Administración de la Contabilidad y Control de Acceso de la Red

Transcripción

1 UNIVERSIDAD TECNOLÓGICA ECOTEC GESTIÓN DE UTILIZACIÓN DE REDES Administración de la Contabilidad y Control de Acceso de la Red GRUPO: David González PROFESOR: Ing. Francisco Palacios 2013

2 Administración de la Contabilidad La contabilidad de red implica capturar estadísticas sobre el tráfico de red en un archivo de registro. De esta forma, puede mantener registros de tráfico con fines de seguimiento, provisión, consolidación y facturación. Posteriormente, puede consultar el archivo de registro para obtener información histórica sobre el uso de la red durante un período determinado. Para configurar la contabilidad de red en una base de datos Oracle con sistema operativo Solaris, utilice el comando acctadm de la utilidad de contabilidad ampliada. Una vez que haya finalizado la configuración de la contabilidad de red, utilice el comando flowstat para registrar las estadísticas de tráfico. En esta sección, se describen los siguientes procedimientos: Cómo configurar la contabilidad de red Cómo obtener estadísticas históricas del tráfico de la red Cómo configurar la contabilidad de red 1. Conviértase en un administrador, en el sistema con las interfaces cuyo uso de red desea controlar. 2. Vea el estado de los tipos de contabilidad que se pueden activar mediante la utilidad de contabilidad ampliada. # acctadm [process task flow net] La utilidad de contabilidad ampliada puede activar cuatro tipos de contabilidad. Los operandos opcionales del comando acctadm corresponden a estos tipos de contabilidad. Para configurar un tipo de contabilidad específico, se utiliza un operando junto con el comando. o o o o Contabilidad de proceso Contabilidad de tarea Contabilidad de flujo para IPQoS Contabilidad de red para enlaces y flujos 3. Active la contabilidad ampliada para el tráfico de red. # acctadm -e extended -f filename net Donde nombre_archivo incluye la ruta completa del archivo de registro que va a capturar las estadísticas del tráfico de red. El archivo de registro se puede crear en cualquier directorio que especifique.

3 4. Verifique que la contabilidad de red ampliada esté activada. # acctadm net Ejemplo 1-1 Configuración de la contabilidad de red en el sistema En este ejemplo se muestra cómo configurar la contabilidad de red para capturar y visualizar la información histórica sobre el tráfico del sistema. En primer lugar, vea el estado de todos los tipos de contabilidad de la siguiente manera: # acctadm Task accounting: inactive Task accounting file: none Tracked task resources: none Untracked task resources: extended Process accounting: inactive Process accounting file: none Tracked process resources: none Untracked process resources: extended,host Flow accounting: inactive Flow accounting file: none Tracked flow resources: none Untracked flow resources: extended Network accounting: inactive Network accounting file: none Tracked Network resources: none Untracked Network resources: extended La salida muestra que la contabilidad de red no está activa. A continuación, active la contabilidad de red ampliada. # acctadm -e extended -f /var/log/net.log net # acctadm net Net accounting: active Net accounting file: /var/log/net.log Tracked net resources: extended Untracked net resources: none Cómo obtener estadísticas históricas del tráfico de la red Después de activar la contabilidad de red, puede utilizar los comandos dlstat y flowstat para extraer información del archivo de registro. En este procedimiento se describen los pasos. Antes de empezar Para poder visualizar los datos históricos de la red, debe activar la contabilidad ampliada para la red.

4 1. Conviértase en un administrador, en el sistema con las interfaces cuyo uso de red desea controlar. 2. Para extraer y visualizar información histórica sobre el uso de los recursos en los enlaces de datos, utilice el siguiente comando: # dlstat show-link -h [-a] -f filename [-d date] [-F format] [-s start-time] [-e end-time] [link] -h Muestra un resumen de la información histórica sobre el uso de los recursos por parte de los paquetes entrantes y salientes en los enlaces de datos. -a Muestra el uso de los recursos en todos los enlaces de datos, incluidos los que ya se suprimieron después de la captura de los datos. -f filename Especifica el archivo de registro que se definió al activar la contabilidad red con el comando acctadm. -d date Muestra la información registrada para la fecha especificada. -F format Muestra los datos en un formato específico que se puede trazar para el análisis. Actualmente, gnuplot es el único formato admitido. -s start-time, -e end-time Muestra la información registrada disponible para un rango de fecha y hora especificado. Utilice el formato MM/DD/YYY,hh:mm:ss. La hora (hh) debe utilizar la notación de reloj de 24 horas. Si no incluye la fecha, se muestran los datos del rango de tiempo especificado para la fecha actual. link Muestra los datos históricos para un enlace de datos determinado. Si no utiliza esta opción, se muestran los datos de red históricos para todos los enlaces de datos configurados. 3. Para extraer y visualizar información histórica sobre el tráfico de red en los flujos configurados, utilice el siguiente comando:

5 # flowstat -h [-a] -f filename [-d date] [-F format] [-s starttime] [-e end-time] [flow] -h Muestra un resumen de la información histórica sobre el uso de los recursos por parte de los paquetes entrantes y salientes en los flujos configurados. -a Muestra el uso de los recursos en todos los flujos configurados, incluidos los que ya se suprimieron después de la captura de los datos. -f filename Especifica el archivo de registro que se definió al activar la contabilidad red con el comando acctadm. -d Muestra la información registrada para la fecha especificada. -F format Muestra los datos en un formato específico. Actualmente, gnuplot es el único formato admitido. -s start-time, -e end-time Muestra la información registrada disponible para un rango de fecha y hora especificado. Utilice el formato MM/DD/YYY,hh:mm:ss. La hora (hh) debe utilizar la notación de reloj de 24 horas. Si no incluye la fecha, se muestran los datos del rango de tiempo especificado para la fecha actual. flow Muestra los datos históricos para un flujo especificado. Si no utiliza esta opción, se muestran los datos de red históricos para todos los flujos configurados. Ejemplo 1-2 Visualización de información histórica sobre el uso de los recursos en enlaces de datos En el siguiente ejemplo se muestran las estadísticas históricas del tráfico de red y el uso de los recursos por parte del tráfico de red en un enlace de datos especificado: # dlstat show-link -h -f /var/log/net.log net0 LINK DURATION IPACKETS RBYTES OPACKETS OBYTES BANDWIDTH net Kbps

6 Control de Acceso Los equipos suelen formar parte de una red de equipos. Una red permite que los equipos conectados intercambien información. Los equipos conectados a la red pueden acceder a datos y demás recursos de otros equipos de la red. Las redes de equipos crean un entorno informático potente y sofisticado. Sin embargo, las redes complican la seguridad de los equipos. Por ejemplo, dentro de una red de equipos, los sistemas individuales permiten el uso compartido de información. El acceso no autorizado es un riesgo de seguridad. Debido a que muchas personas tienen acceso a una red, el acceso no autorizado es más probable, especialmente como consecuencia de errores del usuario. Un mal uso de contraseñas también puede originar el acceso no autorizado. Mecanismos de seguridad de red La seguridad de red, generalmente, se basa en la limitación o el bloqueo de operaciones de sistemas remotos. Autenticación y autorización para acceso remoto La autenticación es una manera de restringir el acceso a usuarios específicos cuando acceden a un sistema remoto. La autenticación se puede configurar en el nivel del sistema y en el nivel de red. Después de que un usuario haya obtenido acceso a un sistema remoto, la autorización es una manera de limitar las operaciones que el usuario puede realizar. En la siguiente tabla, se muestran los servicios que proporcionan autenticación y autorización. Tabla 2-1 Servicios de autenticación y autorización para acceso remoto Servicio Descripción IPsec IPsec proporciona autenticación basada en host y en certificado, y cifrado de tráfico de red. Kerberos Kerberos utiliza el cifrado para autenticar y autorizar a un usuario que está iniciando sesión en el sistema. LDAP y NIS+ El servicio de directorios LDAP y el servicio de nombres NIS+ pueden proporcionar autenticación y autorización en el nivel de red. Comandos de Los comandos de inicio de sesión remoto permiten que inicio de los usuarios inicien sesión en un sistema remoto a través sesión remoto de la red y utilicen sus recursos. Algunos de los comandos de inicio de sesión remoto son rlogin, rcp y ftp. Si usted es un "host de confianza", la autenticación es automática. De lo contrario, se le pedirá que se autentique. SASL La autenticación sencilla y capa de seguridad (SASL) es una estructura que proporciona autenticación y servicios de seguridad opcionales a los protocolos de red. Los complementos permiten seleccionar el protocolo de autenticación adecuado. RPC segura Las RPC seguras mejoran la seguridad de los entornos de red al autenticar a los usuarios que realizan solicitudes

7 en equipos remotos. Puede utilizar un sistema de autenticación UNIX, DES o Kerberos para las RPC seguras. Las RPC seguras también se pueden utilizar para proporcionar seguridad adicional en un entorno NFS. Un entorno NFS con RPC seguras se denomina NFS seguro. El NFS seguro utiliza la autenticación Diffie-Hellman para las claves públicas. Secure Shell Secure Shell cifra el tráfico de red a través de una red no segura. Secure Shell proporciona autenticación mediante el uso de contraseñas, claves públicas, o ambos. Secure Shell utiliza autenticación RSA y DSA para las claves públicas. Una posible alternativa a las RPC seguras es el mecanismo de puerto con privilegios de Oracle Solaris. A un puerto con privilegios se le asigna un número de puerto menor que Después de que un sistema cliente haya autenticado la credencial del cliente, el cliente crea una conexión al servidor mediante el puerto con privilegios. A continuación, el servidor verifica la credencial del cliente examinando el número de puerto de la conexión. Es posible que los clientes que no están ejecutando el software Oracle Solaris no puedan comunicarse mediante el puerto con privilegios. Si los clientes no se pueden comunicar a través del puerto, se mostrará un mensaje de error similar al siguiente: Weak Authentication NFS request from unprivileged port Sistemas de cortafuegos Puede configurar un sistema de cortafuegos para proteger los recursos de la red contra el acceso exterior. Un sistema de cortafuegos es un host seguro que actúa como una barrera entre la red interna y las redes externas. La red interna trata las otras redes como si no fueran de confianza. Debe considerar esta configuración como obligatoria entre la red interna y cualquier red externa, como Internet, con la que se comunica. Un cortafuegos actúa como una puerta de enlace y como una barrera. Un cortafuegos actúa como una puerta de enlace que transfiere datos entre las redes. Un cortafuegos actúa como una barrera que bloquea la transferencia libre de datos desde y hacia la red. El cortafuegos requiere que un usuario de la red interna inicie sesión en el sistema de cortafuegos para acceder a hosts de redes remotas. De forma similar, un usuario de una red externa debe iniciar sesión en el sistema de cortafuegos antes de que se le otorgue acceso a un host de la red interna. Un cortafuegos también puede ser útil entre algunas redes internas. Por ejemplo, puede configurar un cortafuegos o un equipo de puerta de enlace segura para restringir la transferencia de paquetes. La puerta de enlace puede prohibir el intercambio de paquetes entre dos redes, a menos que el equipo de puerta de enlace sea la dirección de origen o la dirección de destino del paquete. Un cortafuegos también se debe configurar para reenviar paquetes a protocolos determinados únicamente. Por ejemplo, puede permitir paquetes para transferir correo, pero no permitir paquetes para el comando

8 telnet o rlogin. Cuando ASET se ejecuta con un nivel alto de seguridad, deshabilita el reenvío de paquetes de IP (protocolo de Internet). Además, todos los correos electrónicos que se envían desde la red interna primero se envían al sistema de cortafuegos. A continuación, el cortafuegos transfiere el correo a un host de una red externa. El sistema de cortafuegos también recibe todos los correos electrónicos entrantes y los distribuye a los hosts de la red interna. Precaución - Un cortafuegos impide que usuarios no autorizados accedan a los hosts de la red. Debe mantener una seguridad estricta y rigurosa en el corta fuegos, pero la seguridad en otros hosts de la red puede ser más flexible. Sin embargo, si un intruso logra entrar al sistema de cortafuegos, puede acceder a todos los otros hosts de la red interna. Un sistema de cortafuegos no debe tener hosts de confianza. Un host de confianza es un host desde el cual un usuario puede iniciar sesión sin tener que proporcionar una contraseña. Un sistema de cortafuegos no debe compartir ninguno de sus sistemas de archivos ni montar sistemas de archivos de otros servidores.