Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CAPÍTULO I.......................................................................................................................1
1. Aspectos Metodológicos.........................................................................................1
1.1. Antecedentes.................................................................................................1
1.3. Justificación...................................................................................................2
1.4. Objetivos........................................................................................................2
CAPÍTULO II......................................................................................................................4
2. Marco Teórico.........................................................................................................4
2.1.1.1. Gestor.....................................................................................................5
2.1.1.2. Agente.....................................................................................................5
2.1.1.3. MIB..........................................................................................................5
2.1.1.4. Protocolo.................................................................................................5
i
2.1.2.4. Gestión de Configuración.......................................................................7
2.2. SNMP.............................................................................................................8
2.3.2. Zabbix....................................................................................................10
2.3.3. Cacti......................................................................................................10
CAPÍTULO III...................................................................................................................12
3. Propuesta..............................................................................................................12
ii
3.4.6. Permiso para Instalar programas.........................................................23
CAPÍTULO IV..................................................................................................................49
4. Conclusiones y Recomendaciones......................................................................49
4.1. Conclusiones...............................................................................................49
4.2. Recomendaciones.......................................................................................49
CAPÍTULO V....................................................................................................................50
5. Bibliografía............................................................................................................50
iii
ÍNDICE DE FIGURAS
iv
CAPÍTULO I
1. Aspectos Metodológicos
1.1. Antecedentes
1
1.3. Justificación.
Observación
Planteamiento del problema
Solución
Experimentación o simulación
Recopilación de los datos
Conclusión
1.4. Objetivos
2
Desarrollar medidas mediante el uso de Active Directory, que eliminen los
problemas planteados.
Seleccionar gestores adecuados para la monitorización de prestaciones,
configuración, fallas y seguridad.
3
CAPÍTULO II
2. Marco Teórico
La gestión de redes abarca hoy en día muchos aspectos, que pueden resumirse o
sintetizarse en tareas de “despliegue, integración y coordinación del hardware, software
y los elementos humanos para monitorizar, probar, sondear, configurar, analizar,
evaluar y controlar los recursos “de una red para conseguir niveles de trabajo y de
servicio adecuados a los objetivos de una instalación y de una organización.
Abarcarlos todos es complejo más aún cuando se precisan con prontitud profesionales
capaces de conocer tecnologías asociadas a redes y proponer servicios. (FUNIBER,
2017)
D
E
R
IT
N
O
MC
A
Z
R
N TR O
O
C L
IS TS EM
ES TD
G
A
E O
N
I
4
Information Base), los cuales interactúan entre sí empleando el modelo gestor-agente
como se muestra en la figura 1.
2.1.1.1. Gestor
2.1.1.2. Agente
2.1.1.3. MIB
2.1.1.4. Protocolo
5
SNMP (Simple Network Management Protocol), forma parte del modelo de gestión de
internet, y CMIP (Common Management Information protocol), es parte del modelo de
gestión OSI son los protocolos predominantes.
Fallo, conviene diferenciarlo de error. El fallo (situación que requiere de algún tipo de
acción correctora) es descubierto debido a la imposibilidad de operar correctamente o
por una gran cantidad de errores. Sin embargo los errores ocurren ocasionalmente y no
tienen por qué ser fallos como por ejemplo todo enlace tiene una tasa de error de bit.
Se ocupa de monitorizar las prestaciones de la red para comprobar que están dentro
de los límites permisibles y eventualmente realizar operaciones de control para
mejorarlas. Ejemplo de parámetros a monitorizar seria el porcentaje de utilización,
trafico cursado, tiempos de respuesta.
El gestor de la red debe ser capaz de establecer los indicadores a medir aplicados en
que puntos de la red que una vez analizados permiten monitorizar la degradación de
las prestaciones.
6
Utiliza la información de prestaciones para descubrir cuellos de botella y poder
planificar ampliaciones de la red. El usuario desearía conocer la calidad del servicio
que le está siendo ofrecido. Desea lógicamente un servicio con las mejores
prestaciones posibles.
Provee funciones para operar, controlar, identificar y colectar datos desde o proveer
datos a elementos de red. En la práctica de gestionar redes de telecomunicaciones
actuales de banda ancha, la gestión de configuraciones generalmente incluye dos
funciones esenciales lógicamente diferentes, gestión de configuración estática y
dinámica.
7
2.1.2.5. Gestión de Contabilidad
Es un set de funciones que habilita la medición del uso del servicio de red y la
determinación del costo de dicho uso. La gestión de contabilidad debería proveer
facilidades para colectar registros de contabilidad y establecer parámetros de tarifación
para la utilización del servicio.
2.2. SNMP
Nodos administrados
Estaciones administradas
Información de administración
Protocolo de administración
Los nodos administrados suelen ser los host, enrutadores, puentes, impresoras u otros
dispositivos, para ser administrados directamente por el SNMP, un nodo debe ser
capaz de ejecutar un proceso de administración SNMP llamado agente, cada agente
mantiene una base de datos local de variables que describen su estado e historia y que
afectan a su operación.
8
contiene uno o más procesos que se comunican con los agentes a través de la red,
emitiendo comandos y recibiendo respuestas.
Consiste en monitorizar y controlar los recursos de una red con el fin de evitar que esta
llegue a funcionar incorrectamente degradando sus prestaciones.
2.3.1. Nagios XI
Nagios XI tiene básicamente las mismas prestaciones que Nagios Core, por lo que en
este documento nos dedicaremos a explicar cuáles son sus ventajas.
9
Figura 2.3: Nagios (https://www.ecured.cu/)
2.3.2. Zabbix
Agente zabbix también puede ser instalado sobre maquinas UNIX y Windows para
monitorear estadísticas como carga de CPU, utilización de red, espacio de disco, etc.
La instalación del agente sobre el host incluye soporte para monitorizar vía protocolos
SNMP, TCP e ICMP como también sobre JMX, SSH, TELNET usando parámetros de
configuración personalizados.
2.3.3. Cacti
Cacti es una herramienta de Software Libre que permite administrar y monitorizar redes
y sus dispositivos mediante gráficos y recopilación de datos. Con este sistema se
puede obtener información a tiempo real sobre nuestros equipos, servidores y switches.
Estos conocimientos son importante porque permite planificar, contabilizar y gestionar
de una manera eficiente los recursos de una red LAN
10
Utiliza un excelente recolector de datos, un sistema avanzado de creación de plantillas
y gráficos y una completa interfaz de gestión de usuarios.
Ventajas
Una de las ventajas que ofrece Cacti es que su instalación no es muy compleja, lo que
lo hace uno de los sistemas más completos y sencillos. Además Cacti está diseñado
para poder funcionar tanto en sistemas Linux como en Windows.
Utilidades
11
CAPÍTULO III
3. Propuesta
12
El firewall que se encuentra en el borde es un cisco RV042g, en el cual se configurarán
la siguiente ACL para limitar el acceso desde la red externa hacia la interna.
Permite conexiones establecidas que fueron iniciadas en la red interna, tomamos como
origen la red sumarizada de la Central.
La primera muestra una vista general de la interfaz Web. Donde debemos dirigirnos a
Firewall, y luego Content Filter.
13
Habilitamos la función de bloquear por dominios, y vamos escribiendo uno a uno los
dominios que se desea bloquear. Por ejemplo, Facebook, Youtube, etc.
14
Otra opción disponible para configurar es la de bloqueo de acuerdo a una palabra
específica. Esto puede ser muy útil para bloquear páginas pornográficas; de tal manera
que si esa palabra está contenida en la URL, la página será bloqueada.
15
Por último, en cualquier equipo de la infraestructura, debería aparecer el siguiente
mensaje, cuando se intenta acceder a una URL bloqueada.
16
Figura 3.2: Arquitectura de Filtrado de paquetes (Elaboración Propia)
Se utilizará el modelo de Internet para realizar la gestión de la red. Este modelo utiliza
el protocolo SNMP como el encargado de realizar la comunicación entre el gestor y los
agentes.
Routers
Switches
Servidores
PCs de escritorio
17
Figura 3.3: Dispositivos críticos of-central (Elaboración propia)
18
Dispositivos Críticos e información a gestionar en cada uno de ellos:
Firewall
o Puertos donde llegan los enlaces WAN
o Que el CPU y la memoria se encuentren en valores aceptables
Router de cada oficina
o Tráfico en las interfaces
o Que el CPU y la memoria se encuentren en valores aceptables
Switches
o CPU y memoria en valores aceptables
o Tráfico en los puertos troncales
Bases de datos
o Rendimiento del sistema (CPU, Memoria RAM, y disco duro)
o Monitorizar la cantidad de solicitudes que recibe el servidor
Máquina del Gerente General
o Rendimiento del sistema (CPU, Memoria RAM, y disco duro)
Lo primero es contar con equipos que puedan ser gestionados, ya sea a través de un
gestor propietario u otro de distribución libre. Los equipos Radwin tienen su propio
Gestor (RNMS), por lo tanto se recomienda utilizar estos equipos en los enlaces.
19
rango de herramientas de vigilancia, monitoreo, configuración y gestión de fallas, y
proporciona a los usuarios completa visibilidad y control sobre su red RADWIN.
Acceso Web desde cualquier punto – Exportar datos a un sitio Web permite tener
acceso a la información desde cualquier punto en cualquier momento.
20
Vistas jerárquicas de la red
Monitoreo de Desempeño e informes de tendencias
Fácil acceso a la información del enlace y el sitio
Interfaz sencilla hacia cualquier dispositivo SNMP
Estimated Througtputh
OID: 1.3.6.1.4.1.4458.1000.1.3.1
21
Figura 3.7: Througtputh estimado (www.radwin.com)
OID: 1.3.6.1.4.1.4458.1000.1.5.61
Sucede que por varias causas un enlace Radwin puede perder el enlace y re
sincronizarse cada cierto tiempo. Una re sincronización muy frecuente del enlace
significa usuarios con servicios deficientes. Mientras más tiempo pase sin alterarse este
contador, mejor. En este caso es un contador que se incrementa desde el último reset
del radio.
Con el uso de la herramienta de gestión para las antenas Radwin, se podrá conocer
detalles exactos cuando ocurra una caída de la conexión.
22
Para radio enlaces hay que tomar en cuenta los siguientes aspectos:
A través de los gestores se podrá obtener información cuando algún dispositivo crítico
caiga, sin embargo hay que tener en cuenta otros factores como el cableado
estructurado, que debería estar certificado.
Mediante el Gestor Zabbix podremos conocer los puertos abiertos que tenemos en los
dispositivos, y de esta manera cerrar los que no se utilizan. La demostración de los
puertos se explica más a detalle en la sección 3.7.
Este problema será mitigado gracias a la GPO configurada para evitar que los usuarios
instalen programas en el equipo. Y también con la denegación de lectura de los
dispositivos de almacenamiento extraíble.
23
Esto se consigue creando una GPO de la siguiente manera: nos dirigimos a
Configuración de Usuario→Directivas→Configuración de Windows→Configuración de
Seguridad→Directivas de Restricción de Software.
Dentro de este apartado nos vamos a Reglas Adicionales, y creamos 2 reglas donde se
denegará la instalación de todo archivo que contenga las palabras “Instal” o “setup”.
24
Luego en el usuario, cuando intenta instalar un programa le aparece un mensaje de
error.
25
3.4.7. No deben tener el panel de control activado
26
Habilitamos la opción y aplicamos los cambios.
27
Luego en el usuario en menú Inicio vemos que ya no le aparece la opción Panel de
control.
28
Dentro de este apartado habilitamos, y aplicamos los cambios.
29
Luego en la máquina del usuario bloqueado, le aparecerá el flash, es decir que la
máquina lo reconoce, sin embargo no puede acceder al flash.
Este problema se elimina con la implementación del RV042g de Cisco, el cual tiene las
funciones de firewall necesarias para bloquear URLs específicas como Facebook y
Youtube.
Utilizando el RV042g definimos horarios y días específicos para bloquear las páginas.
31
Lo siguiente es escoger los archivos de los cuales se hará Backup.
32
Por último debemos escoger cuándo hará el Backup, por ejemplo diariamente a las
7am. Damos en save and run, y se ejecuta el Backup.
33
3.4.13. Los equipos están desactualizados
Para evitar que los equipos finales actualicen su sistema operativo todo el tiempo y
todos los días, se configurará un servidor para que descargue las actualizaciones
desde Internet, y que luego este servidor reparta las actualizaciones a todos los
equipos finales, en un horario establecido, donde no se tenga mucho tráfico en la red.
Esto se realiza mediante la implementación de WSUS, que es una función más incluida
en Windows Server, el servidor WSUS estará ubicado en la DMZ, y será el único
encargado de conectarse con Windows Update. En el CPD estará un segundo WSUS
instalado en el servidor que tiene el Active Directory, éste recibirá los paquetes de
actualización del WSUS ubicado en la DMZ, y luego mediante la creación de políticas
GPO, se encargará de pasar los paquetes de actualización a todos los equipos
registrados en el dominio.
34
Figura 3.9: Funcionamiento de WSUS
El software Cacti nos permite monitorear al host y enviarnos una alerta cuando se
encuentra inalcanzable.
Luego cuando el cliente Windows 7 queda inalcanzable, por ejemplo, por apagón, el
cacti pone el ícono en color rojo y nos muestra el mensaje que configuramos al crear el
host, para cuando se encuentre caído
35
36
Para configurar la forma en la que se envían las alarmas debemos agregar un correo
para recibir las notificaciones.
Con este software podemos analizar el estado actual del sistema y ver su rendimiento.
A continuación se presentan imágenes con las estadísticas que podemos obtener.
Monitoreo General
Uso de CPU
37
Estado de Memoria RAM
Agente Ping
38
3.7. Gestión de Seguridad
39
Luego en el zabbix, nos vamos a la parte del monitoreo y en los equipos que están
siendo monitorizados buscamos el Windows 7, le hacemos clicl, y seleccionamos la
opción “Detect Operating System”.
Ahora lo siguiente que haremos es abrir el puerto para escritorio remoto, como prueba
para verificar el monitoreo del zabbix.
40
En el Windows 7 nos vamos al panel de control, sistema, y en la opción de
configuración de acceso remoto, le damos permitir conexiones. Esto nos abrirá el
puerto 3389.
41
42
Con el comando netstat verificamos que el puerto este abierto
43
Ahora con el zabbix verificamos que este monitoreando correctamente con el puerto
abierto recientemente.
44
3.8. Gestión de Configuraciones
En Monitoreo, Inventario, podemos ver todos los equipos que se están gestionando.
45
Luego en la vista del dispositivo nos mostrará que se realizó el Backup
Si entramos a la vista completa del Router, vemos todos los Backups que se han
realizado en el mismo, con fecha y hora.
46
Si entramos al último Backup realizado vemos que se ha realizado con éxito
47
Luego podemos seleccionar del menú de la derecha la opción exportar configuración.
Esto descargará al servidor un archivo .txt que podremos luego cargar en otro
dispositivo o volverlo a cargar en el mismo para restablecer una configuración anterior.
48
CAPÍTULO IV
4. Conclusiones y Recomendaciones
4.1. Conclusiones
4.2. Recomendaciones
CAPÍTULO V
5. Bibliografía
49
cdn-hardware. (5 de Febrero de 2017). Obtenido de
http://e.cdn-hardware.com.br/static/books/redes/
50