Monitor Eo

Direccin General de Servicios de Cmputo Acadmico
SEGURIDAD PERIMETRAL

M MO ON NI IT TO OR RE EO O D DE E R RE EC CU UR RS SO OS S D DE E R RE ED D

MONITOREO DE RECURSOS DE RED

Primera Edicin

ING. CARLOS ALBERTO VICENTE ALTAMIRANO

UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

MXICO 2005

UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

Rector
Juan Ramn de la Fuente

Secretario General
Enrique del Val Blanco

Director General de Servicios De Cmputo Acadmico
Dr. Alejandro Pisanty Baruch

Directora de Cmputo para la Investigacin
Dra. Genevieve Lucet Lagriffoul

Jefe del Departamento de Seguridad en Cmputo
Lic. Juan Carlos Guel Lpez

SEMINARIO ADMIN-UNAM SEGURIDAD PERIMETRAL
Tema: Monitoreo de Recursos de Red

Editor
Direccin General de Servicios de Cmputo Acadmico
Direccin de Cmputo para la Investigacin

Nmero de la edicin: Junio 2005.

2005 Universidad Nacional Autnoma de Mxico
Esta edicin y sus caractersticas son propiedad de la
Universidad Nacional Autnoma de Mxico.
Ciudad Universitaria, Mxico, DF

Ni la totalidad ni parte de esta publicacin puede reproducirse,
registrarse o transmitirse en ninguna forma ni por ningn medio,
sin la previa autorizacin escrita del editor.

Impreso y hecho en Mxico

Monitoreo de recursos de red

Carlos A. Vicente Altamirano
UNAM-DGSCA
Direccin de Telecomunicaciones, Departamento de Redes
Centro de Operacin de RedUNAM
carlos@noc.unam.mx

Resumen.

En el presente trabajo se aborda el tema del monitoreo de redes, describiendo las tcnicas de
monitoreo, los elementos a tomar en cuenta en un esquema de monitoreo as como un resumen de
algunas herramientas para su implementacin.

ndice

1. Introduccin...................................................................................... 1
2. Enfoques de monitoreo..................................................................... 1
2.1. Monitoreo Activo. ............................................................................ 2
2.1.1. Tcnicas de monitoreo activo ........................................................... 2
2.2. Monitoreo Pasivo.............................................................................. 2
2.2.1. Tcnicas de monitoreo pasivo........................................................... 2
3. Estrategia de monitoreo .................................................................... 3
3.1. Qu monitorear ................................................................................. 3
3.2. Mtricas ............................................................................................ 4
3.3. Alarmas............................................................................................. 4
3.4. Eleccin de herramientas.................................................................. 4
4. Ejemplo de monitoreo basado en el protocolo SNMP. ..................... 5
5. Topologa del sistema de monitoreo................................................. 6
6. Referencias ....................................................................................... 7

1. Introduccin

La deteccin oportuna de fallas y el monitoreo de los elementos que conforman una red de
cmputo son actividades de gran relevancia para brindar un buen servicio a los usuarios. De esto
se deriva la importancia de contar con un esquema capaz de notificarnos las fallas en la red y de
mostrarnos su comportamiento mediante el anlisis y recoleccin de trfico. A continuacin se
habla sobre los enfoques activo y pasivo de monitoreo y sus tcnicas, tambin se toca el tema de
cmo crear una estrategia de monitoreo incluyendo la definicin de mtricas y la seleccin de las
herramientas.

2. Enfoques de monitoreo

Existen, al menos, dos puntos de vista para abordar el proceso de monitorear una red: el enfoque
activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.
Seminario Admin-UNAM "Seguridad Perimetral"
1
_____________________________________________________
Departamento de Seguridad en Cmputo/UNAM-CERT

2.1. Monitoreo Activo.

Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o enviando paquetes a
determinadas aplicaciones midiendo sus tiempos de respuesta. Este enfoque tiene la caracterstica
de agregar trfico en la red. Es utilizado para medir el rendimiento en una red.

2.1.1. Tcnicas de monitoreo activo

Basado en ICMP.

Diagnosticar problemas en la red
Detectar retardo, prdida de paquetes.
RTT
Disponibilidad de host y redes.

Basado en TCP

Tasa de transferencia
Diagnosticar problemas a nivel aplicacin

Basado en UDP

Prdida de paquetes en un sentido (one-way)
RTT (traceroute)

2.2. Monitoreo Pasivo.

Este enfoque se basa en la obtencin de datos a partir de recolectar y analizar el trfico que
circula por la red. Se emplean diversos dispositivos como sniffers, ruteadores, computadoras con
software de anlisis de trfico y en general dispositivos con soporte para snmp, rmon y netflow.
Este enfoque no agrega trfico en la red como lo hace el activo. Es utilizado para caracterizar el
trfico en la red y para contabilizar su uso.

2.2.1. Tcnicas de monitoreo pasivo

Solicitudes remotas

Mediante SNMP

Esta tcnica es utilizada para obtener estadsticas sobre la utilizacin de ancho de banda en los
dispositivos de red, para ello se requiere tener acceso a dichos dispositivos. Al mismo tiempo,
este protocolo genera paquetes llamados traps que indican que un evento inusual se ha producido.

Otros mtodos de acceso

Se pueden realizar scripts que tengan acceso a dispositivos remotos para obtener informacin
importante para monitorear. En esta tcnica se pueden emplear mdulos de perl, ssh con
autenticacin de llave pblica, etc.

2
_____________________________________________________

Captura de trfico

Se puede llevar a cabo de dos formas: 1) Mediante la configuracin de un puerto espejo en un
dispositivo de red, el cual har una copia del trfico que se recibe en un puerto hacia otro donde
estar conectado el equipo que realizar la captura; y 2) Mediante la instalacin de un dispositivo
intermedio que capture el trfico, el cual puede ser una computadora con el software de captura o
un dispositivo extra. Esta tcnica es utilizada para contabilizar el trfico que circula por la red.

Anlisis de Trfico

Se utiliza para caracterizar el trfico de la red, es decir, para identificar el tipo de aplicaciones que
son mas utilizadas. Se puede implementar haciendo uso de dispositivos probe que enven
informacin mediante RMON o a travs de un dispositivo intermedio con una aplicacin capaz
de clasificar el trfico por aplicacin, direcciones IP origen y destino, puertos origen y destino,
etc.

Flujos

Tambin utilizado para identificar el tipo de trfico utilizado en la red. Un flujo es un conjunto de
paquetes con

La misma IP origen y destino
El mismo puerto TCP origen y destino
El mismo tipo de aplicacin.

Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos que sean capaces de
capturar trfico y transformarlo en flujos. Tambin es usado para tareas de facturacin (billing).

3. Estrategia de monitoreo

Antes de implementar un esquema de monitoreo se deben tomar en cuenta los elementos que se
van a monitoreo as como las herramientas que se utilizarn para esta tarea.

3.1. Qu monitorear

Una consideracin muy importante es delimitar el espectro sobre el cual se va a trabajar. Existen
muchos aspectos que pueden ser monitoreados, los ms comunes son los siguientes:

Utilizacin de ancho de banda
Consumo de CPU
Consumo de memoria
Estado Fsico de las conexiones
Tipo de trfico
Alarmas
Servicios (Web, correo, base de datos)

Es importante definir el alcance de los dispositivos que van a ser monitoreado, puede ser muy
amplio y se puede dividir de la siguiente forma.

3
_____________________________________________________

Dispositivos de Interconexin
Ruteadores, switches, hubs, firewall

Servidores
Web, Mail, DB

Red de Administracin
Monitoreo, Logs, Configuracin.

3.2. Mtricas

La definicin de mtricas permitir establecer patrones de comportamiento para los dispositivos
que sern monitoreados. Tambin hay diversos tipos de mtricas que pueden ser declarados,
dependern de las necesidades particulares de cada red. Las mtricas deben ser congruentes con
los objetos a monitorear que fueron sealados en el punto anterior. Algunos ejemplos son:

Mtricas de trfico de entrada y salida
Mtricas de utilizacin de procesador y memoria
Mtrica de estado de las interfaces
Mtrica de conexiones lgicas

A cada mtrica se le asigna un valor promedio, el cual identifica su patrn de comportamiento.

3.3. Alarmas

Las alarmas son consideradas como eventos con comportamiento inusual. Las alarmas mas
comunes son las que reportan cuando el estado operacional de un dispositivo o servicio cambia.
Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras mtricas,
son valores mximos conocidos como umbrales o threshold. Cuando estos patrones son
superados se produce una alarma, ya que es considerado como un comportamiento fuera del
patrn. Algunos tipos de alarmas son:

Alarmas de procesamiento
Alarmas de conectividad
Alarmas ambientales
Alarmas de utilizacin
Alarmas de disponibilidad (estado operacional)

3.4. Eleccin de herramientas

Existe un gran nmero de herramientas para resolver el problema del monitoreo de una red. Las
hay tanto comerciales como basadas en software libre. La eleccin depende de varios factores,
tanto humanos, econmicos como de infraestructura:

a) El perfil de los administradores, sus conocimientos en determinados sistemas operativos;
b) los recursos econmicos disponibles
c) el equipo de cmputo disponible.

En esta ocasin se har nfasis tres herramientas:
4
_____________________________________________________

Cacti.

Es una completa solucin para el monitoreo de redes. Utiliza RRDTool para almacenar la
informacin de los dispositivos y aprovecha sus funcionalidades de graficacin. Proporciona un
esquema rpido de obtencin de datos remotos, mltiples mtodos de obtencin de datos (snmp,
scripts), un manejo avanzado de templates, y caractersticas de administracin de usuarios.
Adems, ofrece un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola
consola de administracin, fcil de configurar.

Net-SNMP.

Conjunto de aplicaciones para obtener informacin va snmp de los equipos de interconexin.
Soporta la versin 3 del protocolo la cual ofrece mecanismos de seguridad tanto de
confidencialidad como de autenticacin. Provee de manejo de traps para la notificacin de
eventos.

Nagios.

Aplicacin para el monitoreo de servicios, hosts que pertenecen a una red. Es capaz de
monitorear si un servicio se encuentra activo o no, o si un hosts se encuentra operacional o no.
Muestra el estadio operacional de todos los servicios y hosts en un ambiente Web. Enva
notificaciones mediante mail o pager cuando el estado operacional de un elemento a monitorear
cambia.

4. Ejemplo de monitoreo basado en el protocolo SNMP.

Con esta tcnica se monitorea:

Utilizacin de ancho de banda en los enlaces del backbone e internacionales.
Consumo de CPU en switches y ruteadores.
Alarmas de conexiones fsicas
Alarmas de conexiones lgicas
Alarmas de procesamiento.

Definicin de mtricas y sus valores

Objeto a monitorear

Mtrica Valor Promedio Valor
Mximo

Ruteador

Utilizacin de CPU

33%

66%

Ruteador

Utilizacin de
trfico de salida

10Mbps

30Mbps

Como ya se haba mencionado si se recibe o se detecta un valor mayor al mximo definido se
genera y se enva una alarma a los responsables de la red.

5
_____________________________________________________

As se reciben las trap

# Trap de Link-Up

2004-02-12 20:35:28 switch.unam.mx [IP]:
SNMPv2-MIB::sysUpTime.0 = Timeticks: (234092479) 27 days, 2:15:24.79 SNMPv2-
MIB::snmpTrapOID.0 = OID: IF -MIB::linkUp IF-MIB::ifIndex.3 = INTEGER: 3 IF-MIB::ifDescr.3 =
STRING: Ethernet1 IF-MIB::ifType.3 = INTEGER: ethernetCsmacd(6) SNMPv2-
SMI::enterprises.9.2.2.1.1.20.3 = STRING: "up"

As se formatean las trap para notificar una alarma:

# Alarma de Conectividad
TRAP desde Switch: La interfaz Ethernet 1esta DOWN (FECHA: 03/25/04 HORA: 17:45:41)
TRAP desde Switch: La interfaz Ethernet1 esta UP (FECHA: 03/25/04 HORA: 17:45:49)

# Alarma de conectividad fsica
TRAP desde Switch: La interfaz Ethernet1 hacia INSTITUCION esta DOWN (FECHA: HORA: 21:22:56)
TRAP desde Switch: La interfaz Ethernet1 hacia INSTITUCION esta UP (FECHA: HORA: 21:23:21)

Ejemplos de grficas de utilizacin y el manejo de en www.cacti.net. Ejemplos de monitoreo de servicios y
hosts en www.nagios.org.

5. Topologa del sistema de monitoreo

El sistema consiste de un servidor que hace las solicitudes mediante el protocolo SNMP a los
dispositivos de red, el cual a travs de un agente de snmp enva la informacin solicitada. Ver
Figura 4.4. O bien puede ser que el dispositivo enve mensajes trap al servidor de SNMP
anunciando que un evento inusual ha sucedido. Ver figura 5.1.

Dispositivo de red
(Agente de SNMP)
Servidor de SNMP
Navegador Web
Mensajes SNMP
6
_____________________________________________________

Fig.5.1. Solicitudes mediante SNMP

Fig. 5.2. Envo de traps

6. Referencias

Available Bandwidth Measurement in IP Networks. IP Performance Metrics Working
Group.

TMN. www.itu.int

RRDTool. http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/

Cacti. http://www.cacti.net/

Net-SNMP. http://net-snmp.sourceforge.net/

Netflow. http://www.cisco.com/warp/public/732/Tech/nmp/netflow/

Flow-tools. http://www.splintered.net/sw/flow-tools/

Flowscan. http://www.caida.org/tools/utilities/flowscan/

Nagios. http://www.nagios.org

SNMPv3. http://www.ibr.cs.tu-bs.de/ietf/snmpv3/

Dispositivo de red
Servidor de SNMP
Mensajes trap
Consola de alarmas
e-mail
Localizador
7
_____________________________________________________

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cmputo
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
8
_____________________________________________________

Monitor Eo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Monitor Eo

Cargado por

Copyright:

Formatos disponibles

Direccin General de Servicios de Cmputo Acadmico

También podría gustarte