ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO FACULTAD DE INFORMÁTICA Y ELECTRÓNICA ESCUELA DE INGENIERIA EN ELECTRÓNICA TELECOMUNICACIONES Y REDES

Transcripción

1 ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO FACULTAD DE INFORMÁTICA Y ELECTRÓNICA ESCUELA DE INGENIERIA EN ELECTRÓNICA TELECOMUNICACIONES Y REDES TEMA: ANÁLISIS DEL PROTOCOLO SNMPv3 PARA EL DESARROLLO DE UN PROTOTIPO DE MONITOREO DE RED SEGURA TESIS DE GRADO Previo a la obtención del título de: INGENIERO EN ELECTRÓNICA TELECOMUNICACIONES Y REDES Presentado por: Ruth Alexandra Crespata Almachi RIOBAMBA-ECUADOR 2012

2 AGRADECIMIENTO Quiero expresar un total e infinito agradecimiento a mis padres, quienes inculcaron en mi valores éticos y morales, los mismos que me han guiado en toda mi trayectoria como estudiante, de la misma manera quiero expresar un eterno agradecimiento a la muy ilustre Escuela Superior Politécnica de Chimborazo que me abrió las puertas y me dio la oportunidad de formarme como una profesional de principios. Hago extensiva este agradecimiento a esas personas invisibles que de una u otra forma colaboraron o participaron en la realización de esta investigación. Ruth Crespata

3 DEDICATORIA Este manojo de ilusiones y sueños va dedicado a Dios por haberme permitido vivir, a mis hermanos que nunca me hicieron faltar palabras de aliento para que no desmayara en el intento de conseguir el más anhelado sueño, a mis profesores que siempre estuvieron prestos a dilucidar mis dudas y preguntas, especialmente este trabajo va dedicado a mis padres quienes son mi ejemplo de lucha y perseverancia que sin importar las adversidades de la vida en ningún momento dejaron de ser un ejemplo de vida para mí. Finalmente quiero dedicar este trabajo a todo el profesorado de la FIE por haber depositado en mí todo sus sabios conocimientos y vivencias, que gracias a ellos hoy cumplo una de mis más grandes sueños el de convertirme en una profesional integra y de principios Ruth Crespata

4 DERECHOS DE AUTORIA Yo, Ruth Alexandra Crespata Almachi, portadora del número de cédula , me hago responsable del contenido, ideas y doctrinas vertidas en la presente Tesis y el patrimonio intelectual pertenece a la Escuela Superior Politécnica de Chimborazo. Ruth Alexandra Crespata Almachi

5 FIRMAS RESPONSABLES Y NOTA NOMBRES FIRMAS FECHA Ing. Iván Menes DECANO DE LA FACULTAD DE INFORMÁTICA Y ELECTRÓNICA Ing. Pedro Infante DIRECTOR DE LA ESCUELA DE INGENIERIA EN ELECTRÓNICA TELECOMUNICACIONES Y REDES Ing. Alberto Arellano DIRECTOR DE TESIS Ing. Daniel Haro MIEMBRO DEL TRIBUNAL Tlg. Carlos Rodríguez DIR. CENTRO DE DOCUMENTACIÓN NOTA DE LA TESIS

6 INDICE DE ABREVIATURAS ASN.1 AUTHPRIV AUTHNOPRIV EGP IEEE Notación Sintáctica Abstracta Autenticatión and Private, Autenticación y Privacidad Autentication and private No, Autenticación y Privacidad No Enhanced Gateway Protocol, Protocolo Exterior de Gateway Institute of Electrical and Electronics Engineers, Instituto de ingenieros eléctricos y electrónicos LAN MIB NMS NOAUTHNOPRIV OID IETF IP RMON SNMP Network local área, Red de Área Local Management Information Base, Base de Información Administrativa Network Management System, Sistema Administrador de Red No autenticación y No privacidad Objecto Identifier, Objeto Identificador Internet Engineering Task Force, Grupo de trabajo de ingeniería de Internet Internet Protocol, protocolo de Internet Remote Monitor, Monitor Remoto Simple Network Management Protocol, Protocolo Simple de Administración y Gestión de Redes SMI Structure Management Information, Estructura de la información de Administración TLV USM VACM Codec tipe Value, Codificación Tipo Longitud Valor User Security Model, Modelo de seguridad basado en usuario View Access Control Model, Control de Acceso basado en vistas

7 INDICE GENERAL PORTADA AGRADECIMIENTO DEDICATORIA INDICES INTRODUCCIÓN CAPITULO I MARCO REFERENCIAL ANTECEDENTES JUSTIFICACIÓN OBJETIVOS GENERAL ESPECIFICOS HIPÓTESIS CAPITULO II MARCO TEÓRICO MONITOREO DE RED INTRODUCCIÓN Definición de Monitoreo Monitoreo Activo Monitoreo Pasivo ARQUITECTURA SNMP Introducción Elementos de la Arquitectura SNMP Consola de administración (NMS) Funciones básicas ARQUITECTURA NMS PARA LA ADMINISTRACIÓN DE RED Arquitectura Centralizada Arquitectura Distribuida Arquitectura jerárquica Agente MIB (MANAGEMENT INFORMATION BASE) OIDs (Objeto Identificador)

8 Estructura de la MIB Sintaxis de la MIB TIPOS DE MIBS SNMPv Características de seguridad Modelos y niveles de seguridad Arquitectura SNMPv Entidades SNMP Agente SNMP Formato mensaje SNMPv SEGURIDAD EN SNMPv CAPITULO III EVALUACIÓN HERRAMIENTAS DE MONITOREO CACTI, ZABBIX, Y NAGIOS INTRODUCCIÓN Elección de herramientas Análisis de la selección de software a utilizar Identificación de los parámetros a analizar o evaluar en cada una de las aplicaciones Análisis comparativo CACTI, ZABBIX y NAGIOS CAPITULO IV MARCO METODOLÓGICO E HIPOTETICO TIPO DE INVESTIGACIÓN SISTEMA DE HIPÓTESIS OPERACIONALIZACIÓN DE LAS VARIABLES Descripción de las variables con sus respectivos indicadores e indices Indicadores POBLACIÓN Y MUESTRA PROCEDIMIENTOS GENERALES INSTRUMENTOS DE RECOLECCIÓN DE DATOS VALIDACIÓN DE LOS INSTRUMENTOS AMBIENTE DE SIMULACIÓN EXPERIMENTO 1 (ANEXO 4) EXPERIMENTO 2 (ANEXO3)

9 CAPITULO V ANÁLISIS DE RESULTADOS PROCESAMIENTO DE LA INFORMACIÓN ANÁLISIS DE LOS RESULTADOS DEL EXPERIMENTO 1 Y ANÁLISIS DE LAS VARIABLE INDEPENDIENTE ACORDE AL EXPERIMENTO 1 Y ANÁLISIS DE LA VARIABLE DEPENDIENTE BASADOS EN LOS EXPERIMENTOS 1 Y PRUEBA DE LA HIPOTESIS CAPITULO VI MARCO PROPOSITIVO IMPLEMENTACIÓN DEL PROTOTIPO DE MONITOREO DE RED SEGURA HARDWARE SWITCHES CATALYST SWITCH CATALYST ROUTER CISCO HERRAMIENTAS Y SOFWARE NMS-CACTI IMPLEMENTACIÓN DEL PROTOTIPO Instalación del Gestor (CACTI) Agregar dispositivos a monitorear en Cacti Configuración de los agentes SNMPv SNMPV3 EN ROUTER SNMPV3 EN CATALYST 2950 Y SNMPV3 EN PC CONCLUSIONES RECOMENDACIONES RESUMEN SUMMARY GLOSARIO ANEXOS BIBLIOGRAFIA

10 INDICE DE FIGURAS Figura I. I Ambiente de Simulación Figura II. 1 Arquitectura de administración Centralizada Figura II. 2 Arquitectura de administración distribuida Figura II. 3 Arquitectura de Administración Jerárquica Figura II. 4 Estructura de la MIB Figura II. 5 Entidad SNMPv Figura II. 6 Gestor SNMP Tradicional Figura II. 7 Agente Tradicional Figura II. 8 Formato mensaje SNMPv Figura II. 9 Diagrama de flujo para VACM Figura IV. I Ambiente de simulación Figura V. 1 Funcionamiento SNMPv Figura V. 2 Ataque de hombre en el Medio SNMP Figura V. 3 Seguridad SNMP Figura V. 4 Disposición de Equipos SNMP Figura V. 5 Overload SNMP Figura V. 6 Presencia de la información de gestión en la red Figura V. 7 Seguridad en Contraseñas Figura V. 8 Métodos de Autenticación Figura V. 9 Contraseñas Encriptación/des-Encriptación Figura V. 10 Confidencialidad Figura V. 11 Revelación Selectiva Figura V. 12 Privacidad Figura V. 13 Control De Acceso Figura V. 14 Curva del análisis de chi-cuadrado Figura VI. 1 switch catalyst Figura VI. 2 switch catalyst Figura VI. 3 Red de pruebas Figura VI. 4 Instalación Apache Figura VI. 5 Instalación Base de datos MySql Figura VI. 6 Guía de instalación Cacti

11 Figura VI. 7 Selección new Install Figura VI. 8 Confirmación de rutas de acceso de los ejecutables Figura VI. 9 Ingreso usuario y contraseña Figura VI. 10 Forzar cambio de usuario y contraseña Figura VI. 11 Consola de administración Cacti Figura VI. 12 Creación de los dispositivos Figura VI. 13 Configuración de los parámetros del dispositivo a monitorear Figura VI. 14 Acceso satisfactorio del dispositivo a monitorear Figura VI. 15 vista escritura en el Router Figura VI. 16 Configuración del grupo administrador_secundario en el router Figura VI. 17 Configuración grupo administrador_principal Figura VI. 18 Creación del usuario Alejandra ligado al grupo administrador_ principal Figura VI. 19 Creación del usuario Ruth ligado al grupo administrador_secundario Figura VI. 20 Configuración vista lectura en catalyst 2950 y Figura VI. 21 Configuración vista escritura en catalyst 2950 y Figura VI. 22 Configuración del grupo administrador principal Figura VI. 23 Inicialización del agente SNMPv Figura VI. 24 Configuración de la vista escritura Figura VI. 25 Definición de grupo administrador_principal Figura VI. 26 Definición de usuario Alejandra

12 INDICE DE TABLAS TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES TABLA II. III TIPOS DE DATOS DEFINIDOS TABLA II. IV MIB II y MIB I TABLA II. V DESCRIPCIÓN DE LOS OBJETOS EN EL GRUPO SYSTEM TABLA II. VI DESCRIPCIÓN OBJETOS EN EL GRUPO INTERFACES TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION TABLA II. VIII OBJETOS DEL GRUPO IP TABLA II. IX DESCRIPCIÓN OBJETOS DEL GRUPO ICMP TABLA II. X DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO TCP TABLA II. XI DESCRIPCIÓN DE OBJETOS DEL GRUPO UDP TABLA II. XII DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO SNMP TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD TABLA II. XIV MEJORAS DE SNMPV3 FRENTE A SUS VERSIONES ANTERIORES TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIÓN DE ZABBIX TABLA III. II PLATAFORMAS SOPORTADAS POR ZABBIX TABLA III. III REQUISITOS PARA LA INSTALACIÓN DE NAGIOS TABLA III. IV ANÁLISIS COMPARATIVO TABLA III. V ANÁLISIS COMPARATIVO ENTRE CACTI Y ZABBIX TABLA IV. I OPERACIONALIZACIÓN CONCEPTUAL DE VARIABLES TABLA IV. II OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE INDEPENDIENTE TABLA IV. III OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE DEPENDIENTE TABLA IV. IV DETALLES TÉCNICOS DEL AMBIENTE DE SIMULACIÓN TABLA V. I FUNCIONAMIENTO SNMPV TABLA V. II SEGURIDAD SNMP TABLA V. III DISPOSICIÓN DE EQUIPOS SNMP TABLA V. IV OVERLOAD DE LA INFORMACIÓN DE GESTIÓN EN LA RED TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIÓN DE LOS PARÁMETROS TABLA V. VI VALORACIÓN CUANTITATIVA Y CUALITATIVA DEL INDICADOR TABLA V. VII PRIVACIDAD TABLA V. VIII CONTROL DE ACCESO

13 TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES TABLA V. X RESUMEN DE LOS VALORES OBTENIDOS PARA CADA UNO DE LOS INDICADORES TABLA V. XI FRECUECIAS OBSERVADAS TABLA V. XII FRECUENCIAS ESPERADAS TABLA V. XIII SUMATORIA DE X

14 INTRODUCCIÓN Debido al constante crecimiento que presentan las redes se han vuelto mucho más complejas y heterogéneas haciendo que su control y seguimiento de red se tornen complicados y se conviertan en verdaderos retos para los administradores de red. Como es de conocimiento general las redes de hoy no solo soportan aplicaciones o solo sirven para enviar correos electrónicos, para transferencia de archivos, hoy en día las redes dan soporte a aplicaciones robustas y servicios estratégicos que son de vital importancia para el correcto funcionamiento de la empresa. Es por esa razón que la información que es utilizada para gestionar los dispositivos de forma remota debe transitar de forma segura y confiable, con el fin de precautelar la integridad y evitar que se conozca la inteligencia de la red. Por tal motivo, se debe escoger protocolos probos de gestión que garanticen la transferencia segura y confiable de la data de gestión. Por lo que la presente tesis propone la utilización de SNMPv3 como protocolo de gestión de red, dado que el mencionado protocolo garantiza en gran medida el tránsito seguro de la data de administración a través de la red. Se utilizara CACTI como herramienta de monitoreo, que estará a cargo de procesar la información generada por SNMPv3. Convirtiéndose en la interfaz entre el usuario y el protocolo. Fue escogida la mencionada herramienta por las características que presenta en las que sobresale, licencia GPL, facilidad, poco consumo de recursos de red, configuración simple, etc.

15 CAPÍTULO I MARCO REFERENCIAL 1.1 ANTECEDENTES En los años 80, No había un soporte para hacer una buena administración de las redes, Los administradores de red no contaban con las herramientas suficientes y necesarias para administrar una red local, ni mucho menos una red como la internet. Las únicas herramientas de gestión de red en aquel entonces eran ICMP, PING, Trace-route, no proporcionaban la suficiente información para resolver con rapidez los problemas que se presentaban en la red. Como solución a este problema en 1988 la IAB propone desarrollar el protocolo SNMP. Buscando tener poco impacto en el rendimiento en los nodos cuando se utilizaran estos protocolos, por lo tanto tenían que ser protocolos sencillos pero al mismo tiempo robustos. Con el tiempo SNMP se convierte en un estándar de facto para la administración y gestión de red. Pero con el crecimiento global de las redes pronto dejo al descubierto varias falencias y debilidades que hicieron que aparezcan nuevas ampliaciones al protocolo.

16 Por los inconvenientes que presentaba SNMPv1 en cuanto a seguridad y al excesivo tráfico de información de gestión presente en la red, da pie para que se introduzca una ampliación al protocolo naciendo así SNMPv2 con el propósito de cubrir estas falencias. SNMP en su versión dos presenta mejoras pero sigue adoleciendo de seguridad en cuanto al envío de paquetes SNMP por la red, la seguridad en la versión dos está basada en comunidades al igual que SNMPv1, cuyos nombres son enviadas en texto plano, lo que conlleva a que esto se convierta en un punto débil de la LAN. Debido a que un individuo con un poco de conocimiento pueda hacer uso de un sniffer y capturar el tráfico y podría vulnerar la red con dicha información. Por la falta de seguridad en las versiones 1 y 2 de SNMP, se da paso a la creación de SNMPv3 que incrementa la seguridad en los entornos de gestión valiéndose de operaciones de autenticación, privacidad y control de acceso: limitando el acceso a los recursos de gestión únicamente a personas probas.

17 JUSTIFICACIÓN La principal motivación detrás del desarrollo del presente proyecto es estudiar los posibles perjuicios a tener debido al intercambio inseguro de la información de gestión entre los dispositivos monitoreados (routers, switchs, hub, etc.) y la/las estación (NMS) que se encargara de procesar dicha información. La NMS que se encargara de procesar la información de gestión será seleccionada de una terna de tres participantes, las mismas que deben cumplir con ciertas condiciones la principal y la más importantes es que estas herramientas se instalen y se han software libres por las ventajas de costes que presentan frente a los paquetes de monitoreo que ofrecen diferentes casas fabricantes, la desventaja de tener programas con licencia paga es para las organizaciones pequeñas o instituciones públicas que no cuentan con el suficiente dinero para realizar una alta inversión en licencias de software. La visión del proyecto se centra en la obtención de resultados, cuya información nos indique en qué medida se ve afectada la información de administración y gestión de redes durante su paso por la red al hacer uso de las primeras versiones del protocolos de gestión SNMP que no proporcionan la seguridad necesaria para la mencionada información, a diferencia de SNMPv3 que si aporta con la seguridades del caso. Los resultados serán producto de una evaluación previa de parámetros como la seguridad en contraseñas, formas de autenticación, contraseñas de encriptación y des encriptación, revelación selectiva del contenido de los mensajes utilizando sniffers como wireshark y dsniff, además se medirá la confidencialidad de la información de gestión para ello se realizar un ataque de hombre en el medio en un ambiente de simulación, además se medirá la carga de tráfico generado tanto por SNMPv1/v2 y SNMPv3 utilizando iptraf

18 Figura I. I Ambiente de Simulación Lo que se pretende solucionar con este proyecto son infiltraciones no autorizadas a los recursos de gestión y a los equipos, evitando que se realicen ataques a la red haciendo uso de los propios recursos de gestión, que por descuido o por falta de conocimiento del administrador de red permite que los datos de gestión transiten de forma insegura por la red constituyéndose en un punto de fragilidad para la red.

19 OBJETIVOS GENERAL Analizar el protocolo SNMPv3 y aplicarlo al desarrollo de un prototipo de monitoreo de red segura ESPECIFICOS Estudiar el protocolo de administración y gestión de redes SNMP en su versión 3 para entender su funcionamiento Determinar las mejoras de SNMPv3 frente a sus versiones anteriores. Evaluar herramientas de software libre que incorporen SNMPv3 para la gestión y monitoreo de redes Implementar un prototipo de pruebas para el desarrollo de la plataforma de monitoreo basada en SNMPv3 1.4 HIPÓTESIS El protocolo SNMPv3 podrá ser aplicado al diseño de un prototipo de monitoreo de red segura, en un ambiente OpenSource que permitirá alcanzar niveles apropiados de seguridad en la administración y gestión de redes.

20 CAPÍTULO II 2. MONITOREO DE RED MARCO TEÓRICO 2.1INTRODUCCIÓN La detecciòn oportuna de fallas y el monitoreo de los elementos que conforman una red de datos son actividades de gran relevancia para brindar un servicio de calidad a nuestros usuarios. De esto se deriva la importancia de un sistema capaz de notificar las fallas en la red y de mostrarnos su comportamiento mediante el análisis y recolecciòn del tráfico. En la actualidad las redes, cada vez mas soportan aplicaciones y sevicios estratégicos de las organizaciones y si presentan algún tipo de desperfecto en su rendimiento, sin saber cual es el punto de ruptura, puede causar perdidas para la entidad u organización. Las redes de datos de las organizaciones, cada vez se vuelven mucho mas complejas y la exigencia de operación es cada vez mas demandante.

21 Por lo cual el análisis y monitoreo de red se ha convertido en una labor de mucha importancia y de carácter proactivo para evitar problemas a futuro. La seguridad no solo radica en la prevención, sino tambien en la identificación. Entre menos tiempo haya pasado desde la intrusión e identificacion, el daño sera menor,para lograr esto es importante realizar un constante monitoreo del sistema con la finalidad de identificar vulnerabilidades en la red que los intrusos o el propio personal de la empresa puede hacer uso para acceder a recursos de la red que no estan autorizados y puedan causar denegaciones de servicio o otros problemas. La prestacion de servicios de calidad a los usuarios de una red depende en gran medida de factores que involucran aspectos de eficiencia y de seguridad. En el aspecto de eficiencia el ancho de banda disponible y la utilizacion que se haga del mismo representa un factor critico,mientras en el caso de la seguridad, es importante conocer el tipo de tráfico que esta siendo cursado por la red, asi como tener la capacidad de detectar el tráfico malicioso. 2.2 Definición de Monitoreo Es el proceso de observar el comportamiento de la red y de sus nodos a traves de la correspondiente información de adminsitración. Esto se realiza con el fin de detectar fallas en la red y en los nodos. La Monitorización involucra dos factores importantes el tiempo de duracion del monitoreo y el uso de recursos de la red. Mientras mayor sea el tiempo de monitoreo mas efectiva sera la detección de problemas, pero habra una mayor ocupación de los recursos lo cual perjudicara a otras tareas.por lo tanto debe existir un balance para conseguir un desempeño aceptable del sistema.

22 ENFOQUES DE MONITOREO 1 Existen, dos formas de abordar el proceso de monitorear una red: el enfoque activo y el enfoque pasivo. Aunque son diferentes ambos se complementan Monitoreo Activo Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o envíando paquetes a determinadas aplicaciones midiendo sus tiempos de respuesta, Este enfoque tiene la particularidad de agregar tráfico a la red. Es utilizado para medir el rendimiento de la red. Técnicas de Monitoreo activo Basado en ICMP Díagnosticar Problemas en la red. Detectar retardo, perdidad de paquetes. Disponibilidad de host de host y redes. Basdo en TCP Tasa de transferencia Díagnosticar problemas a nivel de aplicación. Basado en UDP Perdidas de paquete en un sentido (one-way) Monitoreo Pasivo Este enfoque se basa en la obtención de datos apartir de recolectar y analizar el tráfico circundante por la red, se emplean diversos dispositivos como sniffers,ruteadores,computadores con software de 1Carlos Alberto Vicente Altamirano,Monitoreo de Recursos de Red, Mexico 2005.pdf Universidad Nacional Autonoma de Mexico

23 análisis de tráfico y en general dispositivos con soporte snmp,rmon y netflow. Este enfoque no agrega tráfico a la red. Técnicas de Monitoreo pasivo Mediante SNMP Utilizado para obtener estadisticas sobre la utilización de ancho de banda,consumo de recursos de red, etc., al mismo tiempo genera traps que indica que un evento inusual ha ocurrido. Captura de tráfico Se puede llevar a cabo de dos formas: 1.-Mediante la configuraciòn de un puerto espejo en un dispositivo de red, el cual hara una copia del tráfico que ercibe en un puerto hacia otro donde estara conectado el equipo que realizara la captura. 2.- Mediante la instalaciòn de un dispositivo intermedio que capture el tráfico, el cual puede ser una computadora con el software de captura esta tecnica es utilizada para contabilizar el tráfico que circula por la red. Análisis de Tráfico Usado para identificar el tipo de aplicaciones. Se puede implementar atraves de un dispositivo intermedio con una plicación capaz de clasificar el tráfico por aplicación, direcciónes IP origen y destino, puertos origen y destino etc. 2.4 ARQUITECTURA SNMP Introducción SNMP, se ha constituido en salida y solución propuesta para poder unificar el proceso de administración de redes privadas (intranet), sin tener en cuenta la casa matriz de donde provienen los dispositivos que son parte de la red a ser gestionada.

24 Hasta el día de hoy existe tres versiones conocidas de SNMP, la versión 1 que fue desarrollada por Case, McGlorie, Rose y Waldbuser, la versión 2 que incorpora mejoras en las operaciones del protocolo y por último la versión 3 que cubre las falencias de seguridad que venían arrastrando sus versiones pasadas Elementos de la Arquitectura SNMP En un sistema SNMP se puede identificar cuatro componentes fundamentales. 1. Gestor de red (NMS), 2. Agente 3. MIB. 4. Protocolo SNMP Consola de administración (NMS) La estación NMS es algún tipo de software que puede manejar procesos administrativas, es la interfaz entre la red y el administrador. Una NMS es responsable de generar consultas y de recibir notificaciones de agentes en la red. A través de una consulta se obtiene información que más tarde puede ser usada para determinar si ha ocurrido algún evento crítico. Por otro lado una notificación permite al agente dar aviso que algo ha ocurrido. La estación tiene la capacidad de realizar una acción basada en la información que recibió del agente, realizando asi un monitoreo proactivo en algunos casos Funciones básicas Los datos son centralizados en registros para poder tener una visión y realizar un análisis apropiado de los mismos.

25 Provee una interface para el administrador de manera que esta pueda controlar y observar el proceso de administración de red. Permite tener una visión completa del desempeño de los dispositivos gestionados, como la salud de la red, interfaces caídas, etc ARQUITECTURA NMS PARA LA ADMINISTRACIÓN DE RED Se tienen tres arquitecturas fundamentales para la administración de red: jerárquica, centralizada y distribuida.tienen una dependencia directa con el protocolo que se va utilizar para establecer las reglas de monitoreo Arquitectura Centralizada Aquí todas las consultas son envíadas a un sistema de gestión simple. Las aplicaciones de administración son instaladas en la NMS, la cúal responde a todos los avisos envíados desde los agentes. En un sistema de administración centralizada hay un único responsable de realizar consultas de información a los dispositivos. Si bien su información es fácil de manejar,una NMS puede llegar a sobrecargarse facilmente debido al número de traps 2 que los agentes pueden envíar al NMS Figura II. 1 Arquitectura de administración Centralizada 22 Traps: Eventos inusuales que se disparan cuando se cumplen una determinada premisa en el dispositivo y que son enviadas a la NMS

26 Arquitectura Distribuida Como se muestra en la figura II.2, hay dos puntos de administración del sistema que gestiona los agentes.se puede organizar una arquitectura distribuida basada en la geografía, o se puede asignar a cada NMS responsabilidad sobre un grupo específico de recursos de la red. Figura II. 2 Arquitectura de administración distribuida Como se puede apreciar en la figura II.2 cada dispositivo NMS gestiona un grupo específico de dispositivos de la red, manejando de forma centralizada sus aplicaciones de gestión, de esta manera se puede asegurar que las máquinas gestoras no sufrirán saturaciones. Este modelo tiende a limitar los beneficios de un modelo de administración de red centralizado, ya que las NMS pueden enviar solo mensajes entre ellas pero no pueden actualizar consultas o resultados de bases de datos de agentes administrados por otras NMS este tipo de arquitectura depende del tipo de protocolo de gestión a utilizar Arquitectura jerárquica Combina el sistema centralizado con el distribuido. Es la arquitectura más compleja pero. Provee las fortalezas de las anteriores.como se muestra en la figura II.3 se utiliza una NMS centralizada que solo coordina consultas enviadas de entidades NMS adicionales.

27 Figura II. 3 Arquitectura de Administración Jerárquica Se puede delegar varias tareas y responsabilidades a varios sistemas en la red, de esta manera se mantiene y almacena información de una manera centralizada y sin embargo asegura que los sistemas distribuidos sean responsables del procesamiento de consultas y respuestas. Las aplicaciones de administración están distribuidas en varios sistemas en la red Agente Los agentes de administración son procesos que se ejecutan en cada nodo de la red, como hosts, routers, puentes, hubs, switches que deben estar equipados con SNMP. Representa a la parte del servidor en la medida que tiene la información que desea administrar y espera los comandos a ejecutar por parte del cliente (entidad administradora).todos los datos del agente se almacenan en su MIB ver figura II.IV y entre las funciones principales que un agente puede controlar encontramos. Número y estado de circuitos virtuales Mensajes de difusión enviados y recibidos. Número de bytes y paquetes entrantes y salientes del dispositivo. Interfaces de red que se han caído y las que se han activado

28 Para realizar estas funciones cada Agente mantiene un MIB (Manejador de Información Básica) que contiene toda la información (tanto reciente como histórica) sobre su configuración local y el tráfico que maneja. La estación manejadora mantendrá un MIB global con la información resumida de todos los agentes MIB (MANAGEMENT INFORMATION BASE) Una MIB es una base de datos de información que está organizada de forma jerárquica. estructurada en forma de árbol, en la que se agrupan todos los objetos de un dispositivo de red que van a ofrecer algún tipo de interoperabilidad o funcionamiento en este, y que se desean que sean gestionados a través de SNMP. Un objeto administrado o comúnmente conocido como objeto MIB es uno de cualquier número de características específicas de un dispositivo administrado. Los objetos administrados están compuestos de una o más instancias de objeto, que son esencialmente variables. Tipos de objetos Administrados: escalares y tabulares. Los objetos escalares definen una simple instancia de objeto a diferencia de los objetos tabulares que define múltiples instancias de objetos OIDs (Objeto Identificador) Cada uno de las ramificaciones del árbol y de los objetos contenidos en estas, están representados por un número que identifica su posición exacta dentro de la MIB. Este número se denomina OID y es único entre todas las MIBs existentes. Esto hace que cada objeto se ha accesible a través de un solo camino, quedando perfectamente identificado mediante lo que se conoce como una ruta absoluta del objeto.

29 Estructura de la MIB SNMP sigue una estructura tipo árbol, donde sus ramificaciones son los objetos a ser gestionados cada uno con una función específica en la red. Los objetos se agrupan en estructuras lógicas relacionadas entre sí.está definida baja las condiciones de SMI ver Anexo 1 Árbol MIB Los objetos de una MIB están agrupados en una estructura en cascada compuesta por diversos nodos: cada uno de estos nodos contiene un determinado número de objetos relacionados entre sí según su función dentro del dispositivo: a esta estructura se la conoce como árbol MIB. Figura II. 4 Estructura de la MIB

30 La zona superior de este árbol está reservada para diferentes organizaciones estándares, mientras que las de la parte inferior están reservadas para las organizaciones asociadas: la rama principal se inicia en el nodo ISO donde de los demás apartados definidos para su propio uso, se ha definido uno para el resto de organizaciones dentro de este se encuentra en nodo correspondiente a la comunidad de internet que nos interesa en particular. El nodo internet, uno de los principales nodos del árbol, en un principio estaba formado por las siguientes 4 ramificaciones: 1. Directory: reservada para memorias futuras que discutan sobre la organización de la estructura ISO utilizada en internet. 2. Mgmt: identifica a los objetos definidos en documentos aprobados por la IAB. aquí es en donde se almacenan las MIBs estandarizadas. 3. Experimental: En este nodo se almacenan las MIBs en fase de pruebas. 4. Private: es uno de los nodos más importantes dentro de internet ya que es en dónde se almacenan las MIBs definidas de forma unilateral. Dentro del nodo private está el nodo Enterprise donde cada fabricante reconocido dispone de su propio espacio para almacenar las MIBs de sus dispositivos Sintaxis de la MIB Definición de ASN.1 ASN.1 es una notación estándar muy flexible que proporciona un conjunto de normas, tipos de datos y constructores, que permiten describir estructuras para representar, codificar, descodificar y transmitir datos, de forma independiente de la máquina en la que se encuentran y de sus formas de representación interna.

31 Fue desarrollada como parte de la capa de presentación del modelo OSI y ofrece una abstracción similar a la que otorga un lenguaje de programación de alto nivel. Al igual que cualquiera de estos lenguajes. Tipos de datos ASN.1 La notación Sintáctica Abstracta (ASN.1) es una notación perteneciente a la capa de presentación del modelo OSI, tal notación presenta un alto nivel de abstracción para representar los objetos gestionados. El uso de ASN.1 permite que la comunicación de las aplicaciones gestoragente se ha posible aun cuando usen máquinas con diferentes tipos de representación interna. Para esto ASN.1 define tres tipos de datos generales. Simples o primitivos: Conocidos también como registros escalares, puesto que almacenan un único valor. Los tipos primitivos más importantes son lo que se muestran en la Tabla II.I TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS TIPO Integer DisplayString OctectString OctectBitString PhysAddress ObjetcIdentifier Null Boolean DESCRIPCIÓN Número entero negativo o positivo de hasta 32 bits Cadena de caracteres ASCII imprimibles Usado para cadenas de bits mayores a 32 bits Representan direcciones de la capa de enlace Identificador de objeto, que marca la posición del objeto en la MIB Representa la ausencia de valor Representa un valor que pueda ser verdadero o falso Estructurados o compuestos: Son registros vectoriales, que sirven para definir filas y tablas. Son construidos a partir de otros tipos primitivos. En la Tabla II.II se detallan los tipos de datos estructurados.

32 TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES TIPO Sequence Sequence OF Set SetOf Choice DESCRIPCIÓN Representa una fila, es decir una lista ordenada de tipos de datos diferentes. Son construidos a partir de datos primitivos. Representa una tabla, es decir es una lista ordenada de varias filas iguales. Son construidos a partir de tipos compuestos. Es un tipo de datos similar al sequence Es un tipo de datos similar a sequence of, con la diferencia que la lista no está ordenada Es un tipo de datos que se debe escoger de una lista predefinida. Definidos: Se construyen a partir de los tipos de datos (primitivos y compuestos) con la diferencia que se les ha definido un nombre más descriptivo, se utiliza para distinguir los tipos dentro de una aplicación. Los tipos descriptivos o etiquetados se detallan en la Tabla II.III. TABLA II. III TIPOS DE DATOS DEFINIDOS TIPO NetworkAddress Ipaddress Counter Gauge Time Ticks Opaque DESCRIPCIÓN Representa una dirección de red de cualquier familia de protocolos Representa la dirección de internet, definida en la pila de protocolos Representa un entero positivo que se incrementa hasta Se reinicia cuando alcanza el máximo valor Representa un entero positivo, el cual se incrementa o decrementa, se reinicia cuando alcanza su máximo valor Representa un entero positivo, el cual cuenta el tiempo transcurrido en centésimas de segundo Representa un octectstring que se le puede pasar cualquier valor ASN.1

33 TIPOS DE MIBS Estándares MIB-I y MIB-II Experimentales Con grupos en fase de desarrollo. Privadas Incorporan la información del fabricante MIB I (Management Information Base I) Constituyo la primera MIB normalizada y estandarizaba la definición de los objetos de la torre de protocolos TCP/IP. Está definida en la RFC 1155 ver Tabla II.IV TABLA II. IV MIB II y MIB I GRUPO MIB I MIB II DESTINO SYSTEM 3 7 EL propio sistema INTERFACES Interfaces de red AT 3 3 Correspondencia de direcciónes IP IP Internet Protocol ICMP Internet control messageprotocol TCP Transmisio Control Protocol UDP 4 7 UserDatagramProtocol EGP 6 18 Exterior Gateway protocol TRANSMISSION NO 0 Nuevo grupo SNMP NO 30 Nuevo grupo

34 MIB-II (Management Information Base II) Define objetos y grupos adicionales a los definidos en el MIB tradicional, para esto, exigen ciertos requisitos que deben cumplir los objetos para que puedan ser incluidos en el MIB-II ver Tabla 2.4, dichos requisitos son los siguientes: Sólo se permiten objetos que al modificarlos, provoquen daños limitados, esto se debe a la falta de seguridades en SNMP. MIB-II elimina objetos dependientes de implementaciones concretas, ejemplo BSD UNIX. MIB-II elimina el límite de mantener menos cien objetos que posee MIB-I, esto se debe a que cada vez hay más tecnologías que administrar descripción e identificación de los objetos MIB II 3 Grupo 1, El Nodo System Define una lista de objetos que están relacionados con el funcionamiento del sistema, es decir, da información del sistema en el que se encuentra el agente. Ver tabla II.V. TABLA II. V DESCRIPCIÓN DE LOS OBJETOS EN EL GRUPO SYSTEM NOMBRE DEL VALOR DESCRIPCIÓN OBJETO Sysdescr 1 Descripción del dispositivo SysObjectID 2 Identificación del sistema Operativo SysUptime 3 Tiempo Transcurrido desde el último Reset SysContact 4 Nombre del administrador responsable Sysname 5 Nombre del dispositvo SysLocation 6 Ubicación Física del dispositivo SysServices 7 Servicios ofrecidos por el dispositivo 3 Diseño e implementación de un sistema de monitorización y control para un modem satélite a través de SNMP, Comprezios Marc A. enero 2011

35 Grupo 2, Interfaces Mantiene un registro del estado de cada interfaz de red en una entidad gestionada. El grupo interfaz monitoriza que interfaces están caídas o levantadas ver Tabla II.VI TABLA II. VI DESCRIPCIÓN OBJETOS EN EL GRUPO INTERFACES NOMBRE DEL OBJETO VALOR DESCRIPCIÓN IfIndex 1 Numero de una interfaz IfDescr 2 Descripción de una interfaz ItType 3 Tipo de interfaz IfMTU 4 Máximo de octetos en un Datagrama IfSpeed 5 Ancho de banda en bits por segundo IfPhysAddress 6 Dirección física IfAdminStatus 7 Para cambiar el estado de la interfaz IfOperStatus 8 El estado Actual de la interfaz IfLastChange 9 El valor de Sysuptime sobre la interfaz IfInOctects 10 Total de octetos recibidos en una interfaz IfInUcastPkts 11 Número de paquetes unicast de subred de entrada IflnNucastPkts 12 Número de paquetes no unicast de subred de entrada IfInDiscard 13 Paquetes entrantes descartados IfInErrors 14 Paquetes de entrada descartados por error IfInUnKnownProtocols 15 Paquetes de entrad con error de protocolo IfOutOctets 16 Total de octetos transmitidos por una interfaz IfOutUcastPkts 17 Numero de paquetes unicast de subred de salida. IfOutNUcastPkts 18 Número de paquetes no unicast de subred de salida IfOutDiscard 19 Número de paquetes de salida descartados IfOutErrors 20 Paquetes de salida descartados por error IfOutQlen 21 Longitud e la cola de paquetes de salida IfSpecific 22 Referencia de Documentación del medio específico para la interfaz

36 Grupo 3 Address Translation. Es el grupo de traducción de direcciones, se encuentra en estado deprecated y únicamente se mantiene por compatibilidad con la MIB I probablemente desaparezca en la MIB III ver tabla II.VII TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION NOMBRE DEL OBJETO AtIfIndex AtPhysAddress AtNetAddress SIGNIFICADO Interface Number Dirección del medio del mapeo Dirección IP del mapeo Grupo 4 Internet Protocol Mantiene un registro de varios aspectos de IP, más concretamente lleva las estadísticas del protocolo IP. Registra IP recibidos, reenviados, descartados, etc. TABLA II. VIII OBJETOS DEL GRUPO IP NOMBRE DEL OBJETO VALOR SIGNIFICADO IPAdEnAddr 1 Dirección IP destino IpAdEntiflndex 2 Número de interfaz IpAdEntNetMask 3 Mascara de subred para la dirección IP IpAdEntBcastAddr 4 LSB de la dirección de broadcast IpAdEntReasmMaxSize 5 El datagrama más grande que se pueda reensamblar. IpRouteDest 1 Dirección IP destino IpRouteIfIndex 2 Número de interfaz IpRouteMetric 1 3 Métrica de enrutamiento #1 IpRouteMetric 2 4 Métrica de enrutamiento #2 IpRouteMetric 3 5 Métrica de enrutamiento #3 IpRouteMetric 4 6 Métrica de enrutamiento #4 IpRouteNextHope 7 Dirección IP del Gateway par el siguiente host

37 IpRouteType 8 Tipo directo, remoto, válido o inválido IpRouteProto 9 Mecanismo utilizado para determinar la ruta IpRouteAge 10 La última vez en segundos que fue actualizada la ruta IpRouteMask 11 Mascara de subred para la ruta IprouteMetric 5 12 Una métrica de enrutamiento alternativo IpRouteInfo 13 Referencia MIB para el protocolo IpNetToMedíaIfIndex 1 Número de interfaz IpNetToMedíaPhysAddres 2 Dirección del medio de mapeo IpNetToMedíaNetsAddres 3 Dirección IP del mapeo IpNetToMedíaType 4 Como el mapeo fue determinado Grupo 5 ICMP Mantiene un registro de varios aspectos ICMP, más concretamente lleva estadísticas del tráfico ICMP por ejemplo errores, mensajes ECHO recibidos/enviados etc. Ver Tabla II.IX TABLA II. IX DESCRIPCIÓN OBJETOS DEL GRUPO ICMP NOMBRE DEL OBJETO VALOR SIGNIFICADO IcmpInMsgs 1 Mensajes recibidos incluyendo los de error IcmpInErrors 2 Mensajes recibidos con errores IcmpInDestUnrecheable 3 Mensajes recibidos con destino irreconocible IcmpInTimeExcds 4 Mensajes recibidos con tiempo extendido IcmpInParmProbs 5 Mensajes recibidos con problemas en los parámetros IcmpInSrcQuenchs 6 Mensajes recibidos de fuentes apagadas IcmpInRedirects 7 Mensajes recibidos redirigidos IcmpInEchos 8 Mensajes recibidos con peticiones de eco IcmpInEchosRep 9 Mensajes recibidos de respuesta de eco IcmpInTimestamps 10 Mensajes recibidos de marcas de tiempo IcmpInTimestampReps 11 Mensajes recibidos de respuestas de marcas de tiempo IcmpInAddrMasks 12 Mensajes recibidos de peticiones de mascara de subred

38 IcmpInAddrMaskResp 13 Mensajes recibidos de respuestas de mascara de subred IcmpOutMsg 14 Mensajes mandados incluyendo con los de error IcmpOutErrors 15 Mensajes no enviados debido al control de flujo IcmpOutDestUnrecheable 16 Mensajes enviados con destino irreconocible IcmpOutTimeExcs 17 Mensajes enviados con tiempo excedido IcmpOutParmProbs 18 Mensajes enviados con problemas de parámetros IcmpOutSrcQuenchs 19 Mensajes enviados con fuente apagada IcmpOutRedirects 20 Mensajes enviados redirigidos IcmpOutEchos 21 Mensajes enviados con solicitud de eco IcmpOutEchosResp 22 Mensajes enviados con respuesta de eco IcmpOutTimestamp 23 Mensajes enviados con solicitud de marcas de tiempo IcmpOutTimestampResp 24 Mensajes enviados con respuestas de marcas de Tiempo. IcmpOutAddrsMasks 25 Mensajes enviados con petición de mascara de subred IcmpOutAddrsMaskResp 26 Mensajes enviados con respuesta de mascara de subred Grupo 6 TCP Lleva un registro del estado de las conexiones TCP (cerradas, escuchando, etc) y de los datos generales sobre TCP (números de conexiones establecidas, máximo timeout de retransmisión, etc.) Ver tabla II.X TABLA II. X DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO TCP NOMBRE DEL VALOR SIGNIFICADO OBJETO TcpRtoAlgorithm 1 Identificación del algoritmo de retransmisión TcpRtoMin 2 El tiempo de salida mínimo de retransmisión TcpRtoMax 3 El tiempo mínimo de retransmisión TcpMAxconn 4 Conexiones TCP máximas permitidas TCpActiveOpens 5 Cambio de estadso a SYN-SENT de closed TcpPassivesOpens 6 Cambio de estado a SYN-RCVD de Listen

39 TcpAttemptFAil 7 Cambio de estado a closed de ESTAB/WAIT TcpCurrEstab 9 Número de conexiones con el estado established o closed TcpInSegs 10 Segmentos recibidos, incluyendo con error TcpOutSegs 11 Segmentos mandados incluyendo con error TcpConnState 1 Estado de la conexión Tcp TcpConnLocalAddress 2 Dirección IP para esta conexión TCP TcpConnLocalPort 3 Número de puerto para esta conexión TCP TcpConnRmAddress 4 Dirección IP remota para esta conexión TcpConnremPort 5 Número de puerto Remoto para esta conexión Grupo 7 UDP Controlan las estadísticas de datagramas de entrada y salida, conexiones UDP de entrada y de salida ver Tabla II.XI. TABLA II. XI DESCRIPCIÓN DE OBJETOS DEL GRUPO UDP NOMBRE DEL OBJETO VALOR SIGNIFICADO UdpInDatagrams 1 Datagramas enviados a usuarios UDP UdpNoPorts 2 Datagramas dirigidos a puertos desconocidos UdpInErrors 3 Datagramas no enviados por formatos de error UdpOutDatagrams 4 Datagramas mandados desde la entidad UdpLocalAddress 1 Dirección IP para esta aplicación UDP UdpLocalPort 2 Número de puerto local para esta aplicación UDP Grupo 8 EGP Esta encargado del control estadísticas EGP y mantenimiento de la tableegpneighbor. Grupo 9 EL CMOT El CMOT define al protocolo ISO para administrar redes. El CMIP, sobre TCP:

40 El grupo 9 del MIB-II fue diseñado para este propósito. Pero todavía no ha sido implementado. Grupo 10 TRANSMISSION Actualmente no existen objetos asociados a este grupo; sin embargo otro MIBs Específicos para medios está definido en este subárbol. Grupo 11 SNMP Mide el rendimiento de la implementación SNMP en el dispositivo administrado y controla cosas como paquetes enviados y recibidos y cada uno es identificado en la Tabla II.XII TABLA II. XII DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO SNMP NOMBRE VALOR DESCRIPCIÓN SnmplnpKTS 1 Mensajes recibidos de un servicio de transporte SnmplnOutPkts 2 Mensajes pasados al servicio de transporte SnmplnBadVersions 3 Mensajes recibidos con error en la versión SnmplnBadConmmunityNames 4 Mensajes de error en la comunidad SnmplnBadConmmunityUses 5 Mensajes entrantes con operaciones SNMP no válidas SnmplnASNParseErrs 6 Mensajes entrantes con errores en la sintaxis SnmplnTooBigs 8 PDU entrante con errores de tipo TooBIg SnmplnNoSuchNames 9 PDU entrante con errores de tipo NosuchName SnmplnBadValues 10 PDU entrante con errores de tipo BadValue SnmplnReadOnly 11 PDU entrante con errores de tipo ReadOnly SnmplnGenErrs 12 PDU entrante con errores de tipo GenErrs SnmplnTotalSetVars 14 Objetos alterados con el PDU al recibir un set -request SnmplnGetRequest 15 Get-request aceptados y procesados por snmp SnmplnGetResponse 18 GetResponse aceptados y procesados por snmp SnmplnTraps 19 Traps procesados y aceptados por SNMP SnmpOutTooBig 20 PDUs generados con error TooBig SnmpOutNosuchNames 21 PDU generado con error tipo suchname

41 MIBS EXPERIMENTALES MIB, Estas fueron desarrolladas por los grupos de trabajo de Internet. Actualmente existen MIBs para: IEEE TokenBus (RFC 1230). IEEE TokenRing(RFC 1231). IEEE RepeaterDevices(RFC 1368). Ethernet(RFC 1398). (ya estándar). FDDI (RFC 1285). RMON (RFC 1271). Bridges(RFC MIBs PRIVADAS MIBs de productos específicos desarrollados por las propias casas fabricantes de equipos de Telecomunicaciones, con el objeto de añadir funcionalidad a las MIBs estándares. Las hacen públicas, a través de Internet.algunas MIB privadas. MIB Cabletron. MIB Synoptics. MIB Proteon. MIB ATT. MIB Cisco.

42 SNMPv3 Es un protocolo basado en estándares de interoperabilidad: Provee accesos de seguridad para los dispositivos de red, mediante la combinación de paquetes de autenticación y encriptación Características de seguridad Integridad: El protocolo deberá verificar que cada mensaje recibido SNMPv3 no ha sido modificado durante su transmisión a través de la red de tal forma que una operación de gestión no autorizada pudiera resultar. Autenticación: El protocolo deberá verificar la identidad del originador del mensaje recibido. Tiempo en que se originaron los datos: El protocolo verificara el tiempo aparente de la generación del mensaje. Para proteger contra la amenaza de modificación de flujo de mensajes para lo cual una marca de tiempo es incluido en el mensaje. Confidencialidad: el protocolo deberá garantizar, cuando se ha necesario que el contenido del mensaje se ha indescifrable. Un algoritmo de encriptación simétrica es puesto en marcha para proteger contra la amenaza de revelación de contenido Modelos y niveles de seguridad Modelo de Seguridad: es una estrategia de autenticación determinada para un usuario y grupo en que este reside. Niveles de seguridad: define el umbral permitido dentro del modelo de seguridad. La combinación de ambos decidirá el mecanismo hacer empleado para el intercambio de mensajes SNMP. Tres son los modelos de seguridad disponibles:

43 SNMPv1, SNMPv2 y SNMPv3 y tres son los niveles de seguridad disponibles: noauth-nopriv, AuthNoPriv, AuthPriv. La Tabla 2.13 describe las posibles combinaciones entre estos dos conceptos. Los fundamentos de la seguridad en SNMPv3 se pueden describir a través de los siguientes puntos. Cada usuario pertenece a un grupo Un grupo define sus políticas de acceso para un conjunto de usuarios Una política SNMP determina que objetos de la MIB pueden ser accedidos para escribir y leer. Un grupo también determina el modelo y el nivel de seguridad para sus usuarios Beneficios Los datos pueden ser colectados en forma segura por equipos SNMP sin el temor que hayan sido forzados o corrompidos. Manejo de la información confidencial. Por ejemplo un conjunto de comandos SNMP que cambian la configuración de un equipo, pueden ser configurado para prevenir la exposición de su contenido en la red. Acceso selectivo hacia cada uno de los objetos de la MIB. Identificación del origen de los mensajes Robustos algoritmos para la autenticación y la encriptación TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD MODELO NIVEL AUTENTICACIÓN ENCRIPTACIÓN V1 V2 V3 V3 V3 noauthnopriv noauthnopriv noauthnopriv AuthNopriv AuthPriv Comunidad Comunidad usuario MD5 o SHA MD5 o SHA No No No No SI

44 Arquitectura SNMPv3 EN SNMPv3 se abandona la noción de agentes y gestores, Ambos, administradores y agentes, ahora se denominan entidades SNMP, Cada entidad está formada por un único motor SNMP y por una o más aplicaciones SNMP. El motor y las aplicaciones a su vez están conformadas por modelos. Los subsistemas interactúan entre sí mediante primitivas y parámetros abstractos con el fin de que una entidad pueda proveer un determinado servicio. Dependiendo de los tipos de módulos que conformen una entidad, esta podrá actuar como: agente, gestor o una combinación de ambos. La arquitectura SNMP tiene algunas ventajas: Permite el desarrollo de estrategias de coexistencia y transición con otros módulos Definición del rol de una entidad en base a los módulos que se tenga implementado. Capacidad de actualizar de forma modular sin la necesidad de actualizar todo el protocolo Entidades SNMP APLICACIONES SNMP GENERADOR DE COMANDOS RECEPTOR NOTIFICACIONES DE EMISOR PROXY CONTESTADOR DE COMANDOS ORIGINADOR NOTIFICACIONES DE MOTOR SNMP DISTPACHER SUBSISTEMA DE PROCESAMIENTO DE MENSAJES SUBSISTEMA DE CONTROL DE ACCESO SUBSISTEMA SEGURIDAD DE Figura II. 5 Entidad SNMPv3

45 Es un conjunto de módulos que interactúan entre sí. Cada entidad SNMP ofrece una porción de la capacidad de SNMP y puede actuar como los tradicionales Agentes o gestores o una combinación de ambos. Cada entidad está formada por módulos que interactúan entre sí para ofrecer un servicio, como se ilustra en el diagrama de bloques de la figura II.V Motor SNMP Es la parte esencial de cualquier entidad SNMP. El Motor SNMP es el encargado de proporcionar las funciones de. Envió de mensajes Recepción de mensajes Autenticación Encriptado y descencriptado de los mensajes Control de Acceso a los objetos administrados Estas funciones son provistas como servicios a una o más aplicaciones y está provisto de 4 módulos. Ver Fig. II.V Dispatcher(despachador) Es el encargado de administrar el tráfico. Para mensajes salientes recibe las PDUs de las aplicaciones determina el tipo de procesamiento requerido (SNMPv1, SNMPv2, SNMPv3) y entrega estos datos al módulo de procesamiento de mensajes adecuado. Para mensajes entrantes, acepta mensajes del nivel de transporte y lo deriva al módulo de procesamiento de mensajes idóneo Subsistema de Procesamiento Mensajes Es el responsable del armado y desarmado de la PDU, recibe y entrega los mensajes del despachador. Si es necesario luego del armado de la PDU (mensaje saliente) o antes de desarmarla (mensaje entrante) pasaría la misma al subsistema de seguridad. Un subsistema de procesamiento

46 de mensajes puede contener varios modelos de procesamiento de mensajes para SNMPv1 (denominado v1mp), para SNMPv2 (denominado v2cmp), SNMPv3 (denominado v3mp) y para otros protocolos de gestión Subsistema de seguridad Es el encargado de ejecutar las funciones de autenticación y encriptación de los mensajes SNMP, haciendo uso del modelo de seguridad basado en usuarios (USM), agregando un encabezado específico de seguridad en cada mensaje. También debe proveer mecanismos de seguridad basada en comunidades para el caso de SNMPv2 y SNMPv1.Especificamente la RFC-2574 establece que el modelo de seguridad basado en usuario protege frente a las siguientes amenazas. Retransmisión del flujo de mensajes Suplantación de identidad Confidencialidad de los datos Eventos disfrazados Modificación de la información de gestión Subsistema de control de Acceso Proporciona servicios de autorización para controlar el acceso a los objetos MIB, es decir determina a que objetos de la MIB se accede y que operaciones pueden ejecutarse en ellos. Implementa el Modelo de control de Accesos basado envistas (VACM), provee servicios que comprueban los permisos para realizar una determinada operación en una vista especifica Aplicaciones SNMP Las aplicaciones SNMP son subsistemas que usan los servicios de un motor SNMP para llevar a cabo operaciones especificas relacionadas al procesamiento de información de gestión.

47 Generador de Comandos Monitoriza y maneja los datos de administración de los dispositivos gestionados. Específicamente genera las PDUs: GetRequest, GetNextRequest, GetBulkRequest y SetRequest, además recibe y procesa las respuestas GetResponse a los pedidos que ha generado. Esta aplicación se implementa en la entidad que actúa como NMS Contestador de comandos Recibe las PDUs GetRequest, GetNexteRequest, GetBulkreuqest y SetRequest, realiza las acciones solicitadas y utilizando el control de acceso, genera mensajes GetResponse para responder la solicitud de una NMS. Esta aplicación es implementada en una estación que actúa como agente Receptor de Notificaciones Es el encargado de monitorizar la llegada de notificaciones y de tratarlas una vez recibidas y en el caso de un informrequest genera un Getresponse Generador de notificaciones El encargado de monitorizar constantemente el sistema y de generar las notificaciones, en caso de detectar un evento particular, que haya cambiado la forma de operar del dispositivo monitoreado, Para el cual haya sido programado con anterioridad por parte del encargado de gestionar la red Reenviador Proxy Reenvía mensajes entre entidades SNMP, La implementación de esta aplicación es opcional. Una entidad no tiene por qué implementar todos los módulos anteriores ya que esto depende de las funcionalidades que se desea que tenga dispositivo Gestor SNMP La Figura II.6 muestra el diagrama de bloques de un gestor SNMP tradicional.

48 APLICACIÓNES SNMP ORIGINADOR COMANDOS DE RECEPTOR NOTIFICACIONES DE GENERADOR COMANDOS DE MOTOR SNMP DISPATCHER SUBS. DE PROC. DE MENSAJES SUBSISTEMA SEGURIDAD DE PDU DISPATCHER V1MP USM (user- DISPATCHER DE V2MP OTRO MODELO DE ) V3MP SEGURIDAD MAPEO DE OTRO MP UDP IPX OTRO RED Figura II. 6 Gestor SNMP Tradicional Una entidad SNMP que contenga una o más aplicaciones: generadoras de comandos, receptoras de notificaciones y originadoras de notificaciones (junto con un motor snmp) se llama Gestor SNMP. Todas estas aplicaciones utilizan servicios proporcionados por el motor SNMP. Recibe los mensajes SNMP desde la capa de transporte (UDP), realiza el procedimiento de autenticación y descifrado, y luego extrae las PDUs para posteriormente ser entregadas a las aplicaciones pertinentes.

49 Agente SNMP RED UDO IPX OTRO MOTOR SNMP DISPATCHER SUBS. DE PROC. DE MENSAJES SUBSISTEMA SEGURIDAD DE SUBSISTEMA DE CONTROL DE ACCESO MAPEO TRANSPORTE DISPATCHER MENSAJES PDU DISPATCHER DE DE V1MP V2MP V3MP OTRO MP USM OTRO MODELO DE SEGURIDAD VACM OTRO MODELO DE CONTROL DE ACCESO APLICACIÓNES SNMP REENVÍADOR PROXY GENERADOR NOTIFICACIONES DE CONTESTADOR COMANDOS Figura II. 7 Agente Tradicional Una entidad SNMP que contenga una o más aplicaciones contestadoras de comandos, originadoras de notificaciones y opcionalmente reenviadores proxy (junto con un motor SNMP) se llama agente SNMP. El motor SNMP de un agente SNMP contiene los subsistemas del motor de un Gestor SNMP más un subsistema de control de acceso.

50 Formato mensaje SNMPv3 El formato del mensaje SNMPv3 es totalmente diferente al de sus versiones anteriores. En virtud que se introducen parámetros de autenticación y encriptación. Los campos sombreados con violeta son generados y procesados por el subsistema de procesamiento de mensajes. MsgVersion AUTENTICACIÓN msgid MsgMaxSize MsgFlags MsgSecurityModel msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime MsgUserName msgauthenticationparameters MsgPrivacyParameters ContextEngineID GENERADO POR MODELO DE PROCESAMIENTO DE MENSAJE GENERADO POR EL MODELO DE SEGURIDAD USM ENCRIPTACIÓN ContextName PDU DATOS SCOPED Figura II. 8 Formato mensaje SNMPv3 El mensaje incluye los siguientes campos: msgversion: Identifica la versión de snmp utilizada, esta seteado a 3 (SNMPv3)

51 msgid:identificador que permite relacionar los mensajes es decir permite asociar los mensajes de solicitud con los de respuesta. msgmaxsize: Este campo expresa en octetos al máximo tamaño del mensaje que puede recibir la entidad SNMP que emitio el mensaje actual. Su rango va desde 484 a msgflags: Es un octeto que contiene tres banderas en los bits menos significativos. Las banderas son reportableflag, privflag y authflag.la bandera reportableflag sirve para determinar cuándo enviar un 1 o un 0 a una Pdu report a la entidad emisora del mensaje. Esta bandera debe estar seteada en 1 en las PDUs get, Set e inform y debe estar seteada a cero en las PDUs response Trap y report. Las banderas privflag y authflag sirven para indicar el nivel de seguridad aplicado al mensaje msgsecuritymodel: sirve para indicar qué tipo de modelo de seguridad fue usado por el remitente del mensaje y por lo tanto que modelo de seguridad debe ser utilizado por el receptor del mensaje para procesarlo. Su rango va desde 0 a pero existen valores reservados: 0(cualquiera), 1(SNMPv1), 2(SNMPv2) y 3(USM). La siguiente sección tiene parámetros exclusivos para la operación USM. msgautoritativeengineid: Es un identificador que se asigna al motor de una entidad SNMP (agente o gestor) que responde a las peticiones o al que recibe las notificaciones, y es el que sirve como referencia para el denominado motor autorizado (AutoritativeEngine). msgauthoritativeengineboots: Indica el número de ocasiones que un motor SNMP se reinició desde su configuración original. msgautoritativeenginetime: Indica el tiempo en segundos desde que se inició por última vez.la tercera sección es la que contiene la PDU SNMP definidas.

52 ContextEngineID: En los mensajes entrantes, este campo indica a que aplicación se entregara la PDU. Es el identificador de una entidad SNMP asociado con un contexto ContextName: Nombre que se asigna a un contexto que tiene relación con la información de administración contenida en la PDU del mensaje. PDU: contiene los valores (OID e instancias) de una petición o respuesta SNMP SEGURIDAD EN SNMPv3 SNMPv3 mantiene una forma flexible y poderosa para incrementar la seguridad en los entornos gestión durante el tránsito de la misma a través de la red. Esta versión proporciona la posibilidad de configuración de nombres de usuario, derechos de acceso, y diferentes claves para limitar el acceso a los recursos de gestión. SNMPv3 logra reducir al máximo los riesgos de que la información de gestión sea fácilmente obtenida. Para lo cual hace uso de un modelo de seguridad basado en usuario y un control de acceso basado en vistas, los mismos que trabajando en conjunto aseguran el transito seguro de la información de gestión atreves de la red Control de Acceso basado en vistas (VACM) El modelo de control de acceso está basado en vistas está definido en el RFC 3415 Esta implementado sobre el subsistema de control de acceso de los agentes tradicionales permitiendo determinar quién está autorizado para acceder a la MIB, según las políticas de acceso de cada objeto de la MIB, definidas en la configuración del motor SNMP al que pertenece. El modelo de control de acceso utiliza los campos msgflags, msgsecuritymodel y scopedpdu del mensaje SNMPv3 para determinar qué tipo de acceso tiene el mensaje. Si el acceso no es permitido a dicho tipo de solicitud, entonces se envía una notificación de error al principal.

53 VACM tiene dos características fundamentales: determina si un acceso a la MIB local está permitido Posee su propia MIB en la cual se definen las políticas de acceso y habilita la configuración remota. Se definen cinco elementos que constituyen la VACM: 1. Grupos: aúnan un conjunto de usuarios con los mismos derechos de acceso a los objetos de la MIB. Cada principal está representado por una dupla securitymodel, securityname. Todo grupo está identificado con groupname en un agente, un principal debe pertenecer a un solo grupo. 2. Nivel de seguridad: definen las diferentes comprobaciones de autenticación y privacidad que deben considerarse antes de permitir el acceso: Es posible configurar diferentes formas de acceso para cada usuario. El nivel de seguridad es importante en la definición de derechos de acceso, de tal manera que si el nivel de seguridad es noaunopriv, entonces los derechos de acceso pueden solo ser de lectura. Si el nivel de seguridad es authpriv o authnopriv, entonces los derechos de acceso pueden ser solo de escritura. 3. Contextos:Es un subconjunto de instancias de objeto en la MIB local, bajo el nombre contextname, accesibles por una entidad SNMP. Permite agrupar objetos con distintas políticas de acceso. Un objeto puede pertenecer a más de un contexto. 4. vistasmib:define conjuntos específicos de objetos administrados, los cuales se pueden agrupar en jerarquías de árboles y familias de manera que se pueda restringir su acceso a determinados grupos 5. Políticas de Acceso: son las normas de acceso que se asignan a un contexto SNMP.

54 La determinación de un derecho de acceso está dada por los siguientes factores. El gestor SNMP (principal) que está realizando el pedido de acceso. El nivel de seguridad del mensaje de pedido El contextomib referenciado en el mensaje de pedido. El modelo de seguridad usado para el procesamiento de mensaje pedido. El tipo de acceso solicitado (lectura, escritura o notificación). Figura II. 9 Diagrama de flujo para VACM

55 Modelo de Seguridad Basado en Usuario USM está implementado sobre el subsistema de seguridad para proporcionar los servicios de autenticación y privacidad en una entidad SNMPv3. Utiliza un mecanismo típico de usuario y contraseña asociada a este y funciona de la mano con el grupo VACM con una serie de vistas configuradas que establecen privilegios de acceso. Específicamente la RFC-2574 establece que este modelo protege contra lo siguiente: Modificación de la información Suplantación de la entidad Modificación del flujo de mensajes Descubrimiento de la información El subsistema está formado por los siguientes 3 módulos internos 1. Módulo de autenticación: es el encargado de garantizar la integridad y el origen de los datos recibidos. 2. Módulo de guía temporal: es el encargado de ofrecer protección frente a retardos o repeticiones de mensajes fuera de la normalidad: en concreto, descarta los paquetes que están fuera de una cierta ventana de tiempo. 3. Módulo de privacidad: es el encargado de proporcionar la confidencialidad de los datos Elementos de un motor SNMP necesarios para USM Todo motor SNMP contiene tres elementos fundamentales que permiten la implementación de un modelo USM. 1. snmpengineid: Identifica de forma única a un motor SNMP dentro de un dominio de gestión.

56 snmpengineboots: Es un contador que lleva la suma del número de veces que el motor snmp ha sido reiniciado desde que se definió su snmengineid. 3. snmpenginetime: es el número, segundos que han pasado desde la última vez que el motor fue reiniciado. Estos parámetros permiten la definición del motor autoritativo, que es un elemento indispensable para la implementación de seguridad en un sistema de gestión bajo el dominio de snmpv Motor SNMP autoritativo En toda transmisión que se ha uso de USM debe existir un motor SNMP autoritativo es el encargado de gestionar la seguridad. La asignación de un motor autoritativo permitirá realizar dos tareas fundamentales. 1. Creación de la guía temporal: cuando un motor autoritativo envía un mensaje añade una serie de marcadores de tiempo temporales que deben ser analizados por el motor de la entidad receptora con el fin de determinar si el mensaje está dentro de la ventana temporal correcta y por tanto debe ser aceptado. 2. Creación de claves localizadas: son las claves que comparten un usuario con un motor SNMP determinado. A pesar de que un usuario puede utilizar la misma clave para todos los motores con los que se comunica, la clave real utilizada es diferente y se denomina clave localizada. Esta se forma aplicando una función de hash a la clave original y envolviendo el parámetro snmpengineid del motor correspondiente con el resultado, para luego volver aplicar la función de hash de nuevo. Al final, cada usuario posee una clave localizada, diferente de cualquier otra, para comunicarse con cada motor SNMP. El motor autoritativo queda definido según las siguientes reglas

57 Si el mensaje que se envía espera una respuesta del destinatario, el motor autoritativo es el receptor. 2. Por el contrario, si el mensaje que se envía no espera una respuesta del destinatario, el motor autoritativo es el emisor Funciones 1. Descubrimiento de motores SNMP USM requiere de un proceso de descubrimiento mediante el cual, un motor SNMP no autoritativo obtiene suficiente información sobre el motor autoritativo con el que quiere comunicarse. Para ello, el motor no autoritativo envía un mensaje request al motor autoritativo, el cual contesta con un report en el que envía su parámetro snmengineid. Si la comunicación debe ser autenticada, es necesario establecer una sincronización entre ambos motores. Para ello, el motor autoritativo añade en su respuesta los valores de los parámetros snmpengineboots y snmpenginetime. Gracias a ellos, el motor no autoritativo puede crear y mantener una ventana temporal que le permitirá validad los mensajes que reciba el motor autoritativo. 2. Autenticación e Integridad Provee integridad de los datos y autenticación de origen de los datos. La integridad de los datos se refiere a que estos estén libres de alteraciones o modificaciones inapropiadas. La autenticación se refiere a la confirmación de la identidad de la entidad SNMP de la cual recibió el mensaje (origen del mensaje). La autenticación se logra mediante una función criptográfica que requiere de una clave de autenticación (authkey) que es generada a partir de una contraseña de la menos 8 caracteres

58 proporcionadas por el usuario, a la vez se brinda autenticación a las entidades involucradas en el proceso de gestión a través de un nombre de usuario(securityname). El motor SNMP almacena para cada usuario (local o remoto) una authkey. Un usuario local es un principal (asociado a un motor SNMP local) que tiene permisos para realizar operaciones de administración de red. Mientras que, un usuario remoto es un principal (asociado a un motor SNMP remoto) con quien está permitido entablar intercambio de información.el alcance de la autenticación es de todo el mensaje SNMP. Las funciones de autenticación soportadas son HMAC-MD5-96 y HMAC-SHA-96 Protocolo HMAC-MD5-96 Este protocolo utiliza el código de autenticación HMAC y la función hash MD5 HMAC (Hash-based Message Authentication Code- código de autenticación de mensajes basado en Hash) es un mecanismo para autenticar mensajes. Que se basa en el uso de una llave secreta y el uso de funciones Hash. La llave secreta sirve para el cálculo y verificación de los valores de autenticación de los mensajes. HMAC es usado entre dos entidades SNMP que comparten una llave secreta con el fin de validar la información intercambiada entre ellas. La función hash MD5 (Algoritmo de resumen de mensaje) sirve para convertir un dato de longitud cualquiera a un dato de longitud pequeña fija de 128 bits (16 octetos). En resumen el protocolo HMAC-MD5-96 trabaja de la siguiente manera: El mensaje entrante SNMP ingresa al algoritmo HMAC. HMAC utiliza la llave secreta authkey y la función hash MD5 para a partir del mensaje generar un resumen de longitud de 16 octetos que posteriormente se trunca a 12 octetos (96 bits).

59 Este valor de 12 octetos es un código de autenticación que se inserta en el campo msgauthenticationparameters del mensaje SNMPv3. Protocolo HMAC-SHA-96 Este protocolo también utiliza el código de autenticación HMAC y la función hash SHA-1.La función Hash SHA-1(algoritmo de hash seguro) produce un resumen de mensaje de longitud 160 bits (20 bytes). MD5 y SHA-1 tienen notables diferencias. MD5 realiza una ejecución más rápida que el algoritmo que SHA-1; sin embargo, a pesar de que SHA-1 es más lento, genera un resumen de mensaje de mayor longitud lo cual hace que el algoritmo se más robusto contra ataques de fuerza bruta. En ambos casos, los dos algoritmos son irreversibles; es decir no se puede obtener el mensaje original a partir del resumen y su llave secreta. El protocolo HMAC-SHA-96 trabaja de manera similar que el protocolo anterior, con la diferencia que genera un resumen de mensaje de 20 octetos que luego se trunca a 12 octetos. 3. Privacidad La privacidad es la habilidad de mantener en secreto una información y solo revelarla de forma selectiva. La privacidad en el entorno SNMP evita que terceros puedan acceder a información confidencial que se transmiten entre los agentes y los gestores. Esto se logra mediante un algoritmo de cifrado que requiere de una clave privada (privkey): el motor SNMP almacena para cada usuario (local o remoto) una privkey. La porción del mensaje SNMP que requiere encriptación es la scopedpdu. Las funciones de encriptación soportadas son DES y AES Protocolo DES DES (Cifrado estándar de datos) es un algoritmo de encriptación simétrico; utiliza la misma llave para encriptar y descencriptar. DES tiene varios modo de operación, entre ellos

60 CBC(encadenamiento de Bloques de cifrado) es escogido por USM para ser usado. Este algoritmo requiere de una llave secreta de 16 bytes (128 bits). El modo CBC requiere de unos 8 bytes (64 bits) iniciales denominado vector de inicialización para comenzar a ejecutar el algoritmo de cifrado. El mecanismo que emplea USM para la creación de la llave secreta y el vector de inicialización están basados en dos valores ya obtenidos: un valor secreto (privkey) y un valor timeliness (snmpengineboots). El valor secreto se comparte entre un usuario principal y un motor autorizado. Los primeros 8 octetos de privkey se utilizan como llave secreta para DES. DES verdaderamente requiere de 56 bits, el bit menos significativo de cada octeto es ignorado. El vector de inicialización, denominado como IV (vector de inicialización) se genera de la siguiente manera: De la privkey se toman los últimos 8 bytes para usarlos como un pre-iv. Para asegurar que se utilicen dos IV distintos para diferentes entradas de texto cifrados bajo la misma clave, se crean un octeto salt value.salt Value se crea a partir de la concatenación de SnmpEngineBoots y un valor entero de 64 bits dado por el protocolo de encriptación. Se realiza una operación XOR bit a bit entre el pre-iv y el octeto salt value, el resultado es el vector de inicialización. El octeto salt value es insertado en el campo msgprivacyparameters del mensaje SNMPv3 con el fin de que la entidad receptora pueda generar el vector de inicialización adecuada y pueda descifrar el mensaje. Protocolo AES AES (Cifrado estándar avanzado) es un algoritmo de encriptación simétrico diseñado con características de: resistencia mejorada contra ataques, fácil implementación, eficiencia y diseño

61 escalable en la RFC 3826 se define el funcionamiento de AES en USM. el modo de funcionamiento selecciónado es CFM(Modo de cifrado Retroalimentado). Este algoritmo soporta longitudes de llave de 128, 192 y 256 bits, pero la de 128 bits es la escogida por la USM. De la misma forma que DES, se emplea un mecanismo similar para generar la llave secreta y el vector de inicialización. Para generar la llave secreta se toman los primeros 18 bits de privkey. Mientras que, para generar el vector de inicialización de 128 bits se realiza una concatenación de snmpengineboots, snmpenginetime pertenecientes al motor autorizado y de un entorno local de 64 bits. El entero local es inicializado a un valor aleatorio al reiniciarse el motor SNMP. Este entero local es insertado en el campo msgprivacyparameters del mensaje SNMP con el fin de que la entidad receptora pueda generar el vector de inicialización y pueda descencriptar el mensaje. 4. Puntualidad Timeliness Brinda protección contra la recepción de mensajes que lleguen tarde y contra el reenvió y redirecciónamiento no autorizados de mensajes. Para emplear el módulo Timeliness es indispensable haber aplicado antes un servicio de autenticación al mensaje. Los mecanismos de puntualidad son: administración de relojes autorizados, sincronización y verificación de puntualidad. Administración de relojes autorizados Los motores SNMP autorizados deben administrar los objetos snmpengineboots y snmpenginetime los cuales indican su tiempo local. La gestión de relojes consiste en lo siguiente: snmpenginetime alcanza su máximo valor, se produce un incremento en el valor de snmpengineboots y comienza nuevamente desde cero.

62 Si un motor autorizado no logra identificar su ultimo valor del snmpengineboots, lo setea al valor umbral de Si el snmpengineboots alcanza su máximo valor, este se bloquea y se produce un error de autenticación. Por lo tanto, se requiere una reconfiguración manual del sistema que consiste en cambiar el snmengineid o las claves de los protocolos de autenticación y privacidad de todos los usuarios conocidos por este motor. 5. Sincronización Para que un motor no autorizado pueda sincronizarse con los motores autorizados, almacena copias de las siguientes variables que pertenecen a cada motor autorizado: snmpengineboots, snmpenginetime y latestrecivedenginetime. La variable latestreceivedenginetime representa el valor más alto de msgauthoritativeenginetime del motor autorizado. Para que un motor no autorizado reciba por primera vez las variables de sincronización se sigue un mecanismo de descubrimiento de motores autorizados. Luego por cada mensaje SNMP recibido, el motor no autorizado lee los valores y actualiza las variables. Para proceder a realizar la actualización de las variables, previamente se realiza comparaciones entre variables guardadas localmente (snmpengineboots, snmpenginetime, y latestreceivedenginetime) contra las variables recibidas en los mensajes SNMP (msgauthoritativeengineboots, msgauthoritativeenginetime, y msgauthoritativeenginetime), respectivamente. Si el valor de la variable recibida es mayor o igual al almacenado, entonces se realiza la actualización; caso contrario no 6. Verificación de puntualidad Para chequear la puntualidad de un mensaje se utiliza el concepto de ventana de tiempo.

63 Una ventana es un intervalo de tiempo en el cual si un mensaje llega dentro de dicho intervalo, el mensaje es considerado autentico. Si el receptor del mensaje es un motor autorizado, se considera que el mensaje llegó fuera de la ventana de tiempo si se cumple alguna de las siguientes condiciones: El snmpengineboots está trabado en su máximo valor es decir El msgauthoritativeengineboots y snmpengineboots no tiene los mismos valores. El valor del campo msgauthoritativeenginetime difiere de snmpenginetime por más de 150 segundos. Si el receptor del mensaje es un motor no autorizado, considera que el mensaje llego fuera de la ventana de tiempo si se cumple alguna de las siguientes condiciones: El snmpengineboots está trabado un valor menor al snmpengineboots. El msgauthoritativeengineboots tienen un valor menor al snmpengineboots. El valor de msgauthoritative EngineTime difiere de snmpenginetime por más de 150 segundos. Si el mensaje es considerado fuera de ventana de tiempo, se lo denota como no autentico y se devuelve un error (notlntimewindow) al subsistema solicitante. 7. Gestión de claves La gestión de claves define procedimientos para la generación, localización y actualización de las mismas. El principal es el encargado de la gestión de estas. Cada principal debe mantener una clave única para cifrado y autenticación. 8. Generación de claves La generación de claves se realiza mediante el algoritmo Password-Key.

64 Este algoritmo requiere de uno o dos passwords, dados desde el sistema de gestión, para crear dos claves de 16 o 20 octetos. Esto depende si se desea utilizar el mismo password para generar las claves de autenticación y encriptación, o utilizar un password diferente para cada clave. El procedimiento es el siguiente: Se forma una Cadena de texto de longitud 220 repitiendo el password. Esta cadena de texto se denomina digest0, Para crear una llave de 16 octetos se aplica la función MD5 al digest 0 y se obtiene la clave de usuario (también se denomina digest1). 9. Localización de claves La localización de claves es el proceso de generación de varias claves diferentes a partir de la clave de usuario previamente obtenida digest1. Cada clave producida se denomina clave localizada. La clave localizada es la que en realidad se comparte entre un principal en un motor no autorizado y un motor autorizado (agente). La clave localizada puede ser authkey (para el caso de autenticación) o privkey (para el caso de privacidad). El procedimiento de localización de claves es el siguiente: Se forma una cadena de texto con digest1, el snmpengineid del motor autorizado y nuevamente digest1. Se aplica las funciones MD5 o SHA-1 sobre digest2. El resultado es la clave localizada 10. Actualización de claves La finalidad de la actualización de claves es mantener la seguridad y confiabilidad del sistema. El cambio de claves se realiza desde un sistema de gestión.

65 65 TABLA II. XIV MEJORAS DE SNMPV3 FRENTE A SUS VERSIONES ANTERIORES ASPECTOS SNMPV1 SNMPV2 SNMPV3 Opera de forma atómica, todo o OPERACIÓN nada Su forma de operación ya no es atómica, a excepción Opera de forma modular de setrequest, Trivial, basado en comunidades, el AUTENTICACIÒN nombre de la comunidad transita por la red en texto plano Hereda la forma de autenticarse de SNMPv1. Incorpora mecanismos de autenticación que validan el mensaje SNMP, a través de claves de autenticación (authkey) soporta protocolos HMAC-MD5-96 yhmac-sha-96 No ofrece ningún tipo de privacidad PRIVACIDAD la información de gestión, viaja en Igual que SNMPv2 Introduce mecanismos de encriptación, usa el protocolo DES y AES para dar privacidad a los texto plano por la red mensajes CONTROL DE ACCESO si atreves de perfiles de acceso si atreves del establecimiento de comunidades Restringe el acceso a los objetos gestionados, mediante la definición de vistas de la MIB que restringen la visión completa de la misma OFRECE PROTECCION FRENTE LAS SIGUIENTES AMENAZAS SUPLANTACIÒN DE IDENTIDAD No proporciona No proporciona Utiliza la autenticación para validar los mensajes SNMP No proporciona, de forma que cualquier entidad DENEGACIÓN DE SERVICIO No proporciona No proporciona puede causar una denegación de servicios a través de herramientas que generan tráfico que hacen que se desborden los dispositivos

66 66 intermedios o finales. ANÁLISIS DE TRÁFICO No proporciona No proporciona No proporciona, a causa de que los desarrolladores de la versión consideraron que en dicho momento no era necesario MODIFICACIÒN DEL FLUJO DE No proporciona No proporciona MENSAJES Hace uso de marcas de tiempo para asegurarse que los mensajes vienen de entidades autorizadas, haciendo que se cumpla la ventana temporal MODIFICACIÒN DE LA No proporciona No proporciona INFORMACIÓN Pone en marcha algoritmos de encriptación simétrico GESTIÓN DE RED CENTRALIZADA Permite Permite Permite Introduce PDU informrequest No permite, no facilita la GESTIÓN DE RED DISTRIBUIDA comunicación entre gestores que permite el intercambio de información de gestión entre gestores, dando paso a la Gestión de red distribuida y Hereda las mismas operaciones de SNMPv2 por lo tanto permite una gestión distribuida, permitiendo a si la existencia de dos o más estaciones que hagan de máquinas gestoras, principalmente permitiendo la descongestión de equipos. dependiendo de la complejidad de la red No permite, por la misma razón que GESTIÓN DE RED JERARQUICA no se admite la gestión de red jerárquica Como permite la administración de red distribuida también admite la gestión jerárquica. Hereda las mismas operaciones de SNMPv2 por lo tanto permite una gestión jerárquica Realizado por: Ruth Crespata Tesista

67 CAPÍTULO III EVALUACIÓN HERRAMIENTAS DE MONITOREO CACTI, ZABBIX, Y NAGIOS 3.1 INTRODUCCIÓN Debido a la gran importancia que hoy en día tiene las redes de datos para los entornos empresariales en cuanto a productividad, es indispensable contar con plataformas de red conectividad y comunicaciones que nos asegure una performance de la red alta y siempre esté disponible o la mayoría del tiempo. El crecimiento constante y la incorporación de nuevas herramientas tecnológicas de monitoreo al mercado de la industria de las Telecomunicaciones se van mejorando, así también se incrementan o se mejoran las herramientas que hacen daño o permiten vulnerar las redes. Por esta razón hay que realizar un análisis comparativo orientado aprevenir, plantear soluciones ante eventos inusuales que ocurren en la INTRANET, y al elegir la herramienta que más convenga de este modo asegurar la estabilidad, operatividad y rendimiento de la red.

68 Para brindar el mejor servicio de monitoreo y gestión de la red se propone un análisis comparativo de los parámetros y características más relevantes de las herramientas, con la finalidad de seleccionar la mejor. 3.2 Elección de herramientas Existe un sin número de herramientas para resolver el problema de administración de red. Las hay tanto comerciales, como herramientas basadas en software libre. La elección depende de factores tanto humanos, economicos y de infraestructura. a. El perfil de los administradores, sus conocimientos en determinados sistemas operativos. b. Recursos económicos disponibles c. El instrumental de red con el que se cuenta Análisis de la selección de software a utilizar El proceso de análisis y búsqueda del software que va hacer utilizado en el sistema de administración, va a consistir en una serie de pasos netamente diferenciados y organizados, el proceso de selección del software va hacer divido en tres fases mismas que son: Fase 1: Identificación de requerimientos Las tareas a cumplir en esta fase serán: Identificar los requerimientos de monitoreo de la red, en esta tarea se identificara requerimientos funcionales y no funcionales que generaran una lista de requerimientos. Otros requerimientos identificados Fase 2: Buscar sistemas que se ajusten a los requerimientos. Las tareas a cumplir en esta fase son: Identificación rápida de software preexistente; consiste en realizar la búsqueda genérica de soluciones de software que existen en el mercado.

69 Se enlistara los sistemas a evaluar Fase 3: Selección de la aplicación que más se adecue al proyecto (prototipo) Las tareas a cumplir en esta fase serán: Valoración de alternativas: a partir de la lista de sistemas se procede a valorar los mismos de acuerdo a criterios establecidos de antemano, haciendo uso de tablas comparativas. Elección del sistema hacer utilizado en el monitoreo de red, el mismo que debe destacarse por encima del resto Identificación de los parámetros a analizar o evaluar en cada una de las aplicaciones Parámetros a evaluar: Software libre Dar soporte SNMP v1,v2, v3 Número de dispositivos a monitorear Que el servidor se ha instalado en Linux Permita monitorear hardware y software: aplicaciones tales como (servidores, procesos, VPN, proxies,etc.) Debe generar alertas cuando se generen situaciones que así lo ameritan Que permita realizar el monitoreo sin agente propio Debe detectar interfaces caídas. Debe enviar mensajes SMS, informando cuando falle algún sistema o aplicación que se considere esencial. Debe generar alertas cuando se sobrepasen umbrales definidos. Debe monitorear corta fuegos, proxies, routers, switches Controlar el acceso de los usuarios a ciertas áreas de la aplicación

70 Descripción de las herramientas de gestión a hacer analizadas ZABBIX Software que vigila numerosos parámetros de una red y la salud e integridad de los servidores. ZABBIX utiliza mecanismos de notificación que permite a los usuarios configurar alertas para cualquier tipo de evento inusual que se lleve a cabo en algún dispositivo. ZABBIX ofrece una excelente presentación de informes y características de visualización de datos basado en los datos almacenados. ZABBIX controla todos los informes y estadísticas, así como los parámetros de configuración y se accede a través de un interfaz basado en una web final. Al estar basado en la web asegura que el estado de su red y la salud de los servidores pueden ser evaluados desde cualquier ubicación. Correctamente configurado, ZABBIX puede desempeñar un papel importante en la supervisión de la infraestructura. Esto es igualmente cierto en el caso de pequeñas organizaciones con pocos servidores y para las grandes empresas con una multitud de los servidores. ZABBIX es libre de costo, está escrito y distribuido bajo la licencia GPL General Public License versión 2. Esto significa que su código fuente es distribuido libremente y se encuentra disponible para el público en general Perfomance de vigilancia Uno de los usos más importantes de ZABBIX es la supervisión de la ejecución. El procesador carga el número de procesos que se están ejecutando, el número de procesos totales, la actividad en el disco, el estado de espacio de intercambio, la disponibilidad y la memoria. Estas son algunas de los numerosos parámetros del sistema que ZABBIX es capaz de controlar. ZABBIX proporciona un administrador del sistema con información oportuna sobre rendimiento

71 de un servidor. Además, ZABBIX tiene la tendencia de producir gráficos para ayudar a identificar los cuellos de botella en el rendimiento del sistema Características de monitorización de ZABBIX Monitorización distribuida Configuración centralizada. Acceso centralizado a toda la información Hasta 1000 nodos Zabbix Número ilimitado de proxies Escalabilidad Probado con dispositivos y servidores monitorizados Probado con chequeos de rendimiento y disponibilidad Capacidad de procesar por segundo miles de chequeo de rendimiento y disponibilidad Monitorización en tiempo Real Monitorización de rendimiento Monitorización de disponibilidad Monitorización de integridad. Condiciones de notificaciones flexibles. Condiciones de notificación flexibles. Alertas a usuarios ( , SMS, Jabber) Registro de log Auto detección Detección por rangos IP, servicios y SNMP Monitorización automática de dispositivos autodetectados. 4

72 Flexibilidad Soporte IPv4/IPv6 Agentes nativos Disponible en cualquier plataforma Monitorización proactiva Ejecución automática de comandos remotos Monitorización sin agente Monitorización de servicios remotos(ftp, SSH, HTTP, otros) Soporte para SNMP v1, 2, 3 Traps SNMP Seguridad 5 Permisos flexibles por usuario Autenticación por IP Protección contra ataques de fuerza bruta Escalados y notificaciones Notificaciones repetidas Niveles de escalado Mensajes de recuperación Notificación cuando un problema está resuelto Funciones de administración Ping, traceroute a un host Cualquier otra función Fácil administración 5

73 Curva de aprendizaje muy rápida Toda la información se almacena en una base de datos (Oracle, MySql, PostgreSQL, SQlite). Configuración y almacenado de información centralizada Ventajas Solución de Fuente Abierta. Altamente eficaz para los agentes UNIX y las plataformas basadas en WIN32. Baja curva de aprendizaje. Alto retorno de la inversión. Bajo coste de propiedad REQUISITOS DEL SISTEMA ZABBIX 6 TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIÓN DE ZABBIX NOMBRE PLATAFORMA CPU/MEMORIA B.DATOS Nº EQUIPOS Pequeña Ubuntu Linux P2 350mhz MySQL MyISAM Mb Mediana Ubuntu Linux AMD Athlon MySQLInnoDBo bit GB Grande Ubuntu Linux 64 bit Intel Dual Core 6400, 4GB MySQLInnoDBo O PostgreSQL >1000 Muy grande RedHat Enterprise RAID Intel Xeon 2 CPU 8 GB MySQLInnoDBo O PostgreSQL >10000 TABLA III. II PLATAFORMAS SOPORTADAS POR ZABBIX PLATAFORMAS ZABBIX Server ZABBIX Agente AIX Soporta Soporta FreeBSD Soporta Soporta 6

74 HP-UX Soporta Soporta Linux Soporta Soporta Mac OS X Soporta Soporta Open BSD Soporta Soporta SCO Open Server Soporta Soporta Solaris Soporta Soporta Tru64/OSF Soporta Soporta Windows NT 4.0, 2000, 2003, XP, Vista Desconocido Soporta NAGIOS Nagios es un sistema de monitorización que permite vigilar las características y propiedades de los equipos de red y alertar si alguna de ellas excede algún limite o está en trámites de hacerlo por ejemplo, si se llena el disco duro, o si hay más de n usuarios conectados, etc Características y funcionalidades Nagios marca el estándar en la industria de monitoreo a gran escala. Permite controlar la red informática y solucionar problemas antes que los usuarios los detecten. Nagios es un sistema estable, escalable, con soporte y extensible Monitoreo completo de la red Este sistema permite monitorear una importante cantidad de dispositivos y sistemas como por ejemplo: Sistemas Operativos Windows, Sistemas Operativos Linux/Unix, Routers, Switches, Firewalls, Impresoras, Servicios y Aplicaciones Características de monitorización NAGIOS Se destacan las siguientes características de funcionamiento: Enviar de forma inmediata notificaciones de problemas vía , pager o teléfonos celulares.

75 Monitorizar servicios como HTTP, SMTP, SNMP, ICMP,etc Monitorización de recursos hardware y software Monitoreo de recursos de sistemas servidores de red Carga del procesador. Consumo de recursos de disco. Monitoreo de Base de datsos MySQL, Postgres, Oracle, etc. Monitoreo de equipos de red activos (switch, rourter, Hbs, CPE, etc.) Monitoreo de equipos compatibles con IP (cámaras, impresoras, sensores de proximidad, temperatura, etc.). Integración y compatibilidad con otras herramientas de monitoreo para trabajar al servicio de Nagios. Capacidad de notificar a múltiples usuarios. Uso de su interface web que permite ver información detallada de los estados de los distintos componentes, reconocer problemas de forma rápida. Permite reiniciar automáticamente aplicaciones que hayan fallado, servicios y equipos. Permite agendar las actualizaciones de hosts, servicios y componentes de la red. Permite planificar las capacidades de los componentes a través del monitoreo. Permite generar reportes de disponibilidad SLA (Service Level Agreements), y reportes históricos de alertas y notificaciones. Además permite ver las tendencias de los informes a través de la integración con Cacti y RRD. Varios usuarios pueden acceder a la interface web, pero cada uno con acceso a ciertas áreas de la aplicación Arquitectura fácilmente extensible Nagios cuenta con una muy importante cantidad de addons desarrollados por la comunidad

76 Que permiten extender las funcionalidades del sistema Estable confiable y con una plataforma respetada Nagios es un sistema que cuenta con más de 10 años en desarrollo, es un sistema que permite escalar hasta monitorear más de 100,000 nodos, cuenta con gran reconocimiento, ganador de múltiples premios. Actualmente cuenta con más de usuarios alrededor del mundo. Tiene una lista de correos activa y una amplia comunidad a través del website Código personalizable Nagios es un software de código abierto, con acceso completo al código fuente, liberado bajo licencia GPL Estructura 7 El sistema cuenta con un núcleo que forma la lógica de control de negocio de la aplicación, este contiene el software necesario para realizar la monitorización de los servicios y de las máquinas de la red. El sistema hace uso de diversos componentes que ya vienen en el paquete de instalación con la aplicación, y puede hacer uso de otros componentes realizados por terceras personas. El autor sostiene que aunque permite la captura de paquetes SNMP para notificar sucesos, pero no es un sistema de monitorización y gestión basado en SNMP Muestra los resultados de la monitorización y del uso de los diversos componentes en una interfaz web a través de un conjunto de CGI s y de un conjunto de páginas HTML que vienen incorporadas, y que permiten al administrador una completa visión de lo que ocurre, en dónde ocurre y en algunos casos el por qué ocurre. 7 www. Proyecto SIGNA.com

77 Por último, si se compila para ello, Nagios guardará los históricos en una base de datos para que al detener y reanudar el servicio de monitorización, todos los datos sigan sin cambios. Nagios permite monitorizar sistemas Windows mediante la instalación de un agente en la máquina a monitorizar, aunque la parte servidor de Nagios debe residir en un servidor Unix/Linux Ventajas Robusto y confiable Altamente configurable, desarrollado en perl Modular Desarrollo y evolución constante Una comunidad amplia en constante desarrollo Compatible con cualquier sistema operativo basado en Unix REQUISITOS DEL SISTEMA NAGIOS 8 Como la mayoría de los sistemas de monitorización es una aplicación cliente- servidor, pero con una característica en particular, el sistema operativo donde va a residir la parte servidora debe ser obligatoriamente LINUX/UNIX, al igual que sus contemporáneos alimenta su base de datos a traes de sus propios agentes, así como también se sirve de los servicios de SNMP. TABLA III. III REQUISITOS PARA LA INSTALACIÓN DE NAGIOS RECURSOS MINIMO RECOMENDADO Espacio de disco 5 GB 10 GB RAM 512 MB 1GB Modelo CPU Pentium Pentium IV o equivalente 8

78 CACTI 9 Cacti es una completa solución de graficado para la monitorización de los recursos y equipos de la red, que permite monitorizar y visualizar gráficas y estadisticas de dispositivos conectados a la red, que tengan habilitados el protocolo SNMP y se tenga conocimiento de las MIBs con los distintos OIDs que podemos monitorizar y visualizar.utilizan el poder de almacenamiento y la funcionalidad de gráficar que poseen las RRDtool. Esta herramienta esta desarrollada en PHP 10, provee un pooler agil, plantillas de gráficos avanzados, multiples métodos para la recopilación de datos y manejo de usuarios. Tiene una interfaz fácil de usar, que resultan convenientes para instalaciones del tamaño de una LAN, asi como tambien para redes complejas con cientos de dispositivos. Cacti es un programa bajo licencia GNU GPL RRDtool Es el acrónimo de Round Robin Database tool, o sea que se trata de una herramienta que trabaja con una base de datos que maneja una planificación Round Robin. Esta técnica trabaja con una cantidad de datos y un puntero al elemento actual. El modo en que trabaja una base de datos utilizando Round robin es el siguiente, Trata a la base de datos como si fuera un circulo, sobreescribiendo los datos almacenados, una vez que alcanzada la capacidad de la base de datos. La capacidad de la Base de datos esta dada por la cantidad de información como historial se quiera conservar Tipos de datos en la RRDtool Cualquier tipo de datos siempre que se trate de una serie temporal de datos. Esto significa que se tiene que poder realizar medidas en algunos puntos de tiempo El Pre-procesador de Hipertexto (Hypertext Preprocessor) es un lenguaje de programación del lado del servidor (server-side), de código abierto (open source), usado comúnmente por scripts web y para procesar datos a través de la Interfaz Común de Entrada (Common Gateway Interface).

79 y proveer esta información a la RRDtool para que la almacene. Un concepto ligado a las RRDtoll es el de SNMP este protocolo puede ser utilizado para realizar consultas a cerca de los contadores que ellos tiene (ejemplo una impresora, un router, puentes, etc.). el valor obtenedio de estos valores es el que queremos guardar en la RRDtool. Para poder usar una RRDtool lo que se necesita es un sensor para medir los datos y poder alimentar la base con dichos datos. Entonces la RRDtool crea una base de datos, almacena los datos en ella, recupera estos datos y basandose en ellos, Cacti crea gráficos en formato PNG Fuentes de datos 11 Para manejar la recopilacion de datos, se le puede pasar a Cacti la ruta a cualquier script o comando junto con cualquier dato que el usuario necesitare: cacti reunira estos datos, introduciendo este trabajo en el cronsistema operativo linux. Las fuentes de datos se actualizan vía SNMP o mediante la defincion de scripts, proporciona la posibilidad de incluir un componente opcional que permite implementar las rutinas SNMP en lenguaje C, es muy importante para cantidades considerables de dispositivos a monitorear Gráficos 12 Una vez que una o mas fuentes de datos son definidas, una gráfica de RRDtool puede ser creada usando los datos obtenidos. Cacti permite crear cualquier gráfica haciendo uso de todos los estandares de tipos de gráficas permitidos por las RRDtool. No solo sw puede crear gráficos basados en las RRDtool, si no que existe formas de mostrarlas, junto con una lista de vistas y una vista preliminar, tambien existe una vista en árbol, la cual permite colocar gráficos en un árbol jerarquico con fines organizativos.permite organizar la informazcion de administración en árboles de gestión, con fines de planificacion o expansion de la red Fundación código libre Dominicana área de proyectos e ingeniería 12

80 Plantillas Esta aplicación permite crear plantillas para reutilizar las definciones de gráficos, fuentes de datos y dispositivos Gestión de usuarios Dadas las muchas funciones que ofrece Cacti, la herramienta cuenta con la funcionalidad de manejo de usuarios embebida, para asi hacer posible agregar un usuario permitirles y restringirles el acceso a ciertas areas de Cacti, esto permite tener usuarios que puedan cambiar los parámetros de un gráfico, mientras habra usuarios que solo los podran visualizar las gráficas Caracteristicas de monitorizacion de CACTI Cacti permite monitorea las interfaces de los ruteadores, conmutadores, así como también el tráfico de los mismos, incluye tráfico de errores. Permite tener un control sobre la capacidad de los discos, carga de CPU(en equipos de red y servidores) Permite reaccionar ante alertas generadas por sus agentes. Permite medir el performance de la red, disponibilidad de la red manteniendo un historial considerable. Permite actualizar las fuentes de datos vía SNMP o mediante la definición de scripts. Soporte SNMP incluido php- snmp o net-snmp Permite definir autenticación local y distintos niveles de autorización para usuarios Sistema operativo multiplataforma ejemplo (Ubuntu) Ventajas Visualización de la información de gestión prácticamente en tiempo real. Monitoreo basado en sondeo y notificaciones

81 Utiliza ampliamente las funcionalidades de SNMP Impacto en la red mínimo Ampliar el radio de monitoreo, usando plantillas Monitoreo y gestión de red basada en SNMPv3 Amplia capacidad de graficar los datos colectados. Permite jerarquizar el acceso a los gráficos de monitoreo Limitaciones La configuración de dispositivos es bastante tediosa, debido a que la primera vez que se agrega dispositivos, se genera gráficos para cada dispositivo y ponerlos en el árbol de grafico requiere mucho tiempo. Si se produce un error de configuración, es muy complicado descubrirlo con facilidad. Poca información de la herramienta de gestión No es muy aceptado en la industria Requisitos de software para su funcionamiento Httpd (Apache) Php Net-snmp Php-snmp mysql rrdtool rrdtool-php 3.4 Análisis comparativo CACTI, ZABBIX y NAGIOS Luego de haber analizado cada una de las herramientas, conocer fortalezas, debilidades, caracteristicas, consumo de recursos, impacto que cada una tiene en la red, requerimiento de

82 hadware, software, entre otras caracteristicas y demas ventajas, como siguiente punto se realiza un análisis comparativo entre ellas. TABLA III. IV ANÁLISIS COMPARATIVO Requisitos/ factores CACTI ZABBIX NAGIOS Software libre SI SI SI soporte SNMP v1,v2, v3 SI SI SI, con plugins monitoreo de al menos 100 dispositivos SI SI SI Interfaz Web CONTROL TOTAL CONTROL TOTAL SOLO VISUALIZACIÓN monitorear sistemas multiplataforma SI SI SI Autodescubrimiento SI SI NO Monitorear servidores con sistemas operativos Windows, Linux y Unix. SI SI SI Alertas SI SI SI Detección de interfaces caídas. SI SI SI Envió de mensajes SMS cuando falle algún sistema o aplicación que se considere esencial. Generación de alertas cuando se sobrepasen umbrales definidos. SI NO SI SI SI SI Generación de informes, estadísticas. SI SI NO monitorear firewalls, proxies, routers,etc. SI SI SI Selección de la consola de Monitoreo El análisis comparativo realizado en La Tabla III.V da como resultado que CACTI y ZABBIX cumplen con los requerimientos de gestión estipulados con anterioridad, de acuerdo a lo que indica la Tabla 3.5 tanto CACTI como ZABBIX son herramientas muy buenas para la gestión de red, pero para la implementaciòn del prototipo solo se requiere una. Por lo que para romper

83 esta disyuntiva se realiza un análisis comparativo entre ambas herremientas, para lo cual se considera caracteristicas que no fueron consideradas en la Tabla III.V TABLA III. V ANÁLISIS COMPARATIVO ENTRE CACTI Y ZABBIX Requisitos/ factores CACTI ZABBIX Evolución constante y una amplia SI SI comunidad apoya al proyecto Configuración e instalación amigable SI NO Autodescubrimiento SI SI Clonado de equipos SI SI Agentes Proxy SI SI Capacidades de graficación SI SI Capacidad de rendimiento SI SI Impacto en la red SI SI Estable SI NO Jerarquización de la información SI SI De acuerdo a la Tabla III.V CACTI es una herramienta de monitoreo con excelentes prestaciones a diferencia de ZABBIX. por lo tanto se selecciona CACTI como la NMS del prototipo, que trabajara junto a SNMPv3 para dar paso a entornos de gestiòn segura.

84 CAPÍTULO IV MARCO METODOLÓGICO E HIPOTETICO 4.1 Tipo de Investigación Por la naturaleza de la investigación se considera que el tipo de estudio que se va ha realizar es una investigación experimental y deductiva. Experimental porque el estudio va mas alla del análisis de conceptos o fenomenos, del establecimiento de relaciones entre conceptos. Esta encaminada a solucionar la problemática de seguridad que enfrentan los sistemas de gestión basados en SNMPv1/SNMP/v2, la solución a la problemática estara dado por lel uso del protocolo SNMPv3. Deductivo, debido a que los equipos para la implementación seran escogidos de acuerdo a las necesidades de administración. Se utilizara para este proyecto los siguientes metodos de investigación Método Cientifico y de Observación: Ya que se tendra que estudiar y detectar los rasgos del protocolo propuesto para garantizar la seguridad en la información de gestión.

85 Método Inductivo: Permitira Observar el protocolo SNMPv1/v2 y SNMPv3 con el objeto de dirimir cual es la mejor versión de SNMP que garantice o permita mitigar la falta de seguridad en los entornos de gestión Metodo de Análisis: Ya que para llegar a una solución de la problemtica planteada, se tendra qe desglosar todos los problemas de seguridad que enfrentan los entornos de gestión SNMP y asi poder asociar una relación de causa y efecto para su comprensión. Métodos Empirico, Comparativo y Estadistico: Se utlilizar para complementar los procesos que intervienen en el proceso investigativo Se ha realizado las siguientes consideraciones para esta investigación. La investigación esta planteadad en base a la inseguridad de la información de gestión en los entornos SNMP Se delimitan los objetivos en base a brindar una mayor seguridad a la información de gestión durante su paso por la red. Se justifica el porque de realizar la presente investigación Se elabora un marco teorico con una visión general del trabajo y por consiguiente con un espectro mas amplio Se plantea una hipotesis que solucionara la problemática planteada, la misma que posee una estrecha relación entre el problema y el objetivo Se propone la operacionalización de las variables en concordancia a la hipótesis Definición de escalas de medición, delimita población y muestra que sera contrastada con la propuesta de investigación. Se realiza la recolección de datos de los indices e indicadores respectivos mediante la observación directa. Se realiza la prueba de la hipotesis con los resultados obtenidos

86 Elaboración de concluisones y reomendaciones producto de la ivestigación realizada. 4.2 SISTEMA DE HIPÓTESIS El análisis del protocolo SNMPv3 podrá ser aplicado al diseño de un prototipo de monitoreo de red segura, en un ambiente OpenSource que permitirá alcanzar niveles apropiados de seguridad en la administración y gestión de redes. 4.3 OPERACIONALIZACIÓN DE LAS VARIABLES De acuerdo a la hipótesis planteada se han identificado dos variables. Variable independiente Análisis del protocolo SNMPv3 para el desarrollo de un prototipo de monitoreo de red segura Variable Dependiente Proponer una solución para mejorar la Seguridad en los entornos de gestión SNMP En las siguientes tablas se presentan la operacionalización conceptual y metodológica de las variables, las mismas que estan identificadas en concordancia con la hipótesis: TABLA IV. I OPERACIONALIZACIÓN CONCEPTUAL DE VARIABLES Nº VARIABLE TIPO DEFINICIÓN V1 Análisis del protocolo SNMPv3 Independiente Estudio del protocolo SNMPv3, para el desarrollo de un prototipo caracteristicas, ventajas, de monitoreo de red segura convenciones, terminologias. V2 Proponer una solución para Dependiente Asegurar que el intercambio de mejorar la seguridad en los información de gestión entre agentes entornos de gestión SNMP y gestores, para que la colección de la información se óptima

87 TABLA IV. II OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE INDEPENDIENTE VARIABLE TIPO INDICADORES TECNICA FUENTE DE VERIFICACIÓN I1.Funcionamiento de Análisis V1.Análisis del SNMPv3 Recopilacion de la protocolo independiente I2.Mejoras de información SNMPv3 para el SNMPv3 Información desarrollo de un I3.Disposicion de bibliográfica(libros, prototipo de equipos que den internet, tesis, monitoreo de red soporte SNMPv3 manuales) segura I4. Procesamiento de Observación, la información de Investigación gestión TABLA IV. III OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE DEPENDIENTE VARIABLE TIPO INDICADORES Indices FUENTE DE VERIFICACIÓN 1. Seguridad de contraseñas I4. Autenticación 2. Tránsito de la Capturas de mensajes contraseña por Dependiente la red. 3. Protocolos de autenticación Proponer una solución para mejorar la inseguridad en los entornos de gestión SNMP I4. I5. Privacidad I6. Control de Acceso 4. Contraseñas encriptación/des cencripción 5. Confidencialida 6. Integridad 7. Revelación Selectiva 8. Creación de usuarios 9. Derechos de usuario 10. Niveles de acceso Analisis de los paquetes wiresahark Configuración Instalación de software Agente SNMPv3

88 Descripción de las variables con sus respectivos indicadores e indices V1. Variable Independiente: Análisis del protocolo SNMPv3 para el desarrollo de un prototipo de monitoreo de red segura Indicadores I1. Funcionamiento de SNMPv3 El funcionamiento de SNMPv3 se refiere si los equipos de interconexión y terminales dan soporte para el mencionado protocolo. I2. Seguridad SNMP Representa las consideraciones que conduciran a los administradores de red, a decidir utilizar como protocolo de gestión y administración la última versión de snmp. I3. Disposición de equipos que den soporte SNMPv3 Se refiere si existe en el mercad y si estos tendran el software necesario para poder configurar el agente I4. Overload de la información de gestión en la red Se refiere la cantidad de tráfico extra que genera el protocolo de gestión V2. Variable dependiente.seguridad en los entornos de gestión de un sistema SNMP I4 Metodos de autenticación Caracteristica que brinda el protoclo a posibles suplantaciones, donde se asegura que la información llegue sin ningun inconveniente desde el origen hacia su destino o Indice 1. Seguridad de contraseñas Este indice se refiere cuan segura es la contraseña utilizada para establecer una realación de confianza entre agentes y gestores. o Indice2.Tránsito de la contraseña por la red

89 En este punto se hace referencia si la contraseña viaja encriptada o en texto plano a traves de la red. o Indice3. Algoritmos de autenticación Se refiere a que si durante el proceso de autenticación, el protocolo utiliza algoritmos de autenticació. I5. Privacidad Revelación selectiva de la información de gestión o Indice 4.Contraseñas de encriptación y descencriptaciòn Este punto se refiere si para acceder a la información de gestión se requieren contraseñas de encriptado y descencriptado de paquetes o Indice 5. Confidencialidad Este indice hace referencia si la información de gestión durante su transito por la red es confidencial es decir si viaja encriptada por la red o Indice 6. Integridad Este punto hace referencia si el protocolo tiene la capacidad de garantizar la intergridad de los mensajes. o Indice 7. Revelación selectiva Este indice hace referencia si la información de gestión es indescifrable cuando el caso asi lo amerite I6. Control de acceso En este punto se hace referencia, las formas que tiene el protocolo para restringir el acceso a los recursos de gestión. o Indice 8. Creación de usuarios Hace referencia si el protocolo permite la configuración de usuarios autorizados en los equipos.

90 o Indice 9. Derechos de acceso Determina las áreas de la MIB sobre las cuales el usuario podrá acceder y realizar acciones o tareas administrativas. 4.4 POBLACIÓN Y MUESTRA En esta investigación la población constituye los equipos que tienen configurados el protocolo SNMPv3. MUESTRA La muestra constituye la red de simulación configurada con los equipos cisco que son propiedad de la ACADEMIA CISCO ESPOCH 4.5 PROCEDIMIENTOS GENERALES Se ha procedido a detallar los métodos utilizados en la presente investigación METODO: Comparativo-experimental TÉCNICAS: Experimentos y pruebas INSTRUMENTOS: Sniffers(Wireshark, dsniff) y arpspoof 4.6 INSTRUMENTOS DE RECOLECCIÓN DE DATOS En concordancia con la naturaleza de la investigación, los instrumentos apropiados para la recolección de datos fueron la compración de experimentos y pruebas, los mismos que se aplicaron en la red implementada. Para la recolección de información se utilizó para ciertos casos la observación directa con el fin de comparar la seguridad que proporcionan las versiones de SNMP a la información de gestión durante su paso por la red, para esto se sirvio del analizador y sniffer Wireshark. 4.7 VALIDACIÓN DE LOS INSTRUMENTOS La validez de los instrumentos depende del grado en que se mide el dominio especifico de las variables que intervienen en la investigación. Todo instrumento plicado debe tener como

91 caracteristica fundamental: la validez y la confiabilidad. La validez se refiere al grado en que el instrumento realmente mide la variable que se pretende medir. En lo que tiene que ver a la validez de Wireshark se acudio a páginas especializadas en la que suscriben la gran trayectoria y aporte que a dado a este producto a la industria de las Telecomunicaiones gracias a las caracteristicas de sniffer y analizador que posee a la vez. En lo que se refiere a la validez de dsniff se acudio a escritos, foros, enlaces web, en las que corroboran la garantia de este sniffer para capturar contraseñas sin encriptar que circundan en la red. Iptraf es un es un programa informático basado en consola que proporciona estadísticas de red. Funciona recolectando información de las conexiones TCP, como las estadísticas y la actividad de las interfaces, así como las caídas de tráfico TCP y UDP. Se encuentra disponible en sistemas operativos GNU/Linux. Para garantizar la validez del instrumento se acudió a páginas especializadas en dónde garantizan a ciencia cierta la validez de la misma y también como agregado se utilizó la experimentación con la herramienta. En criptografía, un ataque de hombre en el medio es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación. La necesidad de una transferencia adicional por un canal seguro Todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro.

92 En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro. Para validar esta herramienta se hizo uso de la experimentación y se acudió a páginas especializadas en el tema en las que indican la confiabilidad y la veracidad del método 4.8 Ambiente de Simulación La figura muestra el ambiente de simulación experimental. Figura IV. I Ambiente de simulación Este ambiente fue configurado con el protocolo SNMP, la implementación consiste en una estación portáti y una estación de escritorio conectadas a un switch, a la estación portátil es la NMS es la encargada de procesar la información de gestión y la estación de escritorio es la encargada de analizar los paquetes SNMP en tránsito, el switch y el router son los dispositivos a ser monitoreados bajo el protocolo SNMP

93 TABLA IV. IV DETALLES TÉCNICOS DEL AMBIENTE DE SIMULACIÓN CANTIDAD EQUIPO DESCRIPCIÓN 1 Estación portáti Compaq presario NMS instalado Cacti 1 Analizador de paquetes PC de escritorio Wireshark 1 Router 2811 Configurado agente SNMP 1 Switch 1960 Catayst configurado agente SNMP 4.9 Experimento 1 (Anexo 4) En el experimento 1 se configura la red de simulación y se analiza el tráfico de gestión circundante para tal efecto existe una red alambrica configurada bajo el protocolo SNMPv1/v2 conformada por Un router 2811y un Switch que tiene activado el agente SNMP, en cada uno configurado la vista escritura y lectura y las comunidades cisco y cisco1 Existe tambien una estación portatil que es un a Compaq presario, que se encarga de indagar y procesar la información de gestión eviadada por los agentes instalados en el router y el switch. Finalmente para el ambiente se cuenta con una estación de escritorio que se encarga de escuchar el trafico de la red. Desde la estación NMS se comienza a indagar a los dispositivos, atraves de la petición de informaión de gestión a los agentes, mientras esto ocurre se mantiene activo el snnifer Wireshark para poder analizar el contenido del interior de los mensajes SNMP.

94 Experimento 2 (Anexo3) En el experimento 2 se configura la misma red de simulación igual que la anterior se analiza el tráfico de gestión circundante, para tal efecto existe una red alambrica configurada bajo el protocolo SNMPv3 conformada por Un router 2811y un Switch 1960 que tiene activado el agente SNMPv3, en cada uno configurado, grupos, vistal y usuarios cada uno configurado con sus correspondientes niveles y modelos de seguridad Existe tambien una estación portatil que es un a Compaq presario que tiene instalado CACTI, que se encarga de indagar y procesar la información de gestión eviadada por los agentes instalados en el router y el switch. Finalmente este ambiente de simulación se cuenta con una estación de escritorio que se encarga de escuchar el trafico de la red. Desde la estación NMS se comienza a indagar a los dispositivos, atraves de la petición de informaicón de gestión a los agentes, mientras esto ocurre se mantiene activo el snnifer Wireshark para poder analizar el contenido del interior de los mensajes SNMP.

95 CAPÍTULO V ANÁLISIS DE RESULTADOS 5. PROCESAMIENTO DE LA INFORMACIÓN Para poder determinar si el protocolo SNMPv3 permite dar paso a entornos de gestión de red seguros se va a efectuar un estudio comparativo entre SNMPv1/V2 Y SNMPv3 donde se va a calificar cualitativa y cuantitativamente los indicadores de la variable dependiente 5.1 Análisis comparativo de los resultados del experimento 1 y2 En esta sección se va a detallar el análisis comparativo entre los protocolos SNMpv1/v2 y SNMPv3 Que permitira determinar el nivel de seguridad que ofrece SNMPv3, frentes a sus versiones anteriores, a manera de cuadros comparativos, en donde se van a calificar los indicadores de cada variable cualitativamente y cuantitativamente, según el criterio del autor teniendo un sutento en contenido cientifico, teórico y práctico, del mismo modo se efectuará una calificación de las variables, con la respectiva interpretación respectiva de los resultados que nos arrojen las comparaciones de la variable independiente y de las variables dependientes que han sido expuestas con anterioridad.

96 Análisis comparativo de las variable independiente acorde al experimento 1 y 2 A continuación se detalla la escala de valorización para los indicadores de la variable independiente, para poder cuantificar los indicadores Valor de 1 Si el indicador tiene una respuesta positiva al evaluarlo, tendra un valor de 1 Valor de 0 Si el indicador tiene una respuesta negativa al evaluarlo, tendra un valor de 0 I1 Funcionamiento de SNMPv3 El funcionamiento que presenta SNMP en los dispositivos de interconexión CISCO Switch, routers,etc es eficiente y correcto, lo cual se llego a dilucidar gracias a la implementación y configuración que se realizo en los ambientes de simulación, ver Figura VI.XIII TABLA V. I FUNCIONAMIENTO SNMPV3 SNMPv3 SNMPv1/v2 Correcto 1 1 Figura V. 1 Funcionamiento SNMPv3 Interpretación Como se muestra en la Figura V.I el funcionamiento que presenta el protocolo SNMPv1/v2 y SNMPv3 es eficiente en equipo CISCO, esto se puede decir a ciencia cierta gracias a las

97 implementaciones y configuraciones relizados en los ambientes de simulación que fueron construidos para este fin. I2. Seguridad SNMP La seguridad proporcionada para el tránsito de la información de gestión por SNMP, esta estrechamente ligada a la versión, como es sabido SNMPv1/v2 proporciona una seguridad trivial dado que no proporciona encriptación a la información que se intercambia entre los agentes y gestores a diferencia de SNMPv3 que si proporciona el mencionado mecanismo de seguridad Figura V. 2 Ataque de hombre en el Medio SNMP TABLA V. II SEGURIDAD SNMP SNMPv3 SNMPv1/v2 Seguro 1 0

98 Figura V. 3 Seguridad SNMP Interpretación En la Figura V.II se puede observar que la seguridad proporcionada por el protocolo SNMPv3 esta muy por encima a la seguridad brindada por SNMPv1/v2, estos resultados se obtuvieron al realizar un ataque de hombre en el medio la red y al mismo tiempo snifar la misma usando wireshark y dsniff, por lo que al capturar y analizar paquetes SNMPv1/v2 se puede conocer con facilidad la comunidad a la que pertenece el equipo y el contenido del mensaje, a diferencia de SNMPv3 que al capturar este tipo de mensajes no se puede conocer información relevante ya que el contenido del mensaje esta encriptado para acceder a la información se debe conocer la contraseña simetrica de encriptación. I3 Disposición de Equipos SNMP La disposición de equipos en el mercado que den soporte SNMPv3 y SNMPv1/v2 es aceptable, en la que se destaca las marcas CISCO, DLYNK, 3COM, ENTERASYS, dado que hoy en día la industria de las Telecomunicaciones busca soluciones de seguridad para las redes de datos y que mejor opción que SNMP. TABLA V. III DISPOSICIÓN DE EQUIPOS SNMP SNMPv3 SNMPv1/v2 Eficiente 1 1

99 Figura V. 4 Disposición de Equipos SNMP Interpretación En la Figura V.4 claramente se puede observar que la disposición de quipos en el mercado que dan soporte SNMP es bastante aceptable, esto debido a la gran aceptación que tenido el protocolo desde sus inicios, lo que se pudo comprobar al revisar información en la web y en las especificaciones técnicas que emiten las casas fabricantes ver Anexo 4. I4. Overload de la información de gestión en la red Para medir este indice se utilizo Iptraf que permite tener estadisticas de tráfico de cada protocolo, para este caso en particular se monitoreo la red por alrededor de 30 minutos, que arroja los resultados que se muestra en la Figura V.6

100 INTERCAMBIO INFORMACIÓN SNMP Agente SNMP OVERLOAD SNMPv1 OVERLOAD SNMPv3 CACTI-NMS Figura V. 5 Overload SNMP TABLA V. IV OVERLOAD DE LA INFORMACIÓN DE GESTIÓN EN LA RED SNMPv3 SNMPv1/v2 Optima 1 0 Figura V. 6 Presencia de la información de gestión en la red

101 Interpretación Como se observa en la Figura V.VI la sobrecarga que presenta SNMPv1/v2 está muy por encima al overload que proporciona la última versión del protocolo, esto debido a que este permite la extracción de un volumen de información en una sola petición a diferencia de SNMPv1 que necesita realizar peticiones consecutivas para extraer una considerable cantidad de información de gestión. Cuyos resultados están respaldados en la Fig. V.V, lo que permitió cuantificar los índices como se muestra en la Tabla V.IV Análisis comparativo de la variable dependiente basados en los Experimentos 1 y 2 A los indicadores de cada una de las variables propuestas se les asignara un puntaje de acuerdo a la información obtenidad en los ambientes de simulación tanto el experimento uno y dos, utilizando la siguientes escala de valorizaciòn cualitativa y cuantitativa, los mismos que permitiran cuantificar los resultados para cada una de las variables. TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIÓN DE LOS PARÁMETROS 0 Inseguro Inadecuado Ninguna Limitada Muy Bueno Seguro Regular Eficiente Existente VARIABLE DEPENDIENTE SEGURIDAD Indicador 4: Autenticacion Indice1 Seguridad en contraseñas Para medir el indice el Seguridad en contraseñas se considero la experimentación y la capacidad que deben tener los administradores de red para aplicar correctamente las politicas de contraseñas, como por ejemplo la longitud de la misma, tiempo de renovación, etc.

102 Indice2 Tránsito de la contraseña Como se puede apreciar en la Figura V.VII al utilizar el sniffer dsniff se pudo comprobar cuan seguro es el tránsito de la contraseña por la red, como se aprecia en la imagen inferior SNMPv1 proporciona una incipiente seguridad dado que el nombre de la comunidad es capturada con facilidad por el sniffer a causa de que esta tránsita por la red en texto claro, a diferencia de SNMPv3 que las contraseñas que utiliza son puestas en la red encriptadas por lo que dsniff no logro capturar nada durante su ejecución. Por lo que se la cuantifica como se muestra en la Tabla V.VI Figura V. 7 Seguridad en Contraseñas Indice3 Algoritmos de autenticación En lo que se refiere al uso o no de algoritmos de autenticación para poder cuantificarlos se utilizo la observación directa y la configuración de los protocolos en los equipos CISCO, por lo que se concluye que SNMPv1/v2 no utiliza los mencionados protocolos a diferencia de snmpv3 que si lo hace, por lo que se lo cuantifica como se muestra en la Tabla V.VI

103 TABLA V. VI VALORACIÓN CUANTITATIVA Y CUALITATIVA DEL INDICADOR 4 Seguridad en contraseñas Transito de la contraseña por la red Algoritmos de autenticación Valoración total del Id 4. SNMPv1/SNMPv2 SNMPv Figura V. 8 Métodos de Autenticación Interpretación Como se observa en la Figra V.VIII la seguridad en contraseñas que proporciona SNMPv1 esta en estricta relación con la aplicación de las politicas de contraseñs que aplica la empresa o la institución, En cuanto al tránsito seguro de la contraseña a traves de la red se puede apreciar en la gráfica superior que la versión SNMPv1/v2 no proporciona un tránsito seguro de la contraseña. A diferencia de SNMPv3 que si proporciona los mecanismos necesarios para garantizar un viaje seguro de las mismas. En base a la configuración realizada en los agentes se puede decir a ciencia cierta que SNMPv1/v2 no utiliza algoritmos de autenticación mientras ue SNMPv3 si lo hace.

104 Indicador 5: Privacidad Indice 4 Contraseñas de encriptación/desencriptados Este indice pretende cuantificar la utilizacion o no de contraseñas para acceder a la información de gestión como se aprecia en la gráfica Figura V. 9 Contraseñas Encriptación/des-Encriptación Índice 5 Confidencialidad Para medir este indicador se utilizó un ataque de hombre en el medio y al mismo tiempo estuvo en marcha dos sniffers dsniff y wireshark, dsniff para capturar contraseñas que transmiten en texto claro y wireshark para Interceptar el tráfico presente en la red.

105 Figura V. 10 Confidencialidad

106 Índice 6 Revelación Selectiva Este índice tiene como fin determinar si la información que circunda en la red se revela únicamente a personas autorizadas, para lo cual se el sniffer wireshark. Figura V. 11 Revelación Selectiva TABLA V. VII PRIVACIDAD SNMPv1/SN SNMPv3 MPv2 Contraseñas de 0 3 encriptación/desencriptación Confidencialidad 0 2 Revelación selectiva de la 0 3 Información Valoración total del Id

107 Figura V. 12 Privacidad Interpretación Como queda plasmado en la figura V.XII SNMPv3 garantiza la privacidad de la información de gestión en gran medida, para lo que hace uso de contraseñas simétricas de encriptación, por lo tanto garantizan una confidencialidad de la información de gestión y por consiguiente da paso a una revelación selectiva del contenido del mensaje SNMP Indicador 6: Control de Acceso Índice 7 Creación de usuarios Este indicador permitirá determinar si el protocolo permite configurar usuarios autorizados en los dispositivos hacer monitoreados, cuya misión es restringir al máximo los usuarios que podrán acceder a los recursos de gestión del equipo. Para poder cuantificar este índice se tomó en cuenta las configuraciones realizadas en los equipos ver Anexo2 Índice 8 Derechos de Acceso Para cuantificar el presente parámetro se puso a consideración las configuraciones realizadas en cada uno de los Agentes ver Anexo 2, lo que permitió darle el peso que se muestra en la Tabla V.VIII al índice

108 Índice 9 Niveles de acceso Para cuantificar este parámetro se consideró la capacidad que tiene el protocolo para aceptar los niveles de acceso AuthPriv, AuthNoPriv, NoAuthNoPriv, para medirlo se consideró las configuraciones realizadas en los equipos. TABLA V. VIII CONTROL DE ACCESO SNMPv1/SNMPv2 SNMPv3 Creación de usuarios 0 3 Derechos de usuarios 1 2 Niveles de acceso 1 2 Valoración total del Id Figura V. 13 Control De Acceso Interpretación De la Figura V.XIII se interpreta que SNMPv3 ofrece un riguroso control de Acceso frente a un insignificante control de acceso que hace SNMPv1/v2 esto se debe a que una vez conocido el nombre de la comunidad por defecto se adquiere los derechos de acceso. Ver anexo 2 A diferencia del protocolo SNMPv3 la última versión del protocolo presenta un mayor control de acceso a las características de gestión de los dispositivos, esto se debe a que para acceder los recursos de administrativos se requiere la configuración de usuarios, derechos de acceso y niveles de seguridad que van hacer utilizados por los equipos para validar derechos y usuarios

109 sobre un determinado Objeto de la MIB ver anexo 2. Por lo que se a cuantificado los índices de la siguiente manera. TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES Variables dependientes Seguridad en los en los entornos de gestión de red Indicadores INDICES SNMPv1/v2 SNMPv3 Id.4 Autenticación Seguridad contraseñas 1 2 Tránsito de la contraseña por la 0 2 red Protocolos de autenticación 0 3 Total Id.5 Privacidad Contraseñas 0 3 encrip/desencriptación Confidencialidad 0 2 Integridad 1 2 Revelación Selectiva 0 3 Total Id. 6 Control de Acceso Creación de usuarios 0 3 Derechos de acceso 1 2 Niveles de acceso 1 2 Total Total= Total1+Total2+Total Como resultado del análisis y de acuerdo al puntaje logrado para cada una de las variables se ha obtenido como consecuencia que el protocolo SNMPv3 ha conseguido un puntaje de 21 el cual es el mas alto y un porcentaje de seguridad del 70% en el intercambio de la información de gestión con relación a la poca seguridad o ninguna seguridad que ofrece snmpv1/v2: con lo que se comprueba que el análisis del protocolo snmpv3 permitira alcanzar niveles de seguridad apropiados.

110 PRUEBA DE LA HIPOTESIS Las hipótesis cientificas son sometidas a prueba para determinar si son apoyadas o refutadas de acuerdo con lo que el investigador observa, en realidad no se puede probar si una hipótesis sea verdadera o falsa, si no que fue apoyada o no de acuerdo a ciertos datos obtenidos en la investigación. Por lo tanto no existe un método que permita saber con seguridad que una desviación es el resultado exclusivo del azar, sin embargo hay pruebas estadisticas que permiten determinar niveles de confianza. Una de estas pruebas es el Chi-cuadrado Aplicación del metodo chi cuadrado para la comprobacion de la hipótesis.para la comprobacion de la hipótesis planteada en la investigación se debe calcular el estadistico chi cuadrado a partir de los datos que se han obtenido de los resultados que se lograron del análisis a manera de cuadros comparativos, en los cuales se calificaron los indicadores de cada variable cualitativamente y cuantitativamente según el criterio del autor basandose en resultados teóricos y practicos. A continuación se considero la hipótesis nula y la hipótesis de la investigación Hi El análisis del protocolo SNMPv3 y su aplicación en el diseño de un prototipo de monitoreo de red segura en ambiente opensource, permitira alcanzar niveles optimos de seguridad en la administración y gestión de redes. H0 El análisis del protocolo SNMPv3 y su aplicación en el diseño de un prototipo de monitoreo de red segura en ambiente opensource, no permitira alcanzar niveles optimos de seguridad en la administración y gestión de redes. A continuación se presentan los resultados obtenidos para las variables dependientes tanto con el uso de SNMPv3 como con el uso de SNMPv2/v1

111 TABLA V. X RESUMEN DE LOS VALORES OBTENIDOS PARA CADA UNO DE LOS INDICADORES Variables dependientes Indicadores INDICES SNMPv1/v2 SNMPv3 Seguridad contraseñas 1 2 Id.4 Tránsito de la contraseña por la Autenticación red 0 2 Algoritmos de autenticación 0 3 Seguridad en los en los entornos de gestión de red Total Id.5 Privacidad Contraseñas 0 3 encrip/desencriptación Confidencialidad 0 2 Integridad 1 2 Revelación Selectiva 0 3 Total Id. 6 Control de Acceso Creación de usuarios 0 3 Derechos de acceso 1 2 Niveles de acceso 1 2 Total Total= Total1+Total2+Total Para la comprobacion de la hipótesis sugerimos los siguientes pasos: Frecuencias observadas Las frecuencias observadas se encuentran sumamando los indicadores de cada variables sobre la utilización del protocolo, obteniendo la siguiente tabla. TABLA V. XI FRECUECIAS OBSERVADAS Autenticación Privacidad Control de Acceso Total SNMPv3 SNMPv1/v2 Sumatoria

112 La Tabla V.XI muestra la tabla de contigencia creada para el cálculo del chi cuadrado, compuesta por las variables analizadas: Autenticación, Privacidad y Control de acceso. Frecuencias esperadas Las frecuencias esperadas de cada celda, se calcula mediante la siguiente fórmula aplicada a la frecuencias observadas: Donde N es el numero de total de frecuencias observadas. A continuación se presentan los valores obtenidos aplicando la formula descrita anteriormente. TABLA V. XII FRECUENCIAS ESPERADAS Autenticación Privacidad SNMPv3 SNMPv1/v2 Sumatoria Control de Acceso Total Sumatoria de x 2 Una vez calculada las frecuencias esperadas, se aplica la siguiente fórmula de ji cuadrado para cada una de las celdas de la tabla: Donde: O es la frecuencia observada en cada celda y E: es la frecuencia esperada en cada celda

113 TABLA V. XIII SUMATORIA DE X2 Frecuencia(O) Frecuencia(E) O-E (O-E)^2 (O-E)^2}/E La tabla nos proporciona el valor X 2, para saber si el valor que da como resultado es o no significativo, se debe determinar los grados de libertad mediante la siguiente fórmula: Donde: F: es el número de filas de la tabla de contigencia sin contar los totales y C: es el número de columnas de la tabla de contingencia cin contar los totales Se compara este valor con el correspondiente a un grado de libertad en la tabla de Chi-Cuadrado y se encuentra que el valor critico de X 2 para un grado de libertad a un nivel de alpha de 0.05 es de Interpretación Criterios de decisión Si X 2 calculado es mayor a X 2 α(valor critico) de la tabla de distribución se rechaza la hipotesis nula Ho y por lo tanto se acepta la hipotesis de la investigación. Si X 2 calculado es menor a X 2 α(valor critico) de la tabla de distribución se acepta la hipotesis nula Ho por lo tanto se rechaza la hipotesis de la investigación.

114 Grafica X 2 e interpretación Figura V. 14 Curva del análisis de chi-cuadrado Interpretación Como se puede observar en la figura V.XIV, el valor del estadístico chi-cuadrado calculado x 2 = es mucho menor que el nivel crítico X 2 =3.84 es decir se rechaza la hipótesis nula y se acepta la hipótesis planteada en la investigación, de tal modo que, El análisis del protocolo SNMPv3 y su aplicación en la implementación de un prototipo de monitoreo de red segura, si permiten alcanzar niveles de seguridad óptimos en la administración y gestión de redes propiamente dicho durante el intercambio de información de gestión entre los agentes y los gestores.

115 CAPÍTULO VI MARCO PROPOSITIVO 6. IMPLEMENTACIÓN DEL PROTOTIPO DE MONITOREO DE RED SEGURA Una vez selecciónada CACTI como Herramienta de monitoreo y haber adquirido el suficiente conocimiento de la operatividad de SNMPv3 se procede a la implementación del prototipo. En el presente capítulo seran descritas todas las variables involucradas en el proyecto de tesis. Se describe a detalle la implementación del prototipo de monitoreo y las consideraciones que se debe tener en cuenta durante el proceso. 6.1 HARDWARE Para la implementación se utilizo switches y routers que tiene a su haber la academia CISCO de la Escuela Superior Politécnica de Chimborazo.

116 SWITCHES CATALYST Figura VI. 1 switch catalyst 2950 La serie Switches Catalyst 2950 para LAN con software de base son una familia de configuración fija, independiente,dispositivos ethernet inteligente: ofrece configuraciones de escritorio Fastethernet y Gigabitethernet, lo que permite mejorar los servicios de LAN de nivel de entrada de la empresa, ofrece una seguridad integrada incluyendo NAC, una avanzada calidad de servicio y la flexibilidad para ofrecer servicios inteligentes al extremo de la red. Embebidos en todos los switches Cisco de la serie 2950 se encuentra el software de administración Cisco Device manger. el cual permite a todos los usuarios realizar una fácil configuración y monitoreo del switch Este tipo de equipos proveen una serie de herramientas de administración y monitoreo a traves de SNMP. A demas da soporta al protocolo spanning Tree y rapid Spanning Tree para dar redundancia a la red. Caracteristicas generales Control de flujo, capacidad dúplex, concentración de enlaces, soporte VLAN, snooping IGMP, soporte para Syslog, Cola Round Robin (WRR) ponderada, actualizable por firmware Protocolo de gestión remota: SNMP 1, SNMP 2, RMON 1, RMON 2, RMON 3, RMON 9, Telnet, SNMP 3, HTTP 13

117 Cumplimiento de normas: IEEE 802.3, IEEE 802.3u, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s Calidad de servicio Da el soporte POE SWITCH CATALYST 2960 Los switches de la serie Catalyst 2960 habilitan a las redes de capa de entrada de empresas medíanas y de sucursales para prestar servicios LAN. Los switches de la serie Catalyst 2960 son apropiados para implementaciones de capa de acceso Figura VI. 2 switch catalyst 2960 Caracteristicas Tipo de dispositivo: Conmutador Tasas de Reenvio de 16 Gb/s a 32 Gb/s Switching de capas multiples Factor de forma: Montable en bastidor Cantidad de puertos: 24 x Ethernet 10 base-t, Ethernet 100 Base TX Velocidad de transferencia de datos: 100 Mbps Protocolo de interconexiòn: etherneth, fastethernet Protocolo de gestiòn remota: SNMPv1, RMON1, RMON2, Telnet, SNMPv3,SNMPv2c, HTTP Modo de comunicaciòn: Semiduplex y duplex plano. Caracteristicas de QoS para admintir comunicaciónes IP Listas de control de acceso

118 No admiten PoE Hast 48 puertos de 10/100 o puertos de 10/100/1000 con enlaces gigabit adicionales de doble proposito ROUTER CISCO 2811 Caracteristicas Tipo de dispositivo Encaminador Protocolo de interconexión de datos Ethernet, Fast Ethernet Red / Protocolo de transporte IPSec Protocolo de gestión remota SNMP v3 Características Diseño modular, protección firewall, cifrado del hardware, asistencia técnica VPN, soporte de MPLS, montable en pared, Quality of Service (QoS) Cumplimiento de normas IEEE 802.3af, IEEE 802.1x Alimentación CA 120/230 V ( 50/60 Hz ) Dimensiones (Ancho x Profundidad x Altura) 43.8 cm x 41.7 cm x 4.5 cm Peso 6.4 kg 6.2 Herramientas y sofware La herramientas necesarias para implementacion del prototipo necesarias son: NMS-CACTI Es la aplicación de monitoreo encargada de colectar la información de gestión generada desde los agentes SNMP hacia la NMS y generar peticiones de informacion de gestion hacia los servidores. Es la interfaz entre el administrador y la red de datos o es hilo de comunicación entre los equipos

119 IMPLEMENTACIÓN DEL PROTOTIPO AGENTE 4 CACTI NMS SNIFFER WIRESHARK AGENTE 2 AGENTE 3 AGENTE 5 Figura VI. 3 Red de pruebas Una vez configurado los equipos y haber comprobado la conectividad entre los dispositivos intermedios y finales de la red. Se procede a la instalacion y configuracion de los agentes y de la consola de Administración Instalación del Gestor (CACTI) Para realizar la instalación de CACTI, se requiere de la instalación de componentes adicionales, que tiene por objeto tener una correcta instalación y configuracion de CACTI para evitar problemas con la herramienta durante su utilización Instalacion Apache2 Figura VI. 4 Instalación Apache2

120 Instalaciòn de la base de datos MySql Figura VI. 5 Instalación Base de datos MySql Instalación de Cacti- localhost/cacti Inmediatamente después cargara la página guia de instalación Cacti que sera guia durante el procesos de instalación. En la ventana emergente que se abre presionar en next. Figura VI. 6 Guía de instalación Cacti Seleccionar la opción NewInstall en la persiana del cuadro de dialogo y acontinuación clic en next