UNIDAD 3 ANÁLISIS Y MONITOREO DE REDES ANÁLISIS Y MONITOREO Las redes de cómputo de las organizaciones, se vuelven cada vez más complejas y la exigencia de la operación es cada vez más demandante. Las redes, cada vez más, soportan aplicaciones y servicios estratégicos de las organizaciones. Por lo cual el análisis y monitoreo de redes se ha convertido en una labor cada vez más importante y de carácter pro-activo para evitar problemas. l monitoreo de red describe el uso de un sistema !ue constantemente monitoriza una red de computadoras en busca de componentes de"ectuosos o lentos, para luego in"ormar a los administradores de redes mediante correo electrónico, pager u otras alarmas. s un subconjunto de "unciones de la administración de redes. #ientras !ue un sistema de detección de intrusos monitorea una red por amenazas del exterior $externas a la red%, un sistema de monitoreo de red busca problemas causados por la sobrecarga y&o "allas en los servidores, como también problemas de la in"raestructura de red $u otros dispositivos%. Por ejemplo, para determinar determinar el estatus de un servidor 'eb, so"t'are so"t'are de monitoreo !ue puede enviar, enviar, periódicam periódicamente, ente, peticiones peticiones ())P $Protocolo $Protocolo de )rans"e )rans"erenci renciaa de (ipertexto (ipertexto%% para obtener páginas* para un servidor de correo electrónico, enviar mensajes mediante +#)P $Proto $Protocol coloo de )rans )rans"er "erenc encia ia de orreo orreo +imple +imple%, %, para para luego luego ser ser retirad retirados os median mediante te #P #P $Protocolo de cceso a #ensajes de nternet% o P/P0 $Protocolo Post /""ice%. om1nmente, los datos evaluados son tiempo de respuesta y disponibilidad $o uptime%, aun!ue estad2sticas tales como consistencia y "iabilidad han ganado popularidad. La generalizada instalación de dispositivos de optimización para redes de área extensa tiene un e"ecto adverso en la mayor2a del so"t'are de monitoreo, especialmente al intentar medir el tiempo de respuesta de punto a punto de manera precisa, precisa, dado el l2mite visibilidad de ida y vuelta. vuelta. 0.3 P4/)//L/+ 5 5#6+)476 5 45 $+6#P% l protocolo llamado +imple 6et'or8 #anagement Protocol $+6#P% "ue dise9ado en los a9os :;, su principal objetivo "ue el integrar la gestión de di"erentes tipos de redes mediante un dise9o sencillo y !ue produjera poca sobrecarga en la red. s un protocolo !ue permite supervisar, analizar y comunicar in"ormación de estado entre una gran variedad de hosts, pudiendo detectar problemas y proporcionar mensajes de estados.
l protocolo +6#P está compuesto por dos elementos= el agente $agent%, y el gestor $manager%. s una ar!uitectura cliente-servidor, en la cual el agente desempe9a el papel de servidor y el gestor hace el de cliente. l agente es un programa !ue ha de ejecutase en cada nodo de red !ue se desea gestionar o monitorizar. /"rece un inter"az de todos los elementos !ue se pueden con"igurar. stos elementos se almacenan en unas estructuras de datos llamadas > Management Information Base> $#?%, se explicarán más adelante. 4epresenta la parte del servidor, en la medida !ue tiene la in"ormación !ue se desea gestionar y espera comandos por parte del cliente. l gestor es el so"t'are !ue se ejecuta en la estación encargada de monitorizar la red, y su tarea consiste en consultar los di"erentes agentes !ue se encuentran en los nodos de la red los datos !ue estos han ido obteniendo. (ay un comando especial en +6#P, llamado trap, !ue permite a un agente enviar datos !ue no han sido solicitados de "orma expl2cita al gestor, para in"ormar de eventos tales como= errores, "allos en la alimentación eléctrica. n esencia, el +6#P es un protocolo muy sencillo puesto !ue todas las operaciones se realizan bajo el paradigma de carga-y-almacenamiento $load-and-store%, lo !ue permite un juego de comandos reducido. @n gestor puede realizar sólo dos tipos di"erentes de operaciones sobre un agente= leer o escribir un valor de una variable en el #? del agente. stas dos operaciones se conocen como petición-de-lectura $get-re!uest% y petición-de-escritura $set-re!uest%. (ay un comando para responder a una petición-de-lectura llamado respuesta-de-lectura $get-response%, !ue es utilizado 1nicamente por el agente. La posibilidad de ampliación del protocolo está directamente relacionado con la capacidad del #? de almacenar nuevos elementos. +i un "abricante !uiere a9adir un nuevo comando a un dispositivo, como puede ser un encaminador, tan sólo tiene !ue a9adir las variables correspondientes a su base de datos $#?%. asi todos los "abricantes implementan versiones agente de +6#P en sus dispositivos= encaminadores, hubs, sistemas operativos, etc. Linux no es una excepción, existen varios agentes +6#P disponibles p1blicamente en la nternet. +6#P o"rece muy poco soporte para la autenti"icación. )an sólo o"rece el es!uema de dos palabras clave $t'o-pass'ords%. La clave p1blica permite a los gestores realizar peticiones de valores de variables, mientras !ue la clave privada permite realizar peticiones de escritura. estas palabras clave se les llama en +6#P communities. ada dispositivo conectado con una red gestionada con +6#P, ha de tener con"iguradas estas dos communities. s muy com1n tener asignando por de"ecto el valor >public> al communi ty p1blico, y >private> al privado. Por lo !ue es muy importante cambiar estos valores para proteger la seguridad de tu red. on +6#P se puede monitorizar el estado de un enlace punto a punto para detectar cuándo está congestionado y tomar as2 las medidas oportunas* se puede hacer !ue una impresora alerte al administrador cuando se ha !uedado sin papel, o !ue un servidor env2e una alerta cuando la carga de su sistema se incrementa signi"icativamente. +6#P también permite la modi"icación remota de la con"iguración de dispositivos, de "orma !ue se podr2a modi"icar las direcciones P de un ordenador a través de su agente +6#P, u obligar a la ejecución de comandos $si el agente o"rece las "uncionalidades necesarias%. +e puede gestionar /4L, o dar de alta un abonado en una central tele"ónica. s decir, y en general, +6#P sirve para=
•
•
•
•
on"igurar dispositivos remotos. La in"ormación de con"iguración puede enviarse a cada host conectado a la red desde el sistema de administración. +upervisar el rendimiento de la red. Puede hacer un seguimiento de la velocidad de procesamiento y el rendimiento de la red, y recopilar in"ormación acerca de las transmisiones de datos. 5etectar errores en la red o accesos inadecuados. Puede con"igurar las alarmas !ue se desencadenarán en los dispositivos de red cuando se produzcan ciertos sucesos. uando se dispara una alarma, el dispositivo env2a un mensaje de suceso al sistema de administración. uditar el uso de la red. Puede supervisar el uso general de la red para identi"icar el acceso de un grupo o usuario $por ejemplo cuando entra >root>%, y los tipos de uso de servicios y dispositivos de la red. Puede utilizar esta in"ormación para generar una "acturación directa de las cuentas o para justi"icar los costes actuales de la red y los gastos planeados.
+6#P de"ine un estándar separado para los datos gestionados por el protocolo. ste estándar de"ine los datos mantenidos por un dispositivo de red, as2 como las operaciones !ue están permitidas. Los datos están estructurados en "orma de árbol* en el !ue sólo hay un camino desde la ra2z hasta cada variable. sta estructura en árbol se llama #anagement n"ormation ?ase $#?% y se puede encontrar in"ormación sobre ella en varios 4<As. La versión actual de )P&P #? es la B $#?-% y se encuentra de"inida en el 4<-3B30. n ella se divide la in"ormación !ue un dispositivo debe mantener en ocho categor2as $ver )abla 3%. ual!uier variable ha de estar en una de estas categor2as. La de"inición de un elemento concreto #? implica la especi"icación del tipo de dato !ue puede contener. 6ormalmente, los elementos de un #? son enteros, pero también pueden almacenar cadenas de caracteres o estructuras más complejas como tablas. los elementos de un #? se les llama >objetos>. Los objetos son los nodos hoja del árbol #?, si bien, un objeto puede tener más de una instancia, como por ejemplo un objeto tabla. Para re"erirse al valor contenido en un objeto, se ha de a9adir el n1mero de la instancia. uando sólo exista una instancia del objeto, está es la instancia cero. l espacio de nombres +/ $árbol% está situado dentro de un espacio de nombres junto con otros árboles de otros estándares de otras organizaciones. 5entro del espacio de nombres +/ hay una rama espec2"ica para la in"ormación #?. 5entro de esta rama #?, los objetos están a su vez jerar!uizados en subárboles para los distintos protocolos y aplicaciones, de "orma !ue esta in"ormación puede representarse un2vocamente. La siguiente "igura muestra el espacio de nombres del #? del )P&P, éste está situado justo bajo el espacio del ? >mgmt>. La jerar!u2a también espec2"ica el n1mero para cada nivel.
OID Objet I!entifier s el identi"icador 1nico para cada objeto en +6#P, !ue proviene de una ra2z com1n en un namespace jerár!uicamente asignado por la 6, Los /5s están organizados sucesivamente para identi"icar cada nodo del árbol #? desde la ra2z hasta los nodos hojas.
MIB Management Information Base
?ase de datos con in"ormación jerár!uicamente organizada en "orma de arbol con los datos de todos los dispositivos !ue con"orman una red. +us principales "unciones son= la asignación de nombres simbólicos, tipo de datos, descripción y parámetros de accesibilidad de los nodos /5.
PD" #Protoo$ Data "nit % "ni!a! !e !atos !e$ Protoo$o& +6#P utiliza un servicio no orientado a conexión como @5P $@ser 5atagram Protocol% para realizar las operaciones básicas de administración de la red, especialmente el env2o de pe!ue9os grupos de mensajes $denominados P5@s% entre las estaciones de administración y los agentes. ste tipo de mecanismo asegura !ue las tareas de gestión no a"ectan el rendimiento global de la red. +6#P utiliza com1nmente los puertos 3D3 @5P para obtener y establecer mensajes y 3DB@5P para capturar mensajes y traps.
La estación de administración hace @6 petición al agente para obtener el valor de una o muchas variables del #?, las cuales se especi"ican mediante asignaciones $los valores no se utilizan%. el agente recupera los valores de las variables con operaciones aisladas y env2a una respuesta indicando el éxito o "racaso de la petición. +i la petición "ue correcta, el mensaje resultante contendrá el valor de la variable solicitada.
La estación de administración hace una petición al agente para obtener los valores de las variables disponibles. l agente retorna una respuesta con la siguiente variable seg1n el orden al"abético del #?. on la aplicación de una petición Cet6ext4e!uest es posible recorrer completamente la tabla #? si se empieza con el 5 del /bjeto ;. Las columnas de la tabla pueden ser le2das al especi"icar las columnas /5s en los enlaces de las variables de las peticiones. La estación de administración hace una petición al agente para obtener m1ltiples iteraciones de Cet6ext4e!uest. l agente retorna una respuesta con m1ltiples variables #? enlazadas. Los campos non-repeaters y max-repetitions se usan para controlar el comportamiento de las respuestas.
'() BITÁCORAS @na bitácora de red es todo el proceso esencial de llevar un registro de lo !ue ocurre en el transcurso del mismo, y más si es algo sobresaliente, de manera !ue esto nos permita predecir incidentes o resolvernos de una manera rápida en caso de !ue ya se hayan presentado, para esto existen las bitácoras de sucesos. n el caso de redes algunos de los sucesos pudieran ser= "allas en el sistema, ca2da de la red, in"ección de alg1n virus a la red, etc. @na base de datos de red es una base de datos con"ormada por una colección o set de registros, los cuales están conectados entre s2 por medio de enlaces en una red. l registro es similar al de una entidad como las empleadas en el modelo relacional. @n registro es una colección o conjunto de campos $atributos%, donde cada uno de ellos contiene solamente un 1nico valor almacenado. l enlace es exclusivamente la asociación entre dos registros, as2 !ue podemos verla como una relación estrictamente binaria. @na estructura de base de datos de red, llamada algunas veces estructura de plex, abarca más !ue la estructura de árbol= un nodo hijo en la estructura red puede tener más de un nodo padre. n otras palabras, la restricción de !ue en un árbol jerár!uico cada hijo puede tener sólo un padre, se hace menos severa. s2, la estructura de árbol se puede considerar como un caso especial de la estructura de red.
Monitori*ai+n !e$ registro !e e,entos !e seg-ri!a! La "unción de #onitorización del registro de eventos de Eindo's de /p#anager proporciona varias reglas automáticas para monitorizar los registros de seguridad cr2ticos en todos los servidores y estaciones de trabajo Eindo's de su red. Puede detectar "ácilmente eventos tales como inicios de sesión "allidos, errores de inicio de sesión debidos a contrase9as erróneas, blo!ueos de cuentas, intentos de acceso "allido a archivos seguros, intrusión en el registro de seguridad, etc. )ambién puede crear las reglas personalizadas !ue necesite para re"orzar las directivas de seguridad adoptadas por su empresa.
Monitori*ai+n !e$ registro !e$ sistema . ap$iaiones / Ser,i!ores Monitor IIS0 E12ange0 S3L e ISA demás de los registros de seguridad, la "unción de #onitorización del registro de eventos de Eindo's de /p#anagerF puede monitorizar los registros de las aplicaciones, del sistema y otros registros de eventos. (ay disponibles varias reglas para monitorizar aplicaciones cr2ticas para la misión como servidores xchange, +, #+-+GL e +. )ambién puede a9adir reglas personalizadas para monitorizar eventos generados por cual!uier aplicación. demás, existen reglas para monitorizar servicios de directorios, servidores 56+ y servidores de replicación de archivos.
Monitori*ai+n integra!a !e$ registro !e e,entos n vez de tratar la monitorización del registro de eventos de Eindo's como una solución autónoma aislada, la "unción de #onitorización del registro de eventos de Eindo's de /p#anager le permite monitorizar los registros de eventos de Eindo's como parte de una solución integrada de gestión de la red, las aplicaciones y los servidores. s2 sus operadores sólo tienen !ue aprender una 1nica inter"az para monitorizar los registros de eventos de Eindo's.
'(' ANALI4ADORES DE PROTOCOLOS @na de las actividades más comunes en la administración de una red o administración de seguridad, es la del análisis de trá"ico de dicha red. 6o sólo el trá"ico !ue "luye a través de nuestra L6, sino !ue también debemos analizar el trá"ico entrante y saliente hacia 6)46) a través de los servicios !ue tengamos instalados, proxies, etc. sto es as2 por!ue, como ya sabéis, es necesario para la detección de problemas y, sobre todo, para detectar trá"ico no esperado, presencia de puertas traseras, escaneos y cual!uier otra intrusión. @n analizador de protocolos es una herramienta !ue sirve para desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende !ue el programa puede reconocer !ue la trama capturada pertenece a un protocolo concreto $)P, #PH% y muestra al usuario la in"ormación decodi"icada. 5e esta "orma, el usuario puede ver todo a!uello !ue en un momento concreto está circulando por la red !ue se está analizando. sto 1ltimo es muy importante para un programador !ue esté desarrollando un protocolo, o cual!uier programa !ue transmita y reciba datos en una red, ya !ue le permite comprobar lo !ue realmente hace el programa. demás de para los programadores, estos analizadores son muy 1tiles a todos a!uellos !ue !uieren experimentar o comprobar cómo "uncionan ciertos protocolos de red, si bien su estudio puede resultar poco ameno, sobre todo si se limita a la estructura y "uncionalidad de las unidades de datos !ue intercambian. )ambién, gracias a estos analizadores, se puede ver la relación !ue hay entre di"erentes protocolos, para as2, comprender mejor su "uncionamiento. @n analizador de protocolos es una aplicación so"t'are !ue monitorea e interpreta toda la in"ormación !ue "luye a través de la inter"ace de red. n general captura tramas de red a nivel de in"ormación y, mediante una combinación de procesos e identi"icación de protocolos, traduce esas tramas en transacciones con signi"icado para protocolos de alto nivel. demás, los analizadores de protocolos también pueden desenmara9ar el torrente de tramas !ue "luyen a través de la inter"az de res en conexiones individuales y simultáneas !ue suman al trá"ico. Puedes usar un analizador de protocolo con "acilidad en tu computadora. Los analizadores de protocolos se usan en diversas ar!uitecturas de red, tales como 4edes L6 $3;&3;;&3;;; thernet* )o8en 4ing* <55 $
"sos( • •
• •
nalizar y soportar demandas de nuevas aplicaciones $como IoP% /btener mayor e"iciencia de la red, al analizar todo lo !ue pasa por ella, detectar problemas concretos. nalizar redes remotas, sin necesidad de realizar largos viajes nalizar y monitorear varias redes a la vez
(ay diversos tipos de analizadores de protocolos disponibles comercialmente, pero en general, son productos bastante caros. l precio depende de la capacidad de análisis $el n1mero de protocolos !ue es capaz de reconocer y decodi"icar%, de la tecnolog2a de red soportadas $thernet, )#, <55H%, y de si se trata de alg1n programa $so"t'are% o ya es alg1n tipo de má!uina especializado $hard'are%.
'(5 PLANI6ICADORES Los plani"icadores de trá"ico pueden ser usados en distintos entornos para satis"acer una amplia variedad de objetivos. @na aplicación com1n de los algoritmos de plani"icación es proporcionar una calidad de servicio a nivel de red aislando unos trá"icos de otros. Los plani"icadores también pueden ser usados para permitir a los usuarios compartir un enlace de "orma e!uitativa o determinista. @n plani"icador puede ser contemplado como un sistema de colas !ue consiste en un servidor !ue proporciona servicio a un conjunto de clientes. Los clientes encolan pa!uetes para ser servidos y estos son escogidos por el plani"icador basándose en una disciplina de servicio de"inida por el algoritmo de plani"icación. La disciplina de servicio puede ser dise9ada para cumplir los re!uerimientos de calidad de servicio deseados por cada cliente. Los atributos deseables para un algoritmo de plani"icación son los siguientes= • •
• •
•
•
islamiento de "lujos= islar un canal de los e"ectos indeseables de otros. 4etraso emisor-receptor garantizado= l plani"icador debe proporcionar un retraso garantizado de emisor a receptor. demás, es deseable !ue este l2mite del retraso dependa sólo de los parámetros de la sesión y !ue no dependa del resto de las sesiones. @tilización= l algoritmo debe maximizar el uso de ancho de banda del enlace. !uidad $
Disip$inas !e ser,iio l objetivo de los plani"icadores es asignar los recursos de acuerdo a la reserva realizada con anterioridad con el objetivo de cumplir la calidad de servicio exigida. )res tipos de recursos son asignados por los plani"icadores= ancho de banda $!ué pa!uete es transmitido%, tiempo $cuándo es transmitido el pa!uete% y memoria $!ué pa!uetes son descartados%, lo !ue a"ecta a tres parámetros básicos= rendimiento, retraso y tasa de pérdida. n general, se distinguen dos tipos de disciplinas de servicio en los nodos = 3. 6on 'or8-conserving en el !ue los nodos intentan mantener el modelo del trá"ico, aun!ue esto impli!ue !ue en determinados periodos no se transmita nada. n este caso, cuando entra un pa!uete en el nodo se le asocia un tiempo de elegibilidad. n el caso de
!ue no haya pa!uetes en estado de elegibilidad, no se transmite nada. ada plani"icador provoca un retraso acotado y calculable para cada pa!uete. 5ado !ue cada nodo mantiene el modelo del trá"ico el cálculo del retraso total es la suma de los retrasos en cada nodo. B. Eor8-conserving en el !ue si existen pa!uetes en el nodo por transmitir se env2an. este grupo pertenecen Iirtual loc8 , Eeighted
Ser,iio RCSP La disciplina de servicio 4+P $4ate-ontrolled +tatic Priority% "ue introducida por (. Jhang en el grupo )enet. omo se muestra en la
'(7 ANÁLISIS DE DESEMPE8O DE LA RED9 TRÁ6ICO Y SER:ICIOS l análisis del trá"ico de red se basa habitualmente en la utilización de sondas de red, "uncionando en modo promiscuo. Las sondas capturan el trá"ico a analizar y constituyen la plata"orma en la !ue se ejecutarán, de "orma continua, aplicaciones propietarias o de dominio p1blico, con las !ue se podrá determinar el tipo de in"ormación !ue circula por la red y el impacto !ue pudiera llegar a tener sobre la misma. l análisis de trá"ico permite determinar las capacidades y métricas bajo las cuales se está comportando la red, y evitar tener problemas de
desempe9o. Por ejemplo podr2amos determinar la existencia de virus o el uso excesivo de aplicaciones pBp !ue com1nmente degradan las prestaciones de la red, sobre todo si hablamos de los enlaces principales !ue dan acceso a nternet. Las tecnolog2as de transmisión de datos a través de redes de computadores son el eje central del "uncionamiento de un entorno in"ormático !ue presta servicios de tipo cliente&servidor. @n excelente desempe9o de la red trae como consecuencia un aumento de la productividad in"ormática. l ingreso de nuevos e!uipos a la red, la existencia de protocolos no necesarios, la mala con"iguración de e!uipos activos de red o las "allas presentadas en el sistema de cableado pueden causar degradación del desempe9o de la red. Por medio de pruebas, captura de pa!uetes, análisis de "lujo de in"ormación y veri"icación de la con"iguración de e!uipos activos $s'itch, routers%, se puede mejorar el desempe9o de la red. @na de las "ases importantes en el desarrollo de proyectos de ingenier2a es la simulación, ya !ue es una herramienta 1til !ue permiten realizar pruebas antes de una implementación, "acilitando su comprensión y detectando "allas de dise9o. #onitorear un servidor de nternet signi"ica !ue el due9o de los servidores conoce si uno o todos sus servicios están ca2dos. La monitorización del servidor puede ser interna $por ejemplo el so"t'are del servidor se veri"ica y noti"ica de los problemas al due9o% o externa $donde se veri"ican los servidores manualmente%. 5urante el monitoreo de los servidores se veri"ican caracter2sticas como el uso de P@, uso de memoria, rendimiento de red y el espacio libre en disco e incluso las aplicaciones instaladas $como pache, #y+GL, 6ginx, Postgres entre otros%. 5urante este proceso se veri"ican también los códigos ())P enviados del servidor, !ue suelen ser la "orma más rápida de veri"icar el "uncionamiento de los mismos.
;3-< monitorear= @na consideración muy importante es delimitar el espectro sobre el cual se va a trabajar. xisten muchos aspectos !ue pueden ser monitoreados, los más comunes son los siguientes= 3. B. 0. K. M. D. N.
@tilización de ancho de banda onsumo de P@. onsumo de memoria. stado "2sico de las conexiones. )ipo de trá"ico. larmas +ervicios $Eeb, correo, bases de datos, proxy%
s importante de"inir el alcance de los dispositivos !ue van a ser monitoreados, el cual puede ser muy amplio y se puede dividir de la siguiente "orma=
Las "allas de peticiones de estado, tales como !ue la conexión no pudo ser establecida, el tiempo de espera agotado, entre otros, usualmente produce una acción desde del sistema de monitoreo. stas acciones pueden variar= una alarma puede ser enviada al administrador, ejecución automática de mecanismos de controles de "allas, etcétera. #onitorear la e"iciencia del estado del enlace de subida se denomina #edición de trá"ico de red.
>erramientas para e$ Monitoreo . A!ministrai+n !e $a Re! Desripi+n n este apartado daremos a conocer herramientas de so"t'are !ue nos ayudan a monitorear y administrar nuestras redes de datos. n el mercado hay muchas, pero les voy a dar a conocer las !ue usado y conozco= mpecemos= 3. +olar'inds B. P4)C 0. 6)/P