SEGURIDAD PERIMETRAL



Documentos relacionados
Gestión de Redes IP. Presentación realizada por: Ing. Pablo Borrelli. Gestión de Redes IP 1

OBSERVER Que topologías para el Análisis y Monitoreo de Redes contempla?

Monitorización de sistemas y servicios

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

INSTITUTO TECNOLÓGICO DE SALINA CRUZ. Fundamentos De Redes. Semestre Agosto-Diciembre Reporte De Lectura

TELECOMUNICACIONES Y REDES

Modelo de Conectividad para Redes Humanas

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Eagle e Center. Tel Bogotá Colombia. estadístico que genera reportes gráficos y consolidados de esta información.


Beneficios estratégicos para su organización. Beneficios. Características V

Ing. Leonardo Uzcátegui WALC 2010 Santa Cruz de la Sierra /Bolivia

RENZO TACO COAYLA. Administración de Infraestructura TIC

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

TELECOMUNICACIONES Y REDES

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

Capítulo 5. Cliente-Servidor.

Aspectos Básicos de Networking

INTRODUCCION. Ing. Camilo Zapata Universidad de Antioquia

Con SNMP y MIB-II sólo se puede recuperar información local a los dispositivos.

Introducción a las redes de computadores

Manual de Procedimientos

Sistema de Monitoreo de red. Una solución OpenSource para obtener información sobre estado y tráfico de enlaces

INFORME TECNICO PREVIO SOFTWARE DE SOPORTE ANALIZADOR DE REDES

Monitorización y gestión de dispositivos, servicios y aplicaciones

Efectos de los dispositivos de Capa 2 sobre el flujo de datos Segmentación de la LAN Ethernet

Políticas para Asistencia Remota a Usuarios

DISPOSITIVO DE BANDA ANCHA

Diseño de Redes de Área Local

1. Introducción a la Gestión de Redes

La Pirámide de Solución de TriActive TRICENTER

UNIVERSIDAD DE ALCALÁ - DEPARTAMENTO DE AUTOMÁTICA Área de Ingeniería Telemática LABORATORIO DE COMUNICACIÓN DE DATOS (CURSO 2011/2012)

Redes de Computadores I

LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

REDES DE COMPUTADORES Laboratorio

ing Solution La forma más efectiva de llegar a sus clientes.

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

GESTIÓN REMOTA Y CENTRALIZADA DE DISPOSITIVOS MÓVILES PROPUESTA DE COLABORACIÓN.

Ingeniería de Software. Pruebas

SERVIDOR VIRTUAL IPLAN INTRODUCCIÓN AL SERVICIO

ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES

NETFLOW Herramientas de análisis de tráfico

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

FORMACIÓN Gestión de redes telemáticas

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

NexTReT. Internet Status Monitor (ISM) Whitepaper

INSTALACIÓN DE COMPONENTES Y MONITORIZACIÓN DE LA RED DE ÁREA LOCAL.

1 of 6. Visualizador del examen - ENetwork Chapter 5 - CCNA Exploration: Network Fundamentals (Versión 4.0)

SOLUCIONES EN SEGURIDAD INFORMATICA

ABC SCORING SOLUTION EXPRESS

USB (Universal Serial Bus)

TELECOMUNICACIONES Y REDES

INFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN

10 razones para cambiarse a un conmutador IP

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

(decimal) (hexadecimal) 80.0A.02.1E (binario)

Capitulo 3. Desarrollo del Software

INFORME TECNICO PARA ADQUISICION DE SOFTWARE PARA EL MONITOREO DE INTEGRADO DE INFRAESTRUCTURA

TIPO DE DOCUMENTO PRESENTACION TITULO DEL DOCUMENTO MONITOREO SERVIDORES Y BASES DE DATOS

CAPITULO I FORMULACION DEL PROBLEMA

Brindamos asesorías que involucran tecnología y personal calificado, estos hacen de DOCTUM su mejor aliado.

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

CAPITULO I El Problema

INFORME CAPACITY PLANNING BANCO ESTADO DE CHILE PERIODO: JULIO - SEPTIEMBRE 2010

Escuela de Ingeniería Electrónica CAPITULO 11. Administración avanzada de los NOS

WINDOWS : TERMINAL SERVER

Elementos Monitoreados

Monitoreando Redes con Linux. Ing. Pedro Alejandro Toribio P. Especialista en Conectividad y Seguridad en

CELERINET ENERO-JUNIO 2013 ESPECIAL

Unidad I: La capa de Red

CAPAS DEL MODELO OSI (dispositivos de interconexión)

QUE ES COMLINE MENSAJES? QUE TIPO DE MENSAJES PROCESA COMLINE MENSAJES?

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

White Paper. CISCO Introducción a las herramientas para recolección de datos

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

OBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013

Redes I Soluciones de la Práctica 1: /etc/network/interfaces, tcpdump y wireshark

para facilitar el soporte proactivo y el control de SLAs de los enlaces.

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Especificación para el Sistema de administración de datos y monitoreo en línea de baterías para sistema de UPS

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

Unidad IV: TCP/IP. 4.1 Modelo Cliente-Servidor

Evaluación, Reestructuración, Implementación y Optimización de la Infraestructura de Servidores, Base de Datos, Página Web y Redes

Seguridad de la información: ARP Spoofing

Plantilla para Casos de Éxito

ADMINISTRACION DE REDES

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

NOTAS TÉCNICAS SOBRE EL SIT: Definición y Configuración de Usuarios

Anexo ALFA. Especificaciones Técnicas FUERZA AÉREA ARGENTINA DIRECCIÓN GENERAL DE SALUD DIBPFA

5 Cuales de las siguientes opciones son formas de medición del ancho de banda comúnmente utilizadas? (Elija tres opciones).

Dispositivos de Red Hub Switch

Transcripción:

SEGURIDAD PERIMETRAL MONITOREO DE RECURSOS DE RED Dirección General de Servicios de Cómputo Académico

MONITOREO DE RECURSOS DE RED Primera Edición ING. CARLOS ALBERTO VICENTE ALTAMIRANO UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO MÉXICO 2005

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Rector Juan Ramón de la Fuente Secretario General Enrique del Val Blanco Director General de Servicios De Cómputo Académico Dr. Alejandro Pisanty Baruch Directora de Cómputo para la Investigación Dra. Genevieve Lucet Lagriffoul Jefe del Departamento de Seguridad en Cómputo Lic. Juan Carlos Guel López SEMINARIO ADMIN-UNAM SEGURIDAD PERIMETRAL Tema: Monitoreo de Recursos de Red Editor Dirección General de Servicios de Cómputo Académico Dirección de Cómputo para la Investigación Número de la edición: Junio 2005. 2005 Universidad Nacional Autónoma de México Esta edición y sus características son propiedad de la Universidad Nacional Autónoma de México. Ciudad Universitaria, México, DF Ni la totalidad ni parte de esta publicación puede reproducirse, registrarse o transmitirse en ninguna forma ni por ningún medio, sin la previa autorización escrita del editor. Impreso y hecho en México

Monitoreo de recursos de red Carlos A. Vicente Altamirano UNAM-DGSCA Dirección de Telecomunicaciones, Departamento de Redes Centro de Operación de RedUNAM carlos@noc.unam.mx Resumen. En el presente trabajo se aborda el tema del monitoreo de redes, describiendo las técnicas de monitoreo, los elementos a tomar en cuenta en un esquema de monitoreo así como un resumen de algunas herramientas para su implementación. Índice 1. Introducción...1 2. Enfoques de monitoreo...1 2.1. Monitoreo Activo....2 2.1.1. Técnicas de monitoreo activo...2 2.2. Monitoreo Pasivo...2 2.2.1. Técnicas de monitoreo pasivo...2 3. Estrategia de monitoreo...3 3.1. Qué monitorear...3 3.2. Métricas...4 3.3. Alarmas...4 3.4. Elección de herramientas...4 4. Ejemplo de monitoreo basado en el protocolo SNMP...5 5. Topología del sistema de monitoreo...6 6. Referencias...7 1. Introducción La detección oportuna de fallas y el monitoreo de los elementos que conforman una red de cómputo son actividades de gran relevancia para brindar un buen servicio a los usuarios. De esto se deriva la importancia de contar con un esquema capaz de notificarnos las fallas en la red y de mostrarnos su comportamiento mediante el análisis y recolección de tráfico. A continuación se habla sobre los enfoques activo y pasivo de monitoreo y sus técnicas, también se toca el tema de cómo crear una estrategia de monitoreo incluyendo la definición de métricas y la selección de las herramientas. 2. Enfoques de monitoreo Existen, al menos, dos puntos de vista para abordar el proceso de monitorear una red: el enfoque activo y el enfoque pasivo. Aunque son diferentes ambos se complementan. 1

2.1. Monitoreo Activo. Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o enviando paquetes a determinadas aplicaciones midiendo sus tiempos de respuesta. Este enfoque tiene la característica de agregar tráfico en la red. Es utilizado para medir el rendimiento en una red. 2.1.1. Técnicas de monitoreo activo Basado en ICMP. Diagnosticar problemas en la red Detectar retardo, pérdida de paquetes. RTT Disponibilidad de host y redes. Basado en TCP Tasa de transferencia Diagnosticar problemas a nivel aplicación Basado en UDP Pérdida de paquetes en un sentido (one-way) RTT (traceroute) 2.2. Monitoreo Pasivo. Este enfoque se basa en la obtención de datos a partir de recolectar y analizar el tráfico que circula por la red. Se emplean diversos dispositivos como sniffers, ruteadores, computadoras con software de análisis de tráfico y en general dispositivos con soporte para snmp, rmon y netflow. Este enfoque no agrega tráfico en la red como lo hace el activo. Es utilizado para caracterizar el tráfico en la red y para contabilizar su uso. 2.2.1. Técnicas de monitoreo pasivo Solicitudes remotas Mediante SNMP Esta técnica es utilizada para obtener estadísticas sobre la utilización de ancho de banda en los dispositivos de red, para ello se requiere tener acceso a dichos dispositivos. Al mismo tiempo, este protocolo genera paquetes llamados traps que indican que un evento inusual se ha producido. Otros métodos de acceso Se pueden realizar scripts que tengan acceso a dispositivos remotos para obtener información importante para monitorear. En esta técnica se pueden emplear módulos de perl, ssh con autenticación de llave pública, etc. 2

Captura de tráfico Se puede llevar a cabo de dos formas: 1) Mediante la configuración de un puerto espejo en un dispositivo de red, el cual hará una copia del tráfico que se recibe en un puerto hacia otro donde estará conectado el equipo que realizará la captura; y 2) Mediante la instalación de un dispositivo intermedio que capture el tráfico, el cual puede ser una computadora con el software de captura o un dispositivo extra. Esta técnica es utilizada para contabilizar el tráfico que circula por la red. Análisis de Tráfico Se utiliza para caracterizar el tráfico de la red, es decir, para identificar el tipo de aplicaciones que son mas utilizadas. Se puede implementar haciendo uso de dispositivos probe que envíen información mediante RMON o a través de un dispositivo intermedio con una aplicación capaz de clasificar el tráfico por aplicación, direcciones IP origen y destino, puertos origen y destino, etc. Flujos También utilizado para identificar el tipo de tráfico utilizado en la red. Un flujo es un conjunto de paquetes con La misma IP origen y destino El mismo puerto TCP origen y destino El mismo tipo de aplicación. Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos que sean capaces de capturar tráfico y transformarlo en flujos. También es usado para tareas de facturación (billing). 3. Estrategia de monitoreo Antes de implementar un esquema de monitoreo se deben tomar en cuenta los elementos que se van a monitoreo así como las herramientas que se utilizarán para esta tarea. 3.1. Qué monitorear Una consideración muy importante es delimitar el espectro sobre el cual se va a trabajar. Existen muchos aspectos que pueden ser monitoreados, los más comunes son los siguientes: Utilización de ancho de banda Consumo de CPU Consumo de memoria Estado Físico de las conexiones Tipo de tráfico Alarmas Servicios (Web, correo, base de datos) Es importante definir el alcance de los dispositivos que van a ser monitoreado, puede ser muy amplio y se puede dividir de la siguiente forma. 3

Dispositivos de Interconexión Ruteadores, switches, hubs, firewall Servidores Web, Mail, DB Red de Administración Monitoreo, Logs, Configuración. 3.2. Métricas La definición de métricas permitirá establecer patrones de comportamiento para los dispositivos que serán monitoreados. También hay diversos tipos de métricas que pueden ser declarados, dependerán de las necesidades particulares de cada red. Las métricas deben ser congruentes con los objetos a monitorear que fueron señalados en el punto anterior. Algunos ejemplos son: Métricas de tráfico de entrada y salida Métricas de utilización de procesador y memoria Métrica de estado de las interfaces Métrica de conexiones lógicas A cada métrica se le asigna un valor promedio, el cual identifica su patrón de comportamiento. 3.3. Alarmas Las alarmas son consideradas como eventos con comportamiento inusual. Las alarmas mas comunes son las que reportan cuando el estado operacional de un dispositivo o servicio cambia. Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras métricas, son valores máximos conocidos como umbrales o threshold. Cuando estos patrones son superados se produce una alarma, ya que es considerado como un comportamiento fuera del patrón. Algunos tipos de alarmas son: Alarmas de procesamiento Alarmas de conectividad Alarmas ambientales Alarmas de utilización Alarmas de disponibilidad (estado operacional) 3.4. Elección de herramientas Existe un gran número de herramientas para resolver el problema del monitoreo de una red. Las hay tanto comerciales como basadas en software libre. La elección depende de varios factores, tanto humanos, económicos como de infraestructura: a) El perfil de los administradores, sus conocimientos en determinados sistemas operativos; b) los recursos económicos disponibles c) el equipo de cómputo disponible. En esta ocasión se hará énfasis tres herramientas: 4

Cacti. Es una completa solución para el monitoreo de redes. Utiliza RRDTool para almacenar la información de los dispositivos y aprovecha sus funcionalidades de graficación. Proporciona un esquema rápido de obtención de datos remotos, múltiples métodos de obtención de datos (snmp, scripts), un manejo avanzado de templates, y características de administración de usuarios. Además, ofrece un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola consola de administración, fácil de configurar. Net-SNMP. Conjunto de aplicaciones para obtener información vía snmp de los equipos de interconexión. Soporta la versión 3 del protocolo la cual ofrece mecanismos de seguridad tanto de confidencialidad como de autenticación. Provee de manejo de traps para la notificación de eventos. Nagios. Aplicación para el monitoreo de servicios, hosts que pertenecen a una red. Es capaz de monitorear si un servicio se encuentra activo o no, o si un hosts se encuentra operacional o no. Muestra el estadio operacional de todos los servicios y hosts en un ambiente Web. Envía notificaciones mediante mail o pager cuando el estado operacional de un elemento a monitorear cambia. 4. Ejemplo de monitoreo basado en el protocolo SNMP. Con esta técnica se monitorea: Utilización de ancho de banda en los enlaces del backbone e internacionales. Consumo de CPU en switches y ruteadores. Alarmas de conexiones físicas Alarmas de conexiones lógicas Alarmas de procesamiento. Definición de métricas y sus valores Objeto a monitorear Métrica Valor Promedio Valor Máximo Ruteador Utilización de CPU 33% 66% Ruteador Utilización de tráfico de salida 10Mbps 30Mbps Como ya se había mencionado si se recibe o se detecta un valor mayor al máximo definido se genera y se envía una alarma a los responsables de la red. 5

Así se reciben las trap # Trap de Link-Up 2004-02-12 20:35:28 switch.unam.mx [IP]: SNMPv2-MIB::sysUpTime.0 = Timeticks: (234092479) 27 days, 2:15:24.79 SNMPv2- MIB::snmpTrapOID.0 = OID: IF -MIB::linkUp IF-MIB::ifIndex.3 = INTEGER: 3 IF-MIB::ifDescr.3 = STRING: Ethernet1 IF-MIB::ifType.3 = INTEGER: ethernetcsmacd(6) SNMPv2- SMI::enterprises.9.2.2.1.1.20.3 = STRING: "up" Así se formatean las trap para notificar una alarma: # Alarma de Conectividad TRAP desde Switch: La interfaz Ethernet 1esta DOWN (FECHA: 03/25/04 HORA: 17:45:41) TRAP desde Switch: La interfaz Ethernet1 esta UP (FECHA: 03/25/04 HORA: 17:45:49) # Alarma de conectividad física TRAP desde Switch: La interfaz Ethernet1 hacia INSTITUCION esta DOWN (FECHA: HORA: 21:22:56) TRAP desde Switch: La interfaz Ethernet1 hacia INSTITUCION esta UP (FECHA: HORA: 21:23:21) Ejemplos de gráficas de utilización y el manejo de en www.cacti.net. Ejemplos de monitoreo de servicios y hosts en www.nagios.org. 5. Topología del sistema de monitoreo El sistema consiste de un servidor que hace las solicitudes mediante el protocolo SNMP a los dispositivos de red, el cual a través de un agente de snmp envía la información solicitada. Ver Figura 4.4. O bien puede ser que el dispositivo envíe mensajes trap al servidor de SNMP anunciando que un evento inusual ha sucedido. Ver figura 5.1. Servidor de SNMP Dispositivo de red (Agente de SNMP) Mensajes SNMP Navegador Web 6

Fig.5.1. Solicitudes mediante SNMP Servidor de SNMP Mensajes trap Dispositivo de red e-mail Localizador Consola de alarmas 6. Referencias Fig. 5.2. Envío de traps Available Bandwidth Measurement in IP Networks. IP Performance Metrics Working Group. TMN. www.itu.int RRDTool. http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/ Cacti. http://www.cacti.net/ Net-SNMP. http://net-snmp.sourceforge.net/ Netflow. http://www.cisco.com/warp/public/732/tech/nmp/netflow/ Flow-tools. http://www.splintered.net/sw/flow-tools/ Flowscan. http://www.caida.org/tools/utilities/flowscan/ Nagios. http://www.nagios.org SNMPv3. http://www.ibr.cs.tu-bs.de/ietf/snmpv3/ 7

UNAM-CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo E-Mail: seguridad@seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43 8

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback