Proyecto Instalacion de Cacti en Linux Mint
P R E S E N T A: L Optimización y monitoreo del tráfico en la red LAN. CACTI EN LINUX MINT 1 ÍNDICE I. INTRODUCCI
Views 99 Downloads 1 File size 13MB
Recommend stories
- Author / Uploaded
- israel
Citation preview
P R E S E N T A:
L
Optimización y monitoreo del tráfico en la red LAN. CACTI EN LINUX MINT
1
ÍNDICE
I.
INTRODUCCIÓN................................................................................................4
II.
PLANTEAMIENTO DEL PROYECTO.................................................................6 Objetivo general.....................................................................................................6 Objetivos específicos..............................................................................................6 Justificación............................................................................................................7 Viabilidad del proyecto...........................................................................................7
III.
MARCO TEÓRICO..........................................................................................8
Redes LAN.............................................................................................................8 SNMP....................................................................................................................11 NMS (Network Management Systems, Sistemas de gestión de red)..................15 Firewall.................................................................................................................17 El sistema operativo como administrador de recursos........................................19 Servidores.............................................................................................................21 Sistemas operativos para servidores...................................................................21 LAMP....................................................................................................................23 Ancho de banda red LAN.....................................................................................74 Trafico de red........................................................................................................76 Monitorización de dispositivos..............................................................................77 IV.
CONCLUSIONES..........................................................................................79
Instalación de Linux Mint......................................................................................81
2
3
I.
INTRODUCCIÓN
La administración de redes de información en un entorno empresarial es de suma importancia, una red empresarial es la columna vertebral que se utilizara para soportar todas las soluciones tecnológicas que la empresa implemente en mejora del rendimiento y productividad. Una red bien documentada y monitoreada, garantiza la solución de problemas rápidamente, la implementación de nuevas tecnologías de una forma ordenada y escalable, proporciona información importante acerca de cómo se utiliza la red por los trabajadores de la empresa y se es capaz de prever posibles fallas en el futuro. Entre los motivos más importantes para implementar una monitorización de red se encuentran la monitorización del ancho de banda, la detección de cuellos de botella en la red, la disponibilidad de un enlace, el rendimiento del cableado y descubrir nuevos problemas de seguridad no detectados. Actualmente las redes de datos empresariales van creciendo cada vez más aprisa, para soportar este crecimiento apresurado los administradores de red se apoyan de aplicaciones de gestión de redes que les ayudan a determinar el estado de la red fácilmente o incluso estas aplicaciones dan avisos cuando pasa algún suceso relevante en la red de datos que administran. De la misma manera una red debe ser ordenada ya que existen diferentes tipos de usuarios que necesitan privilegios diferentes, algunos usuarios deben ser restringidos por su seguridad y por seguridad de la empresa en la que trabajan. A continuación se detallara brevemente el contenido de la presente memoria. En la introducción se describen los motivos por los que se eligió realizar este proyecto de monitorización de tráfico y segmentación de red en grupos por medio de un firewall administrable. En el planteamiento se describe la intención del proyecto, los objetivos específicos que nos llevaran a cumplir el objetivo general, la justificación del proyecto, es decir, en que beneficia o que problema resuelve el proyecto dentro de la empresa donde se lleva acabo, y por último los recursos humanos, técnicos y económicos con los que se cuenta para realizar el proyecto de forma satisfactoria.
4
En el marco teórico se abarca toda la teoría necesaria para fundamentar el proyecto y poner en contexto al lector de la memoria para que ésta sea entendible, se citan libros y páginas web oficiales de los productos, dispositivos o servicios que se utilizaron en la realización del proyecto. En el desarrollo se exponen todas las actividades realizadas durante el proyecto, se da una descripción de estas actividades paso por paso y se muestran ilustraciones para una mejor comprensión. Dentro de los resultados se muestran gráficos y pruebas de red que demuestran el resultado y el impacto que la red LAN empresarial ha sufrido como consecuencia de la realización de este proyecto. En Conclusiones exponemos nuestro punto de vista acerca se la realización del proyecto, la utilización del protocolo SNMP y las distintas ventajas y desventajas que se vieron en su implementación para la gestión de la red LAN empresarial. En el apartado fuentes de consulta se encuentra la bibliografía que se empleó en la realización y como sustento del marco teórico para que el lector pueda consultar las fuentes originales si así lo desea. En anexos se encuentran descritas actividades que se realizaron en la elaboración de esta memoria pero que no son imprescindibles para el cumplimiento de los objetivos finales del proyecto. Finalmente en el glosario definimos términos técnicos, los cuales no son de conocimiento general si no que son términos que se emplean mayormente por especialistas en el área de redes informáticas.
II.
5
Objetivo general Optimizar y monitorear el consumo de ancho de banda en la red empresarial de Autos Populares del Caribe S.A. de C.V. con la segmentación lógica de la red con diferentes privilegios de acceso a internet y la implementación de un servicio de monitorización de red basado en el protocolo SNMP. Objetivos específicos
Documentar los host en la red LAN (Características y dirección IP).
Probar el rendimiento de red con IPERF.
Segmentar la red para un mejor flujo de tráfico.
Instalar el sistema operativo Linux mint en un servidor de prueba.
Instalar LAMP y los paquetes SNMP y SNMPD dentro del servidor de pruebas.
Instalar y configurar Cacti en el servidor de pruebas.
Instalar y configurar el protocolo SNMP en los dispositivos a monitorizar.
Implementar Cacti en servidor de la empresa.
Analizar resultados de la monitorización de interfaces de red.
Configurar grupos y políticas en firewall Fortigate 100D.
Realizar pruebas de red.
6
Justificación Con la implementación de un servicio de monitorización en la red de Autos Populares del Caribe S.A. de C.V. se obtendrán datos de interés sobre el funcionamiento de la red y la demanda de recursos por parte de los diferentes departamentos de la empresa, debido a esto se pueden identificar las carencias de la red y los problemas que podrían surgir en el futuro. Actualmente todos los host conectados a la red tienen los mismos privilegios pero no todos utilizan de igual forma y hay equipos que deben tener privilegios sobre los demás por el trabajo que realizan. Con la configuración de grupos en el firewall Fortigate 100D se limitará el acceso a páginas web a los departamentos que no necesiten acceder a ellas, se bloquearán las páginas de ocio y redes sociales. Con esto se espera una reducción significativa del ancho de banda utilizado en la red y como consecuencia una red más rápida y segura. Viabilidad del proyecto El proyecto reúne los conocimientos técnicos y operativos para su desarrollo, la empresa cuenta con la infraestructura necesaria para facilitar la implementación de las soluciones que se plantean y existe la disposición de los administradores de red. Existe viabilidad económica ya que no se requiere la adquisición de nuevos equipos, esto gracias a que el protocolo SNMP se puede configurar en todas las computadoras dentro de la red LAN, lo que da un amplio número de dispositivos que se pueden monitorizar. Con la realización de los objetivos específicos en su conjunto logran cumplir con el objetivo general y cada uno de ellos no presenta inconvenientes para su desarrollo.
7
III.
MARCO TEÓRICO
Redes LAN EL proyecto se llevará a cabo aprovechando la red LAN empresarial que existe actualmente, ya que en esta se encuentran la mayoría de los dispositivos que serán monitoreados. La red empresarial es plana es decir todos los dispositivos se encuentran en el mismo nivel. Las redes de área local, generalmente llamadas LAN (Local Area Networks), son redes de propiedad privada que operan dentro de un solo edificio, como una casa, oficina o fábrica. Las redes LAN se utilizan ampliamente para conectar computadoras personales y electrodomésticos con el fin de compartir recursos (por ejemplo, impresoras) e intercambiar información. Cuando las empresas utilizan redes LAN se les conoce como redes empresariales. [1] Las redes LAN son muy populares en la actualidad, en especial en los hogares, los edificios de oficinas antiguos, las cafeterías y demás sitios en donde es muy problemático instalar cables. En estos sistemas, cada computadora tiene un módem y una antena que utiliza para comunicarse con otras computadoras. En la mayoría de los casos, cada computadora se comunica con un dispositivo en el techo, como se muestra en la ilustración 4(a). A este dispositivo se le denomina AP (Punto de Acceso, del inglés Access Point), enrutador inalámbrico estación base; transmite paquetes entre las computadoras inalámbricas y también entre éstas e Internet. El AP es como el niño popular de la escuela, ya que todos quieren hablar con él. Pero si hay otras computadoras que estén lo bastante cerca una de otra, se pueden comunicar di-rectamente entre sí en una configuración de igual a igual. Hay un estándar para las redes LAN inalámbricas llamado IEEE 802.11, mejor conocido como WiFi.
8
En la ilustración 4 se muestra un esquema de una red LAN inalámbrica (a) y una alámbrica (b).
Ilustración 1 Esquemas de redes LAN
Las redes LAN alámbricas utilizan distintas tecnologías de transmisión. La mayoría utilizan cables de cobre, pero algunas usan fibra óptica. Las redes LAN tienen restricciones en cuanto a su tamaño, lo cual significa que el tiempo de transmisión en el peor de los casos es limitado y se sabe de antemano. Conocer estos límites facilita la tarea del diseño de los protocolos de red. Por lo general las redes LAN alámbricas que operan a velocidades que van de los 100 Mbps hasta un 1 Gbps, tienen retardo bajo (microsegundos o nanosegundos) y cometen muy pocos errores. Las redes LAN más recientes pueden operar a una velocidad de hasta 10 Gbps. En comparación con las redes inalámbricas, las redes LAN alámbricas son mucho mejores en cuanto al rendimiento, ya que es más fácil enviar señales a través de un cable o fibra que por el aire. La topología de muchas redes LAN alámbricas está basada en los enlaces de punto a punto. El estándar IEEE 802.3, comúnmente conocido como Ethernet, es hasta ahora el tipo más común de LAN alámbrica. La ilustración 4(b) muestra un ejemplo de topología de Ethernet conmutada. Cada computadora se comunica mediante el protocolo Ethernet y se conecta a una caja conocida como switch con un enlace de punto a punto. De aquí que tenga ese nombre. Un switch tiene varios puertos, cada uno de los cuales se puede conectar a una computadora. El trabajo del switch es transmitir paquetes entre las computadoras conectadas a él, y utiliza la dirección en cada paquete para determinar a qué computadora se lo debe enviar. Para crear redes LAN más grandes se pueden conectar switches entre sí mediante sus puertos. ¿Qué ocurre si los conectamos en un circuito cerrado? ¿Podrá funcionar la red así? Por fortuna, los diseñadores consideraron este caso.
9
Es responsabilidad del protocolo determinar qué rutas deben recorrer los paquetes para llegar de manera segura a la computadora de destino. También es posible dividir una gran LAN física en dos redes LAN lógicas más pequeñas. Tal vez se pregunte por qué sería esto útil. En ocasiones la distribución del equipo de red no coincide con la estructura de la organización. Por ejemplo, los departamentos de ingeniería y fianzas de una empresa podrían tener computadoras en la misma LAN física debido a que se encuentran en la misma ala del edificio, pero podría ser más sencillo administrar el sistema si cada departamento tuviera su propia red lógica, denominada LAN virtual o VLAN. En este diseño cada puerto se identifica con un “color”; por ejemplo, verde para ingeniería y rojo para fianzas. Después el switch reenvía los paquetes de manera que las computadoras conectadas a los puertos verdes estén separadas de las que están conectadas a los puertos rojos. Por ejemplo, los paquetes de difusión que se envíen por un puerto rojo no se recibirán en un puerto verde, tal como si hubiera dos redes LAN distintas. También existen otras topologías de LAN alámbrica. De hecho, la Ethernet conmutada es una versión moderna del diseño original de Ethernet en el que se difundían todos los paquetes a través de un solo cable lineal. Sólo una máquina podía transmitir con éxito en un instante dado, y se utilizaba un mecanismo de arbitraje distribuido para resolver los conflictos. Utilizaba un algoritmo simple: las computadoras podían transmitir siempre que el cable estuviera inactivo. Si ocurría una colisión entre dos o más paquetes, cada computadora esperaba un tiempo aleatorio y volvía a intentar. Las redes inalámbricas y las alámbricas se pueden dividir en diseños estáticos y dinámicos, dependiendo de la forma en que se asigna el canal. Una asignación estática típica sería dividir el tiempo en intervalos discretos y utilizar un algoritmo por turno rotatorio (round-robin), para que cada máquina pueda difundir los datos sólo cuando sea su turno de usar su intervalo. La asignación estática desperdicia la capacidad del canal cuando una máquina no tiene nada que decir durante su intervalo asignado, por lo que la mayoría de los sistemas tratan de asignar el canal en forma dinámica (es decir, bajo demanda). Los métodos de asignación dinámica para un canal común pueden ser centralizados o descentralizados. En el método de asignación de canal centralizado hay una sola entidad (por ejemplo, la estación base en las redes celulares) que determina el turno de cada quien. Para ello podría aceptar varios paquetes y asignarles prioridades de acuerdo con algún algoritmo interno. En el método de asignación de canal descentralizado no hay una entidad central; cada 10
máquina debe decidir por su cuenta si va a transmitir o no. Tal vez usted piense que esta metodología provoca un caos, pero no es así. SNMP El protocolo simple de administración de red, sirve para administrar dispositivos en la red, normalmente es usado para ver la actividad de servidores que tienen cierta importancia en la red así como dispositivos de red switches, routers, impresoras y APs. Se pueden saber muchas cosas sobres los dispositivos por medio de SNMP, como la carga del procesador, la memoria RAM utilizada, el estado de servicios implementados en un servidor como apache, IIS o mysql, el tráfico que pasa por las interfaces de red y muchas más cosas. The Simple Network Management Protocol (SNMP) es un protocolo de capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Es parte de la Transmission Control Protocol / Internet Protocol (TCP / IP) de la suite de protocolo. SNMP permite a los administradores de red gestionar el rendimiento de la red, encontrar y resolver problemas de red, y el planear el crecimiento de la red. [2] Una red gestionada con SNMP consta de tres componentes clave: los dispositivos administrados, los agentes y el sistema de gestión de red. Un dispositivo gestionado es un nodo de red que contiene un agente SNMP y que reside en una red gestionada. Los dispositivos administrados recogen y almacenan la información de gestión y hacen esta información disponible para el sistema de gestión de red mediante SNMP. Los dispositivos administrados, a veces llamados elementos de la red, pueden ser routers, servidores, switches, puentes, hubs, ordenadores o impresoras. Un agente es un módulo del software de gestión de red que reside en el dispositivo gestionado. Un agente tiene conocimiento local de la información de gestión y traduce esa información en una forma compatible con SNMP. El sistema de gestión de red ejecuta aplicaciones que supervisan y controlan los dispositivos administrados. El sistema de gestión de red proporcionan la mayor parte de los recursos de procesamiento y memoria requeridos para la gestión de la red. Deben existir uno o varios sistemas de gestión de red en cualquier red administrada. 11
Una red SNMP monitoreada consta de dispositivos gestionados, Agentes y NMS. En la ilustración 5 se muestra un esquema de red monitorizada con SNMP.
Ilustración 2 Red monitorizada con SNMP
SNMP MIB (Management Information Base) Una Base de información de administración (MIB) es una colección de información que se organiza jerárquicamente. Se accede a los MIBs mediante un protocolo de gestión de red como SNMP. Estos se componen de objetos gestionados y se identifican por los identificadores de objeto. Un objeto administrado (a veces llamado un objeto MIB, un objeto o una MIB) es uno de cualquier número de características específicas de un dispositivo gestionado. Los objetos gestionados se componen de uno o más instancias de objetos, que son esencialmente variables. Existen dos tipos de objetos administrados: escalares y de tabla. Objetos escalares definen una única instancia de objeto. Objetos tabulares definen múltiples instancias de objetos relacionados que se agrupan en tablas MIB. Un ejemplo de un objeto gestionado es atInput, que es un objeto escalar que contiene una única instancia de objeto, el valor entero que indica el número total de paquetes de AppleTalk de entrada en una interfaz de router. 12
Un identificador de objeto (o ID de objeto) identifica de forma exclusiva un objeto administrado en la jerarquía MIB. La jerarquía MIB se puede representar como un árbol con una raíz sin nombre, los niveles de los cuales son asignados por diferentes organizaciones. Los ID de objeto MIB de nivel superior pertenecen a diferentes organizaciones de estándares, mientras que los ID de objeto de nivel inferior son asignados por las organizaciones asociadas. Los vendedores pueden definir ramas privadas que incluyen objetos administrados para sus propios productos. Los MIBs que no han sido estandarizados normalmente se colocan en la rama experimental. El objeto gestionado atInput puede ser identificada ya sea por el objeto nombreiso.identified-organization.dod.internet.private.enterprise.cisco.temporary variables.AppleTalk.atInput- o por el descriptor de objeto equivalente, 1.3.6.1.4.1. 9.3.3.1.
13
En la ilustración 6 se muestra el árbol MIB, Ilustra las diversas jerarquías asignados por diferentes organizaciones.
Ilustración 3 Árbol MIB
Diferentes versiones de SNMP Existen tres versiones del protocolo SNMP cada una presenta mejoras a la anterior, actualmente la más usada es la versión 2 por la compatibilidad y las mejoras que ofrece respecto a su versión anterior, las diferencias que existen entre una y otra versión serían las siguientes. SNMP versión 1: la versión más antigua. Fácil de instalar - sólo requiere una comunidad de texto plano. Los mayores inconvenientes son que no admite contadores de 64 bit, sólo contadores de 32 bits, y tiene poca seguridad. Una cadena de comunidad enviada en texto plano, posiblemente a partir de un rango 14
limitado de direcciones IP permitidas, es tan buena como la seguridad que brinda. En otras palabras, no hay seguridad para alguien con acceso a la red - tal persona será capaz de ver la cadena de comunidad en texto plano, y podría hacer spoofing en un paquete UDP IP fácilmente. (Por otra parte, si el dispositivo está configurado para sólo permitir acceso SNMP de sólo lectura - el riesgo es bastante pequeño y confinado a la gente mala con acceso a la red. Si usted tiene gente mala con este acceso, SNMP probablemente no es de lo que tiene que preocuparse.) [3] SNMP versión 2c: en términos prácticos, v2c es idéntica a la versión 1, excepto que añade soporte para contadores de 64 bits. Esto es importante, especialmente para las interfaces. Incluso una interfaz de 1Gbps puede abarcar un contador de 32 bits en 34 segundos. La mayoría de los dispositivos son compatibles con SNMP V2c hoy en día, y por lo general lo hacen automáticamente. Hay algunos dispositivos que requieren que active explícitamente v2c - en cuyo caso, siempre debe hacerlo. No hay ningún inconveniente. SNMP versión 3: añade seguridad a los contadores de 64 bits. SNMP versión 3 agrega el cifrado y la autenticación, que se puede utilizar juntos o por separado. La configuración es más compleja que simplemente definir una comunidad. NMS (Network Management Systems, Sistemas de gestión de red) Un sistema de gestión de red ofrece un conjunto de herramientas para realizar el monitoreo de red, los hay de varios tipos y ofrecen diferentes opciones, algunos son más fáciles de configurar que otros e inclusive los hay de pago, entre los más usados se encuentran los siguientes: Pandora FMS Pandora FMS es un software de monitorización para gestión de infraestructura TI. Esto incluye equipamiento de red, servidores Windows y Unix, infraestructura vitalizada y todo tipo de aplicaciones. Pandora FMS tiene multitud de funcionalidades, lo cual lo convierte en un software de nueva generación que cubre todos los aspectos de monitorización necesarios para su organización. [4] Zabbix Zabbix es un software de nivel empresarial diseñado para monitorear la máxima disponibilidad y rendimiento de los componentes de la infraestructura de TI. Zabbix es de código abierto y no tiene costo alguno. [5] 15
Con Zabbix es virtualmente posible reunir datos ilimitados de la red. Monitoreo en tiempo real de alto rendimiento significa que decenas de miles de servidores, máquinas virtuales y dispositivos de red pueden ser monitoreados simultáneamente. Junto con el almacenamiento de los datos, características de visualización están disponibles (descripciones, mapas, gráficos, pantallas, etc.), así como maneras muy flexibles de análisis de los datos con el fin de alertar. Zabbix ofrece un gran rendimiento para la recopilación de datos y se puede escalar a ambientes muy grandes. Opciones de monitorización distribuidos están disponibles con el uso de proxies Zabbix. Zabbix viene con una interfaz basada en la web, autenticación de usuario segura y un esquema de permisos de usuario flexible. Se admite sondeo y la captura, con agentes de alto rendimiento nativo reuniendo datos de prácticamente cualquier sistema operativo popular; métodos de monitoreo en agentes están disponibles también. Monitoreo Web, así como la supervisión de las máquinas virtuales de VMware es posible con Zabbix. Zabbix puede descubrir automáticamente los servidores y dispositivos de red, así como realizar el descubrimiento de bajo nivel con los métodos de asignación automática de controles de rendimiento y disponibilidad a las entidades descubiertas. Nagios Nagios es un potente sistema de monitoreo que permite a las organizaciones identificar y resolver los problemas de infraestructura de TI antes de que afecten los procesos críticos del negocio. [6] Lanzado por primera vez en 1999, Nagios ha crecido hasta incluir a miles de proyectos desarrollados por la comunidad Nagios en todo el mundo. Nagios es patrocinado oficialmente por Nagios Enterprises, que apoya a la comunidad en un número de diferentes formas a través de las ventas de sus productos y servicios comerciales. Nagios controla toda su infraestructura de TI para asegurar que los sistemas, aplicaciones, servicios y procesos de negocio están funcionando correctamente. En el caso de una falla, Nagios puede alertar al personal técnico del problema, lo que les permite comenzar los procesos de remediación antes de que los cortes afecten a los procesos del negocio, usuarios finales o clientes. Con Nagios que nunca tendrán que tener que explicar por qué un corte en la infraestructura invisible afectaba la rentabilidad de su organización. Cacti 16
Cacti ofrece un gran desempeño y una gran cantidad de información de forma sencilla, su utilización es bastante más fácil y practica que la mayoría de los otros sistemas de gestión de red, cuenta con muchos plugins que complementan el monitoreo de dispositivos y son muy fáciles de instalar. De igual forma hay una gran comunidad que desarrolla nuevos plugins y ayuda con los problemas que se pueden presentar en su implementación. Cacti es una solución gráfica completa de red diseñada para aprovechar el poder de almacenamiento de datos y funcionalidad gráfica de RRDtool. Cacti ofrece un sondeo rápido y avanzado de plantillas gráficas, múltiples métodos de adquisición de datos y gestión de usuarios de manera inmediata. Todo esto está envuelto en una interfaz intuitiva y fácil de usar, funcional para redes tipo LAN así como para redes complejas con cientos de dispositivos. [7] RRDtool RRDtool es el estándar de la industria OpenSource, registro de datos de alto rendimiento y un sistema de gráficos de datos de series de tiempo. RRDtool se puede integrar fácilmente en los scripts de shell, Perl, Python, Ruby, lua o aplicaciones tcl. [8] Firewall Dentro de una red LAN la seguridad es de suma importancia, aparte de que cada computadora debe contar con su respectivo antivirus actualizado, los dispositivos de red (switches, routers, firewalls) deben tener una configuración que contribuya a la seguridad de la red LAN, con una segmentación efectiva de la red y políticas de seguridad para cada segmento. El firewall, en castellano muro de fuego, es un sistema que es utilizado para proteger una computadora en particular o bien una red. Normalmente su objetivo es evitar el ingreso de agentes externos, no autorizados o información. [9] Existen distintos tipos de firewalls, que pueden ser clasificados de diversas maneras en: Firewalls en Hardware o Software: 1. Hardware: este tipo de sistema es colocado sobre los dispositivos usados para ingresar a Internet, los llamados “routers”. Frecuentemente la instalación ya se encuentra realizada cuando compramos el router. En caso contrario es muy recomendable realizar la instalación. La colocación del 17
firewall en este caso es muy compleja, es hecha gracias a un navegador que tiene acceso a Internet. 2. Software: pueden ser distinguidos dos tipos de estos firewalls, el primero es el gratuito: también conocido bajo el nombre de software firewall, que puede ser usado con total libertad y de manera totalmente gratuita como su nombre indica. Su objetivo es rastrear y no permitir acceso a ciertos datos a las computadoras personales. Hoy en día la mayoría de las PC ya tienen el firewall colocado. Este sistema es caracterizado por su fácil instalación, al que pueden ser sumados otros sistemas para asegurar la computadora, cuando deja de funcionar, es la misma PC quien se encarga de avisarlo, no es requerido un sistema de Hardware para colocarlo y generalmente son utilizados en una sola computadora. Por otro lado se encuentran los comerciales. Estos sistemas de software poseen el mismo funcionamiento que el anterior. Además se les suma mayores niveles de control y protección. Muchas veces son vendidos con otros sistemas de seguridad como antivirus, para que resulten aún más eficientes a la hora de proteger la computadora. Puede ser realizada otra clasificación según su nivel de aplicación o de red: 1. Aplicación: normalmente estos son utilizados con los servidores llamados proxy. En este caso no es posible el pasaje de datos de manera directa entre redes, ya que hay un monitoreo de los datos. Estos sistemas son utilizados para poder traducir ciertas direcciones de la red, pero siempre escondiendo el lugar donde se origina el tráfico. 2. Red: en este caso las decisiones son tomadas dependiendo de los puertos de los datos, la dirección de destino y de origen de la información. Para ejemplificarlo esta clase de firewalls, podría ser un router, aunque el mismo resulte un tanto obsoleto ya, porque existen firewalls que resultan más eficaces, sobre todo cuando es necesario tomar una decisión y también en cuento a los datos. Estos resultan ser muy veloces y claros para aquella persona que los utilicen.
El sistema operativo como administrador de recursos El concepto de un sistema operativo cuya función principal es proporcionar abstracciones a los programas de aplicación responde a una perspectiva de arriba 18
hacia abajo. La perspectiva alterna, de abajo hacia arriba, sostiene que el sistema operativo está presente para administrar todas las piezas de un sistema complejo. Las computadoras modernas constan de procesadores, memorias, temporizadores, discos, ratones, interfaces de red, impresoras y una amplia variedad de otros dispositivos. En la perspectiva alterna, el trabajo del sistema operativo es proporcionar una asignación ordenada y controlada de los procesadores, memorias y dispositivos de E/S, entre los diversos programas que compiten por estos recursos. [10] Los sistemas operativos modernos permiten la ejecución simultánea de varios programas. Imagine lo que ocurriría si tres programas que se ejecutan en cierta computadora trataran de imprimir sus resultados en forma simultánea en la misma impresora. Las primeras líneas de impresión podrían provenir del programa 1, las siguientes del programa 2, después algunas del programa 3, y así en lo sucesivo: el resultado sería un caos. El sistema operativo puede imponer orden al caos potencial, guardando en búferes en disco toda la salida destinada para la impresora. Cuando termina un programa, el sistema operativo puede entonces copiar su salida, previamente almacenada, del archivo en disco a la impresora, mientras que al mismo tiempo el otro programa puede continuar generando más salida, ajeno al hecho de que la salida en realidad no se está enviando a la impresora todavía. Cuando una computadora (o red) tiene varios usuarios, la necesidad de administrar y proteger la memoria, los dispositivos de E/S y otros recursos es cada vez mayor; de lo contrario, los usuarios podrían interferir unos con otros. Además, los usuarios necesitan con frecuencia compartir no sólo el hardware, sino también la información (archivos o bases de datos, por ejemplo). En resumen, esta visión del sistema operativo sostiene que su tarea principal es llevar un registro de qué programa está utilizando qué recursos, de otorgar las peticiones de recursos, de contabilizar su uso y de mediar las peticiones en conflicto provenientes de distintos programas y usuarios. La administración de recursos incluye el multiplexaje (compartir) de recursos en dos formas distintas: en el tiempo y en el espacio. Cuando un recurso se multiplexa en el tiempo, los distintos programas o usuarios toman turnos para utilizarlo: uno de ellos obtiene acceso al recurso, después otro, y así en lo sucesivo. Por ejemplo, con sólo una CPU y varios programas que desean ejecutarse en ella, el sistema operativo primero asigna la CPU a un programa y luego, una vez que se ha ejecutado por el tiempo suficiente, otro programa obtiene acceso a la CPU, después otro, y en un momento dado el primer programa vuelve a obtener acceso al recurso. La tarea de determinar cómo se multiplexa el recurso 19
en el tiempo (quién sigue y durante cuánto tiempo) es responsabilidad del sistema operativo. Otro ejemplo de multiplexaje en el tiempo es la compartición de la impresora. Cuando hay varios trabajos en una cola de impresión, para imprimirlos en una sola impresora, se debe tomar una decisión en cuanto a cuál trabajo debe imprimirse a continuación. El otro tipo de multiplexaje es en el espacio. En vez de que los clientes tomen turnos, cada uno obtiene una parte del recurso. Por ejemplo, normalmente la memoria principal se divide entre varios programas en ejecución para que cada uno pueda estar residente al mismo tiempo (por ejemplo, para poder tomar turnos al utilizar la CPU). Suponiendo que hay suficiente memoria como para contener varios programas, es más eficiente contener varios programas en memoria a la vez, en vez de proporcionar a un solo programa toda la memoria, en especial si sólo necesita una pequeña fracción. Desde luego que esto genera problemas de equidad y protección, por ejemplo, y corresponde al sistema operativo resolverlos. Otro recurso que se multiplexa en espacio es el disco duro. En muchos sistemas, un solo disco puede contener archivos de muchos usuarios al mismo tiempo. Asignar espacio en disco y llevar el registro de quién está utilizando cuáles bloques de disco es una tarea típica de administración de recursos común del sistema operativo.
20
Servidores ¿Qué son los servidores? Un servidor puede encontrarse en un típico local que ofrece el uso de computadoras a sus clientes. La máquina que tiene el cajero da un servicio; es un servidor, encargado de habilitar o deshabilitar una PC para que pueda ser usada para navegar o jugar. Si deja de funcionar, el negocio no factura, y ninguna de las máquinas cliente podría ser utilizada. Los servidores son equipos informáticos que brindan un servicio en la red. Dan información a otros servidores y a los usuarios. Son equipos de mayores prestaciones y dimensiones que una PC de escritorio. Una computadora común tiene un solo procesador, a veces de varios núcleos, pero uno solo. Incluye un disco rígido para el almacenamiento de datos con una capacidad de 250 GB a 300 GB, en tanto que la memoria RAM suele ser de 2 a 16 GB. Un servidor, en cambio, suele ser más potente. Puede tener varios procesadores con varios núcleos cada uno; incluye grandes cantidades de memoria RAM, entre 16 GB a 1 TB, o más; mientras que el espacio de almacenamiento ya no se limita a un disco duro, sino que puede haber varios de ellos, con capacidad del orden del TB. Debido a sus capacidades, un servidor puede dar un solo servicio o más de uno. [11] Sistemas operativos para servidores En el mundo de los sistemas operativos existe gran diversidad, debido a esta gran variedad podemos encontrar sistemas operativos especializados para diversas finalidades, en las diferentes versiones y distribuciones de Linux existen sistemas especializados para usuarios con programas precargados para el consumo de contenido multimedia y de la misma forma existen sistemas operativos que son hechos especialmente para ser instalados en servidores por la funcionalidad que brindan. Lo mismo sucede con Windows y sus diferentes versiones para empresas, estudiantes y servidores. Los sistemas operativos Linux ofrecen una gran flexibilidad a la hora de implementar servicios, de igual forma ofrece un gran soporte técnico gracias a la gran comunidad que tienen los sistemas operativos Linux. Aparte de ser de uso libre, es por esto que se eligió un sistema operativo Linux para la realización del proyecto.
21
Algunos sistemas operativos especializados para servidores son: Ubuntu Server La plataforma líder para la computación de escalabilidad horizontal, Ubuntu Server ayuda a sacar el máximo provecho de su infraestructura. Tanto si desea implementar una nube OpenStack, un cluster Hadoop o 50.000 nodos en una granja de renderizado, Ubuntu Server ofrece el mejor rendimiento de escalado horizontal disponible. [12] CentOS La distribución CentOS Linux es una plataforma estable, predecible, manejable y reproducible derivado de las fuentes de Red Hat Enterprise Linux (RHEL). Ahora estamos buscando expandir mediante la creación de los recursos necesarios por otras comunidades para unirse y ser capaces de construir sobre la plataforma Linux CentOS. Y hoy empezamos el proceso mediante la entrega de un modelo de gobierno clara, aumento de la transparencia y el acceso. En las próximas semanas nos proponemos publicar nuestra propia hoja de ruta que incluye variantes del núcleo Linux CentOS. [13] Desde marzo de 2004, CentOS Linux ha sido una distribución apoyada por la comunidad, derivado de fuentes proporcionadas libremente al público por Red Hat. Como tal, CentOS Linux aspira a ser funcionalmente compatible con Red Hat Enterprise Linux. Cambiamos principalmente paquetes para eliminar la marca del proveedor y de ilustraciones. CentOS Linux es sin costo y libre de redistribuir. CentOS Linux es desarrollado por un pequeño pero creciente grupo de desarrolladores principales. A su vez los desarrolladores principales son apoyados por una comunidad de usuarios activa incluyendo administradores de sistemas, administradores de red, administradores, principales contribuyentes de Linux, y los entusiastas de Linux de todo el mundo. Durante el próximo año, el Proyecto CentOS ampliará su misión de establecer CentOS Linux como una plataforma líder de la comunidad para las nuevas tecnologías de código abierto procedentes de otros proyectos como OpenStack. Estas tecnologías estarán en el centro de múltiples variaciones de CentOS, como descargas individuales o para acceder desde un instalador personalizado.
22
Windows Server Windows server es la familia de sistemas operativos para servidores de Microsoft. Windows Server 2012 R2, que ocupa un lugar central en la estrategia de Microsoft Cloud Platform, aporta la experiencia de Microsoft al dotar su infraestructura de servicios en la nube de escala global, gracias a las nuevas características y mejoras en virtualización, administración, almacenamiento, redes, infraestructura de escritorio virtual, protección de la información y del acceso, plataforma de aplicaciones y web, etc. [14] LAMP LAMP es una plataforma de desarrollo web de código abierto que utiliza Linux como sistema operativo, Apache como servidor web, MySQL como sistema de gestión de base de datos relacional y PHP como lenguaje de scripting orientado a objetos. (A veces, Perl o Python se utiliza en lugar de PHP.) [15] Debido a que la plataforma tiene cuatro capas, LAMP se refiere a veces como un stack LAMP. Los stacks pueden ser construidos en diferentes sistemas operativos. Desarrolladores que utilizan estas herramientas con un sistema operativo Windows en lugar de Linux se dice que están usando WAMP; con un sistema Macintosh, MAMP; y con un sistema Solaris, SAMP.
23
Pruebas IPERF Usaremos Iperf para conocer previamente el estado de la red, se usara entre un servidor Windows de la empresa y una computadora conectada por cable a la red. Se utiliza pc 192.168.11.39 como servidor Iperf y la pc 192.168.11.148 como cliente Iperf. La calidad de un enlace puede ser examinado bajo las siguientes métricas:
Latencia (tiempo de respuesta o RTT): puede medirse usando en comando Ping.
Jitter (variación en la latencia): puede medirse con Iperf ejecutando una prueba con UDP.
Perdida de datagramas: puede medirse con Iperf ejecutando una prueba con UDP.
En la ilustración 11 se muestra el comando “iperf -s” desde la máquina que funcionara como servidor para las pruebas.
Ilustración 4 Servidor de pruebas IPERF
En la ilustración 12 se muestra el comando que se ejecuta desde el cliente con la ip del servidor iperf.
24
Ilustración 5 Cliente IPERF
Resultado En la ilustración 13 se puede observar que en 25.3 segundos se transfirieron 7.75 MB con un ancho de banda de 2.57 Mb/s.
Ilustración 6 Resultado prueba IPERF
Pruebas con UDP Se realizaron pruebas con el protocolo UDP para medir el “jitter” y la perdida de paquetes. En la ilustración 14 se muestra el comando en el servidor iperf “iperf -s -u -i 1” el parámetro –u es para definir que se utilizara UDP y el parámetro –i establece el intervalo de tiempo para los reportes de ancho de banda. 25
Ilustración 7 Prueba IPERF UDP servidor
En la ilustración 15 se muestra el comando que ejecutamos del lado del cliente iperf “iperf -c 192.168.11.39 -u -b 10m” donde el parámetro –u indica que se usara el protocolo UDP, el parámetro –b indica una conexión bidireccional y 10m son los segundos que durara el test.
Ilustración 8 Prueba IPERF UDP cliente
Resultados En la ilustracion 16 se muestran el desglose de los test IPERF por cada segundo durante 10 segundos, se muestra que un datagrama fue recibido fuera de tiempo y que no se perdio ningun datagrama.
Ilustración 9 Resultado IPERF UDP
26
27
Enlaces La empresa cuenta con Cablemás como proveedor de internet que provee una conexión asíncrona con una velocidad de 30 Mbps de descarga y 1 Mbps de carga. Speedtest: En la ilustración 17 se expone el resultado de la prueba de velocidad en la página web SpeedTest.
Ilustración 10 Prueba de velocidad ISP
28
Diseño lógico de la red La empresa tiene una red LAN plana con 3 switches conectados en cascada y aproximadamente 70 dispositivos finales en una red 192.168.11.0/24. El firewall fortigate 100D funciona como un Gateway para la red LAN aparte cuenta con una “zona desmilitarizada” que utiliza la subred 192.168.0.0/24. En la ilustración 18 se aprecia la red empresarial.
Ilustración 11 Red LAN empresarial
29
Instalación de LAMP (Linux, Apache, MySQL, PHP) Como requisito previo para poder instalar Cacti en nuestro servidor Linux Mint, debemos instalar primero el conjunto de servicios y aplicaciones “LAMP”. Apache La ilustración 19 muestra la instalación del servicio Apache2 por medio de la consola de Linux Mint.
Ilustración 12 Instalación de Apache
En la ilustración 20 podemos observar el servicio apache2 funcionando correctamente en el navegador con nuestro servidor local “localhost”.
Ilustración 13 Apache funcionando
30
PHP En la ilustración 21 podemos observar la instalación de PHP por medio de la consola de Linux Mint.
Ilustración 14 Instalación PHP
En la ilustración 22 podemos ver PHP funcionando correctamente.
Ilustración 15 PHP prueba
31
MySQL En la ilustración 23 podemos observar la instalación de Mysql por medio de la consola de Linux Mint.
Ilustración 16 Instalación Mysql
En la ilustración 24 podemos observar el proceso de configuración de contraseña para el usuario root de mysql.
Ilustración 17 Contraseña Mysql
32
En la ilustración 25 se puede observar Mysql funcionando desde la consola de Linux Mint.
Ilustración 18 Mysql funcionando
RRDtools (Round Robin Database Tool) En la ilustracion 26 se observa la instalacion de RRDtools por medio de la consola de Linux Mint.
Ilustración 19 instalación RRDtools
33
SNMP y SNMPD (Simple Network Management Protocol) En la ilustración 27 se observa la intalacion de los paquetes SNMP y SNMPD desde la consola de Linux Mint.
Ilustración 20 Instalación de SNMP y SNMPD
Instalación de Cacti En la ilustración 28 se puede ver la instalación de Cacti y spine un sondeador opcional desde la consola de Linux Mint.
Ilustración 21 Comando de instalación Cacti
En la ilustración 29 se elige la configuración de la base de datos de cacti. 34
Ilustración 22 Configuración base de datos Cacti
En la ilustración 30 se elige apache2 como servidor web para Cacti.
Ilustración 23 Selección de servidor Web para Cacti
En la ilustración 31 se observa la primera página de instalación de Cacti en interfaz web. 35
Ilustración 24 Instalación Cacti interfaz Web
En la ilustracion 32 se elige “nueva instalacion” para la instalacion de cacti.
Ilustración 25 Nueva instalación de Cacti
En la ilustración 26 se observa que todos los directorios son correctos para la instalación de Cacti.
36
Ilustración 26 Directorios Cacti
37
En la ilustración 34 se ingresan las credenciales de inicio de sesión en Cacti.
Ilustración 27 Primer inicio de sesión Cacti
En la ilustracion 35 se observa el cambio de contraseña por defecto de Cacti.
Ilustración 28 Cambio de contraseña por defecto Cacti
38
En la ilustración 36 se observa la interfaz Web de Cacti, lista para configurar y agregar nuevos dispositivos.
Ilustración 29 Interfaz Web Cacti
39
Instalar plugin en Cacti Ahora mostraremos como instalar un plugin en Cacti, en este caso instalaremos el plugin “Reportit” que sirve para generar reportes de las interfaces que monitoreamos. En la ilustración 37 observamos el foro oficial de Cacti, el apartado de plugins.
Ilustración 30 Descarga de plugin desde foro oficial Cacti
En la ilustracion 38 vemos el archivo descargado y la carpeta descomprimida reportit.
Ilustración 31 Archivo comprimido del plugin
40
En la ilustracion 39 observamos la carpeta de plugins de Cacti que se encuentra en “cacti/site/plugin”. En donde pondremos la carpeta descomprimida del plugin.
Ilustración 32 Directorio de plugins en Cacti
Ahora entraremos a la interfaz web de Cacti y nos posicionaremos en el partado “Configuration/Plugin Management”, dentro de este apartado se encuentran los plugins que tenemos en la carpeta plugins. En la ilustracion 40 observamos el apartado “Plugin Management” de Cacti.
Ilustración 33 Activación de plugin en Cacti
41
Ahora solo nos queda Activar el plugin y veremos que se agrega una nueva pestaña que corresponde al nuevo plugin. En la ilustracion 41 observamos que el plugin “Reportit” ya esta instalado y se anexo una pestaña con el nombre reports proveniente de este plugin que acabamos de activar.
Ilustración 34 Plugin reportit activado
42
Configurando agente SNMP en dispositivos a monitorizar Equipos Windows A continuación se describe la manera de habilitar el servicio SNMP en sistemas operativos Windows. Instalación Primero se debe abrir la opción “Programas y características” en el panel de control de Windows. En la ilustracion 42 se muestra el panel de control de Windows.
Ilustración 35 Panel de control Windows
43
Dentro tendremos que dirigirnos a la opcion “Activar o desactivar las caracteristicas de Windows” En la ilustracion 43 se muestra programas y caracteristicas en Windows.
Ilustración 36 Programas y características Windows
Se debe habilitar la opcion “Proveedor SNMP de WMI”. En la ilustracion 44 se muestran las caracteristicas que se activaran en Windows.
Ilustración 37 Características de Windows SNMP
Configuración SNMP en Windows 44
Debemos entrar a servicios locales en Windows. En la ilustración 45 se muestra la búsqueda de “servicios” en Windows 8.
Ilustración 38 Búsqueda Servicios
Localizamos el servicos SNMP y entramos en sus propiedades. En la ilustración 46 se observan los servicios activos en el equipo Windows.
Ilustración 39 Reinicio del servicio SNMP
45
En la pestaña agente configuraremos el “Contacto” y la “Ubicación” del equipo dentro de la red. En la ilustracion 47 se observan la configuracion de “Contacto” y “Ubicación” para el servicio snmp en windows.
Ilustración 40 Configuración agente SNMP Windows
En la pestaña seguridad agregaremos una comunidad nueva que sea de “SOLO LECTURA”. En la ilustracion 48 se observa la configuracion de la comunidad snmp.
Ilustración 41 Configuración de comunidad SNMP Windows
46
En la misma pestaña configuraremos la direccion IP del servidor Cacti. En la ilustracion 49 se configura la direccion IP del servidor con cacti.
Ilustración 42 Configuración IP de servidor
Por ultimo reiniciamos el servicio SNMP y la pc esta lista para ser agregada a Cacti para su monitoreo. En la ilustración 50 se muestra el reinicio del servicio SNMP.
Ilustración 43 Reinicio de servicio SNMP Windows
47
Equipos Linux Instalación snmp En Linux Ubuntu lo primero que hay que hacer es instalar el paquete “snmpd”. En la ilustración 51 podemos observar la instalación del paquete snmpd por medio de la consola de Linux Ubuntu.
Ilustración 44 Instalación SNMPD Ubuntu
Configuración Se editara el archivo de configuración “snmpd.conf”. En la ilustración 52 se muestra el comando para editar el archivo de configuración de “snmpd” con el editor “nano” por medio de la consola de Linux Ubuntu.
Ilustración 45 Comando para editar snmpd.conf
48
Cambiamos la directiva “agentAddress”, por defecto solo se pueden establecer conexiones procedentes del equipo local, con esta modificación permitimos todas las conexiones. En la ilustración 53 se muestra la configuración de “Agent Behaviour”.
Ilustración 46 Configuración “Agent Behaviour” Ubuntu Linux
En la configuración del control de acceso de snmpd, cambiamos los valores por defecto “systemonly” por “all” de la misma manera se cambiaron las comunidades por defecto “public” a “grupoDG”. En la ilustración 54 se observa la configuración de “Access Control”.
Ilustración 47 Configuración “Access Control” Ubuntu Linux
49
Se cambian los valores de “System information” en donde “sysLocation” es el lugar en donde se encuentra el equipo y “sysContact” es quien usa el equipo. En la ilustración 55 se cambian los valores de “System infotmation”.
Ilustración 48 Configuración de Agente SNMP Ubuntu Linux
Por ultimo se tiene que reiniciar el servicio snmpd para que los cambios surjan efecto. En la ilustracion 56 podemos observar como se reinicia el servicio snmpd desde la consola de Linux Ubuntu.
Ilustración 49 Reinicio de servicio SNMPD Ubuntu Linux
50
Activar SNMP en versiones antiguas de Linux sin soporte Para activar SNMP en versiones sin soporte de Linux tendremos que actualizar los repositorios, para esto editamos el archivo “sources.list” que se encuentra en el directorio “/etc/apt/sources.list” y agregar las siguientes líneas con la versión de Ubuntu que tengamos en este caso es la versión “jaunty”. En la ilustración 57 se muestran las líneas que debemos agregar al archivo “Sources.list”.
Ilustración 50 Nuevos repositorios
Lo que haremos para automatizar el proceso es crear una carpeta que contendrá el archivo “Sources.list” ya editado y un script que ejecute todos los comandos necesarios para actualizar el repositorio e instalar SNMP. Este script también cambia archivos de configuración de SNMP una vez ya instalado para ahorrar tiempo. En la ilustración 58 se muestra el script para correr en la consola de Ubuntu Linux.
Ilustración 51 Script para actualizar los repositorios e instalar SNMPD
51
Ahora sólo tenemos que ejecutarlo en Ubuntu, navegamos con la terminal hasta la ubicación del archivo y lo ejecutamos de la siguiente forma. En la ilustración 59 vemos el comando para ejecutar el script en la consola de Ubuntu Linux.
Ilustración 52 Comando de ejecución de script
Activando SNMP en Fortigate 100D La monitorización del firewall fortigate es muy importante, este cuenta con tres interfaces de red que son relevantes para el análisis de tráfico, como la interaz “Internal” que es la puerta de enlace predeterminada en la red LAN. Lo primero que hay que hacer para configurar SNMP en Fortigate, es editar la interfaz por la que nos conectaremos, en este caso sería la interfaz de la red interna. Nos dirigimos a Sistemas/Red/Interfaces y seleccionamos la interfaz. En la ilustración 60 vemos las interfaces del firewall Fortigate 100D.
52
Ilustración 53 Interfaces Fortigate 100D
Dentro de la interfaz hay que habilitar la opción SNMP y guardas los cambios. En la ilustración 61 observamos la configuración de comunidad SNMP.
Ilustración 54 Configuración de interfaz Fortigate 100D
Ahora hay que configurar el servicio SNMP, nos Sistema/Configuración/SNMP y configuraremos el agente SNMP.
dirigimos
a
En la ilustración 62 se observa la configuración del agente SNMP en el Fortigate 100D.
53
Ilustración 55 Configuración agente SNMP Fortigate 100D
Para crear una nueva comunidad ubicamos el botón “Crear Nuevo” en esta ocasión configuraremos SNMP versión 2. Configuramos el nombre de la comunidad y la IP del servidor Cacti y la interfaz de donde se accederá en este caso es la interna. En la ilustración 63 podemos observar la configuración de una nueva comunidad SNMP.
Ilustración 56 Configuración de comunidad SNMP
54
En la ilustracion 64 vemos la configuracion del Fortigate en Cacti.
Ilustración 57 Configuración de Fortigate 100D en Cacti.
En la ilustracion 65 vemos las graficas de las 3 interfaces activas del Fortigate 100D.
Ilustración 58 Graficas de las interfaces de red Fortigate 100D
55
Agregar dispositivos a Cacti Una vez habiendo activado y configurado el cliente SNMP en los dispositivos a monitorear, ya podemos agregarlos a Cacti. Para agregar dispositivos a Cacti debemos seguir estos pasos: Para agregar un nuevo dispositivo a monitorear en cacti nos dirigimos al apartado de “Devices” y luego presionamos en “Add”. En la ilustración 66 vemos la tabla de dispositivos agregados.
Ilustración 59 Apartado “Devices” Cacti
En la nueva ventana realizaremos las configuraciones para el nuevo host agregado con la dirección IP, el template elegido, la versión de SNMP 2 y la comunidad. En la ilustración 67 se muestran las configuraciones del nuevo dispositivo.
Ilustración 60 Configuración de nuevo dispositivo Cacti
56
En la ilustración 68 podemos ver que fue un éxito la adición de un nuevo dispositivo a cacti.
Ilustración 61 Configuración de dispositivo exitosa Cacti
En la ilustración 69 podemos observar todos los dispositivos anexados a cacti.
Ilustración 62 Dispositivos en Cacti
57
Creando graficas de tráfico en Cacti Para crear graficas de un dispositivo hay que seleccionarlo en el apartado “Devices” y seguir los siguientes pasos. Debemos entrar al dispositivo o bien después de agregarlo presionar en “Create Graphs for this host”. En la ilustración 70 vemos las opciones del dispositivo seleccionado.
Ilustración 63 Opción “Crate graphs for this host” Cacti
Debemos seleccionar la interfaz de la queremos crear una gráfica. En la ilustración 71 interfaces disponibles en una PC.
Ilustración 64 Interfaces de dispositivo Cacti
58
En la ilustración 72 podemos ver que la creación de la nueva grafica basada en la interfaz de red fue exitosa.
Ilustración 65 Grafica de interfaz creada con éxito
59
Creando grupos o arboles de dispositivos en Cacti Para ordenar los dispositivos que acabamos de agregar en grupos podemos crear un arbol por cada departamento de la suguiente forma: Para crear un nuevo arbol en Cacti debemos acceder al apartado “Graph Trees” y precionar “Add”. En la ilustracion 73 vemos el apartado “Graph Trees”.
Ilustración 66 Árbol de graficas
Le damos un nombre al nuevo arbol y damos clic en “Create”. En la ilustracion 74 observamos la configuracion de un nuevo arbol en Cacti.
Ilustración 67 Creación de nuevo Árbol
60
En la ilustracion 75 vemos los arboles creados.
Ilustración 68 Arboles creados en Cacti
Agregar dispositivos a un árbol en Cacti En la ilustración 76 vemos que para agregar dispositivos a un árbol en cacti, debemos ir al apartado “Devices” y seleccionar los dispositivos que queremos agregar.
Ilustración 69 Selección de dispositivos Cacti
61
En la ilustración 77 podemos ver que al final de la lista de dispositivos podemos elegir una acción para agregar los dispositivos a un árbol que creamos.
Ilustración 70 Selección de arbol para dispositivos Cacti
En el apartado graphs podemos ver los grupos o arboles que hemos configurado y las gráicas de tráfico de red entrante y saliente de los dispositivos que se monitorizan. En la ilustracion 78 vemos los grupos en Cacti con los dipositivos que hay dentro.
Ilustración 71 Arboles Cacti
62
Configuracion de Politicas Fortigate Para reducir el trafico y mejorar la seguridad en la red LAN de la empresa se emplearan politicas de seguridad con la creacion de dos grupos nuevos en el Firewall Fortigate 100D. Politica restringida Esta política servirá para trabajadores que necesiten acceso a internet controlado y básico como los contadores, taller, refacciones y secretarias, este grupo tendrá las siguientes caracteristicas:
El tráfico tendrá la interfaz interna como la interfaz entrante.
El grupo Restringido como direccion de origen.
La interfaz saliente sera el dmz.
Se bloquearán todas las páginas que puedan representar un gran consumo de ancho de banda así como las que contengan contenido inapropiado.
Los perfiles de seguridad que se usaran en la política son:
AntiVirus.
Filtro Web
Control de aplicaciones.
Para la realizacion de la política de Restringidos primero debemos crear el grupo de la siguiente forma. Nos dirigimos a Objetos de Firewall/Dirección/Dirección y precionamos el boton crear nuevo. En la ilustracion 79 vemos el apartado de direccion en Fortigate 100D.
63
Ilustración 72 Direcciones Fortigate 100D
64
Aqui configuraremos una nueva direccion IP, repetiremos el proceso para todas las pc de la red. En la ilustracion 80 podemos ver la configuracion de una nueva IP en el Fotigate 100D.
Ilustración 73 Configuración de IP nueva Fortigate 100D
En la ilustracion 81 podemos apreciar las direcciones IPs configuradas en el Fortigate 100D.
Ilustración 74 IPs agregadas al Fortigate 100D
Ahora crearemos un nuevo grupo, nos dirigimos a Objetos Firewall/Dirección/Grupo, ubicamos el botón crear nuevo y lo seleccionamos.
de
En la ilustracion 82 se onbserva el apartado Grupos en el Fortigate 100D.
Ilustración 75 Grupos Fortigate 100D
65
En la ilustración 83 vemos como se añaden las direcciones de los host que queremos que tengan un acceso restringido a internet en un nuevo grupo.
Ilustración 76 Nuevo grupo de direcciones IP Fortigate 100D
Ahora crearemos los perfiles de Antivirus, Filtro web y control de aplicaciones para la política Restringido. Nos dirigimos a perfiles de seguridad/Antivirus/perfil presionamos el botón “Crear nuevo” el perfil nuevo se llamara “red_externa_sMsn”. En la ilustración 84 se muestra la creación de un nuevo perfil de antivirus en el Fortigate 100D.
Ilustración 77 Perfil de antivirus Fortigate 100D
66
Ahora nos dirigimos a Filtro Web/Perfil y creamos un nuevo perfil, habilitaremos la casilla “Categorías de FortiGuard” y las seleccionamos todas. De esta manera bloqueamos sitios que representan un consumo alto de ancho de banda, así como sitios posiblemente peligrosos o con contenido inapropiado. La ilustración 85 muestra el nuevo perfil de filtro web para la política de restringido.
Ilustración 78 Perfil de filtro web Fortigate 100D
El ultimo perfil que crearemos para nuestra política de Restringido será de aplicaciones, nos dirigimos a Control de aplicaciones/Sensor de aplicaciones. Dentro configuraremos un nuevo perfil dando clic en “Crear nuevo”. En la ilustración 86 vemos las políticas de control de aplicaciones existentes.
Ilustración 79 Control de aplicaciones Fortigate 100D
67
Creamos un nuevo perfil con el nombre “red_externa_sMsn” En la ilustración 87 observamos la configuración de un nuevo perfil de control de aplicaciones.
Ilustración 80 Creación de nuevo perfil de control de aplicaciones Fortigate 100D
Por defecto tenemos dos filtros uno para todas las aplicaciones conocidas y una para todas las aplicaciones desconocidas, para crear un nuevo filtro damos clic en “Create new”. En la ilustración 88 se expone el nuevo perfil de control de aplicaciones creado.
Ilustración 81 Nuevo perfil de aplicaciones Fortigate 100D
68
Seleccionaremos la opción “Basado en filtro” y solo marcaremos el filtro “Social.Media”. En la ilustración 89 podemos apreciar la configuración de una nueva política basada en filtro para el control de aplicaciones.
Ilustración 82 Filtro de aplicaciones “Social.media” Fortigate 100D
Seleccionaremos la opción bloquear como acción y daremos clic en “ok”. En la ilustración 90 vemos la selección de la acción para la nueva política de control de aplicaciones.
Ilustración 83 Acción de política de control de aplicaciones Fortigate 100D
69
Para crear un filtro para una sola aplicación lo haremos de la siguiente manera. Marcamos la opción especificar aplicaciones y buscamos “ultrasurf” la seleccionamos como acción, la bloquearemos y damos clic en “ok”. En la ilustración 91 se muestra como añadir un filtro para una sola aplicación en este caso “ultrasurf” será la aplicación bloqueada.
Ilustración 84 Bloqueo de la aplicación ultrasurf Fortigate 100D
En la ilustración 92 se muestran las aplicaciones agregadas al perfil en el “Sensor de aplicaciones” para nuestra política de Restringidos.
Ilustración 85 Aplicaciones restringidas Fortigate 100D
70
Crearemos un grupo de servicios que se utilizarán en el grupo Restringidos, para esto iremos a Objetos Firewall/Grupo dentro crearemos un nuevo grupo dando clic en “Crear nuevo” el grupo se llamara “prot_usuarios_sMSN” y tendrá los servicios básicos para el grupo de Restringidos. En la ilustración 93 podemos observar la creación de un grupo de servicios para la política de restringido.
Ilustración 86 Grupo de servicios para política “Restringidos”
71
Finalmente para crear la política nueva nos dirigimos a Política/Política/Política y presionamos “Crear nuevo”, dentro configuraremos los siguientes parámetros. En la ilustración 94 podemos apreciar las configuración de la nueva política “Redtringido”.
Ilustración 87 Configuración de política “Restringido”
Agregamos los perfiles que creamos previamente y guardamos. En la ilustración 95 vemos como se agregan los perfiles configurados previamente a la política.
Ilustración 88 Configurando perfiles a política “Restringido”
72
Creando Política libre Ahora crearemos una política llamada “libre” para los jefes de área o Terminales que necesiten acceso libre a internet. La política libre tendrá las siguientes características:
Tipo de política es “Firewall”
Subtipo de política es “Dirección”
Interfaz entrante es “internal”
Como dirección de origen se utilizara el grupo “libre”
La interfaz saliente será “dmz”
Podrá utilizar todos los servicios y ver cualquier página.
Lo primero que se hizo fue configurar el grupo “Libre”, nos dirigimos a Objetos de Firewall/Dirección/Grupo y damos clic en “Crear nuevo”. En la ilustración 96 vemos los grupos que se han creado hasta ahora en el Fortigate.
Ilustración 89 Grupos creados Fortigate 100D
73
Dentro seleccionamos las direcciones IP que tendrán acceso libre a internet. En la ilustración 97 observamos la creación del nuevo grupo de IPs para la política “libre”.
Ilustración 90 Grupo Libre Fortigate 100D
En la ilustración 98 se muestran los grupos creados.
Ilustración 91 Grupo “libre” creado
74
En la ilustración 99 vemos la configuración de la política “libre”.
Ilustración 92 Configuración de política “libre”
Políticas creadas En la ilustracion 100 vemos las políticas que tiene creadas el firewall entre ellas estan las dos que creamos (Restringido y libre).
Ilustración 93 Políticas en firewall Fortigate 100D
Ilustración 94 Pagina web bloqueada por Fortigate 100D
75
Ancho de banda red LAN En las pruebas realizadas con IPERF se observa un incremento considerable en el ancho de banda y la rapidez de la red LAN. En la ilustracion 102 se muestran los resultados de la prueba IPERF utilizando como servidor una maquina conectada de forma alambrica. Los resultados indican que en 10.1 segundos se tranfirieron 37 MB y el Bandwidth o ancho de banda es de 30.8 MBits/segundo.
Ilustración 95 Prueba IPERF servidor
En la ilustracion 103 se muestra la prueba realizada desde el cliente que es la computadora donde se encuentra instalado el sistema Cacti.
Ilustración 96 Prueba IPERF cliente
76
Comparación Al comparar los resultados más recientes con el análisis anterior vemos un significativo aumento en el ancho de banda y la velocidad de la red. En la ilustración 104 se muestra el resultado de IPERF antes de realizar el proyecto con un ancho de banda de 2.57 Mb/sec.
Ilustración 97 Prueba inicial de ancho de banda
En la ilustración 105 se muestra el resultado de IPERF después de la aplicación de las políticas en el firewall Fortigate, el ancho de banda es de 30.8 Mb/sec es una notable mejora respecto a el test anterior.
Ilustración 98 Prueba actual de ancho de banda
77
Trafico de red Se lograron suprimir los picos de consumo de ancho de banda a determinadas horas del día resultado de visitas a YouTube, Facebook y otras páginas que tienen un alto consumo de ancho de banda. En la ilustración 106 se exponen las gráficas de Cacti sobre las interfaces de red del Fortigate 100D.
Ilustración 99 Trafico de red interfaces de Fortigate 100D
78
Monitorización de dispositivos Con Cacti ahora se puede saber el estado de un dispositivo sin tener que verlo físicamente, también podemos saber cuánto tiempo a estado encendido o apagado y la carga de su procesador o espacio disponible en disco duro. Esto nos da la posibilidad de solucionar problemas con una mayor rapidez y facilidad. En la ilustración 107 observamos el estado de los dispositivos monitorizados en Cacti.
Ilustración 100 Dispositivos monitorizados en Cacti
79
En la ilustracion 108 podemos observar un grafico de la monitorizacion del uso del disco duro del servidor donde se encuentra instalado cacti.
Ilustración 101 Grafico de uso de Disco duro Cacti
80
IV.
CONCLUSIONES.
Las redes empresariales se pueden volver sumamente complejas para ser administradas de forma física y manual, conocer a que puerto está conectado cada dispositivo es de gran importancia, el problema es que actualmente se maneja una gran cantidad de dispositivos y en una red en crecimiento es muy difícil para el administrador de red gestionar la red sin herramientas de apoyo que le brinden información sobre la red que administra. Como resultado de la implementación del protocolo SNMP para la monitorización de red, podemos concluir que existe una concordancia o relación entre la productividad de un administrador de red y las herramientas que este utiliza para monitorización y administración de dispositivos, la implementación de un sistema gestor de red simplifica en gran medida el monitoreo de los dispositivos, así como los servicios y funcionalidades que ofrecen en la red. Existen varios sistemas gestores de red con los que obtenemos resultados bastantes similares en cuanto a la información que brindan, sin embargo, existe una gran diferencia en la funcionabilidad, es decir, la manera en la que podemos configurar el gestor y agregar nuevos dispositivos para monitorizar, hay sistemas que son más sencillos de utilizar que otros, tal es el caso de Cacti en donde toda su configuración es mediante su interfaz web. El uso de un hardware de seguridad especializado como el Firewall Fortigate 100D, simplifica enormemente la implementación de la seguridad en la red creando políticas para IPs específicas de la red LAN, con esto se logra una óptima seguridad y la asignación de privilegios y restricciones fácil de implementar desde la configuración web del Fortigate. Después de comparar el análisis de enlace con el software IPERF antes y después de dar inicio al proyecto, observamos que después de aplicar las políticas de restricción y seguridad en el dispositivo fortigate, ocurrió una baja significativa en el tráfico de la red LAN y un aumento en el ancho de banda y la velocidad de trasferencia con la restricción de acceso a sitios y servicios de internet que pueden representar un alto consumo de ancho de banda.
81
A partir de los resultados obtenidos con el monitoreo de red se puede optar por una actualización de red con una mayor segmentación y ordenamiento de la red empresarial, la compra de nuevos switches administrables hace posible la implementación de una red LAN jerárquica con switches de acceso a los que conectar los dispositivos finales y swiches de distribución en donde podamos implementar las políticas de seguridad de la red. De igual forma seria más fácil implementar SNMP en los switches para la monitorización de la interfaces de red del mismo, de este modo no tendremos que activar el protocolo SNMP en los dispositivos finales si no que obtendríamos los datos directamente desde el switch al que estos se conecten. A excepción claro de los servidores de los que queramos tener información detallada.
82
Instalación de Linux Mint En la ilustración se observa la elección de idioma en la instalación de Linux Mint.
Ilustración 102 Elección de idioma instalación de Linux Mint
En la ilustración 11 podemos apreciar que se elige un proceso de instalación personalizado para poder configurar las particiones en donde instalaremos Linux Mint.
Ilustración 103 Instalación personalizada
83
En la ilustracion 112 se exponen las particiones donde se instalara Linux Mint.
Ilustración 104 Particiones Linux Mint
En la ilustración 113 se muestra la selección de región en la instalación de Linux mint.
Ilustración 105 Selección de región Linux Mint
84
En la ilustracion 114 se muestran las configuraciones de usuario.
Ilustración 106 Configuraciones de usuario Linux Mint
En la ilustración 115 se observa el proceso de instalación de Linux Mint
Ilustración 107 Instalación Linux Mint
85