MODELO DE GESTIÓN DE SEGURIDAD CON SOPORTE A SNMP NICOLÁS BOTERO ARANA. Director: Ingeniero Edgar Enrique Ruiz García PONTIFICIA UNIVERSIDAD JAVERIANA

Transcripción

1 MODELO DE GESTIÓN DE SEGURIDAD CON SOPORTE A SNMP NICOLÁS BOTERO ARANA Proyecto de grado presentado para optar el título de Ingeniero de Sistemas Director: Ingeniero Edgar Enrique Ruiz García PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERIA CARRERA DE INGENIERIA DE SISTEMAS BOGOTA D.C. JUNIO DEL 2005

2 PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERIA CARRERA DE INGENIERIA DE SISTEMAS Rector Magnífico: Padre Gerardo Remolina Vargas S.J. Decano Académico Facultad de Ingeniería: Ingeniero Francisco Javier Rebolledo Muñoz Decano del Medio Universitario Facultad de Ingeniería: Padre José Sarmiento Nova S.J. Director Carrera de Ingeniería de Sistemas: Ingeniera Hilda Cristina Chaparro López Director Departamento de Ingeniería de Sistemas: Ingeniero Germán Alberto Chavarro Flórez

3 Nota de Aceptación Director del Proyecto Jurado Jurado JUNIO DEL 2005

4 Artículo 23 de la Resolución No. 1 de Junio de 1946 La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el anhelo de buscar la verdad y la Justicia

5 AGRADECIMIENTOS En primer lugar quiero agradecer a la Carrera de Ingeniería de Sistemas de la Pontifica Universidad Javeriana por haberme instruido y formado como Ingeniero y por haberme brindado el conocimiento que me ayudó a superar esta etapa de mi vida. Debo un especial reconocimiento a mis padres por haberme brindado esta gran oportunidad de estudio, por estar siempre conmigo en mis decisiones, en mis problemas y en todo momento que tuve la necesidad de ellos. Muchas gracias a mi hermano por haberme servido de guía, de compañero, pero sobre todo, de hermano, de alguien que siempre está al lado de uno. Muchas gracias a mi hermana por darme siempre esos empujoncitos de aliento, que de una forma muy cariñosa, lo ayudan a uno a seguir adelante sin importar lo que venga. Muchas gracias a mi novia que estuvo presente durante mi último año en la Universidad y que me apoyó en todo momento. A mis amigos de la Universidad y del colegio, amigos incondicionales que estuvieron presentes en mi vida desde los comienzos más básicos de mi formación y con los cuales comparto momentos fabulosos. En ellos pude encontrar siempre una mano amiga cuando era necesario. No hay que olvidar aquellas personas que me permitieron irme formando como Ingeniero y que me fueron brindando los pilares del conocimiento: mis profesores. Muchas gracias por haberme enseñado todo aquello que necesité en el descubrimiento del saber. Al director de mi tesis le agradezco toda su paciencia en aquellos momentos donde más se necesitaba, por haberme guiado en todo este proceso y haberme brindado un ambiente de confianza y bienestar para el desarrollo de esta investigación.

6 TABLA DE CONTENIDO GLOSARIO INTRODUCCIÓN PLANTEAMIENTO DE LA INVESTIGACIÓN OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS REQUISITOS PARA EL DESARROLLO DEL PROYECTO METODOLOGÍA DESARROLLO METODOLÓGICO DE LA INVESTIGACIÓN MARCO TEÓRICO ADMINISTRACIÓN DE SEGURIDAD ADMINISTRACIÓN DE RED DOCUMENTACIÓN SOBRE SNMP Protocolo de administración simple (SNMP) Componentes de SNMP Representación de la información Operaciones (comandos) del protocolo Estructura de la PDU Protocolo de administración simple versión 3 (SNMPv3) Arquitectura SNMPv Formato del mensaje Modelo de seguridad basado en usuarios (USM) Parámetros de seguridad de USM Motor SNMP autoritativo El grupo MIB usmuser [10] Descubrimiento de motores SNMP Administración de llaves Modelo de control de acceso basado en vistas (VACM) Elementos del modelo VACM La MIB del VACM Comparación entre seguridad de SNMPv1 y SNMPv DOCUMENTACIÓN DE MIB Generalidades de MIB La estructura de administración de la información Interacción con la MIB Notación de sintaxis abstracta ASN Conceptos ASN Tipos abstractos de datos Identificación de objetos Ejemplo de la MIB de prueba DESARROLLO DEL PROYECTO SELECCIÓN DE PROGRAMAS A UTILIZAR...50

7 5.1.1 Programa Net-SNMP Pruebas de concepto Selección de herramientas de seguridad Selección de motor de base de datos Análisis del protocolo syslog ARQUITECTURA DEL MODELO PROPUESTO Arquitectura general Arquitectura del adaptador Adaptador Analizador de logs Consideraciones sobre los logs Consideraciones sobre la MIB Construcción del adaptador Arquitectura de la consola de seguridad Consola de seguridad Subsistema de ambiente gráfico Subsistema de control de incidentes de seguridad Subsistema de recepción de mensajes SNMP Subsistema de envío de mensaje SNMP Modelo entidad-relación de la base de datos utilizada Diagrama de clases de la consola de seguridad PRUEBAS DESCRIPCIÓN DE LA PRUEBA DESARROLLO DE LAS PRUEBAS RESULTADOS DE LAS PRUEBAS CONCLUSIONES CONTINUIDAD DEL PROYECTO POSIBLES TRABAJOS FUTUROS...99 BIBLIOGRAFIA ANEXO 1: TÉRMINOS DE LICENCIAMIENTO ANEXO 2: ESTRUCTURA DE UNA MIB ANEXO 3: IMPLEMENTACIÓN DE UNA MIB ANEXO 4: MANUAL DEL USUARIO ANEXO 5: INSTALACIÓN DEL PROGRAMA NET-SNMP ANEXO 6: MANUAL DE INSTALACIÓN ANEXO 7: CONTENIDO DEL CD ANEXO 8: DIAGRAMA DE CLASES GENERAL...147

8 TABLA DE FIGURAS Figura 1. Transporte de un mensaje SNMP...19 Figura 2. Estructura general de la MIB...21 Figura 3. Intercambio de mensajes SNMP...23 Figura 4. Estructura de la PDU...24 Figura 5. Diagrama de una entidad SNMP...27 Figura 6. Formato del mensaje SNMPv Figura 7. Formato del mensaje SNMPv3 con el campo msgsecurityparameters...31 Figura 8. Forma de manejo de las llaves...32 Figura 9. Relación de componentes ASN Figura 10. Vista del árbol construido...48 Figura 11. Arquitectura propuesta...49 Figura 12. Get utilizando SNMPv Figura 13. Response del mensaje SNMPv Figura 14. Get utilizando SNMPv Figura 15. Response del mensaje SNMPv Figura 16. Prueba de concepto realizada...56 Figura 17. Funcionamiento de Syslog...63 Figura 18. Arquitectura general...65 Figura 19. Arquitectura del adaptador...66 Figura 20. Estructura de los logs...70 Figura 21. Implementación de la MIB para la herramienta...71 Figura 22. Estructura general de la MIB para el modelo propuesto...72 Figura 23. Estructura en C para la herramienta Kerio...73 Figura 24. Arquitectura de la consola de seguridad...79 Figura 25. Subsistemas de la consola de seguridad...80 Figura 26. Diagrama entidad-relación...83 Figura 27. Diagrama de la red de prueba utilizada...86 Figura 28. Utilización de la red en la subred Figura 29. Utilización de la red en la subred Figura 30. Utilización de la red...90 Figura 31. Utilización de la red...91 Figura 32. Utilización de la red...92 Figura 33. Utilización de la red...93 Figura 34. Tráfico normal de la red...94 Figura 35. Gráficas del envío de un gran número de Traps a la consola...94 Figura 36. Estructura de un mensaje SNMPv3...98

9 LISTA DE TABLAS Tabla 1. Principios garantizados por cada grupo de aplicación...58 Tabla 2. Características analizadas de los Anti-Spyware...59 Tabla 3. Características analizadas de los antivirus...60 Tabla 4. Características analizadas de los firewalls...60 Tabla 5. Características analizadas de los IDS...60 Tabla 6. Criterios de selección de herramientas...61 Tabla 7. Resultados de aplicar criterios a herramientas...62 Tabla 8. Orden de las herramientas según su peso...62 Tabla 9. Porcentaje de notificación de eventos en el log...89

10 GLOSARIO 1. SNMP (Simple Network Managment Protocol): usado para administrar la configuración de dispositivos de red desde una estación de trabajo [5]. 2. MIB (Management Information Base): es una colección de información que esta ordenada en forma de árbol donde se registran las variables a monitorear con sus respectivos valores y permiten un tipo de interoperabilidad. 3. OID (Object ID): identifica de manera única cada objeto representado en la MIB y es una secuencia de números enteros no negativos separados por un punto. 4. IDS (Intrusion Detection System): es una herramienta que permite monitorear el comportamiento y el uso que se le da a los recursos en una máquina y detectar si alguien está haciendo algo indebido. 5. Firewall: un equipo que impone un conjunto de directivas de seguridad que restringen de forma severa el acceso al sistema y a los recursos [5]. 6. ASN.1 (Abstract Syntax Notation 1): lenguaje utilizado para definir tipos de datos. 7. Agente SNMP: programa que permite a un dispositivo responder a solicitudes SNMP. 8. Solicitud SNMP: solicitudes enviadas o recibidas por una entidad administradora. Pueden ser Get, Set, Trap, etc. 9. Autenticación: el proceso de determinar que una entidad es quien o lo que dice ser [5]. 10. Control de acceso y autorización: el proceso de determinar los recursos y servicios que puede usar una entidad [5]. 11. Integridad: los datos reflejen la realidad y que correspondan con lo que debe ser y no ha sido modificadas indebidamente. 12. Disponibilidad: los servicios y la información deben, en todo momento, estar disponibles. 13. Confidencialidad: que la información sólo sea vista por los entes involucrados en la comunicación y que un tercero no pueda ingresar. 14. No repudio: que algún ente que haya participado en la comunicación no pueda negar su participación en ella. 15. Auditabilidad: la herramienta guarda algún tipo de registro de eventos que han sucedido en el tiempo. 16. BER (Basic Enconding Rules): un conjunto de reglas para traducir valores ASN.1 a un flujo de octetos para transmitir por la red. 17. SMI (Structure of Management Information): define agrupaciones, nombres, tipos de datos permitidos y la sintaxis para escribir MIB s. 18. NMS (Network Management Station): estación de red encargada de gestionar varios dispositivos de red. 19. PDU (Protocol Data Unit): define la estructura de la información que va a ser enviada por la red. 10

11 20. USM (User-based Security Model): modelo de seguridad utilizado por SNMPv3 para administrar el envío de mensajes SNMPv VACM (View-based Access Control Model): modelo de control de acceso que permite administrar quien tiene acceso a que información en la MIB. 11

12 1 INTRODUCCIÓN Hoy en día en las empresas ha comenzado a ser de suma importancia el manejo que se le da a la información y la forma como es utilizada la red. Debido a esto, son muchas las funciones que desempeña un administrador de red: entre ellas debe velar por la gestión de la red y por la seguridad de esta. Estas dos actividades han tenido un gran desarrollo tanto teórico como práctico. Tanto para la seguridad como para la gestión de red existen diversos programas en el mercado; algunos son libres y otros cuestan mucho dinero. El problema que tienen estas herramientas es que hacen su trabajo de manera que no se puede relacionar la gestión de red y la seguridad. Normalmente cada una de ellas debe ser administrada desde el entorno visual que ofrecen para interactuar. Por esta razón, un administrador de red debe estar constantemente manejando varias herramientas a la vez para poder monitorear lo que está sucediendo. Hasta el momento no se han encontrado herramientas que integren esta funcionalidad bajo un mismo programa. El mundo de la gestión de red es muy importante y debido a la alta sistematización en las empresas, se ha tornado crítica la necesidad de saber que está pasando con los equipos de la red. A grandes rasgos, la gestión de red es el hecho de anticiparse a fallos en la red y de detectar su posible impacto en la prestación de un servicio a los usuarios [1]. La esencia de la gestión de redes se puede definir como Gestión es todo y, especialmente, es proactividad, característica que desgraciadamente no es fácil encontrar en las herramientas que ofrece el mercado. Es esencial conocer no sólo los fallos que se pueden estar produciendo en la red en un momento determinado, sino poder anticiparte a los mismos, estar preparado y saber cómo reaccionar en caso de que se produzcan [1]. En forma general lo que pretende la gestión de red es minimizar los riesgos frente a una posible falla, minimizar el costo asociado con las operaciones al evitar que suceda algún tipo de problema y mantener la red en funcionamiento brindando los servicios sin ningún problema. Las herramientas de gestión de red se pueden ver como un elemento de seguridad en la red, ya que permiten saber sobre el funcionamiento de los equipos y pueden ayudar a prever futuros problemas, en otras palabras fortalecen la disponibilidad de los servicios. Algunas de las funciones principales de un sistema de gestión de red son [3]: descubrir automáticamente la topología de la red, brindar herramientas de diagnóstico, monitorización de la red, gestión de MIB s, entre otras. Normalmente estos sistemas que utilizan SNMP consisten de [3]: agente, consola de gestión de red y MIB. 12

13 Uno de los elementos más importantes en los sistemas de gestión de red son los protocolos que utilizan para monitorear los elementos de la red. Existen dos protocolos en el mercado para este fin: SNMP (Simple Network Management Protocol) y CMIP (Common Management Information Protocol). Ellos definen un monitor (NMS, Network Management Station) y varios elementos de red que tienen un agente en ellos, el cual va a reportar sucesos al monitor. Vale la pena mencionar que las primeras dos versiones del protocolo SNMP son muy inseguras, ya que no implementan ningún método de seguridad, como si lo hace la versión tres. Debido a esta falencia de seguridad, se puede proporcionar gran cantidad de información a un atacante sobre la configuración de los equipos y la red [4]. Por otro lado, tenemos el mundo de la seguridad. Es un mundo muy complejo, en el cual hay muchas variables y sucesos que hay que tener en cuenta. A grandes rasgos la seguridad pretende proteger y garantizar que la información este segura del ambiente externo e interno de una organización. Sus objetivos básicos son autenticación, control de acceso y autorización, integridad, disponibilidad, confidencialidad, no repudio y auditabilidad. Para el mundo de seguridad hay diversas aplicaciones que pretenden proteger contra ciertos riesgos. Existen, por ejemplo, aplicaciones para la detección de intrusos (IDS), antivirus, firewalls, políticas en sistemas operativos, entre otros. Cada uno de estos programas pretende proteger o garantizar alguno de esos objetivos de seguridad mencionados. Otro problema encontrado es la independencia que existe entre cada una de estas aplicaciones, las cuales realizan muy bien sus funciones, pero lo hacen independientemente unas de otras. Hasta el momento no se han encontrado herramientas que integren funcionalidad de estas aplicaciones. Solo lo hacen algunas herramientas de manera centralizada para su producto, como por ejemplo, los antivirus. Existen algunas herramientas comerciales de seguridad como Netscreen IDP y los productos de Checkpoint que permiten configurar alertas de eventos de seguridad detectados vía SNMP hacia una consola de gestión. Estas alertas son solo informativas y solo sirven para el monitoreo o la consolidación de logs. Adicionalmente no soportan SNMPv3 y no brindan ninguna posibilidad de interactuar con las aplicaciones desde una consola central. Entre estas aplicaciones podemos encontrar firewalls personales y empresariales que sirven para bloquear y filtrar tráfico mediante el uso de reglas. Los IDS permiten detectar ataques según análisis de tráfico y pueden utilizar como forma de detección firmas (patrón preestablecido) o autónomos (a partir de la caracterización del tráfico detectan desviaciones). Los antivirus permiten escanear los archivos y los correos en busca de virus, gusanos, troyanos, entre otros, que pueden causar daños en las máquina, archivos o en la red en general. Los sistemas operativos permiten manejar seguridad a nivel de usuario, políticas de acceso y uso de los recursos, permiten configurar protocolos, puertos, parches, etc. Todas estas herramientas generan ciertos 13

14 tipos de alertas visuales o notificaciones vía correo, pero primordialmente generan logs. Un aspecto importante es que muchas de estas aplicaciones generan algún tipo de log, en donde se va guardando la información de eventos durante su ejecución. Algunas herramientas como por ejemplo GFI LANguard S.E.L.M. [6] se encargan de monitorear los logs de eventos de Windows y permite saber de manera centralizada lo que sucede con el sistema operativo, ya que analiza los eventos de aplicación, seguridad y sistema generados por este sistema operativo. Por ejemplo, permite saber cuando alguien inicia sesión, cuando una aplicación genera un error, etc. Pero no se encarga de integrar otras herramientas de seguridad. Hasta ahora no se ha encontrado evidencia alguna de una herramienta que integre la gestión de red y la seguridad de redes. En el mercado existen muchas aplicaciones para cada uno de estos mundos. Hay herramientas gratuitas, de costo medio y hasta de un costo muy elevado, a lo cual sólo podrían acceder empresas con mucho capital. Es importante resaltar que por el hecho que una herramienta sea gratuita, no significa que realice un trabajo deficiente. Es aquí donde el proyecto cobra valor, al permitir que se puedan integrar varias herramientas de seguridad, sin importar su costo, bajo una consola de seguridad las cuales van a ser monitoreadas por esta consola. Lo importante de estas herramientas de seguridad es que deben generar logs legibles, por ejemplo, logs en archivos de texto. Adicionalmente, se puede utilizar una herramienta de gestión de red para poder integrar los dos mundos mediante dicha consola. De esta forma se logra tener la administración de la red en una sola aplicación que puede funcionar con distintos productos del mercado. Por esta razón el proyecto puede ser de interés para las Mipymes y grandes empresas. Es necesario aclarar que el proyecto se centra en el uso de herramientas gratuitas debido al fácil acceso que se tiene a estas. Con la investigación se busca crear una conciencia en los desarrolladores de las aplicaciones de seguridad, para que incorporen en sus herramientas un agente SNMP y así lograr que la administración y monitorización de éstas se pueda hacer sin la necesidad de crear un adaptador para cada una de las herramientas. Como se ha mencionado anteriormente, se desea integrar algunas herramientas de seguridad bajo una herramienta que se encargará de monitorizar las alertas que estas generen. Esto será posible mediante tres elementos: un protocolo seguro de comunicación, ya que como estamos hablando de monitorear la seguridad, éste no debe ser un punto inseguro en la arquitectura; un adaptador, encargado de monitorear los programas en un equipo y por último, la consola de seguridad, que se va a encargar de procesar los reportes de los adaptadores. El proyecto pretende dejar abierta la posibilidad para que en el futuro, se pueda utilizar una herramienta de gestión de red para monitorear la seguridad de la red. 14

15 2 PLANTEAMIENTO DE LA INVESTIGACIÓN 2.1 OBJETIVO GENERAL Crear un modelo de gestión de seguridad de red que por medio de módulos permita monitorear herramientas de seguridad. Este brindará soporte a SNMP, para la futura integración con herramientas de gestión. 2.2 OBJETIVOS ESPECÍFICOS Apropiarse del conocimiento del funcionamiento de SNMP y de las MIB. Selección de un protocolo seguro para la comunicación. Selección de herramientas de seguridad a utilizar para validar el modelo. Diseño y documentación del modelo de los adaptadores. Implementación de los adaptadores para que monitoreen las herramientas de seguridad seleccionadas. Diseño e implementación de la consola de seguridad con soporte a SNMP. 2.3 REQUISITOS PARA EL DESARROLLO DEL PROYECTO Utilización de herramientas de seguridad gratuitas. Herramientas que generen logs de texto legibles. Estos logs deben contener la mayor cantidad de información acerca de un evento de seguridad. Utilizar el protocolo SNMP. Tratar de mantener variedad en los sistemas operativos soportados por las herramientas de seguridad. En la medida de lo posible tratar que se pueda interactuar de alguna manera con la herramienta. 15

16 3 METODOLOGÍA La principal metodología de investigación que se utilizará en el proyecto se basa en el método científico. Se iniciará con un método de exploración, que ayudará a conocer la información pertinente acerca del proyecto. Luego, se utilizará una metodología experimental, donde se procederá a validar el conocimiento adquirido. El cual se describe a continuación. Primero que todo, se debe encontrar el problema a darle solución con el presente proyecto. Luego, se realizará una documentación profunda sobre el funcionamiento de SNMP y de las MIB s. El proceso de desarrollo se realizará utilizando el paradigma de programación orientada a objetos. La documentación será transversal a la etapa de desarrollo. Se utilizará un proceso de desarrollo iterativo, en donde se irá verificando o refinando actividades anteriores. Para el desarrollo se va a realizar una primera parte de documentación para luego pasar a la implementación. Este proceso iterativo se compone de las siguientes fases: iniciación, elaboración, construcción y transición. En la fase de iniciación se va a realizar una documentación profunda de los dos temas mencionados que se refleja en el marco teórico de este documento, para luego poder proceder a realizar la definición de requerimientos del proyecto. En la fase de elaboración se van a realizar ciertos documentos de definición y documentación de cada una de las partes del proyecto. En este punto se incluyen las definiciones de la respectiva arquitectura. En la fase de construcción se irán implementando cada uno de los componentes, de tal forma que se pueda producir un producto funcional. En la transición se irán realizando pruebas para cada uno de los componentes y así poder validar que no haya errores en el producto final. Finalmente, se realizará una integración de las partes desarrolladas para armar el producto final. Debido a la forma y estructura del proyecto, el diseño y la documentación se van a realizar casi simultáneamente. 3.1 DESARROLLO METODOLÓGICO DE LA INVESTIGACIÓN Para el proceso de desarrollo de la investigación fue necesario el cumplimiento de las siguientes actividades: 1. Investigación del estado del arte y verificación de productos o investigaciones similares. En esta actividad lo que se pretende es explorar si existe algo similar a la investigación propuesta y determinar lo que plantean dichos estudios así como su funcionamiento. A partir de esto se puede darle un marco a la investigación, definir el alcance, definir objetivos de la investigación, 16

17 determinar en que se va a distinguir frente a lo existente en el mercado. Permite analizar que productos hay desarrollados y si alguno de ellos sirve para el desarrollo esta. 2. Definición del marco teórico: en donde se define la teoría necesaria para realizar la investigación. Para esto fue necesario aprender sobre el protocolo SNMP y sobre la MIB, elementos fundamentales para el desarrollo de la investigación. Esta actividad permite crear uno de los pilares teóricos en donde se va a construir el modelo y su implementación. 3. Selección de programas a utilizar: especifica la selección de herramientas de seguridad para validar el modelo, el motor de bases de datos y la implementación del protocolo SNMP. Esta actividad es importante para determinar de que manera se van a seleccionar los programas a utilizar para validar el modelo y poder construir una implementación de éste. De esta forma se puede demostrar o no la validez del modelo de seguridad propuesto y mostrar su viabilidad. 4. Definición de la arquitectura del modelo propuesto: que se compone de las siguientes arquitecturas: general, del adaptador y de la consola de seguridad. Esta es una de las actividades más importantes ya que es donde se va a definir la arquitectura del modelo. Aquí se definirán los componentes, el funcionamiento, la comunicación y la interoperabilidad entre cada uno de los elementos definidos en ella. 5. Definición y ejecución de las pruebas: actividad en donde se realizarán las pruebas y las mediciones necesarias. Las pruebas nos permiten determinar de una manera cuantitativa el funcionamiento de la aplicación desarrollada. Por esta razón es muy importante definir claramente lo que se desea probar y medir, y así, determinar la viabilidad de la implementación del modelo. Se realizarán mediciones a nivel de la red y de la aplicación para determinar su funcionamiento y el impacto que podría tener en una red. 6. Realización de conclusiones: esta actividad permite mencionar todos los hallazgos encontrados durante el desarrollo de la investigación. Se mencionan hechos como la viabilidad del modelo, resaltar aspectos importantes de éste, entre otros. 7. Definición de la continuidad de la investigación: comúnmente una investigación no abarca todos los caminos necesarios para que sea completa. Es por esta razón que se resaltan trabajos futuros que se pueden desarrollar a partir del modelo propuesto. Aspectos que no se consideraron en la definición del alcance y de los objetivos y que pueden brindarle al modelo una riqueza mayor, sin olvidar que los trabajos pueden ser trabajos de investigación. 17

18 4 MARCO TEÓRICO 4.1 ADMINISTRACIÓN DE SEGURIDAD La administración de seguridad es un proceso mediante el cual se administran, definen y actualizan las políticas de seguridad para proteger los recursos más valiosos de la red y que a diferencia de la administración de red, no cuenta con protocolos que permitan integrar los diferentes componentes que hacen parte de una arquitectura de seguridad. Por otra parte podemos encontrar muchos programas y dispositivos de red que permiten definir una arquitectura de seguridad. Encontramos firewalls, enrutadores, IDS, switches, antivirus, sistemas operativos, proxies, entre muchos otros. Cada uno de ellos desempeña una función primordial en una arquitectura de protección de profundidad y en especial generan alarmas de una manera independiente y sin ninguna administración centralizada que las coordine. Esta es una de las razones por al cual el proceso de análisis forense debe ser largo y se debe inspeccionar cada uno de estos elementos tanto hardware como software. 4.2 ADMINISTRACIÓN DE RED La administración de red es el proceso mediante el cual podemos encontrar fallas en algún punto de la red, de manera centralizada y tomar alguna acción que lleve a la solución del problema. Es importante que la gestión de red sea proactiva, es decir, que se pueda anticipar a un fallo de la red y no esperar a su materialización para tomar una acción preventiva. Antes de abordar el tema, es de suma importancia mencionar algunos breves conceptos sobre la administración de red. Normalmente, cuando se desea monitorear la red de una empresa, se utiliza un sistema de administración de red, el cual está compuesto de los siguientes elementos: los nodos administrados, que es básicamente lo que nosotros deseamos monitorear (enrutadores, switches, estaciones de trabajo, etc.), que por medio de un agente presente en ellos se facilita su administración; la estación de administración de red (NMS), que es donde se ejecuta el monitor, quien va a comunicarse con los agentes para lograr la administración de la red; por último tenemos el protocolo que se va a encargar de la comunicación entre el agente y la NMS. Para fines de la administración, no es suficiente con sólo intercambiar la información de administración para poder monitorear el nodo. El protocolo, debe a su vez, proveer una arquitectura de administración que utilice los conceptos de autenticación y de 18

19 autorización (que es limitar el acceso a un elemento y verificar que no sea alguien no autorizado). Por otra parte, el nodo posee varias variables tanto de lectura como de escritura que le permiten almacenar información acerca de si mismo. Hasta el momento existen dos protocolos para la administración de red. Estos son: SNMP y CMIP (Common Management Information Protocol). Este documento se va a centrar en el protocolo SNMP. 4.3 DOCUMENTACIÓN SOBRE SNMP Protocolo de administración simple (SNMP) SNMP se originó en la comunidad de Internet como medida para administrar redes TCP/IP. Como no todos los dispositivos en las redes fueron creados con una mentalidad que podrían llegar a ser administrados con SNMP, existen muchos dispositivos que no pueden ser administrados, per se, con SNMP. Para eso, existe un tipo especial de agente llamado agente proxy, que permite administrar este tipo de dispositivos. Básicamente actúa como un convertidor de protocolos, que traduce de SNMP al esquema propietario definido en el dispositivo. Este tipo de agente es útil para administrar dispositivos que son administrados por un esquema propietario y se desean incorporar al mundo SNMP. SNMP funciona con el protocolo de transporte UDP (Unreliable Datagram Protocol). Para mandar un mensaje, una entidad SNMP serializa un mensaje SNMP y lo envía como un datagrama UDP a la dirección de la entidad que recibe. Los agentes SNMP están escuchando por el puerto 161. Se puede ver la forma como sería el transporte de un mensaje SNMP en la Figura 1, donde se muestran los protocolos de cada capa involucrados en el proceso [9]. Figura 1. Transporte de un mensaje SNMP 19

20 Componentes de SNMP Se compone de tres partes indispensables para su funcionamiento: consola de administración (NMS), agente y MIB [7]. 1. Agente: es un programa encontrado en un dispositivo de red, ya sea una estación, un switch o un router o cualquier dispositivo administrable mediante SNMP. 2. Consola de administración: es un programa encontrado en una estación de trabajo y tiene la habilidad de indagar los agentes utilizando SNMP. 3. MIB: es una base de datos de objetos administrados que son accesibles por el agente y manipulados vía SNMP para lograr la administración de la red. Las responsabilidades más importantes de cada una de estas partes serían [7]: 1. Responsabilidades del agente: Posee una vista de la MIB que incluye la MIB estándar de Internet más otras extensiones 1. En la MIB no se tiene porque implementar todos los grupos de variables definidas en la especificación de las MIB. Gracias a esto se puede simplificar significativamente la implementación de SNMP en dispositivos pequeños de una red (debido a que tienen limitación de memoria y procesamiento). Básicamente realiza dos funciones: inspeccionar las variables de la MIB (que implica consultar los valores de las variables) y alterar variables en la MIB (que implica cambiar los valores de las variables para lograr algún efecto en el dispositivo). 2. Responsabilidades de la consola de administración: Básicamente se encarga de ejecutar las aplicaciones que ayudan a analizar el funcionamiento de la red. Normalmente provee una interfaz gráfica que muestra un mapa de los agentes encontrados en la red. 3. La MIB: Se encuentra dividida en cuatro áreas: a. Atributos del sistema b. Atributos privados c. Atributos experimentales d. Atributos de directorio 1 Se refiere con MIB estándar de Internet a la definición de la MIB-II del RFC 1213, una mejora de la MIB-I y que son estándar para todo el que pretenda implementar dicha funcionalidad. Por otro lado, se refiere a extensiones cuando hablamos de extensiones que se hacen a la definición estándar. Esto es, definiciones de nuevos objetos a monitorear que no están definidos en la MIB-II. Son extensiones para monitorear dispositivos de cada uno de los fabricantes y/o de todo aquel que desee desarrollar una MIB nueva. 20