lunes, 1 de diciembre de 2014

ntopng bajo CentOS 6.

Hice la prueba de instalar ntopng sin problema, utilizando instaladores binarios. Los diferentes paquetes instalados, incluyendo dependencias de ntopng fueron los siguientes (listado generado utilizando rpm -qa --last|more):

ntopng-1.2.2-8632.x86_64             Mon 01 Dec 2014 02:35:07 PM COT
ntopng-data-1.2.2-8632.noarch        Mon 01 Dec 2014 02:35:06 PM COT
libzmq3-3.2.2-5.1.x86_64             Mon 01 Dec 2014 02:34:39 PM COT
GeoIP-1.5.1-5.el6.x86_64             Mon 01 Dec 2014 02:26:46 PM COT
redis-2.8.17-2.el6.remi.x86_64       Mon 01 Dec 2014 02:26:40 PM COT
numactl-2.0.9-2.el6.x86_64           Mon 01 Dec 2014 02:26:40 PM COT

Luego de ello se inician los servicios:

# service redis start
# service ntopng start

Y eso es todo. Los datos recolectados por ntopng quedan visibles a partir de la URL http://localhost:3000, usuario admin, contraseña admin.

Para consulta remota, se agregó una línea al contenido del archivo /etc/ntopng/ntopng.conf, quedando con estas dos líneas:

-G=/var/tmp/ntopng.pid
-I=eth0

Y en /etc/redis.conf se dejó:

bind 127.0.0.1 172.xx.xx.xx

Aquí una muestra gráfica de esta herramienta (clic en cada imagen para ampliar):

Fig. 1. Top Flow Talkers.

Fig. 2. Top Flow Talkers.

Fig. 3. Top Hosts Interaction.

Fig. 4. Top Protocols.
Publicado por en No hay comentarios:

jueves, 27 de noviembre de 2014

OpenNMS - Herramienta Open Source de monitoreo de nodos y servicios de red

OpenNMS es una herramienta Open Source para Linux, indispensable para monitoreo de una red, es decir, para monitoreo de nodos de red: servidores, servicios y dispositivos de red.

OpenNMS permite generar reportes de disponibilidad periódicos. Tiene como gran atractivo que no requiere instalar agentes en los nodos monitoreados y que realiza auto-descubrimiento de nodos y protocolos acorde al rango de direcciones IP indicadas.

En la Fig. 1 (clic para ampliar) se aprecia una muestra de la página de inicio de OpenNMS, y alertas en tiempo real generadas.

Fig. 1. Muestra de página de inicio de OpenNMS y alertas en tiempo real.


Publicado por en No hay comentarios:

Munin - Herramienta Open Source de monitoreo de servidores

Munin es una herramienta Open Source esencial que permite monitorear servidores desde una consola web centralizada. Requiere instalación de un agente, disponible para servidores Linux y Windows, principalmente. En la Fig. 1 (clic para ampliar) se aprecia una muestra de la consola web de administración centralizada de Munin.

Fig. 1. Muestra de consola web centralizada de Munin.

Munin muestra alertas gráficas en color sepia o en color rojo, dependiendo de la gravedad del evento que origina la alerta, por ejemplo, si el disco duro de un servidor supera el 92% se genera una alerta en color sepia, y si llega al 95% o más, se muestra en color rojo. Como se puede apreciar es una herramienta que no puede faltar por su simplicidad y utilidad.

En la Fig. 2 se muestra un detalle de una de las diversas gráficas generadas por Munin, correspondiente a una línea de tiempo del espacio en disco ocupado, de un servidor.

Fig. 2. Muestra de una gráfica de línea de tiempo de Munin.

Como se puede apreciar, Munin permite, para el ejemplo, estimar el crecimiento en uso del disco y tomar medidas preventivas para evitar que llegue al 100% y cause problemas.
Publicado por en No hay comentarios:

ntop - Herramienta Open Source de monitoreo de tráfico de red

ntop es otra de las herramientas tipo Open Source que pueden ser de gran ayuda para un administrador de red.

ntop permite identificar los equipos que originan el mayor tráfico, los protocolos en uso y otros detalles valiosos, como se aprecia en las Fig. 1, 2, 3 y 4.

Fig. 1. Uso de conexiones HTTP y otros protocolos.

Fig. 2. Uso de un enlace WAN por protocolo.

Fig. 3. Tráfico por nodos (hosts)

Fig. 4. Distribución de protocolos en uso.

Ntop usualmente se instala en equipos Linux que son puertas de salida (gateway) hacia otras redes (usualmente, a sedes remotas o a Internet), como cualquier otro paquete de software, utilizando un instalador binario. Para poder diferenciar el tráfico local del tráfico de red a través del enlace WAN o de Internet a monitorear se debe instalar una segunda tarjeta de red, es decir, una tarjeta (también llamada adaptador de red) para cada red.

Se puede observar en el sitio de ntop, que ahora se llama ntopng (ntop next generation).

Publicado por en No hay comentarios:

Notas sobre VPNs y VLANs

Se presenta unas notas personales de resumen sobre los temas VPN y VLANs, indicados en los materiales del curso y actividad individual reciente (nube de palabras).

1. Redes LAN virtuales - VLANs

Bien, el protocolo más utilizado para configurar las redes LAN virtuales o VLANs, es el IEEE 802.1Q, que es el estándar de redes que soporta VLANs en redes Ethernet. Una VLAN es una red de capa 2. Las VLANs se utilizan para proveer servicios de segmentación pero pueden ayudar también a construir redes capa 3. Las subredes son capa 3, las VLANs son capa 2. Las VLANs se usan para controlar patroes de tráfico y para reaccionar rápidamente a reubicaciones. Las VLANs proporcionan la flexibilidad de adapartse a cambios en requisitos de red y permitir administración simplificada.

Las VLANs permite reducir el dominio de difusión (broadcast de direcciones MAC). Las redes que utilizan switches no son vulnerables a problemas de dominio de colisión, ya que cada puerto en un switch tiene su propio dominio de colisión.

Las VLANs pueden ser estáticas (basadas en asignación de puertos a VLANs) o dinámicas (basados en software).

2. Red Privada Virtual - VPN

Una Red Privada Virtual o VPN es una tecnología que permite extender una red LAN sobre Internet, es decir, es una red privada extendida utilizando la red pública (Internet).

Acorde al protocolo utilizando las VPN pueden ser VPN IPsec, o VPN SSL, y pueden requerir el uso de software cliente VPN (IPsec) o utilizarse mediante navegador (VPN sin cliente).

Haciendo a un lado los protocolos, en esencia hay dos tipos de VPN, VPNs de acceso remoto y VPN de sitio-a-sitio. Las VPNs de sitio a sitio pueden ser difíciles de habilitar y pueden presentarse problemas de compatibilidad en el proceso, si el hardware que se tiene a lado y lado de la VPN es bastante heterogéneo.

Lo ideal desde el punto de vista del usuario final, es poder utilizar una conexión VPN tipo Split-VPN, de esa forma, se disfruta de la comodidad de poder acceder a la VPN de destino, sin perder la conexión a otras redes (es decir, usualmente, a Internet).

Las conexiones VPN son conexiones cifradas. Pueden utilizar conexiones cifradas seguras mediante el uso de protocolos de túneles y encapsulamiento.

Es importante la seguridad final del extremo o punto terminal (endpoint) y contar con una política de seguridad de acceso remoto.

Otros protocolos relacionados con redes VPN son: L2TP, PPTP y MPPE.

Este es un excelente mapa mental sobre redes VPN.
Publicado por en No hay comentarios:

Enlaces de respaldo - La importancia del último kilómetro - Recomendación

Suele ocurrir que se determina que es importante disponer de un enlace WAN de respaldo o de un enlace a Internet de respaldo, pero ¿qué ocurre cuando los enlaces de contingencia son redundantes pero comparten el mismo último kilómetro?

Lo que ocurre en esos casos es que cuando se cae el enlace principal se cae también el enlace de respaldo, ya que en otras palabras, se podría decir, están compartiendo la misma "acometida domiciliaria".

Recomendación: es decir, en caso de que se necesite contratar enlaces WAN o de Internet de respaldo, se recomienda contratar proveedores diferentes, pero no solo a nivel WAN sino también, y especialmente, a nivel del último kilómetro, ya que pueden ser proveedores diferentes, pero pueden estar compartiendo el último kilómetro, y ello puede marcar al diferencia entre tener y no tener esos enlaces de respaldo.
Publicado por en No hay comentarios:

Cacti y SNMP - Herramientas y protocolo de monitoreo de redes - Problemas de seguridad de SNMP

A diferencia de PRTG,  Cacti es una herramienta Open Source de monitoreo de tráfico de redes o de equipos tales como switches y firewalls. Cacti tiene enfoque gráfico y se basa en la herramienta RRDtool. En la Fig. 1. (clic para ampliar) se presenta una muestra gráfico de su uso.

Fig. 1. Muestra gráfica del uso de Cacti para el monitoreo de un enlace de Internet.

Cacti es una herramienta útil tanto para redes pequeñas como para redes con cientos de dispositivos, y puede escalar a miles de dispositivos. Un uso común de Cacti, como el mostrado en la Fig. 1, es monitorear el tŕafico de una red, sondeando el interfaz de red de un enrutador o un firewall, vía SNMP, que es un protocolo estándar para administrar dispositivos en redes IP. SNMP se utiliza sobre todo en los sistemas de gestión de red para supervisar los dispositivos conectados a la red para condiciones que requieren atención administrativa. Entre los dispositivos que normalmente soportan SNMP se tienen los enrutadores, switches, servidores, estaciones de trabajo, impresoras, y otros.

SNMP presenta los siguientes problemas de seguridad:

  • SNMP versiones 1 y 2c son vulnerables a olfateo de paquetes de la cadena de texto de la comunidad en el tráfico de red ya que no implementan cifrado. 
  • Todas las versiones de SNMP son vulnerables a ataques de fuerza bruta y ataques de diccionario para averiguar los nombres de las comunidades (pública y privada), claves de autenticación, cadenas de cifrados o claves de cifrado ya que no implementan handshake de desafio-respuesta. 
  • A pesar de que SNMP funciona sobre TCP y otros protocoles, como se usa usualmente sobre UDP, es vulnerable a ataques de falsificación de IP ya que UDP no está orientado a conexión. La recomendación (y la esperanza) es utilizar SNMP versión 3 para mitigar ese problema.
  • SNMP se encontraba en el año 2000, en la posición 10 en la lista de problemas de seguridad por utilizar valores por defecto del Instituto SANS.

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)