Академический Документы
Профессиональный Документы
Культура Документы
Administrador de SNMP
Agentes SNMP (nodo administrado)
Base de información de administración (MIB)
El agente de SNMP y MIB se alojan en los dispositivos del cliente de SNMP. Los
dispositivos de red que se deben administrar, como los switches, los routers, los servidores,
los firewalls y las estaciones de trabajo, cuentan con un módulo de software de agente
SMNP. Las MIB almacenan datos sobre el dispositivo y estadísticas operativas y deben
estar disponibles para los usuarios remotos autenticados. El agente de SNMP es
responsable de brindar acceso a la MIB local.
Los agentes SNMP que residen en los dispositivos administrados recopilan y almacenan
información sobre los dispositivos y su funcionamiento. El agente almacena esta
información localmente en la MIB. El administrador de SNMP luego usa el agente SNMP
para tener acceso a la información dentro de la MIB.
Existen dos solicitudes principales de administrador de SNMP: get y set. NMS usa una
solicitud get para solicitar datos al dispositivo. NMS usa una solicitud "set" para cambiar
las variables de configuración en el dispositivo de agente. Una solicitud set también puede
iniciar acciones dentro de un dispositivo. Por ejemplo, una solicitud set puede hacer que un
router se reinicie, que envíe o que reciba un archivo de configuración. El administrador de
SNMP utiliza las acciones de las solicitudes get y set para realizar las operaciones descritas
en la tabla de la siguiente figura.
NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos
administrados para solicitar datos a los dispositivos mediante la solicitud get. Con este
proceso, una aplicación de administración de red puede recopilar información para
controlar cargas de tráfico y verificar las configuraciones de los dispositivos administrados.
La información puede visualizarse por una GUI en NMS. Se pueden calcular los
promedios, los mínimos o los máximos, representar los datos gráficamente o establecer
umbrales para activar un proceso de notificación cuando se exceden los umbrales. Por
ejemplo, NMS puede controlar el uso de CPU de un router Cisco. El administrador de
SNMP toma una muestra del valor periódicamente y presenta esta información en un
gráfico para que el administrador de redes la use para crear una línea de base, redactar un
informe o ver información en tiempo real.
El sondeo periódico de SNMP tiene desventajas. En primer lugar, existe un retraso entre el
momento en el que ocurre un evento y el momento en el que NMS lo advierte (mediante el
sondeo). En segundo lugar, existe un nivel de equilibrio entre la frecuencia del sondeo y el
uso del ancho de banda.
Para mitigar estas desventajas, es posible que los agentes SNMP generen y envíen traps
para informarle a NMS sobre ciertos eventos de inmediato. Las traps son mensajes no
solicitados que alertan al administrador de SNMP sobre una condición o un evento en la
red. Algunos ejemplos de las condiciones de trap incluyen, entre otros, la autenticación
incorrecta de usuarios, los reinicios, el estado del enlace (activo o inactivo), el seguimiento
de direcciones MAC, el cierre de una conexión TCP, la pérdida de conexión a un vecino u
otros eventos importantes. Las notificaciones de trap reducen los recursos de red y de
agente al eliminar la necesidad de algunas de las solicitudes de sondeo de SNMP.
En la siguiente figura, se muestra el uso de una trap de SNMP para alertar al administrador
de red que la interfaz G0/0 falló. El software de NMS puede enviar un mensaje de texto al
administrador de red, mostrar una ventana emergente en el software de NMS o mostrar el
ícono del router en color rojo en la GUI de NMS.
Protocolo SNMP
El protocolo simple de administración de redes (SNMP) se desarrolló para que los
administradores puedan administrar nodos como servidores, estaciones de trabajo, routers,
switches y dispositivos de seguridad en una red IP. Permite que los administradores de
redes monitoreen y administren el rendimiento de la red, detecten y resuelvan problemas de
red y planifiquen el crecimiento de la red.
Administrador de SNMP
Agentes SNMP (nodo administrado)
Base de información de administración (MIB)
El agente de SNMP y MIB se alojan en los dispositivos del cliente de SNMP. Los
dispositivos de red que se deben administrar, como los switches, los routers, los servidores,
los firewalls y las estaciones de trabajo, cuentan con un módulo de software de agente
SMNP. Las MIB almacenan datos sobre el dispositivo y estadísticas operativas y deben
estar disponibles para los usuarios remotos autenticados. El agente de SNMP es
responsable de brindar acceso a la MIB local.
Los agentes SNMP que residen en los dispositivos administrados recopilan y almacenan
información sobre los dispositivos y su funcionamiento. El agente almacena esta
información localmente en la MIB. El administrador de SNMP luego usa el agente SNMP
para tener acceso a la información dentro de la MIB.
Existen dos solicitudes principales de administrador de SNMP: get y set. NMS usa una
solicitud get para solicitar datos al dispositivo. NMS usa una solicitud "set" para cambiar
las variables de configuración en el dispositivo de agente. Una solicitud set también puede
iniciar acciones dentro de un dispositivo. Por ejemplo, una solicitud set puede hacer que un
router se reinicie, que envíe o que reciba un archivo de configuración. El administrador de
SNMP utiliza las acciones de las solicitudes get y set para realizar las operaciones descritas
en la tabla de la siguiente figura.
NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos
administrados para solicitar datos a los dispositivos mediante la solicitud get. Con este
proceso, una aplicación de administración de red puede recopilar información para
controlar cargas de tráfico y verificar las configuraciones de los dispositivos administrados.
La información puede visualizarse por una GUI en NMS. Se pueden calcular los
promedios, los mínimos o los máximos, representar los datos gráficamente o establecer
umbrales para activar un proceso de notificación cuando se exceden los umbrales. Por
ejemplo, NMS puede controlar el uso de CPU de un router Cisco. El administrador de
SNMP toma una muestra del valor periódicamente y presenta esta información en un
gráfico para que el administrador de redes la use para crear una línea de base, redactar un
informe o ver información en tiempo real.
El sondeo periódico de SNMP tiene desventajas. En primer lugar, existe un retraso entre el
momento en el que ocurre un evento y el momento en el que NMS lo advierte (mediante el
sondeo). En segundo lugar, existe un nivel de equilibrio entre la frecuencia del sondeo y el
uso del ancho de banda.
Para mitigar estas desventajas, es posible que los agentes SNMP generen y envíen traps
para informarle a NMS sobre ciertos eventos de inmediato. Las traps son mensajes no
solicitados que alertan al administrador de SNMP sobre una condición o un evento en la
red. Algunos ejemplos de las condiciones de trap incluyen, entre otros, la autenticación
incorrecta de usuarios, los reinicios, el estado del enlace (activo o inactivo), el seguimiento
de direcciones MAC, el cierre de una conexión TCP, la pérdida de conexión a un vecino u
otros eventos importantes. Las notificaciones de trap reducen los recursos de red y de
agente al eliminar la necesidad de algunas de las solicitudes de sondeo de SNMP.
En la siguiente figura, se muestra el uso de una trap de SNMP para alertar al administrador
de red que la interfaz G0/0 falló. El software de NMS puede enviar un mensaje de texto al
administrador de red, mostrar una ventana emergente en el software de NMS o mostrar el
ícono del router en color rojo en la GUI de NMS.
En los últimos años, las redes empresariales han evolucionado considerablemente. Todo,
desde el cómputo móvil hasta la nube –y por no hablar de todos los sistemas internos
nuevos, servicios y aplicaciones– están haciendo a las redes actuales más complejas que
nunca. Incluso las mismas herramientas que se utilizan para administrar la seguridad de la
red pueden expandir la superficie de ataque y crear sus propias vulnerabilidades.
Como muchos usuarios a menudo averiguan por la vía difícil, la complejidad es mala para
la seguridad, pero continúa sin cesar.
Uno de los desafíos centrales que enfrentan las empresas hoy es no saber, en un momento
dado, dónde se encuentran realmente las cosas con sus vulnerabilidades de red y los riesgos
del negocio.
Si una empresa va a realizar mejoras tangibles en la seguridad, tiene que tomar sus pruebas
de seguridad de red al siguiente nivel.
En primer lugar, es importante recordar las diferencias entre las auditorías de seguridad,
los análisis de vulnerabilidades, las pruebas de penetración y las evaluaciones de riesgos de
la información. Hay similitudes entre todos ellos –a saber, encontrar y corregir los fallos de
seguridad de la red antes de que sean explotados–, pero los enfoques, herramientas,
conjuntos de habilidades y el tiempo requeridos para cada uno varían considerablemente.
Lo más importante que se debe entender con las auditorías de seguridad es qué es lo que su
empresa está tratando de lograr. No le decimos a nuestros radiólogos e inspectores de
viviendas que limiten su alcance sobre la base de lo que suponemos que necesitamos; ¿por
qué limitar el foco de las pruebas de seguridad de la red a una sola cosa, como penetrar en
la red desde el exterior, escanear una página web por el cumplimiento de PCI DSS, validar
que se está llevando a cabo el ingreso a la auditoría y la colocación de parches, o asegurar
la existencia de políticas documentadas?.
Una ley fundamental de la seguridad de red es que usted no puede asegurar lo que no
reconoce. Antes de que una organización pueda afirmar verdaderamente qué tan seguro es
su entorno, debe estar segura de que está mirando todas las áreas correctas –y que lo está
haciendo de manera periódica y constante. Esto no significa que la empresa tiene que ver
cada uno de los sistemas, en cada segmento de la red, en todo momento, pero sí que debe
centrarse en lo que es más importante y más visible. En otras palabras, como mínimo, mire
la información más sensible sobre los sistemas más críticos y resuelvalo desde allí.
Antes de empezar
Planificar las cosas con mucha antelación es fundamental para una buena prueba de
seguridad. Eso establece las expectativas de todos los involucrados, incluyendo la
administración, los desarrolladores y el personal de operaciones de TI.
Puede tomar todo un libro para cubrir esta fase de las auditorías de seguridad de red, pero
aquí hay cuatro subfases que su empresa querrá ejecutar:
Una vez más, realizar un análisis manual es una parte grande y muy importante de las
pruebas de seguridad. Un mono puede ejecutar un escáner de vulnerabilidad; el valor real
viene cuando usted utiliza su sabiduría y sentido común para descubrir y explotar las fallas
que requieren de intervención humana.
En esta etapa, el informe que usted construye esboza dónde y cómo se hacen las cosas; sin
embargo, este paso generalmente no es tomado tan en serio como debería ser. Incluso si se
descubre todas las mayores brechas de seguridad y exploits, si estos riesgos no se
comunican bien a los demás dentro de la organización, entonces probablemente no se
actuará respecto a ellos y el ciclo de brechas de seguridad continuará.
Desde mi propia experiencia, he encontrado que un informe oficial que contiene tanto un
resumen ejecutivo informativo (es decir, no solo un par de frases de pelusa), como una lista
de los detalles técnicos de cada hallazgo crítico y no crítico funciona bien; cuanto más
breve, mejor. Nunca entregue informes exportados de las herramientas de pruebas de
seguridad y espere que otros tomen en serio el informe.
Cualquiera que lea el informe final tiene que saber tres cosas básicas:
Incluso con capturas de pantalla y otros detalles técnicos, a menudo se puede enumerar dos
o tres conclusiones en una sola página del informe. Tenga en cuenta que cuanto más
detallado sea el informe, mayores serán las posibilidades de que algo sea pasado por alto.
Remita a un apéndice, datos de prueba suplementarios (por ejemplo, reportes en PDF o
HTML de las herramientas que utilizó) o sitios web, siempre que sea posible.
Su tiempo y su conocimiento son todo lo que tiene. Las empresas dependen en gran medida
de los resultados de las evaluaciones de seguridad de red, por lo que las mejoras continuas
son una necesidad. A veces se trata de sus herramientas, a veces es su metodología, pero a
menudo es solo una cuestión de mejorar en lo que hace. Teniendo en cuenta todas las
evaluaciones que realizo cada año, me he dado cuenta que si usted afina su enfoque hacia
las pruebas de seguridad, puede obtener resultados mucho mejores en un período de tiempo
más corto –incluso con toda la complejidad presente en las redes actuales.
Pruebas de penetración
Las Pruebas de Penetración se realizan desde la posición de un atacante potencial de
manera remota y local. A través de técnicas de Hackeo Ético se busca explotar activamente
las vulnerabilidades de seguridad para obtener información relevante. Tal como lo
intentaría un intruso con propósitos adversos para la organización. En conjunto con el
cliente diseñamos y ejecutamos escenarios reales que permitirán identificar áreas de
oportunidad para disminuir el impacto y la probabilidad de ciberataques.
Beneficios
El mejor modo de saber cómo los intrusos entrarán de verdad en su red es simular un
ataque en condiciones controladas. No hay mejor forma de probar la fortaleza de los
sistemas de seguridad que atacarlos.
Hacking ético
Hacking ético es una forma de referirse al acto de una persona usar sus
conocimientos de informática y seguridad para realizar pruebas en redes
y encontrar vulnerabilidades, para luego reportarlas y que se tomen
medidas, sin hacer daño.
Las personas que hacen estas pruebas pueden llegar a ver información
confidencial, por lo que cierto grado de confianza con el consultor es
recomendado.
Trampas y simulador de sesión
Honeypot
Spam honeypots
Los spammers son usuarios que abusan de recursos como los servidores de correo abiertos
y los proxies abiertos. Algunos administradores de sistemas han creado honeypots que
imitan este tipo de recursos para identificar a los presuntos spammers.
Algunos honeypots son Jackpot, escrito en Java, y smtpot.py, escrito en Python. Proxypot
es un honeypot que imita un proxy abierto (o proxypot).
Honeypots de Seguridad
Analizador de puertos
Replicación de Puertos
Un analizador de paquetes (también conocido como analizador de protocolos, detector de
paquetes o analizador de tráfico) es una herramienta valiosa para ayudar a supervisar y a
resolver los problemas de una red. Un analizador de paquetes es el software que captura los
paquetes que ingresan y que salen de una tarjeta de interfaz de red (NIC). Por ejemplo,
Wireshark es un analizador de paquetes que se usa comúnmente para capturar y analizar los
paquetes en una computadora local.
¿Qué sucedería si un administrador de red deseara capturar los paquetes de muchos otros
dispositivos fundamentales y no solo la NIC local? Una solución consiste en configurar los
dispositivos de red para copiar y enviar el tráfico que va a los puertos de interés a un puerto
conectado a un analizador de paquetes. El administrador luego podría analizar el tráfico de
red de diversas fuentes en la red.
Sin embargo, la operación básica de una red conmutada moderna inhabilita la capacidad del
analizador de paquetes para capturar el tráfico de otras fuentes. Por ejemplo, un usuario que
ejecuta Wireshark puede capturar sólo el tráfico que entra a su NIC. No puede capturar el
tráfico entre otro host y un servidor. El motivo es porque un switch de capa 2 completa la
tabla de direcciones MAC en base a la dirección MAC de origen y el puerto de ingreso de
la trama de Ethernet. Una vez que se crea la tabla, el switch solamente reenvía el tráfico
destinado a una dirección MAC directamente al puerto correspondiente. Esto evita que un
analizador de paquetes conectado a otro puerto del switch "escuche" otro tráfico del switch.
La figura muestra un ejemplo de replicación de puertos. Vale notar que el tráfico entre PC1
y PC2 también se envía a la computadora portátil con un analizador de paquetes instalado.
Analizador de paquetes
Sistemas de protección contra intrusiónes
Mientras que los analizadores de paquetes suelen usarse para solucionar problemas, el IPS
busca patrones específicos en el tráfico. A medida que el flujo de tráfico pasa por los IPS,
se analiza el tráfico en tiempo real y se toman medidas al detectar patrones de tráfico
malicioso.
Las redes modernas son entornos conmutados. Por lo tanto, SPAN es fundamental para un
funcionamiento eficaz de IPS. SPAN puede implementarse como SPAN local o SPAN
remoto (RSPAN).
SPAN LOCAL
SPAN local implica la replicación del tráfico de un switch a otro puerto del switch. Se usan
varios términos para identificar los puertos entrantes y salientes.
Una sesión SPAN es la asociación entre los puertos de origen (o VLAN) y un puerto de
destino.
Se dice que la función SPAN es local cuando todos los puertos supervisados se encuentran
en el mismo switch que el puerto de destino. Esta función contrasta con del SPAN remoto
(RSPAN).
SPAN REMOTO
SPAN remota (RSPAN) permite que los puertos de origen y destino estén en switches
diferentes. RSPAN es útil cuando el analizador de paquetes o IPS está en un switch
diferente al del tráfico que se monitorea.
El RSPAN utiliza dos sesiones. Una sesión se utiliza como origen y la otra sesión se usa
para copiar o recibir el tráfico de una VLAN. El tráfico para cada sesión RSPAN es enlaces
troncales transportados en una VLAN RSPAN definido por el usuario que se dedique (para
esa sesión RSPAN) en todos los switches participantes.
El comando show monitor se usa para verificar la sesión de SPAN. Este comando muestra
el tipo de sesión, los puertos de origen de cada dirección de tráfico y el puerto de destino.