OpenNMS - Herramienta Open Source de monitoreo de nodos y servicios de red

OpenNMS es una herramienta Open Source para Linux, indispensable para monitoreo de una red, es decir, para monitoreo de nodos de red: servidores, servicios y dispositivos de red.

OpenNMS permite generar reportes de disponibilidad periódicos. Tiene como gran atractivo que no requiere instalar agentes en los nodos monitoreados y que realiza auto-descubrimiento de nodos y protocolos acorde al rango de direcciones IP indicadas.

En la Fig. 1 (clic para ampliar) se aprecia una muestra de la página de inicio de OpenNMS, y alertas en tiempo real generadas.

Fig. 1. Muestra de página de inicio de OpenNMS y alertas en tiempo real.

Munin - Herramienta Open Source de monitoreo de servidores

Munin es una herramienta Open Source esencial que permite monitorear servidores desde una consola web centralizada. Requiere instalación de un agente, disponible para servidores Linux y Windows, principalmente. En la Fig. 1 (clic para ampliar) se aprecia una muestra de la consola web de administración centralizada de Munin.

Fig. 1. Muestra de consola web centralizada de Munin.

Munin muestra alertas gráficas en color sepia o en color rojo, dependiendo de la gravedad del evento que origina la alerta, por ejemplo, si el disco duro de un servidor supera el 92% se genera una alerta en color sepia, y si llega al 95% o más, se muestra en color rojo. Como se puede apreciar es una herramienta que no puede faltar por su simplicidad y utilidad.

En la Fig. 2 se muestra un detalle de una de las diversas gráficas generadas por Munin, correspondiente a una línea de tiempo del espacio en disco ocupado, de un servidor.

Fig. 2. Muestra de una gráfica de línea de tiempo de Munin.

Como se puede apreciar, Munin permite, para el ejemplo, estimar el crecimiento en uso del disco y tomar medidas preventivas para evitar que llegue al 100% y cause problemas.

ntop - Herramienta Open Source de monitoreo de tráfico de red

ntop es otra de las herramientas tipo Open Source que pueden ser de gran ayuda para un administrador de red.

ntop permite identificar los equipos que originan el mayor tráfico, los protocolos en uso y otros detalles valiosos, como se aprecia en las Fig. 1, 2, 3 y 4.

Fig. 1. Uso de conexiones HTTP y otros protocolos.

Fig. 2. Uso de un enlace WAN por protocolo.

Fig. 3. Tráfico por nodos (hosts)

Fig. 4. Distribución de protocolos en uso.

Ntop usualmente se instala en equipos Linux que son puertas de salida (gateway) hacia otras redes (usualmente, a sedes remotas o a Internet), como cualquier otro paquete de software, utilizando un instalador binario. Para poder diferenciar el tráfico local del tráfico de red a través del enlace WAN o de Internet a monitorear se debe instalar una segunda tarjeta de red, es decir, una tarjeta (también llamada adaptador de red) para cada red.

Se puede observar en el sitio de ntop, que ahora se llama ntopng (ntop next generation).

Notas sobre VPNs y VLANs

Se presenta unas notas personales de resumen sobre los temas VPN y VLANs, indicados en los materiales del curso y actividad individual reciente (nube de palabras).

1. Redes LAN virtuales - VLANs

Bien, el protocolo más utilizado para configurar las redes LAN virtuales o VLANs, es el IEEE 802.1Q, que es el estándar de redes que soporta VLANs en redes Ethernet. Una VLAN es una red de capa 2. Las VLANs se utilizan para proveer servicios de segmentación pero pueden ayudar también a construir redes capa 3. Las subredes son capa 3, las VLANs son capa 2. Las VLANs se usan para controlar patroes de tráfico y para reaccionar rápidamente a reubicaciones. Las VLANs proporcionan la flexibilidad de adapartse a cambios en requisitos de red y permitir administración simplificada.

Las VLANs permite reducir el dominio de difusión (broadcast de direcciones MAC). Las redes que utilizan switches no son vulnerables a problemas de dominio de colisión, ya que cada puerto en un switch tiene su propio dominio de colisión.

Las VLANs pueden ser estáticas (basadas en asignación de puertos a VLANs) o dinámicas (basados en software).

2. Red Privada Virtual - VPN

Una Red Privada Virtual o VPN es una tecnología que permite extender una red LAN sobre Internet, es decir, es una red privada extendida utilizando la red pública (Internet).

Acorde al protocolo utilizando las VPN pueden ser VPN IPsec, o VPN SSL, y pueden requerir el uso de software cliente VPN (IPsec) o utilizarse mediante navegador (VPN sin cliente).

Haciendo a un lado los protocolos, en esencia hay dos tipos de VPN, VPNs de acceso remoto y VPN de sitio-a-sitio. Las VPNs de sitio a sitio pueden ser difíciles de habilitar y pueden presentarse problemas de compatibilidad en el proceso, si el hardware que se tiene a lado y lado de la VPN es bastante heterogéneo.

Lo ideal desde el punto de vista del usuario final, es poder utilizar una conexión VPN tipo Split-VPN, de esa forma, se disfruta de la comodidad de poder acceder a la VPN de destino, sin perder la conexión a otras redes (es decir, usualmente, a Internet).

Las conexiones VPN son conexiones cifradas. Pueden utilizar conexiones cifradas seguras mediante el uso de protocolos de túneles y encapsulamiento.

Es importante la seguridad final del extremo o punto terminal (endpoint) y contar con una política de seguridad de acceso remoto.

Otros protocolos relacionados con redes VPN son: L2TP, PPTP y MPPE.

Este es un excelente mapa mental sobre redes VPN.

Enlaces de respaldo - La importancia del último kilómetro - Recomendación

Suele ocurrir que se determina que es importante disponer de un enlace WAN de respaldo o de un enlace a Internet de respaldo, pero ¿qué ocurre cuando los enlaces de contingencia son redundantes pero comparten el mismo último kilómetro?

Lo que ocurre en esos casos es que cuando se cae el enlace principal se cae también el enlace de respaldo, ya que en otras palabras, se podría decir, están compartiendo la misma "acometida domiciliaria".

Recomendación: es decir, en caso de que se necesite contratar enlaces WAN o de Internet de respaldo, se recomienda contratar proveedores diferentes, pero no solo a nivel WAN sino también, y especialmente, a nivel del último kilómetro, ya que pueden ser proveedores diferentes, pero pueden estar compartiendo el último kilómetro, y ello puede marcar al diferencia entre tener y no tener esos enlaces de respaldo.

Cacti y SNMP - Herramientas y protocolo de monitoreo de redes - Problemas de seguridad de SNMP

A diferencia de PRTG,  Cacti es una herramienta Open Source de monitoreo de tráfico de redes o de equipos tales como switches y firewalls. Cacti tiene enfoque gráfico y se basa en la herramienta RRDtool. En la Fig. 1. (clic para ampliar) se presenta una muestra gráfico de su uso.

Fig. 1. Muestra gráfica del uso de Cacti para el monitoreo de un enlace de Internet.

Cacti es una herramienta útil tanto para redes pequeñas como para redes con cientos de dispositivos, y puede escalar a miles de dispositivos. Un uso común de Cacti, como el mostrado en la Fig. 1, es monitorear el tŕafico de una red, sondeando el interfaz de red de un enrutador o un firewall, vía SNMP, que es un protocolo estándar para administrar dispositivos en redes IP. SNMP se utiliza sobre todo en los sistemas de gestión de red para supervisar los dispositivos conectados a la red para condiciones que requieren atención administrativa. Entre los dispositivos que normalmente soportan SNMP se tienen los enrutadores, switches, servidores, estaciones de trabajo, impresoras, y otros.

SNMP presenta los siguientes problemas de seguridad:

• SNMP versiones 1 y 2c son vulnerables a olfateo de paquetes de la cadena de texto de la comunidad en el tráfico de red ya que no implementan cifrado. 
• Todas las versiones de SNMP son vulnerables a ataques de fuerza bruta y ataques de diccionario para averiguar los nombres de las comunidades (pública y privada), claves de autenticación, cadenas de cifrados o claves de cifrado ya que no implementan handshake de desafio-respuesta. 
• A pesar de que SNMP funciona sobre TCP y otros protocoles, como se usa usualmente sobre UDP, es vulnerable a ataques de falsificación de IP ya que UDP no está orientado a conexión. La recomendación (y la esperanza) es utilizar SNMP versión 3 para mitigar ese problema.
• SNMP se encontraba en el año 2000, en la posición 10 en la lista de problemas de seguridad por utilizar valores por defecto del Instituto SANS.

PRTG y Cacti - Herramientas de monitoreo de redes

PRTG y Cacti son dos herramientas para monitoreo de redes. PRTG es software de la empresa Paessler, que se distribuye en versiones freeware y comercial.

PRTG se ejecuta en Windows y monitorea la disponibilidad de red y uso de la red a través de SNMP, Packet Sniffing, WMI, IP SLA y Netflow y varios otros protocolos. Existe incluso un cliente para Android que se pudo probar funciona rápido. En la Fig. 1 (clic para ampliar) se aprecia una muestra gráfica de la página de inicio de enlaces monitoreados, permitiendo una visión global de su estado.

Fig. 1. Página de inicio consola web Ajax de PRTG.

En la Fig. 2 (clic para ampliar) se aprecian gráficas que muestran detalles de tráfico de subida y de bajada correspondientes a datos actuales, y datos de las últimas 24 horas, 30 días y 100 días.

Fig. 2. Muestra gráfica de uso de un enlace WAN con PRTG.

En Colombia, algunos proveedores que utilizan PRTG ofrecen acceso de consulta a sus clientes a la consola web. PRTG acompaña las gráficas también con datos como los que se aprecian en la Fig. 3.

Fig. 3. Datos de muestra de PRTG.

PRTG es una herramienta con un interfaz web moderno, amigable. En la siguiente entrada se comentará sobre Cacti.

Administración del ancho de banda de enlaces WAN y de Internet

Una de las tareas básicas claves de un administrador de red es monitorear el uso del ancho de banda de enlaces de larga distancia e Internet. Una alternativa es utilizar dispositivos especializados para tal función.

Por ejemplo, los equipos (appliances) PacketShaper de BlueCoat (antes Packeteer). Hace ya varios años tuve la oportunidad de administrar un equipo de esos. En la Fig. 1 (clic sobre la imagen para ampliar) se aprecia una muestra gráfica del uso del enlace a Internet (que se aprecia como INTERNET) y de enlaces WAN (identificados por la palabra REGIONALES).

Fig. 1.  Muestra de uso de enlace de Internet y enlaces WAN.

Obsérvese que para el enlace de Internet se aprecia el uso discriminado por protocolos o tipo de tráfico: Navegación (HTTP y HTTPS), FTP, Skype, Streaming (videos, audio), BITS (Windows Updates), o tráfico a un servidor específico (INTERNET/PAGINA_WEB).

En la terminología de los equipos PacketShaper, todos esos tráficos eran denominados clases. En los reportes de uso de los canales WAN y de Internet, cada clase debía ser previamente creada y configurada, en algunos casos, aplicando políticas para priorizar tráfico, y en otros, reservando un porcentaje del canal para garantizar un ancho de banda.

En la Fig. 2 (clic sobre la imagen para ampliar) se aprecia una muestra de políticas de priorización de tráfico y otros detalles.

Fig. 2. Detalles de tráfico en tiempo real en enlaces WAN, particiones y políticas aplicadas.

Obsérvese la clase SIEMENS, que corresponde a telefonía remota entre sedes, con una tasa garantizada de 30 a 50 kbps por segundo para un máximo de dos llamadas simultáneas. Cada llamada generaba un tráfico constante de unos 32 kbps.

Recomendación: Cuando se contraten enlaces de Internet (principalmente) o enlaces WAN, considere que como parte del servicio se incluya un equipo para monitoreo de los enlaces, de manera que se tenga control de los mismos, o si eso queda en manos del proveedor de Internet (ISP) o enlaces WAN, incluya una cláusula de manera que al menos puede acceder a una consola web de consulta, de manera que si se observa que algo no está bien, se pueda solicitar al proveedor que realice ajustes, aunque, dependiendo de la carga administrativa y recurso humano, podría ser preferible tener ese control y poder realizar los ajustes que se requieran en el momento en que se requiera, sin depender del proveedor.

Alternativas utilizando software libre: en su momento se tuvo la oportunidad de probar con software libre de packet shaping pensando en priorizar tráfico, no obstante, el control sobre ese tráfico es un tema complicado, de alta dificultad técnica que en concepto del autor de esta nota, solo se logra con la ayuda de equipos especializados como el mencionado, debido a la gran cantidad de protocolos y dificultad de control de ciertos protocolos o tráficos, por ejemplo, P2P, redes sociales, etc. Si una entidad tiene recursos, vale la pena y es lo recomendable incluir ese control (supervisión y administración) como parte de los enlaces que se contraten.

Los enrutadores no son dispositivos de filtrado

En el material del curso de redes se plantea el tema de filtrado de protocolos en enrutadores (routers), como medida de protección para evitar diversos problemas de seguridad. Como se sabe, los enrutadores son dispositivos de red, usualmente hardware especializado que envía (o encamina) datos de una red a otra. Un enrutador es un dispositivo que proporciona conectividad a nivel de red, es decir, al nivel 3 en el modelo OSI.

Fuente: http://commons.wikimedia.org/wiki/File:OSI_model_router.png

Lo cierto es que los enrutadores no son dispositivos de filtrado de protocolos, su función es enrutar, no filtrar. Para respaldar lo que se afirma, si se consulta la Wikipedia, en inglés o español, se puede comprobar que no existe mención alguna ni al término filter o filtering ni a filtrado.

No quiere decir que los enrutadores no permitan realizar algún filtrado, por ejemplo, filtrado por MAC, de manera que solo equipos autorizados puedan conectarse a un enrutador para su administración, pero este filtrado es por seguridad del propio enrutador, no para restringuir o permitir tráfico a través del enrutador.

El filtrado de paquetes, es una función propia de firewalls, pero quizá sea más apropiado hablar de filtrado de puertos y no de protocolos. En cualquier caso, se debe tener pleno conocimiento de los puertos involucrados en cada servicio de red o conexión de red, por ejemplo, un acceso remoto SSH usualmente se realiza utilizando el puerto 22, pero nada impide, utilizar un puerto diferente, por ejemplo, el 1022 y con ello se logra un log de registro de intentos de acceso mucho más limpio (casi sin intentos de conexiones registrados), lo que es favorable. En cualquier caso, se estaría hablando de accesos habilitados o restringuidos a nivel de firewalls, no de enrutadores.

Algo diferente sería, si se cuenta con equipos UTM (multifunción), cada vez más comunes.

Cómo auditar la seguridad de la red interna

Aquí un artículo para empezar con la buena revisión bibliográfica que se necesita realizar: Cómo auditar la seguridad de la red interna. En el se dan algunas ideas o sugerencias de cómo abordar el tema.