UTILIZACIÓN DE VISUALIZACIÓN DE DATOS EN TIEMPO REAL PARA MEJORAR EL MONITOREO DE TRÁFICO DE UNA RED Y LA EFICIENCIA DE LOS ADMINISTRADORES DE RED.

Transcripción

1 UTILIZACIÓN DE VISUALIZACIÓN DE DATOS EN TIEMPO REAL PARA MEJORAR EL MONITOREO DE TRÁFICO DE UNA RED Y LA EFICIENCIA DE LOS ADMINISTRADORES DE RED. MAGISTER EN INGENIERÍA INFORMÁTICA Investigador Responsable: Samuel Pizarro Silva

2 Resumen: En la actualidad existen herramientas de monitorización de tráfico de red que permiten a los administradores ver el tráfico de la red en forma de gráficos que van desde gráficos de información general del flujo de datos que pasa por una interfaz (troughput), gráficos de clasificación de tráfico por puertos, hasta llegar al tráfico específico de cada host en una red. Estos gráficos se generan principalmente a partir de la toma de muestras continuas del tráfico que pasa a través de los routers. Las herramientas utilizadas para la captura de este tipo de información son principalmente dos, Netflow, que es un protocolo de red creado por CISCO para recolectar información sobre tráfico IP, está soportado incluso por otras plataformas como Juniper, y sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD. Existe también otra herramienta para capturar información en tiempo real, llamada LIBPCAP, que sólo funciona en Sistemas Operativos, y que permite capturar información más detallada acerca del tráfico que pasa por una interfaz, este tipo de herramientas suele utilizarse en modo BRIDGE entre un router y el switch de una red. Ambas herramientas sin embargo, permiten generar gráficos estadísticos, que son el resultado de un momento específico en el tiempo, y que no permiten al administrador visualizar de forma contínua la información recibida. El objetivo principal de este trabajo es utilizar técnicas de visualización de datos, capturando datos a través de puentes de red inteligentes, con el fin de mejorar la visualización de los mismos, mejorando también la toma de decisiones por parte de los administradores de redes. La hipótesis es que utilizando visualización de datos en tiempo real, en forma de un vídeo interactivo, en donde se muestren las conexiones y el tráfico que pasa por ellas, se pueden detectar de forma más fácil anomalías en la red tales como, cuellos de botella, efectividad de los balanceadores de carga, ataques de denegación de servicio, y visualizar qué tan efectivas son las medidas tomadas por los administradores de red para hacer frente a los puntos aquí planteados. Para realizar esta investigación se hace uso del método científico como metodología, particularmente de la investigación experimental de acuerdo a lo propuesto por Hernández, Fernández y Baptista (2000). Se hace preciso entonces la investigación y construcción o adaptación de una herramienta de visualización de tráfico de red para contrastarla con las herramientas utilizadas actualmente y validar que el uso de una herramienta de visualización de tráfico de red en tiempo real hace más eficiente el trabajo de los administradores de red.

3 Las etapas que considera este trabajo son: Planteamiento del problema, elaboración del marco teórico, diseño y construcción de una herramienta para la visualización de tráfico de red en tiempo real, comparación del tiempo de detección de alguna falla, embotellamiento o alerta de seguridad por parte de un administrador de red utilizando las herramientas ya disponibles, con el tiempo utilizado para realizar las mismas acciones con la herramienta de visualización de tráfico en tiempo real acá propuesta, análisis de los resultados obtenidos, establecer conclusiones del trabajo y futuros trabajos y la documentación que genere esta tesis.

4 Definición del problema: Es posible mejorar la monitorización de la información del tráfico de un red y por ende la eficiencia en la toma de decisiones y medidas de mitigación por parte de los administradores de red, utilizando una herramienta de visualización de datos? Justificación Este proyecto busca mejorar el trabajo de los administradores de red, sobre todo de aquellos que tienen que lidiar día a día con la administración de servidores y tráfico de una red. Según Luca Deri y Stefano Suin, en su paper Mejoramiento de la seguridad utilizando ntop, todas las compañías se centran en instalar buenos dispositivos de seguridad y enrutamiento de datos, pero muy pocas analizan desde y hacia dónde se van sus paquetes, ellos propusieron utiliza ntop, una herramienta de medición de tráfico para mejorar la seguridad, haciendo visible, información que antes estaba ahí, pero no se notaba. Becker, R.A. En su paper Visualizando datos de una red, propone que no sólo hay que visualizar la infraestructura de una red, o visualizar diagramas, sino que se hace necesario contar con herramientas que apoyen la visualización en tiempo real de la información, ya que de esta forma se mejora la toma de decisiones y se pueden detectar visualmente fallas que de otra forma sería muy complicado verlas. Tomando en cuenta las opiniones y propuestas de Luca Deri, Becker, y el resto de autores citados en la bibliografía, es que esta propuesta por tanto, incluye utilizar pequeños equipos con Linux como puente de red entre los router, firewalls y switches de las organizaciones, para logear el tráfico y ver el cumplimiento de las políticas de seguridad, hacia dónde se va el tráfico y cuales son los cuellos de botella generados.

5 Marco Teórico Visualización de Datos Visualización de datos o Data Visualization, es el estudio y la creación de la representación visual de datos, facilitando la lectura de la información al observador, ayudando por ende a un mejor entendimiento del conocimiento que se quiere adquirir. De acuerdo a Vitaly Friedman (2008) La principal meta de la visualización de datos, es comunicar la información clara y efectivamente utilizando métodos visuales. Esto no quiere decir que la visualización de datos deba ser aburrida para ser extremadamente funcional, o extremadamente sofisticado para ser bonito. Debe lograrse una conjunción de ambas técnicas (funcionalidad y estética), para llegar a un justo medio que pueda satisfacer la necesidad de transmitir de la mejor forma posible el conocimiento que se quiere comunicar. En la actualidad, dado el crecimiento de la cantidad de información, la visualización de datos se ha vuelto un área activa en lo que a investigación y desarrollo se refiere.tanto así, que la biblioteca KPI ha desarrollado una Tabla Periódica de los Métodos de visualización, que indica qué método de visualización debe utilizarse según el área de estudio o visualización. La visualización de datos está fuertemente ligada al diseño gráfico, visualización de información, visualización científica y la gráfica estadística. Otras áreas relacionadas a la visualización de datos son la adquisición de datos, el análisis de los datos, el gobierno de los datos, la administración de los datos, la minería de datos y la transformación de datos. En la actualidad, el campo de la visualización de datos ha avanzado tanto, que se está creando una Arquitectura de Presentación de Datos (DPA), propuesta en el 2007 por Kelly Lautt durante una presentación que describía un sistema de inteligencia de negocios que mejoraba la calidad de servicio mediante el uso de una arquitectura para la visualización de información, la cual estandarizaba los tipos de representación visual de información que debían utilizarse, según los casos. Monitorización de tráfico de una red El crecimiento explosivo que han tenido la computación, ha hecho que las organizaciones y las personas dependan cada día más de las redes de computadores para obtener grandes volúmenes de información. En el pasado, la tecnología permitía transferir hiper texto entre un servidor y un cliente, y como más un par de fotografías, hoy en día sin embargo, Internet ofrece servicios de streaming de vídeos, fotografías en alta definición, contenido multimedia; las empresas por su parte aumentan la seguridad de la información que transfieren por Internet utilizando técnicas criptográficas, lo que aumenta la cantidad de información enviada hasta en 5 veces promedio.

6 Si a esto se le agrega el hecho de que la cantidad de ataques a los que una organización está expuesta aumenta cada día más, y que las técnicas de detección de intrusos se han vuelto tan efectivas que se generan muchos falsos positivos, tenemos que el monitoreo del tráfico de una red se convierte cada días más en una necesidad más que en un opción a tener dentro la infraestructura de información de una empresa. Las herramientas de monitoreo actuales permiten visualizar principalmente histogramas que tienen como constante la representacion histórica de la información que pasa por una red. Esta herramientas han evolucionado desde sólo mostrar información de estado de algunos dispositivos, hasta mostrar el estado de cada servicio ejecutado en un servidor, o incluso la temperatura de un dispositivo en la red. Netflow Netflow es un estándar creado por CISCO para la recolección de información sobre tráfico IP, ha sido muy bien aceptado dentro de la industria y se ha convertido incluso en estándar para otras empresas y sistemas operativos. Netflow define métodos de captura de información en dispositivos de red y servidores que sirven para su posterior análisis y estadística. Los dispositivos con Netflow habilitado emiten pequeños trozos de información hacia un servidor central el cual colecta toda la información y la trata, convirtiéndola luego en gráficos. HIPÓTESIS DE TRABAJO Una herramienta de visualización de datos de tráfico en tiempo real puede mejorar la eficiencia y mejorar la toma de decisiones de los administradores de red ya que facilita la lectura de información compleja a los administradores de una red. OBJETIVOS GENERALES Los objetivos generales de este trabajo son el análisis de visualización de la información de red, como alternativa para una mejor administración de redes, de parte de los adminsitradores de una red.

7 OBJETIVOS ESPECÍFICOS Los objetivos específicos de este trabajo son: 1. Establecer un marco teórico que considere Data Visualization como un método para mejorar la administración de una red de datos 2. Modificación o creación de una herramienta de visualización de información de red en tiempo real 3. Realizar una comparación entre las herramientas de monitorización actuales y la herramienta que se creará acá 4. Establecer la conclusiones del trabajo y trabajos futuros METODOLOGÍA Para realizar esta investigación se hace uso del método científico como metodología, particularmente de la investigación experimental de acuerdo a lo propuesto por Hernández, Fernández y Baptista (2000). De esta forma las etapas consideradas para este trabajo son: 1. Planteamiento del problema: Se hace una definición formal del problema, definiendo específicamente lo que se quiere investigar 2. Elaborar un marco teórico: En esta etapa se realiza una revisión sistemática de la literatura correspondiente a la visualización de datos aplicada al tráfico de una red en tiempo real 3. Diseño o adaptación de una herramienta específica para la visualización de datos en una red en tiempo real 4. Comparación de herramientas: En esta etapa se comparan los resultados obtenidos utilizando y herramientas métodos tradicionales y la nueva herramienta, para esto la métrica será el tiempo que demora un administrador de red en resolver un problema relacionado al tráfico de información por una red de datos. 5. Establecer conclusiones y trabajos futuros: Haciendo uso de los resultados obtenidos se establecen las conclusiones del trabajo con respecto a los objetivos planteados y se proponen trabajos futuros de exploración para nuevas investigaciones. 6. Documentación: ocumentación: En esta etapa se documentan los resultados obtenidos por cada etapa dando origen a un documento final el cuál puede ser usado posteriormente.

8 Alcances La propuesta acá requiere de monitorear una red de alto tráfico, pero tener acceso a ellas se hace muy difícil, por tanto en las primeras etapas del proyecto (en donde se construirá una metodología de monitoreo o una herramienta para tal efecto), se trabajará sólo con máquinas virtuales y se simulará el tráfico, para en una etapa más adelantada o a posterior monitorear el tráfico de alguna institución que se interese por el proyecto, siendo DuocUC sede Viña del Mar la principal y más alcanzable alternativa.

9 Bibliografía Debido al poco desarrollo de ésta área, se utilizarán autores que abarquen áreas cercanas a la que se está investigando en este proyecto, pero no directamente el tema tratado en este. Luca Deri and Stefano Suin1, Improving Network Security Using Ntop Gregory Conti and Kulsoom Abdullah (2004). Passive visual fingerprinting of network attack tools. Chris P. Lee y asociados (2005). Visual Firewall: Realtime security monitor Dave Plonka (2000). Flowscan: A network traffic flow reporting and visualization tool Kiran Lakkaraju y asociados (2004). NVisionIP: an interactive network flow visualization tool for security Vitaly Friedman (2008) "Data Visualization and Infographics" in: Graphics, Monday Inspiration, January 14th, 2008