monitorizacion de sistemas y redes

8/3/2019 Monitorizacion de Sistemas y Redes

http://slidepdf.com/reader/full/monitorizacion-de-sistemas-y-redes 1/31

SNMP-CACTI+NAGIOS

1. INTRODUCCIÓN

Hoy en día una de las tareas más importantes de los departamentos de sistemas

es la monitorización de los servicios ofrecidos y de las maquinas que los ofrecen.

La monitorización puede ser tanto interna como externa, siendo esta ultima

mucho más fiable ya que se utiliza una plataforma de un proveedor de servicios

que se encuentra fuera de nuestra red, lo que hace que no le afecten los

problemas que podamos tener en nuestra red.

El protocolo SNMP (Protocolo Simple de Administración de Red) es un protocolo de

capa de Aplicación que permite a los administradores supervisar el funcionamiento

de la red. Existen actualmente tres versiones del protocolo SNMP:

SNMPv1: constituye la primera implementación del protocolo SNMP, pero

enseguida se comprobó que presentaba problemas para especificar la

transferencia de grandes bloques de datos y no tenia mecanismos de

seguridad.

SNMPv2: es muy parecida a la versión 1 pero se introdujeron nuevos

mecanismos de consulta que permitían obtener una gran cantidad de datos

de una vez. Sigue presentando problemas de seguridad.

SNMPv3: refuerza las prestaciones de seguridad incluyendo autentificación,privacidad y control de acceso. SNMPv3 no reemplaza a SNMPv1 y SNMPv2

sino que los complementa aportando una serie de capacidades adicionales

de seguridad y administración.

2. PROTOCOLOS

La función principal del protocolo SNMP es la de facilitar el intercambio de

información de administración entre dispositivos de red.

Una red administrada con SNMP consta de los siguientes componentes:

a. Dispositivos administrados: es un nodo de red que contiene un agente

SNMP y se encuentra dentro de una red administrada, pueden ser routers,

switches, hubs, ordenadores, etc…

b. Agentes: es software de administración de red que se encuentra en el

dispositivo administrado, traduce la información de administración a un

formato compatible con SNMP y la organiza en jerarquías.

c. Sistemas Administradores de Red (NMS): ejecutan aplicaciones que

supervisan los dispositivos administrados.



SNMP utiliza cuatro comandos básicos para supervisar y controlar los dispositivos

administrados:

a. Comando de lectura (GET): el sistema administrador de red examina

diferentes variables de los dispositivos administrados.

b. Comando de escritura (SET): el sistema administrador de red cambia las

variables de los dispositivos administrados.

c. Comando de notificación (TRAP): cuando ocurre algún evento el dispositivo

administrado envía una notificación al sistema administrador de red (Trap

o Método de Interrupción).

d. Operaciones transversales: son usadas por el sistema administrador de red

para saber que variables soporta el dispositivo administrado.

Para realizar las operaciones de administración SNMP utiliza un protocolo noorientado a la conexión (UDP) para enviar mensajes entre los Agentes y los

Administradores, esto asegura que las tareas de administración no afectaran al

rendimiento de la red. Los puertos habitualmente utilizados por SNMP son: 161

(SNMP) y 162 (SNMP-Trap)

Toda la información del equipo administrado se guarda en una base de datos

llamada MIB que es recogida por el Agente y envía al Sistema Administrador de

Red. Un objeto administrado define una (escalares) o varias características

(tabulares) de un dispositivo administrado. La base de datos MIB tiene formato

SMI (Structure of Management Information) o lo que es lo mismo presenta una

estructura de árbol global que organiza la base de datos en niveles, dentro de los

niveles hay módulos y dentro de cada modulo hay grupos



De esta manera el objeto administrado System se podría representar de

cualquiera de las siguientes maneras:

Iso.organization.dod.internet.management.mib-2.system

1.3.6.1.2.1.1

En esta notación primero se identifica el organismo de estandarización (Iso),

después se identifica la organización (organization) y después el DOD

(Departament of Defense), así sucesivamente hasta llegar a la variable que se

quiere consultar o modificar.

Un subconjunto de la base de datos MIB con información común soportado por

todos los dispositivos es el mib-2, que está formado por los siguientes grupos de

objetos:

System: identifica el hardware y el software

Interfaces: situación de las interfaces

AT: traducción de dirección de Ethernet a IP

IP: contador de paquetes, fragmentación.

ICMP: contador de cada tipo de mensaje ICMP

TCP: conexiones abiertas

UDP: conexiones abiertas

EGP: estadística de protocolo externo

Transmission

SNMP: rendimiento de la aplicación SNMP

Los Agentes no originan los mensajes sino que responden a las peticiones de los

Sistemas Administradores de Red, solo inician la comunicación cuando se produce

alguna alerta. Se pueden producir los siguientes mensajes entre el Agente y el

Sistema Administrador de Red:

GET REQUEST: el Sistema Administrador de Red solicita información sobre

una entrada de la base de datos (MIB) al Agente.

GET-NEXT REQUEST: este mensaje es usado para recorrer una tabla de

objetos. Una vez que hemos utilizado el mensaje GET REQUEST puede

usarse GET-NEXT REQUEST para solicitar información del siguiente objeto.

SET REQUEST: se utiliza para actualizar un valor en la base de datos (MIB)

siempre que tenga permisos de escritura.

SET NEXT REQUEST: se actualiza el valor del objeto siguiente.

GET RESPONSE: es usado por el Agente para responder a cualquier

mensaje enviado por el Sistema Administrador de Red. En estos mensajes



aparecen los campos Estado e Índice de error, el campo Índice de error

solo se usa cuando el campo Estado de error es distinto de 0. Los valores

que puede tomar el campo Estado son:

o 0: No hay error

o 1: Demasiado grande

o 2: No existe esa variable

o 3: Valor incorrecto

o 4: El valor es de solo lectura

o 5: Error genérico

GET-BULK REQUEST: es una solicitud de transferencia de datos tan grande

como sea posible. A través de un solo mensaje es posible solicitar la

totalidad de la tabla.

TRAP: es el mensaje que envía el Agente al Sistema Administrador de Red

cuando de se produce algún error en la maquina administrada.

3. FUNCIONAMIENTO

Como ya se ha comentado en el punto anterior el funcionamiento básico del

protocolo SNMP consiste en que la estación administradora envía una solicitud al

agente pidiéndole información o mandándole actualizar el estado de cierta

manera, posteriormente el agente contesta enviando la información solicitada o

una confirmación.



Pero en algunas ocasiones es el agente el que inicia la comunicación, esto

generalmente sucede cuando se ha producido alguna anomalía en la red, en estos

casos como puede comprobarse en el esquema el Agente envía una notificación al

puerto 162 de la estación administradora:

4. HERRAMIENTAS DE MONITORIZACION

Existen varias herramientas gratuitas para la monitorización de redes algunos de

los más conocidos y utilizados son:

Nagios

Pandora

Cacti



Zabbix

Cualquier equipo de red que soporte el protocolo SNMP puede ser monitorizado

por Nagios y Cacti, ambos son herramientas de monitorización de red que nos

permiten conocer en todo momento el estado de nuestros sistemas.

a. NAGIOS es una herramienta de monitorización Open Source que nos

permite controlar el funcionamiento de los equipos y servicios que le

especifiquemos. CARACTERÍSTICAS PRINCIPALES

Monitorización de servicios de red tales como SMTP, POP3, HTTP,

etc…

Monitorización del hardware del equipo administrado (carga del

procesador, estado de los puertos, memoria, etc…) Monitorización remota, a través de túneles SSL cifrados o SSH.

Posibilidad de diseñar fácilmente nuevos Plugins que permitan al

usuario desarrollar sus propios chequeos de servicios.

Chequeo de servicios paralizados.

Permite distinguir entre hosts caídos y host inaccesibles.

Notificaciones cuando ocurren problemas en servicios o en host, así

como cuando son resueltos. Visualización del estado de la red en tiempo real a través de la

interfaz Web y posibilidad de generar informes y gráficos.

b. CACTI es una herramienta para generar gráficos del estado de una red.

Cacti basa su funcionamiento en la RRDtool (Round Robin Database tool) o

lo que es lo mismo trabaja con una base de datos que usa Planificación

Round-robin, esta planificación consiste en manejar la base de datos como

si fuera un circulo, sobrescribiendo los datos cuando se alcanza la

capacidad de la base de datos. Un concepto asociado a las RRDtools es el de SNMP que se utiliza para

realizar consultas a dispositivos, a través de Cacti puedo representar

gráficamente los datos almacenados en la base de datos.



PRACTICA

1. Instala y configura el servicio snmp en una maquina Linux y en una

Windows y comprueba que puedes monitorizar la maquina Windowsdesde el Linux

2. Provoca un fallo en la maquina Windows y comprueba los paquetes que

esta envía a la maquina Linux. Comprueba también que el fallo ha llegado

a la maquina Linux.

3. Instala Nagios en una maquina Linux y configúralo para que monitorice

diversos servicios en la maquina Windows.

4. Una vez hecha la configuración y comprobado de funciona provoca un

fallo para ver si Nagios lo registra.5. Haz un informe del funcionamiento del servidor en el último mes y una

grafica de cada uno de los servicios que se estén monitorizando.

6. Instala Cacti en la maquina Linux configura la monitorización de la

maquina Windows y crea graficas con diversos aspectos de la maquina.

EXTRA

7. Instala algún servicio más en Windows y crea las configuraciones en

Nagios para que los monitorice



PRACTICA (Resuelta)

1. Instala y configura el servicio snmp en una maquina Linux y en una

Windows y comprueba que puedes monitorizar la maquina Windows

desde el Linux.

Instalamos los paquetes snmpd y snmp y antes de editarlo hacemos una copia de

seguridad del archivo snmpd.conf:

Editamos el archivo y añadimos las directivas señaladas en rojo:

Reiniciamos el servicio snmpd:

El siguiente paso es editar el archivo /etc/default/snmpd y quitar la dirección de

loopback para que pueda monitorizar otras maquinas en la red.



Haciendo que la línea quede de esta manera:

Una vez configurado SNMPD vamos al equipo Windows e instalamos también el

servicio SNMP, para ello vamos a Panel de Control-Agregar o quitar programas y

en Asistente para componentes de Windows seleccionamos Herramientas de

administración y supervisión e instalamos todos sus componentes

Una vez instalado vamos a servicios para configurarlo y activarlo. Buscamos el

servicio SNMP y hacemos clic con el botón derecho del ratón sobre él para entrar

en las Propiedades. En la pestaña capturas debemos agregar el nombre de la

comunidad, que en este caso pusimos public, y en destinos de capturas podemos



incluir la IP de la maquina en la que se encuentra el Sistema Administrador de la

Red (192.168.0.25), las capturas se utilizan cuando el Agente recibe una solicitud

que no contiene un nombre de comunidad valido o bien el host emisor del

mensaje no está en la lista de los permitidos, el agente envía un mensaje de

captura a uno o más destinos con el mensaje del fallo de autenticación.

Después en la pestaña Seguridad asignamos los derechos que tendrá lacomunidad y seleccionaremos que acepte paquetes SNMP de cualquier host o de

algunos en concreto

Por último en la pestaña Agente asignamos un nombre de Contacto, una

Ubicación y los servicios de red de este equipo



Ahora ya podemos volver al Linux y comprobar si podemos monitorizar el equipo

Windows, instalamos en el Linux el programa scli que por medio de comandos nos

permite hacer peticiones SNMP

Tecleando la palabra help nos muestra los comandos básicos que podemos utilizar

y con show scli command tree nos muestra todas las opciones que podemos

utilizar para hacer consultas y actualizaciones de estado

Para consultar información del sistema podemos usar show system info lo que nos

mostrara bastante información del equipo que estamos monitorizando, entre la

información podemos ver que en Location y Contact están los valores que hemos

puesto al configurar en Agente en Windows



Si hacemos una captura con Wireshark de estas consultas veremos los paquetes

get-next-request y get-response que son los que usa SNMP para las consultas,

que el objeto administrado aparece en formato numérico y que el puerto que

utiliza SNMP es el 161.

2. Provoca un fallo en la maquina Windows y comprueba los paquetes que

esta envía a la maquina Linux. Comprueba también que el fallo ha llegado

a la maquina Linux.

Para comprobar la comunicación de fallos he añadido una tarjeta nueva a la

maquina Windows y en la maquina Linux he consultado las interfaces a través descli



Después en la maquina Windows desactivamos la tarjeta de red, si ejecutamos el

Wireshark antes de desactivarla veremos que el equipo va a mandar un mensaje

de tipo trap, por el puerto 162, a la maquina Linux informando del error



Si en la maquina Linux ejecutamos de nuevo el comando el programa scli

veremos que la interfaz esta desactivada

3. Instala Nagios en una maquina Linux y comprueba que funciona.

Instalamos nagios3 en la maquina Linux con el comando:

En la configuración de Postfix seleccionamos la opción que más nos convenga, en

este caso he seleccionado sin configuración para mantener la configuración por

defecto



Le damos la contraseña para el administrador de Nagios que será el usuario

nagiosadmin

Una vez hecha la instalación ya podemos acceder a la administración de Nagios

accediendo con el navegador a http://localhost/nagios3 e introduciendo el nombre

de usuario y contraseña

http://localhost/nagios3






Si vamos a la opción Host Detail vemos que por defecto nos aparecen localhost y

Gateway

Si entramos el localhost vemos que hay varios servicios monitorizados por

defecto, nos aparecen dos errores que solucionaremos instalando el servicio SSH

y cambiando los permisos del archivo que nos indica.



4. Configura Nagios para monitorizar una maquina Windows, después

provoca un error para ver si nagios lo registra.

Para monitorizar una maquina Windows editamos el archivo

/etc/nagios3/nagios.conf y descomentamos la siguiente línea:

Después creamos la carpeta objects y el archivo Windows.cfg donde meteremos la

configuración del host y de los servicios que queremos monitorizar

Editamos el archivo /etc/nagios3/objects/windows.cfg y configuramos el host

introduciendo las siguientes líneas:

La línea use generic-host indica que se debe usar la plantilla /etc/nagios3/generic-

host_nagios2.cfg.Después le diremos que monitorice el Ping, los procesos que se

están ejecutando y los servicios HTTP y FTP, para ello tendremos que añadir las

líneas siguientes:



La línea use generic-service indica que debe usar la plantilla

/etc/nagios3/conf.d/generic-service.cfg y la línea check_command check_http

indica que se tiene que usar la plantilla check_http que se encuentra dentro del

archivo /etc/nagios-plugins/config/http.cfg, dentro de estos archivos hay

diferentes plantillas que podemos usar para monitorizar diferentes cosas:

Una vez hecho todo esto reiniciamos el servicio nagios y podemos comprobar en

la interfaz grafica que aparece el equipo y todos los servicios



Para comprobar que es la maquina Windows vamos a ella y desactivamos el

servicio Apache, como podemos comprobar un tiempo después en la consola de

administración de nagios veremos que nos indica el error

Si volvemos a activar el servicio veremos que el error desaparece



Si existe algún problema con el servicio y este se activa o desactiva

constantemente nos aparecerá una notificación como esta además de un indicador

en el nombre del equipo:

5. Haz un informe del funcionamiento de la maquina Gateway en la últimas

24 horas, una grafica de alertas de cada uno de los servicios del host

equipoasi en la última semana y un cuadro de disponibilidad de todos los

equipos en la última semana.

Para hacer los informes vamos a la opción Trends seleccionamos Host, el equipo

que queremos y el periodo de tiempo:



Para los gráficos de alertas vamos a Alert Histogram seleccionamos service, el

servicio y el periodo de tiempo:



Para hacer el cuadro de disponibilidad nos vamos a la opción Availability,

seleccionamos Host(s), ALL HOSTS y el periodo de tiempo:



Todas las graficas e informes se pueden hacer desde la pantalla de información

de cada uno de los hosts y servicios, seleccionándolos en el cuadro:

6. Instala Cacti en la maquina Linux configura la monitorización de la

maquina Windows y crea graficas con diversos aspectos de la maquina,

después comprueba que provocando un error se refleja en las graficas.

Vamos a la maquina Linux y ejecutamos:

Durante la instalación nos pedirá la contraseña del usuario de administración de la

base de datos y la contraseña para que cacti se registre con el servidor de base

de datos:



Después nos preguntara que servidor web queremos que se configure:

Una vez hecho esto accedemos a la interfaz web poniendo en el navegador

http://localhost/cacti y terminamos de instalarlo, después nos aparecerá la

pantalla de login donde usaremos como usuario admin y como contraseña admin,

aunque la contraseña la tendremos que cambiar en ese mismo momento:

http://localhost/cacti





Una vez que hemos accedido ya podemos crear el equipo que queremos

monitorizar, entramos en la opción devices y añadimos los siguientes datos como

aparecen en la imagen:

Hacemos clic en save y nos aparecerá lo siguiente para indicarnos que el host esta

creado:

Si queremos crear gráficos para el host creado vamos a la opción Create Graphs

for this host que aparece en la pantalla información del host

En la pantalla que nos aparece seleccionamos todos los objetos de los que

queramos hacer grafica y hacemos clic en create, después vamos a la opción

Graph Trees y creamos un árbol de gráficos para el nuevos equipo, después en laopción Graph Management asignamos los gráficos creados al árbol del nuevos



equipo, para ello los marcamos todos y en Choose an action seleccionamos Place

on a Tree (equipoasi):

Para ver las graficas creadas vamos a la pestaña graphs, seleccionamos el equipo

que queremos ver y el periodo de tiempo:

Si queremos comprobar la monitorización solo tenemos que volver a desactivar la

interfaz y comprobaremos que la grafica deja de representar el trafico en esa

interfaz durante el tiempo que ha estado parada



EXTRA

7. Instala algún servicio más en Windows y crea las configuraciones en

Nagios para que los monitorice

Vamos a instalar en el equipo Windows un servidor DHCP, DNS, Jabber y Mercury

(servidor de correo) y después configuraremos Nagios para que registre su

disponibilidad.

Instalamos el programa Symple DNS plus que nos permite configurar en el

Windows XP un servidor DNS y un servidor DHCP



Activamos Mercury en el panel de control de XAMPP e instalamos el programa

Openfire para configurar un servidor Jabber

Después en el archivo de configuración de Nagios añadimos las siguientes líneas:



En el caso de Jabber como no hay ninguna plantilla específica para el he

configurado que se compruebe el puerto 5222 que es el puerto que utiliza Jabber.

Una vez añadidas las líneas reiniciamos el servicio Nagios y abrimos la interfaz

grafica:



PREGUNTAS

1. ¿En qué capa del modelo OSI se sitúa el protocolo SNMP?

a) Transporte

b) Aplicaciónc) Red

d) Ninguna de las anteriores

2. ¿Cuál de las versiones de SNMP incorpora nuevos mecanismos de

consulta?

a) SNMPv1

b) SNMPv2

c) SNMPv3

d) Ninguno de los anteriores3. ¿Cuál de los siguientes componentes no forma parte de una red

administrada con SNMP?

a) Dispositivos administrados: es un nodo de red que contiene un

agente SNMP y se encuentra dentro de una red administrada

b) Agentes: es software de administración de red que se encuentra en

el dispositivo administrado, traduce la información de

administración a un formato compatible con SNMP y la organiza en

jerarquíasc) Sistemas Administradores de Red (NMS): ejecutan aplicaciones que

supervisan los dispositivos administrados

d) Todos los anteriores forman parte de la red administrada con SNMP

4. ¿Qué puertos utiliza habitualmente SNMP para realizar las tareas de

administración de red?

a) 151/152(TCP)

b) 161/162(UDP)

c) 161/162(TCP)

d) 151/152(UDP)

5. ¿Cuál de estos comandos no es utilizado por el Sistema Administrador de

red para supervisar y controlar los dispositivos administrados?

a) Operaciones transversales

b) Comando de lectura (GET)

c) Comando de notificación (TRAP)

d) Todas son operaciones utilizadas por el Sistema Administrador de

red

6. Que afirmación es cierta sobre la base de datos MIB



a) Presenta una estructura de árbol y está organizada en niveles,

dentro de cada nivel hay módulos y dentro de cada modulo hay

grupos

b) Es recogida por el Sistema Administrador de red y enviada al

Agentec) Un subconjunto de la base de datos MIB con información común

soportado por todos los dispositivos es el mib-3

d) Todas son ciertas

7. El mensaje que se utiliza para solicitar una transferencia de datos lo más

grande posible es:

a) GET-NEXT REQUEST

b) GET-BULK REQUEST

c) GET-SOAP REQUESTd) Ninguna de las anteriores

8. ¿Para qué se utiliza el mensaje SET REQUEST?

a) Para que el Sistema Administrador de Red solicite información

sobre una entrada de la base de datos (MIB) al Agente

b) Para recorrer una tabla de objetos

c) Para que el Agente informe de que se ha producido algún error

d) Ninguna de las anteriores es cierta

9.

El valor 3 en el campo Estado del mensaje GET RESPONSE indica:a) No hay error

b) Valor incorrecto

c) No existe la variable

d) Ninguna es cierta

10. ¿En la generación de interrupciones quien inicia la comunicación?

a) El Agente situado en la Estación administradora

b) La estación administradora

c) El Agente situado en la Maquina administrada

d) Ninguna es correcta

monitorizacion de sistemas y redes

Documents