UNIDAD V - ADMINISTRACIÓN Y MONITOREO DE LA RED

ADMINISTRACION Y MONITOREO DE RED

   Los administradores de red son básicamente el equivalente de red de los administradores de sistemas: mantienen el hardware y software de la red.

  Esto incluye el despliegue, mantenimiento y monitoreo del engranaje de la red: switches, routers, cortafuegos, etc. Las actividades de administración de una red por lo general incluyen la asignación de direcciones, asignación de protocolos de ruteo y configuración de tablas de ruteo así como, configuración de autenticación y autorización de los servicios.

  Frecuentemente se incluyen algunas otras actividades como el mantenimiento de las instalaciones de red tales como los controladores y ajustes de las computadoras e impresoras. A veces también se incluye el mantenimiento de algunos tipos de servidores como VPN, sistemas detectores de intrusos, etc.

   Los analistas y especialistas de red se concentran en el diseño y seguridad de la red, particularmente en la resolución de problemas o depuración de problemas relacionados con la red. Su trabajo también incluye el mantenimiento de la infraestructura de autorización a la red.

   La administración de redes se está convirtiendo en una creciente y compleja tarea debido a la variedad de tipos de red y a la integridad de diferentes medios de comunicación, a medida que las redes se vuelven más grandes y más complejas, el costo de la administración aumenta, para ello son necesarias herramientas automáticas para dar el soporte requerido por el administrador, recolectando información acerca del estatus y el comportamiento de los elementos de la red.

Protocolos de administración de red (SNMP)

SNMP (Protocolo Simple de Administración de Red - Simple Network Management Protocol)

    Como una araña en su red, una estación de administración de red SNMP tiene la tarea de monitorear un grupo de dispositivos en una red, dichos dispositivos administrados son servidores, enrutadores, hubs, switches, estaciones de trabajo, impresoras, etc; los cuales poseen un software llamado Agente de gestión (Managment Agent) que proporciona información de su estado y ademas permite su configuración.

    SNMP hace parte de la suite de protocolos de Internet (TCP/IP) y está compuesto por un conjunto de normas de gestión de redes, incluyendo un protocolo de capa de aplicación, un esquema de base de datos, y un conjunto de objetos de datos. SNMP expone la gestión de datos en forma de variables que describen la configuración del sistema administrado. Estas variables pueden ser consultadas y configuradas por medio de sus aplicaciones de gestión. 

Algunos de los objetivos SNMP

• Gestión, configuración y monitoreo remoto de los dispositivos de red
• Detección, localización y corrección de errores
• Registro y estadísticas de utilización
• Inventario y Topología de red
• Planificación del crecimiento de la red.

Componentes SNMP

  Una red con aplicaciones SNMP posee al menos uno o varias estaciones de Administración, cuya función es supervisar y administrar un grupo de dispositivos de red por medio de un software denominado NMS (Network Management System- Sistema de gestión de redes), este se encarga de proporciona los recursos de procesamiento y memoria requeridos para la gestión de la red administrada, la cual a su vez puede tener una o más instancias NMS.

El dispositivo administrado es un nodo de red que implementa la interfaz SNMP, este tambien intercambia datos con el NMS y permite el acceso (bidireccional o unidimensional -solo lectura) a la información específica del nodo. Cada dispositivo administrado ejecuta permanentemente un componente de software llamado agente, el cual reporta y traduce información a través de SNMP con la estación de administración.

  En esencia, los agentes SNMP exponen los datos de gestión a las estaciones de administración en forma de variablesorganizadas en jerarquías, dichas jerarquías junto con otros metadatos (como el tipo y la descripción de las variables), son descritos en una Base de Gestión de Información (MIB Managment Information Base).El protocolo también permite ejecutar tareas de gestión activa, como la modificación y la aplicación de una nueva configuración de forma remota, a través de la modificación de dichas variables. 

OID Object Identifier

    Es el identificador único para cada objeto en SNMP, que proviene de una raíz común en un name space jerárquicamente asignado por la IANA, Los OIDs están organizados sucesivamente para identificar cada nodo del árbol MIB desde la raíz hasta los nodos hojas.

MIB Management Information Base 

  Base de datos con información jerárquicamente organizada en forma de arbol con los datos de todos los dispositivos que conforman una red. Sus principales funciones son: la asignación de nombres simbólicos, tipo de datos, descripción y parámetros de accesibilidad de los nodos OID.

PDU (Protocol Data Unit - Unidad de datos del Protocolo)

   SNMP utiliza un servicio no orientado a conexión como UDP (User Datagram Protocol) para realizar las operaciones básicas de administración de la red, especialmente el envío de pequeños grupos de mensajes (denominados PDUs) entre las estaciones de administración y los agentes. Este tipo de mecanismo asegura que las tareas de gestión no afectan el rendimiento global de la red. SNMP utiliza comúnmente los puertos 161 UDP para obtener y establecer mensajes y 162UDP para capturar mensajes y traps.

=============================================================

| Tipo de | ID de | ... | ... | ... Variables ... |

| PDU |Petición | ... | ... | MIB |

=============================================================

Petición y Respuesta GET (SNMPv1)

    La estación de administración hace UNA petición al agente para obtener el valor de una o muchas variables del MIB, las cuales se especifican mediante asignaciones (los valores no se utilizan). el agente recupera los valores de las variables con operaciones aisladas y envía una respuesta indicando el éxito o fracaso de la petición. Si la petición fue correcta, el mensaje resultante contendrá el valor de la variable solicitada.

Petición GETNext

    La estación de administración hace una petición al agente para obtener los valores de las variables disponibles. El agente retorna una respuesta con la siguiente variable según el orden alfabético del MIB. Con la aplicación de una petición GetNextRequest es posible recorrer completamente la tabla MIB si se empieza con el ID del Objeto 0. Las columnas de la tabla pueden ser leídas al especificar las columnas OIDs en los enlaces de las variables de las peticiones.

Petición GETBulk (SNMPv2)

   La estación de administración hace una petición al agente para obtener múltiples iteraciones de GetNextRequest. El agente retorna una respuesta con múltiples variables MIB enlazadas. Los campos non-repeaters y max-repetitions se usan para controlar el comportamiento de las respuesta.

Set-Request & -Response

    La estación de administración hace una petición al agente para cambiar el valor de una variable, una lista de variables MIB o para la configuración de los agentes. El acceso a las variables se especifica dentro de la petición para que el agente cambie las variables especificadas por medio de operaciones atómicas., despues se retorna una respuesta con los valores actualizados de las variables preestablecidas y con los valores de las nuevas variables creadas. Así mismo existen conjunto de parámetros de configuración (por ejemplo, direcciones IP, switches, ...)

Notificaciones y Trampas(Traps)

    Son mensaje SNMP generados por el agente que opera en un dispositivo monitoreado, estos mensajes no son solicitados por la consola y están clasificados según su prioridad (Muy importante, urgente,... ) . Estas notificaciones se producen cuando el agente SNMP detecta un cambio de parámetros en las variables MIB. Estos mensajes son utilizados por los sistemas de alerta sin confirmación. Los tipos estándar de trampas indican los siguientes eventos:

• (0) Coldstart: El agente se ha reiniciado
• (1) Warmstart: La configuración del agente ha cambiado.
• (2) Linkdown: Alguna interfaz de comunicación está fuera de servicio (inactiva)
• (3) Linkup: Alguna interfaz de comunicación está en servicio (activa).
• (4) Authenticationfailure: El agente ha recibido una solicitud de un NMS no autorizado
• (5) EGPNeighborLoss: Un equipo, junto a un sistema donde los routers están utilizando el protocolo EGP, está fuera de servicio;
• (6) Enterprise: Incluye nuevas traps configuradas manualmente por el administrador de red.

Versiones SMNP

    Las versiones más utilizadas son la versión SNMPv1 y SNMPv2. El SNMPv3 última versión tiene cambios importantes con relación a sus predecesores, sobre todo en temas de seguridad, sin embargo, no ha sido ampliamente aceptada en la industria. 

SNMPv1

     Esta es la versión inicial y la mas utilizada, principalmente debido a la simplicidad del esquema de autenticación y a las políticas de acceso que utiliza el agente SNMP para determinar cuales estaciones de administración pueden acceder a las variables MIB. Una política de acceso SNMP es una relación administrativa, que supone asociaciones entre una comunidad SNMP, un modo de acceso, y una vista MIB.

• Una comunidad SNMP es un grupo de uno o más dispositivos y el nombre de comunidad (cadena de octetos que una estación de administración debe agregar en un paquete de solicitud SNMP con fines de autenticación).
• El modo de acceso especifica como se accede a los dispositivos de la comunidad se les permite con respecto a la recuperación y modificación de las variables MIB de un agente SNMP específico. El modo de acceso: ninguno, sólo lectura, lectura-escritura o sólo escritura. 
• Una vista MIB define uno o más sub-árboles MIB a los cuales una comunidad SNMP específica puede tener acceso. La vista MIB puede ser el árbol MIB o un subconjunto limitado de todo el árbol MIB.

    Cuando el agente SNMP recibe una solicitud de una estación de administración, este verifica el nombre de la comunidad a la que pertenece y la dirección IP para determinar si el host solicitante en realidad es miembro de la comunidad que dice pertenecer. El agente SNMP determina si concede el acceso hasta las variables MIB según lo defina la política de acceso asociada a esa comunidad. Si todos los criterios son verificados y se cumplen. De lo contrario, el agente SNMP genera una captura authenticationFailure o devuelve el mensaje de error correspondiente a la máquina solicitante. 

Formato del mensaje SNMP

======================================================================

| Versión | Nombre de Comunidad | ... PDU ... |

| (Integer) | (Octet Str.) | (Sequence) |

======================================================================

    El diseño de esta versión fue realizado en los años 80, cuando la prioridad era atender la demanda de protocolos generado por el rápido crecimiento de las redes, así que es de esperarse que nadie se haya preocupado por los problemas deautenticación y de seguridad, siendo estas sus principales falencias. La autenticación de los clientes se realiza sólo por la cadena de octetos de Comunidad, en efecto tenemos un tipo de contraseña, que se transmite en texto plano.

SNMPv2

   Incluye mejoras en rendimiento, seguridad, confidencialidad y comunicación entre estaciones de administración. Introduce GetBulkRequest, una alternativa a GetNextRequests iterativo para la recuperación de grandes cantidades de datos de administración en una sola solicitud. Sin embargo, no fue ampliamente aceptado debido a su complejidad y a la poca compatibilidad con los NMSs de la versión anterior; sin embargo este inconveniente se solucionó utilizando agentes proxy y NMS bilingües para ambas versiones de NMS; adicionalmente se desarrolló la versión SNMPv2c un poco más simple, pero sin embargo más segura que la primera versión.

SNMPv3 

     Proporciona importantes características de seguridad y configuración remota:

• Autenticación: Firmas digitales MD5 y SHA1 basadas en usuarios garantiza que el mensaje proviene de una fuente segura. 
• Confidencialidad: Cifrado de paquetes DES y AES para garantizar mayor privacidad
• Integridad: Asegurar que el paquete no ha sido alterado en tránsito, incluye un mecanismo opcional de protección de paquetes reenviados.

Bitácoras

BITÁCORAS DEL SISTEMA

     La seguridad y administración de un sistema operativo tiene en las bitácoras un gran aliado, ya que en ellas se registran los eventos que ocurren el sistema operativo, es decir eventos que el administrador pasaría inadvertidos sin el respaldo de las bitácoras. Para una buena administración de bitácoras es necesario conocer 3 cosas:

1. Conocer el propósito de cada bitácora.
2. Conocer el formato en el que se presenta la información.
3. Conocer los ataques propios de cada servicio.

BITÁCORAS BÁSICAS

Messages.

     Este archivo contiene bastante información, por lo que debemos buscar

sucesos inusuales, aquí podemos ver todos los mensajes que el sistema mando

a la consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERSmandan aquí la información, el cortafuegos de paquetes IP también la manda aquí, etc.

Xferlog.

     Si el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas han subido y que archivos han bajado de nuestro servidor.

Wtmp.

    Cada vez que un usuario entra al servidor, sale del mismo, la máquina resetea, este archivo es modificado. Este archivo al igual que el anterior esta en binario por lo que tendremos que usar alguna herramienta especial para ver el contenido de este archivo

Analizadores de protocolos

     Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP,ICMP...) y muestra al usuario la información decodificada. De esta forma, el usuario puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando

EJEMPLOS DE ANALIZADORES DE PROTOCOLOS.

Appsniffing:

     Analizador de protocolos con una poderosa interface gráfica que le permite rápidamente diagnosticar problemas y anormalidades en su red.

ProductosObserver:

     Sirven para Ethernet, Inalámbricos 802.11b y 802.11a, Token Ring yFDDI.

OptiViewConsole:

     La consola de funcionamiento centralizado de Optiview, con función de acceso remoto, detecta rápidamente y supervisa continuamente los dispositivos de red, al mismo tiempo que documenta su conectividad.

OptiViewProtocolExpert:

     Protocol Expert es una aplicación basada en Windows que ofrece análisis de protocolos autónomos para paquetes capturados de Workgroup Analyzer, Link Analyzer e Integrated Network Analyzer de Optiview.

Planificadores

     Los planificadores de tráfico pueden ser usados en distintos entornos para satisfacer una amplia variedad de objetivos. Una aplicación común de los algoritmos de planificación es proporcionar una calidad de servicio a nivel de red aislando unos tráficos de otros. Los planificadores también pueden ser usados para permitir a los usuarios compartir un enlace de forma equitativa o determinista. Un planificador puede ser contemplado como un sistema de colas que consiste en un servidor que proporciona servicio a un conjunto de clientes. Los clientes encolan paquetes para ser servidos y estos son escogidos por el planificador basándose en una disciplina de servicio definida por el algoritmo de planificación. La disciplina de servicio puede ser diseñada para cumplir los requerimientos de calidad de servicio deseados por cada cliente.

Análisis de desempeño de la red: Tráfico y Servicios

     Un análisis de tráfico en redes basadas en tecnología Ethernet se basa normalmente en el uso de sondas (software) con interfaz Ethernet. Dichas sondas capturan el tráfico a ser analizado y constituye la plataforma en la que se pueden ejecutar aplicaciones propietarias o de dominio público; Con dichas aplicaciones se puede determinar el tipo de información que circula por la red y el impacto que tiene sobre la misma.

Protocolo IPV4

     La versión 4 de IP (IPv4) es la versión de IP más ampliamente utilizada, siendo el único protocolo de Capa 3 que se utiliza para llevar datos de usuario a través de Internet. La versión 6 de IP (IPv6) está desarrollada y se está implementando en algunas áreas. IPv6 operará junto con el IPv4 y podrá reemplazarlo en el futuro. Los servicios provistos por IP, así como también la estructura y el contenido del encabezado de los paquetes están especificados tanto por el protocolo IPv4 como por el IPv6. Estos servicios y estructura de paquetes se usan para encapsular datagramas UDP o segmentos TCP.

Protocolo RTP

    El protocolo de transporte en tiempo real (RTP) es un protocolo basado en IP que proporciona soporte para el transporte de datos en tiempo real (flujos de vídeo y de audio). Fue sido diseñado para funcionar junto con el protocolo de control auxiliar RTCP para conseguir mantener la calidad en la transmisión de datos y proporcionar información sobre los participantes al iniciarse la sesión.

Conclusión

     La administración de redes consiste en la planificación, organización y control de todas las actividades que envuelven el funcionamiento de la red, enfocadas a mantener una red eficiente. Para que esto se lleve a cabo es necesario realizar actividades fundamentales como el monitoreo, la atención a fallas, configuración y seguridad en la red.