SEGURIDAD PERIMETRAL

“MONITOREO DE RECURSOS DE RED”

Dirección General de Servicios de Cómputo Académico

MONITOREO DE RECURSOS DE RED

Primera Edición

ING. CARLOS ALBERTO VICENTE ALTAMIRANO

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO

MÉXICO 2005
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO

Rector
Juan Ramón de la Fuente

Secretario General
Enrique del Val Blanco

Director General de Servicios De Cómputo Académico

Dr. Alejandro Pisanty Baruch

Directora de Cómputo para la Investigación

Dra. Genevieve Lucet Lagriffoul

Jefe del Departamento de Seguridad en Cómputo

Lic. Juan Carlos Guel López

SEMINARIO ADMIN-UNAM “SEGURIDAD PERIMETRAL”

Tema: Monitoreo de Recursos de Red

Editor
Dirección General de Servicios de Cómputo Académico
Dirección de Cómputo para la Investigación

Número de la edición: Junio 2005.

© 2005 Universidad Nacional Autónoma de México

Esta edición y sus características son propiedad de la
Universidad Nacional Autónoma de México.
Ciudad Universitaria, México, DF

Ni la totalidad ni parte de esta publicación puede reproducirse,

registrarse o transmitirse en ninguna forma ni por ningún medio,
sin la previa autorización escrita del editor.

Impreso y hecho en México

Seminario Admin-UNAM "Seguridad Perimetral"

Monitoreo de recursos de red

Carlos A. Vicente Altamirano

UNAM-DGSCA
Dirección de Telecomunicaciones, Departamento de Redes
Centro de Operación de RedUNAM
carlos@noc.unam.mx

Resumen.

En el presente trabajo se aborda el tema del monitoreo de redes, describiendo las técnicas de
monitoreo, los elementos a tomar en cuenta en un esquema de monitoreo así como un resumen de
algunas herramientas para su implementación.

Índice

1. Introducción...................................................................................... 1
2. Enfoques de monitoreo ..................................................................... 1
2.1. Monitoreo Activo. ............................................................................ 2
2.1.1. Técnicas de monitoreo activo ........................................................... 2
2.2. Monitoreo Pasivo.............................................................................. 2
2.2.1. Técnicas de monitoreo pasivo........................................................... 2
3. Estrategia de monitoreo .................................................................... 3
3.1. Qué monitorear ................................................................................. 3
3.2. Métricas ............................................................................................ 4
3.3. Alarmas............................................................................................. 4
3.4. Elección de herramientas .................................................................. 4
4. Ejemplo de monitoreo basado en el protocolo SNMP. ..................... 5
5. Topología del sistema de monitoreo ................................................. 6
6. Referencias ....................................................................................... 7

1. Introducción
La detección oportuna de fallas y el monitoreo de los elementos que conforman una red de
cómputo son actividades de gran relevancia para brindar un buen servicio a los usuarios. De esto
se deriva la importancia de contar con un esquema capaz de notificarnos las fallas en la red y de
mostrarnos su comportamiento mediante el análisis y recolección de tráfico. A continuación se
habla sobre los enfoques activo y pasivo de monitoreo y sus técnicas, también se toca el tema de
cómo crear una estrategia de monitoreo incluyendo la definición de métricas y la selección de las
herramientas.

2. Enfoques de monitoreo
Existen, al menos, dos puntos de vista para abordar el proceso de monitorear una red: el enfoque
activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.
1

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

2.1. Monitoreo Activo.

Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o enviando paquetes a
determinadas aplicaciones midiendo sus tiempos de respuesta. Este enfoque tiene la característica
de agregar tráfico en la red. Es utilizado para medir el rendimiento en una red.

2.1.1. Técnicas de monitoreo activo

• Basado en ICMP.

– Diagnosticar problemas en la red

– Detectar retardo, pérdida de paquetes.
– RTT
– Disponibilidad de host y redes.

• Basado en TCP

– Tasa de transferencia
– Diagnosticar problemas a nivel aplicación

• Basado en UDP

– Pérdida de paquetes en un sentido (one-way)

– RTT (traceroute)

2.2. Monitoreo Pasivo.

Este enfoque se basa en la obtención de datos a partir de recolectar y analizar el tráfico que
circula por la red. Se emplean diversos dispositivos como sniffers, ruteadores, computadoras con
software de análisis de tráfico y en general dispositivos con soporte para snmp, rmon y netflow.
Este enfoque no agrega tráfico en la red como lo hace el activo. Es utilizado para caracterizar el
tráfico en la red y para contabilizar su uso.

2.2.1. Técnicas de monitoreo pasivo

• Solicitudes remotas

Mediante SNMP

Esta técnica es utilizada para obtener estadísticas sobre la utilización de ancho de banda en los
dispositivos de red, para ello se requiere tener acceso a dichos dispositivos. Al mismo tiempo,
este protocolo genera paquetes llamados traps que indican que un evento inusual se ha producido.

Otros métodos de acceso

Se pueden realizar scripts que tengan acceso a dispositivos remotos para obtener información
importante para monitorear. En esta técnica se pueden emplear módulos de perl, ssh con
autenticación de llave pública, etc.

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

• Captura de tráfico

Se puede llevar a cabo de dos formas: 1) Mediante la configuración de un puerto espejo en un

dispositivo de red, el cual hará una copia del tráfico que se recibe en un puerto hacia otro donde
estará conectado el equipo que realizará la captura; y 2) Mediante la instalación de un dispositivo
intermedio que capture el tráfico, el cual puede ser una computadora con el software de captura o
un dispositivo extra. Esta técnica es utilizada para contabilizar el tráfico que circula por la red.

• Análisis de Tráfico

Se utiliza para caracterizar el tráfico de la red, es decir, para identificar el tipo de aplicaciones que
son mas utilizadas. Se puede implementar haciendo uso de dispositivos probe que envíen
información mediante RMON o a través de un dispositivo intermedio con una aplicación capaz
de clasificar el tráfico por aplicación, direcciones IP origen y destino, puertos origen y destino,
etc.

• Flujos

También utilizado para identificar el tipo de tráfico utilizado en la red. Un flujo es un conjunto de
paquetes con

• La misma IP origen y destino

• El mismo puerto TCP origen y destino
• El mismo tipo de aplicación.

Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos que sean capaces de
capturar tráfico y transformarlo en flujos. También es usado para tareas de facturación (billing).

3. Estrategia de monitoreo
Antes de implementar un esquema de monitoreo se deben tomar en cuenta los elementos que se
van a monitoreo así como las herramientas que se utilizarán para esta tarea.

3.1. Qué monitorear

Una consideración muy importante es delimitar el espectro sobre el cual se va a trabajar. Existen
muchos aspectos que pueden ser monitoreados, los más comunes son los siguientes:

• Utilización de ancho de banda

• Consumo de CPU
• Consumo de memoria
• Estado Físico de las conexiones
• Tipo de tráfico
• Alarmas
• Servicios (Web, correo, base de datos)

Es importante definir el alcance de los dispositivos que van a ser monitoreado, puede ser muy
amplio y se puede dividir de la siguiente forma.

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

• Dispositivos de Interconexión
W Ruteadores, switches, hubs, firewall

• Servidores
W Web, Mail, DB

• Red de Administración
W Monitoreo, Logs, Configuración.

3.2. Métricas
La definición de métricas permitirá establecer patrones de comportamiento para los dispositivos
que serán monitoreados. También hay diversos tipos de métricas que pueden ser declarados,
dependerán de las necesidades particulares de cada red. Las métricas deben ser congruentes con
los objetos a monitorear que fueron señalados en el punto anterior. Algunos ejemplos son:

• Métricas de tráfico de entrada y salida

• Métricas de utilización de procesador y memoria
• Métrica de estado de las interfaces
• Métrica de conexiones lógicas

A cada métrica se le asigna un valor promedio, el cual identifica su patrón de comportamiento.

3.3. Alarmas
Las alarmas son consideradas como eventos con comportamiento inusual. Las alarmas mas
comunes son las que reportan cuando el estado operacional de un dispositivo o servicio cambia.
Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras métricas,
son valores máximos conocidos como umbrales o threshold. Cuando estos patrones son
superados se produce una alarma, ya que es considerado como un comportamiento fuera del
patrón. Algunos tipos de alarmas son:

• Alarmas de procesamiento
• Alarmas de conectividad
• Alarmas ambientales
• Alarmas de utilización
• Alarmas de disponibilidad (estado operacional)

3.4. Elección de herramientas

Existe un gran número de herramientas para resolver el problema del monitoreo de una red. Las
hay tanto comerciales como basadas en software libre. La elección depende de varios factores,
tanto humanos, económicos como de infraestructura:

a) El perfil de los administradores, sus conocimientos en determinados sistemas operativos;

b) los recursos económicos disponibles
c) el equipo de cómputo disponible.

En esta ocasión se hará énfasis tres herramientas:

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

Cacti.

Es una completa solución para el monitoreo de redes. Utiliza RRDTool para almacenar la
información de los dispositivos y aprovecha sus funcionalidades de graficación. Proporciona un
esquema rápido de obtención de datos remotos, múltiples métodos de obtención de datos (snmp,
scripts), un manejo avanzado de templates, y características de administración de usuarios.
Además, ofrece un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola
consola de administración, fácil de configurar.

Net-SNMP.

Conjunto de aplicaciones para obtener información vía snmp de los equipos de interconexión.
Soporta la versión 3 del protocolo la cual ofrece mecanismos de seguridad tanto de
confidencialidad como de autenticación. Provee de manejo de traps para la notificación de
eventos.

Nagios.

Aplicación para el monitoreo de servicios, hosts que pertenecen a una red. Es capaz de
monitorear si un servicio se encuentra activo o no, o si un hosts se encuentra operacional o no.
Muestra el estadio operacional de todos los servicios y hosts en un ambiente Web. Envía
notificaciones mediante mail o pager cuando el estado operacional de un elemento a monitorear
cambia.

4. Ejemplo de monitoreo basado en el protocolo SNMP.

Con esta técnica se monitorea:

• Utilización de ancho de banda en los enlaces del backbone e internacionales.

• Consumo de CPU en switches y ruteadores.
• Alarmas de conexiones físicas
• Alarmas de conexiones lógicas
• Alarmas de procesamiento.

Definición de métricas y sus valores

Objeto a monitorear Métrica Valor Promedio Valor

Máximo

Ruteador Utilización de CPU 33% 66%

Ruteador Utilización de 10Mbps 30Mbps

tráfico de salida

Como ya se había mencionado si se recibe o se detecta un valor mayor al máximo definido se

genera y se envía una alarma a los responsables de la red.

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

Así se reciben las trap

# Trap de Link-Up

2004-02-12 20:35:28 switch.unam.mx [IP]:

SNMPv2-MIB::sysUpTime.0 = Timeticks: (234092479) 27 days, 2:15:24.79 SNMPv2-
MIB::snmpTrapOID.0 = OID: IF -MIB::linkUp IF-MIB::ifIndex.3 = INTEGER: 3 IF-MIB::ifDescr.3 =
STRING: Ethernet1 IF-MIB::ifType.3 = INTEGER: ethernetCsmacd(6) SNMPv2-
SMI::enterprises.9.2.2.1.1.20.3 = STRING: "up"

Así se formatean las trap para notificar una alarma:

# Alarma de Conectividad
TRAP desde Switch: La interfaz Ethernet 1esta DOWN (FECHA: 03/25/04 HORA: 17:45:41)
TRAP desde Switch: La interfaz Ethernet1 esta UP (FECHA: 03/25/04 HORA: 17:45:49)

# Alarma de conectividad física

TRAP desde Switch: La interfaz Ethernet1 hacia INSTITUCION esta DOWN (FECHA: HORA: 21:22:56)
TRAP desde Switch: La interfaz Ethernet1 hacia INSTITUCION esta UP (FECHA: HORA: 21:23:21)

Ejemplos de gráficas de utilización y el manejo de en www.cacti.net. Ejemplos de monitoreo de servicios y

hosts en www.nagios.org.

5. Topología del sistema de monitoreo

El sistema consiste de un servidor que hace las solicitudes mediante el protocolo SNMP a los
dispositivos de red, el cual a través de un agente de snmp envía la información solicitada. Ver
Figura 4.4. O bien puede ser que el dispositivo envíe mensajes trap al servidor de SNMP
anunciando que un evento inusual ha sucedido. Ver figura 5.1.

Dispositivo de red
Servidor de SNMP (Agente de SNMP)

Mensajes SNMP

Navegador Web

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

Fig.5.1. Solicitudes mediante SNMP

Dispositivo de red
Servidor de SNMP
Mensajes trap

e-mail

Localizador

Consola de alarmas

Fig. 5.2. Envío de traps

6. Referencias
– Available Bandwidth Measurement in IP Networks. IP Performance Metrics Working
Group.

– TMN. www.itu.int

– RRDTool. http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/

– Cacti. http://www.cacti.net/

– Net-SNMP. http://net-snmp.sourceforge.net/

– Netflow. http://www.cisco.com/warp/public/732/Tech/nmp/netflow/

– Flow-tools. http://www.splintered.net/sw/flow-tools/

– Flowscan. http://www.caida.org/tools/utilities/flowscan/

– Nagios. http://www.nagios.org

– SNMPv3. http://www.ibr.cs.tu-bs.de/ietf/snmpv3/

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43

_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT