para diapositivas eee
TRANSCRIPT
ADMINISTRACION DE REDES
Es un conjunto de técnicas para mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada.
Sus objetivos son:
Mejorar la continuidad en la operación de la red con mecanismos adecuados de control y monitoreo, de resolución de problemas y de suministro de recursos.
Hacer uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda. Reducir costos por medio del control de gastos y de mejores mecanismos de cobro. Hacer la red más segura, protegiéndola contra el acceso no autorizado, haciendo imposible que personas ajenas puedan entender la
información que circula en ella. Controlar cambios y actualizaciones en la red de modo que ocasionen las menos interrupciones posibles, en el servicio a los usuarios.
OPERACIONES DE LA ADMINISTRACIÓN DE RED.
Las operaciones principales de un sistema de administración de red son las siguientes:
Administración de fallas.
La administración de fallas maneja las condiciones de error en todos los componentes de la red, en las siguientes fases:
a. Detección de fallas.b. Diagnóstico del problema.c. Darle la vuelta al problema y recuperación.d. Resolución.e. Seguimiento y control.
Control de fallas.Esta operación tiene que ver con la configuración de la red (incluye dar de alta, baja y reconfigurar la red) y con el monitoreo continuo de todos sus elementos.
Administración de cambios.La administración de cambios comprende la planeación, la programación de eventos e instalación.
Administración del comportamiento. Tiene como objetivo asegurar el funcionamiento óptimo de la red, lo que incluye: El número de paquetes que se transmiten por segundo, tiempos pequeños de respuesta y disponibilidad de la red.
Servicios de contabilidad. Este servicio provee datos concernientes al cargo por uso de la red. Entre los datos proporcionados están los siguientes:
Tiempo de conexión y terminación. Número de mensajes transmitidos y recibidos. Nombre del punto de acceso al servicio. Razón por la que terminó la conexión.
Control de Inventarios. Se debe llevar un registro de los nuevos componentes que se incorporen a la red, de los movimientos que se hagan y de los cambios que se lleven a cabo.
Seguridad. La estructura administrativa de la red debe proveer mecanismos de seguridad apropiados para lo siguiente:
Identificación y autentificación del usuario, una clave de acceso y un password. Autorización de acceso a los recursos, es decir, solo personal autorizado. Confidencialidad. Para asegurar la confidencialidad en el medio de comunicación y en los medios de almacenamiento, se utilizan medios
de criptografía, tanto simétrica como asimétrica.
PROTOCOLO DE ADMINISTRACIÓN DE RED TCP/IP.
El sistema de administración de red de TCP/IP se basa en el protocolo SNMP (Simple Network Management Protocol), para la administración de redes de computadora, ya que ha sido instalado por múltiples fabricantes de puentes, repetidores, ruteadores, servidores y otros componentes de red.
Para hacer más eficiente la administración red, la comunidad de TCP/IP divide las actividades en dos partes:
a. Monitoreo, o proceso de observar el comportamiento de la red y de sus componentes, para detectar problemas y mejorar su funcionamiento.
b. Control, o proceso de cambiar el comportamiento de la red en tiempo real ajustando parámetros, mientras la red está en operación, para mejorar el funcionamiento y repara fallas.
SNMP
El SNMP es un protocolo de la capa de aplicación que facilita el intercambio de información de gestión entre dispositivos de una red. SNMP es parte de TCP/IP. SNMP permite a los administradores de red supervisar el rendimiento de la red, buscar y resolver sus problemas y planear el crecimiento de la red.
PUERTO EN EL QUE TRABAJACon UDP el protocolo SNMP se implementa utilizando los puertos 161 y 162.
puerto 161 se utiliza para las transmisiones normales de comando SNMP. puerto 162 se utiliza para los mensajes de tipo “trap” o interrupción.
COMPONENTES BÁSICOS DE SNMP:
El administrar una red requiere tener en cuenta varios aspectos como controlar los elementos involucrados con de la red, que corresponde a ejercer el control de complejidad que le permite tener bajo su poder el crecimiento de la red, mediante lo cual es posible mantener conocimiento continuo y verídico del número de componentes, usuarios, interfaces, protocolos y vendedores.
El entorno SNMP tiene tres partes:
Un Administrador/Gestor SNMP Un Agente SNMP Una MIB (Management Information Base)
SNMP Manager (Administrador/Gestor) es el sistema empleado para controlar y monitorizar la actividad de los componentes de la red, mediante SNMP.Recopila y presenta la información de dispositivos y servidores.
El dispositivo administrado: Contiene un agente de administración que responde a las encuestas de la entidad administradora.
SNMP agent ( agente SNMP) es el componente de software dentro del dispositivo administrado que mantiene los datos del mismo e informa a los administradores acerca de ellos, cuando haga falta.
La MIB (Management Information Base) es una colección de objetos de información de gestión.
Admistrador/Gestores: Cliente
Agente: Servidor (Routers, serv. Web, switch , Correo, concentradores, hubs, impresoras de red )
MIB: Base de datos
MENSAJES SNMP
GET REQUEST. GET NEXT REQUEST. GET BULK REQUEST (EN SMNP V2) SET REQUEST. SET NEXT REQUEST. GET RESPONSE. TRAP. INFORM REQUEST (EN SMNP V2)
GET REQUEST: Es utilizada por el Gestor para recuperar el valor de una o más instancias desde un agente. Si el agente responde a la operación Get y no puede proporcionar valores para todas las instancias del objeto en una lista, no proporcionara entonces ningún valor.
GETNEXT Es utilizada por el Gestor para recuperar el valor de la siguiente instancia del objeto en una tabla o una lista dentro de un agente.
GET BULK REQUEST (EN SMNP V2) :Este mensaje es usado cuando es requerida una larga trasmisión de datos.
GET RESPONSE. Este es usado por el agente para responder un mensaje GetRequest, GetNext o SetRequest
SET es usada por el Gestor para colocar los valores de los objetos dentro de un agente.
SET REQUEST. Este mensaje es utilizado por el Administrador para solicitar a un agente modificar valores de objetos SET NEXT REQUEST. Este mensaje solicita modificar los siguientes valores de un objeto.
TRAP es utilizada por los agentes para informar asíncronamente al Gestor/Administrador sobre un evento importante.
INFORM REQUEST (EN SMNP V2). Notifica la información sobre los objetos administrados
1.- Pregunta: que la estación administradora envíe una solicitud a un agente (proceso que atiende petición SNMP) pidiéndole información o mandándole actualizar su estado de cierta manera. Este método se conoce como sondeo.
2.- Respuesta: la información recibida del agente es la respuesta o la confirmación a la acción solicitada.
Problema del sondeo: se incrementa con los nodos administrados y en ocasiones puede llegar a perjudicar el rendimiento de la red.
Método Interrupción (trap): Es mejor que un agente pueda mandar la información al nodo administrador puntualmente, ante una situación predeterminada, por ejemplo una anomalía detectada en la red
Elementos de la arquitectura SNMP
Estación administradora o consola de administración encargados de recibir el trap de los agentes Mantienen una base de datos MIB con formato SMI
SMI : (estructura de gestión de la información). Estructura en forma de árbol global para la información de administración, convenciones, sintaxis y las reglas para la construcción de MIBs.
Nombre o OID (identificador de objetos) :es el nombre de un nodo, compuesto con la secuencia de enteros de las etiquetas de cada nodo, desde la raíz hasta el nodo en cuestión.
Ejemplo: 1.3.6.1.4.1
Tipo y Sintaxis
Subconjunto de ASN.1 usado para SNMP. Forma de definir los objetos gestionados usando una sintaxis especial.
ASN.1 Variables descritas mediante el uso de alias (dentro del MIB)iso.org.dod.internet.mgmt.mib_2.system
MIB Management Information Base. Base de datos relacional (organizada por objetos o variables y sus atributos o valores) que contiene información del estado de un nodo administrado y es actualizada por los agentes SNMP.
Objetos: son los elementos de más bajo nivel y constituyen los aparatos administrados.
Un subconjunto es el MIB-2 (información común soportada por todos los dispositivos)
Ejemplo de grupos de variables en MIB-2:
System (objetos que permiten operar el sistema)
IP (contador de paquetes, fragmentación)
ICMP (contador de cada tipo de mensaje ICMP)
TCP (conexiones abiertas TCP)
UDP (estadísticas UDP)
Interfaces (estado de interfaces)
ESTRUCTURA MENSAJES SNMP
Versión: India el número de versión que está en uso
Comunidad: Este especifica la seguridad, puede ser de tipo Public o Private.
SNMP_PDU: Este es el contenido, depende de la operación que se esté ejecutando. (GET, SET, TRAP).
PARTES DE LA TRAMA DEL MENSAJE SNMP
La trama que envía el NMS (o nodo administrador) al agente, es la que lleva lainformación de la comunidad, tipo de mensaje (si es un Get request, GetextRequest, etc), y la versión de SNMP utilizado.
VERISIONES SNMP
SNMP Versión 1: La seguridad se basa en comunidades (que usan passwords comunes sobre texto plano) que permiten usar dispositivos si se conoce el password. Se puede explotar for fuerza bruta.
VENTAJAS
Es un estándar de mercado Simple y fácil de usar
DESVENTAJAS
Limitaciones en el mecanismo de la obtención de información
SNMP versión 2
(SNMPv2 nace en marzo de 1992 su estructura es igual a la de v1 pero se le añaden dos nuevos comandos de petición get-bulk-request e inform-request). Ambas versiones tienen un número de características en común, pero SNMPv2 ofrece mejoras, como por ejemplo, operaciones adicionales.
GET BULK REQ UEST = Solicita varios atributos a la misma ves.
INFORM REQ UEST=Información de Gestión entre un nodo de administración y otro.
VENTAJAS
Admite mecanismos de seguridad como la autentificación y el cifrado.
Permite la comunicación entre estaciones de gestión.
DESVENTAJAS
Su incompatibilidad con la versión SNMP y la mayor complejidad añadida a las plataformas están desestimando su futura implementación.
SNMP versión 3
(propietario en el 1998 y como estándar completo en el 2002 posee cambios significativos con relación a sus predecesores como autenticación robusta, privacidad débil, método SHA sobre todo en aspectos de seguridad. La estructura es igual pero con estas mejoras:
- Autenticación Robusta
- Privacidad débil (DES 56 bits)
- Método SHA
VENTAJAS
Las áreas a las que SNMPv3 va enfocado son primordialmente mejorar la seguridad y la administración respecto a SNMPv2.
DESVENTAJAS
Aún no es muy conocido y poco implementado.
CONFIGURACIÓN SNMPV2C
Sólo lectura (RO): Proporciona acceso a las variables MIB, pero no permite que estas variables a cambiar, sólo lectura. Dado que la seguridad es tan débil en la versión 2, muchas organizaciones utilizan solamente SNMP en este modo de sólo lectura.
Lectura-escritura (RW): Proporciona acceso de lectura a todos los objetos en la MIB.
SYSLOG
Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificación a través de una red IP para que sean almacenados en otro dispositivo o servidor colector.
El servicio de syslog simplemente acepta mensajes, y los almacena en archivos o los imprime de acuerdo con un archivo de configuración simple. Esta forma de registro es la mejor disponible para los dispositivos de Cisco, ya que puede proporcionar almacenamiento protegido a largo plazo para los registros. Esto es útil tanto en la solución de problemas de rutina y en el manejo de incidente.
Syslog es un protocolo cliente / servidor es compatible con una amplia variedad de dispositivos y receptores a través de múltiples plataformas.
Al ser un protocolo sin conexión, UDP no proporciona reconocimientos al remitente o receptor. Además, en la capa de aplicación, servidores Syslog no envían acuses de vuelta al remitente para la recepción de mensajes Syslog. En consecuencia, el dispositivo emisor genera mensajes Syslog sin saber si el servidor Syslog ha recibido los mensajes. De hecho, los dispositivos envian mensajes, incluso si no existe el servidor Syslog; estos mensajes se "perdieron" en la red.
El remitente Syslog envía un mensaje de texto pequeño (menos de 1 KB) al receptor Syslog.
El receptor Syslog es comúnmente llamada "syslogd", "demonio Syslog," o "Servidor Syslog".
Los mensajes Syslog se pueden enviar a través de UDP (puerto 514) y / o TCP (normalmente, el puerto 5000). Estos datos se envían normalmente en texto claro por la red.
Usos
Es útil registrar, por ejemplo:
Un intento de acceso con contraseña equivocada Un acceso correcto al sistema Anomalías: variaciones en el funcionamiento normal del sistema Información sobre las actividades del sistema operativo Errores del hardware o el software
Beneficios de la gestión de Syslog
Gestión proactiva Syslog beneficia tanto el personal de operaciones y de la empresa en su conjunto, desde una perspectiva de ahorro de costos.• Reducir el tiempo de inactividad, lo que reduce los costes operativos• Mejorar la gestión de incidencias mediante la detección en tiempo real y de auto-corrección• Reduzca el volumen de problemas• Reducir la gravedad de las interrupciones del negocio.
EL FORMATO Y CONTENIDO DE MENSAJES SYSLOG
El formato completo de un mensaje de Syslog tiene tres partes distintas.
• PRI (prioridad)• HEADER• MSG (mensaje de texto)
PrioridadLa prioridad es un número de 8 bits. Esto representa tanto recurso (tipo de aparato que ha generado el mensaje) y la severidad del mensaje. Los tres bits menos significativos representan la severidad del mensaje (con tres bits puede representar ocho severidades diferentes), y los otros cinco bits representan el recurso del mensaje.
RecursoLos mensajes sylog son por lo general categorizados en base a la fuente que los genera. Las fuentes pueden ser: el sistema operativo, el proceso, o una aplicación. Estas categorías, denominadas recursos están representadas por números enteros.
Los recursos locales de uso no están reservados; los procesos y aplicaciones que no tienen los valores de los recursos pre-asignados pueden elegir cualquiera de los ocho recursos de uso local. Por lo tanto, los dispositivos de Cisco utilizan una de los recursos de uso local para el envío de mensajes Syslog.
Valores de recursos
Entero Recurso
0 Mensajes del kernel
1 Mensajes del nivel de usuario
2 Sistema de correo
3 Demonios de sistema
4 Seguridad/Autorización
5 Mensajes generados internamente por syslogd
6 Subsistema de impresión
7 Subsistema de noticias sobre la red
8 Subsistema UUCP
9 Demonio de reloj
10 Seguridad/Autorización
11 Demonio de FTP
12 Subsistema de NTP
13 Inspección del registro
14 Alerta sobre el registro
15 Demonio de reloj
16 Uso local 0
17 Uso local 1
18 Uso local 2
19 Uso local 3
20 Uso local 4
21 Uso local 5
22 Uso local 6
23 Uso local 7
Severidad
El nivel de severidad de la notificación utiliza una escala de 0 a 7, donde 0 corresponde a los eventos de mayor criticidad, y 7 a los menos críticos:
Los dispositivos de red deben registrar los niveles 0-6 en la operación normal. El nivel 7 debe ser usada sólo por la solución de problemas de la consola.
Valores de severidad
Entero Severidad
0 Emergencia: El sistema está inutilizable
1 Alerta: Se actuar inmediatamente
2 Crítico: Condiciones críticas
3 Error: Condiciones de error
4 Peligro: Condiciones de peligro
5 Aviso: Condición normal pero significativa
6 Información : Mensajes informativos
7 Depuración : Mensajes de bajo nivel
Cálculo de la prioridad
Para conocer la prioridad final de un mensaje, se aplica la siguiente fórmula:
Prioridad = Recurso * 8 + Severidad
Por ejemplo, un mensaje de kernel (Recurso=0) con Severidad=0 (emergencia), tendría Prioridad igual a 0*8+0 = 0.
Uno de FTP (11) de tipo información (6) tendría 11*8+6=94. Como se puede ver, valores más bajos indican mayor prioridad.
Header (Encabezado)Cabecera
La cabecera, indica el tiempo y el nombre del ordenador que emite el mensaje.
El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las iniciales del nombre del mes en inglés, dd, es el día del mes, y el resto es la hora. No se indica el año.
El nombre de ordenador (hostname), o la dirección IP si no se conoce el nombre.
MSG (Mensaje)El mensaje es el texto del mensaje Syslog, junto con información adicional sobre el proceso que ha generado el mensaje. Los mensajes Syslog generados por los dispositivos Cisco IOS comienzan con un signo de porcentaje (%) y utilizan el formato siguiente:
% FACILIDAD-GRAVEDAD-MNEMÓNICO: Mensaje de texto
El nemónico es un código específico del dispositivo que identifica de forma única el mensaje como "arriba", "abajo", "cambiar", "config", etc Por ejemplo:
*Sep 16 08:50:47.359 EDT: %SYS-5-CONFIG_I: Configured from console by vty0 10.18.86.123
Los recursos en cisco son un método de forma libre de identificar el tipo de mensaje de origen, como SYS, IP, LDP, L2, MEM, filesys, Dot11, LINEPROTO, etc.
Se recomienda activar el NTP en toda la red y de la arquitectura del sistema para asegurar las marcas de tiempo correctas son reportadas. Esto asegura que todos los mensajes Syslog entrantes se sincronizan de manera que pueda determinar efectivamente el tiempo y la correlación de eventos de entrada correcta.
NTPEs un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes. NTP utiliza UDP como su capa de transporte, usando el puerto 123.
NTP está diseñado para sincronizar la hora del día entre un conjunto de servidores y clientes en una red. Se ejecuta sobre (UDP), utilizando el puerto 123 como el origen y el destino, que a su vez se ejecuta a través de IP.
El Protocolo de Tiempo de Red (NTP) sincroniza la hora del día entre un conjunto de servidores y clientes de tiempo distribuidos de modo que pueda correlacionar eventos cuando reciba los registros del sistema y otros eventos específicos con el de múltiples dispositivos de red
COMADOS DE CONFIGURACION:
NTP
R1(config)#ntp server [IP DEL SERVIDOR]
R1(config)#ntp update-calendar
Syslog
R1(config)#logging host [IP DEL SERVIDOR]
R1(config)#service timestamps log datetime msec