1

Universidad Central “Marta Abreu” de Las Villas

Facultad de Ingeniería Eléctrica
Departamento de Telecomunicaciones y Electrónica

Seminario de Redes
“Estrategias de Gestión y Seguridad de Redes.”

Autores: Rocío Pérez Mirabal

Néstor Pérez Rodríguez

Adanay Preciado Cancio

Carlos Rafael Reicino Prieto

César Yoandri Rodríguez Bravo

Juan Ernesto Rodríguez Vera

 2

INTRODUCCIÓN

La seguridad de redes consiste en el conjunto de políticas adoptadas para prevenir y

monitorear el acceso no autorizado, el mal uso, la modificación o la denegación de una red
de computadoras y recursos de acceso de red. La seguridad de redes involucra la
autorización del acceso a datos en la red, que es controlado por el administrador de red.

El desarrollo de estrategias de seguridad que puedan proteger en su totalidad una red de

telecomunicaciones amplia, mientras que a la vez provoque un efecto minimizado en el uso
y rendimiento de la misma es una de las tareas más importantes y difíciles relacionadas con
el diseño de redes. El diseño de la seguridad de una red se encuentra desafiada por la
complejidad y la naturaleza engorrosa de las redes modernas que incluye servicios públicos
para comercio electrónico, conexiones de extranet para negocios y servicios de acceso
remoto para varios usuarios.

La gestión de red consiste en monitorizar y controlar los recursos de una red con el fin de
evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones. La
capacidad de Gestión de Redes engloba todos aquellos aspectos a considerar a la hora de
implementar la infraestructura de comunicaciones que soporta todas las tecnologías de
información de la empresa, así como los mecanismos de protección de la propia
infraestructura frente a ataques externos o internos contra la seguridad, la privacidad o la
integridad de la información, siempre con el objetivo de mantener en servicio el acceso a
los recursos corporativos y un tráfico de datos fluido.

La gestión de redes es uno de los aspectos más importantes en el diseño de redes lógicas.
La gestión es usualmente pasada por alto durante el diseño de una red, debido a que es
considerada una cuestión operacional más que una cuestión de diseño. Un buen diseño de
gestión de red puede ayudar a una organización a alcanzar disponibilidad, rendimiento y
seguridad. Procesos efectivos de gestión de redes pueden ayudar a una organización a
medir la efectividad de los objetivos de diseño y ajustar parámetros de la red para mejorar
el rendimiento. La gestión de redes también facilita la escalabilidad debido a que puede
ayudar a una organización a analizar el comportamiento actual de una red, aplicar
actualizaciones apropiadamente y resolver cualquier problema que provoquen estas
actualizaciones.
 3

Estas estrategias responden a la necesidad de manejar la complejidad de las redes de

telecomunicaciones ya que son entornos heterogéneos (transportan datos, voz y video),
existen redes públicas y privadas, grandes distancias geográficas entre usuarios, entornos de
redes jerárquicos y entornos planos, así como equipos y tecnologías provenientes de
diferentes fabricantes, lo que exige un nivel de compatibilidad para lograr la interconexión.

Por lo anterior, se propone como objetivo:

• Analizar el desarrollo de estrategias de gestión y seguridad de redes de

telecomunicaciones.
 4

DESARROLLO

Diseño de seguridad de redes.

Muchas estrategias de seguridad han sido desarrolladas de manera irregular y han fallado
en lograr adecuadamente los objetivos. Separar el proceso de diseño de seguridad en los
siguientes pasos ayuda a desarrollar un plan efectivo y ejecutar una estrategia de seguridad:

1. Identificar los bienes de la red.

2. Analizar riesgos de seguridad.
3. Analizar requerimientos de seguridad y relaciones de compromiso.
4. Desarrollar un plan de seguridad.
5. Definir las políticas de seguridad.
6. Desarrollar procedimientos para aplicar políticas de seguridad.
7. Desarrollar una estrategia de implementación técnica.
8. Lograr la compra de acciones por parte de usuarios, administradores y staff técnico.
9. Entrenar usuarios, administradores y staff técnico.
10. Implementar la estrategia técnica y procedimientos de seguridad.
11. Probar la seguridad y actualizar en caso de ser necesario.
12. Mantener la seguridad.
 5

1. Identificar los bienes de la red:

El primer paso en el diseño de la seguridad de la red es identificar los bienes que tienen que
ser protegidos, el valor de los bienes, y el costo esperado asociado con la pérdida de dichos
bienes si ocurre una brecha de seguridad.

Los bienes de una red incluyen hardware, software, aplicaciones y datos. También incluyen
propiedades intelectuales, transacciones secretas y la reputación de la compañía. Como
diseñador de redes se debe identificar cuales bienes son críticos para la empresa. Analizar
los activos de la red trae consigo consecuencias de los riesgos de seguridad. Los riesgos
pueden extenderse de agentes externos hostiles hacia los usuarios no entrenados.

2. Analizar riesgos de seguridad:

Un importante paso que dentro de la planificación de la seguridad es analizar las amenazas

potenciales y entender la probabilidad y el impacto negativo de las mismas. Es un proceso
continuo debido a los cambios de riesgos, su severidad y su probabilidad.

Un grupo de riesgos de seguridad se pueden categorizar como Ataques de Reconocimiento.

Estos proveen información acerca de objetivos potenciales y sus debilidades. Utilizan
herramientas para descubrir la accesibilidad a hosts, subredes, servicios y aplicaciones.

Otro grupo lo constituyen ataques de negación de servicios, los cuales tienen como objetivo
la disponibilidad de una red, host o aplicación, haciendo imposible garantizar el acceso a
usuarios legítimos. Constituyen un mayor riesgo debido a que pueden interrumpir procesos
de negocios y son relativamente simples de conducir. Incluye la inundación de servicios
públicos con enormes números de peticiones de conexión, trafico aleatorio, etc., en un
intento de consumir tanto ancho de banda como sea posible.

En los dispositivos intervenidos, los datos pueden ser interceptados, alterados o borradas,
las contraseñas de los usuarios pueden ser descubiertas y las configuraciones pueden ser
modificadas.
 6

3. Analizar requerimientos de seguridad y relaciones de compromiso:

Aunque muchos clientes tienen más metas específicas, en general, los requisitos de
seguridad se resumen a la necesidad de proteger los siguientes activos:

 la confidencialidad de datos, a fin de que sólo usuarios autorizados puede mirar

información sensitiva.
 la integridad de datos, a fin de que sólo usuarios autorizados puede cambiar
información sensitiva.
 la disponibilidad de sistema y de datos, a fin de que el usuario tenga acceso
ininterrumpido para recursos importantes.

Los balances deben hacerse entre las metas de seguridad y otras metas, entre ellas:

 Ajuste del presupuesto.

 Facilidad de uso.
 Rendimiento.
 Disponibilidad.
 Facilidad de gestión.

4. Desarrollar un plan de seguridad:

Un plan de seguridad es un documento de ato nivel que proporciona el plan de la

organización para alcanzar los requerimientos de seguridad. El plan especifica tiempo,
personas y recursos que requiere para desarrollar una política de seguridad, y lograr la
implementación técnica de dicha política. Debe estar basado en las metas que se propone el
cliente y en el análisis de los bienes y riesgos de la red. Debe referenciar la topología de la
red e incluir una lista de los servicios que proveerá, especificando quienes proveen, acceden
y administran dichos servicios.

Para que un plan de seguridad sea útil necesita tener el apoyo de todos los empleados
dentro de la organización, especialmente de los directivos.
 7

5. Definir las políticas de seguridad:

Para la RFC 2196 "El Manual de la Seguridad de un sitio ", una Política de seguridad es:

-"Una declaración formal con las reglas q deben cumplir las personas que tienen acceso a la
tecnología de una organización, y a los bienes de información".

La política deberá definir:

-Lineamientos de acceso, registro, autenticación, privacidad y compra de tecnología de

computación.

Componentes de una política de seguridad:

En general, política debe incluir al menos los siguientes elementos:

 Una política de acceso que define los derechos y privilegios de acceso. Dicha
política debe proveer pautas para las conexiones de redes externas, conexiones de
dispositivos a la red, y la adición de software al sistema. Una política de acceso
también tiene que dejar claro cómo la información es categorizada (por ejemplo:
confidencial, interna o secreta).
 Una política de responsabilidad que define las responsabilidades de usuarios, del
personal de operaciones y de la dirección. Esta política tiene que dejar claro que
hacer y a quién contactar si una posible intrusión es detectada.
 Una política de autenticación que provee confianza a través del uso de contraseñas y
también garantiza la autenticidad de usuarios remotos.
 Una política de privacidad que define expectativas razonables de la misma teniendo
en cuenta el monitoreo de correos electrónicos, registro de contraseñas y el acceso a
los archivos de usuarios.
 Una guía de la tecnología de la computadora que especifica los requisitos para
adquirir, configurar y chequear los sistemas de las computadoras y la red para el
cumplimiento con la política.

Los mecanismos de seguridad son los siguientes:

 Seguridad física.
 Autenticación.
 8

 Autorización.
 Registro.
 Encriptamiento
 Filtros de paquetes.
 Firewalls.
 Sistemas de Detección de Intrusos (IDS)

Seguridad física:

La seguridad física se refiere al acceso limitado a las claves de recursos de la red

conservando los recursos detrás de una puerta cerrada. La seguridad física puede proteger
una red de usos indebidos inadvertidos de equipo de la red por contratistas y empleados no
entrenados. También puede proteger la red de intrusos, competidores, y terroristas entrando
desde la calle y cambiando configuraciones del equipo.

A merced del nivel de protección, la seguridad física puede proteger una red de
acontecimientos del terrorista, incluyendo explosivos, los derramamientos radiactivos,
etcétera. La seguridad física también puede proteger recursos de desastres naturales como
inundaciones, fuegos, tormentas, y terremotos.

A merced de su cliente particular del diseño de la red, la seguridad física debería ser
instalada para proteger core routers, puntos de demarcación, cableado, los módems, los
servidores, los anfitriones, el almacenamiento de respaldo. El trabajo con clientes durante
las anteriores etapas del proyecto del diseño de la red para hacer el equipo seguro será
colocado en cuartos de computadoras que tienen tarjeta de acceso y / o guardas de
seguridad. Los cuartos de la computadora también deberían estar acondicionados con
suministros de fuerza interrumpibles, alarmas de incendios, mecanismos de disminución de
fuego, y deberían suavizar sistemas de extracción. Para proteger equipo de terremotos y los
vientos de alto durante tormentas, el equipo debería ser instalado en perchas que traban un
embargo para el piso o pared.

Autenticación:
 9

La autenticación identifica quién pide los servicios de la red. El termino autenticación

usualmente se refiere a autenticación de usuario, pero puede referirse a dispositivos que se
autentican o procesos del software también. Por ejemplo, algunos protocolos de
determinación del recorrido dan soporte a la autenticación de la ruta, por medio de un
router debe pasar algunos criterios antes de que otro router acepte sus actualizaciones de
determinación del recorrido.

La mayoría de normas de estado sobre seguridad declaran que para ganar acceso a una red
y sus servicios, un usuario debe entrar su identificación en el sistema dado y contraseña que
se autenticó por un servidor seguro. La autenticación se basa tradicionalmente en una de
tres pruebas:

Algo que el usuario sabe. Esto usualmente implica conocimiento de un secreto único que se
compartió. Para un usuario, este secreto aparece como una contraseña clásica, un número
de identificación personal, o una llave criptográfica privada.

Algo que el usuario tiene. Esto usualmente implica posesión efectiva de un artículo esto es
único para el usuario. Los ejemplos incluyen contraseñas de tarjetas de señal, tarjetas de
seguridad, y llaves del hardware.

Algo que el usuario es. Esto implica verificación de una característica física única del
usuario, algo semejante como una huella digital, patrón de la retina, voz, o la cara.

Autorización:

Mientras que la autenticación controla quién puede ganar el acceso a recursos de red, la
autorización dice lo que pueden hacer después de que hayan ganado acceso a los recursos.
La autorización concede privilegios para los procesos y los usuarios. La autorización deja a
un administrador controlar partes de una red (por ejemplo, los directorios y los archivos en
servidores).

La autorización varia de usuario a usuario, en parte depende de la función de departamento

o de trabajo de un usuario. Por ejemplo, una política podría manifestar que sólo los recursos
humanos empleados deberían ver registros salariales otras personas.
 10

Los expertos prendarios recomiendan uso del principio de privilegio mínimo en la

implementación de autorización. Este principio se basa en la idea que cada usuario debería
recibir sólo los derechos necesarios mínimos para realizar una cierta tarea.

Registro:

Para redes con normas de actuación sobre seguridad estrictas, los datos de auditoría
deberían incluir todos los intentos a lograr autenticación y autorización por cualquier
ciudadano. Es especialmente importante a poner en bitácora el acceso "anónimo" o del
"invitado" para servidores públicos. Los datos también deberían poner en bitácora todos los
intentos por usuarios para cambiar sus derechos de acceso.

Los datos cobrados deberían incluir al usuario y los nombres bases para los intentos de
entrada en el sistema y de salida del sistema, y los derechos de acceso previos y nuevos
para un cambio de derechos de acceso.

Firewalls:

Un firewall es un dispositivo que implementa normas de actuación sobre seguridad en el

límite entre dos o más redes. Un firewall puede ser un router con ACLs, una caja dedicada
del hardware, o un software funcionando con una PC o el sistema. Firewalls es
especialmente importante en el límite entre la red de la empresa y la Internet.

Un firewall tiene un conjunto de reglas a especificar cuál tráfico debería estar permitido o
negado. Un firewall estático del filtro de paquete mira paquetes individuales y es
optimizado para la simplicidad de velocidad y de configuración. Un firewall puede rastrear
sesiones de comunicación y más inteligentemente puede dejar o puede negar tráfico. Por
ejemplo, firewall puede recordar que un cliente protegido inició una petición a hacer una
descarga de datos de un servidor de la Internet y permitir datos de esa conexión. Un
firewall también puede trabajar con protocolos, algo semejante como el FTP en ejecución
(el modo portuario), eso requiere el servidor para también abrir una conexión para el
cliente.

Otro tipo de firewall es el firewall de proxy. Los firewalls de proxy son más avanzados que
el firewall y también los menos comunes. Un firewall de proxy actúa como un agente
comercial entre anfitriones, interceptando una cierta cantidad o todo tráfico aplicativo entre
 11

clientes locales y fuera de servidores. Los firewalls de proxy examinan paquetes. Estos
tipos de firewalls pueden bloquear contenido, así como también tráfico malicioso que es
estimado inaceptable.

6. Desarrollar procedimientos para aplicar políticas de seguridad:

Los procedimientos de seguridad implementan las políticas de seguridad. Los

procedimientos definen configuración, acceso, auditoria y procesos de mantenimiento. Los
procedimientos deben ser escritos para usuarios finales, administradores de red y
administradores de seguridad. Los procedimientos deben especificar cómo manejar los
incidentes y pueden ser comunicados a usuarios y administradores mediante instrucciones y
clases de entrenamiento.

7. Mantener la Seguridad:

La seguridad debe ser mantenida programando auditorias independientes periódicas

leyendo accesos a auditorias, respondiendo incidentes, leyendo literaturas actualizadas,
ejecutando pruebas de seguridad, entrenando administradores de seguridad, actualizando
planes de seguridad y política. La seguridad de redes debe ser un proceso perpetuo.

Mecanismos de seguridad.

1. Seguridad física: Se refiere a mantener un acceso limitado a recursos claves de la

red.
2. Autenticación: Identificación de quien requiere los servicios de la red, refiriéndose
tanto a usuarios como a dispositivos y software.
3. Autorización: Se refiere a lo que pueden hacer los autenticados una vez accedan a
los recursos.
4. Descripción de datos: Es el proceso que codifica los datos para protegerlos de ser
leídos por alguien más que no sea el receptor deseado.
5. Filtros de paquetes: Acepta o deniega paquetes de servicios de direcciones
particulares.
6. Firewalls: Son los dispositivos que imponen políticas de seguridad en la frontera de
dos o más redes.
 12

7. Sistema de Detección de Intrusos (IDS): Es el sistema que detecta eventos

maliciosos y los notifica al administrador.
8. Modularizar el Diseño de Seguridad.
Asegurar todos los componentes en un diseño modular:
 Conexiones de internet.
 Servidores públicos y de comercio.
 Redes de acceso remoto y VPNs.
 Servicios de Red y Gestión de Red.
 Granjas de servidores.
 Servicios de usuario.
 Redes inalámbricas

Diseño de Estrategias de Gestión de Redes.

La organización internacional de estándares define cinco tipos de procesos de gestión de

redes:

 Gestión de fallas.
 Gestión de configuración.
 Gestión de contabilidad.
 Gestión del rendimiento.
 Gestión de seguridad.

Gestión de fallas: Se refiere a detectar, aislar, diagnosticar y corregir problemas. También

incluye procesos de reporte de problemas a usuarios finales y administradores, así como
rastrear tendencias relacionadas con los problemas. La mayoría de los sistemas operativos
proveen vías para reportar fallas del sistema al administrador de la red.

Gestión de configuración: Ayuda al administrador de la red a mantener localizado a los

dispositivos de la red y a mantener la información de la configuración de dichos
 13

dispositivos. Permite definir y salvar configuraciones por defecto para dispositivos

similares, modificar las configuraciones por defectos para dispositivos específicos y cargar
la configuración en dispositivos. También permite al administrador mantener un inventario
de los activos de la red y hacer version-logging. Version-logging se refiere a mantener
localizado la versión de sistema operativo y las aplicaciones que corren en los dispositivos
de la red. También se incluye información sobre la configuración del Hardware de los
dispositivos tales como la cantidad de RAM, el tamaño de la memoria flash y el tipo de
cableado utilizado.

Gestión de contabilidad: Facilita el ordenamiento basado en el uso de la red, puede ser

útil para detectar abusos de la red, el abuso de la red puede ser intencional o no intencional.

Gestión del rendimiento: Permite medir el comportamiento de la red y su efectividad. La

gestión de rendimiento incluye examinar las aplicaciones de la red y comportamiento de los
protocolos, analizar la disponibilidad, medir el tiempo de respuesta y almacenar cambios de
ruta de la red. Facilita optimizar la red, conocer Acuerdos De Nivel De Servicio (SLA) y
planificación para expansión. Monitorear el rendimiento incluye conectar datos, procesar
algunos o todos los datos, mostrar los datos procesados y almacenar algunos o todos. Se
puede monitorear dos tipos de rendimiento:

- rendimiento end-to-end: Mide el rendimiento a través de una red de internet, puede medir
disponibilidad, capacidad, utilización, delay, variación del delay, throughput, tiempo de
respuesta, errores, y robustez de tráfico.

- Rendimiento de componente: Mide el rendimiento de enlaces o dispositivos individuales,

por ejemplo, el throughput y la utilización de un segmento de red en particular. Routers t
swihts pueden ser monitoreados para medir el throughput, la memoria, el uso del CPU y los
errores.

Gestión de seguridad: Permite al administrador de red mantener y distribuir contraseñas y

otras informaciones de autorización y autenticación. También incluye procesos de
generación, distribución y almacenamiento de claves de encriptación. Incluye herramientas
y reportes para analizar configuraciones de routers y switches para cumplir con os
estándares de seguridad.
 14

Arquitectura de Gestión de Redes:

- Dispositivos administrados: Es un nodo de la red que colecciona y almacena

información de administración, pueden ser switches, routers, puentes, servidores,
hubs, sistemas finales o impresoras.
- Un agente: Es un software de administración de gestión de red que reside en un
dispositivo administrado, rastrea información de administración local y usa un
protocolo como SNMP para enviar información a los Sistemas de Gestión de Red
(NMS).
- Sistemas de Gestión de Red (NMS): Ejecutan aplicaciones para mostrar datos de
administración, monitorear y controlar dispositivos administrados y comunicarse
con agentes. Es generalmente una estación poderosa que tienen sofisticados
gráficos, memorias, almacenamiento y capacidades de procesos. Esta generalmente
localizado en el Centro de Operaciones de la Red (NOC).
 15

Una arquitectura de gestión de red está formada por dispositivos administrados,

agentes y NMS concertados en una topología que encaja con la topología de le red
de internet.

Monitoreo in-band contra out-of-band.

Con la supervisión dentro de banda, los datos de gestión de red viajan a través de una
interconexión de redes utilizando los mismos caminos como el tráfico de usuarios. Es
beneficioso utilizar herramientas de gestión, incluso cuando se congestiona la red interna,
en su defecto, o en virtud de un ataque de seguridad. El monitoreo fuera d banda hace que el
diseño de la red más compleja y costosa. Al mantener los costos bajos, las líneas dialup
analógicas se utilizan a menudo para la copia de seguridad, en lugar de RDSI o circuitos Frame
Relay. Otra desventaja con la supervisión fuera de banda es que hay los riesgos de seguridad
asociados con la adición de enlaces entre NMS y agentes. Para reducir los riesgos, los enlaces
deben ser cuidadosamente controlados y añadido sólo si es absolutamente necesario. Para los
enlaces de módem analógico, el agente debe utilizar un mecanismo de devolución de llamada
después de las llamadas de NMS el agente.

Monitoreo centralizado contra distribuido.

En una arquitectura de monitorización centralizada, todos los SMN residen en un área de la

red, a menudo en un NOC corporativa. Los agentes se distribuyen a través de la
interconexión de redes y envían datos como ping y SNMP respuestas a los SMN
centralizado. Los datos se envían a través de fuera de banda o caminos en banda.

La monitorización distribuida significa que los SMN y los agentes se extienden a través de
la interconexión de redes. Una disposición distribuida jerárquica puede ser utilizado por el
cual distribuido SMN enviaremos los datos de sofisticada SMN centralizada utilizando un
(MoM) de la arquitectura gerente de gerentes. Un sistema centralizado que gestiona
distribuye SMN a veces se llama un paraguas NMS.

En una arquitectura MoM, distribuido el SMN puede filtrar datos antes de enviarlos a las
estaciones centralizadas, reduciendo así la cantidad de datos de gestión de red que fluye en
 16

la interconexión de redes. Otra de las ventajas de la gestión distribuida es que la distribuyen

sistemas que a menudo pueden obtener datos incluso cuando partes de la interconexión de
redes están fallando.

La desventaja con la gestión distribuida es que la arquitectura es compleja y difícil de

manejar. Es más difícil controlar la seguridad, contiene la cantidad de datos que es recogida
y almacenada, y realiza un seguimiento de los dispositivos de gestión. Una simple
arquitectura de gestión de red que no complique la tarea de gestión de la red es generalmente
una solución mejor.

Selección de herramientas y protocolos de gestión de red.

Después de haber analizado los procesos de gestión de red de alto nivel con su cliente, y
desarrollado una arquitectura de gestión de red, se puede tomar algunas decisiones sobre qué
herramientas y protocolos de gestión de red para recomendar a su cliente.

Selección de herramientas para la gestión de red.

Para garantizar una alta disponibilidad de la red, las herramientas de gestión deben apoyar
numerosas características que pueden ser utilizados para el funcionamiento, fallos,
configuración, seguridad y gestión de contabilidad. Como mínimo, una solución de gestión
de red debe incluir herramientas para aislar, diagnosticar y notificar los problemas para
facilitar la reparación y recuperación rápida. Idealmente, el sistema también debe
incorporar inteligencia para identificar las tendencias que pueden predecir una posible falla
para que un administrador de red puede tomar medidas antes de que ocurra una condición
de falla.

Al seleccionar las herramientas de gestión, tenga en cuenta la flexibilidad de las mimas y la

variada audiencias que pueden interactuar con ellos. Herramientas de gestión de red deben
proporcionar una interfaz de usuario intuitiva que puede reaccionar rápidamente a la
 17

entrada del usuario. En muchos casos, que tiene tanto una interfaz del navegador y la
interfaz de línea de comandos (CLI) es beneficioso.

Si las herramientas permiten la configuración dinámica de dispositivos, los cambios en la

configuración deben tomar efecto sin necesidad de reiniciar el dispositivo, si el este es
compatible con esto, porque la interrupción del servicio para un dispositivo crítico
potencialmente podría afectar a miles de usuarios. El software de gestión también debe
comprobar la validez de cualquier cambio de configuración y restaurar automáticamente la
última operación conocida o una imagen de software conocida en caso de error. El software
de gestión que soporta la configuración dinámica de dispositivos debe requerir
autenticación para evitar cambios desautorizados de toma de usuario.

Protocolo de gestión de red simple.

El SNMP es apoyado por la mayoría de los SMN comerciales y muchos dispositivos de

red, incluidos switches, routers, servidores y estaciones de trabajo. SNMP ha ganado gran
popularidad debido a su simplicidad y porque es fácil de implementar, instalar y usar.
Además, cuando utiliza con sensatez, SNMP no impone una carga excesiva en la red. La
interoperabilidad de SNMP entre implementaciones de diferentes proveedores se puede
lograr con un mínimo esfuerzo porque SNMP es bastante simple.

SNMPv3 debe sustituir gradualmente las versiones 1 y 2, ya que ofrece una mayor
seguridad, incluyendo la autenticación para proteger contra la modificación de la
información, y el conjunto de seguro operaciones para la configuración remota de los
dispositivos administrados en SNMP.

SNMPv2 se introdujo en 1993 y actualizado en 1996. SNMPv2 añadió una operación para
la recuperación eficiente de un bloque de parámetros al recoger datos de una tabla de
parámetros; Sin embargo, ni SNMPv1 ni SNMPv2 proporcionan características de
seguridad. Sin autenticación, es posible que los usuarios no autorizados para el ejercicio de
red SNMP funciones de gestión. También es posible que los usuarios no autorizados espíen
en la gestión de información a medida que pasa de los sistemas gestionados a un SMN.
 18

SNMPv3 ofrece características de seguridad para ayudar a aliviar estos problemas. Por su
seguridad, SNMPv3 puede ser utilizado para algo más que el seguimiento de las
estadísticas de la red. También se puede utilizar para el control de aplicaciones. La mayoría
de los proveedores soportan SNMPv3. Cisco comenzó a apoyar SNMPv3 en Cisco IOS
Software Release 12.0 (3) T.

SNMP se especifica en tres series de documentos:

 RFC 2579 define los mecanismos para describir y nombrar a los parámetros que se
manejan con SNMP. Los mecanismos son llamados la estructura de la información
gestionada (SMI).
 RFC 3416 define las operaciones de protocolo SNMP.
 Bases de Información de Administración (MIB) define los parámetros de gestión
que sean accesibles a través de SNMP. Varios RFC definen MIB de diferentes tipos.
El conjunto básico de parámetros para la suite de protocolos de Internet que se
llama MIB II y se define en el RFC 1213. Los vendedores también pueden definir
MIB privadas.

SNMP tiene siete tipos de paquetes:

 Get Request: Enviado por un NMS a un agente para recoger un parámetro de

gestión.
 Get-Next Request: Enviado por un NMS para recoger el siguiente parámetro en una
lista o tabla de parámetros Solicitud.
 Get-Bulk Request: Enviado por un NMS para recuperar grandes bloques de datos,
tales como múltiples filas de una tabla (no en SNMPv1).
 Response: enviado por un agente a un NMS en respuesta a una solicitud.
 Ajuste de pedidos: Enviado por un NMS a un agente para configurar un parámetro
en un logrado dispositivo.
 Trap: Envío autónomo (no en respuesta a una solicitud) por un agente a un NMS
para notificar al NMS de un evento.
 Inform: Enviado por un NMS para notificar a otro NMS de información en una vista
MIB que es a distancia para la aplicación receptora (no en SNMPv1, soporta
arquitecturas MoM).
 19

Bases de Información de Administración (MIB).

Una MIB almacena la información recogida por el agente de gestión local en un dispositivo
gestionado. Cada objeto en una MIB tiene un identificador único. Las aplicaciones de gestión
de red utilizan el identificador para recuperar un objeto específico. El MIB se estructura como
un árbol. Los objetos similares son agrupados bajo la misma rama del árbol MIB. Por ejemplo,
varios contadores de interfaz se agrupan bajo la rama de Interfaces del árbol MIB II (RFC
1213).

MIB II define los siguientes grupos de objetos gestionados para redes TCP / IP:

Sistema

Interfaces

Traducción de direcciones

IP

ICMP

TCP

UDP

EGP

Transmisión

SNMP

Además del estándar MIB, tales como MIB II para los objetos de TCP / IP, hay definiciones
MIB específicas del proveedor. Los vendedores pueden obtener su propia rama de la definición
privada de un subárbol MIB y, crear objetos gestionados encargo bajo esa rama. Para utilizar
las definiciones privadas de objetos gestionados, un administrador de red debe importar las
 20

definiciones en un NMS. Un router Cisco soporta objetos estándares MIB II y objetos privados
administrados introducidas por Cisco en una sección privada del árbol MIB.

Monitoreo Remoto (RMON)

El RMON MIB fue desarrollado por el IETF (Grupo de Trabajo de Ingeniería de Internet) a
principios de 1990 para hacer frente a las deficiencias en los estándares MIB, que carecían de la
capacidad de proporcionar estadísticas sobre el enlace de datos y parámetros de capa física. El
IETF desarrolló la RMON MIB para proporcionar las estadísticas del tráfico Ethernet y
diagnóstico de fallas.

Los agentes RMON reúnen estadísticas de verificación de errores de redundancia cíclica

(CRC), colisiones Ethernet, la distribución de paquetes de tamaño, el número de paquetes
dentro y fuera, y la tasa de paquetes de difusión. El grupo de alarmas RMON permite un
conjunto administrador de red umbral es para los parámetros de la red y agentes de
configuración para entregar automáticamente alertas a los SMN. RMON también apoya la
captura de paquetes (con filtros si se desea) y el envío de los paquetes capturados a un NMS
para el análisis de protocolo. RMON entrega información en nueve grupos de parámetros. La
tabla 1-1 enumera y describe los grupos.

RMON proporciona a los administradores de red con información sobre la salud y el

rendimiento del segmento de red en el que reside el agente RMON. También proporciona una
vista de la salud de todo el segmento, en lugar de la información específica del dispositivo que
muchos agentes no-RMON SNMP proporcionan. Los beneficios de RMON son evidentes, pero
el alcance de RMON versión 1 (RMON 1) es limitada porque se centra en enlace de datos y los
parámetros de la capa física. El IETF está trabajando en una norma RMON2 que va más allá de
la información de segmento que proporciona información sobre la salud y el rendimiento de las
aplicaciones de red y las comunicaciones de extremo a extremo. RMON2 se describe en la RFC
4502.

Protocolo de descubrimiento de Cisco (CDP).

Con el comando “show cdp neighbors detalle” se puede mostrar información detallada
acerca de routers y switches, incluyendo los protocolos vecino que están habilitados, las
 21

direcciones de red para habilitar protocolos, el número y tipos de interfaces, el tipo de

plataforma y sus capacidades, y la versión del software Cisco IOS que se ejecuta en el
vecino.

CDP se ejecuta sobre la capa de enlace de datos, permitiendo dos sistemas que soportan
diferentes protocolos de capa de red para comunicarse. Las tramas CDP utilizan una
encapsulación de Protocolo de Acceso de Subred (SNAP) y se envían a la dirección
multidifusión de Cisco 01-00-0C-CC-CC-CC. Los switches y routers Cisco no reenvían
tramas CDP hacia adelante. Las tramas CDP se envían cada 60 segundos de forma
predeterminada, aunque se puede cambiar esto con el comando “cdp timer”.

Las tramas CDP se envían con un tiempo de espera de 180 segundos de forma
predeterminada. Este tiempo de espera específica la cantidad de tiempo que un dispositivo
receptor debe contener la información antes de descartarlo. Cuando una interfaz se apaga,
CDP envía una trama con el tiempo de espera en cero. Se puede configurar este tiempo de
espera con el comando “cdp holdtime”. El envío de un paquete CDP con un tiempo de
espera de cero permite que un dispositivo de red descubra rápidamente un vecino perdido.

Cisco recomienda una implementación de NetFlow cuidadosamente planificada, con los

servicios de NetFlow activados en routers localizados estratégicamente, por lo general los
routers en el borde de una red. A pesar de que NetFlow tiene un impacto en el rendimiento en
los routers, el impacto es mínimo, menos que el de RMON. Los beneficios de la recopilación
de información de NetFlow, cuando se comparan con SNMP y RMON, incluyen el mayor
detalle de los datos recogidos, el sellado de tiempo de los datos, el apoyo a los diferentes datos
que se reunieron en diferentes interfaces y mayor escalabilidad. También, con NetFlow, no se
requieren sondas externas RMON.

Estimación del tráfico de red causado por la administración de la red.

Después de haber determinado qué protocolos de gestión se utilizará, se puede estimar la

cantidad de tráfico causado por la gestión de redes. Probablemente el protocolo de gestión
 22

principal será SNMP, aunque existen otras opciones, como CDP, ping, traceroute IP y así
sucesivamente.

Después de seleccionar los protocolos de gestión, debe determinar qué red y dispositivo
serán gestionados. El objetivo es determinar qué datos solicitará una NMS desde los
dispositivos gestionados. Estos datos podrían consistir en información de accesibilidad,
tiempo de respuesta, mediciones, información de la dirección de capa de red, y los datos de
la RMON MIB u otros MIB. Después de determinar qué características serán recogidas del
dispositivo gestionado, se debe determinar la frecuencia con la que el NMS solicitará los
datos (esto es llamado el intervalo de muestreo).

Para calcular una estimación aproximada de la carga de tráfico, se multiplica el número de

características de gestión por el número de dispositivos administrados y dividir por el
intervalo de muestreo. Por ejemplo, Si una red tiene 200 dispositivos gestionados y cada
dispositivo se supervisa para 10 características, el número resultante de las solicitudes es
2000; si el intervalo de muestreo es cada 5 segundos y se asume que cada solicitud y
respuesta es un único paquete de 64 bytes, la cantidad de tráfico de red es la siguiente:
(4000 solicitudes y respuestas) × 64 bytes × 8 bits / byte = 2,048,000 bits de cada 5
segundos o 409.600 bps.

En este ejemplo, una red compartida a 10-Mbps Ethernet, los datos de gestión de red
usarían 4% del ancho de banda de red disponible, que es importante, pero probablemente
aceptable. Una buena regla general es que el tráfico de administración debe utilizar menos
del 5% de la capacidad de una red.
 23

CONCLUSIONES
La seguridad y gestión de una red es una preocupación principal para la mayoría de los
clientes debido al incremento en la conectividad a internet y a sus aplicaciones, y porque más
usuarios acceden a las redes empresariales desde sitios remotos y dispositivos inalámbricos;
además al mismo tiempo las empresas se han convertido en más dependiente de sus redes y
esto trae consigo un mayor número de ataques.

Mediante este trabajo brindamos información para ayudar a los clientes de una red a
seleccionar los métodos y encontrar las metas para la seguridad de su red, para esto es
importante identificar bienes y riesgos así como el desarrollo de los requisitos de seguridad,
tener en cuenta el diseño lógico para seguridad (topologías seguras), además del plan de
seguridad, política y procedimientos que cubren también mecanismos de seguridad.

No llevar a cabo una correcta gestión en el diseño lógico de una red puede causar problemas de
escalabilidad y afectar el rendimiento de la red ya que mediante esta se administran los
usuarios y el software de cada uno y se les brinda soporte y seguridad, además de la
garantía de una resolución inmediata e irrepetible de los errores.

Con la implementación de la gestión de red se tiene una mayor certeza a la hora de escoger
un dispositivo o una tecnología que cumpla con las exigencias de los usuarios.