• Author / Uploaded
• Edgar

Citation preview

ANALISIS Y MONITOREO UNIDAD 3

PRESENTAN:  EQUIPO:  SERGIO OSORIO MENDEZ.  JORGE RAUL URBINA SANTIZ.  MARIO ULBERTO GERARDO ORTIZ.  LEONARDO DE JESUS MARTINEZ DE LA CRUZ.

La detección oportuna de fallas y el monitoreo de los elementos que conforman una red de computadoras son actividades de gran relevancia para brindar un buen servicio a los usuarios. De esto se deriva la importancia de contar con un esquema capaz de notificarnos las fallas en la red y de mostrarnos su comportamiento mediante el análisis y recolección de tráfico. En el presente trabajo se aborda el monitoreo de redes, describiendo los diferentes enfoques y técnicas que se deben tener en consideración para implementar este servicio, los elementos a tomar en cuenta en un esquema de monitoreo, así como un resumen de algunas herramientas para su implementación.

3.1 Protocolos de Administración de Red 3.1.1. SNMP . El protocolo simple de gestión de redes (SNMP) es un protocolo de la capa de aplicación que facilita el intercambio de administración de la información entre dispositivos de red. Este es parte del protocolo de control de transmisión / protocolo de Internet (TCP/IP). SNMP posibilita a 39 un administrador de red manejar la performance de red, encontrar y manejar problemas de red, y planear el crecimiento de la red. Otra definición del protocolo SNMP es la dada por J. Case, M Hedor, M. Schoffstall y J Davin “...la arquitectura del modelo SNMP es una colección de estaciones de administración y elementos de red, donde las estaciones de administración de red ejecutan aplicaciones de administración, las cuales monitorean y controlan elementos de red, estos elementos de red son host, gateways, servidores terminales yparecidos, que tienen agentes responsables de la realización de funciones de administración de red, pedidas por las estaciones deadministración de red.”

Componentes básicos SNMP

Una red administrada por SNMP consiste de tres componentes claves: dispositivos administrados, agentes, y redes administradas por sistemas (NMSs). Un dispositivo administrado, es un nodo de red (cualquier pieza de equipo que esta en la red de datos) que contiene un SNMP agente y que reside en una red administrada. Un agente, es un software de administración de red que reside en un dispositivo administrado. Un NMS, es un conglomerado de herramientas de administración de red que ejecuta aplicaciones que monitorean y controlan dispositivos.

3.2 BITÁCORAS. BITÁCORAS DEL SISTEMA La seguridad y administración de un sistema operativo tiene en las bitácoras un gran aliado, ya que en ellas se registran los eventos que ocurren el sistema operativo, es decir eventos que el administrador pasaría inadvertidos sin el respaldo de las bitácoras. Para una buena administración de bitácoras es necesario conocer 3 cosas: 1. Conocer el propósito de cada bitácora.

2. Conocer el formato en el que se presenta la información. 3. Conocer los ataques propios de cada servicio.

BITÁCORAS BÁSICAS. Messages. Este archivo contiene bastante información, por lo que debemos buscar sucesos inusuales, aquí podemos ver todos los mensajes que el sistema mando a la consola, por ejemplo, cuando el usuario hace el login, los TCP_WRAPPERS mandan aquí la información, el cortafuegos de paquetes IP también la manda aquí, etc. Xferlog. Si el sistema comprometido tiene servicio FTP, este archivo contiene el loggeo de todos los procesos del FTP. Podemos examinar que tipo de herramientas han subido y que archivos han bajado de nuestro servidor. Wtmp.

Cada vez que un usuario entra al servidor, sale del mismo, la máquina resetea, este archivo es modificado. Este archivo al igual que el anterior esta en binario por lo que tendremos que usar alguna herramienta especial para ver el contenido de este archivo.

3.3 ANALIZADORES DE PROTOCOLOS Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP,ICMP...) y muestra al usuario la información decodificada. De esta forma, el usuario puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando.

Ejemplos de Analizadores de Protocolos. Appsniffing: analizador de protocolos con una poderosa interface gráfica que le permite rápidamente diagnosticar problemas y anormalidades en su red. Productos Observer : sirven para Ethernet, Inalámbricos 802.11b y 802.11a, Token Ring y FDDI. OptiView Console: La consola de funcionamiento centralizado de Optiview, con función de

acceso remoto, detecta rápidamente y supervisa continuamente los dispositivos de red, al mismo tiempo que documenta su conectividad. OptiView Protocol Expert: Protocol Expert es una aplicación basada en Windows que ofrece análisis de protocolos autónomos para paquetes capturados de Workgroup Analyzer, Link Analyzer e Integrated Network Analyzer de Optiview.

3.4 PLANIFICADORES. Los planificadores de tráfico pueden ser usados en distintos entornos para satisfacer una amplia variedad de objetivos . Una aplicación común de los algoritmos de planificación es proporcionar una calidad de servicio a nivel de red aislando unos tráficos de otros. Los planificadores también pueden ser usados para permitir a los usuarios compartir un enlace de forma equitativa o determinista. Un planificador puede ser contemplado como un sistema de colas que consiste en un servidor que proporciona servicio a un conjunto de clientes. Los clientes encolan paquetes para ser servidos y estos son escogidos por el planificador basándose en una disciplina de servicio definida por el algoritmo de planificación. La disciplina de servicio puede ser diseñada para cumplir los requerimientos de calidad de servicio deseados por cada cliente.

3.5 ANALISIS DE DESEMPEÑO DE LA RED Un análisis de tráfico en redes basadas en tecnología Ethernet se basa normalmente en el uso de sondas (software) con interfaz Ethernet. Dichas sondas capturan el tráfico a ser analizado y constituye la plataforma en la que se pueden ejecutar aplicaciones propietarias o de dominio público; Con dichas aplicaciones se puede determinar el tipo de información que circula por la red y el impacto que tiene sobre la misma.

Protocolo IPV4 La versión 4 de IP (IPv4) es la versión de IP más ampliamente utilizada, siendo el único protocolo de Capa 3 que se utiliza para llevar datos de usuario a través de Internet. La versión 6 de IP (IPv6) está desarrollada y se está implementando en algunas áreas. IPv6 operará junto con el IPv4 y podrá reemplazarlo en el futuro. Los servicios provistos por IP, así como también la estructura y el contenido del encabezado de los paquetes están especificados tanto por el protocolo IPv4 como por el IPv6. Estos servicios y estructura de paquetes se usan para encapsular datagramas UDP o segmentos TCP.

Protocolo RTP El protocolo de transporte en tiempo real (RTP) es un protocolo basado en IP que proporciona soporte para el transporte de datos en tiempo real (flujos de vídeo y de audio). Fue sido diseñado para funcionar junto con el protocolo de control auxiliar RTCP para conseguir mantener la calidad en la transmisión de datos y proporcionar información sobre los participantes al iniciarse la sesión.