UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 1 de 42
UT 04. Pandora FMS
1.- INTRODUCCIN PANDORA FMS Pandora es una aplicacin de monitorizacin que se encarga de vigilar cualquier tipo de sistema y/o aplicacin. Nos permite conocer el estado de cualquier elemento de nuestros sistemas. Es decir se encarga de vigilar nuestro hardware, software, nuestras aplicaciones y nuestro sistema operativo. Nos permite detectar si una interfaz de red se ha cado. Tambin nos puede enviar un mensaje en el momento que falle cualquier sistema o aplicacin. Es una herramienta que se ajusta a nuestros sistemas y necesidades. El motivo por el que se ajusta a nuestras necesidades, es porque ha sido diseado para ser abierto, modular, multiplataforma y fcil de personalizar. Dicha aplicacin se diseo para los administradores de sistemas, pero puede adaptarse a todo tipo de entornos de software o hardware. 1.1- Qu no es Pandora FMS? Pandora no es una herramienta de anlisis. Aunque permite recolectar dicha informacin, pero no est ni diseada ni pensada para ser eficiente recogiendo dicha informacin y procesarla correctamente. Tambin recoge los logs de los eventos pero tampoco es su funcin principal y puede dar lugar a errores si la informacin de los mismos es muy grande. Tampoco es un sistema que se encargue de detectar o prevenir las posibles intrusiones. Pero nos permite informarnos sobre equipos cados o puertos abiertos y cerrados. Tampoco es un sistema de monitorizacin a tiempo real o de monitorizacin de entornos crticos.
Para terminar si pandora no se usa para lo que fue creada pueden producirse comportamientos extraos, sobre todo si se carga de forma excesiva la base de datos.
1.2- Qu nos permite realizar pandora?
Pandora FMS es una herramienta de monitorizacin que aparte de indicarnos si un parmetro est bien o mal; nos permite cuantificar su estado es decir bien, mal o un valor intermedio. A su vez tambin permite almacenar un valor sea numrico o alfanumrico durante meses si es necesario.
A su vez tambin nos permite medir rendimientos, y comparar valores entre diferentes sistemas y permite establecer alertas sobre umbrales.
Pandora trabaja sobre una base de datos, lo cual no permite generar informes, estadsticas, niveles de adecuacin de servicio y medir cualquier elemento que nos proporcione o devuelva un dato (Sistemas Operativos, aplicaciones y sistemas de Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 2 de 42
hardware, tales como cortafuegos, proxies, bases de datos servidores web, vpn, routers, switch, acceso remoto a servidores)
Todo esto integrado en una arquitectura abierta y distribuida, se puede implementar sobre cualquier sistema operativo (Windows (7, 2000, XP, 2008, 2003), y Linux).
Nos permite no solo nos permite obtener informacin mediante agentes, sino que mediante SNMP y pruebas de red (TCP, ICMP) puede monitorizar cualquier sistema de hardware con conectividad TCP/IP (Balanceadores de carga, routers, switches, impresoras, ).
Pandora nos permite monitorizar cualquier proceso o sistema siempre y cuando un comando devuelva un valor, y/o como cualquier valor que se encuentre dentro de un registro de texto del sistema operativo (fichero de registro).
2.- ARQUITECTURA DE PANDORA FMS
Esquema de la arquitectura global de Pandora FMS:
Pandora es modular y descentralizada, la parte ms vital es donde se almacena todo en la base de datos (MYSQL).
Pandora consta de diversos elementos: Los que se encargan de recoger y procesar los datos de los servidores. Los servidores introducen dichos datos en la base de datos. Y la consola se encarga de mostrar dichos datos. Los Agentes Software son aplicaciones que corren en los sistemas y recolectan la informacin para enviarla a los servidores. Existen distintos tipos de servidores, en el siguiente apartado nombraremos algunos de ellos.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 3 de 42
2.1- Servidores de Pandora FMS
Se encargan de realizar las comprobaciones existentes, es decir ellos verifican y cambian el estado de las mismas en funcin de los resultados que obtienen. Tambin se encargan de disparar las alertas que se establezcan para controlar el estado de los datos.
Los servidores siempre estn funcionando y verifican si algn elemento tiene algn problema, y si este est definido como alerta. Si est definida ejecuta la opcin definida en la alarma (enviar un mensaje, un correo electrnico o activar un script).
Ahora realizaremos una breve descripcin de los servidores especializados de Pandora.
2.1.1- Servidor de datos
Se encargan de procesar la informacin enviada por los agentes de Software. Dichos agentes envan los datos XML al servidor a travs de diferentes medios de envi (FTP, SSH). El servidor se encarga de verificar de forma peridica si hay nuevos ficheros de datos esperando a ser procesados. El servidor de datos igual que el resto de servidores accede a la base de datos de Pandora. La base de datos la comporte con el servidor Web, y almacena los paquetes de datos procesados.
El servidor se ejecuta como un demonio o un servicio, y se encarga de procesar los paquetes almacenados en su sistema de ficheros.
El servidor de datos solo trabaja con los datos que provienen de los agentes de software y no realiza ningn tipo de comprobacin remota de los mismos.
2.1.2- Servidor de red
El servidor de red se encarga de ejecutar tareas de monitorizacin remota a travs de la red realizando pruebas ICMP (pings, tiempos de latencia de la red), peticiones TCP y peticiones SMTP.
En el momento que asignamos un agente a un servidor lo estamos asignando a un servidor de red y no a un servidor de datos.
Es importante que las mquinas que ejecutan los servidores de red puedan ver la red para poder ejecutar las tareas de monitorizacin de red asignadas.
Hay que comprobar que al realizar los pings a un sistema de red determinado el servidor de red pueda llegar a dicha red.
Por ejemplo, si creamos un mdulo para hacer una comprobacin de ping a 192.168.10.1 y hemos asignado dicho agente o mdulo a un servidor de la red 192.168.20.0/24 sin acceso a la red 192.3168.10.0/24 siempre nos devolver que la red esta desconectada, ya que no puede acceder a ella.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 4 de 42
2.1.3- Servidor de SNMP (tambin conocida como Consola de Traps SNMP)
El servidor SNMP usa el demonio estndar del sistema de obtencin de traps (SNMPTRADP). Este demonio o servicio recibe traps SNMP y el servidor SNMP de Pandora los procesa y los guarda en la base de datos. En el momento que procesa y analiza los datos tambin puede lanzar las alertas asignadas a dicha consola de Pandora.
2.1.4- Servidor de WMI
El servidor WMI es un estndar de Microsoft para obtener informacin del sistema operativo y de las aplicaciones de entorno de Microsoft Windows.
Pandora posee un servidor dedicado para realizar llamadas nativas WMI de forma centralizada. De esta forma se pueden recoger datos de sistemas Windows de forma remota sin usar ningn agente.
2.1.5- Servidor de reconocimiento
El servidor de reconocimiento se usa para explorar regularmente la red y detectas nuevos sistemas en funcionamiento.
Al usar aplicaciones de sistema como nmap, xprobe y traceroute dicho servidor nos permite identificar sistemas por su Sistema Operativo, en funcin de los puertos que tenga abiertos y establecer la topologa de red en funcin de los sistemas que ya conoce.
2.1.6- Servidor de complementos (Plugins)
El servidor de complementos se encarga de realizar comprobaciones complejas de usuario desarrolladas en cualquier lenguaje e integrarlos en la interfaz grfica de Pandora. A su vez se encarga de gestionarlos de forma centralizada. Permitiendo a un usuario avanzado definir sus propias pruebas complejas (desarrolladas por el mismo) e integrarlas en la aplicacin. Para que puedan usarse de forma cmoda y centralizada desde Pandora.
2.1.7- Servidor de prediccin
El servidor de prediccin es un componente de Inteligencia Artificial que implementa de forma estadstica una previsin de datos en la base de datos pasados y que nos va a permitir predecir los valores de un dato en un intervalo de tiempo que oscila entre 10 y 15 minutos.
Y de esta forma conocer si un dato en el momento actual es anmalo, es decir no es correcto, respecto al historial.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 5 de 42
3.- Consola web de Pandora FMS
Es la interfaz de usuario para Pandora FMS. Es la consola de administracin y operaciones que permite a usuarios distintos, con diferentes privilegios poder controlar el estado de los agentes (equipos). Ver la informacin de los mismos, estadsticas, generar grficos y tablas de datos; y a su vez gestionar incidencias con el sistema integrado que posee.
Pandora FMS tambin nos permite generar informes y definir la forma centralizada de nuevos mdulos, agentes, alertas y crear otros usuarios y perfiles para la misma.
La consola Web puede ejecutarse en mltiples servidores o mltiples equipos es decir la podemos ejecutar (tener) tantas consolas web como queramos.
4.- Base de datos de Pandora FMS
Pandora FMS usa una base de datos MySQL, es una base de datos asncrona con todos los datos recibidos por la misma. Realiza una unin o cohesin temporal de todos los datos que recibe y realiza una normalizacin de dichos datos de las diferentes fuentes de origen.
Cada mdulo de datos de un agente (equipo) distinto genera una entrada de datos para cada paquete. Es decir que un sistema real de produccin puede tener alrededor de diez millones de datos.
Dichos datos sern gestionados de forma automtica por Pandora FMS. Se llevar a cabo un mantenimiento peridico y automtico de la base de datos permitiendo que Pandora FMS no requiera de ningn tipo de administracin de base de datos, ni ningn proceso manual asistido por un administrador o un operador en su defecto.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 6 de 42
Dicho proceso lo realiza mediante una limpieza peridica de los datos una vez pasada una fecha. Por defecto 90 das.
Tambin realiza una compactacin de los datos que tienen ms de un nmero determinado de das de antigedad. Por defedcto 30 das.
5.- Agentes Software de Pandora FMS
Al referirnos a un agente Pandora FMS podemos distinguir entre 3 formas de obtener los datos:
- Agente. - Agente de Software o Aplicaciones de Software, Pandora FMS Agente (dicho agente corre en una mquina o equipo). - Agente Fsico o de Hardware.
5.1- Agente
El agente de Pandora FMS es simplemente un elemento organizativo que se crea con la consola Web de Pandora FMS. El cual est asociado a un grupo de mdulos o elementos individuales de monitorizacin.
Tambin permite que dicho agente pueda tener de forma opcional asociadas una o ms direcciones IP.
5.2- Agente Software
El agente de Software es el agente que se instala en una mquina o equipo remoto. El cual es completamente diferente al del servidor o al de la consola Web de Pandora FMS.
El agente de Software permite obtener la informacin local del equipo donde se est ejecutando dicho agente, mediante comandos internos obtiene informacin del sistema.
Recoleccin de datos en Pandora FMS
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 7 de 42
La forma de obtener dichos datos es partir de scripts, que sean hechos a partir de submodulos que obtienen una parte de informacin cada uno de ellos.
Cada agente se encarga de obtener partes de informacin. Una vez obtenidas dichas partes se organizan en un nico paquete, el cual se almacena en un nico archivo. Dicho archivo se llamar paquete de datos.
Para copiar el paquete de datos del agente al servidor se realiza un proceso de copia de forma regular o Sincrona. Es decir pasado un tiempo determinado, el cual se ha definido en el agente. Dicho tiempo puede ser modificado para que no se llene la base de datos con informacin innecesaria o para no sobre cargar la red, es decir para que no sea perjudicial para el rendimiento del sistema.
El intervalo de tiempo por defecto son 300 segundos, es decir cinco minutos.
No se recomiendan valores inferiores a 100 segundos ya que pueden afectar al rendimiento del sistema local o anfitrin a dems de cargar excesivamente la base de datos y el sistema de proceso central.
Debemos recordar que Pandora FMS no es un sistema a tiempo real, sino un sistema de monitorizacin general de aplicaciones y sistemas en entornos en los cuales la criticidad no es en tiempo real.
Aunque no sea a tiempo real Pandora FMS se puede adaptar en entornos en los cuales el tiempo de respuesta oscile entre 3 y 5 segundos.
Las transferencias de los paquetes se realizan a travs del protocolo Tentacle, aunque tambin se pueden realizar va SHH o FTP.
Tanto SSH como Tentacle pueden hacer que un proceso sea totalmente seguro, ya que se encargan de cifrar todos los datos asegurando la confidencialidad, integridad y autenticacin de las conexiones entre el agente y el servidor.
A su vez tambin se pueden realizar transferencias mediante FTP o cualquier otro sistema de transferencia de ficheros.
Para pandora FMS por defecto se usar Tentacle por la seguridad que ofrece dicho sistema, y por la facilidad para el usuario y por las mltiples opciones que posee.
Los agentes usados por Pandora FMS se pensaron para su ejecucin en el agente desde el cual obtienen los datos. A pesar de que los agentes pueden obtener informacin de equipos accesibles desde el anfitrin donde estn instaladas. A esto se le llama Agente Satlite.
Se dispone de la posibilidad de configurar un equipo para que tenga varios agentes Pandora FMS de forma simultnea (No es un caso habitual). Esto ocurre cuando tenemos un agente de Software y un agente Satlite.
El agente de Software monitoriza el equipo en el cual se ejecuta; mientras que los agentes Satlites que tenga instalados pueden ser varios.
Se encargan en este caso de monotorizar sistemas remotos, a travs de Telnet, SNMP u otros comandos que sean propietarios.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 8 de 42
5.3- Agente fsico
Pandora FMS posee un agente fsico montado sobre un router Asus y un autmata Arduino.
Este equipo junto con los sensores conectados consigue monitorizar las siguientes caractersticas ambientales:
Dichos sensores se pueden calibrar fcilmente al ser electrnicos, y los valores de los mismos tambin son de fcil procesamiento para Pandora FMS.
El hecho de que el sensor sea un Router que posee caractersticas inalmbricas nos abre un mundo de posibilidades para este tipo de sensores. Algunos ya presentes en las CPD de empresas espaolas.
UT 04. Prctica 1. Pandora FMS
1. OBJETIVOS:
Investigar y aprender sobre Pandora FMS.
2. PASOS POR HACER:
1.- Realizar la instalacin del servidor pandora, de un agente y de la consola pandora (al realizar la instalacin aparece por defecto el usuario root, le pondremos una contrasea, pero para entrar en la consola deberemos entrar con el usuario admin y con contrasea pandora) en un equipo Linux, y instalar otro agente en un equipo con un sistema operativo de Windows (Por ejemplo Window XP).Comprobar que dichos equipos se comunican entre s. Una vez realizados dichos pasos deber mostrar nuestro mapa de red desde la consola de pandora y la configuracin de dichos equipos. Nota: Los puntos deb se pueden descargar del siguiente enlace: http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Debian_Ubuntu/ El Agente Windows se puede descargar del siguiente enlace: http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Pandora%20FMS%2 0Windows%20Agent%20v4.0.1-Setup.exe/download
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 9 de 42
2.- Configura una monitorizacin remota de red ICMP para el agente equipoasi. Deberemos comprobar si dicha direccin IP responde o no. Tambin deberemos realizar una comprobacin de la latencia. 3.- Configura una monitorizacin remota de red TCP para el agente equipoasi. Deberemos comprobar el estado de los servidores web y smtp. 4.- Conectar remotamente desde la mquina donde se encuentra el servidor pandora, a la mquina donde solo est instalado un agente pandora (nuestro Windows XP). Para realizar dicho proceso debern utilizar el ultravnc que ya viene instalado por defecto en la consola de Pandora.
3. POSIBLES PASOS A INVESTIGAR:
1.- Integrar los eventos de seguridad de Patriot NG dentro de Pandora, tambin debes crear una plantilla de alerta de los eventos relacionados con Patriot NG. 2.- Monitoriza un equipo Windows de forma remota, sin agentes y a travs del servidor WMI de pandora desde otro agente Windows. Para ello debern crear otro agente llamado equipoasi2. 3.- Realiza la instalacin de pandora desde una ISO en lugar de realizarla con los puntos deb del ejercicio 1. 4.- Recuerda que en el ejercicio 1 hemos puesto como usuario con todos los privilegios al usuario root pero no podemos acceder a la consola de pandora y si con el usuario admin. Comprueba que con el usuario root no podemos acceder a la consola y explica porque si podemos acceder con el usuario admin.
4. BIBLIOGRAFA Y RECURSOS
2. PASOS POR HACER:
1.- Realizar la instalacin del servidor pandora, de un agente y de la consola pandora (al realizar la instalacin aparece por defecto el usuario root, le pondremos una contrasea, pero para entrar en la consola deberemos entrar con el usuario admin y con contrasea pandora) en un equipo Linux, y instalar otro agente en un equipo con un sistema operativo de Windows (Por ejemplo Window XP).Comprobar que dichos equipos se comunican entre s. Una vez realizados dichos pasos deber mostrar nuestro mapa de red desde la consola de pandora y la configuracin de dichos equipos. Nota: Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 10 de 42
Los puntos deb se pueden descargar del siguiente enlace: http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Debian_Ubuntu/ El Agente Windows se puede descargar del siguiente enlace: http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Pandora%20FMS%2 0Windows%20Agent%20v4.0.1-Setup.exe/download Instalacin del servidor pandora, de la consola pandora y del agente en Ubuntu, primero descargamos dichos paquetes.
Realizamos la instalacin del servidor pandora.
A continuacin instalamos el agente.
Hecho lo anterior instalamos la consola.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 11 de 42
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 12 de 42
Y entramos en la consola de pandora.
Instalacin agente pandora en Windows xp.
A continuacin le indicamos la ruta donde queremos instalar pandora. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 13 de 42
Nos pregunta el nombre del agente le dejamos el agente que viene por defecto.
A continuacin indicamos la direccin ip del servidor pandora:
Una vez iniciado el Agente en nuestro Windows comprobamos que desde el servidor de pandora tenemos conexin con el equipoasi. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 14 de 42
Hecho esto desde el equipoasi comprobamos que tenemos conexin con el servidor de pandora.
Desde la consola de pandora comprobamos nuestro mapa de red donde debern aparecernos el srvpandora y el equipoasi. Para ello pulsamos en ver agentes y en Mapa de red. Una vez situados en Mapa de red pulsamos en opciones del Mapa.
Pulsamos en la opcin actualizar.
Y ms abajo nos aparecer nuestro mapa de red, indicndonos que tenemos dos equipos conectados a nuestra red. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 15 de 42
Ahora pulsaremos sobre el agente equipoasi y comprobaremos su configuracin
Ahora haremos lo mismo sobre srvpandora. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 16 de 42
2.- Configura una monitorizacin remota de red ICMP para el agente equipoasi. Deberemos comprobar si dicha direccin IP responde o no. Tambin deberemos realizar una comprobacin de la latencia. Para empezar nos dirigimos al agente equipoasi y pulsamos sobre la opcin mdulos. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 17 de 42
A continuacin seleccionamos Crear un nuevo mdulo de servidor de red.
En usando el componente del mdulo seleccionamos network Management y host Alive y Remote ICMP networagent y pulsamos el botn crear.
Y comprobamos que se ha creado el mdulo, la advertencia significa que todava no se ha recibido ningn dato del mdulo.
La latencia se refiere al tiempo en milisegundos que tarda en responder la direccin IP del agente Windows a la peticin bsica de ICMP. Nos volvemos a dirigir agente equipoasi y pulsamos sobre la opcin mdulos. A continuacin volvemos a seleccionar Crear un nuevo mdulo de servidor de red.
En usando el componente del mdulo seleccionamos network Management y host Latency y Remote ICMP networkagent(latency) y pulsamos el botn crear. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 18 de 42
Y comprobamos que se ha creado el mdulo.
En Gestionar agentes pulsamos sobre equipoasi y sobre Host Alive
Y comprobamos que si que se realizan las conexiones.
Ahora pulsaremos sobre Host Latency para saber cunto tiempo tarda en responder el agente. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 19 de 42
3.- Configura una monitorizacin remota de red TCP para el agente equipoasi. Deberemos comprobar el estado de los servidores web y smtp. Para empezar nos dirigimos al agente equipoasi y pulsamos sobre la opcin mdulos.
A continuacin seleccionamos Crear un nuevo mdulo de servidor de red.
Primero crearemos el mdulo para el servidor web, en el cual indicaremos que se un mdulo de red y que chequee el servidor http (puerto 80) y que sea del tipo Remote TCP network agent, boolean data.
Bien en Enviar TCP indicaremos GET /http/1.0/^M^M (^M significa retorno de carro). En Recibir TCP indicaremos http/1.1 200 OK (Para comprobar que la conexin es correcta). Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 20 de 42
Pulsamos el botn crear y comprobamos que el mdulo se ha creado correctamente.
En Gestionar agentes pulsamos sobre equipoasi y sobre Check http Server.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 21 de 42
Podemos comprobar el grfico (de momento todava no ha recibido ningn dato). Despus de haber instalado apache y comprobar que no apunta a la direccin local de la mquina (127.0.0.1), y haber reiniciado y apagado apache en nuestro cliente sigue sin producirse ningn cambio. En principio nuestro grfico debera haber cambiado.
Y tambin los datos generados, comprobando las conexiones (En conexiones los datos tambin deberan haber cargado, en principio parece que est todo bien en el cliente pero no enva los datos a pandora.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 22 de 42
Nos volvemos a dirigir al agente equipoasi y pulsamos sobre la opcin mdulos.
A continuacin seleccionamos Crear un nuevo mdulo de servidor de red.
Crearemos el mdulo para el servidor smpt, en el cual indicaremos que se un mdulo de red y que chequee el servidor smtp (puerto 25) y que sea del tipo Remote TCP network agent, boolean data.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 23 de 42
Pulsamos el botn crear y comprobamos que el mdulo se ha creado correctamente.
En Gestionar agentes pulsamos sobre equipoasi y sobre Check smtp Server.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 24 de 42
Podemos comprobar el grfico.
Y tambin los datos generados, comprobando la conexin.
4.- Conectar remotamente desde la mquina donde se encuentra el servidor pandora, a la mquina donde solo est instalado un agente pandora (nuestro Windows XP). Para realizar dicho proceso debern utilizar el ultravnc que ya viene instalado por defecto en la consola de Pandora. Para empezar instalaremos el ultravnc server en nuestro equipo Windows XP.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 25 de 42
Para empezar pondremos nuestro UltraVncServer en Inicio>Programas>Inicio para que se ejecute siempre que iniciemos el equipo y de esta forma siempre nos ser posible conectar con el agente desde la consola de pandora.
De esta forma siempre nos aparecer activado al iniciar el equipo.
Una vez hecho esto nos dirigimos al equipo donde tenemos instalado nuestro servidor pandora y la consola y accederemos de forma remota a nuestro agente. Nos dirigimos a Ver agentes>vista tctica.
Pulsamos sobre el nombre del agente, en nuestro caso equipoasi, apareciendo la siguiente pantalla sobre la cual pulsaremos sobre el botn del VNC. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 26 de 42
Hecho esto nos pide la contrasea introducida el ultravnc del cliente y pulsamos OK.
Y comprobamos que ya controlamos de forma remota el agente equipoasi.
En el agente Windows comprobamos que el icono del ultravnc server ha cambiado de color de verde a amarillo. Esto indica que el agente Windows XP se ha conectado con la consola de pandora.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 27 de 42
3. POSIBLES PASOS A INVESTIGAR:
1.- Integrar los eventos de seguridad de Patriot NG dentro de Pandora, tambin debes crear una plantilla de alerta de los eventos relacionados con Patriot NG. Primero procedemos a instalar Patriot NG en nuestro agente Windows. Debemos recordar que Patriot es una aplicacin que se encarga de la deteccin de intrusos la cual permite modificar las claves del registro, crear nuevos usuarios, defensa TCP/IP entre otras opciones. Dichos eventos quedan registrados en el visor de eventos de Windows.
A continuacin nos dirigimos al fichero de configuracin pandora_agent.conf y creamos un mdulo para capturar los eventos de PatriotNG en los agentes Windows.
A su vez crearemos otro mdulo para verificar que PatriotNG se est ejecutando y nadie lo ha parado.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 28 de 42
En el control de eventos comprobamos que nos aparece un evento con el mdulo creado anteriormente.
Pulsaremos el botn visualizar para ver dicho evento.
Hecho lo anterior configuraremos una plantilla de alerta par cuando nos llegue un evento. Dicha plantilla saltar en la recepcin del evento.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 29 de 42
Configuramos la alerta para que nos avise, y comprobamos que se ha creado la alerta.
En el agente equipoasi nos aparece en General un nuevo evento patriotNG:
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 30 de 42
Pulsamos sobre l y comprobamos los avisos recibidos.
2.- Monitoriza un equipo Windows de forma remota, sin agentes y a travs del servidor WMI de pandora desde otro agente Windows. Para ello debern crear otro agente llamado equipoasi2. Una vez creado el agente equipoasi2, desde la consola de pandora comprobamos nuestro mapa de red donde debern aparecernos el srvpandora, el equipoasi y el equipoasi2. Para ello pulsamos en ver agentes y en Mapa de red. Una vez situados en Mapa de red pulsamos en opciones del Mapa.
Pulsamos en la opcin actualizar. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 31 de 42
Y ms abajo nos aparecer nuestro mapa de red, indicndonos que tenemos tres equipos conectados a nuestra red.
Ahora nos dirigimos a /etc/pandora/pandora_server.conf para activar el servicio de monitorizacin por WMI.
A continuacin nos dirigimos al agente equipoasi2 y seleccionamos la opcin nuevo mdulo de red y pulsamos el botn crear.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 32 de 42
Hecho esto nos descargamos en el equipoasi la WMI para Windows. En el agente equipoasi en administracin de equipos en Control WMI en la pestaa seguridad el usuario administrador tiene que tener chequeada la opcin Llamada remota habilitada para poder conectarse con el agente equipoasi2.
Bien hecho esto procedemos a conectarnos con equipoasi2 (192.168.200.164).
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 33 de 42
Realizamos las siguientes consultas las cuales nos proporcionan informacin del agente equipoasi2 sin tener que entrar en la consola de pandora, por ejemplo: Muestra el tamao de la unidad C:
Muestra el sistema operativo usado y su nmero de serie:
Muestra el rendimiento de la memoria fsica y virtual del equipo:
Muestra los bytes escritos por segundo en el sistema:
3.- Realiza la instalacin de pandora desde una ISO en lugar de realizarla con los puntos deb del ejercicio 1. Para empezar el proceso de instalacin primero seleccionamos la ISO de pandora.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 34 de 42
A continuacin seleccionamos Pandora FMS 4.0.1 OpenSource.
A continuacin nos pide que aceptemos la licencia GPL y pulsamos next.
A continuacin elegimos la zona horaria y pulsamos next. Hecho esto nos pide la creacin de un usuario.
Hecho lo anterior muestra una pantalla resumen de la instalacin si estamos de acuerdo pulsaremos aceptar. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 35 de 42
Y empezar el proceso de instalacin.
Por ltimo nos pide que reiniciemos y retiremos la imagen iso del cd. Comprobamos que se configura de forma automtica.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 36 de 42
Hecho esto nos pide el nombre de mquina.
Hecho lo anterior, despus de haber configurado la ip de la mquina y seleccionada la tarjeta de red se inicia el sistema.
Con esto hemos visto como configurar e instalar pandora de forma grfica sin necesidad de usar los puntos deb del ejercicio 1. Bien para conectarnos al servidor arrancaremos otro equipo (Ya que nuestra iso no dispone de entorno grfico) que este en el mismo rango de red y entraremos a la consola. En nuestro caso http://192.168.200.166/pandora_console. Para realizar la conexin usaremos el equipo equipoasi.
Y comprobamos que funciona correctamente, en este caso nos conectaramos desde otro equipo para usar la consola y el funcionamiento sera el mismo. Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 37 de 42
4.- Recuerda que en el ejercicio 1 hemos puesto como usuario con todos los privilegios al usuario root pero no podemos acceder a la consola de pandora y si con el usuario admin. Comprueba que con el usuario root no podemos acceder a la consola y explica porque si podemos acceder con el usuario admin. Comprobamos que con el usuario root no podemos acceder a la consola.
A continuacin entraremos en el servidor mysql con el usuario root y en la base datos pandora.
Hecho lo anterior realizamos un show tables; Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 38 de 42
A continuacin realizamos un select sobre la tabla tusuario y comprobamos que el usuario root no est en la tabla tusuario y por tanto no puede entrar en la consola de pandora. Slo puede entrar el usuario admin. Si quisiramos que se pudiera entrar con el usuario root deberamos insertarlo en dicha tabla.
Ahora cambiamos de base de datos, entraremos en la base de datos mysql.
Hecho lo anterior realizamos un show tables; Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 39 de 42
A continuacin realizamos un select sobre la tabla user y comprobamos que el usuario root si est en dicha tabla, pero como hemos comentado anteriormente no est en la tabla de usuarios de la base de datos de pandora.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 40 de 42
4. BIBLIOGRAFA Y RECURSOS (en bibliografa se incluyen la mayora de enlaces consultados tanto para realizar el tema como la prctica del mismo).
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 41 de 42
5. REALIZA EL SIGUIENTE CUESTIONARIO.
1.- Qu es Pandora?
a. Una herramienta de anlisis. b. Se encarga de recoger los datos de los eventos. c. Detectar o prevenir las posibles intrusiones. d. Una herramienta de monitorizacin que se encarga de vigilar cualquier tipo de sistema y/o aplicacin.
2.- Qu permite realizar Pandora?
a. Permite medir rendimientos, y comparar valores entre diferentes sistemas y permite establecer alertas sobre umbrales. b. Permite medir rendimientos, y comparar valores entre diferentes sistemas y no permite establecer alertas sobre umbrales. c. Se encarga de detectar o prevenir las posibles intrusiones. d. Ninguna de las anteriores.
3.- Sobre qu base de datos trabaja Pandora?
a. Mysql b. Oracle c. SqlServer d. Ninguna de las anteriores.
4.- Tipos de servidores de Pandora.
a. Servidor de datos, servidor de red, servidor SNMP, Servidor de prediccin, servidor de reconocimiento. b. Servidor de datos, servidor de red, servidor de SNMP, servidor de reconocimiento, servidor de complementos, servidor de prediccin. c. Servidor de datos, servidor de red, Servidor SNMP, servidor de prediccin. d. Servidor de datos, servidor de red, servidor SNMP, Servidor de prediccin, servidor de complementos.
5.- Funciones del servidor de datos.
a. La base de datos la comparte con el servidor web, y almacena los paquetes de datos procesados. b. Se encarga de procesar la informacin enviada por los agentes de software. c. El servidor de datos igual que el resto de servidores accede a la base de datos de pandora. d. Todas las respuestas anteriores son correctas.
6.- Funciones del servidor de red.
a. Se encarga de procesar la informacin enviada por los agentes de software. b. En el momento que asignamos un agente a un servidor lo estamos asignando a un servidor de datos y no a un servidor de red. c. En el momento que asignamos un agente a un servidor lo estamos asignando a un servidor de red y no a un servidor de datos. d. Todas las respuestas anteriores son incorrectas.
Administracin de Sistemas Informticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigacin. Pandora FMS ngel Arriasol Pgina 42 de 42
7.- Cmo gestiona Pandora la base de datos?
a. Los datos se gestionan de forma manual para realizar un mantenimiento peridico. Requiere la administracin de bases de datos. b. Los datos se gestionan de forma automtica para realizar un mantenimiento peridico. No requiere la administracin de bases de datos. c. Todos los procesos de la base de datos hay que hacerlos manualmente. d. Las respuestas a y c son correctas.
8.- Qu es un agente de software?
a. Permite obtener informacin del resto de equipos integrados dentro de Pandora. b. El agente de software es el agente que se instala en una mquina o equipo remoto. c. No permite obtener la informacin local del equipo donde se esta ejecutando dicho agente. d. Todas las respuestas anteriores son incorrectas.
9.- Qu permite monitorizar un agente fsico?
a. Humedad b. Temperatura c. Luz ambiental d. Todas las respuestas anteriores son correctas.
10.- Qu es el servidor de prediccin?
a. Es un componente del servidor de red. b. No es un componente de inteligencia artificial. c. Es un componente de inteligencia artificial. d. Todas las respuestas anteriores son incorrectas.
Defensa del Consumidor de Seguros: un análisis de la inclusión de prácticas y cláusulas abusivas en los contratos de seguros en Argentina y su control administrativo previo