Monitorización de red

Transcripción

1 Monitorización de red

2 Medir qué? Un Ejemplo El tráfico en los enlaces entre conmutadores A nivel de paquete (ej: tcpdump/wireshark) O a nivel de flujo Estos son ejemplos de lo que llamamos medidas pasivas

3 Medir Por un lado está la captura del tráfico Hardware de propósito general o específico Software comercial o gratuito Por otro lado el análisis Software, de nuevo comercial o gratuito Sobre hardware general o específico

4 Casos comunes: MRTG Multi Router Traffic Grapher Monitoriza variable SNMP Comúnmente es utilización de enlaces Crea páginas HTML con imágenes Consolida datos antiguos Free, GPL Puede emplear RRDtool Mayor flexibilidad en las gráficas y mejor rendimiento

5 Monitorización de red No es solamente medir, eso es la parte de recolectar los datos Incluye el interpretarlos, crear informes sobre rendimiento, crear información Aunque la diferencia tampoco es muy trascendente y la expresión se emplea con mucha libertad Hay muchos parámetros que se pueden monitorizar: por dispositivo, por segmento, por servicio

6 Para qué monitorizar? Para obtener información Utilización de un enlace Utilización de un conmutador ( )

7 Para qué monitorizar? Tráfico por usuarios (matrices de tráfico, facturación) Tráfico por servidores (ej: tráfico al servidor de o al de backups, disponibilidad) Tráfico por servicios (ej: tráfico web/ /p2p) ( )

8 Para qué monitorizar? Tiempos de respuesta de servicios (ej: tiempo de respuesta de un servidor de ficheros) Evaluar comportamientos de protocolos (ej: reacción de TCP ante pérdidas) Detectar problemas con los protocolos (ej: interacción entre DNS y protocolo de aplicación) (...)

9 Para qué monitorizar? Detectar problemas en la red (ej: problema con el encaminamiento, congestión en enlaces) Detectar violaciones de seguridad (ej: escaneos) Etc.

10 Qué medir para esto? Según la información que queramos obtener Podemos necesitar el tráfico a nivel de cuentas de paquetes (ej: pkts/s que reenvía un router) como una estimación de volumen O a nivel de volumen de bytes por dirección origen (ej: matriz de tráfico por host) O a nivel de origen y destino de flujos (ej: conexiones TCP simultáneas que mantiene un NAT) O necesitar cabeceras de paquetes hasta nivel de transporte (ej: analizar el comportamiento de control de flujo de TCP) O necesitar los datos de nivel de aplicación (ej: reconocer las peticiones HTTP dentro de una conexión TCP)

11 Medidas activas y pasivas

12 Pasivas Tipos de medidas No afectan al tráfico Recogen todos los paquetes en un punto de medida (enlace o equipo) o recogen una muestra de esos paquetes o directamente contadores dados por SNMP y otros que comentaremos

13

14

15

16

17

18

19

20 Cisco (patentado) NetFlow Origen: IOS mantiene una cache de flujos activos Cache para acelerar la toma de decisiones de reenvío (CEF = Cisco Express Forwarding) Con contadores sobre cada uno (bytes, paquetes, etc) en flow records Para paquetes IPv4 e IPv6 (y MPLS), unicast y multicast Se puede emplear para Monitorización y planificación de red Accounting/billing Traffic matrix Detectar ataques Ligeramente diferente en routers y switches (switches gama alta) Tiene efecto en el uso de CPU del equipo

21 NetFlow: flujos RFC 3954: An IP Flow, also called a Flow, is defined as a set of IP packets passing an Observation Point in the network during a certain time interval. All packets that belong to a particular Flow have a set of common properties derived from the data contained in the packet and from the packet treatment at the Observation Point. Flujos unidireccionales Una serie de valores (keys) del paquete determinan el flujo: Direcciones IP origen y destino Protocolo sobre IP Puertos de transporte origen y destino Interfaz por el que llegan los paquetes DSCP

22 Netflow: valores Número de paquetes y bytes Timestamp de primer y último paquete Interfaz de entrada y salida Next-hop ASN origen y destino Puede añadir Layer 2 Dirección MAC origen y VLAN ID de tramas recibidas Dirección MAC destino y VLAN ID de tramas transmitidas Para seguridad puede añadir Máximo y mínimo TTL Máxima y mínima longitud de paquete IPID Código y tipo ICMP Flags TCP acumulados Versión 9 provee una definición más flexible del registro para poder añadir campos (templates)

23 NetFlow: agregación Versiones: 1 (legacy), 5, 7 (solo Catalyst), 8 (agregación), 9 (flexible y extensible), 10 (IPFIX) Agregación: Por AS origen y destino Por dirección o prefijo IP origen y destino Por protocolo y puerto etc. B. Claise y R. Wolter, Network Management: Accounting and Performance Strategies, Cisco Press

24 NetFlow: exportación Los flujos se eliminan de la cache por inactividad Con actividad, llegado un tiempo máximo también se eliminan Flujos TCP se eliminan ante banderas de FIN o RST Si se llena la cache elimina flujos que no han caducado Estos flow records se exportan a un collector por UDP o SCTP (RFC2960) Puede ser un ordenador o un módulo en un router/switch Exporta múltiples registros en un paquete Una aplicación de gestión puede analizar esos registros o exportarse a MIB RMON

25

26

27

28

29

30

31

32

33

34

35

36

37 Activas Tipos de medidas Generamos tráfico y lo recogemos (intrusivo) Según cómo, cuándo y cuáles de los paquetes llegan ofrecemos estadísticas Puede ser un simple ping o hacer una llamada a un teléfono IP para comprobar que responde o generar tráfico similar al de voz y medir cómo llega al destino (SLA) u otros patrones de tráfico que permitan inferir el comportamiento de la red Podríamos hacer transferencias masivas aunque es muy intrusivo (se hace)

38

39 RMON conceptos básicos Remote Monitor es una MIB específica para agentes dedicados a monitorizar información de red Mejor rendimiento por monitorización red (versus dispositivo) Ejemplo: Delegar a dispositivos con RMON las notificaciones de congestión o de falta de conectividad (si no, todos los dispositivos mandarían notificaciones) RMON

40 RMON conceptos básicos Para conocer el estado de una LAN podríamos hacer Polling sobre todos los agentes en la LAN viendo que hace cada dispositivo Sobrecarga de la LAN por polling Cálculo sobre los datos recolectados Monitores de red, Analizadores o Sondas (probes) Funcionamiento en modo promiscuo Pueden generar resúmenes de la información Estadísticas de error (colisiones, crc-error, ) Estadísticas de prestaciones (paquetes/seg, distribución tamaños de paquetes,..) Pueden definirse filtros para limitar el número de paquetes a capturar Típicamente una sonda por subred

41 Ejemplo de configuración RMON NMS PC Router WAN Router Printer PC with a probe PC PC PC with a probe Laptop Printer Laptop Printer Normalmente una sonda por subred

42 Objetivos de RMON Diseño de RMON Operaciones Off-line Proactive monitoring Detección de problemas y notificación. Datos con valor añadido Múltiples administradores RMON System Management station + conjunto de sondas RMON + protocolo SNMP Sonda RMON (RMON Probe) Un agente SNMP RMON MIB

43 Sonda Equipo que inspecciona el tráfico: sonda, sonda de monitorización, probe, monitoring probe Dos componentes Hardware unido al medio de transmisión que ve el tráfico Proceso de análisis de los datos Cuando hardware y análisis están en el mismo equipo se haba de sonda local ( local probe ) Tradicionalmente los hemos llamado también sniffers

44 Sonda Puede ser un equipo específico O un módulo (hardware) en un conmutador (capa 2 ó 3)

45 Monitorización remota Los resultados del análisis hecho por la sonda deben ir al NMS Cuando el NMS está en un lugar y la sonda en otro segmento se habla de monitorización remota Remonte MONitoring Comunicación mediante SNMP La sonda almacena datos así que no es crítico que pierda contacto con el NMS Network Management Console

46 RMON RMON1 RFC original 1271 (año 1991) para LANs Ethernet (extendida para Token-Ring), hoy obsoleta Hoy en día RFC 2819 Desarrollado para dar estadísticas de tráfico Ethernet y diagnóstico de fallos (número de paquetes, errores de CRC, colisiones...) Inicialmente en la época de hubs y modo promiscuo Se centra en el segmento de red más que en el agente Puede analizar el tráfico (por ejemplo cuánto genera cada host) RMON1 decodifica hasta capa 2 Capa 2 Capa 1

47 RMON- MIB RMON define un MIB formado por tablas (denominadas grupos) accesibles vía comandos SNMP Statistics(1)- paquetes, octetos, errores. History(2) - histórico de estadísticas Alarms(3) notificación cambios Hosts(4) información de cada host detectado HostTopN(5) - hosts más activos Matrix(6) trafico, errores entre pares de hosts Filters(7) - definición de concordancias Capture(8) - paquetes después del filtro Events(9) - logs de eventos.

48 RMON2 Año 1997 (RFC 2021) Hoy en día RFC 4502 Remote Network Monitoring Management Information Base Version 2 Decodifica hasta capa de aplicación (sea la capa 7 OSI u otra cosa) frente a RMON1 que solo llega a capa 2 Definido en base a SMIv2 Capa 7 Define varios grupos, pero se pueden no implementar todos Obliga a implementar IF-MIB (RFC 2863) Capa 6 Capa 5 Capa 4 Capa 3 Capa 2 Capa 1

49 RMON2 - RFC 2074 RMON-2 expande el análisis desde el nivel de red al de aplicación (RFC 2074) protocoldir(11) - protocolos soportados por la sonda protocoldist(12) distribución de trafico por protocolo addressmap(13) - MAC-to-NL address nlhost(14) paquetes (in/out) por NL (Network Layer) nlmatrix(15) - tráfico por pares NL alhost(16) AL (Application Layer) por host almatrix(17) - tráfico por AL por pares de host usrhistory(18) Histórico de parámetros user-defined probeconfig(19) - config. script

50 MIB RMON La información se guarda mediante una MIB Es el grupo número 16 bajo mib2 (mib-2 16) 10 grupos en la MIB RMON1 Otros 10 en la RMON2 Tablas para indicar parámetros de control Y tablas donde se introducen los datos

51 Cisco Catalyst 2960 RMON: Ejemplo History Control Group : configuración del interfaz y periodo de muestreo Ethernet Statistics Group : estadísticas por interfaz (bytes, paquetes, broadcast, multicast, errores CRC, colisiones, etc) Alarm Group : periódicamente (definido en la tabla) toma muestras de variables de la sonda y compara con umbrales, pudiendo producir eventos (implementa una histéresis) Event Group : las entradas describen los parámetros de un evento que se puede producir. Puede llevar a un log (otra tabla de la MIB) o una trap SNMP

52 RMON: Ejemplo (NAM-3) Cisco Catalyst 6500 Series Network Analysis Module (NAM-3) El trabajo de monitorización es exigente Se puede llevar a cabo en módulos especializados

53 RMON: Ejemplo (NAM-3)

54 RMON: Ejemplo (NAM-3)