INSTITUTO POLITÉCNICO NACIONAL

Transcripción

1 I INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN. MODELO DE RED PARA UN CENTRO DE OPERACIONES DE SEGURIDAD (SOC). TRABAJO QUE PARA OBTENER EL GRADO DE ESPECIALISTA EN SEGURIDAD INFORMÁTICA Y TECNOLOGÍAS DE LA INFORMACIÓN. PRESENTA: ING. ALEJANDRO QUEZADA CASTILLO ASESOR DE TESINA: Dr. ANTONIO CASTAÑEDA SOLÍS MÉXICO, DISTRITO FEDERAL, JUNIO DEL 2009

2 II

3 III

4 IV RESUMEN Las redes requieren esfuerzos masivos para controlar y monitorear, más aún sino se diseñan desde un inicio con las características que las hagan administrables. Un diseño plano de red es sencillo de implementar y administrar, pero para redes grandes no aplica la misma idea. Este trabajo presenta un modelo de red jerarquizado en capas que permite mejorar las tareas de administración de redes al hacer la infraestructura modular, escalable y dota a la red de buen desempeño y disponibilidad.

5 V ABSTRACT Networks require massive efforts to control and monitor, but more are being designed from the start to the characteristics that make them manageable. A flat network design is simple to deploy and manage, but not applicable for large networks the same idea. This paper presents a hierarchical model of network layers to improve the administration of network infrastructure to make the modular, scalable and provides the network performance and availability.

6 VI ÍNDICE GENERAL Pág. RESUMEN... ABSTRACT. ÍNDICE GENERAL. ÍNDICE DE FIGURAS PLANTEAMIENTO DEL PROBLEMA... JUSTIFICACIÓN... OBJETIVO GENERAL.. IV V VI IX X XI XII Capítulo I INTRODUCCIÓN 1.1 Aspectos de diseño de redes Desempeño Escalabilidad Disponibilidad Basado en estándares Modularidad Administración de redes Modelo de administración ISO Funciones de la administración de redes Categorías de las herramientas para la administración de redes. 12 Capítulo II MODELOS DE DISEÑO DE REDES 2.1 Modelo jerárquico de capas Capa Núcleo Capa de Distribución Capa de Acceso Modelo de red en malla Modelo en malla completa Modelo en malla parcial

7 VII 2.3 Modelo plano de red Modelo plano WAN Capítulo III MONITORIZACIÓN DE RED 3.1 Clasificación del monitoreo Monitoreo activo Monitoreo pasivo Tipos de información para la monitorización de redes Datos de contenido completo Datos de sesión Datos estadísticos Zonas de monitorización Perímetro Zona desmilitarizada Zona militarizada Zona inalámbrica Capítulo IV PROPUESTA DE MODELO DE RED BASADO EN EL MODELO DE CAPAS 4.1 Marco de trabajo Guías de diseño del modelo de red Capa núcleo Guías para diseñar la Capa núcleo Centro de Datos Guías para diseñar el Centro de Datos Acceso a los usuarios Administración

8 VIII Conclusiones Referencias Bibliográficas. 46

9 IX ÍNDICE DE FIGURAS Fig. Pág. No. 1.1 Vista de un sistema de administración de redes 7 No. 2.1 Topología jerárquica No. 2.2 Topología en malla parcial No. 2.3 Topología en malla completa 21 No. 2.4 Topología WAN plana No. 3.1 Zonas de monitorización 32 No. 4.1 Red organizacional de referencia. 38 No. 4.2 Modelo para la capa núcleo.. 40

10 X PLANTEAMIENTO DEL PROBLEMA El análisis de la seguridad en redes representa un área de oportunidad muy amplia para los administradores de sistemas en todo tipo de organizaciones, debido a la necesidad de contar con información oportuna y veraz con respecto a las operaciones y procesos de la organización para una mejor toma de decisiones. Cualquier organización que posea Tecnologías de la Información quiere que estas sean confiables, pues la información es la base en la que se sustenta la planeación; para la concebir, preparar y conducir un plan estratégico, el éxito dependerá de poseer información veraz y oportuna, que será la base sobre la cual un administrador de sistemas tome decisiones acerca de los recursos que le hayan sido asignados. Las redes de datos son la infraestructura sobre la cual viaja la información requerida para los planes arriba mencionados. En muchas ocasiones se diseñan esas redes sin considerar aspectos de seguridad, solo con el objetivo de hacerle llegar la información a quienes la requieren. Por eso es necesario tomar las acciones para proveer de seguridad a esa información de amenazas internas y externas a la organización, teniendo como principio que una red planeada adecuadamente nos ayudara para tal fin. Una vez que se ha diseñado una red con aspectos de seguridad resulta de ayuda la implantación de un Centro de Operaciones de Seguridad, el cual tiene como objetivo proporcionar servicios de detección y reacción a incidentes de seguridad, lo que dará la capacidad a los responsables de la Seguridad Informática tomar decisiones oportunas que permitan la continuidad de los servicios. De esta forma, resulta beneficioso dotar a ese centro de red con los aspectos necesarios que permitan la continuidad de sus operaciones, así como lograr su objetivo de detección y reacción a incidentes de seguridad.

11 XI JUSTIFICACIÓN El área de Tecnologías de la Información es la encargada de regir el desarrollo informático, realizando funciones de administración, coordinación, diseño, desarrollo, instalación y mantenimiento de bienes informáticos dentro de una organización. En el desempeño de esas funciones, esta área debe dirigir sus esfuerzos a mejorar la tecnología con que se cuenta, adquirir nueva tecnología, crear la propia e implementar las soluciones que satisfagan las necesidades que en la actualidad se tengan. Dentro de las cuales se consideran el intercambio de datos de forma sencilla y confiable entre las diversas áreas que la integran. En respuesta a esa necesidad se administran las redes internas en la organización, que son concebidas como un proyecto para compartir recursos, y establecer comunicación, con la finalidad de reducir tiempos y costos en el manejo de la información y transferencia de datos dentro de las diferentes áreas. En este contexto, es prioridad fortalecer la protección de las redes existentes de incidentes de seguridad que se presenten, para lo cual se propone un Modelo de Red para el Centro de Operaciones de Seguridad (SOC), el cual proporcionará entre otras cosas, una infraestructura diseñada teniendo en cuenta la monitorización para efectos de proporcionar buen rendimiento y buen funcionamiento.

12 XII OBJETIVO GENERAL Proponer una infraestructura de red que soporte los servicios de un Centro de Operaciones de Seguridad (servicios de detección y reacción a incidentes de seguridad) basada en un modelo que permita su organización, configuración, monitoreo y control de los dispositivos de la red con el fin de proporcionar disponibilidad, flexibilidad, escalabilidad y aislamiento de las fallas.

13 CAPÍTULO I. INTRODUCCIÓN. 1.1 Aspectos de diseño de redes. En muchas redes frecuentemente se presentan diversos problemas que los administradores de red tienen que resolver debidos a la acción de un gran número de elementos individuales que las integran. Podemos encontrar problemas con la configuración e instalación, otros tienen que ver con la elección de la topología, algunos con los protocolos y puertos habilitados, unos más con el desempeño de las aplicaciones, otros con la conectividad, de compatibilidad entre los elementos de la red y de accesos restrictivos. En cualquiera de estos casos, se hacen presentes algunos aspectos que los usuarios de red esperarían encontrar en las operaciones habituales de la organización: Desempeño Escalabilidad Disponibilidad Basada en estándares Modularidad Administrable

14 Desempeño Una aproximación informal al término desempeño es medir la velocidad de la red. El tiempo que tarda en realizarse una transacción o que tan rápido puedo descargar un archivo. Sin embargo la velocidad no es todo lo relacionado con el desempeño. En cuanto a las transacciones también se necesita saber el volumen de datos que pueden ser enviados en esa transacción o cuantas transacciones simultaneas pueden ser soportadas, así mismo se requiere medir la cantidad de paquetes que se pierden en una conexión. Típicamente es medido en paquetes por segundo (pps). Estos son numero fáciles de medir y reportar, pero estos valores leídos desde un router o un switch no tienen sentido cuando se quiere obtener una medida del desempeño total de la red. No existen métricas simples para determinar o medir el desempeño. Hay que hacer notar que algunos dispositivos en específico pueden prometer un desempeño aceptable, el desempeño efectivo solo es mejorado considerando y optimizando cada uno de los componentes y en su conjunto. Una red integrada y optimizada puede asegurar un mejor desempeño. Los siguientes parámetros permiten determinar razonablemente el desempeño de una red: Como perciben los usuarios la respuesta de las aplicaciones. Debido a que esto indica como los usuarios o clientes perciben el desempeño de las aplicaciones de la red. Esta es afectada por la velocidad de las conexiones, congestión y características de la implementación, incluye la respuesta de los dispositivos y los protocolos. La respuesta de la red puede ser alterada basada en como la respuesta de las aplicaciones cambian en la red, por ejemplo, muchas aplicaciones emplean TCP, el cual hace lenta la velocidad de transmisión si hay mucha congestión o pérdida de paquetes en la red.

15 3 Throughput para la administración operacional. Este especifica la velocidad de información que llega a un dispositivo y la posibilidad de pasar estos a través de un punto en particular de la red. El throughput esta relacionado con la utilización. En cuanto la utilización se incrementa, el throughput se aproxima a su máximo teórico hasta que llega a un colapso debido a la congestión. Típicamente el throughput es medido en paquetes por segundo (pps), kilobits por segundo (Kbps), megabits por segundo (Mbps) o gigabits por segundo (Gbps). Utilización. Utilización mide el uso de un recurso en particular en el tiempo, usualmente se expresa en un porcentaje, donde el uso de un recurso es comparado con la capacidad máxima operacional. Medir la utilización permite identificar la congestión (o congestión potencial) a través de la red. También es posible identificar recursos que no están siendo utilizados adecuadamente. Dados estos indicadores, ahora es necesario definir como pueden ser medidos e interpretados. Para esta tarea existen herramientas que pueden ayudarnos a darle un significado a los datos cuantificados. El uso de esas herramientas nos proporcionan dos tipos de información. El primero de ellos es la información de administración que se obtiene de los elementos activos de la red mediante un protocolo de administración y a partir de esa información se podrá hacer inferencias del desempeño de la red. Esta forma de medir el desempeño puede llamarse pasiva, en el sentido que esta forma de medir el desempeño no modifica el funcionamiento de la red. El segundo tipo de información puede ser obtenida de forma activa, es decir, inyectar tráfico de prueba y medir su desempeño para alguna aplicación y situación en particular.

16 Escalabilidad En las redes de datos la escalabilidad es una propiedad que indica, entre otras cosas, la capacidad de la infraestructura de manejar el crecimiento de la cantidad de trabajo en forma adecuada, la capacidad de continuar su funcionamiento con el desempeño deseado cuando se agregan nuevos usuarios, aplicaciones y conexiones a redes externas. Así, el tamaño de una red o su capacidad puede tender a crecer sustancialmente en un período de tiempo corto sin tener que ver disminuido su desempeño. Cuando se diseña la red de una organización, utilizar dispositivos modulares para añadir tarjetas para funciones específicas, facilita el trabajo de actualizar los dispositivos si la red crece. Implementar una jerarquía permite tener mejor control sobre la red y sobre su administración. Para permitir la escalabilidad de las redes de datos, hay que decidir la mejor opción en las siguientes áreas: Topología de la red. Debe ser tal que el añadir o quitar un elemento de la red no resulta en hacer más configuraciones, causar inestabilidad, modificar el desempeño o afectar los niveles de disponibilidad. Direccionamiento. La distribución de direcciones IP debería facilitar el ruteo. Adicionalmente debería ser posible crear nuevas subredes con un impacto mínimo sobre el esquema de direccionamiento y la carga de los routers. Protocolos de ruteo. El protocolo de ruteo elegido debe ser capaz de adaptarse rápidamente cuando añadimos, quitamos o hacemos cambios sin un rediseño masivo.

17 Disponibilidad La disponibilidad de una red es una característica que le brinda redundancia cuando la red principal presenta problemas de rendimiento o anomalías de cualquier naturaleza. La falla de una aplicación, un malfuncionamiento de un router o algún corte inesperado del cable de fibra, puede ser percibido como que la red no es disponible. La disponibilidad de una red puede ser incrementada tomando en cuenta las siguientes prácticas: Identificar los puntos comunes de fallas. Planificar la tolerancia a fallas. Es decir, contar con hardware para redundancia, fuentes de alimentación de energía alternas y copias de seguridad. Proponer enlaces redundantes debido a que estos proporcionan una alta confiabilidad en caso de que un enlace falle. Adecuado diseño de la red Basado en estándares El diseño completo de los componentes que conforman la red, cuando sea posible, deberán estar basados en estándares. Los estándares implican flexibilidad, debido a que podemos tener la necesidad de interconectar diferentes dispositivos de diferentes fabricantes. Las características de dispositivos de fabricantes específicos pueden ser adecuadas para cubrir requerimientos en el corto plazo, pero a largo plazo estas pueden limitar los cambios debido a la dificultad de encontrar una tecnología común.

18 Modularidad La modularidad permite contar con una red flexible, con unidades con características bien definidas y divide un sistema complejo en sistemas más pequeños y administrables. La modularidad asegura que la falla de una cierta parte de la red pueda ser aislada y evitará la caída de la red entera. Implementando un diseño modular podemos mejorar la escalabilidad de una red. 1.2 Administración de redes A medida que una red crece en tamaño y complejidad se transforma en un recurso más crítico y su administración se convierte en todo un reto. Debido a esa idea es que las redes deberían ser diseñadas desde su concepción teniendo en mente la administración de la misma. La administración de las redes es el proceso continuo de monitorear las redes para detectar y diagnosticar problemas, así como configurar protocolos y mecanismos para resolver esos problemas y optimizar el desempeño 1, como lo muestra la Figura No La administración de redes es un servicio que involucra una variedad de herramientas, aplicaciones y dispositivos para ayudar a los administradores de redes a monitorear y controlaras. También el crecimiento de las redes es tal que su control resulta un trabajo difícil sin herramientas automatizadas. Desafortunadamente las redes actuales no fueron diseñadas considerando estas tareas como prioridad. Como resultado tenemos que la administración de este recurso es como un arte practicado por una creciente comunidad de operadores de red que se basan en mejores practicas. 1 Design Principles for Manageable Networks.

19 7 Administración de la red Monitoreo de la red Configuración de la red Red Operativa Figura No.1.1. Vista de un sistema de administración de redes Modelo de administración de redes de la ISO La Organización Internacional para la Estandarización (International Organization for Standarization: ISO) como parte de su especificación para la administración de Sistemas Abiertos (Open System Interconnection: OSI) y con el fin de lograr una normalización en la administración de redes, creó un modelo para la gestión de estas que es de utilidad para implementarlo en escenarios Administración del desempeño, Administración de las fallas, Administración de registros, Administración de la configuración, y Administración de la seguridad.

20 8 Administración del desempeño. Esta tiene dos objetivos clave, preparar los recursos de la red para el crecimiento futuro y determinar la eficiencia actual de la red. Esta área esta enfocada en asegurar niveles aceptables de desempeño. En ciertos casos, es crítico para que una aplicación funcione efectivamente que la comunicación sobre la red sea dentro de ciertos umbrales de desempeño. Por esta razón es que la monitorización de la red, para medir parámetros como perdida de paquetes, tiempo de respuesta y utilización de los enlaces, es un paso importante para la identificación de problemas que pueden ocurrir, como parte de una administración estratégica proactiva de la red. La administración del desempeño de una red de computadoras comprende dos áreas: monitoreo y control. El monitoreo es la función que da seguimiento a las actividades sobre la red. El control es la función que habilita a la administración del desempeño para hacer ajustes y así mejorar ese desempeño. Algunos tipos de desempeño que se requieren para la administración de una red son: Medir el nivel de la capacidad de la utilización, Medir la cantidad de tráfico, Determinar si el rendimiento ha sido reducido a niveles inaceptables, Si existen cuellos de botella, y Si el tiempo de respuesta de algunas aplicaciones se incrementa. Para tratar con estas premisas, el administrador de la red tiene que enfocarse en un conjunto inicial de recursos para monitorearlos a fin de reestablecer los niveles de desempeño. Esto incluye, asociar métricas y valores apropiados, con recursos relevantes de la red para determinar diferentes niveles de desempeño. La administración del desempeño debe por lo tanto, monitorear muchos recursos a fin de proporcionar información para determinar el nivel de operación de la red. Con esa

21 9 actividad de recolectar información, analizarla y usar los resultados del análisis como retroalimentación para reescribir el conjunto de valores iniciales, el administrador de la red puede llegar a ser un experto en el reconocimiento de situaciones indicativas de la degradación del desempeño. Administración de fallas. El objetivo de la administración de fallas es detectar, aislar, corregir y almacenar en archivos las fallas que ocurren en una red para mantener su correcta operación, así como ponerse en contacto con la persona adecuada donde ocurrió la falla. Cuando esta ocurre, es importante, tan rápido como sea posible: Determinar donde ocurrió exactamente la falla, Aislar el resto de la red de la falla ocurrida, con el fin de que esta siga proporcionando los servicios sin interferencia por parte de la falla, Reconfigurar o modificar la red en el sentido de minimizar el impacto en la operación sin el componente o componentes dañados, y Reparar o reemplazar los componentes para reestablecer el estado inicial de la red. Hay que hacer una distinción entre falla y error. Falla es una condición anormal la cual requiere atención o acción de un administrador de red. Una falla está indicada usualmente por la falta de la operación correcta o por exceso de errores. Ciertos errores pueden ocurrir ocasionalmente y no son considerados normalmente como fallas. Es posible compensar errores usando algún mecanismo de control de errores de los que poseen algunos protocolos. Administración de las actividades. El objetivo de la administración de registros, es medir la utilización de parámetros de la red para que las

22 10 aplicaciones individuales o de grupo puedan ser reguladas apropiadamente. Esta regulación minimiza los problemas de la red y la imparcialidad en el acceso a la red de todos los usuarios. En algunas redes es necesario añadir mecanismos que llevan la contabilidad en determinados parámetros. El administrador de la red necesita ser capaz de realizar un seguimiento de los recursos de la red para un usuario o grupo de usuarios por varias razones: Un grupo de usuarios puede estar haciendo un uso excesivo de sus privilegios y cargar la red a expensas de otros usuarios. Los usuarios pueden estar haciendo un uso ineficiente de la red y los administradores de la red pueden colaborar cambiando procedimientos para mejorar el desempeño de la red. El administrador de la red está en una mejor posición dentro de la organización para planear el crecimiento de la red si las actividades de los usuarios son conocidas con suficiente detalle. Administración de la configuración. Las redes de datos modernas están compuestas de diversos elementos individuales que son configurados para desempeñar funciones diferentes. La administración de la configuración tiene su área de actividad en el monitoreo de la información de configuración de los sistemas de una red y las modificaciones que esta sufre. Esta actividad tiene especial importancia debido a que una mala configuración puede generar flujos de información innecesarios resultado de la modificación de esa configuración. Una adecuada estrategia de administración de la configuración involucra llevar un registro de todos los cambios al software y hardware de la red. Esos cambios pueden registrarse manualmente, sin embrago una practica más común es llevar esos registros a través de software

23 11 diseñado para la administración de redes en lo que respecta a la configuración. Las actividades de la administración de la configuración tienen que ver con: Puesta en marcha de los elementos de una red, Definir, mantener y actualizar las relaciones de los componentes y el estado de los componentes mismos durante la operación normal de la red. Administración de la seguridad. La administración de la seguridad tiene como objetivo mantener los controles de acceso a los recursos de la red, así como con la generación, distribución y almacenamiento de llaves cifradas. La administración de la seguridad también está relacionada con el control de acceso a redes de computadoras y a la información de la administración obtenida a través de un nodo de la red, ya sea por usuarios internos como externos a las redes de la organización. Los registros son una herramienta importante, y por lo tanto, la administración de la seguridad tiene mucho que ver con la colección, almacenamiento y análisis de los registros de seguridad, así como con habilitar y deshabilitar esas facilidades de almacenamiento. Esta actividad también tiene como objetivo configurar y mantener dispositivos como firewalls, sistemas de detección de intrusos y políticas de seguridad como access list.

24 Funciones de la administración de redes Las funciones de la Administración de Redes pueden ser agrupas en dos grandes áreas, la monitorización de la red y el control de la misma. La primera es una función de lectura, se encarga de la observación y análisis del estado y comportamiento de los sistemas finales, sistemas intermedios y las subredes que forman la infraestructura administrada. La segunda, es una función de escritura, que se encarga de modificar los parámetros de los diversos componentes y dirigir a esos componentes para que desarrollen acciones predefinidas. Cada una de esas dos funciones, tiene sus áreas claves. Así, el monitoreo de la red puede lograrse por medio de la administración del desempeño, la administración de fallas y la administración de registros. Y el control de la red, se lleva a cabo por medio de la administración de la seguridad y la administración de la configuración Categorías de las herramientas de la administración de redes. Los tipos de herramientas disponibles para la administración de las redes pueden ser agrupadas en cuatro categorías generales de acuerdo a la función que desempeñan: Sistemas para la administración de las fallas, Administración del desempeño, Analizadores de protocolos, y Para aplicaciones específicas.

25 13 Sistemas para la administración de fallas. Los sistemas para la administración de fallas son los elementos esenciales con los que cuenta un centro de administración de red de cualquier organización. Estos consisten de un local donde sitúan una computadora o computadoras que activamente solicitan respuesta de los dispositivos de la red para confirmar que están todavía funcionando. Una base de datos estándar llamada Management Information Base (MIB) permite a la estación de administración solicitar respuesta de los dispositivos para obtener estadísticas, la hora desde su última inicialización, errores en los datos, etc. La estación de administración utiliza el protocolo SNMP (Simple Network Management Protocol) para recuperar las características que se puedan configurar de los dispositivos y que están almacenadas en la MIB. Las estaciones de administración típicamente muestran un mapa grande con la infraestructura de red que basada en un código de colores proporcionan retroalimentación del estado que guarda la red. Un dispositivo que esta activo y funcionando muestra color verde, otro dispositivo del cual su agente esta fallando pero aún así esta respondiendo se pone en color amarillo y un dispositivo que no responde a nada se pone de color rojo. Entre menos iconos de color rojo muestre la estación de administración, mucho más sana está la red, o al menos así debería ser. Administración del desempeño. Diversas herramientas están disponibles hoy en día para monitorear proactivamente las miles de transacciones que ocurren en las redes de alta velocidad. Hay dos tipos básicos de administración del desempeño proactiva:

26 14 Una es la administración activa donde se usa tráfico simulando el tipo de aplicación que se desea administrar, la cual transmite constantemente paquetes a través de la red. Estos sistemas de administración usan guiones predefinidos de cientos de aplicaciones en el mercado. Los guiones simulan el tráfico de las aplicaciones sobre la red activa para monitorear los resultados. El otro tipo de administración del desempeño es pasivo, donde la estación de administración trabaja en modo promiscuo para visualizar todo el tráfico y recuperar información del tiempo de respuesta de las transacciones que ocurren en la infraestructura. Analizadores de protocolos. Los analizadores de protocolos son herramientas que capturan bits en crudo que van a través de la red y se reensamblan con los protocolos de comunicación en las diferentes capas del modelo OSI. Estas herramientas operan en la red en modo promiscuo, copiando todas las tramas y almacenándolas para su posterior análisis por el administrador de la red. Estas herramientas nos dan la capacidad de visualizar en tiempo real las transacciones entre los sistemas interconectados y las interacciones de un protocolo en específico y de allí obtener indicadores de posibles problemas. Para aplicaciones específicas. Las herramientas para aplicaciones específicas se enfocan en la comprensión de una acción particular de una aplicación.

27 CAPÍTULO II. MODELOS DE DISEÑO DE RED. 2.1 Modelo jerárquico de capas En el campo del diseño de redes un modelo de red jerárquico es una topología discreta de capas. Cada capa esta enfocada a desarrollar funciones específicas lo que permite elegir dispositivos con características bien definidas para cada capa. La figura no. 2.1 muestra un ejemplo de topología de este tipo, donde se pueden utilizar routers de alta velocidad para procesar el tráfico que pasa a través del backbone de la WAN (Wide Area Network) de la organización, routers de velocidad media para el tráfico de red que va entre los campus de la organización y switches para conectar los dispositivos dentro de los edificios. Diseñar una red en forma jerárquica es una técnica que ayuda, entre otras cosas, a crear una infraestructura escalable gracias a las capas y a la modularidad. Una topología jerárquica típicamente consta de tres capas: Capa núcleo de routers de alta velocidad optimizados para la disponibilidad y el desempeño, Capa de distribución de routers y switches que implementan políticas, y Capa de acceso que conecta a los usuarios mediante switches y access points.

28 16 Este modelo típico de tres capas permite la agregación de tráfico y filtrado en los niveles sucesivos de ruteo y switcheo. Como ya se mencionó anteriormente, los dispositivos para cada capa desempeña una rol específico, de esta forma, la capa core proporciona el transporte óptimo entre los dispositivos, la capa de distribución conecta los servicios de red a la capa de acceso e implementa políticas de acceso en cuanto a la seguridad, balanceo de tráfico y ruteo, finalmente, en la capa de acceso se colocan switches y concentradores para el permitir el acceso a los usuarios. Campus A Backbone WAN de la organización Campus C Campus B CAPA BASE Backbone Campus C CAPA DE DISTRIBUCIÓN CAPA DE ACCESO Edificio C-1 Edificio C-2 Figura No Topología jerárquica.

29 Capa Núcleo La capa núcleo de un modelo jerárquico de tres capas es un backbone de alta velocidad que interconecta redes de una organización. Debido a que esta capa se considera critica para la interconectividad, debería ser diseñada con componentes redundantes, debe ser altamente confiable y tener la capacidad de responder rápidamente a los cambios que se hagan a la infraestructura de red entera. Cuando se configuran routers para esta capa, las características del ruteo deberían ser tales que optimicen el throughput, se debe evitar usar filtros y otras características que impliquen la manipulación de los paquetes y provoque que retrase la transmisión, así como configurar esta capa para una baja latencia y buena administración. La capa núcleo posee un espacio o diámetro bien delimitado, se pueden añadir routers o switches de la capa siguiente (capa de distribución) pero el límite de la capa core no se modifica, esto permitirá poder seguir midiendo el performance y facilidad del troubleshooting. Algunas organizaciones tienen la necesidad de conectar su red con otras organizaciones vía alguna extranet o vía Internet, para satisfacer dicha necesidad la capa core debería contar con una o más conexiones a redes externas. Un administrador de redes de una organización, cuando tiene implementado un modelo jerárquico de capas, tiene la función de desanimar a los administradores de otros edificios de la misma organización de crear su propia capa core y sus respectivas conexiones a extranets o Internet, esto permite tener centralizadas las funciones en una sola capa core, reducir la complejidad, los problemas potenciales de ruteo y esencialmente minimizar las preocupaciones de seguridad.

30 Capa de Distribución La capa de distribución, en primera instancia puede describirse como el punto que delimita la capa core y la capa de acceso de una infraestructura de red que aplique el modelo jerárquico de redes. Esta capa tiene entre otras funciones la de controlar el acceso a los recursos de la red por razones de seguridad y la de controlar el tráfico que va a la capa core para no afectar el performance. La capa de distribución permite a la capa core conectar sitios que corran diferentes protocolos y mantener los niveles del performance, para hacer esto puede permitir el uso de ciertos protocolos para la capa de acceso y protocolos diferentes para la capa core. Para no afectar el desempeño de los protocolos de ruteo, la capa de distribución resume las rutas desde la capa de acceso. Para algunas redes la capa de distribución ofrece una ruta por defecto para cuando es requerido comunicarse con routers de la capa de acceso y solo permite el uso de protocolos de ruteo dinámico cuando se requiere la comunicación con los routers de la capa core. Esta capa añade nodos desde la capa de acceso para proteger de alguna manera a la capa core de recibir una densidad alta de conexiones desde la primera capa. De esta forma la capa de distribución crea un límite que funciona como punto de aislamiento lógico del origen de una falla en la capa de acceso. Las consideraciones claves para el diseño de la capa de distribución son el balanceo de carga y la calidad de servicio. También esta capa debe proporcionar alta disponibilidad la cual se logra a través de rutas duales con igual costo desde la capa de distribución a la capa core y desde la capa de acceso a la capa de distribución. Este procedimiento resulta en rapidez y convergencia en el caso de que se presente un evento de falla en el enlace. Cuando se cuenta con la presencia de rutas duplicadas la recuperación de una falla dependerá primeramente sobre la detección de la falla en el enlace en lugar de la

31 19 detección de la misma basada en el tiempo de respuesta de la alguna aplicación Capa de Acceso La capa de acceso es el primer punto de entrada a la red desde los dispositivos y computadoras y como tal proporciona a los usuarios de determinados segmentos acceso a la red. Esta capa puede incluir ruteadores, switches, puentes y puntos de acceso para redes inalámbricas. Los switches en la esta capa dividen en dominios de ancho de banda para satisfacer las demandas de aplicaciones que requieren mucho ancho de banda o no soportan el retardo variable caracterizado por compartir el ancho de banda. 2.2 Modelo de red en malla Un modelo de red en malla puede implementarse de dos formas, la primera en una red en malla completa y otra parcial. Comúnmente una red en malla se usa para describir una red de múltiples conexiones punto a punto en las cuales se puede enviar y recibir en ambas direcciones. Genéricamente un dispositivo esta conectado a otros sin nada en medio de los dos, la latencia en este tipo de redes es muy baja 2. Entonces uno se preguntaría por qué no se implementan más redes en malla, la respuesta se halla en la eficiencia. Pensando en que cada conexión requeriría una interfaz, si tenemos 100 dispositivos entonces cada uno debería estar dotado de 99 interfaces. Otra razón por la que este modelo de red no es eficiente es que no todos los dispositivos tienen que comunicarse con los demás todo el tiempo, la mayor parte del tiempo esas conexiones estarían inactivas. 2 Designing Large Scale LAN

32 Modelo en malla completa En un modelo de red en malla completa, cada ruteador o switch esta conectado a cada uno de los otros ruteadores o switches de la red, es decir un nodo esta conectado con todos los demás nodos de la red, esto mejora las características de disponibilidad y de redundancia al transportar los paquetes por diferentes caminos por si acaso falla un enlace hay otro alterno para hacer llegar los mensajes a su destino. De igual forma este modelo de red proporciona mejor desempeño pues existe solo un salto de retardo entre dos dispositivos, como se muestra en la figura no Por otro lado, una clara desventaja es el costo de implementar un modelo de red de este tipo debido a las extensas longitudes de cable que hay que usar para conectar un nodo con el resto de los nodos de la infraestructura. Campus A Campus B Campus C Campus D Campus E Figura No Topología en malla completa.

33 Modelo en malla parcial En este modelo de red, al menos un dispositivo, sea ruteador o switch mantiene múltiples conexiones a todos los demás sin llegar a ser una red en malla completa. Este modelo todavía conserva parte de la redundancia de un modelo en malla completa, pues se tienen varias rutas alternas, si alguna deja de funcionar, otra es usada para hacer llegar los mensajes aunque sea un camino más largo, así aprovecha esa condición de redundancia sin representar una inversión muy cara ni la complejidad requerida por la conexión de un nodo con todos los demás nodos de la red. Campus A Campus B Campus C Campus D Campus E Figura No Topología en malla parcial.

34 Modelo plano de red En un diseño de red plano no hay jerarquías y este tipo de modelo es más adecuado para organizaciones pequeñas. Los dispositivos de la infraestructura de red tienen funciones similares y la red no esta dividida en capas o módulos. Este modelo de red es relativamente fácil de diseñar e implementar y también es sencillo su mantenimiento siempre y cuando se mantenga pequeña la red. Los problemas pueden surgir cuando la red comienza a crecer, de esa forma ya no se deseará tener una red plana. Por ejemplo si se ve la a la red como un solo nivel de jerarquía, el manejo de las fallas se hace difícil pues no se tendrá que revisar un solo segmento de la red o una sola área, se necesitara revisar toda la red Modelo plano WAN Una red de área amplia (Wide Area Network: WAN) plana de una organización puede estar conformada de cuatro campus, por ejemplo. En cada campo se encuentra un router que se conecta a otro campus adyacente vía un enlace punto a punto, como se puede observar en la figura no Debido a que la red es pequeña, los protocolos de ruteo pueden converger rápidamente y el enlace con cualquier otro router puede recuperarse cuando un enlace falla. Eso para el caso de que un solo enlace falle, por otro lado, si más de un enlace falla algunos campus quedaran aislados de los demás.

35 23 Campus A Campus B Campus C Campus D Figura No Topología WAN plana. Un modelo de red plano no es recomendable para organizaciones que posean muchos campus, esto puede representar que para transmitirse un paquete tenga que dar muchos saltos hacia su destino y resulta en un retardo significante y aumenta la posibilidad de que ocurra una falla. Si al obtener un flujo de tráfico se observa que entre un par de routers hay una cantidad excesiva de este, se podría proponer rediseñar la red a un modelo jerárquico y colocar routers o switches redundantes en lo más alto de la jerarquía para evitar puntos singulares de fallo.

36 CAPÍTULO III. MONITORIZACIÓN DE LA RED. El término monitoreo de red se refiere a la aplicación de un conjunto de técnicas con las cuales se tiene la capacidad de observar y cuantificar lo que ocurre en la infraestructura de red 3. La monitorización como parte de la administración de redes, tiene como funciones la observación, análisis del estado y comportamiento de la red entera en lugar de solo routers, hosts u otros dispositivos individuales. El empleo de técnicas específicas para cumplir esas funciones sirve para recuperar datos desde los dispositivos de la red y proporcionan la base esencial para: Ajustar el Performance. Identificar cuellos de botella, balancear el uso de los recursos y mejorar la calidad del servicio (QoS). Troubleshooting. Identificar, aislar, diagnosticar y rectificar fallas. Planear. Predecir el crecimiento de la red y capacidad de determinar la naturaleza de los recursos para adicionar a la red. Proponer nuevos mecanismos de control. Comprender las operaciones actuales de la red para tener un mejor control de esta. Comprender y controlar la complejidad. 3 Hall, James. Multi-layer network monitoring and análisis.

37 25 Identificación y corrección de comportamientos anormales. 3.1 Clasificación del monitoreo. Los mecanismos para recuperar datos desde la red se clasifican en activos y pasivos, aunque es común que se empleen conjuntamente Monitoreo activo. El monitoreo activo tiene que ver con la investigación de algún aspecto del performance y funcionamiento para observar el comportamiento cuando se inyecta tráfico a la red. El tráfico inyectado debe ser adecuado al objetivo que se quiere alcanzar, así podemos inyectar paquetes ping del Protocolo de Control de Mensajes de Internet (Internet Control Messages Protocol: ICMP) para determinar si se alcanza un dispositivo, o solicitudes del Protocolo de Transferencia de Hipertexto (Hyper Text Transfer Protocol: HTTP) para monitorear los tiempos de respuesta de un servidor web. Los datos obtenidos son de gran utilidad solo al momento de estar realizando la investigación, pueden ser descartados después de haber sido utilizados o si se prefiere pueden ser almacenados para un análisis global Monitoreo pasivo. Los datos monitoreados pasivamente son recuperados desde la red de una forma no intrusiva. Los datos pueden ser recuperados directamente conectándose a un nodo de la red (monitoreo in-line) 4, para observar el tráfico que pasa o desde un host propio de la infraestructura existente (puede ser desde un router, un switch, un servidor, etc.). En el primer 4 Se emplea para describir un equipo y software necesario para el proceso de monitoreo y que está conectado en un nodo de la red sin añadir ni modificar el tráfico.

38 26 caso los datos son colectados de forma cruda o pueden ser resultado de algún proceso estadístico sobre estos. En el segundo caso es mas común que sean alguna muestra estadística del tráfico que pasa por los dispositivos o la actividad de un servidor. En cualquiera de los casos los datos pueden ser almacenados en una primera instancia para su análisis posterior o pueden ser almacenados y ser sujetos de análisis en tiempo real. La fortaleza del monitoreo pasivo es que ninguna intrusión es hecha dentro del tráfico o eventos que son monitoreados y que el conjunto completo de tráfico monitoreado está disponible potencialmente para futuro análisis. La debilidad se deja ver cuando el ancho de banda y el volumen de tráfico que pasa a través de la red incrementan, debido a que se dificulta el guardar todo el tráfico que pasa y aún más si se tiene recursos limitados, los volúmenes grandes de tráfico se hacen inmanejables. 3.2 Tipo de información para la monitorización de redes La información que se obtiene de la monitorización de redes puede ser clasificada en tres tipos: 1. Estática: información que caracteriza la configuración actual y los elementos en la actual configuración, tales como el numero e identificación de puertos en un router. Esta información cambiará con poca frecuencia. 2. Dinámica: información relacionada con los eventos que ocurren en una red, tales como el cambio de un protocolo o la transmisión de un paquete sobre la red.

39 27 3. Estadística: información que puede ser derivada de la información dinámica, tales como el numero promedio de paquetes transmitidos por unidad de tiempo por un sistema final. Un ejemplo para la estructura de esa información, arriba mencionada, para el uso en sistemas de tiempo real, es sugerida en Mazumdar y Lazar. En ese esquema, la base de datos estática tienen dos grandes componentes: una base de datos de la configuración, con información básica acerca de los elementos de la red y una base de datos del sensor, con información acerca de los sensores usados para obtener lecturas en tiempo real. La base de datos dinámica está relacionada con colectar información acerca del estado de varios elementos de red y eventos detectados por los sensores. La naturaleza de la información tiene implicaciones para donde este es recogida o colectada y almacenada para propósitos de monitorización. La información estática es típicamente generada por el elemento involucrado. Así, un router mantiene su propia información de configuración. Esta información puede ser obtenida directamente hacia el monitor si el elemento tiene el agente de software apropiado. La información dinámica, generalmente también es colectada y almacenada por el elemento de red responsable de los eventos en la base de datos dinámica. Sin embargo, si un sistema está ligado a una LAN, entonces mucha de su actividad puede ser observada por otro sistema sobre la misma red. El termino Monitoreo Remoto es usado para referirse a un dispositivo sobre la red que observa todo el tráfico sobre la misma red y recolecta información acerca de ese tráfico. Por ejemplo, el número de paquetes totales usados por un elemento sobre la red, puede ser almacenado por el mismo elemento o por un monitor remoto que esta escuchando sobre la misma red. Alguna información dinámica, sin embargo puede ser generada por el elemento mismo, tales como el número actual de conexiones a nivel de red.

40 28 La información estadística puede ser generada por cualquier sistema que tiene acceso a la información dinámica de la base de datos. La información estadística puede ser generada atrás en el monitor de red mismo. Esta actividad pudiera requerir que todos los datos en bruto sean transmitidos al monitor, donde estos pueden ser analizados y resumidos. Si el monitor no necesita tener acceso a todos los datos en bruto, entonces el monitor puede evitar tiempo de procesamiento y uso de la capacidad de la red, debido a que el sistema encargado de la información dinámica hace el resumen y manda los datos al monitor Datos de contenido completo Los datos de contenido completo representan la forma más flexible de comunicación basada en la red. Se trata de una rica forma de evidencia que ofrece detalles. Una vez adquiridos los datos de contenido completo, los analistas pueden derivar los datos de sesión, los de alerta y los estadísticos si así lo requirieran. En muchas ocasiones es casi imposible recopilar el conjunto de los datos de contenido completo por limitaciones de software y hardware, pero en ocasiones si es posible almacenar todos, en tales caso se opta por centrarse en una sola aplicación o un solo protocolo. Los datos de contenido completo ofrecen dos características atractivas que hacen que valga la pena recopilarlos: su granularidad y su relevancia de aplicación. La granularidad se refiere a la recolección de todos y cada uno de los bits con sentido que contienen los paquetes. Así cualquier campo de un protocolo en específico que sea usado para enviar datos ocultos quedaran registrados y servirá a los analistas para hacer su tarea con mayor precisión. El segundo aspecto de los datos de contenido completo la relevancia para la aplicación se refiere a guardar la información que pasa por encima de la capa de transporte. Cuando los analistas tienen acceso a los datos que intercambian las aplicaciones, se abre todo un nuevo mundo para la

41 29 investigación. Cuando los datos de contenido completo no están cifrados, se puede comprender por completo la naturaleza de la interacción habida entre dos equipos de la red Datos de sesión Los datos de sesión representan un resumen de una conversación entre dos partes. Una sesión que también se denomina flujo, corriente o conversación, es un resumen de un intercambio de paquetes entre dos sistemas. Los protocolos orientados a conexión, como TCP, son los más adecuados para su representación en los datos de sesión, porque normalmente las fases de comunicación con TCP están bien definidas. Los protocolos como UDP e ICMP son menos elaborados, pero los que tienen una estructura de solicitud y respuesta también pueden ser utilizados para un análisis de datos de sesión. Entre los elementos básicos de los datos de sesión cabe mencionar los siguientes: IP origen Puerto Origen IP destino Puerto Destino TimeStamps, generalmente el instante de comienzo de sesión Medida de la cantidad de información intercambiada durante la sesión. Estos seis elementos son el núcleo de cualquier estrategia de captura de datos de sesión. Los datos de sesión se utilizan más con propósitos de contabilidad y facturación, pero los analistas se han percatado de los aspectos de

42 30 seguridad que tiene esta forma tan importante de datos de auditoría de red, especialmente cuando el volumen de tráfico va aumentando. Existen dos formas fundamentales de generar datos de sesión. El primer método consiste en capturar los datos de contenido completo o un subconjunto formado por los encabezados de los paquetes. Esta información se analiza en modo por lotes para resumir el tráfico. Este método consiste en capturar todo el tráfico y luego resumir, representa una forma efectiva de construir datos de sesión, suponiendo que los dispositivos que utilizamos para tal fin, capture todo el tráfico necesario para reensamblar una conversación. La segunda manera de generar los datos de sesión reconoce las limitaciones del enfoque de capturar todo el tráfico y luego resumir. Este segundo método tiene como premisa primero es la sesión, observa el tráfico de red y registra las conversaciones en forma compacta. Este método se comporta mejor en ambientes donde existen grandes volúmenes de tráfico y se utiliza para monitorizar distintos enlaces de alta velocidad. Sin embargo este método tiene un inconveniente, tiene que ver la mayor cantidad de tráfico posible y después representar el tráfico en formato de flujo Datos estadísticos Las estadísticas son la evolución última, más allá de la granularidad de los datos de contenido completo y de los elementos vitales que aportan los datos de sesión. Podemos llevar la cuenta de la cantidad de tráfico que pasa por un puerto en específico de un protocolo en particular a lo largo de un período de semanas o la cantidad de ancho de banda consumida por un usuario.

43 Zonas de monitorización Durante los últimos años ha llegado a ser evidente la necesidad de proteger las redes internas de una organización de las amenazas del mundo externo. Hasta hace algunos años las redes eran vulneradas por atacantes profesionales, en la actualidad las redes que se requiere proteger son escaneadas por usuarios internos que en tiempo de ocio prueban herramientas que encuentran en la red, así mismo por organizaciones criminales que buscan obtener información de los sistemas o utilizar la información que esta almacenada dentro de la organización para que les de identidades, les revele información de transacciones, les de acceso no autorizados o descomponga los servicios críticos que la organización ofrece. Es en este contexto donde se planea la seguridad de las redes con el objetivo de minimizar el riesgo de intrusiones y del daño que estas puedan causar. Desde luego, antes de poder dar un significado al tráfico que pasa a través de las redes, es necesario comprender las áreas que se requiere proteger y definir con precisión los componentes que las integran. Segregar las redes ayuda en esta tarea para definir que zonas se van a vigilar antes de ver el tráfico de cualquier naturaleza. Las zonas de monitorización son lugares donde el tráfico que pasa a través de estas comparte ciertos privilegios. Estos lugares bien delimitados tienen características específicas que se las da un dispositivo de control de acceso (cortafuegos) el cual direcciona y segmenta el tráfico para las diversas zonas 5. Tomando como dispositivo de control de acceso básico un cortafuegos, para efectos de ejemplificar una red que es objeto de vigilar, como se muestra en la figura no. 3.1., este dividiría a la organización en cuatro zonas: 1. El perímetro, 2. La zona desmilitariazada (DMZ), 3. La zona inalámbrica, y 5 Bejtlich, Richard. El Tao de la Monitorización de Seguridad en Redes.