NETWORK MANAGEMENT: NTP, SYSLOG, SNMP Y NETFLOW

Katherine Bardales Zegarra

Universidad Privada del Norte Campus Trujillo

Resumen: El presente trabajo busca definir y explicar el funcionamiento de la
aplicacin de los protocolos NTP, SYSLOG, SNMP y NETFLOW utilizados para la
administracin de redes.

Keywords: NTP, SYSLOG, SNMP, NETFLOW

1. INTRODUCCION

En las redes informticas, la administracin de la red se refiere a las actividades, mtodos,
procedimientos y herramientas que se refieren a la operacin, administracin,
mantenimiento y aprovisionamiento de sistemas en red. Administracin de la red es esencial
para mandar y las prcticas de control y generalmente se lleva a cabo de un centro de
operaciones de red. [1]

Mejora la continuidad en la operacin de la red con mecanismos adecuados de control y
monitoreo, de resolucin de problemas y de suministro de recursos. Hace uso eficiente de la
red y utilizar mejor los recursos, como por ejemplo, el ancho de banda.

Reduce costos por medio del control de gastos y de mejores mecanismos de cobro. Hace la
red ms segura, protegindola contra el acceso no autorizado, haciendo imposible que
personas ajenas puedan entender la informacin que circula en ella.

Controla cambios y actualizaciones en la red de modo que ocasionen las menos
interrupciones posibles, en el servicio a los usuarios.

2. RESULTADO

2.1. ADMINISTRACION DE REDES: SINCRONIZADOR DE RELOJES DE
TIEMPO NTP
El Protocolo de Tiempo de Red (NTP) es un protocolo que utiliza la hora universal
coordinada (UTC) para sincronizar la hora normal entre un conjunto de servidores y
clientes de tiempo distribuidos

[2],
Este protocolo se ha desarrollado hasta la versin 4, el cual ha sido formalizado en el
RFC 1305. Existe tambin una versin simple del protocolo (SNTP) la cual se encuentra
descrita en el RFC 2030. [3]
El tiempo es extremadamente importante en los dispositivos de red. ste es el nico
marco de referencia que hay entre ellos. Por este motivo es importante mantener
sincronizado el tiempo de la red y poder de as realizar una correlacin confiable,
teniendo en cuenta los logs
1
generados por los dispositivos. [4]
2.1.1. Arquitectura del sistema
El protocolo NTP fue diseado para ser usado por un conjunto de clientes y
servidores de tiempo. En ste existe un servidor primario (Stratum 1), el cual debe
estar conectado a un reloj de referencia de gran precisin y debe contar con el
software necesario para manejar NTP. La idea es que este servidor primario
transmita la informacin del tiempo a otros servidores de tiempo (Stratum 2)
quienes, a su vez, deben transmitir la informacin y sincronizar a otros servidores.
Todos los participantes de este esquema deben tener el software requerido para la
sincronizacin por NTP.
En NTP, existen dos formas de sincronizacin. La mencionada anteriormente, en la
cual existe un cliente que se sincroniza con un servidor. Este cliente se comporta a
su vez como un servidor de otro cliente, y tendr una numeracin de Stratum
inmediatamente superior a la de su servidor. En la otra forma, existen dos mquinas
que se prestan servicios de sincronizacin entre s, es decir, cada mquina se
configura para comportarse como cliente o servidor, segn el que sea m. En esta
configuracin los servidores se llaman peers
2
.
La siguiente Figura refleja el esquema jerrquico usado por NTP. sta jerarqua
puede ser usada hasta 16 niveles.

Figura 01. Esquema jerrquico de NTP. [3]

1
Log: registro oficial de eventos durante un rango de tiempo en particular
2
Servidores Peers: Servidores compaeros
Coordina el tiempo de eventos de red, lo que ayuda a entender y solucionar la
secuencia temporal de los eventos de red. Por ejemplo, los registros de llamadas
para usuarios especficos pueden ser correlacionados en una milsima de segundo.
Permite comparar los registros de tiempo de diferentes redes, que es esencial para:

Seguimiento de los incidentes de seguridad
Anlisis de fallas
Solucin de problemas

Sin sincronizacin de tiempo precisa entre todas las diversas talas, la salida de
depuracin, gestin y funciones de AAA en la red, no se puede hacer
comparaciones en el tiempo
NTP provee una precisin de tiempo de uno o dos milisegundos en LANs, y hasta
10 milisegundos en WANs.
Este protocolo trabaja enviando mensajes UDP
3
a travs del puerto 123.
2.1.2. Configuracin NTP en router:

En configuracin general:
Router(config)# ntp broadcastdelay [delayTime]
Router(config)# ntp clock-period [delayTime]
Router(config)# ntp master [level stratum]
Router(config)# ntp server [ip-address]
Router(config)# ntp server [ip-address] prefer

ntp broadcastdelay [delayTime] - Este comando especifica el retraso que hay del
router al servidor de destino. delayTime valor en el rango de microsegundos 0-
999999
ntp clock-period [delayTime] - Es un parmetro referente al reloj interno del
router y que se va ajustando.
ntp master [level stratum] - Indica que es del nivel del stratum
ntp server [ip-address] - Servidor de sincronizacin
ntp server [ip-address] prefer - Servidor de sincronizacin preferido









3
Es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulamiento de capa 4 Modelo
OSI).
2.1.3. Caso de uso:
Un caso de uso es en los procedimientos distribuidos ya que dependen de tiempos
coordinados para asegurar que las secuencias mandadas van seguidas una de otra.
En sistemas distribuidos se usa para reducir la diferencia en el manejo de procesos
que se ejecuten en ms de una computadora. Como cualquier forma de
sincronizacin presenta desventajas, una de ellas es que al ser una forma
centralizada de manejar los datos, en caso de que falle el servidor, la o las
computadoras clientes sincronizados pueden fallar igualmente
2.2.ADMINISTRACION DE REDES: MTODO DE TRANSPORTE SYSLOG

Syslog es un protocolo de red que permite a una mquina enviar notificaciones de
eventos a travs de redes IP a recolectores de mensajes tambin conocidos como
servidores Syslog. En otras palabras, una mquina o dispositivo puede configurarse de
manera que genere un mensaje Syslog y lo enve a un servidor Syslog especfico
ejecutndose en otro ordenador.

Syslog es un sistema de logs que se encarga principalmente de la administracin de
logs
4
, los cuales son generados por eventos del sistema, por sus programas o por el
Kernel. [5]
Es comn ahora encontrar equipos de redes que pueden generar y enviar mensajes
Syslog a equipos configurados con un demonio que los reciba [6], as como ya existen
implementaciones para sistemas Windows.
El termino Syslog es a menudo utilizado para describir tanto el protocolo para el envo
de mensajes, como el programa o librera que enva mensajes Syslog.

2.2.1. Mensaje Syslog
Un mensaje Syslog cuenta con tres campos:
Prioridad: Este campo debe estar compuesto por 3,4 o 5 caracteres y debe estar
rodeado de corchetes angulares. Comienza con el carcter < seguido de un nmero,
el cual precede del carcter >. El cdigo utilizado en esta parte debe ser un ASCII de
7 bits en un campo de 8 bits como est descrito en el RFC 2234.
El nmero encerrado por los corchetes es conocido como la Prioridad, la cual est
compuesta por 1,2 o 3 enteros decimales. La Prioridad representa a la vez la Facilidad
y Severidad las cuales se encuentran codificadas numricamente con valores
decimales.

4
Los logs son un conjunto de eventos que se almacenan en los dispositivos donde son generados, y contienen
informacin acerca de los sucesos que ocurren en el dispositivo.
En la siguiente tabla se muestran las Facilidades que han sido asignadas, as como sus
cdigos numricos:
Cdigo
Numrico
Facilidad
0 Mensajes de kernel
1 Mensajes de nivel de usuario
2 Sistema de correo
3 Demonios del sistema
4 Mensaje de seguridad/autorizacin
5 Mensaje generado internamente por syslogd
6 Subsistema de impresora en lnea
7 Subsistema de noticias de red
8 Subsistema UUCP
9 Demonio de reloj
10 Mensaje de seguridad/autorizacin
11 Demonio FTP
12 Subsistema NTP
13 Auditoria de eventos
14 Alerta de eventos
15 Demonio de reloj
16 Uso local 0
17 Uso local 1
18 Uso local 2
19 Uso local 3
20 Uso local 4
21 Uso local 5
22 Uso local 6
23 Uso local 7


Tabla 1. Facilidades y su cdigo numrico respectivo
Cada Prioridad de mensaje tiene un indicador de Severidad decimal. Estas severidades
son descritas en la siguiente tabla:
Cdigo
Numrico
Severidad
0 Mensajes de kernel
1 Mensajes de nivel de usuario
2 Sistema de correo
3 Demonios del sistema
4 Mensaje de seguridad/autorizacin
5 Mensaje generado internamente por syslogd
6 Subsistema de impresora en lnea
7 Subsistema de noticias de red


Tabla 2.Severidades y su cdigo numrico respectivo
El valor de la Prioridad se calcula multiplicando el valor de la Facilidad por 8 y
sumndole el valor de la severidad.
Cabecera: La cabecera contiene dos campos: Tiemstamp y Hostname.
El Timestamp va inmediatamente despus del ltimo > de la prioridad. ste
corresponde a la fecha y hora local del dispositivo que transmite. stas se encuentran
en formato Mmm dd hh:mm:ss donde:
- Mmm corresponde al mes. Estos valores pueden ser: Jan, Feb, Mar, etc

- dd representa al da del mes. Si el da es menor a 10 se debe representar con un
espacio y el nmero del da; por ej.: Aug 7 con 2 espacios entre la g y el 7.

- hh:mm:ss esto representa a la hora local. Los valores permitidos para las horas
(hh) estn entre 00 y 23. Los minutos (mm) y segundos (ss) estn entre 00 y 59.

El Hostname corresponde al nombre del dispositivo, la direccin ipv4 o la direccin
ipv6. El nombre no debe contener espacios internos ni tampoco el nombre del
dominio. Si se utiliza la direccin ipv4, se debe mostrar en la notacin decimal con
puntos como se usa en STD 13. Si se usa la direccin ipv6, se puede usar cualquier
representacin vlida usada en RFC 2373.
Mensaje. El mensaje tiene 2 campos. Etiqueta y Contenido. El primero representa el
nombre del programa o proceso que gener el evento. La etiqueta no debe exceder a
32 caracteres. El contenido es libre de utilizacin y contiene los detalles del mensaje
A raz de que cada proceso, programa, aplicacin y sistema operativo fue escrito de
manera independiente, hay poca uniformidad en el contenido de los mensajes syslog.
El protocolo est diseado simplemente para transportar esos mensajes de eventos.
En todos los casos, existe un dispositivo que origina el mensaje. El proceso syslog en
la mquina puede enviar el mensaje syslog a un recolector. Sin embargo, no se hace
ningn reconocimiento del recibo del mensaje. [7]
2.2.2. Caractersticas de Syslog
El programa Syslog provee una plataforma estandarizada, bajo la cual programas
(tanto sistemas operativos como aplicaciones) pueden publicar mensajes para que
sean tratados por ninguna, cualquiera, o todas las acciones siguientes, basado en la
configuracin de Syslog: [8]

Guardar en un archivo (p.e. /var/adm/messages) o dispositivo (p.e.
/dev/console)
Enviar directamente a un usuario o usuarios si han iniciado sesin (p.e. root)
Reenviar a otro equipo (p.e. @loghost)

Configurar un servidor Syslog en una red es algo relativamente sencillo, sin
embargo, los principales problemas que tiene Syslog son los siguientes:

Syslog utiliza el protocolo UDP, ya que este protocolo es no orientado a
conexin, no se asegura que los mensajes lleguen al destinatario.
Los mensajes no estn cifrados y al viajar por la red como texto plano son
susceptibles a ser vistos por personas no autorizadas, por ejemplo un sniffer
5
.
Cualquier persona puede dirigir mensajes de una naturaleza maliciosa, sin
ninguna autenticacin de quien es el remitente. Esto puede concluir en ataques

5
Es un programa informtico de captura de las tramas de una red de computadoras, as como la actividad realizada en
un determinado ordenador.
de denegacin de servicio y puede permitir que un atacante distraiga al
administrador con mensajes falsos para no llamar la atencin con su ataque.

Por este motivo se han desarrollado alternativas basadas en syslog para
aprovechar la funcionalidad que este provee, de una manera ms confale.

2.2.3. Casos de uso:

Es til registrar, por ejemplo:
- Un intento de acceso con contrasea equivocada
- Un acceso correcto al sistema
- Anomalas: variaciones en el funcionamiento normal del sistema
- Alertas cuando ocurre alguna condicin especial
- Informacin sobre las actividades del sistema operativo
- Errores del hardware o el software
- Tambin es posible registrar el funcionamiento normal de los programas; por
ejemplo, guardar cada acceso que se hace a un servidor web, aunque esto
suele estar separado del resto de alertas

2.3.ADMINISTRACIN DE REDES: PROTOCOLO SNMP

Simple Network Management Protocol (SNMP) es un protocolo estndar de Internet
para la gestin de dispositivos en IP de redes. Los dispositivos que normalmente
soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras,
bastidores de mdem y mucho ms.

SNMP utiliza el protocolo de datagramas de usuario (UDP) y no se limita
necesariamente a TCP / IP redes.

2.3.1. Arquitectura de una red SNMP

Una red SNMP consiste de 3 componentes principales:

- Recursos administrados: Un recurso administrado es un nodo en la red SNMP
y contiene al agente SNMP.
- Agentes: El NMS crea una conexin virtual hacia el agente SNMP.
- Sistemas de administracin de red (NMS): EL agente provee de informacin
al NMS sobre su estado en la red.

2.3.2. SNMP sirve para:

- Configurar dispositivos remotos. La informacin de configuracin puede
enviarse a cada host conectado a la red desde el sistema de administracin.

- Supervisar el rendimiento de la red. Puede hacer un seguimiento de la
velocidad de procesamiento y el rendimiento de la red, y recopilar informacin
acerca de las transmisiones de datos.
- Detectar errores en la red o accesos inadecuados. Puede configurar las alarmas
que se desencadenarn en los dispositivos de red cuando se produzcan ciertos
sucesos. Cuando se dispara una alarma, el dispositivo enva un mensaje de
suceso al sistema de administracin.

- Auditar el uso de la red. Puede supervisar el uso general de la red para
identificar el acceso de un grupo o usuario (por ejemplo cuando entra "root"), y
los tipos de uso de servicios y dispositivos de la red. Puede utilizar esta
informacin para generar una facturacin directa de las cuentas o para justificar
los costes actuales de la red y los gastos planeados.

2.3.3. Configuracin de SNMP en router:

Lo primero que se hace es definir una comunidad:

Router(config)# snmp-server community nombre_comunidad [view
nombre_vista ] [ro | rw] [nmero_de_acl]

En el caso de que se quisiera hacer que el agente enve interrupciones o informes
a un host, deberemos configurar los siguientes comandos:

Router(config)# snmp-server host NombreHost [traps | informs] [version {1 |
2c | 3 [auth | noauth | priv]} ] NombreComunidad [udp-port numero_puerto]
[tipo_notificacin]

Con NombreHost identificamos su nombre o su direccin IP.

Si no se especifica los datos opcionales enviar por defecto traps. El puerto a
donde irn dirigidas las notificaciones ser el 162 de UDP y las notificaciones
sern de todos los tipos.

2.3.4. Caso de uso:

SNMP se utiliza sobre todo en los sistemas de gestin de red para monitorear los
dispositivos conectados a la red para condiciones que requieren atencin
administrativa.








2.4.ADMINISTRACION DE REDES: PROTOCOLO NETFLOW

NetFlow es un protocolo de red desarrollado por Cisco Systems soportado en la
actualidad por todas las lneas de switches y routers Cisco para recolectar informacin
sobre trfico IP. Este protocolo permite a los dispositivos recolectar informacin referida
a todo trfico que atraviesa los enlaces y enviar la informacin referida a ese trfico
utilizando UDP a un dispositivo que recibe la denominacin de NetFlow Collector. [9]

Entre las aplicaciones posibles de NetFlow se pueden contar el monitoreo de la red, el
monitoreo de aplicaciones especficas, el monitoreo de usuarios, el planeamiento de
actualizaciones o modificaciones de la red, el anlisis de seguridad, etc.

2.4.1. Flujo (flow)

Es una cadena unidireccional de paquetes entre una determinada fuente y un
destino, ambos definidos por una direccin IP de la capa de red y tambin por
nmeros de puertos origen y destino en la capa de transporte

Un flujo est definido por los siguientes campos:

1. Direccin IP de origen
2. Direccin IP de destino
3. Puerto de origen TCP
4. Destino puerto TCP
5. Protocolo IP

2.4.2. Componentes en la arquitectura de Netflow

Se distinguen tres componentes bsicos en toda arquitectura de
monitorizacin/anlisis de trfico basada en esta tecnologa:

- Exportador. Router o switch capaz de generar registros NetFlow, que se
exportarn a un colector va UDP.

- Colector. Dispositivo que escucha en un puerto UDP determinado, y que es
capaz de almacenar o reenviar los flujos recibidos a otros colectores segn la
arquitectura definida.

- Analizador. Encargado de filtrar, mostrar, analizar y/o visualizar los flujos
recibidos.
















Figura 2: Arquitectura Netflow

2.4.3. Funcionamiento:

Los routers exportan la informacin de los flujos mediante Netflow a un
sistema de colectores.
Las tramas se exportan va UDP. Las tramas son tpicamente de 1500 bytes y
cada una contiene informacin de entre 20 y 50 flujos

2.4.4. Configuracin NetFlow en router Cisco: [10]

En la configuracin global:
Router(config)# ip route-cache flow
Router(config)# ip flow-export source loopback [id-process]
Router(config)# ip flow-export destination [ip-address | hostname] [udp-port]

Para cada interfaz a monitorizar:
Router(config)# interface FastEthernet [type-interface]
Router(config-if)# ip route-cache flow

Para ver las configuraciones:
Router# show ip flow export
Router# show ip cache flow







2.4.5. Principales Beneficios de Netflow

Monitoreo de la Red: con tcnicas de anlisis de flujo
Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y
distribuir recursos y aplicaciones en la red
Monitoreo de Usuarios: para revisar de forma efectiva la utilizacin de los
recursos por parte de los usuarios
Planificacin de la Red: para anticiparse a los crecimientos de la red, ya sea
en dispositivos, puertos y ancho de banda.
Anlisis de seguridad: con el fin de detectar anomalas en el trfico de la red
Contabilidad y la Facturacin: debido a sus detalladas estadsticas



3. CONCLUSIN

La administracin de redes consiste en la planeacin, organizacin y control de todas las
actividades que envuelven el funcionamiento de los datos, enfocadas a mantener una red
eficiente. Para que esto se lleve a cabo es necesario realizar actividades fundamentales como
la configuracin y seguridad en la red.

Dichas actividades se logra gracias a la implementacin de protocolos, para la
sincronizacin de tiempo (NTP), notificaciones de eventos (Syslog), para la gestin de los
dispositivos IP (SNTP), como detectar errores, supervisar o auditar el uso de la red, y para la
recoleccin de informacin de trfico (NetFlow). Logrando de esta manera la eficiencia de
una red.























4. BIBLIOGRAFIA

[1] Cleamm, A. (2006) Network Management Fundamentals. Extrado el 19/05/2014, de
http://www.ciscopress.com/store/network-management-fundamentals-9781587201370#

[2] Mills, D. Network Time Protocol Version 3 Specification, Implementation and
Analysis, 1992

[3] ArCert. (2006) Instalacin y configuracin de NTP. Extrado el 19/05/2014, de
http://www.arcert.gov.ar

[4] Akin, T. (2002). Hardening Cisco Routers. Extrado el 19/05/2014, de
http://www.oreilly.com/catalog/hardcisco/chapter/ch10.html

[5] Torres, J., Rondn, R.(2003) Control, Administracin E Integridad De Logs. Extrado
el 22/05/2014, de http://www.criptored.upm.es/guiateoria/gt_m248h.htm

[6] Babbin, J. Security Log Management. Identifying Pattenrs in the Chaos. Syngress
Publishing, Inc. 2006
[7] Lonvick, C. (2001). The BSD Syslog Protocol, RFC 3164. Extrado el 26/05/2014,
de http://www.ietf.org/rfc/rfc3164.txt

[8] Pitt, D. (2000), Log Consolidation with syslog. Extrado el 27/05/2014, de
http://www.giac.org/practical/gsec/Donald_Pitts_GSEC.pdf

[9] Jackson, C. Network Security Auditing. Cisco Press, 2010

[10] Fry, C., Nystrom, M. (2009) Segurity Monitoring.Extrado el 29/05/2014, de
http://books.google.com.pe/books?id=vJYCZFTdfd0C&pg=PA46&dq=%22netflow%22&hl=es&sa
=X&ei=qR2NU7_4E6nIsAS94IEY&ved=0CEIQ6AEwAg#v=onepage&q=%22netflow%22&f=fals
e