Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Switch Cisco PDF
Switch Cisco PDF
ADMINISTRACIN Y CONFIGURACIN
DE UN SWITCH CISCO A TRAVS DE
SNMP.
INDICE DE CONTENIDOS:
1. Resumen..........................................................................................................Pag 3.
2. Problema a resolver........................................................................................Pag 3
3. Introduccin al dispositivo cisco catalyst serie 2950. ................................Pag 4
1. Resumen de las caractersticas ms importantes del dispositivo para nuestra
labor..............................................................................................................Pag 4.
4. Herramientas disponibles para el desarrollo de nuestro problema...........Pag 6.
1. Opcin ios...............................................................................................Pag 7.
2. Opcin snmp............................................................................................Pag 8.
5. SNMP................................................................................................................Pa g 8
6. Resumen de las mibs disponibles en el cisco..............................................Pag 9
7. RMON................................................................................................................Pag 16
8. Areas de la administracin de la iso y nuestro problema............................Pag 22
9. Primeras configuraciones...............................................................................Pag 27
10. Ejemplo de alarma...........................................................................................Pag 29
11. Scripts.............................................................................................................. Pag 30
RESUMEN.
De todos es conocido el auge que est tomando las redes en las empresas. Tras la
necesaria aparicin de los computadores en las areas de trabajo. Esas redes representan
la vital comunicacin entre computadores y dispositivos como impresoras en una
empresa.
Cuando la red crece de forma exponencial y adems necesitas que se encuentre
disponible en todo momento y para cualquier ordenador o dispositivo, crece la necesidad
de una correcta administracin de los recursos de esa red y un control de la misma que
evite colapsos que puedan incomunicar los elementos de la red.
Existen numerosas herramientas que ayudan a la tarea del administrador de la red. Las
hay tanto de libre distribucin como de pago y nos ofrecen estadsticas del trfico,
contabilidad, seguridad, ... Donde cada herramienta estar desarrollada de una manera u
otra, realizar una serie de tareas, tendr un aspecto visual,...
En este documento partir del protocolo estrella para la gestin de redes: SNMP. No voy
a profundizar en l, ya que existe gran cantidad de documentacin respecto a este tema.
Para ello se puede recurrir a pginas como www.snmplink.org o www.net-snmp.org.
Ms especificamente usaremos SNMP como forma de configurar RMON en el switch
Cisco. Aunque la informacin aqu prestada ser facilmente transladada a otros
dispositivos intermedios que nos posibiliten el uso de SNMP y de RMON. Incluso se
puede portar esta idea a un host.
PROBLEMA A RESOLVER.
El problema es el siguiente:
DESEAMOS ADMINISTRAR UN DISPOSITIVO INTERMEDIO EN UNA RED.
Supongamos que somos administradores de una red, con una topologa concreta, ms o
menos compleja. Como paso previo deberamos conocerla y disear una estrategia para
la correcta administracin y posteriormente documentarla. La documentacin de esa red y
de las decisiones que tomemos deberan ser documentadas para los posteriores
encargados.
Alejandro Gascn Gonzlez
Tomar el switch Cisco como centro de mi red, como decisicin respecto a m red. Para
ello deber conocer que posibilidades me ofrece, cuales son las herramientas que me
ofrece para realizar mi tarea. Ya que un conocimiento exhaustivo del mismo podra ser de
gran utilidad para desarrollar mi pretendida estratega.
Como primera tarea consultar como es mi dispositivo, que me ofrece, de que consta, ...
Como primera opcin ser documentarme a travs de la pgina que ofrece Cisco systems, donde
adems tenemos un catlogo extenso de otros dispositivos disponibles. Evidentemente lo ms
sencillo es tomar el manual del dispositivo, pero en mi caso no dispongo de l.
http://www.cisco.com/en/US/products/hw/switches/ps628/products_data_sheet09186a00801cfb71.html
http://www.cisco.com/en/US/products/hw/switches/ps628/products_data_sheet09186a00801cfb64.html
Ambas pginas ofrecen informacin muy detallada de nuestro dispositivo en concreto. Y para dudas
concretas sobre la disponibilidad o no de algn servicio recomiendo la consulta a las mismas.
Para comenzar, destacar y subrayar que este tipo de dispositivo de gama alta, su hardware es
similar a la arquitectura que podriamos ver en un computador.
Las interfaces, en nuestro caso son 24 para la conexin a dispositivos de red y una 25
para la conexin al Cisco para labores de configuracin. Aunque en otro plano, destacar
que existe una interfaz virtual, la 26. Esa interfaz es puramente software y como veremos
ms adelante, nos va a ser muy til.
Para la correcta y eficiente utilizacin de este hardware, adems de ayudar a las tareas
tpicas de un switch o de un routes. Cisco nos provee de un sistema operativo propio, el
IOS (Internetworking operating system). Ese sistema operativo est almacenado en la
memoria flsh y est compuesto de un fichero que comprende el cdigo de todas las
funciones disponibles.
Cada dispositivo dispone de dos ficheros de configuracin, uno de ellos est compuesto
por el estado actual de la configuracin y se llama RUNNING-CONFIG. El otro fichero
incluye la informacin utilizada en el arranque, se trata del STARTUP-CONFIG. Otro
punto que ofrece el Cisco es una serie de comandos englobados en el intrpretes de
comandos o CLI (command line interface).
Hay numerosas maneras para la comunicacin con el Cisco, para conocerlas voy a hacer
un pequeo resumen de todas:
1. Tenemos la opcin de comunicarnos fsicamente a travs de la interfaz 25 o
CONSOLE, del Cisco. Normalmente en el Cisco, fisicamente es una RJ45 y ese
cable en el extremo host es un cable serie. Con esta opcin podemos, tras
autentificarnos usar los comandos disponibles del CLI y configurar a nuestro
Alejandro Gascn Gonzlez
IMPORTANTE: Para los que no se han percatado an de un problema que puede surgir,
estamos hablando de un dispositivo a nivel de enlace (consulta la pila de protocolos de
TCP/IP). Por tanto como es posible tener una direccin IP que es de un nivel superior.
Bueno, sencillo, cuando el dispositivo est sin configurar, la nica manera de poder
acceder al switch es a travs del puerto CONSOLE. De esta manera podremos configurar
una IP al dispositivo. Aunque seguimos en las mismas, cmo podemos dar una IP en
nivel de enlace?. Bueno, recordar que he hablado que la interfaz 26 es software, y en esa
interfaz si est implementada la pila de protocolos. Por lo tanto, si queremos que nuestro
switch no sea transparente y asignarle una IP, la asiginaremos a travs del puerto 26.
Otro punto del que he hablado es la autentificacin. Qu nos proporciona IOS? Bueno
decir que en el IOS existen 15 niveles de autentificacin. Cada uno de esos niveles tiene
una serie de comando que puede ejecutar. Por tanto, de esta manera, si nos
autentificamos con una clave de nivel 15 tendremos acceso al repertorio de comandos.
(Aunque no es tan sencillo).
Como punto a destacar es que ese CLI tiene un repertorio similar a UNIX (aunque, por
supuesto, ms reducido) Por tanto, si ests familiarizado con UNIX o derivados, quizs te
sea ms fcil interactuar con IOS a travs de CLI:
IOS.
SNMP.
OPCION IOS.
La opcin IOS, trata de usar los comandos que nos proporciona CLI para la creacin de tablas de
RMON. De esta manera y gracias a RMON, crearemos tablas que nos proporcionarn
informacin como estadsticas de nuestra red. O podremos generar informes o traps o ambos
para indicar que determinada alarma ha sucedido. Para ello CLI nos ofrece comandos como:
rmon statistics, rmon history, rmon alarm, rmon event,...
Como ejemplo usar el comando rmon alarm, el cual que crea una alarma. Este comando
tiene la siguiente sintxis:
rmon alarm number variable interval {abs|delta}
rising-threshold value [event-number]
falling-thresold value [event-number]
owner [owner string]
Donde:
NUMBER: Especifica el nmero nico que identifica la alarma. Como estamos hablando
de tablas, con ese nmero nos referimos al ndice de esa tabla. (En este caso de la tabla
Alarm).
VARIABLE: Indica la variable, la cual, va a ser monitorizada. Respresentada por su OID.
INTERVAL: Indica cada cuanto tiempo se toman muestras de esa variable para ver si se
supera un umbral y ver si se salta la alarma.
ABS|DELTA: Indica el tipo de muestreo. Si es ABS, se tomar en cada INTERVAL el
valor de la variable y se comparar con el umbral. Si es DELTA se toma un valor
incremental. En este caso se procede de la siguiente manera: Se toma un valor al inicio y
pasado INTERVAL se toma la diferencia desde el anterior hasta el momento actual y ese
valor se mide con el umbral. De esta manera vemos cuanto ha cambiado la variable
durante el tiempo INTERVAL.
RISING-THRESOLD: Indica el umbral de subida, Si dicho umbral se supera saltar la
alarma.
FALLING-THRESOLD: Indica el umbral de bajada, si el valor de la variable baja de ese
umbral se disparar la alarma.
OJO: En realidad, no se dispara una alarma, sino que se ejecuta la accin definida en el
evento que asociaremos a la alarma. Mediante EVENT-NUMBER.
OPCIN SNMP.
Esta es la opcin que define este documento. Para ello introducir los datos necesarios.
Como que objetos de la informacin de gestin nos porporciona el dispositivo, que es
RMON, la gestin con RMON, programacin de alarmas, etc.
SNMP.
SNMP es un protocolo de nivel de aplicacin para consulta a los diferentes elementos
que forma una red, (routers, switches, hubs, hosts, modems, impresoras, etc). Cada
equipo conectado a la red ejecuta unos procesos (agentes), para que se pueda realizar
una administracin tanto remota como local de la red. Dichos procesos van actualizando
variables que nos ofrece la SMI (Structure of Management information) en una base de
datos, que mquinas remotas pueden consultar.
La Arquitectura de Administracin de Red se compone de cuatro componentes
principales:
Estacin de administracin
Protocolo de administracin.
Alejandro Gascn Gonzlez
SNMP es independiente del protocolo (IPX de SPX/IPX de Novell, IP con UDP) SNMP se
puede implementar usando comunicaciones UDP o TCP, pero por norma general, se
suelen usar comunicaciones UDP en la mayora de los casos. Con UDP, el protocolo
SNMP se implementa utilizando los puertos 161 y 162.
.iso.member-body.us.802dot3.snmpmibs.lagMib
Alejandro Gascn Gonzlez
.iso.org.dod.internet.mgmt.mib-2.dot1dBridge
Esta tabla contiene como veremos informacin sobre la caractertica de puente del
dispositivo. Informacin referente a los protocolos de rbol de expansin o el de puente
transparente.
Contiene tres escalares y tres tablas:
dot1dBaseBridgeAddress
Escalar que nos indica la direccin MAC del puente
dot1dBaseNumPorts
El nmero de puertos controlados por dicho puente.
dot1dBaseType
Indica el tipo de puente de entre estas cuatro posibilidades:
unknown(1)
transparent-only(2)
sourceroute-only(3)
srt(4)
dot1dBasePortTable
Contiene esta tabla, informacin sobre cada puerto asociado al puente. Informacin
como:
dot1dBasePort: El nmero de puerto del puerto cuya entrada contiene informacin para
la administracin del puente.
Alejandro Gascn Gonzlez
.iso.org.dod.internet.mgmt.mib-2.dot1dStp
Esta tabla contiene informacin acerca del protocolo de rbol de expansin. (Spanning
tree). Contiene catorce escalares y una tabla:
dot1dStpProtocolSpecification: Versin del protocolo que el puente est usando.
Dot1dStpPriority: Valor de los primeros dos octetos reescribibles del ID del dispositivo.
Dot1dStpTimeSinceTopologyChange: Tiempo desde el ltimo cambio de topologa.
Dot1dStpTopChanges: El nmero total de cambios de topologa desde que el ltimo
reset del dispositivo.
Dot1dStpDesignatedRoot: La identificacin de la raiz del rbol.
Dot1dStpRootCost: Coste de la ruta desde ste dispositivo a la raiz.
Dot1dStpRootPort: Nmero del puerto con el menor coste desde el a la raiz.
Dot1dStpMaxAge: Tiempo mximo que se mantiene la informacin aprendida.
Dot1dStpHelloTime: Tiempo desde que se configuro el puerto en la topologa.
Dot1dStpHoldTime: El valor del intervalo de tiempo durante el cual no ms de dos PDU
s para la configuracin del puente han sido transmitidas por dicho nodo.
Dot1dStpForwardDelay: Se especifica en esta variable el tiempo en centsimas de
segundo que necesita para hacer un cambio de estado.
Dot1dStpBridgeMaxAge: MaxAge de la raiz.
Dot1dStpBridgeHelloTime: HelloTime de la raiz.
Dot1dStpBridgeForwardDelay: Valor de Forward delay de la raiz.
Alejandro Gascn Gonzlez
.iso.org.dod.internet.mgmt.mib-2.dot1dTp
other(1)
invalid(2)
learned(3)
self(4)
mgmt(5)
dot1dTpPortTable
.iso.org.dod.internet.mgmt.mib-2.mib-2.ifMIB.
IfXEntry
ifName (1): Nombre textual de la interfaz.
IfLinkUpDownTrapEnable (14): Indica si esta interfaz generar traps en caso de que la
interfaz pase de estado UP a DOWN.
IfHighSpeed (15): Estimacin del ancho de banda de la interfaz.
IfPromiscuousMode (16): Indica si la interfaz est o no en modo promiscuo.
IfConnectorPresent (17): Indica si la interfaz tiene un conector fsico.
IfAlias (18): En l se especifica un nombre alias para esa interfaz.
IfCounterDiscontinuityTime (19): Valor sel sysUpTime cuando uno o varios contadores
de la interfaz sufriern alguna discontinuidad.
IfStackTable (2)
Est tabla contiene informacin acerca de las relaciones entre capas. Esta funciona de
manera similar a RMON ya que tiene un objeto columnar STATUS. Aunque es para
indicar el estado de la fila. El objeto STATUS es de slo lectura.
IfRcvAddressTable
.iso.org.dod.internet.mgmt.mib-2.entPhysicalTable
entPhysicalTable (1)
entPhysicalDescr: Descripcin textual de la interfaz fsica.
EntPhysicalVendorType: Indica el OID del tipo de hardware del fabricante. En este caso
da SNMPv2-SMI::enterprises.9.12.3.1.10.134. Si vemos el enterprises.9 es Cisco.
EntPhysicalContainedIn: El valor del indice de entPhysicalDescr en el cual est
contenido la interfaz. En nuestro caso es 1, si vemos el calor del ndice 1 y vemos la
descripcin vemos que es Cisco Catalyst c2950 switch with 24 10/100 BaseTX ports.
EntPhysicalClass: Indica el tipo de hardware.
EntPhysicalParentRelPos.
EntPhysicalName: Indica el nombre textual de cada interfaz.
EntPhysicalHardwareRev: Versin del hardware.
EntPhysicalFirmwareRev: Versin del firmware, de aqui podemos obtener la versin del
IOS.
EntPhysicalSoftwareRev: Versin del software.
EntPhysicalSerialNum: Nmero de serie.
EntPhysicalMfgName: El nombre del manufacturador del interfaz. (En este caso Cisco).
EntPhysicalAlias: Alias del interfaz.
EntPhysicalAssetID.
EntPhysicalIsFRU: Indica si es una unidad reemplazable.
iso.org.dod.internet.private.enterprises.cisco
En este caso resumir el contenido de la rama ya que es muy extensa, son 74 escalares
que indican, para empezar tiene 74 escalares que indican:
Pequeos.
Grandes.
Medianos.
Muy grandes.
Gigantes.
Y para cada tipo indica la cantidad de buffers, los que estn libres, los que estn
ocupados, su tamao, los aciertos, los fallos.
Indica datos como el nombre del host, el id de la ROM, direccin del host que provee
del fichero host-config, el nombre de la imagen de arranque y del protocolo que provee
de la imagen.
Luego tiene una tabla con 114 elementos columnares, que indican, por interfaz,
informacin de colisiones, de estado operativo, tipo de hardware, tiempos desde que se
envi el ltimo paquete, desde que se recibi, desde que no se pudo enviar. La cantidad
de bits por segundo movidos en los ltimos 5 minutos, desglosados en entrada y en
salida, adems de bits, tambin nos indica los paquetes, ...
Tambin nos d informacin acerca de la memoria flash. Desde la identificacin, el
tamao, el tamao disponible, el ocupado, ... Hasta el nombre asociado a la entrada en
memoria flash donde podemos ver programas y pginas web.
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt
Esta rama tampoco se queda corta en tamao. Slo nuestro dispositivo implementa 20
ramas. Donde podemos encontrar informacin del dispositivo.
System.
Interfaces.
IP
TCP.
UDP.
ICMP.
SNMP
RMON.
Se trata, RMON, de una extensin de la MIB-II, ya que no se modifica el protocolo SNMP.
Se usa para la monitorizacin de una red como un todo. Ofreciendo una manera eficiente
para monitorizar el comportamiento de una red reduciendo la carga en la misma.
Si queremos hacer una monitorizacin y control de una red mediante SNMP, primero
estudiamos la informacin de la que disponemos a travs de los objetos del rbol. Una
vez conocida, elegimos de estos los que creamos necesarios para crear unas estadsticas
Alejandro Gascn Gonzlez
STATUS: Cada fila que queramos crear ser como una pequea mquina de estados
con los siguientes estados:
valid (1), create request (2), under creation (3), invalid (4).
De forma que pueden suceder los siguientes casos:
Que no existe la fila: Por tanto deberemos hacer una peticin de creacin,
escribiendo el valor 2 en el objeto status de la tabla que deseemos en la fila que
hallamos elegido. Por ejemplo:
Que la fila est creada: En este caso tenemos la opcin de borrarla pasndola a
invalid, o modificarla pasndola a under creation.
INDEX: Las tablas por defecto vienen vacias, pendientes de ser configuradas, aunque
en otras mquinas puede el propio monitor tener alguna tabla configurada.
Supongamos que todas las tablas estn vacias.
Alejandro Gascn Gonzlez
Por ejemplo:
snmpset -v2c -c comunity 192.168.35.2 mib-2.16.1.1.1.21.1 i 2
En este caso elegimos el ndice 1 para configurar una entrada nueva en la tabla de
STATISTICS (mib-2.16.1), le pasamos el OID de la tabla de estadsticas, acabado por el
ndice que deseemos.
Grupo Statistics:(mib-2.16.1)
En este caso disponemos de una tabla,se trata de etherStatsTable (mib-16.1.1). Esta
tabla contiene una serie de estadsticas, referidas a paquetes, octetos, colisiones,... Para
configurar esta tabla basta con configurar el origen de los datos. Para ello se usa el objeto
etherStatsDataSource indicndole la interfaz desde la cual va a obtener los datos, desde
ese momento los objetos comienzan a tomar valores. Esa interfaz es la entrada ifInIndex
de la tabla interfaces de mib-2.
EtherStatsTable (mib-2.16.1):
etherStatsIndex (1) [RO i]: Indice de la fila en la tabla.
Alejandro Gascn Gonzlez
HistoryControlTable (mib-2.16.2.1) :
alarmVariable(3) [RW o]: OID de la variable de RMON MIB que se monitoriza, puede ser
(INTEGER, counter, gauge o TimeTicks).
alarmSampleType(4) [RW i]: el mtodo de clculo del valor que se compara con el
umbral, puede ser absoluto absoluteValue (1) o diferencial deltaValue(2).
alarmValue(5) [RO i]:valor de la variable en el ltimo periodo de muestreo. A partir de
este valor se compara para saber si se ha cruzado el umbral.
alarmStartupAlarm (6) [RW i]: si se dispara por subida (1), bajada (2) o ambos(3).
alarmRisingThreshold (7) [RW i]: umbral para disparo de alarma por subida.
alarmFallingThreshold(8) [RW i]: umbral para disparo de alarma por bajada.
alarmRisingEventIndex(9)[RW i]/AlarmFallingEventIndex (10)[RW i] ndice del evento
llamado cuando se cruza el umbral.
alarmOwner (11) [RW s].
alarmStatus (12). [RW i].
Grupo Event: (mib-2.16.9).
En esta ocasin tenemos dos tablas una de control y otra de datos. En la de control se
definen eventos. Como hemos visto en alarm se asociaban las alarmas con los eventos.
Cuando una alarma se dispara, si est asociada a un eventos se lanzar ese evento de
forma que generar un trap, escribir la tabla log o ambas. Tambin cabe la opcin de no
realizar accin.
EventTable (mib-2.16.9.1):
Desde este momento ya podramos utilizar este conocimiento para tomar estadsticas de
las interfaces del switch, podramos programar alarmas asociados a eventos. De esta
manera podemos tener un control de nuestra red.
Estas son las areas de gestin definidas por la ISO, por las que voy a definir una serie de
alarmas, por supuesto se podrn configurar ms.
Fallos:
Contabilidad.
Gestin de configuracin.
Gestin de prestaciones.
Gestin de seguridad.
FALLOS:
Esta es la que considero ms importante dentro de las areas de gestin, en relacin a mi
documento. Es decir, si deseo programar alarmas por ciertos eventos para mantener el
estado correcto de mi red, controlar que estos valores se mantengan en valores dentro de
un umbral de seguridad me permite que la propia red me avise que pueden suceder fallos
o que han sucedido y necesita de mi ayuda. Estos son objetos de la MIB succeptibles de
ayudarme en mi labor.
IfAdminStstus
Valores posibles:
up(1). Estado administrativo activo.
Down(2), Estado administrativo inactivo.
Testing(3). Testeando.
Estos valores nos sirven como umbrales. Indicando si el estado operacional sube de 2
indica que no esta operacional si baja de 1 indica que se ha subido la interfaz.
IfOperStatus.
De igual manera , este objeto nos indica el estado operativo de la interfaz, este objeto es
el ms intuitivo a la hora de realizar una alarma. Podemos ver que este objeto nos indica
si esa interfaz esta operativa o no lo est. Si una tarjeto de red falla, se desconecta o en
resumen, le sucede algo, entonces el estado operativo pasar a down.
ifInDiscards:
Paquetes descartados por la interfaz, si el nmero de paquetes descartados comienza a
subir mucho es una muestra de error. Si la alarma asociada a esta variable se activa,
como administradores deberamos investigar el origen. Podramos hacerlo a travs de la
consulta de valores de ciertas variables de la MIB. Pero lo importante es que hemos sido
avisados de la incidencia.
IfInErrors:
Alejandro Gascn Gonzlez
IpInDiscards:
Paquetes descartados, pero de los cuales no se conocen errores. Por ejemplo, debido a
que se ha llenado el buffer.
IpReasmFails:
Nmero errores encontrados por el algoritmo de reensamblado. (time out, errores, ...)
ipFragFails:
Nmero de paquetes descartados por que tenan que haber sido fragmentados pero no lo
han sido por que el flag de no fragmentar estaba activo.
IpRoutingDiscards:
Nmero de entradas de enrutamiento que han sido eliminadas, aunque eran correctas.
Una posible razn es ahorrar recursos liberando el buffer para nuevas rutas.
IcmpInErrrors:
Nmero de paquetes ICMP recibidos con error.
icmpInTimeExcds:
icmpInParmProbs:
Alejandro Gascn Gonzlez
CONTABILIDAD:
A la hora de crear alarmas en esta rama de la gestin se plantean dudas de su estricta
necesidad, para que vamos a querer crearlas a no ser que queramos crear unos lmites o
un cliente nos establezca unos limites. Por ejemplo, nuestro cliente se conecta a traves
del Cisco y no dice que no quiere gastar ms de cierta cantidad de euros o que sea
avisado de esta situacion, si le tarificamos por octetos o paquetes, o similar podemos
establecer una alarma que avise cuando se pase de una cantidad. Al ser un cliente en
concreto deberemos programar una alarma para un determinado interfaz por tanto nos
tenemos que olvidar de la red virtual y centrarnos en interfaces o estatistics aunque la
precisin no ser muy alta al no contar los paquetes u octetos debidos a la gestion (por
ejemplo).Aunque para hacerle un aviso es suficiente.
GESTIN DE LA CONFIGURACION.
Buscamos objetos de configuracin que sean de los permitidos por alarm. (Integer,
Alejandro Gascn Gonzlez
SEGURIDAD:
En cambio, en la seguridad si son ms necesarios controles que adviertan de peligros
potenciales. Para hacerse una idea:
por ejemplo, cuando se quiere atacar una red lo primero es conocerla correctamente,
para ello se puede empezar usando un traceroute (por supuesto solo para empezar).
Luego se realizara un scaner de puertos, hay varias tcnicas como puede ser la conexin
a los puertos e ir comprobando si estn abiertos o no. O mandando fragmentos de
paquetes (ya que as nos podramos saltar la proteccin del firewall). Como vemos
maneras de comprobar si el sistema no est siendo investigado es controlar el trafico
ICMP, comprobando los mensajes de echo o las conexiones a la maquina.Aunque
cuando son semiabiertas no s si quedar constancia del intento.
Una vez que el ataque es una realidad, si por ejemplo se usan ciertos tipos de DOS se
pueden detectar mediante una alarma en el nmero de mensajes ICMP de eco (de
entrada basta) (casos como el SMURF y el FRAGGLE) que usan ping con ip fuente falsa
y destino broadcast generando un trafico que crece cada vez mas y mas.
Tambin podemos usar alarmas que nos indiquen que se esta rastreando el agente
SNMP. Para ello intentaran usar comunidades, lo normal es que empiecen con las tpicas
public y private ya que en muchos dispositivos es la que viene por defecto y hay
administradores que no las cambian. Ese rastreo se puede detectar con alarmas en
snmpBadCommunityNames o con snmpBadCommuninityUses en este caso estan
usando una comunidad de lectura pa intentar escribir.
PRIMERAS CONFIGURACIONES:
Para ello usaremos SNMP, en concreto SNMPSET. Se puede usar el sistema operativo
del Cisco, el IOS.
Como primer ejemplo configuraremos el grupo estadsticas, de forma que lo definiremos
para la interfaz 1 del switch. Pero primero veremos el esqueleto bsico del comando.
Conocido bien el resto ser practicamente igual:
snmpset -v2c -c comunidad direccin IP mib-2.16.1.1.1.Objeto.Indice tipo valor
EJEMPLO DE ALARMA.
La forma de proceder es similar, la idea de status, owner, ndice, IP, todo, se mantiene
igual. La manera de proceder ser ver qu objetos son de escritura, ver que significan y
escribir los valores necesarios. Claro est, primero deberemos pensar en una alarma.
Prodremos pensar por ejemplo, en que los paquetes descartados, de salida, por la
interfaz en los ltimos 5 minutos no sea mayor de 10. Es tn slo un ejemplo, lo normal
es que no se descarten, pero deberemos ver como se comporta la red, cuantos se
descartan en 5 minutos, y ver si 10 es un umbral, digamos, peligroso. Vamos a suponer
que lo es.
Como sabemos, cuando un umbral es sobrepasado salta la alarma, pero para que genere
una accin debemos asignarla mediante la tabla Event, en Event especificaremos que
sucede cuando una alarma asociado a una entrada event salta. Por lo que primero
defino el evento:
snmpset -v1 -c com 192.200.2.2 mib-2.16.9.1.1.7.1 i 2
Pasamos a creacin el ndice 1 de la tabla eventTable que ser el evento asociado a la
alarma que he comentado antes.
snmpset -v1 -c com 192.200.2.2 mib-2.16.1.1.1.6.1 s alejandro
Le asocio un propietario al ndice.
snmpset -v1 -c com 192.200.2.2 mib-2.16.1.1.1.2.1 s paquetes descartados mayores
de 10
Le damos una descripcin textual.
snmpset -v1 -c com 192.200.2.2 mib-2.16.1.1.1.3.1 i 2
Esta evento generar un log, lo que equivale a que se generar una fila en la tabla
logTable cuando la alarma salt.
snmpset -v1 -c com 192.200.2.2 mib-2.16.1.1.1.7.1 i 1
Valido la fila.
SCRIPTS.
Como he dicho la programacin es muy mecanica, lo que sugiere que un script ser
Alejandro Gascn Gonzlez