Está en la página 1de 85

P R E S E N T A:

Optimizacin y monitoreo del trfico en la red LAN.


CACTI EN LINUX MINT

NDICE

I.

INTRODUCCIN................................................................................................4

II.

PLANTEAMIENTO DEL PROYECTO.................................................................6


Objetivo general.....................................................................................................6
Objetivos especficos..............................................................................................6
Justificacin............................................................................................................7
Viabilidad del proyecto...........................................................................................7

III.

MARCO TERICO..........................................................................................8

Redes LAN.............................................................................................................8
SNMP....................................................................................................................11
NMS (Network Management Systems, Sistemas de gestin de red)..................15
Firewall.................................................................................................................17
El sistema operativo como administrador de recursos........................................19
Servidores.............................................................................................................21
Sistemas operativos para servidores...................................................................21
LAMP....................................................................................................................23
Ancho de banda red LAN.....................................................................................74
Trafico de red........................................................................................................76
Monitorizacin de dispositivos..............................................................................77
IV.

CONCLUSIONES..........................................................................................79

Instalacin de Linux Mint......................................................................................81

I.

INTRODUCCIN

La administracin de redes de informacin en un entorno empresarial es de suma


importancia, una red empresarial es la columna vertebral que se utilizara para
soportar todas las soluciones tecnolgicas que la empresa implemente en mejora
del rendimiento y productividad.
Una red bien documentada y monitoreada, garantiza la solucin de problemas
rpidamente, la implementacin de nuevas tecnologas de una forma ordenada y
escalable, proporciona informacin importante acerca de cmo se utiliza la red por
los trabajadores de la empresa y se es capaz de prever posibles fallas en el futuro.
Entre los motivos ms importantes para implementar una monitorizacin de red se
encuentran la monitorizacin del ancho de banda, la deteccin de cuellos de
botella en la red, la disponibilidad de un enlace, el rendimiento del cableado y
descubrir nuevos problemas de seguridad no detectados.
Actualmente las redes de datos empresariales van creciendo cada vez ms aprisa,
para soportar este crecimiento apresurado los administradores de red se apoyan
de aplicaciones de gestin de redes que les ayudan a determinar el estado de la
red fcilmente o incluso estas aplicaciones dan avisos cuando pasa algn suceso
relevante en la red de datos que administran.
De la misma manera una red debe ser ordenada ya que existen diferentes tipos de
usuarios que necesitan privilegios diferentes, algunos usuarios deben ser
restringidos por su seguridad y por seguridad de la empresa en la que trabajan.
A continuacin se detallara brevemente el contenido de la presente memoria.
En la introduccin se describen los motivos por los que se eligi realizar este
proyecto de monitorizacin de trfico y segmentacin de red en grupos por medio
de un firewall administrable.
En el planteamiento se describe la intencin del proyecto, los objetivos especficos
que nos llevaran a cumplir el objetivo general, la justificacin del proyecto, es
decir, en que beneficia o que problema resuelve el proyecto dentro de la empresa
donde se lleva acabo, y por ltimo los recursos humanos, tcnicos y econmicos
con los que se cuenta para realizar el proyecto de forma satisfactoria.

En el marco terico se abarca toda la teora necesaria para fundamentar el


proyecto y poner en contexto al lector de la memoria para que sta sea entendible,
se citan libros y pginas web oficiales de los productos, dispositivos o servicios
que se utilizaron en la realizacin del proyecto.
En el desarrollo se exponen todas las actividades realizadas durante el proyecto,
se da una descripcin de estas actividades paso por paso y se muestran
ilustraciones para una mejor comprensin.
Dentro de los resultados se muestran grficos y pruebas de red que demuestran el
resultado y el impacto que la red LAN empresarial ha sufrido como consecuencia
de la realizacin de este proyecto.
En Conclusiones exponemos nuestro punto de vista acerca se la realizacin del
proyecto, la utilizacin del protocolo SNMP y las distintas ventajas y desventajas
que se vieron en su implementacin para la gestin de la red LAN empresarial.
En el apartado fuentes de consulta se encuentra la bibliografa que se emple en
la realizacin y como sustento del marco terico para que el lector pueda consultar
las fuentes originales si as lo desea.
En anexos se encuentran descritas actividades que se realizaron en la elaboracin
de esta memoria pero que no son imprescindibles para el cumplimiento de los
objetivos finales del proyecto.
Finalmente en el glosario definimos trminos tcnicos, los cuales no son de
conocimiento general si no que son trminos que se emplean mayormente por
especialistas en el rea de redes informticas.

II.

Objetivo general
Optimizar y monitorear el consumo de ancho de banda en la red empresarial de
Autos Populares del Caribe S.A. de C.V. con la segmentacin lgica de la red con
diferentes privilegios de acceso a internet y la implementacin de un servicio de
monitorizacin de red basado en el protocolo SNMP.
Objetivos especficos

Documentar los host en la red LAN (Caractersticas y direccin IP).

Probar el rendimiento de red con IPERF.

Segmentar la red para un mejor flujo de trfico.

Instalar el sistema operativo Linux mint en un servidor de prueba.

Instalar LAMP y los paquetes SNMP y SNMPD dentro del servidor de


pruebas.

Instalar y configurar Cacti en el servidor de pruebas.

Instalar y configurar el protocolo SNMP en los dispositivos a monitorizar.

Implementar Cacti en servidor de la empresa.

Analizar resultados de la monitorizacin de interfaces de red.

Configurar grupos y polticas en firewall Fortigate 100D.

Realizar pruebas de red.

Justificacin
Con la implementacin de un servicio de monitorizacin en la red de Autos
Populares del Caribe S.A. de C.V. se obtendrn datos de inters sobre el
funcionamiento de la red y la demanda de recursos por parte de los diferentes
departamentos de la empresa, debido a esto se pueden identificar las carencias
de la red y los problemas que podran surgir en el futuro.
Actualmente todos los host conectados a la red tienen los mismos privilegios pero
no todos utilizan de igual forma y hay equipos que deben tener privilegios sobre
los dems por el trabajo que realizan.
Con la configuracin de grupos en el firewall Fortigate 100D se limitar el acceso a
pginas web a los departamentos que no necesiten acceder a ellas, se bloquearn
las pginas de ocio y redes sociales.
Con esto se espera una reduccin significativa del ancho de banda utilizado en la
red y como consecuencia una red ms rpida y segura.
Viabilidad del proyecto
El proyecto rene los conocimientos tcnicos y operativos para su desarrollo, la
empresa cuenta con la infraestructura necesaria para facilitar la implementacin
de las soluciones que se plantean y existe la disposicin de los administradores de
red.
Existe viabilidad econmica ya que no se requiere la adquisicin de nuevos
equipos, esto gracias a que el protocolo SNMP se puede configurar en todas las
computadoras dentro de la red LAN, lo que da un amplio nmero de dispositivos
que se pueden monitorizar.
Con la realizacin de los objetivos especficos en su conjunto logran cumplir con el
objetivo general y cada uno de ellos no presenta inconvenientes para su
desarrollo.

III.

MARCO TERICO

Redes LAN
EL proyecto se llevar a cabo aprovechando la red LAN empresarial que existe
actualmente, ya que en esta se encuentran la mayora de los dispositivos que
sern monitoreados.
La red empresarial es plana es decir todos los dispositivos se encuentran en el
mismo nivel.
Las redes de rea local, generalmente llamadas LAN (Local Area Networks),
son redes de propiedad privada que operan dentro de un solo edificio, como una
casa, oficina o fbrica. Las redes LAN se utilizan ampliamente para conectar
computadoras personales y electrodomsticos con el fin de compartir recursos
(por ejemplo, impresoras) e intercambiar informacin. Cuando las empresas
utilizan redes LAN se les conoce como redes empresariales. [1]
Las redes LAN son muy populares en la actualidad, en especial en los hogares,
los edificios de oficinas antiguos, las cafeteras y dems sitios en donde es muy
problemtico instalar cables. En estos sistemas, cada computadora tiene un
mdem y una antena que utiliza para comunicarse con otras computadoras. En la
mayora de los casos, cada computadora se comunica con un dispositivo en el
techo, como se muestra en la ilustracin 4(a). A este dispositivo se le denomina AP
(Punto de Acceso, del ingls Access Point), enrutador inalmbrico estacin base;
transmite paquetes entre las computadoras inalmbricas y tambin entre stas e
Internet. El AP es como el nio popular de la escuela, ya que todos quieren hablar
con l. Pero si hay otras computadoras que estn lo bastante cerca una de otra,
se pueden comunicar di-rectamente entre s en una configuracin de igual a igual.
Hay un estndar para las redes LAN inalmbricas llamado IEEE 802.11, mejor
conocido como WiFi.

En la ilustracin 4 se muestra un esquema de una red LAN inalmbrica (a) y una


almbrica (b).

Ilustracin 1 Esquemas de redes LAN

Las redes LAN almbricas utilizan distintas tecnologas de transmisin. La mayora


utilizan cables de cobre, pero algunas usan fibra ptica. Las redes LAN tienen
restricciones en cuanto a su tamao, lo cual significa que el tiempo de transmisin
en el peor de los casos es limitado y se sabe de antemano. Conocer estos lmites
facilita la tarea del diseo de los protocolos de red. Por lo general las redes LAN
almbricas que operan a velocidades que van de los 100 Mbps hasta un 1 Gbps,
tienen retardo bajo (microsegundos o nanosegundos) y cometen muy pocos
errores. Las redes LAN ms recientes pueden operar a una velocidad de hasta 10
Gbps. En comparacin con las redes inalmbricas, las redes LAN almbricas son
mucho mejores en cuanto al rendimiento, ya que es ms fcil enviar seales a
travs de un cable o fibra que por el aire.
La topologa de muchas redes LAN almbricas est basada en los enlaces de
punto a punto. El estndar IEEE 802.3, comnmente conocido como Ethernet, es
hasta ahora el tipo ms comn de LAN almbrica. La ilustracin 4(b) muestra un
ejemplo de topologa de Ethernet conmutada. Cada computadora se comunica
mediante el protocolo Ethernet y se conecta a una caja conocida como switch con
un enlace de punto a punto. De aqu que tenga ese nombre. Un switch tiene varios
puertos, cada uno de los cuales se puede conectar a una computadora. El trabajo
del switch es transmitir paquetes entre las computadoras conectadas a l, y utiliza
la direccin en cada paquete para determinar a qu computadora se lo
debe enviar. Para crear redes LAN ms grandes se pueden conectar switches
entre s mediante sus puertos. Qu ocurre si los conectamos en un circuito
cerrado? Podr funcionar la red as? Por fortuna, los diseadores consideraron
este caso.

Es responsabilidad del protocolo determinar qu rutas deben recorrer los paquetes


para llegar de manera segura a la computadora de destino. Tambin es posible
dividir una gran LAN fsica en dos redes LAN lgicas ms pequeas. Tal vez se
pregunte por qu sera esto til. En ocasiones la distribucin del equipo de red no
coincide con la estructura de la organizacin.
Por ejemplo, los departamentos de ingeniera y fianzas de una empresa podran
tener computadoras en la misma LAN fsica debido a que se encuentran en la
misma ala del edificio, pero podra ser ms sencillo administrar el sistema si cada
departamento tuviera su propia red lgica, denominada LAN virtual o VLAN. En
este diseo cada puerto se identifica con un color; por ejemplo, verde para
ingeniera y rojo para fianzas. Despus el switch reenva los paquetes de manera
que las computadoras conectadas a los puertos verdes estn separadas de las
que estn conectadas a los puertos rojos. Por ejemplo, los paquetes de difusin
que se enven por un puerto rojo no se recibirn en un puerto verde, tal como si
hubiera dos redes LAN distintas.
Tambin existen otras topologas de LAN almbrica. De hecho, la Ethernet
conmutada es una versin moderna del diseo original de Ethernet en el que se
difundan todos los paquetes a travs de un solo cable lineal. Slo una mquina
poda transmitir con xito en un instante dado, y se utilizaba un mecanismo de
arbitraje distribuido para resolver los conflictos. Utilizaba un algoritmo simple: las
computadoras podan transmitir siempre que el cable estuviera inactivo. Si ocurra
una colisin entre dos o ms paquetes, cada computadora esperaba un tiempo
aleatorio y volva a intentar.
Las redes inalmbricas y las almbricas se pueden dividir en diseos estticos y
dinmicos, dependiendo de la forma en que se asigna el canal. Una asignacin
esttica tpica sera dividir el tiempo en intervalos discretos y utilizar un algoritmo
por turno rotatorio (round-robin), para que cada mquina pueda difundir los datos
slo cuando sea su turno de usar su intervalo. La asignacin esttica desperdicia
la capacidad del canal cuando una mquina no tiene nada que decir durante su
intervalo asignado, por lo que la mayora de los sistemas tratan de asignar el canal
en forma dinmica (es decir, bajo demanda).
Los mtodos de asignacin dinmica para un canal comn pueden ser
centralizados o descentralizados. En el mtodo de asignacin de canal
centralizado hay una sola entidad (por ejemplo, la estacin base en las redes
celulares) que determina el turno de cada quien. Para ello podra aceptar varios
paquetes y asignarles prioridades de acuerdo con algn algoritmo interno. En el
mtodo de asignacin de canal descentralizado no hay una entidad central; cada
10

mquina debe decidir por su cuenta si va a transmitir o no. Tal vez usted piense
que esta metodologa provoca un caos, pero no es as.
SNMP
El protocolo simple de administracin de red, sirve para administrar dispositivos en
la red, normalmente es usado para ver la actividad de servidores que tienen cierta
importancia en la red as como dispositivos de red switches, routers, impresoras y
APs.
Se pueden saber muchas cosas sobres los dispositivos por medio de SNMP, como
la carga del procesador, la memoria RAM utilizada, el estado de servicios
implementados en un servidor como apache, IIS o mysql, el trfico que pasa por
las interfaces de red y muchas ms cosas.
The Simple Network Management Protocol (SNMP) es un protocolo de capa de
aplicacin que facilita el intercambio de informacin de administracin entre
dispositivos de red. Es parte de la Transmission Control Protocol / Internet Protocol
(TCP / IP) de la suite de protocolo. SNMP permite a los administradores de red
gestionar el rendimiento de la red, encontrar y resolver problemas de red, y el
planear el crecimiento de la red. [2]
Una red gestionada con SNMP consta de tres componentes clave: los dispositivos
administrados, los agentes y el sistema de gestin de red.
Un dispositivo gestionado es un nodo de red que contiene un agente SNMP y que
reside en una red gestionada. Los dispositivos administrados recogen y
almacenan la informacin de gestin y hacen esta informacin disponible para el
sistema de gestin de red mediante SNMP. Los dispositivos administrados, a
veces llamados elementos de la red, pueden ser routers, servidores, switches,
puentes, hubs, ordenadores o impresoras.
Un agente es un mdulo del software de gestin de red que reside en el
dispositivo gestionado. Un agente tiene conocimiento local de la informacin de
gestin y traduce esa informacin en una forma compatible con SNMP.
El sistema de gestin de red ejecuta aplicaciones que supervisan y controlan los
dispositivos administrados. El sistema de gestin de red proporcionan la mayor
parte de los recursos de procesamiento y memoria requeridos para la gestin de la
red. Deben existir uno o varios sistemas de gestin de red en cualquier red
administrada.
11

Una red SNMP monitoreada consta de dispositivos gestionados, Agentes y NMS.


En la ilustracin 5 se muestra un esquema de red monitorizada con SNMP.

Ilustracin 2 Red monitorizada con SNMP

SNMP MIB (Management Information Base)


Una Base de informacin de administracin (MIB) es una coleccin de informacin
que se organiza jerrquicamente. Se accede a los MIBs mediante un protocolo de
gestin de red como SNMP. Estos se componen de objetos gestionados y se
identifican por los identificadores de objeto.
Un objeto administrado (a veces llamado un objeto MIB, un objeto o una MIB) es
uno de cualquier nmero de caractersticas especficas de un dispositivo
gestionado. Los objetos gestionados se componen de uno o ms instancias de
objetos, que son esencialmente variables.
Existen dos tipos de objetos administrados: escalares y de tabla. Objetos
escalares definen una nica instancia de objeto. Objetos tabulares definen
mltiples instancias de objetos relacionados que se agrupan en tablas MIB.
Un ejemplo de un objeto gestionado es atInput, que es un objeto escalar que
contiene una nica instancia de objeto, el valor entero que indica el nmero total
de paquetes de AppleTalk de entrada en una interfaz de router.
12

Un identificador de objeto (o ID de objeto) identifica de forma exclusiva un objeto


administrado en la jerarqua MIB. La jerarqua MIB se puede representar como un
rbol con una raz sin nombre, los niveles de los cuales son asignados por
diferentes organizaciones.
Los ID de objeto MIB de nivel superior pertenecen a diferentes organizaciones de
estndares, mientras que los ID de objeto de nivel inferior son asignados por las
organizaciones asociadas.
Los vendedores pueden definir ramas privadas que incluyen objetos administrados
para sus propios productos. Los MIBs que no han sido estandarizados
normalmente se colocan en la rama experimental.
El objeto gestionado atInput puede ser identificada ya sea por el objeto nombreiso.identified-organization.dod.internet.private.enterprise.cisco.temporary
variables.AppleTalk.atInput- o por el descriptor de objeto equivalente, 1.3.6.1.4.1.
9.3.3.1.

13

En la ilustracin 6 se muestra el rbol MIB, Ilustra las diversas jerarquas


asignados por diferentes organizaciones.

Ilustracin 3 rbol MIB

Diferentes versiones de SNMP


Existen tres versiones del protocolo SNMP cada una presenta mejoras a la
anterior, actualmente la ms usada es la versin 2 por la compatibilidad y las
mejoras que ofrece respecto a su versin anterior, las diferencias que existen
entre una y otra versin seran las siguientes.
SNMP versin 1: la versin ms antigua. Fcil de instalar - slo requiere una
comunidad de texto plano. Los mayores inconvenientes son que no admite
contadores de 64 bit, slo contadores de 32 bits, y tiene poca seguridad. Una
cadena de comunidad enviada en texto plano, posiblemente a partir de un rango
14

limitado de direcciones IP permitidas, es tan buena como la seguridad que brinda.


En otras palabras, no hay seguridad para alguien con acceso a la red - tal persona
ser capaz de ver la cadena de comunidad en texto plano, y podra hacer spoofing
en un paquete UDP IP fcilmente. (Por otra parte, si el dispositivo est configurado
para slo permitir acceso SNMP de slo lectura - el riesgo es bastante pequeo y
confinado a la gente mala con acceso a la red. Si usted tiene gente mala con este
acceso, SNMP probablemente no es de lo que tiene que preocuparse.) [3]
SNMP versin 2c: en trminos prcticos, v2c es idntica a la versin 1, excepto
que aade soporte para contadores de 64 bits. Esto es importante, especialmente
para las interfaces. Incluso una interfaz de 1Gbps puede abarcar un contador de
32 bits en 34 segundos. La mayora de los dispositivos son compatibles con
SNMP V2c hoy en da, y por lo general lo hacen automticamente. Hay algunos
dispositivos que requieren que active explcitamente v2c - en cuyo caso, siempre
debe hacerlo. No hay ningn inconveniente.
SNMP versin 3: aade seguridad a los contadores de 64 bits. SNMP versin 3
agrega el cifrado y la autenticacin, que se puede utilizar juntos o por separado.
La configuracin es ms compleja que simplemente definir una comunidad.
NMS (Network Management Systems, Sistemas de gestin de red)
Un sistema de gestin de red ofrece un conjunto de herramientas para realizar el
monitoreo de red, los hay de varios tipos y ofrecen diferentes opciones, algunos
son ms fciles de configurar que otros e inclusive los hay de pago, entre los ms
usados se encuentran los siguientes:
Pandora FMS
Pandora FMS es un software de monitorizacin para gestin de infraestructura TI.
Esto incluye equipamiento de red, servidores Windows y Unix, infraestructura
vitalizada y todo tipo de aplicaciones. Pandora FMS tiene multitud de
funcionalidades, lo cual lo convierte en un software de nueva generacin que
cubre todos los aspectos de monitorizacin necesarios para su organizacin. [4]
Zabbix
Zabbix es un software de nivel empresarial diseado para monitorear la mxima
disponibilidad y rendimiento de los componentes de la infraestructura de TI. Zabbix
es de cdigo abierto y no tiene costo alguno. [5]
15

Con Zabbix es virtualmente posible reunir datos ilimitados de la red. Monitoreo en


tiempo real de alto rendimiento significa que decenas de miles de servidores,
mquinas virtuales y dispositivos de red pueden ser monitoreados
simultneamente. Junto con el almacenamiento de los datos, caractersticas de
visualizacin estn disponibles (descripciones, mapas, grficos, pantallas, etc.),
as como maneras muy flexibles de anlisis de los datos con el fin de alertar.
Zabbix ofrece un gran rendimiento para la recopilacin de datos y se puede
escalar a ambientes muy grandes. Opciones de monitorizacin distribuidos estn
disponibles con el uso de proxies Zabbix. Zabbix viene con una interfaz basada en
la web, autenticacin de usuario segura y un esquema de permisos de usuario
flexible. Se admite sondeo y la captura, con agentes de alto rendimiento nativo
reuniendo datos de prcticamente cualquier sistema operativo popular; mtodos
de monitoreo en agentes estn disponibles tambin.
Monitoreo Web, as como la supervisin de las mquinas virtuales de VMware es
posible con Zabbix. Zabbix puede descubrir automticamente los servidores y
dispositivos de red, as como realizar el descubrimiento de bajo nivel con los
mtodos de asignacin automtica de controles de rendimiento y disponibilidad a
las entidades descubiertas.
Nagios
Nagios es un potente sistema de monitoreo que permite a las organizaciones
identificar y resolver los problemas de infraestructura de TI antes de que afecten
los procesos crticos del negocio. [6]
Lanzado por primera vez en 1999, Nagios ha crecido hasta incluir a miles de
proyectos desarrollados por la comunidad Nagios en todo el mundo. Nagios es
patrocinado oficialmente por Nagios Enterprises, que apoya a la comunidad en un
nmero de diferentes formas a travs de las ventas de sus productos y servicios
comerciales.
Nagios controla toda su infraestructura de TI para asegurar que los sistemas,
aplicaciones, servicios y procesos de negocio estn funcionando correctamente.
En el caso de una falla, Nagios puede alertar al personal tcnico del problema, lo
que les permite comenzar los procesos de remediacin antes de que los cortes
afecten a los procesos del negocio, usuarios finales o clientes. Con Nagios que
nunca tendrn que tener que explicar por qu un corte en la infraestructura
invisible afectaba la rentabilidad de su organizacin.
Cacti
16

Cacti ofrece un gran desempeo y una gran cantidad de informacin de forma


sencilla, su utilizacin es bastante ms fcil y practica que la mayora de los otros
sistemas de gestin de red, cuenta con muchos plugins que complementan el
monitoreo de dispositivos y son muy fciles de instalar. De igual forma hay una
gran comunidad que desarrolla nuevos plugins y ayuda con los problemas que se
pueden presentar en su implementacin.
Cacti es una solucin grfica completa de red diseada para aprovechar el poder
de almacenamiento de datos y funcionalidad grfica de RRDtool. Cacti ofrece un
sondeo rpido y avanzado de plantillas grficas, mltiples mtodos de adquisicin
de datos y gestin de usuarios de manera inmediata. Todo esto est envuelto en
una interfaz intuitiva y fcil de usar, funcional para redes tipo LAN as como para
redes complejas con cientos de dispositivos. [7]
RRDtool
RRDtool es el estndar de la industria OpenSource, registro de datos de alto
rendimiento y un sistema de grficos de datos de series de tiempo. RRDtool se
puede integrar fcilmente en los scripts de shell, Perl, Python, Ruby, lua o
aplicaciones tcl. [8]
Firewall
Dentro de una red LAN la seguridad es de suma importancia, aparte de que cada
computadora debe contar con su respectivo antivirus actualizado, los dispositivos
de red (switches, routers, firewalls) deben tener una configuracin que contribuya
a la seguridad de la red LAN, con una segmentacin efectiva de la red y polticas
de seguridad para cada segmento.
El firewall, en castellano muro de fuego, es un sistema que es utilizado para
proteger una computadora en particular o bien una red. Normalmente su objetivo
es evitar el ingreso de agentes externos, no autorizados o informacin. [9]
Existen distintos tipos de firewalls, que pueden ser clasificados de diversas
maneras en:
Firewalls en Hardware o Software:
1. Hardware: este tipo de sistema es colocado sobre los dispositivos usados
para ingresar a Internet, los llamados routers. Frecuentemente la
instalacin ya se encuentra realizada cuando compramos el router. En caso
contrario es muy recomendable realizar la instalacin. La colocacin del
17

firewall en este caso es muy compleja, es hecha gracias a un navegador


que tiene acceso a Internet.
2. Software: pueden ser distinguidos dos tipos de estos firewalls, el primero es
el gratuito: tambin conocido bajo el nombre de software firewall, que puede
ser usado con total libertad y de manera totalmente gratuita como su
nombre indica. Su objetivo es rastrear y no permitir acceso a ciertos datos a
las computadoras personales. Hoy en da la mayora de las PC ya tienen el
firewall colocado. Este sistema es caracterizado por su fcil instalacin, al
que pueden ser sumados otros sistemas para asegurar la computadora,
cuando deja de funcionar, es la misma PC quien se encarga de avisarlo, no
es requerido un sistema de Hardware para colocarlo y generalmente son
utilizados en una sola computadora.
Por otro lado se encuentran los comerciales. Estos sistemas de software poseen
el mismo funcionamiento que el anterior. Adems se les suma mayores niveles de
control y proteccin. Muchas veces son vendidos con otros sistemas de seguridad
como antivirus, para que resulten an ms eficientes a la hora de proteger la
computadora.
Puede ser realizada otra clasificacin segn su nivel de aplicacin o de red:
1. Aplicacin: normalmente estos son utilizados con los servidores llamados
proxy. En este caso no es posible el pasaje de datos de manera directa
entre redes, ya que hay un monitoreo de los datos. Estos sistemas son
utilizados para poder traducir ciertas direcciones de la red, pero siempre
escondiendo el lugar donde se origina el trfico.
2. Red: en este caso las decisiones son tomadas dependiendo de los puertos
de los datos, la direccin de destino y de origen de la informacin. Para
ejemplificarlo esta clase de firewalls, podra ser un router, aunque el mismo
resulte un tanto obsoleto ya, porque existen firewalls que resultan ms
eficaces, sobre todo cuando es necesario tomar una decisin y tambin en
cuento a los datos. Estos resultan ser muy veloces y claros para aquella
persona que los utilicen.

El sistema operativo como administrador de recursos


El concepto de un sistema operativo cuya funcin principal es proporcionar
abstracciones a los programas de aplicacin responde a una perspectiva de arriba
18

hacia abajo. La perspectiva alterna, de abajo hacia arriba, sostiene que el sistema
operativo est presente para administrar todas las piezas de un sistema complejo.
Las computadoras modernas constan de procesadores, memorias,
temporizadores, discos, ratones, interfaces de red, impresoras y una amplia
variedad de otros dispositivos. En la perspectiva alterna, el trabajo del sistema
operativo es proporcionar una asignacin ordenada y controlada de los
procesadores, memorias y dispositivos de E/S, entre los diversos programas que
compiten por estos recursos. [10]
Los sistemas operativos modernos permiten la ejecucin simultnea de varios
programas. Imagine lo que ocurrira si tres programas que se ejecutan en cierta
computadora trataran de imprimir sus resultados en forma simultnea en la misma
impresora. Las primeras lneas de impresin podran provenir del programa 1, las
siguientes del programa 2, despus algunas del programa 3, y as en lo sucesivo:
el resultado sera un caos. El sistema operativo puede imponer orden al caos
potencial, guardando en bferes en disco toda la salida destinada para la
impresora. Cuando termina un programa, el sistema operativo puede entonces
copiar su salida, previamente almacenada, del archivo en disco a la impresora,
mientras que al mismo tiempo el otro programa puede continuar generando ms
salida, ajeno al hecho de que la salida en realidad no se est enviando a la
impresora todava.
Cuando una computadora (o red) tiene varios usuarios, la necesidad de
administrar y proteger la memoria, los dispositivos de E/S y otros recursos es cada
vez mayor; de lo contrario, los usuarios podran interferir unos con otros. Adems,
los usuarios necesitan con frecuencia compartir no slo el hardware, sino tambin
la informacin (archivos o bases de datos, por ejemplo). En resumen, esta visin
del sistema operativo sostiene que su tarea principal es llevar un registro de qu
programa est utilizando qu recursos, de otorgar las peticiones de recursos, de
contabilizar su uso y de mediar las peticiones en conflicto provenientes de distintos
programas y usuarios.
La administracin de recursos incluye el multiplexaje (compartir) de recursos en
dos formas distintas: en el tiempo y en el espacio. Cuando un recurso se
multiplexa en el tiempo, los distintos programas o usuarios toman turnos para
utilizarlo: uno de ellos obtiene acceso al recurso, despus otro, y as en lo
sucesivo. Por ejemplo, con slo una CPU y varios programas que desean
ejecutarse en ella, el sistema operativo primero asigna la CPU a un programa y
luego, una vez que se ha ejecutado por el tiempo suficiente, otro programa obtiene
acceso a la CPU, despus otro, y en un momento dado el primer programa vuelve
a obtener acceso al recurso. La tarea de determinar cmo se multiplexa el recurso
19

en el tiempo (quin sigue y durante cunto tiempo) es responsabilidad del sistema


operativo. Otro ejemplo de multiplexaje en el tiempo es la comparticin de la
impresora. Cuando hay varios trabajos en una cola de impresin, para imprimirlos
en una sola impresora, se debe tomar una decisin en cuanto a cul trabajo debe
imprimirse a continuacin.
El otro tipo de multiplexaje es en el espacio. En vez de que los clientes tomen
turnos, cada uno obtiene una parte del recurso. Por ejemplo, normalmente la
memoria principal se divide entre varios programas en ejecucin para que cada
uno pueda estar residente al mismo tiempo (por ejemplo, para poder tomar turnos
al utilizar la CPU). Suponiendo que hay suficiente memoria como para contener
varios programas, es ms eficiente contener varios programas en memoria a la
vez, en vez de proporcionar a un solo programa toda la memoria, en especial si
slo necesita una pequea fraccin. Desde luego que esto genera problemas de
equidad y proteccin, por ejemplo, y corresponde al sistema operativo resolverlos.
Otro recurso que se multiplexa en espacio es el disco duro. En muchos sistemas,
un solo disco puede contener archivos de muchos usuarios al mismo tiempo.
Asignar espacio en disco y llevar el registro de quin est utilizando cules
bloques de disco es una tarea tpica de administracin de recursos comn del
sistema operativo.

20

Servidores
Qu son los servidores?
Un servidor puede encontrarse en un tpico local que ofrece el uso de
computadoras a sus clientes. La mquina que tiene el cajero da un servicio; es un
servidor, encargado de habilitar o deshabilitar una PC para que pueda ser usada
para navegar o jugar. Si deja de funcionar, el negocio no factura, y ninguna de las
mquinas cliente podra ser utilizada. Los servidores son equipos informticos que
brindan un servicio en la red. Dan informacin a otros servidores y a los usuarios.
Son equipos de mayores prestaciones y dimensiones que una PC de escritorio.
Una computadora comn tiene un solo procesador, a veces de varios ncleos,
pero uno solo. Incluye un disco rgido para el almacenamiento de datos con una
capacidad de 250 GB a 300 GB, en tanto que la memoria RAM suele ser de 2 a 16
GB. Un servidor, en cambio, suele ser ms potente. Puede tener varios
procesadores con varios ncleos cada uno; incluye grandes cantidades de
memoria RAM, entre 16 GB a 1 TB, o ms; mientras que el espacio de
almacenamiento ya no se limita a un disco duro, sino que puede haber varios de
ellos, con capacidad del orden del TB. Debido a sus capacidades, un servidor
puede dar un solo servicio o ms de uno. [11]
Sistemas operativos para servidores
En el mundo de los sistemas operativos existe gran diversidad, debido a esta gran
variedad podemos encontrar sistemas operativos especializados para diversas
finalidades, en las diferentes versiones y distribuciones de Linux existen sistemas
especializados para usuarios con programas precargados para el consumo de
contenido multimedia y de la misma forma existen sistemas operativos que son
hechos especialmente para ser instalados en servidores por la funcionalidad que
brindan. Lo mismo sucede con Windows y sus diferentes versiones para
empresas, estudiantes y servidores.
Los sistemas operativos Linux ofrecen una gran flexibilidad a la hora de
implementar servicios, de igual forma ofrece un gran soporte tcnico gracias a la
gran comunidad que tienen los sistemas operativos Linux. Aparte de ser de uso
libre, es por esto que se eligi un sistema operativo Linux para la realizacin del
proyecto.

21

Algunos sistemas operativos especializados para servidores son:


Ubuntu Server
La plataforma lder para la computacin de escalabilidad horizontal, Ubuntu Server
ayuda a sacar el mximo provecho de su infraestructura. Tanto si desea
implementar una nube OpenStack, un cluster Hadoop o 50.000 nodos en una
granja de renderizado, Ubuntu Server ofrece el mejor rendimiento de escalado
horizontal disponible. [12]
CentOS
La distribucin CentOS Linux es una plataforma estable, predecible, manejable y
reproducible derivado de las fuentes de Red Hat Enterprise Linux (RHEL). Ahora
estamos buscando expandir mediante la creacin de los recursos necesarios por
otras comunidades para unirse y ser capaces de construir sobre la plataforma
Linux CentOS. Y hoy empezamos el proceso mediante la entrega de un modelo de
gobierno clara, aumento de la transparencia y el acceso. En las prximas
semanas nos proponemos publicar nuestra propia hoja de ruta que incluye
variantes del ncleo Linux CentOS. [13]
Desde marzo de 2004, CentOS Linux ha sido una distribucin apoyada por la
comunidad, derivado de fuentes proporcionadas libremente al pblico por Red Hat.
Como tal, CentOS Linux aspira a ser funcionalmente compatible con Red Hat
Enterprise Linux. Cambiamos principalmente paquetes para eliminar la marca del
proveedor y de ilustraciones. CentOS Linux es sin costo y libre de redistribuir.
CentOS Linux es desarrollado por un pequeo pero creciente grupo de
desarrolladores principales. A su vez los desarrolladores principales son apoyados
por una comunidad de usuarios activa incluyendo administradores de sistemas,
administradores de red, administradores, principales contribuyentes de Linux, y los
entusiastas de Linux de todo el mundo.
Durante el prximo ao, el Proyecto CentOS ampliar su misin de establecer
CentOS Linux como una plataforma lder de la comunidad para las nuevas
tecnologas de cdigo abierto procedentes de otros proyectos como OpenStack.
Estas tecnologas estarn en el centro de mltiples variaciones de CentOS, como
descargas individuales o para acceder desde un instalador personalizado.

22

Windows Server
Windows server es la familia de sistemas operativos para servidores de Microsoft.
Windows Server 2012 R2, que ocupa un lugar central en la estrategia de Microsoft
Cloud Platform, aporta la experiencia de Microsoft al dotar su infraestructura de
servicios en la nube de escala global, gracias a las nuevas caractersticas y
mejoras en virtualizacin, administracin, almacenamiento, redes, infraestructura
de escritorio virtual, proteccin de la informacin y del acceso, plataforma de
aplicaciones y web, etc. [14]
LAMP
LAMP es una plataforma de desarrollo web de cdigo abierto que utiliza Linux
como sistema operativo, Apache como servidor web, MySQL como sistema de
gestin de base de datos relacional y PHP como lenguaje de scripting orientado a
objetos. (A veces, Perl o Python se utiliza en lugar de PHP.) [15]
Debido a que la plataforma tiene cuatro capas, LAMP se refiere a veces como un
stack LAMP. Los stacks pueden ser construidos en diferentes sistemas operativos.
Desarrolladores que utilizan estas herramientas con un sistema operativo
Windows en lugar de Linux se dice que estn usando WAMP; con un sistema
Macintosh, MAMP; y con un sistema Solaris, SAMP.

23

Pruebas IPERF
Usaremos Iperf para conocer previamente el estado de la red, se usara entre un
servidor Windows de la empresa y una computadora conectada por cable a la red.
Se utiliza pc 192.168.11.39 como servidor Iperf y la pc 192.168.11.148 como
cliente Iperf.
La calidad de un enlace puede ser examinado bajo las siguientes mtricas:

Latencia (tiempo de respuesta o RTT): puede medirse usando en comando


Ping.

Jitter (variacin en la latencia): puede medirse con Iperf ejecutando una


prueba con UDP.

Perdida de datagramas: puede medirse con Iperf ejecutando una prueba


con UDP.

En la ilustracin 11 se muestra el comando iperf -s desde la mquina que


funcionara como servidor para las pruebas.

Ilustracin 4 Servidor de pruebas IPERF

En la ilustracin 12 se muestra el comando que se ejecuta desde el cliente con la


ip del servidor iperf.

24

Ilustracin 5 Cliente IPERF

Resultado
En la ilustracin 13 se puede observar que en 25.3 segundos se transfirieron 7.75
MB con un ancho de banda de 2.57 Mb/s.

Ilustracin 6 Resultado prueba IPERF

Pruebas con UDP


Se realizaron pruebas con el protocolo UDP para medir el jitter y la perdida de
paquetes.
En la ilustracin 14 se muestra el comando en el servidor iperf iperf -s -u -i 1 el
parmetro u es para definir que se utilizara UDP y el parmetro i establece el
intervalo de tiempo para los reportes de ancho de banda.
25

Ilustracin 7 Prueba IPERF UDP servidor

En la ilustracin 15 se muestra el comando que ejecutamos del lado del cliente


iperf iperf -c 192.168.11.39 -u -b 10m donde el parmetro u indica que se usara
el protocolo UDP, el parmetro b indica una conexin bidireccional y 10m son los
segundos que durara el test.

Ilustracin 8 Prueba IPERF UDP cliente

Resultados
En la ilustracion 16 se muestran el desglose de los test IPERF por cada segundo
durante 10 segundos, se muestra que un datagrama fue recibido fuera de tiempo y
que no se perdio ningun datagrama.

Ilustracin 9 Resultado IPERF UDP

26

27

Enlaces
La empresa cuenta con Cablems como proveedor de internet que provee una
conexin asncrona con una velocidad de 30 Mbps de descarga y 1 Mbps de
carga.
Speedtest:
En la ilustracin 17 se expone el resultado de la prueba de velocidad en la pgina
web SpeedTest.

Ilustracin 10 Prueba de velocidad ISP

28

Diseo lgico de la red


La empresa tiene una red LAN plana con 3 switches conectados en cascada y
aproximadamente 70 dispositivos finales en una red 192.168.11.0/24.
El firewall fortigate 100D funciona como un Gateway para la red LAN aparte
cuenta con una zona desmilitarizada que utiliza la subred 192.168.0.0/24.
En la ilustracin 18 se aprecia la red empresarial.

Ilustracin 11 Red LAN empresarial

29

Instalacin de LAMP (Linux, Apache, MySQL, PHP)


Como requisito previo para poder instalar Cacti en nuestro servidor Linux Mint,
debemos instalar primero el conjunto de servicios y aplicaciones LAMP.
Apache
La ilustracin 19 muestra la instalacin del servicio Apache2 por medio de la
consola de Linux Mint.

Ilustracin 12 Instalacin de Apache

En la ilustracin 20 podemos observar el servicio apache2 funcionando


correctamente en el navegador con nuestro servidor local localhost.

Ilustracin 13 Apache funcionando

30

PHP
En la ilustracin 21 podemos observar la instalacin de PHP por medio de la
consola de Linux Mint.

Ilustracin 14 Instalacin PHP

En la ilustracin 22 podemos ver PHP funcionando correctamente.

Ilustracin 15 PHP prueba

31

MySQL
En la ilustracin 23 podemos observar la instalacin de Mysql por medio de la
consola de Linux Mint.

Ilustracin 16 Instalacin Mysql

En la ilustracin 24 podemos observar el proceso de configuracin de contrasea


para el usuario root de mysql.

Ilustracin 17 Contrasea Mysql

32

En la ilustracin 25 se puede observar Mysql funcionando desde la consola de


Linux Mint.

Ilustracin 18 Mysql funcionando

RRDtools (Round Robin Database Tool)


En la ilustracion 26 se observa la instalacion de RRDtools por medio de la consola
de Linux Mint.

Ilustracin 19 instalacin RRDtools

33

SNMP y SNMPD (Simple Network Management Protocol)


En la ilustracin 27 se observa la intalacion de los paquetes SNMP y SNMPD
desde la consola de Linux Mint.

Ilustracin 20 Instalacin de SNMP y SNMPD

Instalacin de Cacti
En la ilustracin 28 se puede ver la instalacin de Cacti y spine un sondeador
opcional desde la consola de Linux Mint.

Ilustracin 21 Comando de instalacin Cacti

En la ilustracin 29 se elige la configuracin de la base de datos de cacti.


34

Ilustracin 22 Configuracin base de datos Cacti

En la ilustracin 30 se elige apache2 como servidor web para Cacti.

Ilustracin 23 Seleccin de servidor Web para Cacti

En la ilustracin 31 se observa la primera pgina de instalacin de Cacti en


interfaz web.
35

Ilustracin 24 Instalacin Cacti interfaz Web

En la ilustracion 32 se elige nueva instalacion para la instalacion de cacti.

Ilustracin 25 Nueva instalacin de Cacti

En la ilustracin 26 se observa que todos los directorios son correctos para la


instalacin de Cacti.

36

Ilustracin 26 Directorios Cacti

37

En la ilustracin 34 se ingresan las credenciales de inicio de sesin en Cacti.

Ilustracin 27 Primer inicio de sesin Cacti

En la ilustracion 35 se observa el cambio de contrasea por defecto de Cacti.

Ilustracin 28 Cambio de contrasea por defecto Cacti

38

En la ilustracin 36 se observa la interfaz Web de Cacti, lista para configurar y


agregar nuevos dispositivos.

Ilustracin 29 Interfaz Web Cacti

39

Instalar plugin en Cacti


Ahora mostraremos como instalar un plugin en Cacti, en este caso instalaremos el
plugin Reportit que sirve para generar reportes de las interfaces que
monitoreamos.
En la ilustracin 37 observamos el foro oficial de Cacti, el apartado de plugins.

Ilustracin 30 Descarga de plugin desde foro oficial Cacti

En la ilustracion 38 vemos el archivo descargado y la carpeta descomprimida


reportit.

Ilustracin 31 Archivo comprimido del plugin

40

En la ilustracion 39 observamos la carpeta de plugins de Cacti que se encuentra


en cacti/site/plugin. En donde pondremos la carpeta descomprimida del plugin.

Ilustracin 32 Directorio de plugins en Cacti

Ahora entraremos a la interfaz web de Cacti y nos posicionaremos en el partado


Configuration/Plugin Management, dentro de este apartado se encuentran los
plugins que tenemos en la carpeta plugins.
En la ilustracion 40 observamos el apartado Plugin Management de Cacti.

Ilustracin 33 Activacin de plugin en Cacti

41

Ahora solo nos queda Activar el plugin y veremos que se agrega una nueva
pestaa que corresponde al nuevo plugin.
En la ilustracion 41 observamos que el plugin Reportit ya esta instalado y se
anexo una pestaa con el nombre reports proveniente de este plugin que
acabamos de activar.

Ilustracin 34 Plugin reportit activado

42

Configurando agente SNMP en dispositivos a monitorizar


Equipos Windows
A continuacin se describe la manera de habilitar el servicio SNMP en sistemas
operativos Windows.
Instalacin
Primero se debe abrir la opcin Programas y caractersticas en el panel de
control de Windows.
En la ilustracion 42 se muestra el panel de control de Windows.

Ilustracin 35 Panel de control Windows

43

Dentro tendremos que dirigirnos a la opcion Activar o desactivar las


caracteristicas de Windows
En la ilustracion 43 se muestra programas y caracteristicas en Windows.

Ilustracin 36 Programas y caractersticas Windows

Se debe habilitar la opcion Proveedor SNMP de WMI.


En la ilustracion 44 se muestran las caracteristicas que se activaran en Windows.

Ilustracin 37 Caractersticas de Windows SNMP

Configuracin SNMP en Windows


44

Debemos entrar a servicios locales en Windows.


En la ilustracin 45 se muestra la bsqueda de servicios en Windows 8.

Ilustracin 38 Bsqueda Servicios

Localizamos el servicos SNMP y entramos en sus propiedades.


En la ilustracin 46 se observan los servicios activos en el equipo Windows.

Ilustracin 39 Reinicio del servicio SNMP

45

En la pestaa agente configuraremos el Contacto y la Ubicacin del equipo


dentro de la red.
En la ilustracion 47 se observan la configuracion de Contacto y Ubicacin para
el servicio snmp en windows.

Ilustracin 40 Configuracin agente SNMP Windows

En la pestaa seguridad agregaremos una comunidad nueva que sea de SOLO


LECTURA.
En la ilustracion 48 se observa la configuracion de la comunidad snmp.

Ilustracin 41 Configuracin de comunidad SNMP Windows

46

En la misma pestaa configuraremos la direccion IP del servidor Cacti.


En la ilustracion 49 se configura la direccion IP del servidor con cacti.

Ilustracin 42 Configuracin IP de servidor

Por ultimo reiniciamos el servicio SNMP y la pc esta lista para ser agregada a
Cacti para su monitoreo.
En la ilustracin 50 se muestra el reinicio del servicio SNMP.

Ilustracin 43 Reinicio de servicio SNMP Windows

47

Equipos Linux
Instalacin snmp
En Linux Ubuntu lo primero que hay que hacer es instalar el paquete snmpd.
En la ilustracin 51 podemos observar la instalacin del paquete snmpd por medio
de la consola de Linux Ubuntu.

Ilustracin 44 Instalacin SNMPD Ubuntu

Configuracin
Se editara el archivo de configuracin snmpd.conf.
En la ilustracin 52 se muestra el comando para editar el archivo de configuracin
de snmpd con el editor nano por medio de la consola de Linux Ubuntu.

Ilustracin 45 Comando para editar snmpd.conf

48

Cambiamos la directiva agentAddress, por defecto solo se pueden establecer


conexiones procedentes del equipo local, con esta modificacin permitimos todas
las conexiones.
En la ilustracin 53 se muestra la configuracin de Agent Behaviour.

Ilustracin 46 Configuracin Agent Behaviour Ubuntu Linux

En la configuracin del control de acceso de snmpd, cambiamos los valores por


defecto systemonly por all de la misma manera se cambiaron las comunidades
por defecto public a grupoDG.
En la ilustracin 54 se observa la configuracin de Access Control.

Ilustracin 47 Configuracin Access Control Ubuntu Linux

49

Se cambian los valores de System information en donde sysLocation es el lugar


en donde se encuentra el equipo y sysContact es quien usa el equipo.
En la ilustracin 55 se cambian los valores de System infotmation.

Ilustracin 48 Configuracin de Agente SNMP Ubuntu Linux

Por ultimo se tiene que reiniciar el servicio snmpd para que los cambios surjan
efecto.
En la ilustracion 56 podemos observar como se reinicia el servicio snmpd desde la
consola de Linux Ubuntu.

Ilustracin 49 Reinicio de servicio SNMPD Ubuntu Linux

50

Activar SNMP en versiones antiguas de Linux sin soporte


Para activar SNMP en versiones sin soporte de Linux tendremos que actualizar los
repositorios, para esto editamos el archivo sources.list que se encuentra en el
directorio /etc/apt/sources.list y agregar las siguientes lneas con la versin de
Ubuntu que tengamos en este caso es la versin jaunty.
En la ilustracin 57 se muestran las lneas que debemos agregar al archivo
Sources.list.

Ilustracin 50 Nuevos repositorios

Lo que haremos para automatizar el proceso es crear una carpeta que contendr
el archivo Sources.list ya editado y un script que ejecute todos los comandos
necesarios para actualizar el repositorio e instalar SNMP. Este script tambin
cambia archivos de configuracin de SNMP una vez ya instalado para ahorrar
tiempo.
En la ilustracin 58 se muestra el script para correr en la consola de Ubuntu Linux.

Ilustracin 51 Script para actualizar los repositorios e instalar SNMPD

51

Ahora slo tenemos que ejecutarlo en Ubuntu, navegamos con la terminal hasta la
ubicacin del archivo y lo ejecutamos de la siguiente forma.
En la ilustracin 59 vemos el comando para ejecutar el script en la consola de
Ubuntu Linux.

Ilustracin 52 Comando de ejecucin de script

Activando SNMP en Fortigate 100D


La monitorizacin del firewall fortigate es muy importante, este cuenta con tres
interfaces de red que son relevantes para el anlisis de trfico, como la interaz
Internal que es la puerta de enlace predeterminada en la red LAN.
Lo primero que hay que hacer para configurar SNMP en Fortigate, es editar la
interfaz por la que nos conectaremos, en este caso sera la interfaz de la red
interna. Nos dirigimos a Sistemas/Red/Interfaces y seleccionamos la interfaz.
En la ilustracin 60 vemos las interfaces del firewall Fortigate 100D.

52

Ilustracin 53 Interfaces Fortigate 100D

Dentro de la interfaz hay que habilitar la opcin SNMP y guardas los cambios.
En la ilustracin 61 observamos la configuracin de comunidad SNMP.

Ilustracin 54 Configuracin de interfaz Fortigate 100D

Ahora hay que configurar el servicio SNMP, nos


Sistema/Configuracin/SNMP y configuraremos el agente SNMP.

dirigimos

En la ilustracin 62 se observa la configuracin del agente SNMP en el Fortigate


100D.

53

Ilustracin 55 Configuracin agente SNMP Fortigate 100D

Para crear una nueva comunidad ubicamos el botn Crear Nuevo en esta
ocasin configuraremos SNMP versin 2. Configuramos el nombre de la
comunidad y la IP del servidor Cacti y la interfaz de donde se acceder en este
caso es la interna.
En la ilustracin 63 podemos observar la configuracin de una nueva comunidad
SNMP.

Ilustracin 56 Configuracin de comunidad SNMP

54

En la ilustracion 64 vemos la configuracion del Fortigate en Cacti.

Ilustracin 57 Configuracin de Fortigate 100D en Cacti.

En la ilustracion 65 vemos las graficas de las 3 interfaces activas del Fortigate


100D.

Ilustracin 58 Graficas de las interfaces de red Fortigate 100D

55

Agregar dispositivos a Cacti


Una vez habiendo activado y configurado el cliente SNMP en los dispositivos a
monitorear, ya podemos agregarlos a Cacti.
Para agregar dispositivos a Cacti debemos seguir estos pasos:
Para agregar un nuevo dispositivo a monitorear en cacti nos dirigimos al apartado
de Devices y luego presionamos en Add.
En la ilustracin 66 vemos la tabla de dispositivos agregados.

Ilustracin 59 Apartado Devices Cacti

En la nueva ventana realizaremos las configuraciones para el nuevo host


agregado con la direccin IP, el template elegido, la versin de SNMP 2 y la
comunidad.
En la ilustracin 67 se muestran las configuraciones del nuevo dispositivo.

Ilustracin 60 Configuracin de nuevo dispositivo Cacti

56

En la ilustracin 68 podemos ver que fue un xito la adicin de un nuevo


dispositivo a cacti.

Ilustracin 61 Configuracin de dispositivo exitosa Cacti

En la ilustracin 69 podemos observar todos los dispositivos anexados a cacti.

Ilustracin 62 Dispositivos en Cacti

57

Creando graficas de trfico en Cacti


Para crear graficas de un dispositivo hay que seleccionarlo en el apartado
Devices y seguir los siguientes pasos.
Debemos entrar al dispositivo o bien despus de agregarlo presionar en Create
Graphs for this host.
En la ilustracin 70 vemos las opciones del dispositivo seleccionado.

Ilustracin 63 Opcin Crate graphs for this host Cacti

Debemos seleccionar la interfaz de la queremos crear una grfica.


En la ilustracin 71 interfaces disponibles en una PC.

Ilustracin 64 Interfaces de dispositivo Cacti

58

En la ilustracin 72 podemos ver que la creacin de la nueva grafica basada en la


interfaz de red fue exitosa.

Ilustracin 65 Grafica de interfaz creada con xito

59

Creando grupos o arboles de dispositivos en Cacti


Para ordenar los dispositivos que acabamos de agregar en grupos podemos crear
un arbol por cada departamento de la suguiente forma:
Para crear un nuevo arbol en Cacti debemos acceder al apartado Graph Trees y
precionar Add.
En la ilustracion 73 vemos el apartado Graph Trees.

Ilustracin 66 rbol de graficas

Le damos un nombre al nuevo arbol y damos clic en Create.


En la ilustracion 74 observamos la configuracion de un nuevo arbol en Cacti.

Ilustracin 67 Creacin de nuevo rbol

60

En la ilustracion 75 vemos los arboles creados.

Ilustracin 68 Arboles creados en Cacti

Agregar dispositivos a un rbol en Cacti


En la ilustracin 76 vemos que para agregar dispositivos a un rbol en cacti,
debemos ir al apartado Devices y seleccionar los dispositivos que queremos
agregar.

Ilustracin 69 Seleccin de dispositivos Cacti

61

En la ilustracin 77 podemos ver que al final de la lista de dispositivos podemos


elegir una accin para agregar los dispositivos a un rbol que creamos.

Ilustracin 70 Seleccin de arbol para dispositivos Cacti

En el apartado graphs podemos ver los grupos o arboles que hemos configurado y
las gricas de trfico de red entrante y saliente de los dispositivos que se
monitorizan.
En la ilustracion 78 vemos los grupos en Cacti con los dipositivos que hay dentro.

Ilustracin 71 Arboles Cacti

62

Configuracion de Politicas Fortigate


Para reducir el trafico y mejorar la seguridad en la red LAN de la empresa se
emplearan politicas de seguridad con la creacion de dos grupos nuevos en el
Firewall Fortigate 100D.
Politica restringida
Esta poltica servir para trabajadores que necesiten acceso a internet controlado
y bsico como los contadores, taller, refacciones y secretarias, este grupo tendr
las siguientes caracteristicas:

El trfico tendr la interfaz interna como la interfaz entrante.

El grupo Restringido como direccion de origen.

La interfaz saliente sera el dmz.

Se bloquearn todas las pginas que puedan representar un gran consumo


de ancho de banda as como las que contengan contenido inapropiado.

Los perfiles de seguridad que se usaran en la poltica son:

AntiVirus.

Filtro Web

Control de aplicaciones.

Para la realizacion de la poltica de Restringidos primero debemos crear el grupo


de la siguiente forma.
Nos dirigimos a Objetos de Firewall/Direccin/Direccin y precionamos el boton
crear nuevo.
En la ilustracion 79 vemos el apartado de direccion en Fortigate 100D.

63

Ilustracin 72 Direcciones Fortigate 100D

64

Aqui configuraremos una nueva direccion IP, repetiremos el proceso para todas las
pc de la red.
En la ilustracion 80 podemos ver la configuracion de una nueva IP en el Fotigate
100D.

Ilustracin 73 Configuracin de IP nueva Fortigate 100D

En la ilustracion 81 podemos apreciar las direcciones IPs configuradas en el


Fortigate 100D.

Ilustracin 74 IPs agregadas al Fortigate 100D

Ahora crearemos un nuevo grupo, nos dirigimos a Objetos


Firewall/Direccin/Grupo, ubicamos el botn crear nuevo y lo seleccionamos.

de

En la ilustracion 82 se onbserva el apartado Grupos en el Fortigate 100D.

Ilustracin 75 Grupos Fortigate 100D

65

En la ilustracin 83 vemos como se aaden las direcciones de los host que


queremos que tengan un acceso restringido a internet en un nuevo grupo.

Ilustracin 76 Nuevo grupo de direcciones IP Fortigate 100D

Ahora crearemos los perfiles de Antivirus, Filtro web y control de aplicaciones para
la poltica Restringido. Nos dirigimos a perfiles de seguridad/Antivirus/perfil
presionamos el botn Crear nuevo el perfil nuevo se llamara
red_externa_sMsn.
En la ilustracin 84 se muestra la creacin de un nuevo perfil de antivirus en el
Fortigate 100D.

Ilustracin 77 Perfil de antivirus Fortigate 100D

66

Ahora nos dirigimos a Filtro Web/Perfil y creamos un nuevo perfil, habilitaremos la


casilla Categoras de FortiGuard y las seleccionamos todas. De esta manera
bloqueamos sitios que representan un consumo alto de ancho de banda, as como
sitios posiblemente peligrosos o con contenido inapropiado.
La ilustracin 85 muestra el nuevo perfil de filtro web para la poltica de restringido.

Ilustracin 78 Perfil de filtro web Fortigate 100D

El ultimo perfil que crearemos para nuestra poltica de Restringido ser de


aplicaciones, nos dirigimos a Control de aplicaciones/Sensor de aplicaciones.
Dentro configuraremos un nuevo perfil dando clic en Crear nuevo.
En la ilustracin 86 vemos las polticas de control de aplicaciones existentes.

Ilustracin 79 Control de aplicaciones Fortigate 100D

67

Creamos un nuevo perfil con el nombre red_externa_sMsn


En la ilustracin 87 observamos la configuracin de un nuevo perfil de control de
aplicaciones.

Ilustracin 80 Creacin de nuevo perfil de control de aplicaciones Fortigate 100D

Por defecto tenemos dos filtros uno para todas las aplicaciones conocidas y una
para todas las aplicaciones desconocidas, para crear un nuevo filtro damos clic en
Create new.
En la ilustracin 88 se expone el nuevo perfil de control de aplicaciones creado.

Ilustracin 81 Nuevo perfil de aplicaciones Fortigate 100D

68

Seleccionaremos la opcin Basado en filtro y solo marcaremos el filtro


Social.Media.
En la ilustracin 89 podemos apreciar la configuracin de una nueva poltica
basada en filtro para el control de aplicaciones.

Ilustracin 82 Filtro de aplicaciones Social.media Fortigate 100D

Seleccionaremos la opcin bloquear como accin y daremos clic en ok.


En la ilustracin 90 vemos la seleccin de la accin para la nueva poltica de
control de aplicaciones.

Ilustracin 83 Accin de poltica de control de aplicaciones Fortigate 100D

69

Para crear un filtro para una sola aplicacin lo haremos de la siguiente manera.
Marcamos la opcin especificar aplicaciones y buscamos ultrasurf la
seleccionamos como accin, la bloquearemos y damos clic en ok.
En la ilustracin 91 se muestra como aadir un filtro para una sola aplicacin en
este caso ultrasurf ser la aplicacin bloqueada.

Ilustracin 84 Bloqueo de la aplicacin ultrasurf Fortigate 100D

En la ilustracin 92 se muestran las aplicaciones agregadas al perfil en el Sensor


de aplicaciones para nuestra poltica de Restringidos.

Ilustracin 85 Aplicaciones restringidas Fortigate 100D

70

Crearemos un grupo de servicios que se utilizarn en el grupo Restringidos, para


esto iremos a Objetos Firewall/Grupo dentro crearemos un nuevo grupo dando clic
en Crear nuevo el grupo se llamara prot_usuarios_sMSN y tendr los servicios
bsicos para el grupo de Restringidos.
En la ilustracin 93 podemos observar la creacin de un grupo de servicios para la
poltica de restringido.

Ilustracin 86 Grupo de servicios para poltica Restringidos

71

Finalmente para crear la poltica nueva nos dirigimos a Poltica/Poltica/Poltica y


presionamos Crear nuevo, dentro configuraremos los siguientes parmetros.
En la ilustracin 94 podemos apreciar las configuracin de la nueva poltica
Redtringido.

Ilustracin 87 Configuracin de poltica Restringido

Agregamos los perfiles que creamos previamente y guardamos.


En la ilustracin 95 vemos como se agregan los perfiles configurados previamente
a la poltica.

Ilustracin 88 Configurando perfiles a poltica Restringido

72

Creando Poltica libre


Ahora crearemos una poltica llamada libre para los jefes de rea o Terminales
que necesiten acceso libre a internet.
La poltica libre tendr las siguientes caractersticas:

Tipo de poltica es Firewall

Subtipo de poltica es Direccin

Interfaz entrante es internal

Como direccin de origen se utilizara el grupo libre

La interfaz saliente ser dmz

Podr utilizar todos los servicios y ver cualquier pgina.

Lo primero que se hizo fue configurar el grupo Libre, nos dirigimos a Objetos de
Firewall/Direccin/Grupo y damos clic en Crear nuevo.
En la ilustracin 96 vemos los grupos que se han creado hasta ahora en el
Fortigate.

Ilustracin 89 Grupos creados Fortigate 100D

73

Dentro seleccionamos las direcciones IP que tendrn acceso libre a internet.


En la ilustracin 97 observamos la creacin del nuevo grupo de IPs para la poltica
libre.

Ilustracin 90 Grupo Libre Fortigate 100D

En la ilustracin 98 se muestran los grupos creados.

Ilustracin 91 Grupo libre creado

74

En la ilustracin 99 vemos la configuracin de la poltica libre.

Ilustracin 92 Configuracin de poltica libre

Polticas creadas
En la ilustracion 100 vemos las polticas que tiene creadas el firewall entre ellas
estan las dos que creamos (Restringido y libre).

Ilustracin 93 Polticas en firewall Fortigate 100D

Ilustracin 94 Pagina web bloqueada por Fortigate 100D

75

Ancho de banda red LAN


En las pruebas realizadas con IPERF se observa un incremento considerable en el
ancho de banda y la rapidez de la red LAN.
En la ilustracion 102 se muestran los resultados de la prueba IPERF utilizando
como servidor una maquina conectada de forma alambrica. Los resultados indican
que en 10.1 segundos se tranfirieron 37 MB y el Bandwidth o ancho de banda es
de 30.8 MBits/segundo.

Ilustracin 95 Prueba IPERF servidor

En la ilustracion 103 se muestra la prueba realizada desde el cliente que es la


computadora donde se encuentra instalado el sistema Cacti.

Ilustracin 96 Prueba IPERF cliente

76

Comparacin
Al comparar los resultados ms recientes con el anlisis anterior vemos un
significativo aumento en el ancho de banda y la velocidad de la red.
En la ilustracin 104 se muestra el resultado de IPERF antes de realizar el
proyecto con un ancho de banda de 2.57 Mb/sec.

Ilustracin 97 Prueba inicial de ancho de banda

En la ilustracin 105 se muestra el resultado de IPERF despus de la aplicacin


de las polticas en el firewall Fortigate, el ancho de banda es de 30.8 Mb/sec es
una notable mejora respecto a el test anterior.

Ilustracin 98 Prueba actual de ancho de banda

77

Trafico de red
Se lograron suprimir los picos de consumo de ancho de banda a determinadas
horas del da resultado de visitas a YouTube, Facebook y otras pginas que tienen
un alto consumo de ancho de banda.
En la ilustracin 106 se exponen las grficas de Cacti sobre las interfaces de red
del Fortigate 100D.

Ilustracin 99 Trafico de red interfaces de Fortigate 100D

78

Monitorizacin de dispositivos
Con Cacti ahora se puede saber el estado de un dispositivo sin tener que verlo
fsicamente, tambin podemos saber cunto tiempo a estado encendido o
apagado y la carga de su procesador o espacio disponible en disco duro. Esto nos
da la posibilidad de solucionar problemas con una mayor rapidez y facilidad.
En la ilustracin 107 observamos el estado de los dispositivos monitorizados en
Cacti.

Ilustracin 100 Dispositivos monitorizados en Cacti

79

En la ilustracion 108 podemos observar un grafico de la monitorizacion del uso del


disco duro del servidor donde se encuentra instalado cacti.

Ilustracin 101 Grafico de uso de Disco duro Cacti

80

IV.

CONCLUSIONES.

Las redes empresariales se pueden volver sumamente complejas para ser


administradas de forma fsica y manual, conocer a que puerto est conectado
cada dispositivo es de gran importancia, el problema es que actualmente se
maneja una gran cantidad de dispositivos y en una red en crecimiento es muy
difcil para el administrador de red gestionar la red sin herramientas de apoyo que
le brinden informacin sobre la red que administra.
Como resultado de la implementacin del protocolo SNMP para la monitorizacin
de red, podemos concluir que existe una concordancia o relacin entre la
productividad de un administrador de red y las herramientas que este utiliza para
monitorizacin y administracin de dispositivos, la implementacin de un sistema
gestor de red simplifica en gran medida el monitoreo de los dispositivos, as como
los servicios y funcionalidades que ofrecen en la red.
Existen varios sistemas gestores de red con los que obtenemos resultados
bastantes similares en cuanto a la informacin que brindan, sin embargo, existe
una gran diferencia en la funcionabilidad, es decir, la manera en la que podemos
configurar el gestor y agregar nuevos dispositivos para monitorizar, hay sistemas
que son ms sencillos de utilizar que otros, tal es el caso de Cacti en donde toda
su configuracin es mediante su interfaz web.
El uso de un hardware de seguridad especializado como el Firewall Fortigate
100D, simplifica enormemente la implementacin de la seguridad en la red
creando polticas para IPs especficas de la red LAN, con esto se logra una ptima
seguridad y la asignacin de privilegios y restricciones fcil de implementar desde
la configuracin web del Fortigate.
Despus de comparar el anlisis de enlace con el software IPERF antes y
despus de dar inicio al proyecto, observamos que despus de aplicar las polticas
de restriccin y seguridad en el dispositivo fortigate, ocurri una baja significativa
en el trfico de la red LAN y un aumento en el ancho de banda y la velocidad de
trasferencia con la restriccin de acceso a sitios y servicios de internet que pueden
representar un alto consumo de ancho de banda.

81

A partir de los resultados obtenidos con el monitoreo de red se puede optar por
una actualizacin de red con una mayor segmentacin y ordenamiento de la red
empresarial, la compra de nuevos switches administrables hace posible la
implementacin de una red LAN jerrquica con switches de acceso a los que
conectar los dispositivos finales y swiches de distribucin en donde podamos
implementar las polticas de seguridad de la red.
De igual forma seria ms fcil implementar SNMP en los switches para la
monitorizacin de la interfaces de red del mismo, de este modo no tendremos que
activar el protocolo SNMP en los dispositivos finales si no que obtendramos los
datos directamente desde el switch al que estos se conecten. A excepcin claro de
los servidores de los que queramos tener informacin detallada.

82

Instalacin de Linux Mint


En la ilustracin se observa la eleccin de idioma en la instalacin de Linux Mint.

Ilustracin 102 Eleccin de idioma instalacin de Linux Mint

En la ilustracin 11 podemos apreciar que se elige un proceso de instalacin


personalizado para poder configurar las particiones en donde instalaremos Linux Mint.

Ilustracin 103 Instalacin personalizada

83

En la ilustracion 112 se exponen las particiones donde se instalara Linux Mint.

Ilustracin 104 Particiones Linux Mint

En la ilustracin 113 se muestra la seleccin de regin en la instalacin de Linux


mint.

Ilustracin 105 Seleccin de regin Linux Mint

84

En la ilustracion 114 se muestran las configuraciones de usuario.

Ilustracin 106 Configuraciones de usuario Linux Mint

En la ilustracin 115 se observa el proceso de instalacin de Linux Mint

Ilustracin 107 Instalacin Linux Mint

85