Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Monitor Eo
Monitor Eo
Primera Edición
MÉXICO 2005
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
Rector
Juan Ramón de la Fuente
Secretario General
Enrique del Val Blanco
Editor
Dirección General de Servicios de Cómputo Académico
Dirección de Cómputo para la Investigación
Resumen.
En el presente trabajo se aborda el tema del monitoreo de redes, describiendo las técnicas de
monitoreo, los elementos a tomar en cuenta en un esquema de monitoreo así como un resumen de
algunas herramientas para su implementación.
Índice
1. Introducción...................................................................................... 1
2. Enfoques de monitoreo ..................................................................... 1
2.1. Monitoreo Activo. ............................................................................ 2
2.1.1. Técnicas de monitoreo activo ........................................................... 2
2.2. Monitoreo Pasivo.............................................................................. 2
2.2.1. Técnicas de monitoreo pasivo........................................................... 2
3. Estrategia de monitoreo .................................................................... 3
3.1. Qué monitorear ................................................................................. 3
3.2. Métricas ............................................................................................ 4
3.3. Alarmas............................................................................................. 4
3.4. Elección de herramientas .................................................................. 4
4. Ejemplo de monitoreo basado en el protocolo SNMP. ..................... 5
5. Topología del sistema de monitoreo ................................................. 6
6. Referencias ....................................................................................... 7
1. Introducción
La detección oportuna de fallas y el monitoreo de los elementos que conforman una red de
cómputo son actividades de gran relevancia para brindar un buen servicio a los usuarios. De esto
se deriva la importancia de contar con un esquema capaz de notificarnos las fallas en la red y de
mostrarnos su comportamiento mediante el análisis y recolección de tráfico. A continuación se
habla sobre los enfoques activo y pasivo de monitoreo y sus técnicas, también se toca el tema de
cómo crear una estrategia de monitoreo incluyendo la definición de métricas y la selección de las
herramientas.
2. Enfoques de monitoreo
Existen, al menos, dos puntos de vista para abordar el proceso de monitorear una red: el enfoque
activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.
1
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
• Basado en TCP
– Tasa de transferencia
– Diagnosticar problemas a nivel aplicación
• Basado en UDP
Mediante SNMP
Esta técnica es utilizada para obtener estadísticas sobre la utilización de ancho de banda en los
dispositivos de red, para ello se requiere tener acceso a dichos dispositivos. Al mismo tiempo,
este protocolo genera paquetes llamados traps que indican que un evento inusual se ha producido.
Se pueden realizar scripts que tengan acceso a dispositivos remotos para obtener información
importante para monitorear. En esta técnica se pueden emplear módulos de perl, ssh con
autenticación de llave pública, etc.
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
• Captura de tráfico
• Análisis de Tráfico
Se utiliza para caracterizar el tráfico de la red, es decir, para identificar el tipo de aplicaciones que
son mas utilizadas. Se puede implementar haciendo uso de dispositivos probe que envíen
información mediante RMON o a través de un dispositivo intermedio con una aplicación capaz
de clasificar el tráfico por aplicación, direcciones IP origen y destino, puertos origen y destino,
etc.
• Flujos
También utilizado para identificar el tipo de tráfico utilizado en la red. Un flujo es un conjunto de
paquetes con
Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos que sean capaces de
capturar tráfico y transformarlo en flujos. También es usado para tareas de facturación (billing).
3. Estrategia de monitoreo
Antes de implementar un esquema de monitoreo se deben tomar en cuenta los elementos que se
van a monitoreo así como las herramientas que se utilizarán para esta tarea.
Es importante definir el alcance de los dispositivos que van a ser monitoreado, puede ser muy
amplio y se puede dividir de la siguiente forma.
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
• Dispositivos de Interconexión
W Ruteadores, switches, hubs, firewall
• Servidores
W Web, Mail, DB
• Red de Administración
W Monitoreo, Logs, Configuración.
3.2. Métricas
La definición de métricas permitirá establecer patrones de comportamiento para los dispositivos
que serán monitoreados. También hay diversos tipos de métricas que pueden ser declarados,
dependerán de las necesidades particulares de cada red. Las métricas deben ser congruentes con
los objetos a monitorear que fueron señalados en el punto anterior. Algunos ejemplos son:
3.3. Alarmas
Las alarmas son consideradas como eventos con comportamiento inusual. Las alarmas mas
comunes son las que reportan cuando el estado operacional de un dispositivo o servicio cambia.
Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras métricas,
son valores máximos conocidos como umbrales o threshold. Cuando estos patrones son
superados se produce una alarma, ya que es considerado como un comportamiento fuera del
patrón. Algunos tipos de alarmas son:
• Alarmas de procesamiento
• Alarmas de conectividad
• Alarmas ambientales
• Alarmas de utilización
• Alarmas de disponibilidad (estado operacional)
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
Cacti.
Es una completa solución para el monitoreo de redes. Utiliza RRDTool para almacenar la
información de los dispositivos y aprovecha sus funcionalidades de graficación. Proporciona un
esquema rápido de obtención de datos remotos, múltiples métodos de obtención de datos (snmp,
scripts), un manejo avanzado de templates, y características de administración de usuarios.
Además, ofrece un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola
consola de administración, fácil de configurar.
Net-SNMP.
Conjunto de aplicaciones para obtener información vía snmp de los equipos de interconexión.
Soporta la versión 3 del protocolo la cual ofrece mecanismos de seguridad tanto de
confidencialidad como de autenticación. Provee de manejo de traps para la notificación de
eventos.
Nagios.
Aplicación para el monitoreo de servicios, hosts que pertenecen a una red. Es capaz de
monitorear si un servicio se encuentra activo o no, o si un hosts se encuentra operacional o no.
Muestra el estadio operacional de todos los servicios y hosts en un ambiente Web. Envía
notificaciones mediante mail o pager cuando el estado operacional de un elemento a monitorear
cambia.
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
# Trap de Link-Up
# Alarma de Conectividad
TRAP desde Switch: La interfaz Ethernet 1esta DOWN (FECHA: 03/25/04 HORA: 17:45:41)
TRAP desde Switch: La interfaz Ethernet1 esta UP (FECHA: 03/25/04 HORA: 17:45:49)
Dispositivo de red
Servidor de SNMP (Agente de SNMP)
Mensajes SNMP
Navegador Web
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
Dispositivo de red
Servidor de SNMP
Mensajes trap
Localizador
Consola de alarmas
6. Referencias
– Available Bandwidth Measurement in IP Networks. IP Performance Metrics Working
Group.
– TMN. www.itu.int
– RRDTool. http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
– Cacti. http://www.cacti.net/
– Net-SNMP. http://net-snmp.sourceforge.net/
– Netflow. http://www.cisco.com/warp/public/732/Tech/nmp/netflow/
– Flow-tools. http://www.splintered.net/sw/flow-tools/
– Flowscan. http://www.caida.org/tools/utilities/flowscan/
– Nagios. http://www.nagios.org
– SNMPv3. http://www.ibr.cs.tu-bs.de/ietf/snmpv3/
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT
Seminario Admin-UNAM "Seguridad Perimetral"
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
_____________________________________________________
Departamento de Seguridad en Cómputo/UNAM-CERT