Análisis y

monitoreo
Unidad 3
  3.1 Protocolos de administración de red.
 3.2 Bitácoras.

Temas  3.3 Analizadores de protocolos (scanners y sniffers).

 3.4 Análisis de desempeño de la red: tráfico y servicios.
 3.5 QoS.
 Elaborar un mapa conceptual sobre listas de
control de acceso. (15%)
1
Ejercicios sobre listas de control de acceso.
(20%).

Actividades 2
Elaborar un cuadro sinóptico sobre
analizadores de protocolos y de tráfico de red.
(15%).
3
Elaborar un tutorial sobre el uso de un
programa de monitoreo de paquetes. (50%).
Monitoreo

 El término monitoreo de red describe el uso de un sistema que constantemente

monitoriza una red de computadoras en busca de componentes defectuosos o
lentos, para luego informar a los administradores de redes mediante correo
electrónico u otras alarmas. Es un subconjunto de funciones de la administración
de redes.
 Un sistema de monitoreo de red busca problemas causados por la sobrecarga y/o
fallas en servidores, routers, switches u otros dispositivos.
 Debido a la importancia que representa conocer de antemano cualquier problema
que exista dentro de un dispositivo, los sistemas suelen reportar inmediatamente
de las incidencias por diferentes métodos ya sea vía E-Mail, SMS, Teléfonos, etc.
  Además del estado de la conexión de un
dispositivo es común monitorear algunos
aspectos adicionales tales como:
• Utilización de interfaces de red.
Monitoreo • Carga de CPU.
• Uso de Memoria RAM.
• Uso de Disco Duro
• Tiempo de respuesta del equipo.
Monitoreo

 Para el proceso de selección de la solución correcta para el monitoreo de red, se pueden considerar los
siguientes puntos de evaluación de un sistema de monitoreo:
• Comunicación de las alertas.
• Integración con servidores externos.
• Flexibilidad a la hora de adaptarse a herramientas o software particulares.
• Detección de dispositivos de forma automática.
• Integraciones con Bases de Datos.
• Escalable.
• Capacidad de soportar diversos métodos de adquisición de datos.
• Seguridad.
• Integración con máquinas virtuales.
• Monitorización de la nube.
• Relación costo – beneficio.
SNMP (Simple Network Management Protocol)

 Es un protocolo que permite administrar dispositivos de red y diagnosticar sus

problemas que basa su arquitectura en dos elementos principales: un supervisor y
agentes.
 El supervisor es el terminal que le permite al administrador de red realizar solicitudes
de administración, mientras que los agentes son entidades que se encuentran al
nivel de cada interfaz. Ellos conectan a la red los dispositivos administrados y
permiten recopilar información sobre los diferentes objetos. Los switches, routers y
servidores son ejemplos de hardware que contienen objetos administrados.
 Estos objetos administrados pueden ser información de hardware, parámetros de
configuración, estadísticas de rendimiento y demás elementos que estén
directamente relacionados con el comportamiento en progreso del hardware en
cuestión.
  Estos elementos se encuentran clasificados en
algo similar a una base de datos denominada
MIB (Base de datos de información de
SNMP (Simple administración). SNMP permite el diálogo
Network entre el supervisor y los agentes para
recolectar los objetos requeridos en la MIB.
Management  Los sistemas de monitoreo de red utilizan el
Protocol) protocolo SNMP para operar de manera
eficiente y poder extender la funcionalidad e
información relevante que se presente al
administrador de la red.
  Es un modelo de sistema de interconexión abierta que define
CMIP como crear sistemas comunes de administración de redes

(Common  Tanto CMIP como SNMP definen estándares de administración

de redes pero CMIP es más complejo y proporciona diversas
Management características que deben observar los administradores de red
 Algunas compañías telefónicas están usando CMIP para la
Information administración de redes públicas
Protocol)  Junto con SNMP está incluido en el Ambiente de
Administración Distribuida de OSF
  El modelo de administración OSI define los sistema
administrados y los sistemas de administración. En los
sistemas administrados corren agentes que colectan
información de los procesos que ejecutan los distintos
 Cada nodo de comunicaciones debe tener una base de
información de administración (MIB)
 Un Proceso de Aplicación del Sistema de Administración

Estructura (SMAP) proporciona el interfaz con la información compartida

MIB. Los SMAPs dialogan con otros SMAPs a través de la red
 Una Entidad de Aplicación del Sistema de Administración
(SMAE) soporta la comunicación de los SMAP y las SMAEs
usan CMIP para intercambiar datos entre nodos
 CMIP define la metodología para diseñar el sistema de
administración de red y las especificaciones del interfaz están
indicadas en CMIS (Servicio de Información de Administración
Común)
Funciones

 Administración Contable. Proporciona una forma de monitorear el uso de la red para cobrar a los
usuarios o para medir los costos y prevenir sobregiros de los presupuestos. Esta información también
es útil para pr
 Administración de la Configuración. Por medio de interfaces gráficos, el administrador puede
seleccionar y reconfigurar puentes, enrutadores y otros dispositivos de comunicación
 Administración de Fallas. Detecta y corrige fallas en la red. Analiza aspectos que ayudan a determinar
las causas de falla. Dispone de alarmas para alertar a los administradores que se ha llegado a
determinados u
 Administración del Comportamiento. Proporciona servicios para monitorear la red y mejorar su
comportamiento. Llevar estadísticas es una de los elementos esenciales para administrar el
comportamiento
 Seguridad. Proporciona servicios de seguridad de alto nivel que puede autentificar a los usuarios,
detecta intrusiones y asegura la confidencialidad en la transmisión de datos
 1. Creación y Borrado de Directorios
2. Creación, Apertura, Cerrado, Borrado, Cambio de
nombre, y Almacenamiento de Archivos
3. Modificación de entradas de directorio
4. Actividades de colas
5. Eventos de Servidor, como: cambios de fecha y hora,
Monitoreo y apagado del servidor, montaje y desmontaje de
volúmenes
auditoría 6. Eventos de Usuario, como: Accesos, Salidas,
Terminaciones de Conexión, Restricciones de Espacio,
Des habilitación de Cuentas, Definición de Derechos
7. Eventos de Servicios de Directorio, como: Cambios de
“password”, restricciones de seguridad y de acceso
8. Actividades de Super usuario, como el supervisor o el
administrador de red
  Los administradores utilizan las ACL para detener el
tráfico o permitir sólo el tráfico específico y, al mismo
tiempo, para detener el resto del tráfico en sus redes.
Listas de  Los diseñadores de red utilizan firewalls para proteger
las redes contra el uso no autorizado. Los firewalls son
control de soluciones de hardware o software que hacen cumplir
acceso las políticas de seguridad de la red.
 En un router Cisco, puede configurar un simple firewall
que proporcione capacidades básicas de filtrado de
tráfico mediante las ACL.
Listas de control de acceso

 Una ACL es una lista secuencial de sentencias de permiso o denegación que se

aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera
poderosa de controlar el tráfico de entrada o de salida de la red. Puede configurar
las ACL para todos los protocolos de red enrutados.
 Las ACL le permiten controlar el tráfico de entrada y de salida de la red. Este
control puede ser tan simple como permitir o denegar los hosts o direcciones de
red. Sin embargo, las ACL también pueden configurarse para controlar el tráfico
de red según el puerto TCP que se utiliza.
  El filtrado de paquetes, a veces denominado filtrado
estático de paquetes, controla el acceso a la red, analiza
los paquetes de entrada y de salida, y permite o
bloquea su ingreso según un criterio establecido.
 Un router actúa como filtro de paquetes cuando reenvía
o deniega paquetes según las reglas de filtrado. Cuando
un paquete llega al router de filtrado de paquetes, éste
Listas de extrae determinada información del encabezado del
control de paquete y toma decisiones según las reglas de filtrado,
ya sea autorizar el ingreso del paquete o descartarlo. El
acceso filtrado de paquetes actúa en la capa de red del modelo
OSI o en la capa Internet de TCP/IP.
 Como dispositivo de Capa 3, un router de filtrado de
paquetes utiliza reglas para determinar la autorización
o denegación del tráfico según las direcciones IP de
origen y de destino, el puerto origen y el puerto
destino, y el protocolo del paquete. Estas reglas se
definen mediante las listas de control de acceso o ACL.
Listas de control de acceso

 Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a
direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente información
del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o
"denegar" el ingreso según los siguientes criterios:
 Dirección IP de origen
 Dirección IP de destino
 Tipo de mensaje ICMP

 La ACL también puede extraer información de las capas superiores y probarla respecto de
las reglas. La información de las capas superiores incluye:
 Puerto TCP/UDP de origen
 Puerto TCP/UDP de destino
  La ACL es una configuración de router que controla si un
router permite o deniega paquetes según el criterio
encontrado en el encabezado del paquete. Las ACL son unos
de los objetos más comúnmente utilizados en el software IOS
de Cisco. Las ACL también se utilizan para seleccionar los tipos
de tráfico por analizar, reenviar o procesar de otras maneras.

Listas de  La ACL hace cumplir una o más políticas de seguridad

corporativas al aplicar una regla de permiso o denegación
control de para determinar el destino del paquete. Es posible configurar
las ACL para controlar el acceso a una red o subred.
acceso  De manera predeterminada, un router no tiene ninguna ACL
configurada y, por lo tanto, no filtra el tráfico. El tráfico que
ingresa al router es enrutado según la tabla de enrutamiento.
Si no utiliza una ACL en el router, todos los paquetes que
pueden enrutarse a través del router lo atraviesan hacia el
próximo segmento de la red.
  Utilice las ACL en routers firewall entre su red interna y
su red externa, como Internet.
 Utilice las ACL en un router situado entre dos partes de
la red a fin de controlar el tráfico que entra o sale de
una parte específica de su red interna.
Listas de  Configure las ACL en routers de borde situados en los
control de extremos de la red. Esto proporciona un búfer muy
básico desde la red externa, o entre un área menos
acceso controlada y un área más sensible de su red.
 Configure las ACL para cada protocolo de red
configurado en las interfaces del router de borde.
Puede configurar las ACL en una interfaz para filtrar el
tráfico entrante, saliente o ambos.
Listas de control de acceso

 Puede recordar una regla general para aplicar las ACL en un router mediante las
tres P. Puede configurar una ACL por protocolo, por dirección y por interfaz.

 Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe
definir una ACL para cada protocolo habilitado en la interfaz.
 Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de una
interfaz. Deben crearse dos ACL por separado para controlar el tráfico entrante y
saliente.
 Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo,
Fast Ethernet 0/0.
  Limitar el tráfico de red para mejorar el rendimiento
de ésta. Esto reduce considerablemente la carga de
la red y aumenta su rendimiento.
 Brindar control de flujo de tráfico.
 Proporcionar un nivel básico de seguridad para el
Listas de acceso a la red.

control de  Se debe decidir qué tipos de tráfico enviar o bloquear

en las interfaces del router.
acceso  Controlar las áreas de la red a las que puede acceder
un cliente.
 Analizar los hosts para permitir o denegar su acceso
a los servicios de red. Las ACL pueden permitir o
denegar el acceso de un usuario a tipos de archivos,
como FTP o HTTP.
Listas de
control de
acceso
  Las listas de acceso definen el conjunto de reglas que
proporcionan control adicional para los paquetes que
ingresan a las interfaces de entrada, paquetes que
pasan a través del router y paquetes que salen de las
interfaces de salida del router. Las ACL no actúan sobre
paquetes que se originan en el mismo router.

Listas de  Las ACL se configuran para ser aplicadas al tráfico

entrante o saliente.
control de  ACL de entrada: los paquetes entrantes se procesan
antes de ser enrutados a la interfaz de salida. Una ACL
acceso de entrada es eficaz porque guarda la carga de
búsquedas de enrutamiento si el paquete se descarta.
Si el paquete está autorizado por las pruebas, luego se
procesa para el enrutamiento.
 ACL de salida: los paquetes entrantes se enrutan a la
interfaz de salida y luego son procesados a través de la
ACL de salida.
Listas de control de acceso

 Hay dos tipos de ACL Cisco: estándar y extendidas.

 ACL estándar: Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de
origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el
tráfico desde la red 192.168.30.0/24. Debido a la sentencia implícita "deny any" (denegar todo) al final,
todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración
global.
 ACL extendidas: Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo:
tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen,
puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad
de control. En la figura, la ACL 103 permite el tráfico que se origina desde cualquier dirección en la red
192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el
modo de configuración global.
  La ACL estándar es una colección secuencial de
condiciones de permiso o denegación que aplican a
las direcciones IP. No se incluyen el destino del
paquete ni los puertos involucrados.

Listas de
 Las dos tareas principales involucradas al utilizar las
control de ACL son:
acceso  Paso 1. Crear una lista de acceso que especifique un
número o nombre de lista de acceso y las
condiciones de acceso.
 Paso 2. Aplicar la ACL a las interfaces o líneas de
terminal.
  Todas las ACL deben ubicarse donde más repercutan
sobre la eficacia. Las reglas básicas son:

Listas de  Ubicar las ACL extendidas lo más cerca posible del

control de origen del tráfico denegado. De esta manera, el tráfico
no deseado se filtra sin atravesar la infraestructura de
acceso red.
 Como las ACL estándar no especifican las direcciones
de destino, colóquelas lo más cerca del destino posible.
ACL
estándar
  Para configurar las ACL estándar numeradas en un
router Cisco, primero debe crear la ACL estándar y,
luego, activarla en una interfaz.
 El comando de configuración global access-list
define una ACL estándar con un número entre 1 y 99.
El software IOS de Cisco Versión 12.0.1 extendió el
rango y permite desde 1300 a 1999 para brindar un
máximo de 798 ACL estándar posibles. Estos
ACL estándar números adicionales son denominados ACL IP
expandidos.
 La sintaxis completa del comando ACL estándar es:
 Router(config)#access-list número-de-lista-de-
acceso deny permit remark origen [wildcard origen]
[log]
 R1(config)# access-list 10 permit 192.168.10.0
Máscaras wildcard

 Las máscaras wildcard y máscaras de subred difieren en la forma en la que

concuerdan sus unos y ceros binarios. Las máscaras wildcard utilizan las siguientes
reglas para hacer coincidir sus unos y ceros binarios.
 Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la
dirección
 Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección
 La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los
bits de direcciones IP deben coincidir o que sólo un host coincide.
 La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta
máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse
todas las direcciones.
ACL
  Luego de configurar una ACL estándar, se la vincula a
una interfaz con el comando ip access-group:
 Router(config-if)#ip access-group {número de lista de
acceso | nombre de lista de acceso} {in | out}
 Para eliminar una ACL de una interfaz, primero
ingrese el comando no ip access-group en la interfaz y
luego el comando global no access-list para eliminar
ACL toda la ACL.
  Asignar un nombre a una ACL facilita la comprensión de su
función. Por ejemplo, una ACL que deniega FTP puede
denominarse NO_FTP. Al identificar una ACL con un nombre en
lugar de un número, el modo de configuración y la sintaxis del
comando son un tanto diferentes.
 Paso 1. Desde el modo de configuración global, use el comando ip
ACL estándar access-list para crear una ACL nombrada. Los nombres de las ACL son
alfanuméricos, deben ser únicos y no deben comenzar con un número.
nombrada  Paso 2. Desde el modo de configuración de una ACL nombrada, use las
sentencias permit o deny para especificar una o más condiciones que
determinen si se envía o descarta un paquete.
 Paso 3. Regrese al modo EXEC privilegiado con el comando end.
ACL extendida

 Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque
proporcionan un mayor control y, por lo tanto, complementan su solución de
seguridad.
 Al igual que las ACL estándar, las extendidas verifican la dirección de origen del
paquete, pero también verifican la dirección de destino, los protocolos y los
números de puerto (o servicios). Esto ofrece un criterio más amplio sobre el cual
fundamentar la ACL.
 Por ejemplo, una ACL extendida puede permitir de manera simultánea el tráfico de
correo electrónico de una red a un destino específico y, a la vez, denegar la
transferencia de archivos y la navegación Web.
  La posibilidad de filtrar protocolos y números de puerto le permite
crear ACL extendidas muy específicas. Mediante el número de
puerto adecuado, puede especificar una aplicación al configurar el
número de puerto o el nombre de un puerto bien conocido.
 Pueden utilizarse operaciones lógicas, como igual (eq), desigual
ACL extendida (neq), mayor que (gt) y menor que (lt).
ACL extendida
  En el caso de las ACL extendidas, puede elegir utilizar
números de puerto como se muestra en el ejemplo o
denominar un puerto bien conocido.
 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp
 access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq
ftp-data
ACL extendida
  Puede crear ACL extendidas nombradas básicamente de la misma manera que crea las
ACL estándar nombradas. Los comandos para crear una ACL nombrada son diferentes
según si es estándar o extendida.
 Desde el modo EXEC privilegiado, siga estos pasos para crear una ACL extendida con
nombres.
 Paso 1. Desde el modo de configuración global, use el comando ip access-list
extended nombre para definir una ACL extendida nombrada.
 Paso 2. En el modo de configuración de ACL nombrada, especifique las
condiciones que desea permitir o denegar.
ACL extendida  Paso 3. Regrese al modo EXEC privilegiado y verifique su ACL con el comando
show access-lists [número | nombre].

nombrada  Paso 4. Como opción y paso recomendado, guarde sus entradas en el archivo de
configuración con el comando copy running-config startup-config.
 Para eliminar una ACL extendida nombrada, use el comando de configuración global no
ip access-list extended nombre.
ACL
complejas  Las ACL estándar y extendidas pueden ser la base de las ACL
complejas que brindan mayor funcionalidad. La tabla de la figura
resume las tres categorías de ACL complejas.
  La seguridad y administración de un sistema
operativo tiene en las bitácoras un gran aliado, ya
que en ellas se registran los eventos que ocurren el
sistema operativo, es decir eventos que el
administrador pasaría inadvertidos sin el respaldo de
las bitácoras.
 Elementos de administración: Para una buena
administración de bitácoras es necesario conocer 3
Bitácoras cosas:
 Conocer el propósito de cada bitácora.
 Conocer el formato en el que se presenta la
información.
 Conocer los ataques propios de cada servicio.
 Las bitácoras en el caso de Linux están dentro del
directorio /var/log/, para otros sistemas Unix se
encuentran en /var/adm/.
Bitácoras

 SYSLOG: El demonio syslogd (Syslog Daemon) se lanza automáticamente al arrancar un sistema

Unix, y es el encargado de guardar informes sobre el funcionamiento de la máquina. Recibe
mensajes de las diferentes partes del sistema (Kernel, programas...) y los envía y/o almacena en
diferentes localizaciones, tanto locales como remotas, siguiendo un criterio definido en el fichero
de configuración /etc/syslog.conf, donde especificamos las reglas a seguir para gestionar el
almacenamiento de mensajes del sistema.
 Cada programa puede generar un mensaje de syslog, el cual consta de 4 partes:
 Nombre del programa
 Facility (servicio o facilidad)
 Prioridad
 Mensaje de bitácora.
  WTMP
 Cada vez que un usuario entra al servidor, sale del
mismo, la máquina resetea, este archivo es
modificado. Este archivo al igual que el anterior esta
en binario por lo que tendremos que usar alguna
herramienta especial para ver el contenido de este
archivo.
Bitácoras  Este archivo contiene la información en formato
usuario, hora de conexión, e IP origen del usuario,
por lo que podemos averiguar de donde provino el
agresor (decir que aunque contemos con esta
información puede que haya sido falseada por el
agresor utilizando alguna técnica para ocultar su IP
original o haya borrado su entrada
  Un analizador de protocolos es una herramienta que
sirve para desarrollar y depurar protocolos y
aplicaciones de red. Permite al ordenador capturar
diversas tramas de red para analizarlas, ya sea en
tiempo real o después de haberlas capturado.
 Por analizar se entiende que el programa puede
reconocer que la trama capturada pertenece a un
Analizador de protocolo concreto (TCP, ICMP...) y muestra al
usuario la información decodificada. De esta forma,
protocolos el usuario puede ver todo aquello que en un
momento concreto está circulando por la red que se
está analizando.
 Esto último es muy importante para un programador
que esté desarrollando un protocolo, o cualquier
programa que transmita y reciba datos en una red,
ya que le permite comprobar lo que realmente hace
el programa.
  Además de para los programadores, estos analizadores
son muy útiles a todos aquellos que quieren
experimentar o comprobar cómo funcionan ciertos
protocolos de red, si bien su estudio puede resultar
Analizador de poco ameno, sobre todo si se limita a la estructura y
funcionalidad de las unidades de datos que
protocolos intercambian.
 También, gracias a estos analizadores, se puede ver la
relación que hay entre diferentes protocolos, para así,
comprender mejor su funcionamiento.
Análisis de desempeño de la red

 Las tecnologías de transmisión de datos a través de redes de computadores son el

eje central del funcionamiento de un entorno informático que presta servicios de
tipo cliente/servidor. Un excelente desempeño de la red trae como consecuencia
un aumento de la productividad informática.
 El ingreso de nuevos equipos a la red, la existencia de protocolos no necesarios, la
mala configuración de equipos activos de red o las fallas presentadas en el sistema
de cableado pueden causar degradación del desempeño de la red. Por medio de
pruebas, captura de paquetes, análisis de flujo de información y verificación de la
configuración de equipos activos (switch, routers), se puede mejorar el
desempeño de la red.