Gestión de redes, SNMP y RMON

Transcripción

1 Gestión de redes, SNMP y RMON

2 Índice Introducción Gestión de redes SNMP SNMPv1 RMON Secure SNMP SNMPv2 SNMPv3 Software para SNMP

3 Metodología PDCA Plan Planificación Act Do Check Control Configuración Monitorización Supervisión Introducción

4 Acciones y Medidas Reactivas Detección Corrección Conocimiento causa Proactivas Predicción Prevención De mejora Introducción

5 Situación de partida Necesidad de gestionar nodos de la red Multiplicidad: Redes Dispositivos Fabricantes: protocolos y formatos Gestión de redes

6 Qué es gestionar una red Operaciones: Monitorización Clonado/Instalación de software/firmware Actualización/Parcheo de software/firmware Configuración Inventario de hardware/software Calidad y Seguridad Todo ello de forma automatizada, remota, masiva, segura Gestión de redes

7 Modelo de gestión de red de OSI Modelo FCAPS : Fault: identificar, aislar, corregir, registrar Configuration: recoger, enviar, registrar cambios Accounting: estadísticas de recursos, administración de usuarios y permisos Performance: %utilización y disponibilidad, tasas de error, tiempos de respuesta Security: autenticación, confidencialidad, autorización Gestión de redes

8 Tipologías de nodos Según capacidades e inteligencia: Procesamiento Red Periféricos Mix Gestión de redes

9 Protocolos estándares de gestión CMIP (Common Management Information Protocol) y CMOT (CMIP Over TCP/IP): De OSI/ISO Complejos y poco usados SNMP (Simple Network Management Protocol): Control y Monitorización RMON (Remote Monitor): Monitorización Gestión de redes

10 Software de Gestión Monitorización Gestión de redes

11 Software de Monitorización sin SNMP Requiere nodos con posibilidad de instalar software Herramientas: Gestión de redes Para pocos equipos, interfaz humano, ej. web Para muchos equipos, automatización: "A mano": scripts, cron,... Productos: Red: nagios, mon, sysmon, ntop,... Logs: logwatch, oak,

12 SNMP Simple Network Management Protocol Sólo 5 comandos en v1, y otros 2 más en v2, v3 Alcance: Monitorización y Control en redes centralizadas o distribuidas Pero SNMP no es perfecto! Parte del modelo TCP/IP, definido mediante RFCs del IETF SNMP

13 Historia y Versiones 1988 SNMPv1 RMON 1992 Secure SNMP 1993 SNMPv2 SNMPv2c SNMPv2u SNMPv2* 1998 SNMPv3 Es el estándar actual (SNMPv1, SNMPv2 obsoletas) SNMP

14 Elementos de la especificación Tipos de nodo: Nodo gestor con software NMS (Network Management System) Nodo gestionado con software Agente Protocolo Datos: SMI (Structure of Management Information) MIB (Management Information Base) SNMP

15 Tipologías de nodos Según función de gestión: Nodos Gestores Nodos Gestionados mediante agentes Nodos Proxies Gestión de redes

16 Tipos de Nodos: NMS y Agente NMS (Network management system) Dispositivo gestionado MIB Proceso Gestor Proceso Agente MIB Proceso... SNMP SNMP... UDP IPv4, IPv6 UDP IPv4, IPv6 TCP Comunicación con los nodos gestionados Interface de Usuario con funcionalidades añadidas MIB resultado de agregar MIBs de nodos gestionados SNMP

17 Tipos de nodos: Proxy Agente Proxy Dispositivo gestionado que no habla SNMP Proceso Agente SNMP UDP IPv4, IPv6 Proceso Proxy Protocolo YYY Proceso XXX Protocolo YYY SNMP

18 Protocolo: SNMP en modelo TCP/IP OSI/ISO TCP/IP 7. Aplicación ASN.1 6. Presentación 4. Aplicación SNMP 5. Sesión 4. Transporte 3. Red 2. Enlace 1. Físico 3. Transporte 2. Internet 1. Enlace UDP UDP: Menor tráfico que TCP No confiable, pero se envían confirmaciones en nivel de Aplicación Otros protocolos bajo SNMP: OSI Connectionless Network Service AppleTalk Datagram-Delivery Protocol (DDP) Novell IPX Incluso TCP SNMP

19 Protocolo: Operaciones y Primitivas Solicitud de Lectura Solicitud de Escritura Envío de Información Síncronas Asíncronas GetRequest GetNextRequest GetBulkRequest SetRequest Response Trap InformRequest De Gestor a Agente SNMPv2 En SNMPv1 se llamaba GetResponse De Agente a Gestor En ambos sentidos En SNMPv2 también puede ir de agente a agente SNMP

20 Protocolo: Polling vs Trap Polling = Sondeo Trap = Notificaciones, Interrupciones Criterios: Información periódica Eficiencia de tráfico SNMP

21 Protocolo: Flujos y Puertos GetRequest SetRequest GetNextRequest GetBulkRequest.../UDP Response 161/UDP Gestor 162/UDP Trap InformRequests.../UDP Agente SNMP

22 Protocolo: seguridad Relación M:N entre agentes y gestores que actúan sobre los primeros Aspectos de seguridad: Autenticación: quién es el gestor, y cómo verificarlo Acceso: permisos para cada agente sobre determinados objetos Proxys: implementación de políticas sobre los sistemas gestionados por un proxy SNMP

23 Protocolo: seguridad Ataques que afectan a todas las versiones: Por fuerza bruta (diccionario), ya que carecen de mecanismo desafío-respuesta Denegación de servicio Algunos fabricantes no permiten escritura, por la mala seguridad hasta SNMPv3, o porque sus dispositivos no son configurables por SNMP SNMP

24 SMI Proporciona un esquema extensible para representar objetos según una estructura jerárquica en árbol Versiones: SMIv1, SMIv2 Notación: Subconjunto de ASN.1. Ej: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } SNMP

25 Elementos de la SMI Definición de estructura de base de datos, y de cada MIB particular Definiciones de objetos, módulos y notificaciones (traps): tipos, nomenclatura, sintaxis, reglas de construcción de las MIBs,... Codificación según BER SNMP

26 Árbol de la SMI No hay un nodo raíz orden directory: uso futuro para directorio OSI (X.500) management: subárbol para objetos aprobados en el IAB experimental: para pruebas private: para fabricantes específicos SNMP

27 Objetos de la SMI Nodos del árbol: Objetos=nodo o dispositivo a gestionar, y características/recursos del mismo. Ej: Router, con su tabla de conexiones TCP Cada nodo con hijos puede verse como un grupo El protocolo SNMP: No puede modificar la estructura del árbol Sólo puede gestionar los nodos-hoja SNMP

28 Sintaxis de objetos de la SMI Identificación y Relación con otros objetos Tipo de valores: Por sencillez e interoperabilidad sólo hay escalares y tablas; no hay otras estructuras complejas SNMP sólo puede leer/escribir tipos escalares Formas posibles (CHOICE) Rango de valores, ej. SYNTAX INTEGER ( ) Permisos de acceso (read-only, read-write,...) y Obligatoriedad (mandatory, optional) Descripción SNMP

29 Identificación de objetos de la SMI Identificador único: De tipo OBJECT IDENTIFIER en ASN.1 Secuencia de enteros separados por puntos; cada entero indica los nodos de la rama en la que está A veces, secuencia de nombres correspondientes Ej: iso.org.dod.internet.mgmt.mib_2.ip SNMP

30 Tipos de objetos de la SMI Escalares: 4 Universales predefinidos: INTEGER: de a OCTET STRING: de 0 a bytes OBJECT IDENTIFIER NULL Otros tipos especiales basados en los anteriores, asociados a la clase APPLICATION. En la SMIv2 hay más tipos SNMP

31 Tipos de objetos de la SMI Tipos asociados a APPLICATION class: NetworkAddress: sólo está definida IpAddress IpAddress: 32 bit address Counter: de 0 a ( ). Su valor sólo puede incrementarse Gauge: de 0 to Su valor puede aumentar o disminuir TimeTicks: centésimas de segundo desde alguna época Opaque: datos arbitrarios en cualquier formato, codificados como OCTET STRING SNMP

32 Tipos de objetos de la SMI Arrays bidimensionales o tablas mediante: SEQUENCE-OF: todos los elementos de igual tipo SEQUENCE: elementos de igual o distinto tipo Palabra clave INDEX para distinguir filas. Ej: tabla tcpconntable tcpconnstate tcpconnlocaladdress tcpconnlocalport tcpconnremaddress tcpconnremport listen(2) listen(2) listen(2) listen(2) established(5) established(5) SNMP

33 Definición de objetos de la SMI Niveles: Definición de macro, ej. OBJECT-TYPE Instancia de macro para definir tipos ej. definición del tipo tcpmaxconn mediante la macro OBJECT-TYPE Valor de instancia de macro, para indicar valores concretos de una entidad específica ej. valor de tcpmaxconn para un caso concreto de conexión TCP SNMP

34 Módulos de la SMI Especifican grupos de definiciones relacionadas Tipos: Módulos de MIB, para definir objetos interrelacionados Sentencias de conformidad, para describir grupos de objetos que han de cumplir un standard Sentencias de capacidades, que permiten a un gestor conocer las posibilidades que ofrece un agente SNMP

35 Software para SMI y ASN.1 Ej. implementación: libsmi En Debian y derivados: apt-cache search libsmi apt-cache search ASN.1 SNMP

36 MIBs Rama dentro de SMI para un uso concreto Diferencia entre SMI y MIBs: SMI = esquema de definición + árbol general MIBs = subárboles de propósito específico (semántica+léxico) dentro del árbol general SNMP

37 Tipos de MIBs Estándares: mantenidas por IETF o IEEE. Ej: MIB-2: gestión de dispositivos TCP/IP TCP-MIB: específica de TCP Ethernet-MIB Privadas (disminuye la interoperabilidad): El fabricante proporciona texto y/o descripción formal de la misma para la NMS Problema: 3 versiones; principal: RFC SNMP

38 Ejs. MIBs Paquete Debian snmp-mibs-downloader Directorios: MIBs IANA: /var/lib/mibs/iana MIBs IETF: /var/lib/mibs/ietf RFCs: /usr/share/doc/mibrfcs SNMP

39 system(1) interfaces(2) MIB-2 Gestión de dispositivos TCP/IP = iso.org.dod.internet.mgmt.mib_2 10 nodos = grupos at (3) Obsoleto; mantenido por compatibilidad con MIB-1 ip (4) icmp (5) tcp (6) udp (7) egp (8) transmission (10) Exterior Gateway Protocol (obsoleto) Datos de nivel de Enlace snmp (11) SNMP

40 Condiciones de objetos en MIB-2 Que sea esencial para gestión de fallos o configuración Si es un objeto de control, que sea "no peligroso" Evidencia de utilización No incluir objetos que se puedan derivar de otros, para evitar redundancias Excluir objetos específicos, ej. para BSD UNIX Evitar secciones críticas de código con mucho control (sólo 1 contador) SNMP

41 SNMPv1: PDUs IP header UDP header SNMP data SNMP header SNMP PDU version community version: 1 community: para seguridad GetRequest, GetNextRequest, SetRequest PDU type request-id 0 0 variable-bindings GetResponse PDU type request-id error-status error-index variable-bindings Trap PDU type enterprise agent-addr generic-trap specific-trap time-stamp variable-bindings nombre1 valor1 nombre2 valor2... nombren valorn SNMPv1

42 SNMPv1: PDUs request-id: para correlar peticiones y respuestas; se usa el mismo valor en ambas error-status, error-index: gestión de errores Notificación: enterprise: tipo de objeto que la genera, según sysobjectid agent-addr: dirección del objeto que la genera generic-trap, specific-trap: tipos y códigos time-stamp: desde la última reinicialización de la red. Contiene sysuptime SNMPv1

43 Operaciones: SNMPv1: PDUs Monitorización con PDUs de lectura (GetRequest, GetNextRequest, Trap) Control con PDU de escritura (SetRequest). Permite ejecutar comandos modificando el valor de algunos objetos específicos SNMPv1

44 SNMPv1: PDUs GetRequest, GetNextRequest y SetRequest: Se confirman con GetResponse Pueden operar sobre más de una variable Son operaciones atómicas: si fallan en alguna variable no actúan sobre ninguna Trap: no se confirman con GetResponse SNMPv1

45 GetNextRequest: SNMPv1: PDUs Para cada variable se obtiene el siguiente nodohoja de la MIB en orden lexicográfico Permite descubrir la estructura de la MIB de forma dinámica SNMPv1

46 SNMPv1: Seguridad Concepto de "comunidades": conjunto de agentes y gestores que actúan sobre los primeros Aspectos de seguridad: Autenticación basada en el nombre de la comunidad. Es un password en texto claro que se comparte, típicamente "public" o "private" por defecto. Esquema muy pobre. Acceso basado en vistas (MIB view) y modos (ACCESS MODE ej. read-only) Se combinan ambos en un "community profile" SNMPv1

47 Secure SNMP Ofrece autenticación y encriptación No es compatible con SNMPv1 porque cambia el formato de la cabecera: IP header UDP header SNMP data SNMP header SNMP PDU privdst authinfo dstparty srcparty SNMP PDU Puede ir encriptado Authentication Info Secure SNMP

48 SNMPv2 Cambios respecto a SNMPv1: Orientación a redes distribuidas, gracias a la comunicación entre managers (idea basada en RMON) Más eficiencia en tráfico mediante mensajes de obtención de múltiples valores Seguridad mejorada basada en S-SNMP, pero al ser muy compleja no se aceptó: SNMPv2 vs SNMPv2c (c=community) Aparece SMIv2 y una nueva MIB: Se permite crear y borrar filas en tablas No es compatible con SNMPv1, pero se pueden emplear proxies y entornos duales SNMPv2

49 SNMPv2: Protocolo Modificaciones respecto a SNMPv1: Cabeceras de los mensajes como en Secure SNMP PDUs: Nuevas: GetBulkRequest, InformRequest Modificada GetResponse por Response Modificada estructura de Trap. Ahora idem GetRequest, GetNextRequest, SetRequest, Trap, InformRequest: PDU type request-id 0 0 variable-bindings GetRequest, GetNextRequest y SetRequest no son atómicas, pudiendo actuar sobre algunas (y no todas) las variables del mensaje Hay tráfico de notificaciones entre NMSs SNMPv2

50 SNMPv2: GetBulkRequest Se usa para minimizar el número de intercambios necesario para obtener una gran cantidad de datos. PDU: N M N+R variables PDU type request-id non-repeaters max-repetitions variable-bindings Para las primeras N (non-repeaters) variables la operación es idéntica a GetNextRequest PDU, devolviéndose un único sucesor lexicográfico Para las otras R variables, se devuelven múltiples (M=max-repetitions) sucesores lexicográficos SNMPv2

51 SNMPv2: GetBulkRequest Ej: Interface-Number Physical-Address Network-Address Type 1 00:00:10:54:32: dynamic 2 00:00:10:01:23: static 3 00:00:10:98:76: dynamic GetBulkRequest: [ non-repeaters = 1, max-repetitions = 2 ] ( sysuptime, ipnettomediaphysaddress, ipnettomediatype ) Response: sysuptime.0 = "123456" ipnettomediaphysaddress = " " ipnettomediaphysaddress = " " ipnettomediatype = "dynamic" ipnettomediatype = "static" SNMPv2

52 SNMPv2: InformRequest Semejante al Trap pero requiere confirmación desde el Manager. Si ésta no se recibe en un tiempo, se reenvía el InformRequest Criterios: Eficiencia de tráfico y recursos de memoria: Trap Seguridad en recepción: InformRequest SNMPv2

53 SNMPv3 Cambios respecto a SNMPv2: Seguridad en: Integridad de mensajes Confidencialidad, mediante la encriptación de paquetes Autenticidad Enmascaramiento: UDP es vulnerable a IP spoofing (cambio de la dirección de origen) para suplantar dispositivos, y SNMPv3 tiene mecanismos para evitarlo Nuevo framework o arquitectura extensible, compatible de forma nativa con SNMPv1 y SNMPv2 Nuevas MIBs bajo SNMPv3

54 SNMPv3: Seguridad Se definen dos capacidades de seguridad: USM (User-based Security Model): Proporciona funciones de autenticación y confidencialidad (encriptación) Temporización: Protección contra réplicas o retardo de mensajes Opera a nivel de mensaje VACM (View-based Acess Control Model): Determina si se permite el acceso a los objetos de la MIB para llevar a cabo diferentes acciones Opera a nivel de PDU SNMPv3

55

56 SNMPv3: Arquitectura Concepto "Entidad SNMP" que puede actuar como agente, gestor o ambos a la vez, según los módulos que implemente Esquema en base a dos capas: Una o varias Aplicaciones: capa superior que genera y recibe PDUs Un Motor: capa inferior que: Hace de intermediario para las PDUs de Aplicaciones y las capas inferiores: versión de SNMP, protocolos,... Gestiona la seguridad: autenticación, encriptación y acceso SNMPv3

57 SNMPv3: Arquitectura Sólo Gestor Gestor y Agente Sólo Agente Aplicaciones Command generator Notification generator Comand responder Notification responder Proxy forwarder Motor Dispatcher PDU dispatcher Message dispatcher Transport mapping (UDP,..) Message processing subsystem (v1, v2, v3) Security subsystem Access subsystem SNMPv3

58 SNMPv3: Formato de mensaje MsgGlobalData = cabecera Definido y usado por el modelo de seguridad MsgData = ScopedPDU msg Version msg Id msg MaxSize msg Flags msg SecurityModel msg SecurityParameters context EngineID context Name PDU 3 Para coordinar peticiones y respuestas Modelo usado por el emisor Generados por el subsistema de seguridad Cuándo enviar un Report PDU Si se ha encriptado el mensaje Si se ha utilizado autenticación... Identificador unívoco de una entidad SNMP Ámbito de encriptación Se usan las de SNMPv2 Máximo tamaño de mensaje en bytes que soporta el emisor del mensaje SNMPv3

59 SNMP v3 Niveles de Seguridad Es útil dar ejemplos con Net-snmp (snmpd) que expliquen los niveles de seguridad en SNMP: v1 or v2 Community Comunidad en texto-claro como autenticación. v3 noauthnopriv - Comunicación sin autenticación y privacidad (requiere un usuario conocido) v3 authnopriv - Comunicación con autenticación (Basada en algoritmo Hashed Message Authentication Code (HMAC)-MD5 o HMAC-SHA sin privacidad) v3 authpriv - Comunicación con autenticación y privacidad. Este ejemplo es para una petición SNMP v2 con la Comunidad como autenticación $ snmpgetnext -v 2c -C public test.net-snmp.org sysuptime system.sysuptime.0 = Timeticks: ( ) 9 days, 15:51:11.01 En SNMP v3 con acceso public sin autenticación y sin encriptación sólo se requiere un usuario válido $ snmpgetnext -v 3 -n "" -u noauthuser -l noauthnopriv test.net-snmp.org sysuptime system.sysuptime.0 = Timeticks: ( ) 9 days, 15:51:11.31 Ejemplo de SNMP v3 con solicitud autenticada pero sin encriptación: $ snmpgetnext -v 3 -n "" -u MD5User -a MD5 -A "The Net-SNMP Demo Password" -l authnopriv test.net-snmp.org sysuptime system.sysuptime.0 = Timeticks: ( ) 9 days, 15:55:17.35 Ejemplo con autenticación y encriptación: $snmpgetnext -v 3 -n "" -u MD5DESUser -a MD5 -A "The Net-SNMP Demo Password" -x DES -X "The Net-SNMP Demo Password" -l authpriv test.net-snmp.org system system.sysuptime.0 = Timeticks: ( ) 9 days, 15:55:31.11

60

61

62

63

64 Software para SNMP Ej. de implementación libre: Net-SNMP Comandos: snmpget - > GetRequest ej: snmpget -v1 -c public localhost snmpgetnext, snmpwalk -> GetNextRequest snmpset -> SetRequest snmptrap -> Trap Software para SNMP

65 Paquetes Ubuntu: Software para SNMP Software básico de agente (snmpd) y gestor (snmp) Librerías de enlace y runtime para distintos lenguajes: C, java, php, perl, python, ruby Interfaces: consola, consola propia (scli, snimpy), applet de escritorio, cliente gráfico, web Programas específicos: cacti, collectd, FusionInventory, mrtg, munin, nagios, netdisco, netwox, zabbix Dispositivos: AP, Cisco, UPS, Otros: scanner, MIBs downloader, gestores de traps, utilidades varias Software para SNMP

66 Software para SNMP MIB browser gratuitos Software Licencia GUI Plataformas tkmib Libre Tk GNU/Linux SnmpB Libre Qt GNU/Linux, Windows,... mbrowse Libre Gtk GNU/Linux, Windows,... ireasoning Privativa Java GNU/Linux, Windows,... MG-SOFT Privativa Windows Windows Software para SNMP

67 Monitorización de red

68 Medir qué? Un Ejemplo El tráfico en los enlaces entre conmutadores A nivel de paquete (ej: tcpdump/wireshark) O a nivel de flujo Estos son ejemplos de lo que llamamos medidas pasivas

69 Medir Por un lado está la captura del tráfico Hardware de propósito general o específico Software comercial o gratuito Por otro lado el análisis Software, de nuevo comercial o gratuito Sobre hardware general o específico

70 Casos comunes: MRTG Multi Router Traffic Grapher Monitoriza variable SNMP Comúnmente es utilización de enlaces Crea páginas HTML con imágenes Consolida datos antiguos Free, GPL Puede emplear RRDtool Mayor flexibilidad en las gráficas y mejor rendimiento

71 Monitorización de red No es solamente medir, eso es la parte de recolectar los datos Incluye el interpretarlos, crear informes sobre rendimiento, crear información Aunque la diferencia tampoco es muy trascendente y la expresión se emplea con mucha libertad Hay muchos parámetros que se pueden monitorizar: por dispositivo, por segmento, por servicio

72 Para qué monitorizar? Para obtener información Utilización de un enlace Utilización de un conmutador ( )

73 Para qué monitorizar? Tráfico por usuarios (matrices de tráfico, facturación) Tráfico por servidores (ej: tráfico al servidor de o al de backups, disponibilidad) Tráfico por servicios (ej: tráfico web/ /p2p) ( )

74 Para qué monitorizar? Tiempos de respuesta de servicios (ej: tiempo de respuesta de un servidor de ficheros) Evaluar comportamientos de protocolos (ej: reacción de TCP ante pérdidas) Detectar problemas con los protocolos (ej: interacción entre DNS y protocolo de aplicación) (...)

75 Para qué monitorizar? Detectar problemas en la red (ej: problema con el encaminamiento, congestión en enlaces) Detectar violaciones de seguridad (ej: escaneos) Etc.

76 Qué medir para esto? Según la información que queramos obtener Podemos necesitar el tráfico a nivel de cuentas de paquetes (ej: pkts/s que reenvía un router) como una estimación de volumen O a nivel de volumen de bytes por dirección origen (ej: matriz de tráfico por host) O a nivel de origen y destino de flujos (ej: conexiones TCP simultáneas que mantiene un NAT) O necesitar cabeceras de paquetes hasta nivel de transporte (ej: analizar el comportamiento de control de flujo de TCP) O necesitar los datos de nivel de aplicación (ej: reconocer las peticiones HTTP dentro de una conexión TCP)

77 Medidas activas y pasivas

78 Pasivas Tipos de medidas No afectan al tráfico Recogen todos los paquetes en un punto de medida (enlace o equipo) o recogen una muestra de esos paquetes o directamente contadores dados por SNMP y otros que comentaremos

79 Activas Tipos de medidas Generamos tráfico y lo recogemos (intrusivo) Según cómo, cuándo y cuáles de los paquetes llegan ofrecemos estadísticas Puede ser un simple ping o hacer una llamada a un teléfono IP para comprobar que responde o generar tráfico similar al de voz y medir cómo llega al destino (SLA) u otros patrones de tráfico que permitan inferir el comportamiento de la red Podríamos hacer transferencias masivas aunque es muy intrusivo (se hace)

80 RMON Remote Monitor es una MIB específica para agentes dedicados a monitorizar información de red Mejor rendimiento por monitorización red (versus dispositivo), ej: Delegar a dispositivos con RMON las notificaciones de congestión o de falta de conectividad (si no, todos los dispositivos mandarían notificaciones) RMON

81 Sonda Equipo que inspecciona el tráfico: sonda, sonda de monitorización, probe, monitoring probe Dos componentes Hardware unido al medio de transmisión que ve el tráfico Proceso de análisis de los datos Cuando hardware y análisis están en el mismo equipo se haba de sonda local ( local probe ) Tradicionalmente los hemos llamado también sniffers

82 Sonda Puede ser un equipo específico O un módulo (hardware) en un conmutador (capa 2 ó 3)

83 Monitorización remota Los resultados del análisis hecho por la sonda deben ir al NMS Cuando el NMS está en un lugar y la sonda en otro segmento se habla de monitorización remota Remonte MONitoring Comunicación mediante SNMP La sonda almacena datos así que no es crítico que pierda contacto con el NMS Network Management Console

84 RMON RMON1 RFC original 1271 (año 1991) para LANs Ethernet (extendida para Token-Ring), hoy obsoleta Hoy en día RFC 2819 Desarrollado para dar estadísticas de tráfico Ethernet y diagnóstico de fallos (número de paquetes, errores de CRC, colisiones...) Inicialmente en la época de hubs y modo promiscuo Se centra en el segmento de red más que en el agente Puede analizar el tráfico (por ejemplo cuánto genera cada host) RMON1 decodifica hasta capa 2 Capa 2 Capa 1

85 RMON2 Año 1997 (RFC 2021) Hoy en día RFC 4502 Remote Network Monitoring Management Information Base Version 2 Decodifica hasta capa de aplicación (sea la capa 7 OSI u otra cosa) frente a RMON1 que solo llega a capa 2 Definido en base a SMIv2 Capa 7 Define varios grupos, pero se pueden no implementar todos Obliga a implementar IF-MIB (RFC 2863) Capa 6 Capa 5 Capa 4 Capa 3 Capa 2 Capa 1

86 MIB RMON La información se guarda mediante una MIB Es el grupo número 16 bajo mib2 (mib-2 16) 10 grupos en la MIB RMON1 Otros 10 en la RMON2 Tablas para indicar parámetros de control Y tablas donde se introducen los datos

87 Cisco Catalyst 2960 RMON: Ejemplo History Control Group : configuración del interfaz y periodo de muestreo Ethernet Statistics Group : estadísticas por interfaz (bytes, paquetes, broadcast, multicast, errores CRC, colisiones, etc) Alarm Group : periódicamente (definido en la tabla) toma muestras de variables de la sonda y compara con umbrales, pudiendo producir eventos (implementa una histéresis) Event Group : las entradas describen los parámetros de un evento que se puede producir. Puede llevar a un log (otra tabla de la MIB) o una trap SNMP

88 Cisco (patentado) NetFlow Origen: IOS mantiene una cache de flujos activos Cache para acelerar la toma de decisiones de reenvío (CEF = Cisco Express Forwarding) Con contadores sobre cada uno (bytes, paquetes, etc) en flow records Para paquetes IPv4 e IPv6 (y MPLS), unicast y multicast Se puede emplear para Monitorización y planificación de red Accounting/billing Traffic matrix Detectar ataques Ligeramente diferente en routers y switches (switches gama alta) Tiene efecto en el uso de CPU del equipo

89 NetFlow: flujos RFC 3954: An IP Flow, also called a Flow, is defined as a set of IP packets passing an Observation Point in the network during a certain time interval. All packets that belong to a particular Flow have a set of common properties derived from the data contained in the packet and from the packet treatment at the Observation Point. Flujos unidireccionales Una serie de valores (keys) del paquete determinan el flujo: Direcciones IP origen y destino Protocolo sobre IP Puertos de transporte origen y destino Interfaz por el que llegan los paquetes DSCP

90 Netflow: valores Número de paquetes y bytes Timestamp de primer y último paquete Interfaz de entrada y salida Next-hop ASN origen y destino Puede añadir Layer 2 Dirección MAC origen y VLAN ID de tramas recibidas Dirección MAC destino y VLAN ID de tramas transmitidas Para seguridad puede añadir Máximo y mínimo TTL Máxima y mínima longitud de paquete IPID Código y tipo ICMP Flags TCP acumulados Versión 9 provee una definición más flexible del registro para poder añadir campos (templates)

91 NetFlow: agregación Versiones: 1 (legacy), 5, 7 (solo Catalyst), 8 (agregación), 9 (flexible y extensible), 10 (IPFIX) Agregación: Por AS origen y destino Por dirección o prefijo IP origen y destino Por protocolo y puerto etc. B. Claise y R. Wolter, Network Management: Accounting and Performance Strategies, Cisco Press

92 NetFlow: exportación Los flujos se eliminan de la cache por inactividad Con actividad, llegado un tiempo máximo también se eliminan Flujos TCP se eliminan ante banderas de FIN o RST Si se llena la cache elimina flujos que no han caducado Estos flow records se exportan a un collector por UDP o SCTP (RFC2960) Puede ser un ordenador o un módulo en un router/switch Exporta múltiples registros en un paquete Una aplicación de gestión puede analizar esos registros o exportarse a MIB RMON

93 RMON: Ejemplo (NAM-3) Cisco Catalyst 6500 Series Network Analysis Module (NAM-3) El trabajo de monitorización es exigente Se puede llevar a cabo en módulos especializados

94 RMON: Ejemplo (NAM-3)

95 RMON: Ejemplo (NAM-3)