione verso ISA è Ok.. la connessione del PIX è OK, la DMZ è Ok, passo ai tre routers "secondari"; ad un primo controllo sembra tutto ok, ma riguardando bene, scopro che dallo switch che connette i tre routers al firewall escono cinque cavi invece che quattro !!

Ok.. ricontrollo.. dai routers allo switch ok.. dallo switch al firewall ok.. vediamo cosa è questo quinto cavo.. dopo qualche minuto di combattimento selvaggio con il gomitolo riesco a seguire il cavo fino all'altra estremità.. ed ecco cosa scopro (notare la linea rossa corrispondente al quinto cavo)


non faccio commenti, ma credo che chiunque riesca a "leggere" il diagramma di cui sopra potrà capire perchè sniffando la rete vedevo degli IP "strani".. ed anche perchè ogni tanto arrivavano delle valanghe di virus, trojans ed altri simili "animali"

chiudo qui per non esporre cosa è successo al sysadmin (si.. è stato LUI a collegare quel cavo.. ed anche a combinare quel caos con il cablaggio); dico solo che il tizio, in questo momento sta probabilmente lavorando da qualche altra parte.. ma non come sysadmin nè per la manutenzione di reti e sistemi  anche perchè.. una volta rimesso a posto il cablaggio.. mi è toccato ripassare tutta la rete e "bonificare" tutto quanto.. e preferisco evitare di scrivere cosa ho trovato sulle macchine !

Giusto come nota.. se qualcuno fosse curioso di sapere il perchè di quel cavo.. beh, sembra che l'ex sysadmin avesse dei problemi di "low id" con eMule.. non dico altro !!