Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento

MONITOREO DE LA RED

Introduccin
Importancia de contar con un esquema capaz

de notificarnos las fallas en la red y demostrarnos su comportamiento mediante el anlisis y recoleccin de trfico.

Enfoques de monitoreo Monitoreo activo Monitoreo pasivo

Monitoreo Activo
Inyectando paquetes de prueba en la red, o

enviando paquetes a determinadas aplicaciones midiendo sus tiempos de respuesta, agrega trfico en la red.

Tcnicas de monitoreo activo

ICMP.

Diagnosticar problemas en la red Detectar retardo, perdida de paquetes. RTT Disponibilidad de host y redes. TCP Tasa de transferencia Diagnosticar problemas a nivel aplicacin UDP Prdida de paquetes en un sentido (one-way) RTT (traceroute)

Monitoreo Pasivo
Se basa en la obtencin de datos a partir de

recolectar y analizar el trfico que circula por la red. Se emplean diversos dispositivos como sniffers, ruteadores, computadoras con software de anlisis de trfico y en general dispositivos con soporte para snmp, rmon y netflow. No agrega trfico.

Tcnicas de monitoreo pasivo

Solicitudes remotas: Mediante SNMP Utilizada para obtener estadsticas sobre la utilizacin de ancho de banda en los dispositivos de red. Al mismo tiempo genera paquetes traps que indican que un evento inusual se ha producido. Otros mtodos de acceso Realizar scripts que tengan acceso a dispositivos remotos para obtener informacin importante. En esta tcnica se pueden emplear mdulos de perl, ssh con autenticacin de llave pblica, etc. Captura de trfico: Dos formas: 1) Configuracin de un puerto espejo en un dispositivo de red, el cual har una copia del trfico que se recibe en un puerto hacia otro donde estar conectado el equipo que realizar la captura. 2) Instalacin de un dispositivo intermedio que capture el trfico, el cual puede ser una computadora con el software de captura o un dispositivo extra. Esta tcnica es utilizada para contabilizar el trfico que circula por la red.

Tcnicas de monitoreo pasivo (2)

Anlisis de trfico:

Usado para identificar el tipo de aplicaciones que son mas utilizadas. Se puede implementar haciendo uso de dispositivos probe que enven informacin mediante RMON o a travs de un dispositivo intermedio con una aplicacin capaz de clasificar el trfico por aplicacin, direcciones IP origen y destino, puertos origen y destino, etc.

Tcnicas de monitoreo pasivo (3)

Flujo: Usado para identificar el tipo de trfico utilizado en

la red. Un flujo es un conjunto de paquetes con: La misma IP origen y destino El mismo puerto TCP origen y destino El mismo tipo de aplicacin. Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos capaces de capturar trfico y transformarlo en flujos. Tambin es usado para tareas de facturacin (billing).

Estrategia de monitoreo
Qu monitorear? Delimitar espectro de trabajo. Aspectos a monitorear: uso de ancho de banda, consumo de CPU, de memoria, estado Fsico de las conexiones, tipo de trfico, alarmas, servicios (Web, correo, base de datos).

Alcance de dispositivos a monitorear: Dispositivos de Interconexin: ruteadores, switches, hubs, firewall Servidores: Web, Mail, DB Red de Administracin: monitoreo, Logs, Configuracin.

Estrategia de monitoreo (2)

Mtricas Permite establecer patrones de comportamiento para los dispositivos a monitorear. Hay diversos tipos de mtricas que dependern de las necesidades de la red. Las mtricas deben ser congruentes con los objetos a monitorear. Ejemplo: Mtricas de trfico de entrada y salida Mtricas de utilizacin de procesador y memoria Mtrica de estado de las interfaces Mtrica de conexiones lgicas A cada mtrica se le asigna un valor promedio, el cual identifica su patrn de comportamiento.

Estrategia de monitoreo (3)

Alarmas Consideradas como eventos con comportamiento inusual. Las mas comunes reportan cuando el estado operacional cambia. Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras mtricas, son valores mximos conocidos como umbrales o threshold. Cuando estos patrones son superados se produce una alarma, ya que es considerado como un comportamiento fuera del patrn. Algunos tipos de alarmas son: De procesamiento De conectividad Ambientales De utilizacin De disponibilidad (estado operacional)

Estrategia de monitoreo (4)

Eleccin de herramientas Depende de varios factores: humanos, econmicos como de infraestructura. a)Perfil de los administradores, sus conocimientos en determinados sistemas operativos. b) Recursos econmicos disponibles. c) Equipo de cmputo disponible.

Eleccin de herramientas Cacti. Completa solucin para monitoreo de redes. Utiliza RRDTool para almacenar la informacin de los dispositivos y aprovecha sus funcionalidades de graficacin. Proporciona un esquema rpido de obtencin de datos remotos, mltiples mtodos de obtencin de datos (snmp, scripts), un manejo avanzado de templates, y caractersticas de administracin de usuarios. Adems, ofrece un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola consola de administracin, fcil de configurar.

Eleccin de herramientas Net-SNMP. Conjunto de aplicaciones para obtener informacin va snmp de los equipos de interconexin. Soporta la versin 3 del protocolo la cual ofrece mecanismos de seguridad tanto de confidencialidad como de autenticacin. Provee de manejo de traps para la notificacin de eventos.

Eleccin de herramientas Nagios. Aplicacin para el monitoreo de servicios, hosts que pertenecen a una red. Es capaz de monitorear si un servicio se encuentra activo o no, o si un hosts se encuentra operacional o no. Muestra el estadio operacional de todos los servicios y hosts en un ambiente Web. Enva notificaciones mediante mail o pager cuando el estado operacional de un elemento a monitorear cambia.

Topologa sistema de monitoreo

Servidor que hace las solicitudes mediante el protocolo SNMP a los dispositivos de red, el cual a travs de un agente de snmp enva la informacin solicitada.

Topologa sistema de monitoreo

El dispositivo enve mensajes trap al servidor de SNMP anunciando que un evento inusual ha sucedido.

 Referencia:

Monitoreo de Recursos de Red, Vicente Altamirano Carlos, UNAM, Primera edicin, Mxico 2005.