administración de red

1

Administracin y Seguridad en Redes

1. Introduccin2. Tareas Principales de la Administracin3. Revisin General de los Estndares4. Productos para Administracin de Redes5. Conceptos de Seguridad. Premisas, postulados y definiciones.6. Amenazas la Seguridad7. Riesgos y componentes de la seguridad.8. Seguridad en Redes, Objetivos, Problemas

2

Administracin y Seguridad en Redes

9. Arquitectura de seguridad10. Encripcin, algoritmos y manejo de claves11. Evaluacin de soluciones12. Seguridad en TCP/IP13. Practicas Forenses.14. Implantacin de esquemas de seguridad15. Estndares de seguridad16. Polticas de seguridad

3

BIBLIOGRAFIA

Stephen Northcutt ans Judy Novak. Deteccin de Intrusos. 2 ed.

Linux Mxima Seguridad

William R. Cheswick and Steven M. Bellovin. Firewalls and Internet Security. Addison- Wesley, Reading, MA, 1994.

Guia de Seguridad e Integridad de datos. LAN TIMES

Siyan Karanjit and Hare Chris. Firewalls y la seguridad en Internet. Prentice-Hall,1997.

Administracin de RedesAgenda

1. Introduccin2. Tareas Principales de la Administracin

3. Revisin General de los Estndares4. Productos para Administracin de Redes

5

1. Introduccin a la Administracin de RedesObjetivos

Conocer

Qu es la Administracin Global de Redes

Los Estndares principales SNMP, MIBs, CMIP

Poder tener criterios para evaluar productos reales

Para una consola de administracin (E.A.)

Para tener los agentes necesarios

Para integrar plataformas diversas

Tener las bases para:

Entender nuevos productos que surjan en el mercado

Lidiar con vendedores

6

Administracin de Redes -Introduccin

Lineamientos

Puntos de vista vs. Hechos concretos

Un enfoque prctico preferentemente. Sin olvidar la teora

Imparcialidad (en lo posible)

Cobertura general. No es posible cubrir todo en un solo da.

Actualidad en la informacin (en lo posible).

7


HistoriaToda Red (local o amplia) que crece se complica hasta llegar a ser inmanejable (Dr. Murphy).

Hasta 1988 las soluciones en el mercado eranPropietarias

Nada amigables

Parciales (en el mejor de los casos)

En 1988 empiezan los esfuerzos reales para buscar una solucin sencilla, abierta y poderosa

8


HistoriaExista una definicin intuitiva (un poco limitada) de Administracin de Redes.Haba dos mundos.

Telecomunicaciones e InformticaHaba 3 bandos

Los hombres (usando el Mailframes)Los nerds (usando TCP/IP, Unix y esas cosas)Los nios (usando PCs y macs)

Empezaba la urgencia de integrar todos, y por lo tanto administrarlo eficientemente.

9


Qu Administramos?Sistemas finales (End Systems)

Donde se crea/consume la informacinTerminales y PCs

Workstations y Servidores

Minis y Mainframes

Sistemas Intermedios (Intermediate Systems)Puentes y enrutadores (Bridges y Routers)

Multiplexores y Modems

Repetidores y Concentradores

10


Qu Administramos?

11


Esquema general de AdministracinEl Esquema general de Administracin se base en tener:

Una estacin Administradora (E.A.)Agentes en cada elemento de la Red que se quiera administrarUn dilogo entre la estacin administradora y las Agentes.

ESTACINADMINISTRADORA DIALOGO ELEMENTO

DE LA RED

AGENTE

12

2. Tareas Principales de la Administracin de RedesEl modelo de FCAPS:

Manejo de Errores (Fault Management)Control de Configuraciones (Configuration)Contabilidad de Recursos (Accounting)Monitoreo de rendimiento (Performance)Seguridad (Security)

13

Administracin de Redes- Tareas Principales

TareasLas cinco tareas han sido reconocidas de manera universal (definidas por ISO)Existen dos grandes reas para cubrirlas

En la Administracin netamente de los elementos de la RedEn la Administracin de los Sistemas

La Administracin de Red cubrira bsicamente los Sistemas Intermedios y los Canales o medios de intercomunicacin (Ethernet, lnea satelital, y enlaces en general).

La Administracin de Sistemas se enfocara a los Sistemas Finales (Servidores, Minis/Mainframes e incluso PCs).

14

Administracin de Redes

15

Administracin de Redes- Tareas PrincipalesConfiguracin

TareasMantener actualizada la informacin tcnica de la red en documentos y diagramas alcanzables.Mantener respaldo de los archivos de configuracin de los elementos de red en lugares seguros pero accesibles.Mantener el inventario de los equipos y elementos de redRegistrar cambios de configuracin en bitcora de red.Configurar los equipos de acuerdo a las necesidades de servicios.

17

Administracin de Redes- Tareas PrincipalesMonitoreo o Desempeo

TareasMonitoreo de la funcionalidad y disponibilidad de cada uno de los servicios habilitados.Monitoreo y registro del trafico generado por cada uno de los servicios habilitados.Recoleccin de estadsticas y variables para cada uno de los niveles del modelo de red con el cual se trabaje.Anlisis de estadsticas y variaciones de variables (trafico, tiempo de respuesta, ndice de errores, disponibilidad)

19

Administracin de Redes- Tareas PrincipalesDeteccin de errores y Fallas

TareasMonitoreo e identificacin de alarmas y fallas en servidores de gestinInforme de alarmas en tiempo realReporte y seguimiento de eventos con los proveedoresGeneracin de reportes de errores y fallas.Verificacin del restablecimiento de la normalidad.

21

Administracin de Redes- Tareas PrincipalesContabilidad (Cuentas y economia)

TareasGestin y control del impacto de aplicaciones en los recursos de redGestion y control de facturacin de serviciosDistribucin de costos por usuariosControl de variables que afectan el flujo de caja (TRM, intereses, descuentos, impuestos, notas credito).

23

Administracin de Redes- Tareas PrincipalesSeguridad

TareasEsquema de claves de acceso a equipos y elementos de redEsquema de claves para consultas de protocolos de administracin (SNMP)Algoritmos para generacin de clavesPermisos, restricciones, validaciones por servicios.

24

Administracin de Redes- Tareas Principales

ConsultaRealice un anlisis sobre la definiciones anteriores e identifique posibles puntos faltantes de definicinComo puede implementar usted soluciones con este conjunto de definiciones?Con que elementos puede usted ayudarse para lograr una correcta funcionalidad de las tareas principales de la administracin de redes?.

25

3. Revisin General de EstndaresFuncionalidad de los Sistemas Distribuidos Escalabilidad para poder satisfacer las necesidades de gestin

de redes de complejidad crecientes en recursos y en informacin almacenada

Capacidad para distribuir entre distintas estaciones remotas de la red las funciones de supervisin, recoleccin de datos ysondeo de estado

Capacidad para gestionar entornos heterogneos en el tipo de recursos de red y de sistemas que los componen

Capacidad para incorporar nuevos servicios e integrarlos con los existentes

26

ClasificacinProtcolos de Dilogo (Estacin de Admn- Agente)

SNMP: Simple Network Management ProtocolCMIP: Common Management Information ProtocolVariantes: SNMP versin 2, CMOT, CMOL

Estructura y Tipo de DatosSMI

Datos EspecficosMIBs: Management Information BaseVariantes: MIB/I,II, RMON MIBs privados, etc.

Forma Genrica de Codificar los DatosASN.1: Abstract Syntax Notation

Administracin de Redes -Estndares

27


El Esquema General

ASN.1ASN.1

AGENTE

ESTACINADMINISTRADORA

DIALOGOSNMPCMIPCMOTCMOL

DIALOGOSNMPCMIPCMOTCMOL

28


El Esquema GeneralSimple Network Management ProtocolSurge a partir de SGMP (1988-1989)Define solamente 5 verbos o PDUs para el dilogo E.A.-Agente:

GET-REQUEST Pedir DatoGET-NEXT-REQUEST Pedir el Siguiente DatoSET-REQUEST Poner un dato a un valorGET RESPONSE Para responder a los 3 anterioresTRAP Avisar de eventos importantes

29


SNMPOriginalmente enfocado a usarse en redes bajo TCP/IP (auspiciado por Internet)Un estndar de facto y con especificaciones RFCs (Request For Comments)Generalmente va encapsulado en UDP e IP, pero existen otras formas.Un Protocolo Peticin-Respuesta (Request-Reply)Los datos los representa en un rbol de variables ordenados numricamente, y el poderoso comando Get-Nextle permite solicitar el siguiente dato.

30


SNMPVerbo GET REQUEST

Pedir un dato (variable MIB)Ej. Get_Request (IpInHdr-Errors)

E.A.

GET_REQUEST

GET_REQUEST

AGENTE

31


SNMPVerbo Get_Next_Request

Pedir un dato (en el rbol de MIBs)Ej. Get_Next_Request (IpInHdr-Errors)

E.A.

GET_NEXT_REQUEST

GET_RESPONSE

AGENTE

32


SNMPVerbo Set_Request

Poner una variable al valor especificadoEj. Set_Request (IpInHdr-Errors=0)

E.A.

SET_REQUEST

GET_RESPONSE

AGENTE

33


SNMPVerbo Get_Response

Responder a los mensajes anterioresEj. Get_Response (variable=valor, status)

GET_RESPONSE

E.A.

GET_REQUEST OGET_NEXT_REQUEST

OSET_REQUEST

AGENTE

34


SNMPVerbo Trap

Lo enva el agente cuando sucede algo importante (no necesariamente grave)

GET_RESPONSE

E.A. AGENTE

35


MIBsManagement Information BaseDefine una estructura en forma de rbol, para acomodar todo tipo de objetos (variables) que se vayan a monitorearAsignacin de nmeros consecutivos a cada rama

1 32 4

36


MIBsUna variable a monitorear es tpicamente una hoja en el rbol (Nodos sin Ramas)La identificacin de cada variable, es de acuerdo a los nmeros de rama que se cruzan para llegar a ella, separados por puntosAunque todo el rbol define MIBs, se distinguen fundamentalmente cuatro grupos:

MIB I y MIB II (Los primeros en estandarizarse)MIBs de monitoreo remoto: RMONMIBs privados: Definidos por cada fabricanteMIBs experimentales (que despus se podrn estandarizar)

37


MIBs

Ccitt(0)

dod(6)

internet(1)

org(3)

iso(1)

experimental(3)mgmt(2)

Iso-y-ccitt(2)

private(4)directory(1)

Mib I y mib II(1) MIBS experimentalesenterprises(1)

MIBS de los fabricantes

38


MIBsCada objeto de los MIBs I/II (MIBs estndares) tendr el prefijo: 1.3.6.1.2.1

Se pueden usar DESCRIPTORES de variable o de grupo para simplificar

En vez de 1.3.6.1.2 podemos decir Internet. 2

En vez de 1.3.6.1.2.1.4.20.1.3.128.14.4.0 podemos decir. ipAdEntNetMask: 128.14.40, que es mucho ms simple (!!?)

39


MIBsUna variable MIB I/II puede contener

Un String

Un contador

Un medidor (Gauge)

Un valor de estado

Un valor de tiempo

O bien puede contener toda una lista o tabla

40


MIBs I y IIEstas son las variables MIB ms conocidas e implementadas

Su enfoque es muy genrico

Son ms tiles en dispositivos como concentradores o enrutadores

Es un mnimo necesario pero no suficiente para un Agente-SNMP

MIB/II agrega algunos grupos y variables, y elimina algunas otras (ocupa las mismas ramas)

De hecho cuando se habla de MIB I/II se est hablando realmente de MIB II

41

MIBs I y IILos grupos que se definen son:

System (sys)

Interfaces(if)

Addres Traslation (at)**

IP (ip)

ICMP (icmp)

TCP (tcp)UDP (udp)EGP (egp)Transmission (tran)*SNMP (snmp)

* significa agregado en MIB-II** significa eliminado en MIB-II


42


GRUPO NRO DE OBJETOS DESCRIPCIN

System 7 Nombre, Ubicacin y descripcin del equipoInterfaces 23 Interfaces de red y su trafico medidoAT 3 Traduccin de direcciones.IP 42 Estadsticas de paquetes IP.ICMP 26 Estadisticas sobre los paquetes ICMP recibidosTCP 19 Algoritmos, parametros y estadisticas TCP.UDP 6 Estadisticas de trafico UDP.EGP 20 Estadsticas de trafico de protolo de pasarela exterior.Transmisin 0 Reservado para MIB de medio especificoSNMP 29 Estadisticas de trafico SNMP.

43

ccit (0) iso (1) join -iso-ccit (2)

standar (0) registration-authorty (1)

Member-

body (2)

Identified-

organization (3)

dod(6)

Internet (1)

directory (1) mgt (2) experimental (3) private (4) security (1) snmpv2 (1)

system (1) Interface (2) Ip (4) Icmp (5) tcp (6) udp (7) egp(8) transnision (10) sample (11)

Mib-2 (1)

Tcp {conntable} tiene el codigo 1.3.6.1.2.1.6.13

44


MIBs I y IIVariables MIB para monitoreo remoto de Redes Locales

Define 9 grupos con ms de 200 objetos

Estndar de facto, para recabar estadsticas de redes Etherneta nivel 1 y 2

Alarmas de umbral sencillas

Captura bsica de paquetes

Interoperabilidad entre provedores

45


RMON MIBs

Grupos

Segment Statics

History

Events

PacketCapturing

Host Top N

Host

AlarmFilter

TrafficMatriz

46


RMON MIBs

GRUPO DESCRIPCIONSegmentStatics

Lleva la cuenta de 20 diferentes caract. Detrfico. Incluye contadores para paqueteslargos, fragmentos, errores CRC/alineacin,etc.

History Permite definir frecuencia y duracin de lasobservaciones de trfico (buckets)

Alarm Brinda umbrales inferiores y superiores paratodas las estadsticas

Host Organiza las estadsticas de trfico paracada nodo: paquetes enviados/recibidos,bytes e/r errores, etc.

47


RMON MIBs

GRUPO DESCRIPCIONHost Top N Clasifica de entre los nodos los nodos (host),

aquellos N que encabezan la listaTraffic Matrix Matriz (a nivel MAC) de trfico entre 2

nodos: cantidad de paquetes, nmero deerrores, etc.

Filter Establece filtros para la captura de paquetesPacket Capture Usando los filtros, permite tener diversos

buffers de captura y controlar suarranque/parada

Events Manejar bitcoras (activadas por umbrales)

48


RMON MIBs I y II

Principales ventajes:

Interoperabilidad multi-proveedores

Extensibilidad

Nivel bsico de funcionabilidad asegurado

Bajo costo!!

49


SNMP v.2Una mejora a la versin originalPropuesta por un grupo comandado por Jeoffrey Case y Marshall RoseDefinido en RFCsCubre las principales deficiencias de SNMP

Rendimiento: Comando Get_Bulk para recuperacin masiva de tablasSeguridad: Permite declarar si los mensajes irn encriptados y autentificadoDefinir todo un concepto de dominios (parties) para administrar la seguridad

En fase de implementacin (1994-1995)

50


CMIPCMIP: Common Management Information ProtocolEl camino propuesto por OSI para la Administracin de RedesEn 1989/90 se pensaba que:

SNMP sera una solucin temporal e intermediaCMIP sera la solucin definitiva

En 1994 se piensa que:El futuro de CMIP es inciertoEl futuro de SNMP es muy bueno

Variantes: CMOT y CMOL

51


CMIP: est orientado a los Objetos

EstacinAdministradora

CMISGETSETCREATEDELETEEVENT-REPORTACTION

Agente

Recursos

ObjetosAdministrados

Sistemas Administrado

52


CMIPServicios de CMIS

GET: Busca valores de variables MIB

SET: Pone un valor a una variable

CREATE: Aade una nueva instancia de un objeto administrado

DELETE: Contrario a CREATE.

ACTION: Brinda un servicio o general para solicitar acciones a ejecutarse sobre objetos administrados, por ejemplo hacer una prueba para saber la causa de una alarma.

EVENT-REPORT: Similar al TRAP de SNMP

53


CMIP y SNMPSIMILARIDADES:En el nivel 3, IP y CLIP (Connetion-Less Internetworking Protocol) muy similaresEn nivel 4, TCP (que SNMP puede ser) y OSI-TP4 son muy similaresEn nivel 7, las aplicaciones son similares FTP es similar a FTAMPDUS en ambosUtilizacin de ASN.1 (SNMP slo un subconjunto)Conexin a otros ambientes va agentes-Proxy

54


Diferencias

SNMP CMIP No soporta herencia Si soporta herencia Fcil de implementar Muy difcil de implementar Poco consumo de memoria Bastante consumo de

memoria Muy utilizado en el mundo

actualmente Muy poco utilizado

55

Administracin de Redes -EstndaresCONCLUSIONES.

SNMP consiste de un simple conjunto compuesto de especificaciones de redes de comunicaciones que cubren todas las bases de la administracin de redes en un mtodo que poseelittle stress en una red existente.

CMIP es un sistema de administracin de redes mucho mejor diseado que corrige algunos inconvenientes de SNMP. Su problema principal es que para solucionar esos problemas seconvirtio en un sistema mas grande y complejo que solo los mejores equipos de redes pueden correrlo.

56

4. Productos para la Administracin de RedesClasificacin

Cualquier clasificacin es arbitraria

Posibles criterios de clasificacin:

Agente o Administrador

Enfoque abierto a una marca en especial

Dirigido a:

Una red local

A mltiples redes locales

A todo un ambiente LAN/WAN

Tareas que cubre

57

Administracin de Redes -Productos

PRINCIPALES PRODUCTOS

HP-Open View de Hewlett- Packard: Ha tomado mucha fuerza comercial a raz de que parte de su tecnologa fue seleccionada por la OSF . Dos versiones: Unix y Windows.

SunNet manager de Sun-Connect: Quizs el producto ms vendido en el gnero. Logr mucho soporte de terceros al inicio. Ahora SUN-Solstice.

IBM-NetView: Basado originalmente en HP-OpenView, pero ahora con mejoras hechas por IBM IBM-NetView for AIX)

58


Criterios de EvaluacinApertura

Compilador deMIBsInterfases de Programacin (APIs estndares)Manuales

Soporte de AplicacionesQu fabricantes tienen aplicaciones para el producto?

EscalabilidadPlataformas en las que correTiene un DBMS?

Soporte Personal local: Capacitacin A qu nivel?Experiencia con otros clientes

59


Criterios de EvaluacinSoporte a estndares

SNMP y SNMP v.2CMIP

Integracin a otros ambientesSNATelecomunicaciones

InterfazManejo de mapas y capas (layers)AmigabilidadRapidez

60


Agentes

Generalmente se le da toda la importancia a la(s) herramienta(s) de

Administracin de la Consola, y se olvida evaluar los agentes

Es tan importante evaluar los agentes y las aplicaciones asociadas con

ellos, como la herramienta de administracin genrica

Comunications Week (abril-junio 1993) realiz diversas evaluaciones

de herramienta de administracin, y resumi en una tabla ms de 300

agentes de diversos fabricantes.

61


Evaluacin de AgentesSoporte de MIBs

MIB I/IIRMON (Qu grupos?)Privados

Hay Documentos?Cuntas variables y Cuntos traps?

Estn en archivos ASN.1 los MIBs?Soporte de

SNMP y/o SNMP v.2 (A qu nivel?)CMIP

En qu consola genrica tiene aplicaciones?

1. Introduccin a la Administracin de RedesAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -IntroduccinAdministracin de Redes -Introduccin2. Tareas Principales de la Administracin de RedesAdministracin de Redes- Tareas PrincipalesAdministracin de RedesAdministracin de Redes-EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -EstndaresAdministracin de Redes -Estndares4. Productos para la Administracin de Redes

administración de red

Documents