Unidad 3 Analisis y Seguridad
3.1 Protocolos de administración de red (SNMP) 3.2 Bitácoras 3.3 Analizadores de protocolos 3.4 Planificadores 3.5 Análisis de desempeño de la red: Tráfico y Servicios
3.1 Protocolos de administración de Red (SNMP) SNMP (Protocolo Simple de Administración de Red - Simple Network Management Protocol) Como una araña en su red, una estación de administración de red SNMP tiene la tarea de monitorear un grupo de dispositivos en una red, dichos dispositivos administrados son servidores, enrutadores, hubs, switches, estaciones de trabajo, impresoras, etc; los cuales poseen un software llamado Agente de gestión (Managment Agent) que proporciona información de su estado y ademas permite su configuración.
SNMP hace parte de la suite de protocolos de Internet (TCP/IP) y está compuesto por un conjunto de normas de gestión de redes, incluyendo un protocolo de capa de aplicación,
un esquema de base de datos, y un conjunto de objetos de datos. SNMP expone la gestión de datos en forma de T6variables que describen la configuración del sistema administrado. Estas variables pueden ser consultadas y configuradas por medio de sus aplicaciones de gestión.
Algunos de los objetivos SNMP •
Gestión, configuración y monitoreo remoto de los dispositivos de red
•
Detección, localización y corrección de errores
•
Registro y estadísticas de utilización
•
Inventario y Topología de red
•
Planificación del crecimiento de la red.
Componentes SNMP Una red con aplicaciones SNMP posee al menos uno o varias estaciones de Administración, cuya función es supervisar y administrar un grupo de dispositivos de red por medio de un software denominado NMS (Network Management System- Sistema de gestión de redes), este se encarga de proporciona los recursos de procesamiento y memoria requeridos para la gestión de la red administrada, la cual a su vez puede tener una o más instancias NMS. El dispositivo administrado es un nodo de red que implementa la interfaz SNMP, este tambien intercambia datos con el NMS y permite el acceso (bidireccional o unidimensional -solo lectura) a la información específica del nodo. Cada dispositivo administrado ejecuta permanentemente un componente de software llamado agente, el cual reporta y traduce información a través de SNMP con la estación de administración. En esencia, los agentes SNMP exponen los datos de gestión a las estaciones de administración en forma de variablesorganizadas en jerarquías, dichas jerarquías junto con otros metadatos (como el tipo y la descripción de las variables), son descritos en una Base de Gestión de Información (MIB Managment Information Base).El protocolo también permite ejecutar tareas de gestión activa, como la modificación y la aplicación de una nueva configuración de forma remota, a través de la modificación de dichas variables. OID Object Identifier Es el identificador único para cada objeto en SNMP, que proviene de una raíz común en un namespace jerárquicamente asignado por la IANA, Los OIDs están organizados sucesivamente para identificar cada nodo del árbol MIB desde la raíz hasta los nodos hojas.
MIB Management Information Base Base de datos con información jerárquicamente organizada en forma de arbol con los datos de todos los dispositivos que conforman una red. Sus principales funciones son: la asignación de nombres simbólicos, tipo de datos, descripción y parámetros de accesibilidad de los nodos OID.
PDU (Protocol Data Unit - Unidad de datos del Protocolo) SNMP utiliza un servicio no orientado a conexión como UDP (User Datagram Protocol) para realizar las operaciones básicas de administración de la red, especialmente el envío de pequeños grupos de mensajes (denominados PDUs) entre las estaciones de administración y los agentes. Este tipo de mecanismo asegura que las tareas de gestión no afectan el rendimiento global de la red. SNMP utiliza comúnmente los puertos 161 UDP para obtener y establecer mensajes y 162UDP para capturar mensajes y traps. ============================================================= | Tipo de | ID de | PDU
| ... | ... | ... Variables ...
|Petición | ... | ... |
MIB
| |
=============================================================
Pe tición y Respuesta GET (SNMPv1)
La estación de administración hace UNA petición al agente para obtener el valor de una o muchas variables del MIB, las cuales se especifican mediante asignaciones (los valores no se utilizan). el agente recupera los valores de las variables con operaciones aisladas y envía una respuesta indicando el éxito o fracaso de la petición. Si la petición fue correcta, el mensaje resultante contendrá el valor de la variable solicitada.
Petición GETNext
La estación de administración hace una petición al agente para obtener los valores de las variables disponibles. El agente retorna una respuesta con la siguiente variable según el orden alfabético del MIB. Con la aplicación de una petición GetNextRequest es posible recorrer completamente la tabla MIB si se empieza con el ID del Objeto 0. Las columnas de la tabla pueden ser leídas al especificar las columnas OIDs en los enlaces de las variables de las peticiones.
Petición GETBulk (SNMPv2)
La estación de administración hace una petición al agente para obtener múltiples iteraciones de GetNextRequest. El agente retorna una respuesta con múltiples variables MIB enlazadas. Los campos non-repeaters y max-repetitions se usan para controlar el comportamiento de las respuesta.
Set-Request & -Response La estación de administración hace una petición al agente para cambiar el valor de una variable, una lista de variables MIB o para la configuración de los agentes. El acceso a las variables se especifica dentro de la petición para que el agente cambie las variables especificadas por medio de operaciones atómicas.,(UNA OPERACIÓN ATOMICA ES CUANDO UNA OPERACIÓN REALIZADA UN PRCESADOR PUEDE SIMULTANEMAMENTE LEER UNA UBICACIÓN Y ESCRIBIRA EN LA MISMA OPERACIN DE BUS ) despues se retorna una respuesta con los valores actualizados de las variables preestablecidas y con los valores de las nuevas variables creadas. Así mismo existen conjunto de parámetros de configuración (por ejemplo, direcciones IP, switches, ...) Notificaciones y Trampas(Traps) Son mensaje SNMP generados por el agente que opera en un dispositivo monitoreado, estos mensajes no son solicitados por la consola y están clasificados según su prioridad (Muy importante, urgente,... ) . Estas notificaciones se producen cuando el agente SNMP detecta un cambio de parámetros en las variables MIB. Estos mensajes son utilizados por los sistemas de alerta sin confirmación. Los tipos estándar de trampas indican los siguientes eventos: •
(0) Coldstart: El agente se ha reiniciado
•
HYUJ(1) Warmstart: La configuración del agente ha cambiado.
•
(2) Linkdown: Alguna interfaz de comunicación está fuera de servicio (inactiva)
•
(3) Linkup: Alguna interfaz de comunicación está en servicio (activa).
•
(4) Authenticationfailure: El agente ha recibido una solicitud de un NMS no autorizado
•
(5) EGPNeighborLoss: Un equipo, junto a un sistema donde los routers están utilizando el protocolo EGP, está fuera de servicio;
•
(6) Enterprise: Incluye nuevas traps configuradas manualmente por el administrador de red.
Versiones SMNP Las versiones más utilizadas son la versión SNMPv1 y SNMPv2. El SNMPv3 última versión tiene cambios importantes con relación a sus predecesores, sobre todo en temas de seguridad, sin embargo, no ha sido ampliamente aceptada en la industria. SNMPv1 Esta es la versión inicial y la mas utilizada, principalmente debido a la simplicidad del esquema de autenticación y a las políticas de acceso que utiliza el agente SNMP para determinar cuales estaciones de administración pueden acceder a las variables MIB. Una
política de acceso SNMP es una relación administrativa, que supone asociaciones entre una comunidad SNMP, un modo de acceso, y una vista MIB. •
Una comunidad SNMP es un grupo de uno o más dispositivos y el nombre de comunidad (cadena de octetos que una estación de administración debe agregar en un paquete de solicitud SNMP con fines de autenticación).
•
El modo de acceso especifica como se accede a los dispositivos de la comunidad se les permite con respecto a la recuperación y modificación de las variables MIB de un agente SNMP específico. El modo de acceso: ninguno, sólo lectura, lecturaescritura o sólo escritura.
•
Una vista MIB define uno o más sub-árboles MIB a los cuales una comunidad SNMP específica puede tener acceso. La vista MIB puede ser el árbol MIB o un subconjunto limitado de todo el árbol MIB.
Cuando el agente SNMP recibe una solicitud de una estación de administración, este verifica el nombre de la comunidad a la que pertenece y la dirección IP para determinar si el host solicitante en realidad es miembro de la comunidad que dice pertenecer. El agente SNMP determina si concede el acceso hasta las variables MIB según lo defina la política de acceso asociada a esa comunidad. Si todos los criterios son verificados y se cumplen. De lo contrario, el agente SNMP genera una captura authenticationFailure o devuelve el mensaje de error correspondiente a la máquina solicitante. Formato del mensaje SNMP ==================================================================== == | Versión
| Nombre de Comunidad | ...
| (Integer) | (Octet Str.)
|
PDU ...
(Sequence)
| |
==================================================================== == El diseño de esta versión fue realizado en los años 80, cuando la prioridad era atender la demanda de protocolos generado por el rápido crecimiento de las redes, así que es de esperarse que nadie se haya preocupado por los problemas deautenticación y de seguridad, siendo estas sus principales falencias. La autenticación de los clientes se realiza sólo por la cadena de octetos de Comunidad, en efecto tenemos un tipo de contraseña, que se transmite en texto plano. SNMPv2 Incluye mejoras en rendimiento, seguridad, confidencialidad y comunicación entre estaciones de administración. IntroduceGetBulkRequest, una alternativa a GetNextRequests iterativo para la recuperación de grandes cantidades de datos de administración en una sola solicitud. Sin embargo, no fue ampliamente aceptado debido a su complejidad y a la poca compatibilidad con los NMSs de la versión anterior; sin embargo este inconveniente se soluciono utilizando agentes proxy y NMS bilingües para
ambas versiones de NMS; adicionalmente se desarrolló la versión SNMPv2c un poco mas simple, pero sin embargo mas segura que la primera versión. SNMPv3 Proporciona importantes características de seguridad y configuración remota: •
Autenticación: Firmas digitales MD5 y SHA1 basadas en usuarios garantiza que el mensaje proviene de una fuente segura.
•
Confidencialidad: Cifrado de paquetes DES y AES para garantizar mayor privacidad
•
Integridad: Asegurar que el paquete no ha sido alterado en tránsito, incluye un mecanismo opcional de protección de paquetes reenviados.
3.2 Bitácoras Las bitácoras son de gran utilidad para aplicar auditorias a la red. La revisión de los registros de eventos dentro de la red permite ver las actividades de los usuarios dentro de la red, esto permite al administrador darse cuenta de los accesos no autorizados por parte de los usuarios y tomar las medidas que faciliten incrementar la seguridad. La auditoria permite monitorear algunas de las siguientes actividades o funciones •
Intentos de acceso.
•
Conexiones y desconexiones de los recursos designados.
•
Terminación de la conexión.
•
Desactivación de cuentas.
•
Apertura y cierre de archivos.
•
Modificaciones realizadas en los archivos.
•
Creación o borrado de directorios.
•
Modificación de directorios.
•
Eventos y modificaciones del servidor.
•
Modificaciones de las contraseñas.
•
Modificaciones de los parámetros de entrada.
Estas medidas se podrán implementar mas o menos fácil dependiendo de nuestro sistema operativo de red, ya que algunos sistemas operativos tienen la facilidad de administrar las auditorias que el administrador determine en forma sencilla.
Se puede implementar algoritmos de encriptación de datos para la información relevante. Hay algunos organismos que certifican este tipo de software y garantizan la confidencialidad de los datos a través de la red, en especial en Internet, donde la seguridad de nuestra información es delicada. El funcionamiento de estos sistemas de encriptación funcionan de la siguiente manera: el emisor aplica el algoritmo de encriptación a los datos, estos viajaran a través de la red de tal forma que si algún intruso quiera verla no le será posible. Al llegar al destino se aplicara un algoritmo inverso que permita traducir los datos a su forma original. También se pueden implementar medidas de identificación biométrica como lectores de huella digital, escaneo de palma de mano, entre otros, esta tecnología es más segura que la simple identificación de nombre de usuario y contraseña ya que el usuario no tendrá que recordar contraseñas que en algunos casos son complejas y difíciles de recordar además que a diferencia de las contraseñas la huella digital no se puede transferir a otros usuarios y no puede ser robada. Para la implementación de esta tecnología se debe tomar en cuenta si el lector cuenta con encriptación de datos, si es capaz de detectar signos vitales que no permitan el engaño.
3.3 Analizadores de protocolos Las empresas, escuelas y algunos de los hogares tienen una computadora conectada en red a varias computadoras, impresoras, y gateways de Internet, incluso el Internet por si mismo es nada más que una gran computadora en la red. Cuando los recursos conectados a la red no se están comunicando apropiadamente, o que se encuentran operando muy lento, un ingeniero de soporte en redes puede hacer uso de un analizador de protocolos para determinar las causas. Un analizador de protocolos de red es un software o programa que corre en una computadora estándar. Se dice que es la computadora que lee todas las conversaciones que fluyen a través de la red y entonces muestra esas conversaciones al ingeniero de redes en un formato comprensible. Debido a que el ingeniero puede ver que computadoras, servidores y otros recursos, están haciendo con cada uno de los recursos en la red, la causa del problema puede ser aislada y explicada. Protocolos Para entender como es que funciona un analizador de protocolos, es necesario el definir que es lo que entendemos por "protocolo". Un protocolo de comunicación de red es una serie de reglas que definen capacidades y formas de comunicación de los recursos en una red.
Un mensaje electrónico es construido por una computadora, de acuerdo con ciertas reglas y enviado de una computadora a otra. Este mensaje es referido como Paquete de información.
Familias de Protocolos Existen tres grandes familias que son usadas para manipular archivos a través de las redes de computadoras:
Server Message Block (SMB) Apple Filing Protocol (AFP) NetWare Core Protocol (NCP)
Server Message Block (SMB) es el protocolo utilizado para compartir recursos entre máquinas basadas en los sistemas operativos Windows. Apple Filing Protocol (AFP) es usado por las computadoras de Apple (también puede usar SMB para accesar a archivos de Windows) NetWare Core Protocol (NCP) es usado por la red de Novell en su sistema operativo. Direcciones lógicas Cada computadora, servidor de Web, impresora, o dispositivo en una red tiene una dirección única dentro de la red. Un paquete de información contiene la dirección fuente y la dirección destino. Esto es haciendo una analogía, una carta que tienela calle de la dirección del remitente y del omputadora que ayuda a mover el paquete dentro de la red o Internet. Esta dirección adicional es la llamada dirección lógica, y la forma más comúnmente utilizada para asignar dirección lógicas es a través del uso de una serie de reglas llamadas protocolo IP. Una dirección lógica o IP consiste en cuatro números, separados por puntos como este: 10.172.3.212, en donde no existe un número individual mayor a 255.
EJERCICIO BUSCAR COMPAÑIAS QUE TE PROPORCIONEN SERVICIOS EN EL ANALISIS DE PROTOCOLOS .( POR LOS MENOS 3). (BAJAR UN ANALIZADOR DE PROTOCOLO LIBRE)
EL ANALIZADOR DE PROTOCOLOS
Un analizador de protocolos de red, como se menciono anteriormente, es una simple aplicación especial que se ejecuta en una máquina. Este puede leer los mensajes digitales enviados a lo largo de la red y puede ser decodificado en bits para mostrar al ingeniero la dirección física, dirección lógica, número secuencial, protocolo de aplicación y respuesta, así como otras piezas de información contenidas en cada paquete. El ingeniero simplemente lee las conversaciones paquete por paquete, para ver quien esta diciendo qué y a quién, y quién está omitiendo o perdiendo paquetes, o de quién son los paquetes retrasados. Adicionalmente al leer las conversaciones, un analizador de protocolos mantiene el rastreo de muchas estadísticas de red relevantes a la operación. El número de paquetes por segundo, la cantidad de tráfico y el numero de errores, todos son reconocidos y reportados. Muchos analizadores de protocolos incluyen información gráfica que despliega la tendencia y análisis comparativo de la información en gráficas de líneas o barras.
3.4 Planificadores Los planificadores de tráfico pueden ser usados en distintos entornos para satisfacer una amplia variedad de objetivos. Una aplicación común de los algoritmos de planificación es proporcionar una calidad de servicio a nivel de red aislando unos tráficos de otros. Los planificadores también pueden ser usados para permitir a los usuarios compartir un enlace de forma equitativa o determinista. Un planificador puede ser contemplado como un sistema de colas que consiste en un servidor que proporciona servicio a un conjunto de clientes. Los clientes encolan paquetes para ser servidos y estos son escogidos por el planificador basándose en una disciplina de servicio definida por el algoritmo de planificación. La disciplina de servicio puede ser diseñada para cumplir los requerimientos de calidad de servicio deseados por cada cliente. Los atributos deseables para un algoritmo de planificación son los siguientes: 1. Aislamiento de flujos: Aislar un canal de los efectos indeseables de otros. 2. Retraso emisor-receptor garantizado: El planificador debe proporcionar un retraso garantizado de emisor a receptor. Además, es deseable que este límite del retraso dependa sólo de los parámetros de la sesión y que no dependa del resto de las sesiones. 3. Utilización: El algoritmo debe maximizar el uso de ancho de banda del enlace. 4. Equidad (Fairness): El planificador debe servir a las sesiones con tasas proporcionales a su reserva en cada instante, esto es, distribuyendo el ancho de banda libre proporcionalmente entre las activas. Lo ideal sería que se comportase como un flujo perfecto repartiendo perfectamente el ancho de banda. Pero debido a la cuantificación en paquetes de los flujos esto es prácticamente imposible. Por
tanto, se introduce el índice de equidad (WFI: Worstcase fairness index) que mide la desviación de servicio ofrecido por un planificador con respecto a un modelo perfecto. 5. Simplicidad de implementación: El algoritmo de planificación debe ser fácil de implementar y con baja complejidad. Esto es importante si se va implementar por hardware. 6. Escalabilidad: El algoritmo debe comportarse bien en nodos con un gran número de sesiones y con una variedad de velocidades de enlace.
3.5 Análisis de desempeño de la red: Tráfico y Servicios Análisis de Tráfico El análisis del tráfico de red se basa habitualmente en la utilización de sondas con interfaz Ethernet conectadas al bus. Dichas sondas, con su interfaz Ethernet funcionando en modo promiscuo, capturan el tráfico a analizar y constituyen la plataforma en la que se ejecutaran, de forma continua, aplicaciones propietarias o de dominio público, con las que se podrá determinar el tipo de información que circula por la red y el impacto que pudiera llegar a tener sobre la misma Tráfico de Red El trafico de redes de área local se mide como la cantidad de información promedio que se transfiere a través del canal de comunicación, y a la velocidad que se transfiere por ello la importancia, del conocimiento sobre la “Teoría de la información” y sus diferentes elementos para poder evaluar en formas más eficiente y eficaz el tráfico en la red.
Los analizadores de hoy día pueden reproducir los contenidos directamente del tráfico que genera el usuario y así atacar problemas de desempeño o extraer evidencia inculpatoria. Desde que comenzaron a proliferar las redes de datos a mitad de los años 80, se han desarrollado cualquier cantidad de herramientas que han buscado descubrir y cuantificar la problemática y las anomalías que se producen en el tráfico de datos, muchas de estas herramientas en principio fueron desarrolladas para brindar información estadística sobre los totales de utilización de ancho de banda, distribución de protocolos a nivel capas 2 y 3, mayores generadores de tráfico -“Top Talkers”-, broadcast, multicast, errores, etc. De ese monitoreo estadístico que ofrecían los primeros analizadores se evolucionó a los sistemas expertos, donde el usuario podía definir y ajustar umbrales de detección de anomalías. Esto representó una nueva etapa para buscar soluciones a problemas derivados de fallas en cables, conectores, puertos dañados, altos volúmenes de
colisiones, direcciones duplicadas, servidores o servicios saturados, retransmisiones excesivas, crosstalk, etc. De manera paralela se comenzaron a desarrollar soluciones para realizar el análisis distribuido, en el que desde una consola central (Manager) se podían acceder analizadores -“probes”- en distintos puntos de la red, haciendo posible que el nivel de análisis y la correlación de problemas en una red corporativa se pudiera cuantificar en tiempo real en distintos puntos, incluso aquello en donde no podía haber presencia de un ingeniero de soporte. Esto también enriqueció a las plataformas tradicionales de administración vía SNMP de los primeros centros de monitoreo de redes. La cobertura en cuanto a la conectividad ha ido evolucionando igualmente para estudiar el flujo del tráfico de paquetes en topologías variadas a nivel LAN (Ethernet, Token Ring, FDDI), y a nivel WAN y ATM con el apoyo de un middleware -“Pod”- entre la PC con el software de análisis y el conector físico en cuestión (G.703, V.35, RS-232, RS-449, SC, ST, etc.). Hoy en día se encuentran disponibles diversas herramientas para las redes multiservicios, donde existen muchos segmentos de red para analizar, soluciones que evitan que las conexiones de red se tengan que abrir periódicamente y con el fin de no afectar la disponibilidad de las comunicaciones se incorporan soluciones de hardware o taps que permiten introducir un analizador en puntos sensibles de la red sin necesidad de estar programando ventanas de mantenimiento. Estos taps también han servido para introducir detectores de intrusos o dispositivos de monitoreo de calidad de servicio sin representar latencia en el desempeño del ambiente de comunicaciones. Además, los analizadores han evolucionado a dispositivos -“appliances”- con gran capacidad de almacenamiento y con la posibilidad de hacer un “análisis retrospectivo en el tiempo” para así reconstruir el tráfico que pudo haberse producido semanas e inclusive meses atrás. Así pues, esta herramienta le ha proporcionado a los analistas de desempeño y a los investigadores forenses una posibilidad adicional de regenerar eventos específicos como correos electrónicos con sus adjuntos, conversaciones de mensajería instantánea, reproducir llamadas de Telefonía IP o remontarse a la navegación de páginas web de un usuario extrayendo esta información directamente de los paquetes que se produjeron en su momento. El análisis integral de hoy día se enfoca al servicio afectado y ya no al dispositivo que falla, de manera que la nueva generación de analizadores correlaciona en un mismo diagnóstico, por ejemplo, un evento específico dentro de la consulta a una base de datos con el “throughput” de un puerto específico en un ruteador y con el uso de CPU dentro de un servidor de autenticación. Los analizadores de redes han evolucionado a analizadores de contenido y desempeño, y sus aplicaciones prácticas se han diversificado para brindar nuevas posibilidades de monitoreo y análisis y de integración o complementación con otras herramientas de administración de redes (NMS) en que se apoyan los profesionales de TI.
Checar estos links http://www.manageengine.com.mx/it-compliance-suite.html
http://www.manageengine.es/netflow/
Tarea : Elaborar un trabajo de acuerdo a un analizador que elija, considerando uno de los laboratorios con los siguientes parametros : - Cantidad de Tráfico: cantidad de información promedio que se transfiere a través del canal de comunicación - Tasa de Transferencia: velocidad de transmisión que pasa por una línea de telecomunicación. - Porcentaje de Utilización: relación entre de tráfico medido al tráfico máximo que el puerto puede administrar.
