Administración de Red
-
Upload
francisco-javier-rendon-arroyave -
Category
Documents
-
view
17 -
download
1
description
Transcript of Administración de Red
-
1
Administracin y Seguridad en Redes
1. Introduccin2. Tareas Principales de la Administracin3. Revisin General de los Estndares4. Productos para Administracin de Redes5. Conceptos de Seguridad. Premisas, postulados y definiciones.6. Amenazas la Seguridad7. Riesgos y componentes de la seguridad.8. Seguridad en Redes, Objetivos, Problemas
-
2
Administracin y Seguridad en Redes
9. Arquitectura de seguridad10. Encripcin, algoritmos y manejo de claves11. Evaluacin de soluciones12. Seguridad en TCP/IP13. Practicas Forenses.14. Implantacin de esquemas de seguridad15. Estndares de seguridad16. Polticas de seguridad
-
3
BIBLIOGRAFIA
Stephen Northcutt ans Judy Novak. Deteccin de Intrusos. 2 ed.
Linux Mxima Seguridad
William R. Cheswick and Steven M. Bellovin. Firewalls and Internet Security. Addison- Wesley, Reading, MA, 1994.
Guia de Seguridad e Integridad de datos. LAN TIMES
Siyan Karanjit and Hare Chris. Firewalls y la seguridad en Internet. Prentice-Hall,1997.
-
Administracin de RedesAgenda
1. Introduccin2. Tareas Principales de la Administracin
3. Revisin General de los Estndares4. Productos para Administracin de Redes
-
5
1. Introduccin a la Administracin de RedesObjetivos
Conocer
Qu es la Administracin Global de Redes
Los Estndares principales SNMP, MIBs, CMIP
Poder tener criterios para evaluar productos reales
Para una consola de administracin (E.A.)
Para tener los agentes necesarios
Para integrar plataformas diversas
Tener las bases para:
Entender nuevos productos que surjan en el mercado
Lidiar con vendedores
-
6
Administracin de Redes -Introduccin
Lineamientos
Puntos de vista vs. Hechos concretos
Un enfoque prctico preferentemente. Sin olvidar la teora
Imparcialidad (en lo posible)
Cobertura general. No es posible cubrir todo en un solo da.
Actualidad en la informacin (en lo posible).
-
7
Administracin de Redes -Introduccin
HistoriaToda Red (local o amplia) que crece se complica hasta llegar a ser inmanejable (Dr. Murphy).
Hasta 1988 las soluciones en el mercado eranPropietarias
Nada amigables
Parciales (en el mejor de los casos)
En 1988 empiezan los esfuerzos reales para buscar una solucin sencilla, abierta y poderosa
-
8
Administracin de Redes -Introduccin
HistoriaExista una definicin intuitiva (un poco limitada) de Administracin de Redes.Haba dos mundos.
Telecomunicaciones e InformticaHaba 3 bandos
Los hombres (usando el Mailframes)Los nerds (usando TCP/IP, Unix y esas cosas)Los nios (usando PCs y macs)
Empezaba la urgencia de integrar todos, y por lo tanto administrarlo eficientemente.
-
9
Administracin de Redes -Introduccin
Qu Administramos?Sistemas finales (End Systems)
Donde se crea/consume la informacinTerminales y PCs
Workstations y Servidores
Minis y Mainframes
Sistemas Intermedios (Intermediate Systems)Puentes y enrutadores (Bridges y Routers)
Multiplexores y Modems
Repetidores y Concentradores
-
10
Administracin de Redes -Introduccin
Qu Administramos?
-
11
Administracin de Redes -Introduccin
Esquema general de AdministracinEl Esquema general de Administracin se base en tener:
Una estacin Administradora (E.A.)Agentes en cada elemento de la Red que se quiera administrarUn dilogo entre la estacin administradora y las Agentes.
ESTACINADMINISTRADORA DIALOGO ELEMENTO
DE LA RED
AGENTE
-
12
2. Tareas Principales de la Administracin de RedesEl modelo de FCAPS:
Manejo de Errores (Fault Management)Control de Configuraciones (Configuration)Contabilidad de Recursos (Accounting)Monitoreo de rendimiento (Performance)Seguridad (Security)
-
13
Administracin de Redes- Tareas Principales
TareasLas cinco tareas han sido reconocidas de manera universal (definidas por ISO)Existen dos grandes reas para cubrirlas
En la Administracin netamente de los elementos de la RedEn la Administracin de los Sistemas
La Administracin de Red cubrira bsicamente los Sistemas Intermedios y los Canales o medios de intercomunicacin (Ethernet, lnea satelital, y enlaces en general).
La Administracin de Sistemas se enfocara a los Sistemas Finales (Servidores, Minis/Mainframes e incluso PCs).
-
14
Administracin de Redes
-
15
Administracin de Redes- Tareas PrincipalesConfiguracin
TareasMantener actualizada la informacin tcnica de la red en documentos y diagramas alcanzables.Mantener respaldo de los archivos de configuracin de los elementos de red en lugares seguros pero accesibles.Mantener el inventario de los equipos y elementos de redRegistrar cambios de configuracin en bitcora de red.Configurar los equipos de acuerdo a las necesidades de servicios.
-
16
-
17
Administracin de Redes- Tareas PrincipalesMonitoreo o Desempeo
TareasMonitoreo de la funcionalidad y disponibilidad de cada uno de los servicios habilitados.Monitoreo y registro del trafico generado por cada uno de los servicios habilitados.Recoleccin de estadsticas y variables para cada uno de los niveles del modelo de red con el cual se trabaje.Anlisis de estadsticas y variaciones de variables (trafico, tiempo de respuesta, ndice de errores, disponibilidad)
-
18
-
19
Administracin de Redes- Tareas PrincipalesDeteccin de errores y Fallas
TareasMonitoreo e identificacin de alarmas y fallas en servidores de gestinInforme de alarmas en tiempo realReporte y seguimiento de eventos con los proveedoresGeneracin de reportes de errores y fallas.Verificacin del restablecimiento de la normalidad.
-
20
-
21
Administracin de Redes- Tareas PrincipalesContabilidad (Cuentas y economia)
TareasGestin y control del impacto de aplicaciones en los recursos de redGestion y control de facturacin de serviciosDistribucin de costos por usuariosControl de variables que afectan el flujo de caja (TRM, intereses, descuentos, impuestos, notas credito).
-
22
-
23
Administracin de Redes- Tareas PrincipalesSeguridad
TareasEsquema de claves de acceso a equipos y elementos de redEsquema de claves para consultas de protocolos de administracin (SNMP)Algoritmos para generacin de clavesPermisos, restricciones, validaciones por servicios.
-
24
Administracin de Redes- Tareas Principales
ConsultaRealice un anlisis sobre la definiciones anteriores e identifique posibles puntos faltantes de definicinComo puede implementar usted soluciones con este conjunto de definiciones?Con que elementos puede usted ayudarse para lograr una correcta funcionalidad de las tareas principales de la administracin de redes?.
-
25
3. Revisin General de EstndaresFuncionalidad de los Sistemas Distribuidos Escalabilidad para poder satisfacer las necesidades de gestin
de redes de complejidad crecientes en recursos y en informacin almacenada
Capacidad para distribuir entre distintas estaciones remotas de la red las funciones de supervisin, recoleccin de datos ysondeo de estado
Capacidad para gestionar entornos heterogneos en el tipo de recursos de red y de sistemas que los componen
Capacidad para incorporar nuevos servicios e integrarlos con los existentes
-
26
ClasificacinProtcolos de Dilogo (Estacin de Admn- Agente)
SNMP: Simple Network Management ProtocolCMIP: Common Management Information ProtocolVariantes: SNMP versin 2, CMOT, CMOL
Estructura y Tipo de DatosSMI
Datos EspecficosMIBs: Management Information BaseVariantes: MIB/I,II, RMON MIBs privados, etc.
Forma Genrica de Codificar los DatosASN.1: Abstract Syntax Notation
Administracin de Redes -Estndares
-
27
Administracin de Redes -Estndares
El Esquema General
ASN.1ASN.1
AGENTE
ESTACINADMINISTRADORA
DIALOGOSNMPCMIPCMOTCMOL
DIALOGOSNMPCMIPCMOTCMOL
-
28
Administracin de Redes -Estndares
El Esquema GeneralSimple Network Management ProtocolSurge a partir de SGMP (1988-1989)Define solamente 5 verbos o PDUs para el dilogo E.A.-Agente:
GET-REQUEST Pedir DatoGET-NEXT-REQUEST Pedir el Siguiente DatoSET-REQUEST Poner un dato a un valorGET RESPONSE Para responder a los 3 anterioresTRAP Avisar de eventos importantes
-
29
Administracin de Redes -Estndares
SNMPOriginalmente enfocado a usarse en redes bajo TCP/IP (auspiciado por Internet)Un estndar de facto y con especificaciones RFCs (Request For Comments)Generalmente va encapsulado en UDP e IP, pero existen otras formas.Un Protocolo Peticin-Respuesta (Request-Reply)Los datos los representa en un rbol de variables ordenados numricamente, y el poderoso comando Get-Nextle permite solicitar el siguiente dato.
-
30
Administracin de Redes -Estndares
SNMPVerbo GET REQUEST
Pedir un dato (variable MIB)Ej. Get_Request (IpInHdr-Errors)
E.A.
GET_REQUEST
GET_REQUEST
AGENTE
-
31
Administracin de Redes -Estndares
SNMPVerbo Get_Next_Request
Pedir un dato (en el rbol de MIBs)Ej. Get_Next_Request (IpInHdr-Errors)
E.A.
GET_NEXT_REQUEST
GET_RESPONSE
AGENTE
-
32
Administracin de Redes -Estndares
SNMPVerbo Set_Request
Poner una variable al valor especificadoEj. Set_Request (IpInHdr-Errors=0)
E.A.
SET_REQUEST
GET_RESPONSE
AGENTE
-
33
Administracin de Redes -Estndares
SNMPVerbo Get_Response
Responder a los mensajes anterioresEj. Get_Response (variable=valor, status)
GET_RESPONSE
E.A.
GET_REQUEST OGET_NEXT_REQUEST
OSET_REQUEST
AGENTE
-
34
Administracin de Redes -Estndares
SNMPVerbo Trap
Lo enva el agente cuando sucede algo importante (no necesariamente grave)
GET_RESPONSE
E.A. AGENTE
-
35
Administracin de Redes -Estndares
MIBsManagement Information BaseDefine una estructura en forma de rbol, para acomodar todo tipo de objetos (variables) que se vayan a monitorearAsignacin de nmeros consecutivos a cada rama
1 32 4
-
36
Administracin de Redes -Estndares
MIBsUna variable a monitorear es tpicamente una hoja en el rbol (Nodos sin Ramas)La identificacin de cada variable, es de acuerdo a los nmeros de rama que se cruzan para llegar a ella, separados por puntosAunque todo el rbol define MIBs, se distinguen fundamentalmente cuatro grupos:
MIB I y MIB II (Los primeros en estandarizarse)MIBs de monitoreo remoto: RMONMIBs privados: Definidos por cada fabricanteMIBs experimentales (que despus se podrn estandarizar)
-
37
Administracin de Redes -Estndares
MIBs
Ccitt(0)
dod(6)
internet(1)
org(3)
iso(1)
experimental(3)mgmt(2)
Iso-y-ccitt(2)
private(4)directory(1)
Mib I y mib II(1) MIBS experimentalesenterprises(1)
MIBS de los fabricantes
-
38
Administracin de Redes -Estndares
MIBsCada objeto de los MIBs I/II (MIBs estndares) tendr el prefijo: 1.3.6.1.2.1
Se pueden usar DESCRIPTORES de variable o de grupo para simplificar
En vez de 1.3.6.1.2 podemos decir Internet. 2
En vez de 1.3.6.1.2.1.4.20.1.3.128.14.4.0 podemos decir. ipAdEntNetMask: 128.14.40, que es mucho ms simple (!!?)
-
39
Administracin de Redes -Estndares
MIBsUna variable MIB I/II puede contener
Un String
Un contador
Un medidor (Gauge)
Un valor de estado
Un valor de tiempo
O bien puede contener toda una lista o tabla
-
40
Administracin de Redes -Estndares
MIBs I y IIEstas son las variables MIB ms conocidas e implementadas
Su enfoque es muy genrico
Son ms tiles en dispositivos como concentradores o enrutadores
Es un mnimo necesario pero no suficiente para un Agente-SNMP
MIB/II agrega algunos grupos y variables, y elimina algunas otras (ocupa las mismas ramas)
De hecho cuando se habla de MIB I/II se est hablando realmente de MIB II
-
41
MIBs I y IILos grupos que se definen son:
System (sys)
Interfaces(if)
Addres Traslation (at)**
IP (ip)
ICMP (icmp)
TCP (tcp)UDP (udp)EGP (egp)Transmission (tran)*SNMP (snmp)
* significa agregado en MIB-II** significa eliminado en MIB-II
Administracin de Redes -Estndares
-
42
Administracin de Redes -Estndares
GRUPO NRO DE OBJETOS DESCRIPCIN
System 7 Nombre, Ubicacin y descripcin del equipoInterfaces 23 Interfaces de red y su trafico medidoAT 3 Traduccin de direcciones.IP 42 Estadsticas de paquetes IP.ICMP 26 Estadisticas sobre los paquetes ICMP recibidosTCP 19 Algoritmos, parametros y estadisticas TCP.UDP 6 Estadisticas de trafico UDP.EGP 20 Estadsticas de trafico de protolo de pasarela exterior.Transmisin 0 Reservado para MIB de medio especificoSNMP 29 Estadisticas de trafico SNMP.
-
43
ccit (0) iso (1) join -iso-ccit (2)
standar (0) registration-authorty (1)
Member-
body (2)
Identified-
organization (3)
dod(6)
Internet (1)
directory (1) mgt (2) experimental (3) private (4) security (1) snmpv2 (1)
system (1) Interface (2) Ip (4) Icmp (5) tcp (6) udp (7) egp(8) transnision (10) sample (11)
Mib-2 (1)
Tcp {conntable} tiene el codigo 1.3.6.1.2.1.6.13
-
44
Administracin de Redes -Estndares
MIBs I y IIVariables MIB para monitoreo remoto de Redes Locales
Define 9 grupos con ms de 200 objetos
Estndar de facto, para recabar estadsticas de redes Etherneta nivel 1 y 2
Alarmas de umbral sencillas
Captura bsica de paquetes
Interoperabilidad entre provedores
-
45
Administracin de Redes -Estndares
RMON MIBs
Grupos
Segment Statics
History
Events
PacketCapturing
Host Top N
Host
AlarmFilter
TrafficMatriz
-
46
Administracin de Redes -Estndares
RMON MIBs
GRUPO DESCRIPCIONSegmentStatics
Lleva la cuenta de 20 diferentes caract. Detrfico. Incluye contadores para paqueteslargos, fragmentos, errores CRC/alineacin,etc.
History Permite definir frecuencia y duracin de lasobservaciones de trfico (buckets)
Alarm Brinda umbrales inferiores y superiores paratodas las estadsticas
Host Organiza las estadsticas de trfico paracada nodo: paquetes enviados/recibidos,bytes e/r errores, etc.
-
47
Administracin de Redes -Estndares
RMON MIBs
GRUPO DESCRIPCIONHost Top N Clasifica de entre los nodos los nodos (host),
aquellos N que encabezan la listaTraffic Matrix Matriz (a nivel MAC) de trfico entre 2
nodos: cantidad de paquetes, nmero deerrores, etc.
Filter Establece filtros para la captura de paquetesPacket Capture Usando los filtros, permite tener diversos
buffers de captura y controlar suarranque/parada
Events Manejar bitcoras (activadas por umbrales)
-
48
Administracin de Redes -Estndares
RMON MIBs I y II
Principales ventajes:
Interoperabilidad multi-proveedores
Extensibilidad
Nivel bsico de funcionabilidad asegurado
Bajo costo!!
-
49
Administracin de Redes -Estndares
SNMP v.2Una mejora a la versin originalPropuesta por un grupo comandado por Jeoffrey Case y Marshall RoseDefinido en RFCsCubre las principales deficiencias de SNMP
Rendimiento: Comando Get_Bulk para recuperacin masiva de tablasSeguridad: Permite declarar si los mensajes irn encriptados y autentificadoDefinir todo un concepto de dominios (parties) para administrar la seguridad
En fase de implementacin (1994-1995)
-
50
Administracin de Redes -Estndares
CMIPCMIP: Common Management Information ProtocolEl camino propuesto por OSI para la Administracin de RedesEn 1989/90 se pensaba que:
SNMP sera una solucin temporal e intermediaCMIP sera la solucin definitiva
En 1994 se piensa que:El futuro de CMIP es inciertoEl futuro de SNMP es muy bueno
Variantes: CMOT y CMOL
-
51
Administracin de Redes -Estndares
CMIP: est orientado a los Objetos
EstacinAdministradora
CMISGETSETCREATEDELETEEVENT-REPORTACTION
Agente
Recursos
ObjetosAdministrados
Sistemas Administrado
-
52
Administracin de Redes -Estndares
CMIPServicios de CMIS
GET: Busca valores de variables MIB
SET: Pone un valor a una variable
CREATE: Aade una nueva instancia de un objeto administrado
DELETE: Contrario a CREATE.
ACTION: Brinda un servicio o general para solicitar acciones a ejecutarse sobre objetos administrados, por ejemplo hacer una prueba para saber la causa de una alarma.
EVENT-REPORT: Similar al TRAP de SNMP
-
53
Administracin de Redes -Estndares
CMIP y SNMPSIMILARIDADES:En el nivel 3, IP y CLIP (Connetion-Less Internetworking Protocol) muy similaresEn nivel 4, TCP (que SNMP puede ser) y OSI-TP4 son muy similaresEn nivel 7, las aplicaciones son similares FTP es similar a FTAMPDUS en ambosUtilizacin de ASN.1 (SNMP slo un subconjunto)Conexin a otros ambientes va agentes-Proxy
-
54
Administracin de Redes -Estndares
Diferencias
SNMP CMIP No soporta herencia Si soporta herencia Fcil de implementar Muy difcil de implementar Poco consumo de memoria Bastante consumo de
memoria Muy utilizado en el mundo
actualmente Muy poco utilizado
-
55
Administracin de Redes -EstndaresCONCLUSIONES.
SNMP consiste de un simple conjunto compuesto de especificaciones de redes de comunicaciones que cubren todas las bases de la administracin de redes en un mtodo que poseelittle stress en una red existente.
CMIP es un sistema de administracin de redes mucho mejor diseado que corrige algunos inconvenientes de SNMP. Su problema principal es que para solucionar esos problemas seconvirtio en un sistema mas grande y complejo que solo los mejores equipos de redes pueden correrlo.
-
56
4. Productos para la Administracin de RedesClasificacin
Cualquier clasificacin es arbitraria
Posibles criterios de clasificacin:
Agente o Administrador
Enfoque abierto a una marca en especial
Dirigido a:
Una red local
A mltiples redes locales
A todo un ambiente LAN/WAN
Tareas que cubre
-
57
Administracin de Redes -Productos
PRINCIPALES PRODUCTOS
HP-Open View de Hewlett- Packard: Ha tomado mucha fuerza comercial a raz de que parte de su tecnologa fue seleccionada por la OSF . Dos versiones: Unix y Windows.
SunNet manager de Sun-Connect: Quizs el producto ms vendido en el gnero. Logr mucho soporte de terceros al inicio. Ahora SUN-Solstice.
IBM-NetView: Basado originalmente en HP-OpenView, pero ahora con mejoras hechas por IBM IBM-NetView for AIX)
-
58
Administracin de Redes -Productos
Criterios de EvaluacinApertura
Compilador deMIBsInterfases de Programacin (APIs estndares)Manuales
Soporte de AplicacionesQu fabricantes tienen aplicaciones para el producto?
EscalabilidadPlataformas en las que correTiene un DBMS?
Soporte Personal local: Capacitacin A qu nivel?Experiencia con otros clientes
-
59
Administracin de Redes -Productos
Criterios de EvaluacinSoporte a estndares
SNMP y SNMP v.2CMIP
Integracin a otros ambientesSNATelecomunicaciones
InterfazManejo de mapas y capas (layers)AmigabilidadRapidez
-
60
Administracin de Redes -Productos
Agentes
Generalmente se le da toda la importancia a la(s) herramienta(s) de
Administracin de la Consola, y se olvida evaluar los agentes
Es tan importante evaluar los agentes y las aplicaciones asociadas con
ellos, como la herramienta de administracin genrica
Comunications Week (abril-junio 1993) realiz diversas evaluaciones
de herramienta de administracin, y resumi en una tabla ms de 300
agentes de diversos fabricantes.
-
61
Administracin de Redes -Productos
Evaluacin de AgentesSoporte de MIBs
MIB I/IIRMON (Qu grupos?)Privados
Hay Documentos?Cuntas variables y Cuntos traps?
Estn en archivos ASN.1 los MIBs?Soporte de
SNMP y/o SNMP v.2 (A qu nivel?)CMIP
En qu consola genrica tiene aplicaciones?
1. Introduccin a la Administracin de RedesAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -Introduccin2. Tareas Principales de la Administracin de RedesAdministracin de Redes- Tareas PrincipalesAdministracin de RedesAdministracin de Redes-EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -Estndares4. Productos para la Administracin de Redes