Resumen: El presente trabajo busca definir y explicar el funcionamiento de la aplicacin de los protocolos NTP, SYSLOG, SNMP y NETFLOW utilizados para la administracin de redes.
Keywords: NTP, SYSLOG, SNMP, NETFLOW
1. INTRODUCCION
En las redes informticas, la administracin de la red se refiere a las actividades, mtodos, procedimientos y herramientas que se refieren a la operacin, administracin, mantenimiento y aprovisionamiento de sistemas en red. Administracin de la red es esencial para mandar y las prcticas de control y generalmente se lleva a cabo de un centro de operaciones de red. [1]
Mejora la continuidad en la operacin de la red con mecanismos adecuados de control y monitoreo, de resolucin de problemas y de suministro de recursos. Hace uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda.
Reduce costos por medio del control de gastos y de mejores mecanismos de cobro. Hace la red ms segura, protegindola contra el acceso no autorizado, haciendo imposible que personas ajenas puedan entender la informacin que circula en ella.
Controla cambios y actualizaciones en la red de modo que ocasionen las menos interrupciones posibles, en el servicio a los usuarios.
2. RESULTADO
2.1. ADMINISTRACION DE REDES: SINCRONIZADOR DE RELOJES DE TIEMPO NTP El Protocolo de Tiempo de Red (NTP) es un protocolo que utiliza la hora universal coordinada (UTC) para sincronizar la hora normal entre un conjunto de servidores y clientes de tiempo distribuidos
[2], Este protocolo se ha desarrollado hasta la versin 4, el cual ha sido formalizado en el RFC 1305. Existe tambin una versin simple del protocolo (SNTP) la cual se encuentra descrita en el RFC 2030. [3] El tiempo es extremadamente importante en los dispositivos de red. ste es el nico marco de referencia que hay entre ellos. Por este motivo es importante mantener sincronizado el tiempo de la red y poder de as realizar una correlacin confiable, teniendo en cuenta los logs 1 generados por los dispositivos. [4] 2.1.1. Arquitectura del sistema El protocolo NTP fue diseado para ser usado por un conjunto de clientes y servidores de tiempo. En ste existe un servidor primario (Stratum 1), el cual debe estar conectado a un reloj de referencia de gran precisin y debe contar con el software necesario para manejar NTP. La idea es que este servidor primario transmita la informacin del tiempo a otros servidores de tiempo (Stratum 2) quienes, a su vez, deben transmitir la informacin y sincronizar a otros servidores. Todos los participantes de este esquema deben tener el software requerido para la sincronizacin por NTP. En NTP, existen dos formas de sincronizacin. La mencionada anteriormente, en la cual existe un cliente que se sincroniza con un servidor. Este cliente se comporta a su vez como un servidor de otro cliente, y tendr una numeracin de Stratum inmediatamente superior a la de su servidor. En la otra forma, existen dos mquinas que se prestan servicios de sincronizacin entre s, es decir, cada mquina se configura para comportarse como cliente o servidor, segn el que sea m. En esta configuracin los servidores se llaman peers 2 . La siguiente Figura refleja el esquema jerrquico usado por NTP. sta jerarqua puede ser usada hasta 16 niveles.
Figura 01. Esquema jerrquico de NTP. [3]
1 Log: registro oficial de eventos durante un rango de tiempo en particular 2 Servidores Peers: Servidores compaeros Coordina el tiempo de eventos de red, lo que ayuda a entender y solucionar la secuencia temporal de los eventos de red. Por ejemplo, los registros de llamadas para usuarios especficos pueden ser correlacionados en una milsima de segundo. Permite comparar los registros de tiempo de diferentes redes, que es esencial para:
Seguimiento de los incidentes de seguridad Anlisis de fallas Solucin de problemas
Sin sincronizacin de tiempo precisa entre todas las diversas talas, la salida de depuracin, gestin y funciones de AAA en la red, no se puede hacer comparaciones en el tiempo NTP provee una precisin de tiempo de uno o dos milisegundos en LANs, y hasta 10 milisegundos en WANs. Este protocolo trabaja enviando mensajes UDP 3 a travs del puerto 123. 2.1.2. Configuracin NTP en router:
En configuracin general: Router(config)# ntp broadcastdelay [delayTime] Router(config)# ntp clock-period [delayTime] Router(config)# ntp master [level stratum] Router(config)# ntp server [ip-address] Router(config)# ntp server [ip-address] prefer
ntp broadcastdelay [delayTime] - Este comando especifica el retraso que hay del router al servidor de destino. delayTime valor en el rango de microsegundos 0- 999999 ntp clock-period [delayTime] - Es un parmetro referente al reloj interno del router y que se va ajustando. ntp master [level stratum] - Indica que es del nivel del stratum ntp server [ip-address] - Servidor de sincronizacin ntp server [ip-address] prefer - Servidor de sincronizacin preferido
3 Es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulamiento de capa 4 Modelo OSI). 2.1.3. Caso de uso: Un caso de uso es en los procedimientos distribuidos ya que dependen de tiempos coordinados para asegurar que las secuencias mandadas van seguidas una de otra. En sistemas distribuidos se usa para reducir la diferencia en el manejo de procesos que se ejecuten en ms de una computadora. Como cualquier forma de sincronizacin presenta desventajas, una de ellas es que al ser una forma centralizada de manejar los datos, en caso de que falle el servidor, la o las computadoras clientes sincronizados pueden fallar igualmente 2.2.ADMINISTRACION DE REDES: MTODO DE TRANSPORTE SYSLOG
Syslog es un protocolo de red que permite a una mquina enviar notificaciones de eventos a travs de redes IP a recolectores de mensajes tambin conocidos como servidores Syslog. En otras palabras, una mquina o dispositivo puede configurarse de manera que genere un mensaje Syslog y lo enve a un servidor Syslog especfico ejecutndose en otro ordenador.
Syslog es un sistema de logs que se encarga principalmente de la administracin de logs 4 , los cuales son generados por eventos del sistema, por sus programas o por el Kernel. [5] Es comn ahora encontrar equipos de redes que pueden generar y enviar mensajes Syslog a equipos configurados con un demonio que los reciba [6], as como ya existen implementaciones para sistemas Windows. El termino Syslog es a menudo utilizado para describir tanto el protocolo para el envo de mensajes, como el programa o librera que enva mensajes Syslog.
2.2.1. Mensaje Syslog Un mensaje Syslog cuenta con tres campos: Prioridad: Este campo debe estar compuesto por 3,4 o 5 caracteres y debe estar rodeado de corchetes angulares. Comienza con el carcter < seguido de un nmero, el cual precede del carcter >. El cdigo utilizado en esta parte debe ser un ASCII de 7 bits en un campo de 8 bits como est descrito en el RFC 2234. El nmero encerrado por los corchetes es conocido como la Prioridad, la cual est compuesta por 1,2 o 3 enteros decimales. La Prioridad representa a la vez la Facilidad y Severidad las cuales se encuentran codificadas numricamente con valores decimales.
4 Los logs son un conjunto de eventos que se almacenan en los dispositivos donde son generados, y contienen informacin acerca de los sucesos que ocurren en el dispositivo. En la siguiente tabla se muestran las Facilidades que han sido asignadas, as como sus cdigos numricos: Cdigo Numrico Facilidad 0 Mensajes de kernel 1 Mensajes de nivel de usuario 2 Sistema de correo 3 Demonios del sistema 4 Mensaje de seguridad/autorizacin 5 Mensaje generado internamente por syslogd 6 Subsistema de impresora en lnea 7 Subsistema de noticias de red 8 Subsistema UUCP 9 Demonio de reloj 10 Mensaje de seguridad/autorizacin 11 Demonio FTP 12 Subsistema NTP 13 Auditoria de eventos 14 Alerta de eventos 15 Demonio de reloj 16 Uso local 0 17 Uso local 1 18 Uso local 2 19 Uso local 3 20 Uso local 4 21 Uso local 5 22 Uso local 6 23 Uso local 7
Tabla 1. Facilidades y su cdigo numrico respectivo Cada Prioridad de mensaje tiene un indicador de Severidad decimal. Estas severidades son descritas en la siguiente tabla: Cdigo Numrico Severidad 0 Mensajes de kernel 1 Mensajes de nivel de usuario 2 Sistema de correo 3 Demonios del sistema 4 Mensaje de seguridad/autorizacin 5 Mensaje generado internamente por syslogd 6 Subsistema de impresora en lnea 7 Subsistema de noticias de red
Tabla 2.Severidades y su cdigo numrico respectivo El valor de la Prioridad se calcula multiplicando el valor de la Facilidad por 8 y sumndole el valor de la severidad. Cabecera: La cabecera contiene dos campos: Tiemstamp y Hostname. El Timestamp va inmediatamente despus del ltimo > de la prioridad. ste corresponde a la fecha y hora local del dispositivo que transmite. stas se encuentran en formato Mmm dd hh:mm:ss donde: - Mmm corresponde al mes. Estos valores pueden ser: Jan, Feb, Mar, etc
- dd representa al da del mes. Si el da es menor a 10 se debe representar con un espacio y el nmero del da; por ej.: Aug 7 con 2 espacios entre la g y el 7.
- hh:mm:ss esto representa a la hora local. Los valores permitidos para las horas (hh) estn entre 00 y 23. Los minutos (mm) y segundos (ss) estn entre 00 y 59.
El Hostname corresponde al nombre del dispositivo, la direccin ipv4 o la direccin ipv6. El nombre no debe contener espacios internos ni tampoco el nombre del dominio. Si se utiliza la direccin ipv4, se debe mostrar en la notacin decimal con puntos como se usa en STD 13. Si se usa la direccin ipv6, se puede usar cualquier representacin vlida usada en RFC 2373. Mensaje. El mensaje tiene 2 campos. Etiqueta y Contenido. El primero representa el nombre del programa o proceso que gener el evento. La etiqueta no debe exceder a 32 caracteres. El contenido es libre de utilizacin y contiene los detalles del mensaje A raz de que cada proceso, programa, aplicacin y sistema operativo fue escrito de manera independiente, hay poca uniformidad en el contenido de los mensajes syslog. El protocolo est diseado simplemente para transportar esos mensajes de eventos. En todos los casos, existe un dispositivo que origina el mensaje. El proceso syslog en la mquina puede enviar el mensaje syslog a un recolector. Sin embargo, no se hace ningn reconocimiento del recibo del mensaje. [7] 2.2.2. Caractersticas de Syslog El programa Syslog provee una plataforma estandarizada, bajo la cual programas (tanto sistemas operativos como aplicaciones) pueden publicar mensajes para que sean tratados por ninguna, cualquiera, o todas las acciones siguientes, basado en la configuracin de Syslog: [8]
Guardar en un archivo (p.e. /var/adm/messages) o dispositivo (p.e. /dev/console) Enviar directamente a un usuario o usuarios si han iniciado sesin (p.e. root) Reenviar a otro equipo (p.e. @loghost)
Configurar un servidor Syslog en una red es algo relativamente sencillo, sin embargo, los principales problemas que tiene Syslog son los siguientes:
Syslog utiliza el protocolo UDP, ya que este protocolo es no orientado a conexin, no se asegura que los mensajes lleguen al destinatario. Los mensajes no estn cifrados y al viajar por la red como texto plano son susceptibles a ser vistos por personas no autorizadas, por ejemplo un sniffer 5 . Cualquier persona puede dirigir mensajes de una naturaleza maliciosa, sin ninguna autenticacin de quien es el remitente. Esto puede concluir en ataques
5 Es un programa informtico de captura de las tramas de una red de computadoras, as como la actividad realizada en un determinado ordenador. de denegacin de servicio y puede permitir que un atacante distraiga al administrador con mensajes falsos para no llamar la atencin con su ataque.
Por este motivo se han desarrollado alternativas basadas en syslog para aprovechar la funcionalidad que este provee, de una manera ms confale.
2.2.3. Casos de uso:
Es til registrar, por ejemplo: - Un intento de acceso con contrasea equivocada - Un acceso correcto al sistema - Anomalas: variaciones en el funcionamiento normal del sistema - Alertas cuando ocurre alguna condicin especial - Informacin sobre las actividades del sistema operativo - Errores del hardware o el software - Tambin es posible registrar el funcionamiento normal de los programas; por ejemplo, guardar cada acceso que se hace a un servidor web, aunque esto suele estar separado del resto de alertas
2.3.ADMINISTRACIN DE REDES: PROTOCOLO SNMP
Simple Network Management Protocol (SNMP) es un protocolo estndar de Internet para la gestin de dispositivos en IP de redes. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de mdem y mucho ms.
SNMP utiliza el protocolo de datagramas de usuario (UDP) y no se limita necesariamente a TCP / IP redes.
2.3.1. Arquitectura de una red SNMP
Una red SNMP consiste de 3 componentes principales:
- Recursos administrados: Un recurso administrado es un nodo en la red SNMP y contiene al agente SNMP. - Agentes: El NMS crea una conexin virtual hacia el agente SNMP. - Sistemas de administracin de red (NMS): EL agente provee de informacin al NMS sobre su estado en la red.
2.3.2. SNMP sirve para:
- Configurar dispositivos remotos. La informacin de configuracin puede enviarse a cada host conectado a la red desde el sistema de administracin.
- Supervisar el rendimiento de la red. Puede hacer un seguimiento de la velocidad de procesamiento y el rendimiento de la red, y recopilar informacin acerca de las transmisiones de datos. - Detectar errores en la red o accesos inadecuados. Puede configurar las alarmas que se desencadenarn en los dispositivos de red cuando se produzcan ciertos sucesos. Cuando se dispara una alarma, el dispositivo enva un mensaje de suceso al sistema de administracin.
- Auditar el uso de la red. Puede supervisar el uso general de la red para identificar el acceso de un grupo o usuario (por ejemplo cuando entra "root"), y los tipos de uso de servicios y dispositivos de la red. Puede utilizar esta informacin para generar una facturacin directa de las cuentas o para justificar los costes actuales de la red y los gastos planeados.
Con NombreHost identificamos su nombre o su direccin IP.
Si no se especifica los datos opcionales enviar por defecto traps. El puerto a donde irn dirigidas las notificaciones ser el 162 de UDP y las notificaciones sern de todos los tipos.
2.3.4. Caso de uso:
SNMP se utiliza sobre todo en los sistemas de gestin de red para monitorear los dispositivos conectados a la red para condiciones que requieren atencin administrativa.
2.4.ADMINISTRACION DE REDES: PROTOCOLO NETFLOW
NetFlow es un protocolo de red desarrollado por Cisco Systems soportado en la actualidad por todas las lneas de switches y routers Cisco para recolectar informacin sobre trfico IP. Este protocolo permite a los dispositivos recolectar informacin referida a todo trfico que atraviesa los enlaces y enviar la informacin referida a ese trfico utilizando UDP a un dispositivo que recibe la denominacin de NetFlow Collector. [9]
Entre las aplicaciones posibles de NetFlow se pueden contar el monitoreo de la red, el monitoreo de aplicaciones especficas, el monitoreo de usuarios, el planeamiento de actualizaciones o modificaciones de la red, el anlisis de seguridad, etc.
2.4.1. Flujo (flow)
Es una cadena unidireccional de paquetes entre una determinada fuente y un destino, ambos definidos por una direccin IP de la capa de red y tambin por nmeros de puertos origen y destino en la capa de transporte
Un flujo est definido por los siguientes campos:
1. Direccin IP de origen 2. Direccin IP de destino 3. Puerto de origen TCP 4. Destino puerto TCP 5. Protocolo IP
2.4.2. Componentes en la arquitectura de Netflow
Se distinguen tres componentes bsicos en toda arquitectura de monitorizacin/anlisis de trfico basada en esta tecnologa:
- Exportador. Router o switch capaz de generar registros NetFlow, que se exportarn a un colector va UDP.
- Colector. Dispositivo que escucha en un puerto UDP determinado, y que es capaz de almacenar o reenviar los flujos recibidos a otros colectores segn la arquitectura definida.
- Analizador. Encargado de filtrar, mostrar, analizar y/o visualizar los flujos recibidos.
Figura 2: Arquitectura Netflow
2.4.3. Funcionamiento:
Los routers exportan la informacin de los flujos mediante Netflow a un sistema de colectores. Las tramas se exportan va UDP. Las tramas son tpicamente de 1500 bytes y cada una contiene informacin de entre 20 y 50 flujos
2.4.4. Configuracin NetFlow en router Cisco: [10]
En la configuracin global: Router(config)# ip route-cache flow Router(config)# ip flow-export source loopback [id-process] Router(config)# ip flow-export destination [ip-address | hostname] [udp-port]
Para cada interfaz a monitorizar: Router(config)# interface FastEthernet [type-interface] Router(config-if)# ip route-cache flow
Para ver las configuraciones: Router# show ip flow export Router# show ip cache flow
2.4.5. Principales Beneficios de Netflow
Monitoreo de la Red: con tcnicas de anlisis de flujo Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red Monitoreo de Usuarios: para revisar de forma efectiva la utilizacin de los recursos por parte de los usuarios Planificacin de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda. Anlisis de seguridad: con el fin de detectar anomalas en el trfico de la red Contabilidad y la Facturacin: debido a sus detalladas estadsticas
3. CONCLUSIN
La administracin de redes consiste en la planeacin, organizacin y control de todas las actividades que envuelven el funcionamiento de los datos, enfocadas a mantener una red eficiente. Para que esto se lleve a cabo es necesario realizar actividades fundamentales como la configuracin y seguridad en la red.
Dichas actividades se logra gracias a la implementacin de protocolos, para la sincronizacin de tiempo (NTP), notificaciones de eventos (Syslog), para la gestin de los dispositivos IP (SNTP), como detectar errores, supervisar o auditar el uso de la red, y para la recoleccin de informacin de trfico (NetFlow). Logrando de esta manera la eficiencia de una red.
4. BIBLIOGRAFIA
[1] Cleamm, A. (2006) Network Management Fundamentals. Extrado el 19/05/2014, de http://www.ciscopress.com/store/network-management-fundamentals-9781587201370#
[2] Mills, D. Network Time Protocol Version 3 Specification, Implementation and Analysis, 1992
[3] ArCert. (2006) Instalacin y configuracin de NTP. Extrado el 19/05/2014, de http://www.arcert.gov.ar
[4] Akin, T. (2002). Hardening Cisco Routers. Extrado el 19/05/2014, de http://www.oreilly.com/catalog/hardcisco/chapter/ch10.html
[5] Torres, J., Rondn, R.(2003) Control, Administracin E Integridad De Logs. Extrado el 22/05/2014, de http://www.criptored.upm.es/guiateoria/gt_m248h.htm
[6] Babbin, J. Security Log Management. Identifying Pattenrs in the Chaos. Syngress Publishing, Inc. 2006 [7] Lonvick, C. (2001). The BSD Syslog Protocol, RFC 3164. Extrado el 26/05/2014, de http://www.ietf.org/rfc/rfc3164.txt
[8] Pitt, D. (2000), Log Consolidation with syslog. Extrado el 27/05/2014, de http://www.giac.org/practical/gsec/Donald_Pitts_GSEC.pdf
[9] Jackson, C. Network Security Auditing. Cisco Press, 2010
[10] Fry, C., Nystrom, M. (2009) Segurity Monitoring.Extrado el 29/05/2014, de http://books.google.com.pe/books?id=vJYCZFTdfd0C&pg=PA46&dq=%22netflow%22&hl=es&sa =X&ei=qR2NU7_4E6nIsAS94IEY&ved=0CEIQ6AEwAg#v=onepage&q=%22netflow%22&f=fals e