Gestión de Redes con Software Libre. Phd(c) Julio César Gómez Castaño jgomez@umanizales.edu.co

Gestión de Redes con Software Libre Phd(c) Julio César Gómez Castaño jgomez@umanizales.edu.co 1

Contenido Introducción Gestión de Redes SNMP Herramientas de Gestión de Redes Proyectos de Investigación Análisis de Tráfico en Empresas Conclusiones Referencia 2

Una Definición: Qué es la Gestión de Redes? «planificación, organización, supervisión y control de elementos de comunicaciones para garantizar un nivel de servicio, y de acuerdo a un coste» López (2003, 15) Se gestiona para garantizar un nivel de servicio a partir de una red o sistemas con recursos limitados. La gestión de red colabora con el incremento de la efectividad, la mejora de la disponibilidad y rendimiento de los elementos del sistema 3

Gestión de Red: Modelo FCAPS Según la Union Internacional de Telecomunicaciones ITUT (2000), las áreas funcionales del Modelo FCAPS: Gestión de Fallas (Fault) Gestión de Configuraciones (Configuration) Gestión de Contabilidad (Accounting) Gestión del Rendimiento (Performance) Gestión de Seguridad (Security) 4

Gestión de Fallas Monitorización o seguimiento del sistema gestionado con el fin de detectar posibles problemas Sondeo regular de los elementos de la red Políticas de actuación en caso de fallo para recuperarse de estos problemas Aislar la falla Diagnóstico de los componentes de la red Reaccionar ante la falla Asignación de recursos para resolver fallas Determinación de prioridades Escalada técnica y de gestión Resolver la falla Notificación 5

Gestión de Configuraciones Estado actual de la red (Información de la Red) Registro de la topología Estático Qué está instalado Dónde está instalado Cómo está conectado Quién responde por cada dispositivo o servicio Cómo comunicarse con los responsables Dinámico Estado operacional de los elementos de la red Modificación del Comportamiento de los dispositivos Almacenamiento de la Información que determina el comportamiento La información no es información si no se puede encontrar" 6

Gestión de Contabilidad Tiene como objetivo medir que se hace de la red y distribuir los costos entre los distintos usuarios de acuerdo con distintas políticas Qué necesita contabilizar? La utilización de la red y los servicios que provee 7

Gestión de Rendimiento Consiste en realizar un seguimiento de la adecuación de la red a su propósito manteniendo la calidad de servicio (QoS) deseada, mediante la obtención de estadísticas que incluyen para qué se utiliza la red y cual es la eficiencia en el uso de los recursos físicos y lógicos existentes 8

Gestión de Seguridad Controlar acceso a los recursos de la red por parte de los distintos usuarios posibles y proteger la información en tránsito de acuerdo a unas políticas bien definidas. Uso periódico de herramientas para analizar y controlar el uso legítimo de la red 9

Arquitectura de Seguridad - Defensa en Profundidad (Sans) Se necesita estar seguros que si una medida de contraataque falla, es porque existen más protección detrás. Si todo falla, se necesita estar listos para detectar que cosas han ocurrido. 10

Gestión de Seguridad: Defensa en Profundidad En la Red Firewall Perimetral Autenticación Antivirus Sistema de Detección/Prevensión de Intrusos (IDS/IPS) En los hosts Firewall Autenticación Antivirus Tipos de Usuarios y aplicaciones En las Aplicaciones parchadas Autenticación Engañando al atacante (fingerprint) Información Criptografía 11

Red con Defensa en Profundidad 12

Ejemplos de Firewall Libres: Smoothwall, Endian, Ipcop, ipfire, zeroshell Comerciales: ASA, Check Point, Packeteer,netlimiter, fortinet) Fuente: Smootwall Julio César Gómez C. Universidad de Manizales 13

Herramientas de Seguridad TOP 100 (sectools.org) Nessus, Wireshark, Snort, Netcat, etc 14

Herramientas de seguridad 10 Best LiveCd http://www.darknet.org.uk/2006/03/10-best-security-live-cd-distros-pentest-forensics-recovery/ BackTrack, Operator, PHLAK, Auditor, etc 15

Gestión de Seguridad: Herramientas Herramientas de Seguridad Análisis de vulnerabilidades Nessus (www.nessus.org) Análisis de bitácoras (logs) swatch reportes via e-mail Filtros de Servicios iptables, tcpwrappers Cifrado SSH cifrado de sesiones interactivas remotas Revisión de Integridad Tripwire monitoriza cambios en los archivos Mantenerse al día con la información de seguridad Reportes de bugs CERT BugTraq Mantener software en últimas versiones 16

Proyectos de Gestión de Red Sistemas de gestión de red comerciales más utilizadas en las grandes redes del mercado mundial son: HP-OpenView IBM Tivoli Network Manager, CiscoWorks (Cisco System) Aranda IT Asset Management (Aranda Software) 17

En el mundo libre? Qué herramientas usar? Qué necesito realmente? Mantener lo más simple posible! No gastar demasiado tiempo desarrollando las herramientas ( Se supone que son para ayudarle a usted!) Hacer uso de herramientas disponibles en SourceForge.net FreshMeat.net Automatizar las tareas 18

Ejemplo En el Software libre no existe una herramienta única, que tenga integrada un sistema de gestión de red, se debe utilizar varias herramientas: NetDot (Network Documentation Tool) para la documentación de la red, RT (Request Tracert) para en el manejo del seguimiento a problemas y ayuda a los usuarios Nagios para la supervisión de servicios y dispositivos en la red Subversion para el sistema de control de versiones de archivos de configuración y código fuente de los programas Smokeping para la supervisión de la latencia y pérdida de paquetes en la conexión a Internet Cacti para las estadísticas del tráfico en los enlaces de backbone, Internet y de los servidores Zenoss 19

Qué es SNMP? Simple Network Management Protocol (Protocolo Simple de Gestión de Red) Sistema tipo consulta/respuesta Se puede obtener el estado de un dispositivo Variables estándar Variables específicas del fabricante Utiliza una base de datos definida en una MIB Management Information Base 20

Componentes de SNMP Sistema de Gestión de Red (NMS) Los sistemas gestores son los elementos que interactúan con los operadores humanos y permiten a estos realizar las operaciones de gestión sobre los elementos de red a través de los agentes. Los agentes de gestión, localizados en los dispositivos gestionados, son componentes lógicos o físicos que manejan la información de los elementos de red que puede ser gestionada, e interactúan con los sistemas gestores 21

El protocolo SNMP Generalmente utilizado en modo pregunta-respuesta Ya sea para leer (get) o escribir un dato (set) También puede enviar mensajes (no-solicitados) a la entidad gestora para notificar acerca de algún estado anormal. Ejemplos: Cuando una interfaz se cae La utilización del CPU sobrepasa el 85% Estos mensajes se conocen como traps Cada tipo de mensaje tiene un correspondiente PDU (Protocol Data Unit) 22

Para qué usamos SNMP? Consultar enrutadores y switches para obtener: Octetos entrantes y salientes (calcular tráfico por segundo) Tramas descartadas Carga del CPU Memoria utilizada/disponible Tiempo de operación Tablas de ARP Tablas de reenvío 23

SNMP: Estado actual de la implementación Prácticamente todos los equipos de red soportan SNMPv1 La mayoría de los equipos actualmente soportan SNMPv2 Hoy día muchos fabricantes aún no han implementado SNMPv3 24

SNMP: variables sysuptimeinstance syscontact.0 sysdescr.0 sysname.0 syslocation.0 snmpenableauthentraps.0 ipforwarding.0 ipdefaultttl 25

SNMP: variables ifoperstatus ifadminstatus ifdescr iftable ifdescr ifoperstatus ifadminstatus 26

SNMP: ejemplos snmpwalk -v 2c -c public 172.28.16.2 snmpwalk -v 2c -c public 127.0.0.1 snmpwalk -v 2c -c public 201.228.3.18 /venus (colecta la tabla de interfaces de Router y switch) snmptable -v 2c -c public 192.168.1.3 IfTable snmpwalk -v 2c -c public 172.28.16.2 sysuptimeinstance //29 dias prendido snmpwalk -v 2c -c public 172.28.16.2 syscontact snmpwalk -v 2c -c public 172.28.16.2 snmpenableauthentraps.0 27

Detección y Gestión de Fallas Cómo saber si hay un problema en la red? Herramientas de monitorización Utilidades Comunes ping Traceroute Ethereal Snmp Sistemas de Monitorización HP Openview, etc Nagios Big Brother Reportes de estado Separar lo que son: Nodos no-operativos (down) Nodos no alcanzables (unreachable) 28

Análisis local Antes de echar la culpa a la red, verificar si los problemas son nuestros. Qué puede ir mal localmente: Problemas de hardware Carga excesiva (CPU, memoria, I/O) Qué es considerado 'normal'? Uso frecuente de herramientas de análisis Familiarizarse con los valores y estado de la máquina Es esencial mantener historia Agentes SNMP y bases de datos 29

Análisis local En Unix/Linux existen docenas de herramientas útiles (y libres) que ofrecen mucha información sobre la máquina Entre las más conocidas vmstat - tcpdump - iperf top - wireshark lsof (list open file) - iptraf netstat - ntop 30

top Herramienta básica de análisis de desempeño en un entorno Unix/Linux Muestra periódicamente una lista de estadísticas acerca del desempeño del sistema: Uso del CPU Uso de la memoria RAM y SWAP Carga promedio (load average) Información por proceso 31

netstat Muestra información sobre: Conexiones de red Tablas de encaminamiento Estadísticas de interfaz Servicios activos Programas asociados a un servicio 32

lsof (List Open Files) lsof es particularmente útil porque en Unix todo es un archivo: sockets unix, sockets ip,directorios... Permite asociar archivos abiertos con: -p : PID de un proceso -i : una dirección de Internet (protocolo:puerto) -u: un usuario 33

tcpdump Muestra los encabezados de los paquetes recibidos en una interfaz dada. Opcionalmente, filtra basado en expresiones booleanas Permite escribir la información en un archivo para su posterior análisis Requiere privilegios de administrador (root), dado que ha de configurarse la interfaz de red en modo 'promiscuo Generar un archivo y abrirlo con Wireshark 34

WireShark Wireshark es un analizador con interfaz gráfica basado en libpcap, la misma biblioteca de captura de paquetes utilizada por tcpdump La interfaz gráfica ofrece ciertas ventajas, por ejemplo: Visualización jerárquica por protocolo (TCP, UDP, IP) Mostrar una 'conversación' TCP (Follow TCP Stream) Colores para distinguir tipos de tráfico Múltiples estadísticas, gráficos, etc. 35

http - Sniffer Consulta web a http://www.cdlibre.org, filter es http Encapsula HTTP-> TCP IP - Ethernet 36

IPTRAF Múltiples estadísticas Por protocolo/puerto Por tamaño de paquetes Genera logs Ventajas Simplicidad Basado en menús (utiliza 'curses') Configuración flexible Instalación facil (yum install iptraf apt-get install iptraf) 37

IPTRAF 38

ntop: Network Top Equivalente a top, pero para información de red Información por nodo, protocolo de red, protocolo IP, estadísticas, gráficos, etc. Interfaz web (servidor web integrado!) Con soporte SSL Dispone de varios plugins que extienden sus funcionalidades Archivos RRD Análisis de NetFlow Instalación facil (yum install ntop apt-get install ntop) Ntop d w 3005 (inicia), browser https://dir_ip:3005 39

ntop: Network Top 40

Monitorear trafico de la toda la red hacia Internet Para monitorear el trafico de un puerto, puede usar: Un hub o El Tráfico de un del switch se puede reenviar a otro puerto (port mirror) y en ese puerto se conecta un equipo con el WireShark y/o el ntop 41

iperf Para medir rendimiento de la red entre dos puntos. iperf tiene dos modos, servidor y cliente. Facíl de usar Excelente para determinar los parámetros óptimos de TCP Permite modificar el tamaño de ventana TCP Con UDP, genera reportes de jitter y pérdida de paquetes Instalación facil (yum install iperf apt-get install iperf) 42

iperf $ iperf -s ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 85.3 KByte (default) ------------------------------------------------------------ [ 4] local 172.28.18.14 port 5001 connected with 201.228.3.18 port 39601 [ 4] 0.0-11.9 sec 608 KBytes 419 Kbits/sec ------------------------------------------------------------ # iperf -c 172.28.18.14 ------------------------------------------------------------ Client connecting to 172.28.18.14, TCP port 5001 TCP window size: 16.0 KByte (default) ------------------------------------------------------------ [ 3] local 201.228.3.18 port 39601 connected with 172.28.18.14 port 5001 [ 3] 0.0-10.3 sec 608 KBytes 485 Kbits/sec 43

iperf Trafico udp en el servidor # iperf s u -i ------------------------------------------------------------ # iperf -c 172.28.18.14 u b100m ------------------------------------------------------------ Client connecting to 172.28.18.14, TCP port 5001 TCP window size: 16.0 KByte (default) ------------------------------------------------------------ [ 3] local 201.228.3.18 port 39601 connected with 172.28.18.14 port 5001 [ 3] 0.0-10.3 sec 608 KBytes 485 Kbits/sec 44

Monitoreo Latencia 45

Nagios Herramienta principalmente de monitorización activa de disponibilidad de equipos y servicios Posiblemente la más utilizada en la categoría de software libre Interfaz Web CGIs escritos en C para mayor velocidad Soporta miles de nodos/servicios Instalación facil (yum install nagios3 apt-get install nagios3) 46

Ventajas La verificación de disponibilidad se delega en plugins La arquitectura es muy simple, por lo que es fácil escribir plugins (en cualquier lenguaje) Existen docenas de plugins, muchos contribuidos por terceros Chequeos en paralelo (usando forking) Configuraciones (en archivos de planos) muy detalladas y basadas en plantillas Utiliza información topológica para determinar dependencias (diferencia entre inalcanzable y caido) Estado de un servicio (Down, Unreachable,Recovery, Flapping, None) Multiple sistema de Notificación (e-mail, SMS, beeper,etc) 47

Gestión de Red Monitoreo de la Topología Topología de la Red Universidad de Manizales y su estado: SNMP y Nagios Fuente: Nagios Julio César Gomez C. Universidad de Manizales 48

Gestión de Red Monitoreo de Servicios Servicios de Red Universidad de Manizales y su estado: SNMP, ICMP, TCP, UDP y Nagios Fuente: Nagios Julio César Gomez C. Universidad de Manizales 49

Gestion de Logs Los logs son la principal fuente de información acerca de la actividad de la red y los sistemas Esenciales para: Detección de ataques e intrusos Detección de problemas de hardware/software Análisis forense de sistemas La clave de la monitorización pasiva es la centralización de los mensajes 50

Servidor Log Central 51

Netdot (Network documentation Tool) Dispositivos de Red pueden adicionar por snmp o manualmente, interfaces, vlan, direcciones IP, tablas arp, topología, imagenes, historial de cambios, Cableado del backbone, edificios, tipo de fibra, mediciones y pruebas Cableado de interior, toma de red (oficina) Closet, datos físicos, tipos de cables, fotos Contactos basado en individuos y roles Inventario de dispositivos Exportacion de Configuración (nagios, sysmon, Rancid,Cacti) Servicios (DNS, DHCP) 52

Netdot (Universidad de Oregon) 53

Proyectos Investigación MOMENT: la supervisión y medición de tráfico, con Ontologías SOCRATES: Auto-optimización y auto-configuración de redes inalámbricas CAIDA: Análisis de tráfico, enrutamiento, topología de Internet ETOMIC: Mediciones de tráfico en Europa en Tiempo real: retrasos, disponibilidad de canales de transmisión en Internet MonOnTo: Calidad de servicio en Tiempo real dependiende del tipo de usuario y estado actual de la red. Trabaja con políticas del negocio ANA: Arquitecturas de Red Automáticas, diseñando nuevas redes AUTOI: Internet Automático Diseñando un nuevo Internet. 54 54

Técnicas Inteligencia Artificial Técnicas y estrategias de IA y de Computación y Redes Autonómicas aplicados a los problemas de Gestión de Redes y fallos (Redes Bayesianas, correlaciones, Razonamiento basado en casos y reglas) 55

Computación Autonómica Computación Automática para Gestionar la Red 56

Arquitectura Focale Sistema FOCALE para la Gestión de redes Automáticas. 57

Ontologías Configuración Ontologías para Interoperabilidad para la gestión de configuración de dispositivos, al configurar el protocolo de enrutamiento OSPF entre routers 58 58

Resultados Obtenidos Modelo Inicial Sistema Multi-agente para obtención de datos de los recursos de los equipos supervisados mediante consultas SNMP Monitoreo de tráfico por los servicios TCP/IP Datos son almacenados en una Base de Datos Sistema Multi-agente distribuido 59 59

Resultados Obtenidos Modelo Inicial Utilizando la Metodología UPSAM (Casos de Uso,definición de roles y agentes, Modelo de Arquitectura y organización de Agentes, Modelo de Recursos, etc ) 60 60

Resultados Obtenidos Modelo Inicial Uso Promedio de recursos (procesador, memoria, disco duros) y Estadística de tráfico, alertas por espacio utizado y errores por NIC 61 61

Resultados Obtenidos Sistemas Operativos utilizados Windows XP y Ubuntu Java Jade MySQL Librería jpcap Librería WinPcap 62

Ejemplo de Gestión de redes en Empresas Corporativas - Metodología Estructura Desglosada del Trabajo (WBS - Work Breakdown Structure), es una técnica de planeación, mediante la cual se define y cuantifica el trabajo a realizar en todo el proyecto. Lotes de Control (LC) y Lotes de Trabajo (LT), De cada LT se define: Objetivo, Alcance y Actividades 63

Topologia de la Red Empresa Uno 64

Descripción de los equipos de la Empresas Empresa Subredes Equipos Teléfono IP Cámaras IP A 14 170 158 16 B 10 220 15 0 C 1 700 0 0 65

Análisis de tráfico back bone principal Empresa A Se pudo apreciar un bajo flujo de datos a través de conexiones que son enlaces a un Gigabits, presentando un flujo constante de 27 Megabits por segundo (Mb/s) de tráfico de Entrada y de 25 Mb/s de tráfico de salida 66

Análisis de tráfico Servidor de Video Trafico servidor de video tiene instalado un software para el manejo del video y control de acceso. Donde presentando un flujo entre 18 y 25 Mb/s de tráfico de Entrada con pequeños picos de 40Mbs y de 25 Mb/s de tráfico de salida entre 27 y 30 Mb/s 67

Tráfico backbone Empresa B se aprecia el tráfico del backbone de la Empresa B, donde hay picos de tráfico de 2 MegaBits de Entrada por segundo y el flujo promedio de 0.5 Megabits por segundo (Mb/s) de tráfico de Entrada y de 0.2 Mb/s de tráfico de salida. 68

Conclusiones Las redes independientemente de su tamaño y ancho de banda, normalmente utilizan el 15%. Es posible que administradores soliciten aumentar el ancho de banda o cambiar el cableado de la red sin requerirlo, porque no realizan un análisis de tráfico. Es usual en las empresas que tiene problemas en el desempeño de los servicios de la red corporativa o de la conexión a Internet, culpar a la red de la congestión que se está presentando, utilizando herramientas de gestión de redes, ayuda a encontrar la causa del problema y muchas veces la causa no es el tráfico de la red. Utilizando software libre se puede realizar una buena gestión de la red en las empresas, es más difícil la configuración y puesta a punto, pero se justifica la inversión en tiempo, ya que se aprende mucho más que cuando se trabaja con programas comerciales.. 69

Conclusiones Es importante utilizar en la administración de las redes sistemas de gestión, ya que permiten conocer mejor su estado y desempeño, lo cual facilita su administración y ayuda para la planeación del crecimiento de los recursos de la red. La gestión de redes son temas muy actuales y se están desarrollando muchos proyectos orientados al diseño, implementación y gestión de redes Inteligentes, supervisión de tráfico y redes que se auto-controlan y que utilizan como insumos los datos arrojados por muchas de las herramientas mencionadas en el presente trabajo; lo cual es importante para futuras investigaciones. 70

Referencia Artículo Gestión de Redes para la Supervisión de Tráfico IP en redes corporativas en revisión en la revista Ventana Informática de la Universidad de Manizales número 26. En el cual están todas las referencias 71

Preguntas Dudas???? 72