Analisis Del Protocolo Snmpv3 para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017
August 11, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Analisis Del Protocolo Snmpv3 para El Desarrollo de Un Prototipo de Monitoreo de Red Segura - 98t00017...
Description
01
AGRADECIMIENTO Quiero expresar un total e infinito agradecimiento
a
mis
padres,
quienes inculcaron en mi valores éticos y morales, los mismos que me han guiado en toda mi trayectoria como
estudiante,
de
la
misma
manera quiero expresar un eterno agradecimiento a la muy ilustre Escuela
Superior
Chimborazo
Politécnica
de
que me abrió las
puertas y me dio la oportunidad de formarme como una profesional de principios. Hago extensiva este agradecimiento a esas personas invisibles que de una u otra forma
colaboraron o
participaron en la realización de esta investigación.
Ruth Crespata
DEDICATORIA Este manojo de ilusiones y sueños va dedicado a Dios por haberme permitido vivir, a mis hermanos que nunca me hicieron faltar palabras de aliento para que no desmayara en el intento de conseguir el más anhelado sueño, a mis profesores
que siempre
estuvieron prestos a dilucidar mis dudas y preguntas, especialmente este trabajo va dedicado a mis padres quienes
son mi
ejemplo de lucha y perseverancia que sin importar las adversidades de la vida en ningún momento dejaron de ser un ejemplo de vida para mí. Finalmente quiero dedicar este trabajo a todo el profesorado de la FIE por haber depositado en mí todo sus sabios conocimientos y vivencias, que gracias a ellos hoy cumplo una de mis más grandes sueños el de convertirme en una profesional integra y de principios
Ruth Crespata
DERECHOS DE AUTORIA Yo, Ruth Alexandra Crespata Almachi, portadora ddel el número de cédula 050286955-5, me hago responsable del contenido, ideas y doctrinas vertidas en la presente Tesis y el patrimonio intelectual pertenece a la Escuela Superior Politécnica de Chimborazo.
Ruth Alexandra Crespata Almachi
FIRMAS RESPONSABLES Y NOTA
NOMBRES
FIRMAS
FECHA
Ing. Iván Menes DECANO DE LA FACULTAD DE INFORMÁTICA Y ELECTRÓNICA
------------------------------
------------------------
Ing. Pedro Infante DIRECTOR DE LA ESCUELA DE INGENIERIA EN ELECTRÓNICA TELECOMUNICACIONES Y REDES
------------------------------
------------------------
Ing. Alberto Arellano DIRECTOR DE TESIS
------------------------------
-----------------------------------------------
Ing. Daniel Haro MIEMBRO DEL TRIBUNAL
------------------------------
------------------------
Tlg. Carlos Rodríguez DIR. CENTRO DE DOCUMENTACIÓN
------------------------------
------------------------
NOTA DE LA TESIS
------------------------------
INDICE DE ABREVIATURAS
ASN.1
Notación Sintáctica Abstracta
AUTHPRIV
Autenticatión and Private, Autenticación y Privacidad
AUTHNOPRIV
Autentication and private No, Autenticación y Privacidad No
EGP
Enhanced Gateway Protocol, Protocolo Exterior de Gateway
IEEE
Institute of Electrical and Electronics Engineers , Instituto de ingenieros eléctricos y electrónicos
LAN
Network local área, Red de Área Local
MIB
Management Information Base, Base de Información Administrativa
NMS
Network Management System, Sistema Administrador de Red
NOAUTHNOPRIV
No autenticación y No privacidad
OID
Objecto Identifier, Objeto Identificador
IETF
Internet Engineering Task Force, Grupo de trabajo de ingeniería de Internet
IP
Internet Protocol, protocolo de Internet
RMON
Remote Monitor, Monitor Remoto
SNMP
Simple Network Management Protocol, Protocolo Simple de Administración y Gestión de Redes
SMI
Structure Management Information, Estructura de la información de Administración
TLV
Codec tipe Value, Codificación Tipo Longitud Valor
USM
User Security Model, Modelo de seguridad basado en usuario
VACM
View Access Control Model, Control de Acceso basado en vistas
INDICE GENERAL PORTADA AGRADECIMIENTO DEDICATORIA INDICES INTRODUCCIÓN
CAPITULO I MARCO REFERENCIAL ......................................................................................................................... - 15 1.1
ANTECEDENTES ........... ........................ .......................... .......................... .......................... .......................... ......................... ......................... ........................... ................. ... - 15 -
1.2
JUSTIFICACIÓN .......... ......................... ........................... ........................ ........................... ........................... ........................ .......................... .......................... .................. ...... - 17 -
1.3
OBJETIVOS............... ........................... ........................ .......................... ........................... ......................... ......................... .......................... .......................... ....................... .......... - 19 -
1.3.1
GENERAL ............ ......................... ......................... .......................... ........................... ......................... ......................... .......................... .......................... ....................... .......... - 19 -
1.3.2
ESPECIFICOS............ .......................... .......................... ........................ .......................... ........................... ......................... ......................... ........................... ................. ... - 19 HIPÓTESIS............. .......................... ......................... .......................... .......................... ........................ ........................... ........................... ........................ ......................... ............. - 19 -
1.4
CAPITULO II MARCO TEÓRICO ................................................................................................................................. - 20 2. MONITOREO DE RED ........................................................................................................................ - 20 2.1INTRODUCCIÓN ............................................................................................................................... - 20 2.2 Definición de Monitoreo ..................................................................................................................... - 21 2.3.1 Monitoreo Activo ........................................................................................................................ - 22 2.3.2
Monitoreo Pasivo ............. ......................... .......................... .......................... ........................ ........................... ........................... ........................ ......................... ............. - 22 -
2.4 ARQUITECTURA SNMP ................................................................................................................... - 23 2.4.1 Introducción ................................................................................................................................... - 23 2.4.2
Elementos de la Arquitectura SNMP ............. .......................... ......................... .......................... .......................... ......................... ....................... .......... - 24 -
2.4.3 Consola de administración (NMS) .............................................................................................. - 24 2.4.3.1 Funciones básicas básicas .................................................................................................................. - 24 2.4.3.2 ARQUITECTURA N NMS MS PARA LA ADMINISTRACI ADMINISTRACIÓN ÓN DE RE RED D.............................................. - 25 2.4.3.2.1 Arquitectura Centralizada ................................................................................................. Centralizada ................................................................................................. - 25 2.4.3.2.2 Arquitectura Distribuida .................................................................................................... Distribuida .................................................................................................... - 26 2.4.2.3.3 Arquitectura jerárquica .................................................................................................... jerárquica .................................................................................................... - 26 2.4.4 Agente ....................................................................................................................................... - 27 2.4.5 MIB (MA (MANAGEMENT NAGEMENT INFORMATION BBASE) ASE) ............ ........................ ........................... ........................... ........................ ......................... ............. - 28 2.4.5.1 OIDs (Objet (Objetoo Identificado Identificador)r) ................................................................................................. ................................................................................................. - 28 -
........................................................................................................... - 29 2.4.5.2 Estructura Estructura de la MIB MIB ........................................................................................................... 2.4.5.3 Sintaxis de la MIB MIB .............................................................................................................. - 30 2.4.5.4 TIPOS DE MIBS .............. .......................... ......................... ........................... .......................... ......................... ........................... .......................... .................... ........ - 33 2.5 SNMPv3 ....................................................................................................................................... - 42 2.5.1 Características de seguridad .................................................................................................. .................................................................................................. - 42 2.5.2 Modelos y niveles de seguridad............ ........................ .......................... ........................... ......................... ......................... ........................... ................. ... - 42 2.5.3 Arquitectura SNMPv3 ............................................................................................................. - 44 2.5.4 Entidades SNMP ............ ........................ .......................... .......................... ........................ ........................... ........................... ........................ ......................... ............. - 44 2.5.6 Agente SNMP ........................................................................................................................ - 49 2.5.7 Formato mensaje SNMPv3 ........... ......................... ........................... ......................... .......................... .......................... ........................ ....................... ........... - 50 2.5.8 SEGURIDAD EN SNMPv3 ..................................................................................................... - 52 - -
CAPITULO III EVALUACIÓN HERRAMIENTAS DE MONITOREO CACTI CACTI,, ZABBIX, Y NAGIOS ............. .......................... ....................... .......... - 78 -- 3.1 INTRODUCCIÓN .............................................................................................................................. - 78 3.2 Elección de herramientas .................................................................................................................. - 68 3.2.1 Análisis de la selección de software a utilizar .............................................................................. - 68 3.2.2 Identificación de los parámetros a analizar o evaluar en cada una de las aplicaciones .......... - 69 3.4 Análisis comparativo CACTI, CACTI, ZABBIX y NAGIOS.............. .......................... ........................ .......................... .......................... .................. ...... - 81 --
CAPITULO IV MARCO METODOLÓGICO E HIPOTETICO ........................................................................................... - 87 4.1 TIPO DE INVESTIGACIÓN ............................................................................................................... - 87 4.2 SISTEMA DE HIPÓTESIS ................................................................................................................. - 86 4.3 OPERACIONALIZACIÓN DE LAS VARIABLES ................................................................................. - 86 4.3.1 Descripción de las variables con sus respectivos indicadores e indices ........................................... - 88 4.3.1.1 Indicadores ............. .......................... ......................... .......................... .......................... ........................ ........................... ........................... ........................ ......................... ............. - 88 4.4 POBLACIÓN Y MUESTRA............. .......................... ......................... .......................... .......................... ......................... ........................... .......................... .................... ........ - 90 4.5 PROCEDIMIENTOS GENERALES .................................................................................................... - 90 4.6 INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................................................... - 90 4.7 VALIDACIÓN DE LOS INSTRUMENTOS .......................................................................................... - 90 4.8 AMBIENTE DE SIMULACIÓN ........................................................................................................... - 92 4.9 EXPERIMENTO 1 (ANEXO 4) ........................................................................................................... - 93 4.10 EXPERIMENTO 2 (ANEXO3) .......................................................................................................... - 94 - -
CAPITULO V ANÁLISIS DE RESULTADOS ............................................................................................................... - 105 5. PROCESAMIENTO PROCESAMIENTO DE LA INFORMACIÓN ............ .......................... .......................... .......................... .......................... ......................... ..................... ........ - 105 5.1 ANÁLISIS DE LOS RESULTADOS DE DELL EXPE EXPERIMENTO RIMENTO 1 Y2 ............ ........................ .......................... .......................... ................ .... - 105 5.1.1 ANÁLISIS DE LAS VARIAB VARIABLE LE INDEPENDIENTE ACORDE AL EXPERIMEN EXPERIMENTO TO 1 Y 2.............. ................. ... - 96 5.1.2 ANÁLISIS DE LA VARIABLE DEPENDIENTE BASADOS EN LOS EXPERIMENTOS 1 Y 2 .......... - 101 5.2 PRUEBA DE LA HIPOTESIS ........................................................................................................... - 110 - -
CAPITULO VI MARCO PROPOSITIVO ....................................................................................................................... - 119 6. IMPLEMENTACIÓN DEL PROTOTIPO PROTOTIPO DE MONITOREO DE RED SEGUR SEGURAA ........................ ................................... ........... - 119 6.1 HARDWARE ................................................................................................................................... - 119 6.1.1 SWITCHES CATALYST 2950 ....................................................................................................... ....................................................................................................... - 116 6.1.2 SWITCH CATALYST 2960 ........................................................................................................... - 117 6.1.3 ROUTER CISCO 2811 ................................................................................................................. - 118 6.2 HERRAMIENTAS Y SOFWARE ...................................................................................................... - 118 6.2.1 NMS-CACTI ................................................................................................................................. - 118 6.3 IMPLEMENTACIÓN DEL PROTOTIPO ........................................................................................... - 119 6.3.1 Instalación del Gestor (CACTI) ..................................................................................................... - 119 6.3.1.3 Agregar dispositivos a monitorear en Cacti................................................................................. - 122 6.3.2 Configguración uración de los os agentes SNMPv3 .............. .......................... ........................ ........................... ........................... ........................ ....................... ........... - 124 6.3.2.1 SNMPV3 EN ROUTER 2811 ................................................................................................. - 124 6.3.2.2 SNMPV3 EN CATALYST 2950 Y 2960 ........................... ............ ........................... ........................ .......................... .......................... ................ .... - 127 6.3.2.3 SNMPV3 EN PC ................................................................................................................... - 130 CONCLUSIONES RECOMENDACIONES RESUMEN SUMMARY GLOSARIO ANEXOS BIBLIOGRAFIA
INDICE DE FIGURAS Figura I. I Ambiente de Simulación Figura II. 1 Arquitectura de administración Centralizada ........................................................................... - 25 Figura II. 2 Arquitectura de administración distribuida .............................................................................. - 26 Figura II. 3 Arquitectura de Administración Jerárquica ............ ........................ ........................... ........................... ........................ ......................... ............. - 27 Figura II. 4 Estructura de la MIB .............................................................................................................. - 29 Figura II. 5 Entidad SNMPv3 ........... ....................... .......................... .......................... ........................ ........................... ........................... ........................ ......................... ............. - 44 Figura II. 6 Gestor SNMP Tradicional ...................................................................................................... - 48 Figura II. II. 7 Agente Tradicional............ ........................ .......................... ........................... ......................... ......................... .......................... .......................... ....................... .......... - 49 Figura II. 8 Formato mensaje SNMPv3 .................................................................................................... - 50 Figura II. 9 Diagrama de flujo para VACM ................................................................................................ - 54 Figura IV. I Ambiente de simulación ........................................................................................................ - 92 Figura V. 1 Funcionamiento SNMPv3 ...................................................................................................... - 96 Figura V. 2 Ataque de hombre en el Medio SNMP ................................................................................... - 97 Figura V. 3 Seguridad SNMP .................................................................................................................. - 98 Figura V. 4 Disposición de Equipos SNMP .............................................................................................. - 99 Figura V. 5 Overload SNMP .................................................................................................................. - 100 Figura V. 6 Presencia de la información de gestión en la red ................................................................. - 100 Figura V. 7 Seguridad en Contraseñas .................................................................................................. - 102 Figura V. 8 Métodos de Autenticación ................................................................................................... - 103 Figura V. 9 Contraseñas Encriptación/des-Encriptación ......................................................................... - 104 Figura V. 10 Confidencialidad ............................................................................................................... - 105 Figura V. 11 Revelación Selectiva ......................................................................................................... - 106 Figura V. 12 Privacidad ......................................................................................................................... - 107 Figura V. 13 Control De Acceso ............................................................................................................ - 108 Figura V. 14 Curva del análisis de chi-cuadrado .................................................................................... - 114 . Figura gura VI. 1 switch catalyst 2950 ............. ......................... ........................ ........................... ........................... ........................ .......................... ........................... ............... - 116 Figura VI. 2 switch catalyst 2960 .......................... .............. ........................ ........................... ........................... ........................ .......................... ........................... ............... - 117 Figura VI. 3 Red de pruebas ................................................................................................................. - 119 Figura VI. 4 Instalación Apache2 ........................................................................................................... - 119 Figura VI. 5 Instalación Base de datos MySql ........................................................................................ - 120 Figura VI. 6 Guía de instalación Cacti .................................................................................................... - 120 -
Figura VI. 7 Selección new Install .......................................................................................................... - 121 Figura VI. 8 Confirmación de rutas de acceso de los ejecutables ........................................................... - 121 Figura VI. 9 Ingreso usuario y contraseña .............................................................................................. - 121 Figura VI. 10 Forzar cambio de usuario y contraseña............................................................................. - 122 Figura VI. 11 Consola de administración Cacti........................... .............. ......................... .......................... .......................... ......................... ..................... ........ - 122 Figura VI. 12 Creación de los dispositivos ............................................................................................. - 122 Figura VI. 13 Configuración de los parámetros del dispositivo a monitorear ........... ......................... .......................... .................. ...... - 123 Figura VI. 14 Acceso satisfactorio del disposittivo ivo a m monitorear onitorear ........... .......................... ........................... ........................ ....................... ........... - 123 Figura VI. 15 vista escritura en el Router 2811 ....................................................................................... - 125 Figura VI. 16 Configuración del grupo aadministrador_secundario dministrador_secundario en el router 2811 .................. ............................... ............. - 125 Figura VI. 17 Configuración grupo administrador_principal ..................................................................... - 126 Figura VI. 18 Creación del usuario Alejandra ligado al grupo administrador_ principal ........................ ............ ................ .... - 127 Figura VI. 19 Creación del usuario u suario Ruth ligado al grupo administrador_secundario............ ........................ ..................... ......... - 127 Figura VI. 20 Configuración vissta ta lectura en catalyst 2950 y2960............ ......................... ........................... .......................... .................. ...... - 128 Figura VI. 21 Configuración vista escritura en catalyst 2950 y2960............ ......................... ........................... .......................... .................. ...... - 128 Figura VI. 22 Configuración del grupo administrador principal ................................................................ - 129 Figura VI. 23 Inicialización del agente SNMPv3 ..................................................................................... - 130 Figura VI. 24 Configuración de la vista escritura .................................................................................... - 130 Figura VI. 25 Definición de grupo administrador_principal ...................................................................... - 131 Figura VI. 26 Definición de usuario Alejandra ........................................................................................ - 131 -
INDICE DE TABLAS TABLA II. I TIPOS DE DATOS DATOS SIMPLES O PRIMITIVOS PRIMITIVOS ............. ......................... ........................ ........................... ........................... ...................... .......... - 31 TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES............... ........................... ........................ .......................... ................ - 32 TABLA II. III TIPOS DE DATOS DATOS DEFINIDOS............. ......................... ........................ .......................... ........................... ......................... .......................... ................. ... - 32 TABLA II. IV MIB II y MIB I ........... ........................ ........................... .......................... ......................... ........................... .......................... ........................ .......................... ................. ... - 33 TABLA II. V DESCRIPCI DESCRIPCIÓN ÓN DE LOS OB OBJETOS JETOS EN EL GRUPO SYSTEM ............ .......................... .......................... .................... ........ - 34 TABLA II. VI DESCRIPCIÓN OBJETOS EN EL GRUPO INTERFACES .............. .......................... ........................ .......................... ................ - 35 TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION ............. ......................... .......................... ........................... .................. ..... - 36 TABLA II. VIII OBJETOS DEL GRUPO IP ................................................................................................. - 36 TABLA II. IX DESCRIPCIÓN DESCRIPCIÓN OBJETOS DEL GRUPO ICMP ............ ......................... ......................... .......................... ........................... .................. ..... - 37 TABLA II. X DESCRIPCIÓN DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO TCP.................................. TCP..................... ......................... ......................... ............. - 38 TABLA II. XI DESCRIPCIÓN DESCRIPCIÓN DE OBJETOS DEL GRUPO UDP ........... .......................... ........................... ........................ .......................... ................ - 39 TABLA II. XII DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO SNMP............... ........................... ........................ .......................... ................ - 40 TABLA II. XIII MODELOS MODELOS Y NIVELES DE SEGURIDA SEGURIDAD D ............. ......................... .......................... .......................... ......................... ......................... ............ - 43 TABLA II. XIV MEJORAS DE SNMPV3 FRENTE A SUS VERSIONES AANTERIORES NTERIORES .......... ......................... ........................ ......... 65 TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIÓN I NSTALACIÓN DE ZABBIX .............. .......................... ......................... ............. - 73 TABLA III. II PLATAFORMAS PLATAFORMAS SOPORTADAS POR ZA ZABBIX BBIX ............ ......................... ......................... .......................... ........................... .................. ..... - 73 TABLA III. III REQUISITOS PARA LA INSTALACIÓN INSTALACIÓN DE NAGIOS ........... ........................ ........................... .......................... ...................... .......... - 77 TABLA III. IV ANÁLISIS COMPARATIVO .................................................................................................. - 82 TABLA III. V ANÁLISIS COMP COMPARATIVO ARATIVO ENTRE CACTI Y ZA ZABBIX BBIX ............ ........................ .......................... .......................... .................... ........ - 83 TABLA IV. I OPERACIONALIZACIÓN CONCEPTUAL CONCEPTUAL DE VARIABLES .............. .......................... ........................ .......................... ................ - 86 TABLA IV. II OPERACIONALIZAC OPERACIONALIZACIÓN IÓN METODOLÓGICA DE LA VARIABLE INDEPENDIENTE ........... .............. ... - 87 TABLA IV. III OPERACIONALIZAC OPERACIONALIZACIÓN IÓN METODOLÓGICA DE LA VARIABLE DEPENDIENTE.................. - 87 TABLA IV. IV DETALLES TÉ TÉCNICOS CNICOS DEL AMBIEN AMBIENTE TE DE SIMULACIÓN ........... .......................... ........................... ...................... .......... - 93 TABLA V. I FUNCIONAMIENTO SNMPV3 ................................................................................................ - 96 TABLA V. II SEGURIDAD SNMP ............ ......................... ......................... ........................... ........................... ........................ .......................... ........................... .................. ..... - 97 TABLA V. III DISPOSICIÓN DE EQUIPOS SNMP ..................................................................................... - 98 TABLA V. IV OVERLOAD DE LA INFORMACIÓN DE GESTIÓN EN EN LA RED ............. ......................... .......................... ................ - 100 TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIÓN DE LOS PARÁMETROS .. - 101 TABLA V. VI VALORACIÓN CUANTITATIVA Y CUALITATIVA CUALITATIVA DEL INDICADOR 4 ........................... ............... .................. ...... - 103 TABLA V. VII PRIVACIDAD .................................................................................................................... - 106 TABLA V. VIII CONTROL DE ACCESO................................................................................................... - 108 -
TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES........... ..................... .......... - 109 TABLA V. X RESUMEN DE LOS VALORES OB OBTENIDOS TENIDOS PARA CADA UNO DE LOS INDICADORES INDICADORES . - 111 TABLA V. XI FRECUECIAS OBSERVADAS ............................................................................................ - 111 TABLA V. XII FRECUENCIAS ESPERADAS ........... ......................... .......................... ........................... ........................... ........................ ......................... ............. - 112 TABLA V. XIII SUMATORIA DE X2 ......................... .......... ........................... ........................ .......................... ........................... ......................... .......................... ................ - 113 -
INTRODUCCIÓN
Debido al constante crecimiento que presentan las redes se han vuelto mucho más complejas y heterogéneas haciendo que su control y seguimiento de red se tornen complicados y se conviertan en verdaderos retos para los administradores de red. Como es de conocimiento general las redes de hoy no solo soportan aplicaciones o solo sirven para enviar correos electrónicos, para transferencia de archivos, hoy en día las redes ddan an soporte a aplicaciones robustas y servicios estratégicos que son de vital importancia para el correcto funcionamiento de la empresa. Es por esa razón que la información que es utilizada para gestionar los dispositivos de forma remota debe transitar de forma segura y confiable, con el fin de precautelar la integridad y evitar que se conozca la inteligencia de la red. Por tal motivo, se debe escoger protocolos probos de gestión que garanticen la transferencia segura y confiable de la data de gestión. Por lo que la presente tesis propone la utilización de SNMPv3 como protocolo de gestión de red, dado que el mencionado protocolo garantiza en gran medida el tránsito seguro de la data de administración a través de la red. Se utilizara CACTI como herramienta de monitoreo, que estará a cargo de procesar la información generada por SNMPv3. Convirtiéndose en la interfaz entre el usuario y el protocolo. Fue escogida la mencionada herramienta por las características que presenta en las que sobresale, licencia GPL, facilidad, poco consumo de recursos de red, configuración simple, etc.
CAPÍTULO I MARCO REFERENCIAL 1.1 ANTECEDENTES En los años 80, No había un soporte para hacer una buena administración de las redes, Los administradores de red no contaban con las herramientas suficientes y necesarias para administrar una red local, ni mucho menos una red como la internet. Las únicas herramientas de gestión de red en aquel entonces eran ICMP, PING, Trace-route, no proporcionaban la suficiente información para resolver con rapidez los problemas que se presentaban en la red. Como solución a este problema en 1988 la IAB propone desarrollar el pprotocolo rotocolo SNMP. Buscando tener poco impacto en el rendimiento en los nodos cuando se utilizaran estos protocolos, por lo tanto tenían que ser protocolos sencillos pero al mismo tiempo robustos. Con el tiempo SNMP se convierte en un estándar de facto para la administración y gestión de red. Pero con el crecimiento global global de las redes pronto dejo al descubierto varias falencias y debilidades que hicieron que aparezcan nuevas ampliaciones al protocolo.
Por los inconvenientes que presentaba presentaba SNMPv1 en cuanto a seguridad y al excesivo tráfico de información de gestión presente en la red, da pie para que se introduzca una ampliación al protocolo naciendo así SNMPv2 con el propósito de cubrir estas falencias.
SNMP en su versión dos presenta mejoras pero sigue adoleciendo de seguridad en cuanto al envío de paquetes SNMP por la red, la seguridad en la versión dos está basada en comunidades al ig igual ual que SNMPv1, cuyos nombres son enviadas en texto plano, lo que conlleva a que esto se convierta en un punto débil de la LAN. Debido a que un individuo con un poco de conocimiento pueda hacer uso de un sniffer y capturar el tráfico y podría vulnerar la red con dicha información.
Por la falta de seguridad en las versiones 1 y 2 de SNMP, se da paso a la creación de SNMPv3 que incrementa la seguridad en los entornos de gestión valiéndose de operaciones de autenticación, privacidad y control de acceso: limitando el acceso a los recursos de gestión únicamente a personas probas.
1.2
JUSTIFICACIÓN
La principal motivación detrás del desarrollo del presente proyecto es estudiar los posibles perjuicios a tener debido al al intercambio inseguro de la información de gestión entre los dispositivos monitoreados (routers, switchs, hub, etc.) y la/las estación (NMS) que se encargara de procesar dicha información. La NMS que se encargara de procesar la información de gestión será seleccionada de una terna de tres participantes, las mismas que deben cumplir con ciertas condiciones la principal y la más importantes es que estas herramientas se instalen y se han software libres por las las ventajas de costes que presentan frente a los paquetes de monitoreo que ofrecen diferentes casas fabricantes, la desventaja de tener programas con licencia paga es para las organizaciones pequeñas o instituciones públicas que no cuentan con el suficiente dinero para realizar una alta inversión en licencias de software. La visión del proyecto se centra en la obtención de resultados, cuya información nos indique en qué medida se ve afectada la información de administración y gestión de redes durante su ppaso aso por la red al hacer uso de las primeras versiones del protocolos de gestión SNMP que no proporcionan la seguridad necesaria para la mencionada información, a diferencia de SNMPv3 que si aporta con la seguridades del caso. Los resultados serán producto de una evaluación previa de parámetros como la seguridad en contraseñas, formas de autenticación, contraseñas de encriptación y des encriptación, revelación selectiva del contenido de los mensajes utilizando sniffers como wireshark y dsniff, además se medirá la confidencialidad de la información información de gestión para ello se realizar un ataque de hombre en el medio en un ambiente de simulación, además se medirá la carga de tráfico generado tanto por SNMPv1/v2 y SNMPv3 utilizando iptraf
Figura I. I Ambiente de Simulación
Lo que se pretende solucionar con este proyecto son infiltraciones no autorizadas a los recursos de gestión y a los equipos, evitando que se realicen ataques a la red haciendo uso de los propios recursos de gestión, que por descuido o por falta de conocimiento del administrador de red permite que los datos de gestión transiten de forma insegura por la red constituyéndose en un punto de fragilidad para la red.
1.3 OBJETIVOS
1.3.1 GENERAL
Analizar el protocolo SNMPv3 y aplicarlo al desarrollo de un prototipo de monitoreo de red segura
1.3.2 ESPECIFICOS
Estudiar el pprotocolo rotocolo de administración y gestión de redes SNMP en su versión 3 para
•
entender su funcionamiento Determinar las mejoras de SNMP SNMPv3 v3 frente a sus versiones anteriores.
•
Evaluar herramientas
•
de software libre que incorporen SNMPv3 para la gestión y
monitoreo de redes Implementar un pprototipo rototipo de pruebas para para el desarrollo de la plataforma de monitoreo
•
basada en SNMPv3
1.4 HIPÓTESIS El protocolo SNMPv3 podrá ser aplicado al diseño de un prototipo de monitoreo de red segura, en un ambiente OpenSource que permitirá permitirá alcanzar niveles apropiados de seguridad en la administración y gestión de redes.
CAPÍTULO II MARCO TEÓRICO 2. MONITOREO DE RED 2.1INTRODUCCIÓN La detecciòn oportuna de fallas y el monitoreo de los elementos que conforman una red de datos son actividades de gran relevancia para brindar un servicio de calidad a nuestros usuarios. De esto se deriva la importancia de un sistema capaz de notificar las fallas en la red y de mostrarnos su comportamiento mediante el análisis y recolecciòn del tráfico. En la actualidad las redes, cada vez mas soportan aplicaciones y sevicios estratégicos de las organizaciones y si presentan algún tipo de desperfecto en su rendimiento, sin saber cual es el punto de ruptura, puede causar perdidas para la entidad u organización. Las redes de datos de las organizaciones, cada vez se vuelven mucho mas complejas y la exigencia de operación es cada vez mas demandante.
Por lo cual el análisis y monitoreo de red se ha convertido en una labor de mucha importancia y de carácter proactivo para evitar problemas a futuro . La seguridad no solo radica en la prevención, sino tambien en la identificación. Entre menos tiempo haya pasado desde la intrusión e identificacion, el daño sera menor,para lograr esto es importante realizar un constante monitoreo del sistema con la finalidad de identificar vulnerabilidades en la red que los intrusos o el propio personal de la empresa puede hacer uso para acceder a recursos de la red que no estan aautorizados utorizados y puedan causar denegaciones de servicio o otros problemas . La prestacion de servicios de calidad a los usuarios de una una red depende en gran medida de factores que involucran aspectos de eficiencia y de seguridad. En el aspecto de eficiencia el ancho de banda disponible y la utilizacion que se haga del mismo representa un factor critico,Mientras en el caso de la seguridad, es importante conocer el tipo de tráfico que esta siendo cursado por la red , asi como tener la capacidad de detectar el tráfico malicioso.
2.2 Definición de Monitoreo Es el proceso de observar el comportamiento de la red y de sus nodos a traves de la correspondiente información de adminsitración. Esto se realiza con el fin de detectar fallas en la red y en los nodos. La Monitorización involucra dos factores importantes el tiempo de duracion del monitoreo y el uso de recursos de la red. Mientras mayor sea el tiempo de monitoreo mas efectiva sera la detección de problemas, pero habra una mayor ocupación de los recursos lo cual perjudicara a otras otras tareas.Por lo tanto debe existir un balance para conseguir un desempeño aceptable del sistema.
2.3 ENFOQUES DE MONITOREO1 Existen, dos formas de abordar el proceso de monitorear una red: el enfoque activo y el enfoque pasivo. Aunque son diferentes aambos mbos se complementan. 2.3.1 Monitoreo Activo
Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o envíando paquetes a determinadas aplicaciones midiendo sus tiempos de respuesta, Este enfoque tiene la particularidad de agregar tráfico a la red. Es utilizado para medir el rendimiento de la red. Técnicas de Monitoreo activo Basado en ICMP
Díagnosticar Problemas en la red.
Detectar retardo, perdidad de paquetes.
Disponibilidad de host de host y redes.
Basdo en TCP
Tasa de transferencia
Díagnosticar problemas a nivel de aplicación.
Basado en UDP
Perdidas de paquete en un sentido (one-way)
2.3.2 Monitoreo Pasivo Este enfoque se basa en la obtención de datos apartir de recolectar y analizar analizar el tráfico circundante por la red, se emplean diversos dispositivos como sniffers,ruteadores,computadores con software de
1Carlos
Alberto Vicente Altamirano,Monitoreo de Recursos de Red, Mexico 2005 .pdf”Universidad Nacional Autonoma de Me Mexico” xico”
análisis de tráfico y en general dispositivos con soporte snmp,rmon y netflow. Este enfoque no agrega tráfico a la red. Técnicas de Monitoreo pasivo Mediante SNMP Utilizado para obtener estadisticas sobre la utilización de ancho de banda,consumo de recursos de red, etc., al mismo tiempo genera traps que indica que un evento inusual ha ocurrido. Captura de tráfico Se puede llevar a cabo de dos formas: 1.-Mediante la configuraciòn de un puerto espejo en un dispositivo de red, el cual hara una copia del tráfico que ercibe en un puerto hacia otro donde estara conectado el equipo que realizara la captura. 2.- Mediante la instalaciòn de un dispositivo intermedio que capture el tráfico, el cual puede ser una computadora con el software de captura esta tecnica es utilizada para contabilizar el tráfico que circula por la red. Análisis de Tráfico Usado para identificar el tipo de aplicaciones. Se puede implementar atraves de un dispositivo intermedio con una plicación capaz de clasificar el tráfico por aplicación, direcciónes IP origen y destino, puertos origen y destino etc.
2.4 ARQUITECTURA SNMP 2.4.1 Introducción SNMP, se ha constituido en salida y solución propuesta para poder unificar eell proceso de administración de redes privadas (intranet), sin tener en cuenta la casa matriz de donde provienen los dispositivos que son parte de la red a ser gestionada.
Hasta el día de hoy existe tres versiones conocidas de SNMP, la versión 1 que fue desarrollada por Case, McGlorie, Rose y Waldbuser , la versión 2 que incorpora mejoras en las operaciones del protocolo y por último la versión 3 que cubre las falencias de seguridad que venían arrastrando sus versiones pasadas .
2.4.2 Elementos de la Arquitectura SNMP En un sistema SNMP se puede identificar cuatro componentes fundamentales. 1. Gestor de red (NMS), 2. Agente 3. MIB. 4. Protocolo SNMP
2.4.3 Consola de administración (NMS) La estación N NMS MS es algún tipo de software que puede manejar procesos administrativas, es la interfaz entre la red y el administrador. Una NMS es responsable de generar consultas y de recibir notificaciones de agentes en la red. A través de una consulta se obtiene información que más tarde puede ser usada para determinar si ha ocurrido algún evento crítico. Por otro lado una notificación permite al agente dar aviso que algo ha ocurrido. La estación tiene la capacidad de realizar una acción basada en la información que recibió del agente, realizando asi un monitoreo proactivo en algunos casos. 2.4.3.1 Funciones básicas
Los datos son centralizados en registros para poder tener una visión y realizar un análisis apropiado de los mismos.
Provee una interface para el administrador de manera que esta pueda controlar y observar el proceso de administración de red.
Permite tener una visión completa del desempeño de los dispositivos gestionados, como la salud de la red, interfaces caídas, etc.
2.4.3.2 ARQUITECTURA NMS PARA LA ADMINISTRACIÓN ADMINIST RACIÓN DE RED RED Se tienen tres arquitecturas fundamentales para la administración de red: jerárquica, centralizada y distribuida.Tienen una dependencia directa con el protocolo que se va utilizar para establecer las reglas de monitoreo. 2.4.3.2.1 Arquitectura Centralizada Aquí todas las consultas son envíadas a un sistema de gestión simple. Las aplicaciones de administración son instaladas en la NMS, la cúal responde a todos los avisos envíados desde los agentes. En un sistema de administración centralizada hay un único responsable de realizar consultas de información a los dispositivos. Si bien su información es fácil de manejar,una NMS puede llegar a sobrecargars sobrecargarsee facilmente debido al número de traps2 que los agentes pueden envíar al NMS
Figura II. 1 Arquitectura de administración Centralizada
22 Traps:
Eventos inusuales que se disparan cuando se cumplen una determinada premisa en el dispositivo y que son enviadas a la NMS
2.4.3.2.2 Arquitectura Distribuida Como se muestra en la figura II.2, hay dos puntos de administración del sistema que gestiona los agentes .Se puede organizar una arquitectura distribuida basada en la geografía, o se puede asignar a cada NMS responsabilidad sobre un grupo específico de recursos de la red.
Figura II. 2 Arquitectura de administración a dministración distribui distribuida da
Como se puede apreciar en la figura II.2 cada dispositivo NMS gestiona un grupo específico de dispositivos de la red, manejando de forma centralizada sus aplicaciones de gestión, de esta manera se puede asegurar que las máquinas gestoras no sufrirán saturaciones. Este modelo tiende a limitar los beneficios de un modelo de administración de red centralizado, ya que las NMS pueden enviar solo mensajes entre ellas pero no pueden actualizar consultas o resultados de bases de datos de agentes administrados por otras NMS este tipo de arquitectura depende del tipo de protocolo de gestión a utilizar. 2.4.2.3.3 Arquitectura jerárquica Combina el sistema centralizado con el distribuido. Es la arquitectura más compleja pero. Provee las fortalezas de las anteriores .Como se muestra en la figura II.3 se utiliza una NMS centralizada que solo coordina consultas enviadas de entidades NMS adicionales.
Figura II. 3 Arquitectura de Administración Jerárquica
Se puede delegar varias tareas y responsabilidades a varios sistemas en la red, de esta manera se mantiene y almacena información de una manera centralizada y sin embargo asegura que los sistemas distribuidos sean responsables del procesamiento de consultas y respuestas. Las aplicaciones de administración están distribuidas en varios sistemas en la red
2.4.4 Agente Los agentes de administración son procesos que se ejecutan en cada nodo de la red, como hosts, routers, puentes, hubs, switches que deben estar equipados con SNMP. Representa a la parte del servidor en la medida que tiene la información que desea administrar y espera los comandos a ejecutar por parte del cliente (entidad administradora).Todos los datos del agente se almacenan en su MIB ver figura II.IV y entre las funciones principales que un agente puede controlar encontramos.
Número y estado de circuitos virtuales
Mensajes de difusión enviados y recibidos.
Número de bytes y paquetes entrantes y salientes del dispositivo.
Interfaces de red que se han caído y las que se han activado
Para realizar estas funciones cada Agente mantiene un MIB (Manejador de Información Básica) que contiene toda la información (tanto reciente como histórica) sobre su configuración local y el tráfico que maneja. La estación manejadora mantendrá un MIB global con la información resumida de todos los agentes.
2.4.5 MIB (MANAGEMEN (MANAGEMENTT INFORMATIO INFORMATION N BASE) Una MIB es una base de datos de información que está organizada de forma
jerárquica.
estructurada en forma de árbol, en la que se agrupan todos los objetos de un dispositivo de red que van a ofrecer algún tipo de interoperabilidad o funcionamiento en este, y que se desean que sean gestionados a través de SNMP. Un objeto administrado o comúnmente conocido como objeto MIB es uno de cualquier número de características específicas de
un dispositivo administrado. Los objetos admini administrados strados están
compuestos de una o más instancias de objeto, que son esencialmente variables. Tipos de objetos Administrados: escalares y tabulares. Los objetos escalares definen una simple instancia de objeto a diferencia de los objetos tabulares que define múltiples instancias de objetos 2.4.5.1 OIDs (Objeto Identificador)
Cada uno de las ramificaciones del árbol y de los objetos contenidos en estas, están representados por un número que identifica su posición exacta dentro de la MIB. Este número se denomina OID y es único entre todas las MIBs existentes. Esto hace que cada objeto se ha accesible a través de un solo camino, quedando perfectamente identificado mediante lo que se conoce como una ruta absoluta del objeto.
2.4.5.2 Estructura Estructura de la MIB
SNMP sigue una estructura tipo árbol, donde sus ramificaciones son los objetos a ser gestionados cada uno con una función específica en la red. Los objetos se agrupan en estructuras lógicas relacionadas entre sí.Está definida baja las condiciones de SMI ver Anexo 1 Árbol MIB
•
Los objetos de una MIB están agrupados en una estructura en cascada compuesta por diversos nodos: cada uno de estos nodos contiene un determinado número de objetos relacionados entre sí según su función dentro del dispositivo: a esta estructura se la conoce como árbol MIB.
Figura II. 4 Estructura de la MIB
La zona superior de este árbol está reservada para diferentes organizaciones estándares, mientras que las de la parte inferior están reservadas para las organizaciones asociadas: la rama principal se inicia en el nodo ISO donde de los demás apartados definidos para su propio uso, se ha definido uno para el resto de organizaciones dentro de este se encuentra en nodo correspondiente a la comunidad de internet que nos interesa en particular. El nodo internet, uno de los principales nodos del árbol, en un principio estaba formado por las siguientes 4 ramificaciones:
1. Directory: reservada para memorias futuras que discutan sobre la organización de la estructura ISO utilizada en internet.
2. Mgmt: identifica a los objetos definidos en documentos aprobados por la IAB. aquí es en donde se almacenan las MIBs estandarizadas.
3. Experimental: En este nodo se almacenan las MI MIBs Bs en fase de pruebas. 4. Private: es uno de los nodos más importantes dentro de internet ya que es en dónde se almacenan las MIBs definidas de forma unilateral. Dentro del nodo private está el nodo Enterprise donde cada fabricante reconocido dispone de su propio espacio para almacenar las MIBs de sus dispositivos. 2.4.5.3 Sintaxis de la MIB Definición de ASN.1 ASN.1 es una notación estándar muy flexible que proporciona un conjunto de normas, tipos de datos y constructores, que permiten describir estructuras para representar, codificar, descodificar y transmitir datos, de forma independiente de la máquina en la que se encuentran y de sus formas de representación interna.
Fue desarrollada como parte de la capa de presentación del modelo OSI y ofrece una abstracción similar a la que otorga un lenguaje de programación de alto nivel. Al igual que cualquiera de estos lenguajes. Tipos de datos ASN.1
La notación Sintáctica Abstracta (ASN.1)
es una notación perteneciente a la capa de
presentación del modelo OSI, tal notación presenta un alto nivel ddee abstracción para representar los objetos gestionados. El uso de ASN.1 ASN.1 permite que la comunicación de llas as aplicaciones gestoragente se ha posible aun cuando usen máquinas con diferentes tipos de representación interna. Para esto ASN.1 define tres tipos de datos generales.
Simples o primitivos: Conocidos también como registros escalares, puesto que almacenan un único valor. Los tipos primitivos más importantes son lo que se muestran en la Tabla II.I
TABLA II. I TIPOS DE DATOS SIMPLES O PRIMITIVOS TIPO Integer DisplayString OctectString
OctectBitString PhysAddress
DESCRIPCIÓN Número entero negativo o positivo de hasta 32 bits Cadena de caracteres ASCII imprimibles Usado para cadenas de bits mayores a 32 bits Representan direcciones de la capa de enlace
ObjetcIdentifier
Identificador en la MIB de objeto, que marca la posición del objeto
Null
Representa la ausencia de valor
Boolean
Representa un valor que pueda ser verdadero o falso
Estructurados o compuestos: Son registros vectoriales, que sirven para definir filas y tablas. Son construidos a partir de otros tipos primitivos. En la Tabla II.II se detallan los tipos de datos estructurados.
TABLA II. II TIPOS DE DATOS COMPUESTOS O ESTRUCTURALES TIPO Sequence
DESCRIPCIÓN Representa una fila, es decir una lista ordenada de tipos de datos diferentes. Son construidos a partir de datos primitivos.
Sequence OF
Representa una tabla, es decir es una lista ordenada de varias filas iguales. Son construidos a partir de tipos compuestos.
Set
Es un tipo de datos similar al sequence
SetOf
Es un tipo de datos similar a sequence of, con la diferencia que la lista no está ordenada
Choice
Es un tipo de datos que se debe escoger de una lista predefinida.
Definidos: Se construyen a partir de los tipos de datos (primitivos y compuestos) con la diferencia que se les ha definido un nombre más descriptivo, se utiliza para distinguir los tipos dentro de una aplicación. Los tipos descriptivos o etiquetados se detallan en la Tabla II.III.
TABLA II. III TIPOS DE DATOS DEFINIDOS TIPO
DESCRIPCIÓN
NetworkAddress Representa una dirección de red de cualquier fam familia ilia de protocolos Ipaddress
Representa la dirección de internet, definida en la pila de protocolos
Counter
Representa un entero positivo que se incrementa hasta 232-1 Se
Gauge
reinicia cuando alcanza el máximo valor Representa un entero positivo, el cual se incrementa o decrementa, se reinicia cuando alcanza su máximo valor
Time Ticks
Representa un entero positivo, el cual cuenta el tiempo transcurrido en centésimas de segundo
Opaque
Representa un octectString que se le puede pasar cualquier valor ASN.1
2.4.5.4 TIPOS DE MIBS Estándares MIB-I y MIB-II
•
Experimentales Con grupos en fase de desarrollo.
•
Privadas Incorporan la información del fabricante
•
2.4.5.4.1 MIB I (Management Information Base I) Constituyo la primera MIB normalizada y estandarizaba la definición de los objetos de la torre de protocolos TCP/IP. Está definida en la RFC 1155 ver Tabla II.IV
TABLA II. IV MIB II y MIB I GRUPO SYSTEM
MIB I MIB II DESTINO 3 7 EL propio sistema
INTERFACES
22
22
Interfaces de red
AT
3
3
Correspondencia de direcciónes IP
IP
33
38
Internet Protocol
ICMP
26
26
Internet control messageProtocol
TCP
17
19
Transmisio Control Protocol
UDP
4
7
UserDatagramProtocol
EGP
6
18
Exterior Gateway protocol
0
Nuevo grupo
30
Nuevo grupo
TRANSMISSION NO SNMP
NO
2.4.5.4.2 MIB-II (Manageme (Management nt Information Base IIII)) Define objetos y grupos adicionales a los definidos en el MIB MIB tradicional, para esto, exigen ciertos requisitos que deben cumplir los objetos para que puedan ser incluidos en el MIB-II ver Tabla 2.4, dichos requisitos son los siguientes:
Sólo se permiten objetos que al modificarlos, provoquen daños limitados, esto se debe a la falta de seguridades en SNMP.
MIB-II elimina objetos dependientes de implementaciones concretas, ejemplo BSD UNIX.
MIB-II elimina el límite de mantener menos cien objetos que posee MIB-I, esto se debe a que cada vez hay más tecnologías que administrar.
2.4.5.4.2.1 descripción e identificación ddee los objetos MIB II3 Grupo 1, El Nodo System Define una lista de objetos que están relacionados con el funcionamiento del sistema, es decir, da información del sistema en el que se encuentra el agente. Ver tabla II.V.
TABLA II. V DESCRIPCIÓN DE LOS OBJETOS EN EL GRUPO SYSTEM
3
NOMBRE DEL OBJETO Sysdescr
VALOR
DESCRIPCIÓN
1
Descripción del dispositivo
SysObjectID SysUptime
2 3
Identificación del sistema Operativo Tiempo Transcurrido desde el último Reset
SysContact
4
Nombre del administrador responsable
Sysname
5
Nombre del dispositvo
SysLocation
6
Ubicación Física del dispositivo
SysServices
7
Servicios ofrecidos por el dispositivo
Diseño e implementación de un sistema de monitorización y control para un modem satél satélite ite a través de SNMP, Comprezios Marc A. enero 2011
Grupo 2, Interfaces Mantiene un registro del estado de cada interfaz de red en una entidad gestionada. El grupo interfaz monitoriza que interfaces están caídas o levantadas ver Tabla II.VI
TABLA II. VI DESCRIPCIÓN OBJETOS EN EL GRUPO INTERFACES NOMBRE DEL OBJETO
VALOR
DESCRIPCIÓN
IfIndex
1
Numero de una interfaz
IfDescr
2
Descripción de una interfaz
ItType
3
Tipo de interfaz
IfMTU
4
Máximo de octetos en un Datagrama
IfSpeed
5
Ancho de banda en bits por segundo
IfPhysAddress
6
Dirección física
IfAdminStatus
7
Para cambiar el estado de la interfaz
IfOperStatus
8
El estado Actual de la interfaz
IfLastChange
9
El valor de Sysuptime sobre la interfaz
IfInOctects
10
Total de octetos recibidos en una interfaz
IfInUcastPkts
11
Número de paquetes unicast de subred de entrada
IflnNucastPkts
12
Número de paquetes no unicast de subred de entrada
IfInDiscard
13
Paquetes entrantes descartados
IfInErrors
14
Paquetes de entrada descartados por error
IfInUnKnownProtocols
15
Paquetes de entrad con error de protocolo
IfOutOctets
16
Total de octetos transmitidos por una interfaz
IfOutUcastPkts
17
Numero de paquetes unicast de subred de salida.
IfOutNUcastPkts
18
Número de paquetes no unicast de subred de salida
IfOutDiscard
19
Número de paquetes de salida descartados
IfOutErrors
20
Paquetes de salida descartados por error
IfOutQlen
21
Longitud e la cola de paquetes de salida
IfSpecific
22
Referencia de Documentación del medio específico para la interfaz
Grupo 3 Address Translation. Es el grupo de traducción de direcciones, se encuentra en estado deprecated y únicamente se mantiene por compatibilidad con la MIB I probablemente desaparezca en la MIB III ver tabla II.VII
TABLA II. VII OBJETOS EN EL GRUPO ADDRESS TRANSLATION NOMBRE DEL OBJETO
SIGNIFICADO
AtIfIndex
Interface Number
AtPhysAddress
Dirección del medio del mapeo
AtNetAddress
Dirección IP del mapeo
Grupo 4 Internet Protocol Mantiene un registro de varios aspectos de IP, más concretamente lleva las estadísticas del protocolo IP. Registra IP recibidos, reenviados, descartados, etc. TABLA II. VIII OBJETOS DEL GRUPO IP NOMBRE DEL OBJETO
VALOR
SIGNIFICADO
IPAdEnAddr
1
Dirección IP destino
IpAdEntiflndex
2
Número de interfaz
IpAdEntNetMask
3
Mascara de subred para la dirección IP
IpAdEntBcastAddr
4
LSB de la dirección de broadcast
IpAdEntReasmMaxSize IpRouteDest
5 1
El datagrama más grande que se pueda reensamblar. Dirección IP destino
IpRouteIfIndex
2
Número de interfaz
IpRouteMetric 1
3
Métrica de enrutamiento #1
IpRouteMetric 2
4
Métrica de enrutamiento #2
IpRouteMetric 3
5
Métrica de enrutamiento #3
IpRouteMetric 4
6
Métrica de enrutamiento #4
IpRouteNextHope
7
Dirección IP del Gateway par el siguiente host
IpRouteType
8
Tipo directo, remoto, válido o inválido
IpRouteProto
9
Mecanismo utilizado para determinar la ruta
IpRouteAge
10
La última vez en segundos que fue actualizada la ruta
IpRouteMask
11
Mascara de subred para la ruta
IprouteMetric 5
12
Una métrica de enrutamiento alternativo
IpRouteInfo
13
Referencia MIB para el protocolo
IpNetToMedíaIfIndex
1
Número de interfaz
IpNetToMedíaPhysAddres
2
Dirección del medio de mapeo
IpNetToMedíaNetsAddres
3
Dirección IP del mapeo
IpNetToMedíaType
4
Como el mapeo fue determinado
Grupo 5 ICMP Mantiene un registro de varios aspectos ICMP, más concretamente lleva estadísticas del tráfico ICMP por ejemplo errores, mensajes ECHO recibidos/enviados etc. Ver Tabla II.IX
TABLA II. IX DESCRIPCIÓN OBJETOS DEL GRUPO ICMP NOMBRE DEL OBJETO
VALOR
SIGNIFICADO
IcmpInMsgs
1
Mensajes recibidos incluyendo los de error
IcmpInErrors
2
Mensajes recibidos con errores
IcmpInDestUnrecheable
3
Mensajes recibidos con destino irreconocible
IcmpInTimeExcds
4
Mensajes recibidos con tiempo extendido
IcmpInParmProbs
5
Mensajes recibidos con problemas en los parámetros
IcmpInSrcQuenchs
6
Mensajes recibidos de fuentes apagadas
IcmpInRedirects
7
Mensajes recibidos redirigidos
IcmpInEchos
8
Mensajes recibidos con peticiones de eco
IcmpInEchosRep
9
Mensajes recibidos de respuesta de eco
IcmpInTimestamps
10
Mensajes recibidos de marcas de tiempo
IcmpInTimestampReps
11
Mensajes recibidos de respuestas de marcas de tiempo
IcmpInAddrMasks
12
Mensajes recibidos de peticiones de mascara de subred
IcmpInAddrMaskResp
13
Mensajes recibidos de respuestas de mascara de subred
IcmpOutMsg
14
Mensajes mandados incluyendo con los de error
IcmpOutErrors
15
Mensajes no enviados debido al control de flujo
IcmpOutDestUnrecheable
16
Mensajes enviados con destino irreconocible
IcmpOutTimeExcs
17
Mensajes enviados con tiempo excedido
IcmpOutParmProbs
18
Mensajes enviados con problemas de parámetros
IcmpOutSrcQuenchs
19
Mensajes enviados con fuente apagada
IcmpOutRedirects
20
Mensajes enviados redirigidos
IcmpOutEchos
21
Mensajes enviados con solicitud de eco
IcmpOutEchosResp
22
Mensajes enviados con respuesta de eco
IcmpOutTimestamp
23
Mensajes enviados con solicitud de marcas de tiempo
IcmpOutTimestampResp
24
Mensajes enviados con respuestas de marcas de Tiempo.
IcmpOutAddrsMasks
25
Mensajes enviados con petición de mascara de subred
IcmpOutAddrsMaskResp
26
Mensajes enviados con respuesta de mascara de subred
Grupo 6 TCP Lleva un registro del estado de las conexiones TCP (cerradas, escuchando, etc) y de los datos generales sobre TCP (números de conexiones establecidas, máximo timeout de retransmisión, etc.) Ver tabla II.X
TABLA II. X DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO TCP NOMBRE OBJETO
DEL VALOR
SIGNIFICADO
TcpRtoAlgorithm
1
Identificación del algoritmo de retransmisión
TcpRtoMin
2
El tiempo de salida mínimo de retransmisión
TcpRtoMax
3
El tiempo mínimo de retransmisión
TcpMAxconn
4
Conexiones TCP máximas permitidas
TCpActiveOpens
5
Cambio de estadso a SYN-SENT de closed
TcpPassivesOpens
6
Cambio de estado a SYN-RCVD de Listen
TcpAttemptFAil
7
Cambio de estado a closed de ESTAB/WAIT
TcpCurrEstab
9
Número de conexiones con el estado established o closed
TcpInSegs
10
Segmentos recibidos, incluyendo con error
TcpOutSegs
11
Segmentos mandados incluyendo con error
TcpConnState
1
Estado de la conexión Tcp
TcpConnLocalAdd TcpConnL ocalAddress ress 2
Dirección Dirección IP para esta conexió conexiónn TCP
TcpConnLocalPort
Número de puerto para esta conexión TCP
3
TcpConnRmAddress 4
Dirección IP remota para esta conexión
TcpConnremPort
Número de puerto Remoto para esta conexión
5
Grupo 7 UDP Controlan las estadísticas de datagramas de entrada y salida, conexiones UDP de entrada y de salida ver Tabla II.XI.
TABLA II. XI DESCRIPCIÓN DE OBJETOS DEL GRUPO UDP NOMBRE DEL OBJETO
VALOR
SIGNIFICADO
UdpInDatagrams
1
Datagramas enviados a usuarios UDP
UdpNoPorts
2
Datagramas dirigidos a puertos desconocidos
UdpInErrors
3
Datagramas no enviados por formatos de error
UdpOutDatagrams
4
Datagramas mandados desde la entidad
UdpLocalAddress UdpLocalPort
1 2
Dirección IP para esta aplicación UDP Número de puerto local para esta aplicación UDP
Grupo 8 EGP Esta encargado del control estadísticas estadísticas EGP y mantenimiento de la tableEGPneighbor. Grupo 9 EL CMOT El CMOT define al protocolo ISO para administrar redes. El CMIP, sobre TCP:
El grupo 9 del MIB-II fue diseñado para este propósito. Pero todavía no ha sido implementado. Grupo 10 TRANSMISSION Actualmente no existen objetos asociados a este grupo; sin embargo otro MIBs Específicos para medios está definido en este subárbol. Grupo 11 SNMP Mide el rendimiento de la implementación SNMP en el dispositivo administrado y controla cosas como paquetes enviados y recibidos y cada uno es identificado en la Tabla II.XII
TABLA II. XII DESCRIPCIÓN DE LOS OBJETOS DEL GRUPO SNMP NOMBRE
VALOR DESCRIPCIÓN
SnmplnpKTS SnmplnOutPkts
1 2
Mensajes recibidos de un servicio de transporte Mensajes pasados al servicio de transporte
SnmplnBadVersions
3
Mensajes recibidos con error en la versión
SnmplnBadConmmunityNames 4
Mensajes de error en la comunidad
SnmplnBadConmmunityUses
5
Mensajes entrantes con operaciones SNMP no válidas
SnmplnASNParseErrs
6
Mensajes entrantes con errores en la sintaxis
SnmplnTooBigs
8
PDU entrante con errores de tipo TooBIg
SnmplnNoSuchNames
9
PDU entrante con errores de tipo NosuchName
SnmplnBadValues
10
PDU entrante con errores de tipo BadValue
SnmplnReadOnly SnmplnGenErrs
11 12
PDU entrante con errores de tipo ReadOnly PDU entrante con errores de tipo GenErrs
SnmplnTotalSetVars
14
Objetos alterados con el PDU al recibir un set -request
SnmplnGetRequest
15
Get-request aceptados y procesados por snmp
SnmplnGetResponse
18
GetResponse aceptados y procesados por snmp
SnmplnTraps
19
Traps procesados y aceptados por SNMP
SnmpOutTooBig
20
PDUs generados con error TooBig
SnmpOutNosuchNames
21
PDU generado con error tipo suchname
2.4.5.4.3 MIBS 2.4.5.4.3 MIBS EXPERIMENTALES MIB, Estas Estas fueron desarrolladas por los grupos de trabajo de Internet. Actualmente existen MIBs para: IEEE 802.4 TokenBus (RFC 1230).
•
IEEE 802.5 TokenRing(RFC 1231).
•
IEEE 802.3 RepeaterDevices(RFC 1368).
•
Ethernet(RFC 1398). (ya estándar).
•
FDDI (RFC 1285).
•
RMON (RFC 1271).
•
Bridges(RFC 1286
•
2.4.5.4.4 MIBs PRIVADAS MIBs de productos específicos desarrollados por las propias casas fabricantes de equipos de Telecomunicaciones, con el objeto de añadir funcionalidad a las MIBs estándares. Las hacen públicas, a través de Internet .algunas MIB privadas.
MIB Cabletron.
MIB Synoptics.
MIB Proteon.
MIB ATT.
MIB Cisco.
2.5 SNMPv3 Es un protocolo basado en estándares de interoperabilidad: Provee accesos de seguridad para los dispositivos de red, mediante la combinación de paquetes de autenticación y encriptación. 2.5.1 Características de seguridad
Integridad: El protocolo deberá verificar que cada mensaje recibido SNMPv3 no ha sido modificado durante su transmisión a través de la red de tal forma que una operación de gestión no autorizada pudiera resultar.
Autenticación: El protocolo deberá verificar la identidad del originador del mensaje recibido.
Tiempo en que se originaron los datos: El protocolo verificara el tiempo aparente de la generación del mensaje. Para proteger contra la amenaza de modificación de flujo de mensajes para lo cual una marca de tiempo es incluido en el mensaje.
Confidencialidad: el protocolo deberá garantizar, cuando se ha necesario que el contenido del mensaje se ha indescifrable. Un algoritmo de encriptación simétrica es puesto en marcha para proteger contra la amenaza de revelación de contenido.
2.5.2 Modelos y niveles de seguridad Modelo de Seguridad: es una estrategia de autenticación determinada para un usuario y grupo en que este reside. Niveles de seguridad: define el umbral permitido dentro del modelo de seguridad. La combinación de ambos decidirá el mecanismo hacer empleado para el intercambio de mensajes SNMP. Tres son los modelos de seguridad disponibles:
SNMPv1, SNMPv2 y SNMPv3 y tres son los niveles de seguridad disponibles: noAuth-Nopriv, AuthNoPriv, AuthPriv. La Tabla 2.13 describe las posibles combinaciones entre estos dos conceptos. Los fundamentos de la seguridad en SNMPv3 se pueden describir a través de los siguientes puntos.
Cada usuario pertenece a un grupo
Un grupo define sus políticas de acceso para un conjunto de usuarios
Una política SNMP determina que objetos de la MIB pueden ser accedidos para escribir y leer.
Un grupo también determina el modelo y el nivel de seguridad para sus usuarios
Beneficios
Los datos pueden ser colectados en forma segura por equipos SNMP sin el temor que hayan sido forzados o corrompidos.
Manejo de la información confidencial. Por ejemplo un conjunto de comandos SNMP que cambian la configuración de un equipo, pueden ser configurado para prevenir la exposición de su contenido en la red.
Acceso selectivo hacia cada uno de los objetos de la MIB.
Identificación del origen de los mensajes
Robustos algoritmos para la autenticación y la encriptación
TABLA II. XIII MODELOS Y NIVELES DE SEGURIDAD MODELO
NIVEL
AUTENTICACIÓN
ENCRIPTACIÓN
V1 V2 V3 V3 V3
noAuthNopriv noAuthNopriv noAuthNopriv AuthNopriv AuthPriv
Comunidad Comunidad usuario MD5 o SHA MD5 o SHA
No No No No SI
2.5.3 Arquitectura SNMPv3 EN SNMPv3 SNMPv3 se abandona la noción de agentes y gestores, Ambos, administradores y agentes, ahora se denominan entidades SNMP, Cada entidad está formada por un único motor SNMP y por una o más aplicaciones SNMP. El motor y las aplicaciones a su vez están conformadas por modelos. Los subsistemas interactúan entre sí mediante primitivas y parámetros abstractos con el fin de que una entidad pueda proveer un determinado servicio. Dependiendo de los tipos de módulos que conformen una entidad, esta podrá actuar como: agente, gestor o una combinación de ambos. La arquitectura arquitectura SNMP tiene algunas ventajas:
Permite el desarrollo de estrategias de coexistencia y transición con otros módulos
Definición del rol de una entidad en base a los módulos que se tenga implementado.
Capacidad de actualizar de forma modular sin la necesidad de actualizar todo el protocolo
2.5.4 Entidades SNMP GENERADOR DE COMANDOS
RECEPTOR
EMISOR PROXY
NOTIFICACIONES
CONTESTADOR
ORIGINADOR
DE COMANDOS
NOTIFICACIONES
DISTPACHER
SUBSISTEMA DE PROCESAMIENTO DE MENSAJES
SUBSISTEMA DE
SUBSISTEMA
CONTROL DE ACCESO
SEGURIDAD
Figura II. 5 Entidad SNMPv3
Es un conjunto de módulos que interactúan entre sí. Cada entidad SNMP ofrece una porción de la capacidad de SNMP y puede actuar como los tradicionales Agentes o gestores o una combinación de ambos. Cada entidad está formada por módulos que interactúan entre sí para ofrecer un servicio, como se ilustra en el diagrama de bbloques loques de la figura II.V 2.5.4.1 Motor SNMP 2.5.4.1 Es la parte esencial de cualquier entidad SNMP. El Motor SNMP es el encargado de proporcionar las funciones de.
Envió de mensajes
Recepción de mensajes
Autenticación Encriptado y descencriptado de los mensajes
Control de Acceso a los objetos administrados
Estas funciones son provistas como servicios a una o más aplicaciones y está provisto de 4 módulos. Ver Fig. II.V
2.5.4.1.1 Dispatcher(despachador) Es el encargado de administrar el tráfico. Para mensajes salientes recibe las PDUs de las aplicaciones determina el tipo de procesamiento requerido (SNMPv1, SNMPv2, SNMPv3) y entrega estos datos al módulo de procesamiento de mensajes adecuado. Para mensajes entrantes, acepta mensajes del nivel de transporte y lo deriva al módulo de procesamiento de mensajes idóneo.
2.5.4.1.2 Subsistema de Procesamien Procesamiento to Mensajes Es el responsable del armado y desarmado de la PDU, recibe y entrega los mensajes del despachador. Si es necesario luego del armado de la PDU (mensaje saliente) o antes de desarmarla (mensaje entrante) pasaría la misma al subsistema de seguridad. Un subsistema de procesamiento
de mensajes puede contener varios modelos de procesamiento de mensajes para SNMPv1 (denominado v1MP), para SNMPv2 (denominado v2cMP), SNMPv3 (denominado v3MP) y para otros protocolos de gestión.
2.5.4.1.3 Subsistema de seguridad Es el encargado de eejecutar jecutar las funciones de autenticación y encriptación ddee los mensajes SNMP, haciendo uso del del modelo de seguridad basado en usuarios (USM), agregando un encabezado específico de seguridad en cada mensaje. También debe proveer mecanismos de seguridad basada en comunidades para el caso de SNMPv2 y SNMPv1.Especificamente la RFC-2574 establece que el modelo de seguridad basado en usuario protege frente a las siguientes amenazas.
Retransmisión del flujo de mensajes
Suplantación de identidad
Confidencialidad de los datos
Eventos disfrazados
Modificación de la información de gestión
2.5.4.1.4 Subsistema de control de Acceso Proporciona servicios de autorización para controlar el acceso a los objetos M MIB, IB, es decir determina a que objetos de la MIB se accede y que operaciones pueden ejecutarse en ellos. Implementa el Modelo de control de Accesos basado envistas (VACM), provee servicios que comprueban los permisos para realizar una determinada operación en una vista especifica. 2.5.4.2 Aplicaciones SNMP Las aplicaciones SNMP son subsistemas que usan los servicios de un motor SNMP para llevar a cabo operaciones especificas relacionadas al procesamiento de información de gestión.
2.5.4.2.1 Generador de Comandos Monitoriza y maneja los datos de administración de los dispositivos gestionados. Específicamente genera las PDUs: PDUs: GetRequest, GetNextRequest, GetBulkRequest y SetRequest, además recibe y procesa las respuestas GetResponse a los pedidos que ha generado. Esta aplicación se implementa en la entidad que actúa como NMS. 2.5.4.2.2 Contestador de comandos Recibe las PDUs GetRequest, GetNexteRequest, GetBulkreuqest y SetRequest, realiza las acciones solicitadas y utilizando el control de acceso, genera mensajes G GetResponse etResponse para responder la solicitud de una NMS. Esta aplicación es implementada en una estación que actúa como agente. 2.5.4.2.3 Receptor de Notificaciones Es el encargado de monitorizar la llegada de notificaciones y de tratarlas una vez recibidas y en el caso de un informRequest genera un Getresponse. 2.5.4.2.4 Generador de notificaciones El encargado de monitorizar constantemente el sistema y de generar las notificaciones, en caso de detectar un evento particular, que haya cambiado la forma de operar del dispositivo monitoreado, Para el cual haya sido programado con anterioridad por parte del encargado de gestionar la red. 2.5.4.2.5 Reenviador Proxy Reenvía mensajes entre entidades SNMP, La implementación de esta aplicación es opcional. Una entidad no tiene por qué implementar implementar todos los módulos anteriores ya que esto depende de las funcionalidades que se desea que tenga dispositivo.
2.5.5 Gestor SNMP La Figura II.6 muestra el diagrama de bloques de un gestor SSNMP NMP tradicional.
.
.
1
(
Figura II. 6 Gestor SNMP Tradicional
Una entidad SNMP que contenga una o más aplicaciones: generadoras de comandos, receptoras de notificaciones y originadoras de notificaciones (junto con un motor snmp) se llama Gestor SNMP. Todas estas aplicaciones utilizan servicios proporcionados por el motor SNMP. Recibe los mensajes SNMP desde la capa de transporte (UDP), realiza el procedimiento de autenticación y descifrado, y luego extrae las PDUs para posteriormente ser entregadas a las aplicaciones pertinentes.
2.5.6 Agente SNMP
. .
1
Figura II. 7 Agente Tradicional
Una entidad SNMP que contenga una o más aplicaciones contestadoras
de comandos,
originadoras de notificaciones y opcionalmente reenviadores proxy (junto con un motor SNMP) se llama agente SNMP. El motor SNMP de un agente SNMP contiene los subsistemas del motor de un Gestor SNMP más un subsistema de control de acceso.
2.5.7 Formato mensaje SNMPv3 El formato del mensaje SNMPv3 es totalmente diferente al de sus versiones anteriores. En virtud que se introducen parámetros de autenticación y encriptación. Los campos sombreados con violeta son generados y procesados por el subsistema de procesamiento de mensajes. MsgVersion msgID A U T E N T I C A
C I Ó N
MsgMaxSize MsgFlags MsgSecurityModel msgAuthoritativeEngineID msgAuthoritativeEngineBoots msgAuthoritativeEngineTime MsgUserName
msgAuthenticationParameters MsgPrivacyParameters ContextEngineID E N C R I P T A C I Ó N
ContextName
PDU
Figura II. 8 Formato mensaje SNMPv3
El mensaje incluye los siguientes campos:
msgVersion: Identifica la versión de snmp utilizada, esta seteado a 3 (SNMPv3)
msgID:Identificador que permite relacionar los mensajes es decir permite asociar los mensajes de solicitud con los de respuesta.
msgMaxSize: Este campo expresa en octetos al máximo tamaño del mensaje que puede recibir la entidad SNMP que emitio el mensaje actual. Su rango va desde 484 a 231-1.
msgFlags: Es un octeto que contiene tres banderas en los bits menos significativos. Las banderas son reportableFlag, privFlag y authFlag.la bandera reportableFlag sirve para determinar cuándo enviar un 1 o un 0 a una Pdu report a la entidad emisora del mensaje. Esta bandera debe estar seteada en 1 en las PDUs get, Set e inform y debe estar seteada a cero en las PDUs response Trap y report. Las banderas privFlag y authFlag sirven para indicar el nivel nivel de seguridad aplicado al mensaje
msgSecuritymodel: sirve para indicar qué tipo de modelo de seguridad fue usado por el remitente del mensaje y por lo tanto que modelo de seguridad debe ser utilizado por el receptor del mensaje para procesarlo. Su rango va desde 0 a 2 31-1 pero existen valores reservados: 0(cualquiera), 1(SNMPv1), 2(SNMPv2) y 3(USM).
La siguiente sección tiene parámetros exclusivos para la operación USM.
msgAutoritativeEngineID: Es un identificador que se asigna al motor de una entidad SNMP (agente o gestor) que responde a las peticiones o al que recibe las notificaciones, y es el que sirve como referencia para el denominado motor autorizado (AutoritativeEngine).
msgAuthoritativeEngineBoots: Indica el número de ocasiones que un motor SNMP se reinició desde su configuración original.
msgAutoritativeEngineTime: Indica el tiempo en segundos desde que se inició por última vez .La tercera sección es la que contiene la PDU SNMP definidas.
ContextEngineID: En los mensajes entrantes, este campo indica a que aplicación se entregara la PDU. Es el identificador de una entidad SNMP asociado con un contexto
ContextName: Nombre que se asigna a un contexto que tiene relación con la información de administración contenida en la PDU del mensaje.
PDU: contiene los valores (OID e instancias) de una petición o respuesta SNMP.
2.5.8 SEGURIDAD EN SNMPv3 SNMPv3 mantiene una forma flexible y poderosa para incrementar la seguridad en los entornos gestión durante el tránsito de la misma a través de la red. EEsta sta versión proporciona la posibilidad de configuración de nombres de usuario, derechos de acceso, y diferentes claves para limitar el acceso a los recursos de gestión. SNMPv3 logra reducir al máximo los riesgos de que la información de gestión sea fácilmente obtenida. Para lo cual hace uso de un modelo de seguridad basado en usuario y un control de acceso basado en vistas, los mismos que trabajando en conjunto aseguran el transito seguro de la información de gestión atreves de la red
2.5.8.1 Control de Acces Accesoo basado en vvistas istas (VACM) El modelo de control de acceso está basado en vistas está definido en el RFC 3415 Esta implementado sobre el subsistema de control de acceso de los agentes tradicionales permitiendo determinar quién está autorizado para acceder a la MIB, según las políticas de acceso de cada objeto de la MIB, definidas en la configuración del motor SNMP al que pertenece. El modelo de control de acceso utiliza los campos msgFlags, msgSecurityModel y scopedpdu del mensaje SNMPv3 para determinar qué tipo de acceso tiene el mensaje. Si el acceso no es permitido a dicho tipo de solicitud, entonces se envía una notificación de error al principal.
VACM tiene dos características fundamentales:
determina si un acceso a la MIB local está permitido
Posee su propia MIB en la cual se definen las políticas de acceso y habilita la configuración remota.
Se definen cinco elementos que constituyen la VACM:
1. Grupos: aúnan un conjunto de usuarios con los mismos derechos de acceso a los objetos de la MIB. Cada principal está representado por una dupla securityModel, securityName. Todo grupo está identificado con groupName en un agente, un principal debe pertenecer a un solo grupo.
2. Nivel de seguridad: definen las diferentes comprobaciones de autenticación y privacidad que deben considerarse antes de permitir el acceso: Es posible configurar diferentes formas de acceso para cada usuario. El nivel de seguridad es importante en la definición de derechos de acceso, de tal manera que si el nivel de seguridad es noauNopriv, entonces los derechos de acceso pueden solo ser de lectura. Si el nivel de seguridad es authPriv o authNopriv, entonces los derechos de acceso pueden ser solo de escritura.
3. Contextos:Es un subconjunto de instancias de objeto en la MIB local, bajo el nombre contextName, accesibles por una entidad SNMP. Permite agrupar objetos con distintas políticas de acceso. Un objeto puede pertenecer a más de un contexto.
4. vistasMIB:Define conjuntos específicos de objetos administrados, los cuales se pueden agrupar en jerarquías de árboles y familias de manera que se pueda restringir su acceso a determinados grupos 5. Políticas de Acceso: son las normas de acceso que se asignan a un contexto SNMP.
La determinación de un derecho de acceso está dada por los siguientes factores.
El gestor SNMP (principal) que está realizando el pedido de acceso.
El nivel de seguridad del mensaje de pedido
El contextoMIB referenciado en el mensaje de pedido.
El modelo de seguridad usado para el procesamiento de mensaje pedido.
El tipo de acceso solicitado (lectura, escritura o notificación).
Figura II. 9 Diagrama de flujo para VACM
2.5.8.2 Modelo de Se Seguridad guridad Basado en Usuario USM está implementado sobre el subsistema de seguridad para proporcionar los servicios de autenticación y privacidad en una entidad SNMPv3. Utiliza un mecanismo típico de usuario y contraseña asociada a este y funciona de la mano con el grupo VACM con una serie de vistas configuradas que establecen privilegios de acceso. Específicamente la RFC-2574 establece que este modelo protege contra lo siguiente:
Modificación de la información
Suplantación de la entidad
Modificación del flujo de mensajes
Descubrimiento de la información
El subsistema está formado por los siguientes 3 módulos internos 1. Módulo de autenticación: es el encargado de garantizar la integridad y el origen de los datos recibidos. 2. Módulo de guía temporal: es el encargado de ofrecer protección frente a retardos o repeticiones de mensajes fuera de la normalidad: en concreto, descarta los paquetes que están fuera de una cierta ventana de tiempo.
3. Módulo de privacidad: es el encargado de proporcionar la confidencialidad de los datos 2.5.8.2.1 Elemento Elementoss de un motor SNMP nnecesarios ecesarios para USM Todo motor SNMP contiene tres elementos fundamentales que permiten la implementación de un modelo USM.
1. snmpEngineID: Identifica de forma única a un motor SNMP dentro de un dominio de gestión.
2. snmpEngineBoots: Es un contador que lleva la suma del número de veces que el motor snmp ha sido reiniciado desde que se definió su snmEngineID.
3. snmpEngineTime: es el número, segundos que han pasado desde la última vez que el motor fue reiniciado. Estos parámetros permiten la definición del motor autoritativo, que es un elemento indispensable para la implementación de seguridad en un sistema de gestión bajo el dominio de snmpv3.
2.5.8.2.2 Motor SNMP autoritativo En toda transmisión que se ha uso de USM debe existir un motor SNMP autoritativo es el encargado de gestionar la seguridad. La asignación de un motor autoritativo permitirá permitirá realizar dos tareas fundamentales. 1. Creación de la guía temporal: cuando un motor autoritativo envía un mensaje añade una serie de marcadores de tiempo temporales que deben ser analizados por el motor de la entidad receptora con el fin de determinar si el mensaje está dentro de la ventana temporal correcta y por tanto debe ser aceptado. 2. Creación de claves localizadas: son las claves que comparten un usuario con un motor SNMP determinado. A pesar de que un usuario puede utilizar la misma clave para todos los motores con los que se comunica, la clave real utilizada es diferente y se ddenomina enomina clave localizada. Esta se forma aplicando una función de hash a la clave original y envolviendo el parámetro snmpEngineID del motor correspondiente con el resultado, para luego volver aplicar la función de hash de nuevo. Al final, cada usuario posee una clave localizada, diferente de cualquier otra, para comunicarse con cada motor SNMP. El motor autoritativo queda definido según las siguientes reglas
1. Si el mensaje que se envía espera una respuesta del destinatario, el motor autoritativo es el receptor. 2. Por el contrario, si el mensaje que se envía no espera una respuesta del destinatario, el motor autoritativo es el emisor.
2.5.8.2.1.1 Funciones 1. Descubrim Descubrimiento iento de motores SNMP USM requiere de un proceso de descubrimiento mediante el cual, un motor SNMP no autoritativo obtiene suficiente información sobre el motor autoritativo con el que quiere comunicarse. Para ello, el motor no autoritativo envía un mensaje request al motor autoritativo, el cual contesta con un report en el que envía su parámetro snmEngineID. Si la comunicación debe ser autenticada, es necesario establecer una sincronización entre ambos motores. Para Para ello, el m motor otor autoritativo añade en su respuesta los valores de los parámetros snmpEngineBoots y snmpEngineTime. Gracias a ellos, el motor no autoritativo puede crear y mantener una ventana temporal que le permitirá validad los mensajes que reciba el motor autoritativo.
2. Autenticac Autenticación ión e Integridad Provee integridad de los datos y autenticación de origen de los datos. La integridad de los datos se refiere a que estos estén libres de alteraciones o modificaciones inapropiadas. La autenticación se refiere a la confirmación de la identidad de la entidad SNMP de la cual recibió el mensaje (origen del mensaje). La autenticación se logra mediante una función criptográfica que requiere ddee una clave de autenticación (authKey) que es generada a partir de una contraseña de la menos 8 caracteres
proporcionadas por el usuario, a la vez se brinda autenticación a las entidades involucradas en el proceso de gestión a través de un nombre de usuario(securityName). El m motor otor SNMP almacena para cada usuario (local o remoto) una authkey. Un usuario local es un principal (asociado a un motor SNMP local) que tiene permisos para realizar operaciones de administración de red. Mientras que, un usuario remoto es un principal (asociado a un motor SNMP remoto) con quien está permitido entablar intercambio de información .el alcance de la autenticación es de todo el mensaje mensaje SNMP. Las funciones de autenticación soportadas son HMAC-MD5-96 y HMAC-SHA-96
Protocolo HMAC-MD5-96
Este protocolo utiliza el código de autenticación HMAC y la función hash MD5 HMAC (Hash-based Message Authentication Code- código de autenticación de mensajes basado en Hash) es un mecanismo para autenticar mensajes. Que se basa en el uso de una llave secreta y el uso de funciones Hash. La llave secreta sirve para el cálculo y verificación de los valores de autenticación autenticación de los mensajes. HMAC es usado entre dos entidades SNMP que comparten una llave secreta con el fin de validar llaa información intercambiada entre ellas. La función hash MD5 (A (Algoritmo lgoritmo de resumen de mensaje) sirve para convertir un dato de longitud cualquiera a un dato de longitud pequeña fija de 128 bits (16 octetos). En resumen el protocolo HMAC-MD5-96 trabaja de la siguiente manera:
El mensaje entrante SNMP ingresa al algoritmo HMAC.
HMAC utiliza la llave secreta authKey y la función hash MD5 para a partir del m mensaje ensaje generar un resumen de longitud de 16 octetos que posteriormente se trunca a 12 octetos (96 bits).
Este valor de 12 octetos es un código de autenticación que se inserta en el campo msgAuthenticationparameters del mensaje SNMPv3.
Protocolo HMAC-SHA-96
Este protocolo también utiliza el código de autenticación HMAC y la función hash SHA-1.La función Hash SHA-1(algoritmo de hash seguro) produce un resumen de mensaje de longitud 160 bits (20 bytes). MD5 y SHA-1 tienen notables diferencias. MD5 realiza una ejecución más rápida que el algoritmo que SHA-1; sin embargo, a pesar de que SHA-1 es más lento, genera un resumen de mensaje de mayor longitud lo cual hace que el algoritmo se más robusto contra ataques de fuerza bruta. En ambos casos, los dos algoritmos son irreversibles; es decir no se puede obtener el mensaje original a partir del resumen y su llave secreta. El protocolo HMAC-SHA-96 trabaja de manera similar que el protocolo anterior, con la diferencia que genera un resumen de mensaje de 20 octetos que luego se trunca a 12 octetos.
3. Privacidad La privacidad es la habilidad de mantener en secreto una información y solo revelarla de forma selectiva. La privacidad en el entorno SNMP evita que terceros puedan acceder a información confidencial que se transmiten entre los agentes y los gestores. Esto se logra mediante un algoritmo de cifrado que requiere de una clave privada (privkey): el motor SNMP almacena para cada usuario (local o remoto) una privKey. La porción del mensaje SNMP que requiere encriptación es la scopedPDU. Las funciones de encriptación soportadas son DES y AES
Protocolo DES
DES (Cifrado estándar de datos) es un algoritmo de encriptación simétrico; utiliza la misma llave para encriptar y descencriptar. DES tiene varios modo de operación, entre ellos
CBC(encadenamiento de Bloques de cifrado) es escogido por USM para ser usado. Este algoritmo requiere de una llave secreta de 16 bytes (128 bits). El modo modo CBC requiere de unos 8 bytes (64 bits) iniciales denominado vector de inicialización para comenzar a ejecutar el algoritmo de cifrado. El mecanismo que emplea emplea USM para la creación de la llave secreta y el vector de inicialización están basados en dos valores ya obtenidos: un valor secreto (privkey) y un valor timeliness (snmpEngineBoots). El valor secreto se comparte entre un usuario principal y un motor autorizado. Los primeros 8 octetos de pri privkey vkey se utilizan como llave secreta para DES. DES verdaderamente requiere de 56 bits, el bit menos significativo de cada octeto es ignorado. El vector de inicialización, denominado como IV (vector de inicialización) se genera de la siguiente manera:
De la privKey se toman los últimos 8 bytes para usarlos como un pre-IV.
Para asegurar que se utilicen dos IV distintos para diferentes entradas de texto cifrados bajo la misma clave, se crean un octeto salt value.Salt Value se crea a partir de la concatenación de SnmpEngineBoots y un valor entero de 64 bits dado por el protocolo de encriptación.
Se realiza una operación XOR bit a bit entre el pre-IV y el octeto salt value, el resultado es el vector de inicialización.
El octeto salt value es insertado en el campo msgPrivacyParameters del mensaje SNMPv3 con el fin de que la entidad receptora pueda generar el vector de inicialización adecuada y pueda descifrar el mensaje.
Protocolo AES
AES (Cifrado estándar avanzado) es un algoritmo de
encriptación simétrico diseñado con
características de: resistencia mejorada contra ataques, fácil implementación, eficiencia y diseño
escalable en la RFC 3826 se define el funcionamiento de AES en USM. el modo de funcionamiento selecciónado es CFM(Modo de cifrado Retroalimentado) . Este algoritmo soporta longitudes de llave de 128, 192 y 256 bits, pero la de 128 bits es la escogida por la USM. De la misma forma que DES, se emplea un mecanismo similar para generar la llave secreta y el vector de inicialización. Para generar la llave secreta se toman los primeros 18 bits de privKey. Mientras que, para generar el vector de inicialización de 128 bits se realiza una concatenación de snmpEngineBoots, snmpEngineTime pertenecientes al motor autorizado y de un entorno local de 64 bits. El entero local es inicializado a un valor aleatorio al reiniciarse el motor SNMP. Este entero local es insertado en el campo msgPrivacyParameters del mensaje SNMP con el fin de que la entidad receptora pueda generar el vector de inicialización y pueda descencriptar el mensaje.
4. Puntualida Puntualidadd Timeliness Brinda protección contra la recepción de mensajes que lleguen tarde y contra el reenvió y redirecciónamiento no autorizados de mensajes. Para emplear el módulo Timeliness es indispensable haber aplicado antes un servicio de autenticación al mensaje. Los mecanismos de puntualidad son: administración de relojes autorizados, sincronización y verificación de puntualidad. Administración de relojes relojes autorizados Los motores SNMP autorizados deben administrar los objetos snmpEngineBoots y snmpEngineTime los cuales indican su tiempo local. La gestión de relojes consiste en lo siguiente:
snmpEngineTime alcanza su máximo valor, se produce un incremento en el valor de snmpEngineBoots y comienza nuevamente desde cero.
Si un motor autorizado no logra identificar su ultimo valor del snmpEngineboots, lo setea al valor umbral de 232-1
Si el snmpengineBoots alcanza su máximo valor, este se bloquea y se produce un error de autenticación. Por lo tanto, se requiere una reconfiguración manual del sistema que consiste en cambiar el snmEngineID o las claves de los protocolos de autenticación y privacidad de todos los usuarios conocidos por este motor.
5. Sincronización Para que un motor no autorizado pueda sincronizarse con los motores autorizados, almacena copias de las siguientes variables que pertenecen a cada motor autorizado: snmpEngineBoots, snmpEngineTime y latestrecivedEngineTime. La variable latestReceivedEngineTime representa el valor más alto de msgAuthoritativeEngineTime del motor autorizado. Para que un motor no autorizado reciba por primera vez las variables de sincronización se sigue un mecanismo de descubrimiento de motores autorizados. Luego por cada mensaje SNMP recibido, el motor no autorizado lee los valores y actualiza las variables. Para proceder a realizar la actualización de las variables, previamente se realiza comparaciones entre
variables
guardadas
latestReceivedEngineTime)
contra
localmente las
(snmpEngineBoots,
variables
recibidas
en
snmpEngineTime, los
mensajes
y
SNMP
(msgAuthoritativeEngineBoots, msgAuthoritativeEngineTime, y msgAuthoritativeengineTime), respectivamente. Si el valor de la variable recibida es mayor o igual al almacenado, entonces se realiza la actualización; caso contrario no
6. Verificación de puntualidad Para chequear la puntualidad de un mensaje se utiliza el concepto de ventana de tiempo.
Una ventana es un intervalo de tiempo en el cual si un mensaje llega dentro de dicho intervalo, el mensaje es considerado autentico. Si el receptor del mensaje es un motor autorizado, se considera que el mensaje llegó fuera de la ventana de tiempo si se cumple alguna de las siguientes condiciones:
El snmpEngineBoots está trabado en su máximo valor es decir 231-1.
El msgAuthoritativeEngineBoots y snmpEngineBoots no tiene los mismos valores.
El valor del campo msgAuthoritativeEngineTime difiere de snmpEngineTime por más de 150 segundos.
Si el receptor del mensaje es un motor no autorizado, considera que el mensaje llego fuera de la ventana de tiempo si se cumple alguna de las siguientes condiciones:
El snmpEngineBoots está trabado un valor menor al snmpEngineBoots.
El msgauthoritativeengineboots tienen un valor menor al snmpengineBoots.
El valor de msgAuthoritative EngineTime difiere de snmpEngineTime por más de 150 segundos.
Si el mensaje es considerado fuera de ventana de tiempo, se lo denota como no autentico y se devuelve un error (notlntimeWindow) al subsistema solicitante.
7. Gestión de claves La gestión de claves define procedimientos para la generación, localización y actualización de las mismas. El principal es el encargado de la gestión de estas. Cada principal debe mantener una clave única para cifrado y autenticación.
8. Generación de claves La generación de claves se realiza mediante el algoritmo Password-Key.
Este algoritmo requiere de uno o dos passwords, dados desde el sistema de gestión, para crear dos claves de 16 o 20 octetos. Esto depende si se desea utilizar el mismo password para generar las claves de autenticación y encriptación, o utilizar un password diferente para cada clave. El procedimiento es el siguiente:
Se forma una Cadena de texto de longitud 220 repitiendo el password. Esta cadena de texto se denomina digest0,
Para crear una llave de 16 octetos se aplica la función MD5 al digest 0 y se obtiene la clave de usuario (también se denomina digest1).
9. Localización de claves La localización de claves es el proceso de generación de varias claves diferentes a partir de la clave de usuario previamente obtenida digest1. Cada clave producida se denomina clave localizada. La clave localizada es la que en realidad se comparte entre un principal en un motor no autorizado y un motor autorizado (agente). La clave localizada puede ser authKey (para el caso de autenticación) o privKey (para el caso de privacidad). El procedimiento de localización de claves es el siguiente:
Se forma una cadena de texto con digest1, el snmpEngineID del motor autorizado y nuevamente digest1. Se aplica las funciones MD5 o SHA-1 sobre digest2. El resultado es la clave localizada
10. Actualización de claves La finalidad de la actualización de claves es mantener la seguridad y confiabilidad del sistema. El cambio de claves se realiza desde un sistema de gestión.
3 V P M N S
S E R O I R E T N A S E N O I S R E V S U S
A E T N E R F 3 V P M N S E D S A R O J E M V I X . I I A L B A T
e e s o u d l q s o e c o n v t a o ó i l r c c p a e c i t d a n s t e é r t v u a o r p a t o s e a d , P ) s M y e o k t N h m S s u i e a n j ( a a c s e n n m e ó m i l c a r e a c o n i t p a n r d e o i t c l a n v u a I
r a l d u o m a m r o f e d a r e p O
a y n ó i 2 c V a P r e M p N o S e
n ó i c p e c x e a , a c i
, t s e u q e R t
s m e d a ó t e m a d r o s f e u S o n
1 V P M N S
o o d o t , a c i m ó t a a d a a m n r o f e d a r e p O
S O T C E P S A
N Ó I C A R E P O
6 9 A H S C A M H y 6 9 5 D M C A M H
. 1 v e P d M a N m S r o e f d a e l s d a r a e c r i e t n H t e u a l r e o , p s t a e i d s a n o a n d i t r n a u d l a p m d o o i t c n x e n u t e m n o o e d c d a e a l s r a e l b a , d l e r a i b v i r m T o n
N Ò I C A C I T N E T U A
l e a s u , n ó i c a t p i r c n e
, s s e o l o u q d a a B n I d o M a i t a d i s a m c e l s a i g v e m i r s d p o a t s l r e a j e a t b s d d o i a v t a r s e e a o e l l d p d p s a n m S o c i o ó m E c o s i s A n i e i n ó c f n y i c e i s a a d c S v e E l a a e m D l l s e l o e e e n e g t c o j n n g u c a i n a i r i d o s t r t o n d t s r o e e e s t e n r p m R m r I t n e i m s i c e 2 e d l v b a P d a i t M s n N e u l m S e e d o c u q l a u g I
d a d i c a v i r p e d o p i t n ú g n i n
n e a j a i v d , e n r ó a i l t s r e o g p e o d n a n l ó i p c o a t x e m t e c r e o r f f n o i o l a N
D A D I C A V I R P
e s d e v e r t a i s
o s e c c a e d s e l i f r e p e d s e v e r t a i s
O S E C C A E D L O R T N O C
s d a e s e u o a j v d s q i a i t o o t i s i n c n c s e i o i e f v r r á p m s r i e e t i s s d u o l q e n l r r s a d a a e l u o d c i n n l ó e a e i v u c g n q a e e a r u d a g e q r a o p m n s b r e n a s o d e t f d ó i c e a n e a d n i c , u m e i t s a r a n n a r r e o s e e t i u h u c r u a a e q o a p c d l o P r e s n a p d é e z i M l v c t N o e S i a u a r h S N t p U A Z A N E M A a a S n n E o o i T i c c N r r o o E I p p U o o r r G I p p S o o N S N A L E T N E R F N O I C C E a a n n T o o i O i c c R r r o o P p p o o E r r C p p E o o R N N F O
D A D I T N E D I E D N Ò I C A T N A L P U S
O I C I V R E S E D N Ó I C A G E N E D
s e o u l q n e o u r q a r e d i e d s n o c a s n u ó a i c s r e v a l a s . e , e l a a d n n s i f i o e o c r r o s o d o p a i l l d o e r p o r r m a r e t o s e n N d i
a n o i c r o p o r p o N
e s a n s e n ó i r d a c a r a t a n t d u i e p g t i v r e n c e a s l n a e a l a r e p o i d m e r a d a p u s o c s e p n e e o c e m n s m e e e n i t i t i r v u a o r e q g e d l o s e d s j a o n a n e a o c r a s i t h c n a n a c r e m e h a m e m , m o d s m o s a l n o o s o d a e i a r c h u l i z r o c e t i r p e é o d c e t m n m a o i u u e n e H q a t P s
a n o i c r o p o r p o N
a n o i c r o p o r p o N
e t i m r e P
e t i m r e P
a n o i c r o p o r p o N
O C I F Á R T E D S I S I L Á N A
a n o i c r o p o r p o N
E D O J U L F S L E E J D A N S N Ò I E C M A C I F I D O M
a n o i c r o p o r p o N
e t i m r e P
A L D E N E A D Ó R D I A N C E Z I Ò I A D L C M N A A R Ó R I C I O T T N F F I N S E D I E C G O M
, s s á a m r o t o s e s g d o e d s r a a e n l d i u e q d a á i c m d a n d e i t j e s d l e i x e n p m o g l a a o a c s e a i i h l a t m s e e m r s e d i a u q o m p o s d s n a o d e i l e t n n e d a n i o i i a t d t c n e m t a e r p r e e s e o H l p e d r , o a d p i u 2 b v i r P t s M i N d S e n ó d i s t s e e n g o i c a r a e n p u
t e e s d t r e u i o n q b e a l e n a R m ó a i o m c t r r s s o t e e a f n n g p i i l e o U e d d n a e n d D i P t ó , i m e r c s c e a e u r d p r m t o o r e o s u f t n q n e g i I
y l a a o . d d s i u n o e i b i p i r i u t t s m q i e d r e e d p d e e n r t i t e n e ó d m s l e n a g p n ó i o i t c c s n s e i r e G p d
s e r a o l t a s t e i l i g c e a r f t o n n e , n e ó t i i c m a r c e i p n o u m N o c
A D I U B I R T S I D D E R E D N Ó I T S E G
r o p 2 v P M N a S c i e u d q r s á e r e n j o i n c ó i a r t e s p e o g s a a n u m e s i t i m m r s e a p l a o d t n e a r t e o H l a a d l l e r e t i m e d t i e a m d r n . e é a p i c b i n m u q r a á i ó c t a a r e r d j t i s u n i n i o i ó b i r t m m t s s o d i e C a d g e u q d n e ó r z e a r d n a ó i m t s s a c i e i m g u a q r a l l á r t e r o i j e p m , e d t i e m a r s e o p n o N A C I U Q R A R E J D E R E D N Ó I T S E G
a t s i s e T a t a p s e r C h t u R : r o p o d a z i l a R e
CAPÍTULO III EVALUACIÓN HERRAMIENTAS DE MONITOREO CACTI, ZABBIX, Y NAGIOS
3.1 INTRODUCCIÓN Debido a la gran importancia que hoy en día tiene las redes de datos para los entornos empresariales en cuanto a productividad, es indispensable contar con plataformas de red conectividad y comunicaciones comunicaciones que nos asegure una una performance de la red alta y siempre esté esté disponible o la mayoría del tiempo. El crecimiento constante y la incorporación de nuevas herramientas tecnológicas de monitoreo al mercado de la industria de las Telecomunicaciones se van mejorando, así también se incrementan o se mejoran mejoran las herramientas herramientas que hacen daño o permiten permiten vulnerar las redes. Por esta razón hay que realizar un análisis comparativo orientado aprevenir, plantear soluciones ante eventos inusuales que ocurren en la INTRANET, y al elegir la herramienta que más convenga de este
modo
asegurar
la
estabilidad,
operatividad
y
rendimiento
de
la
red.
Para brindar brindar el mejo mejorr servicio de monitoreo monitoreo y gestión de la red se propone un análisis análisis comparativo de los parámetro parámetross y características más relevantes relevantes de las herramientas, herramientas, con la finalidad de seleccionar la mejor. 3.2 Elección de herramientas Existe un sin número de herramientas para resolver el problema de administración de red. Las hay tanto comerciales, comerciales, como herramienta herramientass basadas en software libre. La elección ddepende epende de factores tanto humanos, economicos y de infraestructura. a. El perfil de los administradores, sus conocimientos en determinados sistemas operativos. b. Recursos económicos disponibles c. El instrumental de red con el que se cuenta. 3.2.1 Análisis de la selección de software a utilizar El proceso de análisis análisis y búsqueda ddel el software que va hacer utilizado utilizado en el sistema de de administración, va a consistir en una serie de pasos netamente diferenciados y organizados, el proceso de selección del software va hacer divido en tres fases mismas que son: Fase 1: Identificación de requerimientos Las tareas a cumplir en esta fase serán:
Identificar los requerimientos de monitoreo de la red, en esta tarea se identificara requerimientoss funcionales y no funcionales que generaran una lista de requerimientos. requerimiento
Otros requerimientos identificados identificados
Fase 2: Buscar sistemas que se ajusten a los requerimientos. Las tareas a cumplir en esta fase son:
Identificación rápida de software preexistente; consiste en realizar la búsqueda genérica de soluciones de software que existen en el mercado mercado..
Se enlistara los sistemas a evaluar
Fase 3: Selección de la aplicación que más se s e adecue al proyecto ((prototipo) prototipo) Las tareas a cumplir en esta fase serán:
Valoración de alternativas: a partir de la lista de sistemas se procede a valorar los mismos de acuerdo a criterios establecidos de antemano, haciendo uso de tablas comparativas.
Elección del sistema hacer utilizado en el monitoreo de red, el mismo que debe destacarse por encima del resto.
3.2.2 Identificación de los paráme parámetros tros a an analizar alizar o evaluar en cada una de las aplicaciones Parámetros a evaluar:
Software libre
Dar soporte SNMP v1,v2, v3
Número de dispositivos a monitorear
Que el servidor se ha instalado en Linux
Permita monitorear hardware y software: aplicaciones tales como (servidores, procesos, VPN, proxies,etc.)
Debe generar alertas cuando se generen situaciones que así lo ameritan
Que permita realizar el monitoreo sin agente propio
Debe detectar interfaces caídas.
Debe enviar mensajes SMS, informando cuando falle algún sistema o aplicación que se considere esencial.
Debe generar alertas cuando se sobrepasen umbrales definidos.
Debe monitorear corta fuegos, proxies, routers, switches
Controlar el acceso de los usuarios a ciertas áreas de la aplicación
3.3 Descripción de las herramientas de gestión a hacer analizadas 3.3.1 ZABBIX Software que vigila numerosos parámetros de una red y la salud e integridad de los servidores. ZABBIX utiliza mecanismos de notificación que permite a los usuarios configurar alertas para cualquier tipo de evento inusual que se lle lleve ve a cabo en algún di dispositivo. spositivo. ZABBIX ofrece ofrece una excelente presentación de informes y características de visualización de datos basado en los datos almacenados. ZABBIX controla todos los informes y estadísticas, así como los parámetros de configuración y se accede a través de un interfaz basado en una web final. final. Al estar basado en la web asegura que el estado de su red y la salud de los servidores pueden ser evaluados desde cualquier ubicación. Correctamente configurado, ZABBIX puede desempeñar un papel importante en la supervisión de la infraestructura. Esto es igualmente cierto en el caso de pequeñas organizaciones con pocos servidores y para las grandes empresas con una multitud de los servidores. ZABBIX es libre de costo, está escrito y distribuido bajo la licencia GPL General Public License versión 2. Esto significa que su código fuente es distribuido libremen libremente te y se encuentra disponible para el público en general. 3.3.1.1 Perfomance de vigilancia Uno de los usos más importantes de ZABBIX es la supervisión de la ejecución. El procesador carga el número de procesos que se están ejecutando, el número de procesos totales, la actividad en el disco, el estado de espacio de intercambio, la disponibilidad y la memoria. Estas son algunas de los numerosos parámetros del sistema que ZABBIX es capaz de controlar. ZABBIX proporciona un administrador del sistema con información oportuna sobre rendimiento
de un servidor. Además, ZABBIX tiene la tendencia de producir gráficos para ayudar a identificar los cuellos de botella en el rendimiento del sistema. sistema. 3.3.1.2 Características de monitorización de ZABBIX 4 3.3.1.2.1 Monitorización distribuida
Configuración centralizada.
Acceso centralizado a toda la información
Hasta 1000 nodos Zabbix
Número ilimitado de proxies
3.3.1.2.2 Escalabilidad
Probado con 100000 dispositivos y servidores monitorizados
Probado con 1000000 chequeos de rendimiento y disponibilidad
Capacidad de procesar por segundo miles de chequeo de rendimiento y disponibilidad.
3.3.1.2.3 Monitorización en tiempo Real
Monitorización de rendimiento
Monitorización de disponibilidad
Monitorización de integridad.
Condiciones de notificaciones flexibles.
Condiciones de notificación flexibles.
Alertas a usuarios (Email, SMS, Jabber)
Registro de log
3.3.1.2.4 Auto detección
Detección por rangos IP, servicios y SNMP
Monitorización automática de dispositivos autodetectado autodetectados. s.
4 http://www.zabbix.com/es/features.php
Flexibilidad
Soporte IPv4/IPv6
Agentes nativos
Disponible en cualquier plataforma
3.3.1.2.5 Monitorización proactiva
Ejecución automática de comandos remotos
3.3.1.2.6 Monitorización sin agente
Monitorización de servicios remotos(FTP, SSH, HTTP, otros)
Soporte para SNMP v1, 2, 3
Traps SNMP
3.3.1.2.7 Seguridad5
Permisos flexibles por usuario
Autenticación por IP
Protección contra ataques de fuerza bruta
3.3.1.2.8 Escalados y notificaciones
Notificaciones repetidas
Niveles de escalado
Mensajes de recuperación
Notificación cuando un problema está resuelto
3.3.1.2.9 Funciones de administración
Ping, traceroute a un host
Cualquier otra función
3.3.1.2.10 Fácil administración
5http://www.zabbix.com/es/requirements.php/seguridad
Curva de aprendizaje muy rápida
Toda la información se almacena en una base de datos (Oracle, MySql, PostgreSQL, SQlite).
Configuración y almacenado de información centralizada. c entralizada.
3.3.1.3 Ventajas
Solución de Fuente Abierta.
Altamente eficaz para los agentes UNIX y las plataformas basadas en WIN32.
Baja curva de aprendizaje aprendizaje..
Alto retorno de la inversión.
Bajo coste de propiedad.
3.3.1.4 REQUISITOS DEL SISTEMA ZABBIX6 TABLA III. I REQUISITOS DE HADWARE PARA LA INSTALACIÓN DE ZABBIX NOMBRE
PLATAFORMA
CPU/MEMORIA
B.DATOS
Nº EQUIPOS
Pequeña
Ubuntu Linux
MySQL MyISAM
20
Mediana
Ubuntu Linux 64 bit Ubuntu Linux 64 bit
P2 350mhz 256Mb AMD Athlon 3200+2GB Intel Dual Core 6400, 4GB RAID Intel Xeon 2 CPU 8 GB
MySQLInnoDBo
500
MySQLInnoDBo O PostgreSQL
>1000
MySQLInnoDBo O PostgreSQL
>10000
Grande
Muy grande
RedHat Enterprise
TABLA III. II PLATAFORMAS SOPORTADAS POR ZABBIX PLATAFORMAS
6
ZABBIX Server
ZABBIX Agente
AIX
Soporta
Soporta
FreeBSD
Soporta
Soporta
http://www.zabbix http://www.zabbix.com/es/requiremen .com/es/requirements.php ts.php
HP-UX
Soporta
Soporta
Linux
Soporta
Soporta
Mac OS X
Soporta
Soporta
Open BSD
Soporta
Soporta
SCO Open Server
Soporta
Soporta
Solaris
Soporta
Soporta
Tru64/OSF
Soporta
Soporta
Desconocido
Soporta
Windows NT 4.0, 2000, 2003, XP, Vista
3.3.2 NAGIOS Nagios es un sistema de monitorización que permite vigilar las características y propiedades de los equipos de red y alertar si alguna de ellas excede algún limite o está en trámi trámites tes de hacerlo por ejemplo , si se llena el disco duro, o si hay más de n usuarios conectados, etc. 3.3.2.1 Características y funcionalidades Nagios marca el estándar en la industria de monitoreo a gran escala. Permite controlar la red informática y solucionar problemas antes que los usuarios los detecten. Nagios es un sistema estable, escalable, con soporte y extensible. 3.3.2.1.1 Monitoreo completo de la red Este sistema permite monitorear una importante cantidad de dispositivos y sistemas como por ejemplo: Sistemas Operativos Windows, Sistemas Operativos Linux/Unix, Routers, Switches, Firewalls, Impresoras, Servicios y Aplicaciones. 3.3.2.1.2 Características de monitorización NAGIOS Se destacan las siguientes características de funcionamiento:
Enviar de forma inmediata notificaciones de problemas vía email, pager o teléfonos celulares.
Monitorizar servicios como HTTP, SMTP, SNMP, ICMP,etc
Monitorización de recursos hardware y software
Monitoreo de recursos de sistemas servidores de red
Carga del procesador.
Consumo de recursos de disco.
Monitoreo de Base de datsos MySQL, Postgres, Oracle, etc.
Monitoreo de equipos de re redd activos (switch, rour rourter, ter, Hbs, CPE, etc.)
Monitoreo de equipos compatibles con IP (cámaras, impresoras, sensores de proximidad, temperatura, etc.).
Integración y compatibilidad con otras her herramientas ramientas de monitoreo monitoreo para trabajar trabajar al servicio de Nagios.
Capacidad de notificar a múltiples usuarios.
Uso de su interface web que permite ver información detallada de los estados de los distintos componentes, reconocer problemas de forma rápida.
Permite reiniciar automáticamente aplicaciones aplicaciones que hayan fallado, servicios y equipos.
Permite agendar las las actualizaciones de hosts, servicios y componentes componentes de la red.
Permite planificar las capacidades de los componentes a través del monitoreo.
Permite generar reportes de disponibilidad SLA (Service Level Agreements), y reportes históricos de alertas y notificaciones. Además permite ver las tendencias de los informes a través de la integración con Cacti y RRD.
Varios usuarios pueden acceder a la interface web, pero cada uno con acceso a ciertas áreas de la aplicación. aplicación.
3.3.2.2 Arquitectura fácilmente extensible Nagios cuenta con una muy importante cantidad de addons desarrollados por la comunidad
Que permiten extender las funcionalidades del sistema. 3.3.2.3 Estable confiable y con una plataforma respetada Nagios es un sistema que cuenta con más de 10 años en desarrollo, es un sistema que permite escalar hasta monitorear más de 100,000 nodos, cuenta con gran reconocimiento, ganador de múltiples premios. Actualmente cuenta con más de 250.000 usuarios alrededor del mundo. Tiene una lista de correos activa y una amplia comunidad a través del website. 3.3.2.4 Código personalizable Nagios es un software de código abierto, con acceso completo al código fuente, liberado bajo licencia GPL Estructura7
El sistema cuenta con un núcleo que forma la lógica de control de negocio de la aplicación, este contiene el software necesario para realizar la monitorización de los servicios y de las máquinas de la red.
El sistema hace uso de diversos componentes que ya vienen en el paquete de instalación con la aplicación, y puede hacer uso de otros componentes realizados por terceras personas.
El autor sostiene que aunque permite la captura de paquetes SNMP para notificar sucesos, pero no es un sistema de monitorización y gestión basado en SNMP
Muestra los resultados de la monitorización y del uso de los diversos componentes en una interfaz web a través de un conjunto de CGI’s y de un conjunto de páginas HTML que vienen incorporadas, y que permiten al administrador una completa visión de lo que ocurre, en dónde ocurre y en algunos casos el por qué ocurre.
7www.
Proyecto SIGNA.com
Por último, si se compila para ello, Nagios guardará los históricos en una base de datos para que al detener y reanudar el servicio de monitorización, todos los datos sigan sin cambios.
Nagios permite monitorizar sistemas Windows mediante la instalación de un agente en la máquina a monitorizar, aunque la parte servidor de Nagios debe residir en un servidor Unix/Linux.
3.3.2.5 Ventajas
Robusto y confiable
Altamente configurable, desarrollado en perl
Modular
Desarrollo y evolución constante
Una comunidad amplia en constante desarrollo
Compatible con cualquier sistema operativo basado en Unix
REQUISITOS DEL SISTEMA NAGIOS8 Como la mayoría de los sistemas de monitorización es una aplicación cliente- servidor, pero con una característica en particular, el sistema operativo donde va a residir la parte servidora debe ser obligatoriamente LINUX/UNIX, al igual que sus contemporáneos alimenta su base de datos a traes de sus propios agentes, así como también se sirve de los servicios s ervicios de SNMP. TABLA III. III REQUISITOS PARA LA INSTALACIÓN DE NAGIOS NAGIOS RECURSOS RECURSOS Espacio de disco RAM Modelo CPU
8
www.nagios.org
MINIMO MINIMO 5 GB 512 MB Pentium
RECOMENDADO RECOMENDADO 10 GB 1GB Pentium IV o equivalente
3.3.3 CACTI9 Cacti es una completa solución solución de graficado para la monitorizació monitorizaciónn de los recursos y equipos de la red, que permite monitorizar y visualizar gráficas y estadisticas de dispositivos conectados a la red, que tengan habilitados el protocolo SNMP SNMP y se teng tengaa conocimiento de las MIBs MIBs con los distintos OIDs que podemos monitorizar y visualizar.Utilizan el poder de almacenamiento y la funcionalidadd de gráficar que poseen las RRDtool. funcionalida Esta herramienta esta desarrollada en PHP 10, provee un pooler agil, plantillas de gráficos avanzados, multiples métodos para la recopilación de datos y manejo de usuarios. Tiene una interfaz fácil de usar, que resultan convenientes para instalaciones del tamaño de una LAN, asi como tambien para redes complejas con cientos de dispositivos. Cacti es un programa bajo licencia GNU GPL. 3.3.3.1 RRDtool Es el acrónimo de Round Robin Robin Database tool tool,, o sea que se trata de una herramienta que trabaja con una base de datos que maneja una planificación Round Robin. Esta técnica trabaja con una cantidad de datos y un puntero al elemento actual. El modo en que trabaja una base de datos utilizando Round robin es el siguiente, Trata a la base de datos como si fuera un circulo, sobreescribiendo los datos almacenados, una vez que alcanzada la capacidad de la base de datos. La capacidad de la Base de datos esta dada por la cantidad de información como historial se quiera conservar. 3.3.3.2 Tipos de datos en la RRDtool Cualquier tipo de datos siempre que se trate de una serie temporal de datos. Esto significa que se tiene que poder realizar medidas en algunos puntos de tiempo
9www.cacti.net 10
El “Pre-procesador de Hipertexto” Preprocessor) de programación del lado servidorComún (server-side), de código abierto (open source), usado (Hypertext comúnmente por scripts es webuny lenguaje para procesar datos a través de ladelInterfaz de Entrada (Common Gateway Interface).
y proveer esta información a la RRDtool para que la almacene. almacene. Un concepto ligado a las RRDtoll es el de SNMP este protocolo puede ser utilizado para realizar consultas a cerca de los contadore contadoress que ellos tiene (ejemplo una impr impresora, esora, un router, router, puentes, etc.). el valor obtenedio de estos valores es el que queremos guardar en la RRDtool. Para poder usar una RRDtool lo que se necesita es un sensor s ensor para medir los datos y poder alimentar la base con dichos datos. Entonces la RRDtool crea una base de datos, almacena los datos en ella, recupera estos datos y basandose en ellos, Cacti crea gráficos en formato PNG. 3.3.3.3 Fuentes de datos11 Para manejar la recopilacion de datos, se le puede pasar a Cacti la ruta a cualquier script o comando junto junto con cualquier dato que el usuar usuario io necesitare: cacti reunira estos datos, introduciendo este trabajo en el cronsistema operativo linux. Las fuentes de datos se actualizaN vía SNMP o mediante la defincion ddee scripts, proporciona la posibilidad posibilidad de incluir un componente opcional que permite implementar las rutinas SNMP en lenguaje C, es muy importante para cantidades considerables de dispositivos a monitorear. 3.3.3.4 Gráficos12 Una vez que una o mas fuentes de datos son definidas, una gráfica de RRDtool puede ser creada usando los datos obtenidos. Cacti permite crear cualquier gráfica haciendo uso de todos los estandares de tipos de gráficas permitid permitidos os por las RRDtool. No solo sw puede crear gráficos gráficos basados en las RRDtool , si no que existe formas de mostrarlas, junto con una lista de vistas y una vista preliminar, tambien existe una vista en árbol, la cual permite colocar gráficos en un árbol jerarquico jerarquico con fines organizativos.Permite oorganizar rganizar la informazcion de admin administración istración en árboles de gestión, con fines de planificacion o expansion de la red. 11www.códigolibre.org, 12 www.cacti.net
Fundación código libre Dominicana área de proyectos proyectos e ingeniería
3.3.3.5 Plantillas Esta aplicación permite crear plantillas para reutilizar las definciones de gráficos, fuentes de datos y dispositivos. 3.3.3.6 Gestión de usuarios Dadas las muchas funciones que ofrece Cacti, la herramienta cuenta con la funcionalidad de manejo de usuarios embebida, para asi hacer posible agregar un usuario permitirles y restringirles el acceso a ciertas areas de Cacti, esto permite tener tener usuarios que puedan cambiar cambiar los parámetros parámetros de un ggráfico, ráfico, mientra mientrass habra usuario usuarioss que solo los podran podran visualizar las gráficas. 3.3.3.7 Caracteristicas de monitorizacion de CACTI
Cacti permite monitorea las interfaces de los ruteadores, conmutadores, así como también el tráfico de los mismos, incluye tráfico de errores.
Permite tener un control sobre la capacidad de los discos, carga de CPU(en equipos de red y servidores)
Permite reaccionar ante alertas generadas por sus agentes.
Permite medir el performance de la red, disponibilidad de la red manteniendo un historial considerable.
Permite actualizar las fuentes de datos vía SNMP o mediante la definición de scripts.
Soporte SNMP incluido php- snmp o net-snmp
Permite definir autenticación local y distintos niveles de autorización para usuarios
Sistema operativo multiplataforma ejemplo (Ubuntu) ( Ubuntu)
3.3.3.8 Ventajas
Visualización de la información de gestión prácticamente en tiempo real.
Monitoreo basado basado en son sondeo deo y notificacione notificacioness
Utiliza ampliamente las funcionalidades funcionalidades de SNMP SNM P
Impacto en la red mínimo
Ampliar el radio de monitoreo, usando plantillas
Monitoreo y gestión de red basada en SNMPv3
Amplia capacidad de graficar los datos colectados.
Permite jerarquizar el acceso a los gráficos de monitoreo
3.3.3.9 Limitaciones
La configuración de dispositivos es bastante tediosa, debido a que la primera vez que se agrega dispositivos, se genera gráficos para cada dispositivo y ponerlos en el árbol de grafico requiere mucho tiempo.
Si se produce un error de configuración, es muy ccomplicado omplicado descubrirlo con facilidad.
Poca información de la herramienta de gestión
No es muy aceptado en la industria
3.3.3.10 Requisitos de software para su funcionamiento
Httpd (Apache)
Php
Net-snmp Php-snmp
mySQL
rrdtool
rrdtool-php
3.4 Análisis comparativo CACTI, ZABBIX y NAGIOS Luego de haber anali analizado zado cada una de las herram herramientas, ientas, conocer fo fortalezas, rtalezas, debilidades, debilidades, caracteristicas, consumo de recursos, impacto que cada uuna na tiene en la red, requerimiento requerimiento de
hadware, software, software, entre otras caracteristicas y demas ventajas, como siguiente siguiente punto se realiza un análisis comparativo entre ellas. TABLA III. IV ANÁLISIS COMPARATIVO COMPARATIVO Requisitos/ factores Software libre
CACTI SI
ZABBIX SI
NAGIOS SI
soporte SNMP v1,v2, v3
SI
SI
SI, con plugins
monitoreo de al menos 100 dispositivos
SI
SI
SI
Interfaz Web
CONTROL CONTROL TOTAL
SOLO
TOTAL
VISUALIZACIÓN
monitorear sistemas multiplataforma
SI
SI
SI
Autodescubrimiento Autodescubrimiento
SI
SI
NO
operativos Windows, Linux y Unix.
SI
SI
SI
Alertas
SI
SI
SI
Detección de interfaces caídas.
SI
SI
SI
SI
NO
SI
SI
SI
SI
Generación de informes, estadísticas.
SI
SI
NO
monitorear firewalls , proxies, routers,etc.
SI
SI
SI
Monitorear servidores con sistemas
Envió de mensajes SMS cuando falle algún sistema o aplicación que se considere esencial. Generación de alertas cuand cuandoo se sobrepasen umbrales definidos.
3.2.1.6.1 Selección de la consola de Monitoreo El análisis comparativo realizado en La Tabla III.V da como resultado que CACTI y ZABBIX cumplen con lo loss requerimie requerimientos ntos de gestión eestipulados stipulados con anterioridad, anterioridad, de acuerdo acuerdo a lo que indica la Tabla 3.5 tanto CA CACTI CTI como ZABBIX son herramientas muy buenas buenas para la gestión gestión de red, pero para la implementaciòn implementaciòn del prototipo solo se req requiere uiere una. Por lo que para romper
esta disyuntiva se realiza un análisis comparativo entre ambas herremientas, para lo cual se considera caracteristicas que no fueron consideradas en la Tabla III.V TABLA III. V ANÁLISIS COMPARA COMPARATIVO TIVO ENTRE CACTI Y ZABBIX ZABBIX Requisitos/ factores
Evolución
constante
CACTI
y una
amplia SI
ZABBIX
SI
comunidad apoya al proyecto Configuración e instalación instalación amigable
SI
NO
Autodescubrimiento
SI
SI
Clonado de equipos
SI
SI
Agentes Proxy
SI
SI
Capacidades de graficación
SI
SI
Capacidad de rendimiento
SI
SI
Impacto en la red Estable
SI SI
SI NO
Jerarquización de la información
SI
SI
De acuerdo a la Tabla Tabla III.V CACTI CACTI es una herramienta de de monitoreo con excelentes excelentes prestaciones a di diferencia ferencia ddee ZABBIX. ZABBIX. por lo tan tanto to se selecciona CACTI como la NMS del prototipo, que trabajara junto a SNMPv3 para dar paso a entornos de gestiòn segura.
CAPÍTULO IV MARCO METODOLÓGICO E HIPOTETICO
4.1 Tipo de Investigación Por la naturaleza de la investigación se considera que el tipo de estudio que se va ha realizar es una investigación experimental y deductiva. Experimental porque el estudio va mas alla del análisis de conceptos o fenomenos, del establecimiento establecimien to de relaciones entre conceptos. Esta encaminada a solucionar la problemática de seguridad que enfrentan los sistemas de gestión basados en SNMPv1/SNMP/v2, la solución a la problemática estara dado por lel uso del protocolo SNMPv3. Deductivo , debido a que los equipos para la implementación seran escogidos de acuerdo a las necesidades de administración. Se utilizara para este proyecto los siguientes si guientes metodos de investigación Método Cientifico y de Observación: Ya que se tendra que estudiar y detectar los rasgos del protocolo propuesto para garantizar la seguridad en la información de gestión.
Método Inductivo: Permitira Observar el protocolo SNMPv1/v2 y SNMPv3 con el objeto de dirimir cual es la mejor versión v ersión de SNMP que garantice o permita mitigar la falta de seguridad en los entornos de gestión Metodo de Análisis: Ya que para llegar a una solución de la problemtica planteada, se tendra qe desglosar todos los problemas de seguridad que enfrentan los entornos de gestión SNMP y asi poder asociar una relación de causa y efecto para su comprensión. Métodos Empirico, Comparativo y Estadistico Estadistico:: Se utlilizar para complementar los procesos que intervienen intervienen en el proceso in investigativo vestigativo Se ha realizado las siguientes consideraciones para esta investigación.
La investigación esta planteadad en base a la inseguridad de la información de gestión en los entornos SNMP
Se delimitan los objetivos en base a brindar una mayor seguridad a la información de gestión durante su paso por la red.
Se justifica el porque de realizar la presente investigación
Se elabora un marco teorico con una visión general del trabajo y por consiguiente con un espectro mas amplio
Se plantea una hipotesis que solucionara la problemática planteada, la misma que posee una estrecha relación entre el problema y el objetivo
Se propone la operacionalización operacionalización de las variables variables en concordancia a la hipó hipótesis tesis
Definición de escalas de medición, delimita población y muestra que sera contrastada con la propuesta de investigación.
Se realiza la recolección de datos de los indices e indicadores respectivos mediante la observación directa.
Se realiza la prueba de la hipotesis con los resultados obtenidos
Elaboración de concluisones concluisones y reomendaciones producto de la ivestigación ivestigación realizada.
4.2 SISTEMA DE HIPÓTESIS
El análisis del protocolo SNMPv3 podrá ser aplicado al diseño de un prototipo de monitoreo de red segura, en un ambiente OpenSource que permitirá alcanzar niveles apropiados de seguridad en la administración y gestión de rede redes. s. 4.3 OPERACIONALIZACIÓN DE LAS VARIABLES De acuerdo a la hipótesis planteada se han identificado dos variables.
Variable independien independiente te
Análisis del protocolo SNMPv3 para el desarrollo de un prototipo de monitoreo de red segura
Variable Dependiente Dependiente
Proponer una solución solución para mejorar la Segurid Seguridad ad en los entornos de gestión SNMP En las siguientes tablas se presentan la operacionalización conceptual y metodológica de las variables, las las mismas que eestan stan identificadas en concordancia con la hipótesis: hipótesis: TABLA IV. I OPERACIONALIZACIÓN CONCEPTUAL DE VARIABLES VARIABLE Nº V1
V2
TIPO
DEFINICIÓN
Análisis del protocolo SNMPv3 Independiente
Estudio del protocolo SNMPv3,
para el desarrollo de un prototipo
caracteristicas,
de monitoreo de red segura
convenciones, terminologias.
Proponer una solución para Dependiente
Asegurar que el intercambio de
mejorar la seguridad en
información de gestión entre agentes
entornos de gestión SNMP
los
ventajas,
y gestores, para que la colección de la información se óptima
TABLA IV. IV. II OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE VARIABLE INDEPE INDEPENDIENTE NDIENTE VARIABLE
TIPO
INDICADORES
TECNICA
FUENTE DE VERIFICACIÓN
I1.Funcionamiento de Análisis V1.Análisis
independiente
protocolo
Recopilacion de la
SNMPv3
del
I2.Mejoras
de información Información
SNMPv3 para el
SNMPv3
desarrollo de un
I3.Disposicion
prototipo
equipos
de
que
bibliográfica(libros,
de
internet,
den
manuales)
monitoreo de red
soporte SNMPv3
segura
I4. Procesamiento de Observación, la
información
tesis,
de Investigación
gestión
TABLA IV. III OPERACIONALIZACIÓN METODOLÓGICA DE LA VARIABLE DEPENDIENTE DEPENDIENTE VARIABLE
TIPO
INDICADORES
I4. Autenticación Dependiente
Proponer una solución para mejorar la inseguridad en los entornos de gestión SNMP
I5. Privacidad
I6. Control de Acceso
FUENTE DE VERIFICACIÓN
Indices 1. Seguridad de contraseñas 2. Tránsito de la contraseña por la red. 3. Protocolos de autenticación
4. Contraseñas encriptación/des cencripción 5. Confidencialida 6. Integridad 7. Revelación Selectiva 8. Creación de usuarios 9. Derechos de usuario 10. Niveles de acceso
Capturas de mensajes
Analisis de los paquetes wiresahark
Configuración Instalación de software Agente SNMPv3
4.3.1 Descripción de las variables con sus respectivos indicadores e indices V1. Variable Independiente: Análisis del protocolo SNMPv3 para el desarrollo de un prototipo de V1. Variable monitoreo de red segura. 4.3.1.1 Indicadores
I1. Funcionamiento de SNMPv3
El funcionamiento funcionamiento de SNMPv3 se refier refieree si los equipos de in interconexión terconexión y terminales terminales dan soporte para el mencionado m encionado protocolo.
I2. Seguridad SNMP
Representa las consideraciones consideraciones que conduci conduciran ran a los administradore administradoress de red, a decidir utilizar como protocolo de gestión y administración la última versión de snmp.
I3. Disposición de equipos que den soporte SNMPv3
Se refiere refiere si existe en el me mercad rcad y si estos tendran el software ne necesario cesario para poder poder configurar configurar el agente
I4. Overload de la información de gestión en la red
Se refiere la cantidad de tráfico extra que genera el protocolo de gestión V2. V2. Variable dependiente .Seguridad en los entornos de gestión de un sistema s istema SNMP
I4 Metodos de autenticación autenticación
Caracteristica que brinda el protoclo a posibles suplantaciones, donde se asegura que la información llegue sin ningun inconveniente desde el origen hacia su destino Indice 1. Seguridad contraseñas 1. Seguridad de contraseñas
o
Este indice se refiere cuan segura es la contraseña utilizada para establecer una realación de confianza entre agentes y gestores. Tránsito de la contraseña por la red red Indice2. Indice2.Tránsito
o
En este punto se hace referencia si la contraseña viaja encriptada o en texto plano a traves de la red. Indice3. Algoritmos de autenticación
o
Se refiere a que si durante el proceso de autenticación, el protocolo utiliza algoritmos de autenticació.
I5. Privacidad
Revelación selectiva de la información de gestión Indice 4.Contraseñas de encriptación y descencriptaciòn
o
Este punto se refiere si para acceder a la información de gestión se requieren contraseñas de encriptado y descencriptado de paquetes Indice 5. Confidencialida Confidencialidadd
o
Este indice hace referencia si la información de gestión durante su transito por la red es confidencial es decir si viaja encriptada por la red Indice 6. Integridad
o
Este punto hace referencia si el protocolo tiene la capacidad de garantizar la intergridad de los mensajes. Indice 7. Revelación selectiva
o
Este indice hace referencia si la información de gestión es indescifrable cuando el caso asi lo amerite
I6. Control de acceso
En este punto se hace referencia, las formas que tiene el protocolo para restringir el acceso a los recursos de gestión. Indice 8. Creación de usuarios
o
Hace referencia si el protocolo protocolo permite la configura configuración ción de usuarios autorizados autorizados en los equipos.
Indice 9. Derechos de acceso
o
Determina las áreas áreas de la MIB sobre las cuales eell usuar usuario io podrá acceder acceder y realizar acciones o tareas administrativas. 4.4 POBLACIÓN Y MUESTRA En esta investigación la población constitu constituye ye los equipos que tienen configurados el protocolo SNMPv3 . MUESTRA MUESTRA La muestra constituye la red de simulación configurada con los equipos cisco que son propiedad de la ACADEMIA CISCO ESPOCH 4.5 PROCEDIMIENTOS GENERALES Se ha procedido a detallar los métodos utilizados en la presente investigación METODO: Comparativo-exper Comparativo-experimental imental TÉCNICAS: Experimentos y pruebas INSTRUMENTOS: Sniffers(Wireshark, Sniffers(Wireshark, dsniff) y arpspoof 4.6 INSTRUMENTOS DE RECOLECCIÓN DE DATOS En concordancia con la naturaleza de la investigación, los instrumentos apropiados para la recolección de datos fueron la compración de experimentos y pruebas, los mismos que se aplicaron en la red implementada. Para la recolección de información se utilizó para ciertos casos la observación directa con el fin de comparar la seguridad seguridad que proporcionan llas as versiones de SSNMP NMP a la informació informaciónn de gestión durante su paso por la red, red, para esto se sirvio del analizador y sniffer Wireshark. Wireshark. 4.7 VALIDACIÓN DE LOS INSTRUMENTOS La validez de los instrumentos depende del grado en que se mide el dominio especifico de las variables que intervienen en la investigación. Todo instrumento plicado debe tener como
caracteristica fundamental: la validez y la confiabilidad. La validez se refiere al grado en que el instrumento realmente mide la variable que se pretende medir. En lo que tiene que ver a la validez de Wireshark se acudio a páginas especializadas en la que suscriben la gran trayectoria y aporte que a dado a este producto a la industria de las Telecomunicaiones Telecomunicaio nes gracias a las caracteristicas de sniffer y analizador que posee a la vez. En lo que se refiere a la validez de dsniff se acudio a escritos, foros, enlaces web, en las que corroboran la garantia de este sniffer para capturar contraseñas sin encriptar que circundan en la red. Iptraf es un es un programa informático basado en consola que proporciona estadísticas de red. Funciona recolectando información de las conexiones TCP, como las estadísticas y la actividad de las interfaces, así como las caídas de tráfico TCP y UDP. Se encuentra disponible en sistemas operativos GNU/Linux. Para garantizar la validez del instrumento se acudió a páginas especializadas en dónde garantizan a ciencia cierta la validez de la misma y también como agregado se utilizó la experimentación con la herramienta. En criptografía, un ataque ataque de hombre en el medio es un ataque en el que el enemigo adqu adquiere iere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación. La necesidad de una transferencia adicional por un canal seguro s eguro Todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro.
En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro. Para validar esta herramienta se hizo uso de la experimentación experimentación y se acudió a páginas espe especializadas cializadas en el te tema ma en las que indican la confiabilidad confiabilid ad y la veracidad del método 4.8 Ambiente de Simulación La figura muestra el ambiente de simulación experimental.
Figura IV. I Ambiente de simulación
Este ambiente fue configurado con el protocolo SNMP, la implementación consiste en una estación portáti y una estación de escritorio conectadas a un switch, a la estación portátil es la NMS es la encargada de procesar la información de gestión y la estación de escritorio es la encargada de analizar los paquetes SNMP en tránsito, el switch y el router son los dispositivos a ser monitoreados monitoreados bajo el protocolo SNMP
TABLA IV. IV DETALLES TÉCNICOS DEL AMBIENTE DE SIMULACIÓN CANTIDAD EQUIPO
DESCRIPCIÓN
1
Estación portáti
Compaq presario
1 1
Analizador de paquetes Wireshark Router 2811
Configurado Configurad o agente SNMP
1
Switch 1960
Catayst configurado agente SNMP
NMS instalado Cacti PC de escritorio
4.9 Experimento 1 (Anexo 4) En el experimento 1 se configura la red de simulación y se analiza el tráfico de gestión circundante para tal efecto existe una red alambrica configurada bajo el protocolo SNMPv1/v2 conformada por
Un router 2811y un Switch que tiene tiene activado el agente agente SNMP, en en cada uno configurado la vista escritura y lectura y las comunidades cisco y cisco1
Existe tambien una estación portatil que es un a Compaq presario, que se encarga de indagar y procesar la información de gestión eviadada por los agentes instalados en el router y el switch.
Finalmente para el ambiente se cuenta con una estación de escritorio que se encarga de
escuchar el trafico de la red. Desde la estación NMS se comienza a indagar a los dispositivos, atraves de la petición de informaión de gestión a los agentes, mientras esto ocurre se mantiene activo el snnifer Wireshark para poder analizar el contenido del interior de los mensajes SNMP.
4.10 Experimento 2 (Anexo3) En el experimento experimento 2 se configur configuraa la misma red de simulación igual que la anterior se analiza el tráfico de gestión circundante, para tal efecto existe una red alambrica configurada bajo el protocolo SNMPv3 conformada por
Un router 2811y un Switch Switch 1960 que tiene activado eell agente SNMPv3, en cada un unoo configurado, grupos, vistal y usuarios cada uno configurado con sus correspondientes niveles y modelos de seguridad
Existe tambien una estación portatil que es un a Compaq presario que tiene instalado CACTI, que se encarga de indagar y procesar la información de gestión eviadada por los agentes instalados en el router y el switch.
Finalmente este ambiente de simulación simulación se cuen cuenta ta con una estación de de escritorio que se encarga de escuchar el trafico de la red.
Desde la estación NMS se comienza a indagar a los dispositivos, atraves de la petición de informaicón de gestión a los agentes, mientras esto ocurre se mantiene activo el snnifer Wireshark para poder analizar el contenido del interior de los mensajes SNMP.
CAPÍTULO V ANÁLISIS DE RESULTADOS
5. PROCESAMIENTO DE LA INFORMACIÓN Para poder determinar si el protocolo SNMPv3 permite dar paso a entornos de gestión de red seguros se va a efectuar un estudio comparativo entre SNMPv1/V2 Y SNMPv3 donde se va a calificar cualitativa y cuantitativamente los indicadores de la variable dependiente 5.1 Análisis comparativo de los resultados del experimento 1 y2 En esta sección se va a detalla detallarr el análisis comparativo entre los los protocolos SNMpv1/v2 y SNMPv3 Que permitira determinar determinar el nivel de seguridad que ofre ofrece ce SNMPv3, frentes a sus versiones versiones anteriores, a manera de cuadros comparativos, en donde se van a calificar los indicadores de cada variable cualitativamente y cuantitativamente, según el criterio del autor teniendo un sutento en contenido cientifico, teórico y práctico, del mismo modo se efectuará una calificación de las variables, con la respectiva interpretación respectiva de los resultados que nos arrojen las comparaciones de la variable independiente y de las variables dependientes que han sido expuestas con anterioridad.
5.1.1 Análisis comparativo de las variable independiente acorde al experimento 1 y 2 A continuación se detalla la escala de valorización para los indicadores de la variable independiente, independi ente, para poder cuantificar los indicadores
Valor de 1
Si el indicador indicador tiene una rrespuesta espuesta positiva aall evaluarlo, tendr tendraa un valor de 1
Valor de 0
Si el indicador tiene una respuesta negativa al evaluarlo, tendra un valor de 0 I1 Funcionamiento de SNMPv3 El funcionamiento funcionamiento que presen presenta ta SNMP en los dispositi dispositivos vos de interconexión CISCO CISCO Switch, routers,etc es eficiente eficiente y correcto correcto,, lo cual se llego a ddilucidar ilucidar gracias gracias a la implementación implementación y configuración que se realizo en los ambientes de simulación, ver Figura VI.XIII TABLA V. I FUNCIONAMIENTO SNMPV3 SNMPV3 SNMPv3 Correcto
1
SNMPv1/v2 1
Figura V. 1 Funcionamient Funcionamientoo SNMPv3
Interpretación Como se muestra en la Figura Figura V.I el funcionamien funcionamiento to que presenta el pro protocolo tocolo SNMPv1/v2 y SNMPv3 es eeficiente ficiente en eequipo quipo CISCO, eesto sto se pued puedee decir decir a ciencia cierta gracias gracias a las
implementaciones implementacion es y configura configuraciones ciones relizados en los ambientes ambientes de simulación que fueron fueron construidos para este fin. I2. Seguridad SNMP La seguridad proporcionada para el tránsito tránsito de la información información de gestión por SNMP, esta estrechamente ligada ligada a la versión, como es sabido SNMPv1/v2 proporciona una segu seguridad ridad trivial dado que no proporciona encriptación a la información que se intercambia entre los agentes y gestores a diferencia de SNMPv3 que si proporciona el mencionado mecanismo de seguridad
Figura V. 2 Ataque de hombre en el Medio SNMP
TABLA V. II SEGURIDAD SNMP SNMPv3 Seguro
1
SNMPv1/v2 0
Figura V. 3 Seguridad SNMP
Interpretación En la Figura V.II se puede observar que la seguridad proporcionada por el protocolo SNMPv3 esta muy por encima encima a la segurida seguridadd brindada por SNMPv1/v2, estos re resultados sultados se obtuvieron obtuvieron al realizar un ataque de hombre en el medio la red y al mismo tiempo snifar la misma usando wireshark y dsniff, por lo que que al capturar y anali analizar zar paquetes SNMPv1/v2 se puede conocer con facilidad la comunidad a la que pertenece el equip equipoo y el contenido del mensaje, mensaje, a diferencia diferencia de SNMPv3 que al capturar este tipo de mensajes no se puede conocer información relevante ya que el contenido contenido del mensaje esta encriptado para acceder a la información se debe conocer la la contraseña simetrica de encriptación. I3 Disposición de Equipos SNMP La disposición de equipos en el mercado que den soporte SNMPv3 y SNMPv1/v2 es aceptable, en la que se destaca las marcas CISCO, DLYNK, 3COM, ENTERASYS, dado que hoy en día la industria de las Telecomunicaciones busca soluciones de seguridad para las redes de datos y que mejor opción que SNMP.
TABLA V. III DISPOSICIÓN DE EQUIPOS SNMP SNMP SNMPv3 Eficiente
1
SNMPv1/v2 1
Figura V. 4 Disposición de Equipos SNMP
Interpretación En la Figura V.4 claramente se puede observar que la disposición de quipos en el mercado que dan soporte SNMP es bastante aceptable, esto debido a la gran aceptación que tenido el protocolo desde desde sus inicios, lo que que se pudo comprobar al re revisar visar información en la web y en las especificacioness técnicas que emiten las casas fabricantes ver Anexo 4. especificacione I4. Overload de la información de gestión en la red Para medir este indice se utilizo Iptraf que permite tener estadisticas de tráfico de cada protocolo, para este caso en particular particular se monitoreo monitoreo la red por alrededor alrededor de 30 minutos, minutos, que arroja los los resultados que se muestra en la Figura V.6
Figura V. 5 Overload SNMP
TABLA V. IV OVERLOAD DE LA INFORMACIÓN DE GESTIÓN EN LA RED RED SNMPv3 Optima
1
SNMPv1/v2 0
Figura V. 6 Presencia de la información información de gestión en la red
Interpretación Como se observa en la Figura V.VI la sobrecarga s obrecarga que presenta SNMPv1/v2 está muy por encima al overload que proporciona proporciona la última ver versión sión del protocolo, esto debido debido a que este permite la extracción de un volumen de información en una sola petición a diferencia de SNMPv1 que necesita realizar peticiones consecutivas para extraer una considerable cantidad de información de gestión. Cuyos resultados están respaldados en la Fig. V.V, lo que permitió cuantificar los índices como se muestra en la Tabla V.IV 5.1.2 Análisis comparativo de la variable dependiente basados en los Experimentos 1 y 2 A los indicadores de cada una de las variables propuestas se les asignara un puntaje de acuerdo a la información obtenidad en los ambientes de simulación tanto el experimento uno y dos, utilizando la siguientes escala de valorizaciòn cualitativa y cuantitativa , los mismos que permitiran cuantificar los resultados para cada una de las variables. TABLA V. V CUANTIFICADORES Y ABREVIATURAS DE LA CALIFICACIÓN DE LOS PARÁMETROS 0
1
2
3
Limitada Muy Bueno Seguro Inseguro Eficiente Inadecuado Regular Existente Ninguna VARIABLE DEPENDIENTE SEGURIDAD Indicador 4: Autenticacion 4: Autenticacion Indice1 Seguridad en contraseñas Para medir el indice el Seguridad en contraseñas se considero la experimentación y la capacidad que deben tener los administradores de red para aplicar correctamente las politicas de contraseñas, como por ejemplo la longitud de la misma, tiempo de renovación, etc.
Indice2 Tránsito de la contraseña Como se puede apreciar apreciar en la Figura V.VII al utilizar el sniffer sniffer dsniff se pudo comprobar cuan seguro es el tránsito de la contraseña por la red, como se aprecia en la imagen inferior SNMPv1 proporciona una una incipiente segu seguridad ridad dado que el nombre de la comunid comunidad ad es capturada con facilidad por el sniffer a causa de que esta tránsita por la red en texto claro, a diferencia de SNMPv3 que las contraseñas que utiliza son puestas en la red encriptadas por lo que dsniff no logro capturar capturar nada durante su eje ejecución. cución. Por lo que se la cuantifica como se muestra en la Tabla V.VI
Figura V. 7 Seguridad en Contraseñas
Indice3 Algoritmos de autenticación En lo que se refiere al al uso o no de algoritmos de aute autenticación nticación para pode poderr cuantificarlos se utilizo la observación directa y la configuración de los protocolos en los equipos CISCO, por lo que se concluye que SNMPv1/v2 no utiliza los mencionados protocolos a diferencia de snmpv3 que si lo hace, por lo que se lo cuantifica como se muestra en la Tabla V.VI
TABLA V. VI VALORACIÓN CUANTITATIVA Y CUALITATIVA DEL INDICADOR 4 SNMPv1/SNMPv2 SNMPv3 1 2 Seguridad en contraseñas 2 Transito de la contraseña por 0 la red 0 3 Algoritmos de autenticación 1 7 Valoración total del Id 4.
Figura V. 8 Métodos de Autenticación
Interpretación Como se observa en la Figra V.VIII la seguridad en contraseñas que proporciona SNMPv1 esta en estricta relación con la aplicación de las politicas de contraseñs que aplica la empresa o la institución, En cuanto al tránsito seguro de la contraseña c ontraseña a traves de la red se puede apreciar en la gráfica superior que la versión SNMPv1/v2 no proporciona un tránsito seguro de la contraseña. c ontraseña. A diferencia de SNMPv3 que si proporciona los mecanismos necesarios para garantizar un viaje seguro de las mismas. En base a la configuración realizada en los agentes se puede decir a ciencia cierta que SNMPv1/v2 no utiliza algoritmos de autenticación mientras ue SNMPv3 si s i lo hace.
Indicador 5: Privacidad Indice 4 Contraseñas de encriptación/desencriptados Este indice pretende cuantificar la utilizacion o no de contraseñas para acceder a la información de gestión como se aprecia en la gráfica
Figura V. 9 Contraseñas Contraseñas Encriptació Encriptación/des-Encript n/des-Encriptación ación
Índice 5 Confidencialidad Para medir este indicador se utilizó un ataque de hombre en el medio y al mismo tiempo estuvo en marcha dos sniffers dsniff y wireshark, dsniff para capturar contraseñas que transmiten en texto claro y wireshark para Interceptar el tráfico presente en la red.
d a d i l a i c n e d i f n o C 0 1 . V a r u g i F
Índice 6 Revelación Selectiva Este índice tiene como fin determinar si la información que circunda en la red se revela únicamente a personas autorizadas, para lo cual se el sniffer wireshark.
Figura V. 11 Revelación Selectiva
TABLA V. VII PRIVACIDAD
Contraseñas encriptación/desencriptación Confidencialidad Revelación selectiva de Información Valoración total del Id 5.
SNMPv1/SN SNMPv3 MPv2 3 de 0 0 la 0 1
2 3 10
Figura V. 12 Privacidad
Interpretación Como queda plasmado en la figura V.XII SNMPv3 garantiza la privacidad de la información de gestión en gran medida, para lo que ha hace ce uso de contraseñas simétri simétricas cas de encriptación, por lo tanto garantizan una confidencialidad de la información de gestión y por consiguiente da paso a una revelación selectiva ddel el contenido del mensaje SNMP Indicador 6: 6: Control de Acceso Índice 7 Creación de usuarios Este indicador permitirá determinar si el protocolo permite configurar usuarios autorizados en los dispositivos hacer monitoreados, cuya misión es restringir al máximo los usuarios que podrán acceder a los recursos de gestión del equipo. Para poder cuantificar este índice se tomó en cuenta las configuraciones realizadas en los equipos ver Anexo2 Índice 8 Derechos de Acceso Para cuantificar el presente parámetro se puso a consideración las cconfiguracione onfiguracioness realizadas en cada uno de los Agentes ver Anexo 2, lo que permitió darle el peso que se muestra en la Tabla V.VIII al índice
Índice 9 Niveles de acceso Para cuantificar este parámetro se consideró la capacidad que tiene el protocolo para aceptar los niveles de de acceso
AuthPriv, AuthNoPriv, NoAuthNoPriv, para medirlo medirlo se consideró las las
configuraciones configuracion es realizadas en los equipos. TABLA V. VIII CONTROL DE ACCESO SNMPv1/SNMPv2 SNMPv3 Creación de usuarios
0
3
Derechos de usuarios
1
2
Niveles de acceso
1
2
Valoración total del Id 5.
2
7
Figura V. 13 Control De Acceso
Interpretación De la Figura V.XIII se interpreta que SNMPv3 ofrece un riguroso control de Acceso frente a un insignificante control de acceso que hace SNMPv1/v2 esto se debe a que una vez conocido el nombre de la comunidad comunidad por defe defecto cto se ad adquiere quiere lo loss derechos de acceso. Ver anexo 2 A diferencia del protocolo SNMP SNMPv3 v3 la última versión del protocolo protocolo presenta un mayor control de de acceso a las características de gestión de los dispositivos, eesto sto se debe a que para acceder acceder los recursos de administrativos administrativos se requiere la configuración configuración de usuari usuarios, os, derechos de acceso y niveles de seguridad que van hacer utilizados por los equipos para validar derechos y usuarios
sobre un determinado Objeto de la MIB ver anexo 2. Por lo que se a cuantificado los índices de la siguiente manera. TABLA V. IX RESUMEN DE LA VARIABLE DEPENDIENTE Y SUS PUNTAJES TOTALES Variables Indicadores dependientes
Id.4 Autenticación
INDICES
SNMPv1/v2
SNMPv3
Seguridad contraseñas
1
2
Tránsito de la contraseña por la red Protocolos de autenticación
0
2
0
3
1
7
Contraseñas encrip/desencriptación Confidencialidad
0
3
0
2
Integridad
1
2
Revelación Selectiva
0
1
7
Creación de usuarios
0
3
Derechos de acceso
1
2
Niveles de acceso
1
2
2
7
4
21
Total 1 Seguridad en los en los entornos de gestión de red
Id.5 Privacidad
Total 2 Id. 6 Control de Acceso Total 3 ∑Total= Total1+Total2+Total3 Total1+Total2+Total3
3
Como resultado del análisis y de acuerdo al puntaje logrado para cada una de las variables se ha obtenido como consecuencia que el protocolo SNMPv3 ha conseguido un puntaje de 21 el cual es el mas mas alto y un porcentaj porcentajee de segurida seguridadd del 70% en el intercambio intercambio de la información de de gestión con relación a la poca seguridad o ninguna seguridad que ofrece snmpv1/v2: con lo que se comprueba que el análisis del protocolo snmpv3 permitira alcanzar niveles de seguridad apropiados.
5.2 PRUEBA DE LA HIPOTESIS Las hipótesis cientificas son sometidas a prueba para determinar si son apoyadas o refutadas de acuerdo con lo que el investigador observa, en reali realidad dad no se puede probar si una hipótesis sea verdadera o falsa, si no que fue apoyada o no de acuerdo a ciertos datos obtenidos en la investigación. Por lo tanto no existe un método que permita saber con seguridad que una desviación es el resultado exclusivo del azar, sin embargo hay pruebas estadisticas que permiten determinar niveles de confianza. Una de estas pruebas es el Chi-cuadrado
Aplicación del metodo chi cuadrado para la comprobacion de la hipótesis.Para la comprobacion de la hipótesis planteada en la investigación se debe calcular el estadistico chi cuadrado a partir de los datos que se han obtenido de los resultados que se lograron del análisis a manera de cuadros comparativos, en los cuales se calificaron los indicadores de cada variable cualitativamente y cuantitativamente según el criterio del autor basandose en resultados teóricos y practicos. A continuación se considero la hipótesis nula y la la hipótesis de la investigación
Hi Hi El análisis del protocolo SNMPv3 y su aplicación en el diseño de un prototipo de monitoreo de red segura en ambiente openSource, permitira alcanzar niveles optimos de seguridad en la administració administraciónn y gestión de rede redes. s.
H0 H0 El El análisis del protocolo SNMPv3 y su aplicación en el diseño de un prototipo de monitoreo de red segura en ambiente openSource, no permitira alcanzar niveles optimos de seguridad en la administra administración ción y gestión de redes.
A continuación se presentan los resultados obtenidos para las variables dependientes tanto con el uso de SNMPv3 como con el uso de SNMPv2/v1
TABLA V. X RESUMEN DE LOS VALORES OB OBTENIDOS TENIDOS PARA C CADA ADA UNO DE LOS INDICADORES Variables Indicadores dependientes
Id.4 Autenticación
INDICES
SNMPv1/v2
SNMPv3
Seguridad contraseñas
1
2
Tránsito de la contraseña por la red Algoritmos de autenticación
0
2
0
3
1
7
Contraseñas encrip/desencriptación Confidencialidad
0
3
0
2
Integridad
1
2
Revelación Selectiva
0
3
1
7
Creación de usuarios
0
3
Derechos de acceso Niveles de acceso
1 1
2 2
2
7
4
21
Total 1 Seguridad en los en los entornos de gestión de red
Id.5 Privacidad
Total 2 Id. 6 Control de Acceso Total 3 ∑Total= Total1+Total2+Total3 Total1+Total2+Total3
Para la comprobacion de la hipótesis sugerimos los siguientes pasos:
Frecuencias observadas Las frecuencias observadas se encuentran sumamando los indicadores de cada variables sobre la utilización del protocolo, obteniendo la siguiente tabla. TABLA V. XI FRECUECIAS OBSERVADAS SNMPv3 Autenticación Privacidad Control de Acceso Total
SNMPv1/v2
Sumatoria
7
1
8
7 7
1 2
8 9
21
4
25
La Tabla V.XI muestra la tabla de contigencia creada para el cálculo del chi cuadrado, compuesta por las variables analizadas: analizadas: Autenticación, Privacidad y Control Control de acceso.
Frecuencias esperadas
Las frecuencias esperadas de cada celda, se calcula mediante la siguiente fórmula aplicada a la frecuencias observadas:
Donde N es el numero de total de frecuencias observadas. A continuación se presentan los valores obtenidos aplicando la formula descrita anteriormente. TABLA V. XII FRECUENCIAS ESPERADAS SNMPv3 Autenticación
SNMPv1/v2
6.72
1.28
6.72
1.28
Control de Acceso
7.56
1.44
Total
21
4
Sumatoria 8
Privacidad
8 9 25
Sumatoria de x2
Una vez calculada las frecuencias esperadas, se aplica la siguiente fórmula de ji cuadrado para cada una de las celdas de la tabla: Donde: O es la frecuencia observada en cada celda c elda y E: es E: es la frecuencia esperada en cada celda
TABLA V. XIII SUMATORIA DE X2 Frecuencia(O) 7 7
Frecuencia(E) 6.72 6.72
O-E 0.28 0.28
(O-E)^2 0.0784 0.0784
(O-E)^2}/E 0.011667 0.0111667
7 1 1 2
7.56 1.28 1.28 1.44
-0.56 -0.28 -0.28 0.56
0.3136 0.0784 0.0784 0.36
0.04148 0.06125 0.06125 0.21778 0.40509
La tabla nos proporciona el valor X2, para saber si el valor que da como resultado es o no significativo, se debe determinar los grados de libertad mediante la siguiente fórmula:
Donde: F: es el número de filas de la tabla de contigencia sin contar los totales y C: es el número de columnas de la tabla de contingencia cin contar los totales
Se compara este valor con el correspondiente a un grado de libertad en la tabla de Chi-Cuadrado y se encuentra que el valor critico de X2 para un grado de libertad a un nivel de alpha de 0.05 es de 3.8941 Interpretación Criterios de decisión
Si X2 calculado es mayor a X2α(valor critico) de la tabla de distribución se rechaza la hipotesis nula Ho y por lo tanto se acepta la hipotesis de la investigación. investigación.
Si X2 calculado es menor a X2α(valor critico) de la tabla de distribución se acepta la hipotesis nula Ho por lo tanto se rechaza la hipotesis de la investigación. investigación.
Grafica X2 e interpretación
Figura V. 14 Curva del análisis de chi-cuadrado
Interpretación Como se puede observar en la figura V.XIV , el valor del estadístico chi-cuadrado calculado x2=0.40509 es mucho menor que el nivel crítico X2=3.84 es decir se rechaza la hipótesis nula y se acepta la hipótesis planteada en la investigación , de tal modo que, El análisis del protocolo SNMPv3 y su aplicación en la implementación de un prototipo de monitoreo de red segura, si permiten alcanzar niveles de seguridad óptimos en la administración y gestión de redes propiamente dicho durante el intercambio de información de gestión entre los agentes y los gestores.
CAPÍTULO VI MARCO PROPOSITIVO
6. IMPLEMENTACIÓN DEL PROTOTIPO PROTOTIPO DE MONITOREO DE RED RED SEGURA Una vez selecciónada CACTI como Herramienta de monitoreo monitoreo y haber adquirido adquirido el suficiente conocimiento de la operatividad de SNMPv3 se procede a la implementación del prototipo. En el presente capítulo seran descritas todas las variables involucradas en el proyecto de tesis. Se describe a detalle la implementación implementación del prototipo de monitoreo monitoreo y las con consideraciones sideraciones que se debe tener en cuenta durante el proceso. 6.1 HARDWARE Para la implementación se utilizo switches y ro routers uters que tiene a su haber la academia CISCO CISCO de la Escuela Superior Politécnica de Chimborazo.
6.1.1 SWITCHES CATALYST 2950 13
. Figura VI. 1 switch catalyst 2950
La serie Switches Switches Catalyst 2950 para LAN con softwa software re de de ba base se son una una familia de configuración fija, independiente ,dispositivos ethernet inteligente: ofrece configuraciones de escritorio Fastethernet Fastethernet y Gigabitethernet, Gigabitethernet, lo que permite mejorar los servicios de LAN de nivel de entrada de la empresa, ofrece una seguridad integ integrada rada incluyendo NAC, NAC, una avanzada calidad de servicio y la flexibilidad para ofrecer servicios inteligentes inteligentes al extremo de la red. Embebidos en todos los switches Cisco de la serie 2950 se encuentra el software de administración Cisco Device manger. el cual permite a todos los usuarios realizar una fácil configuración y monitoreo del switch Este tipo de equipos proveen una serie de herramientas de administración y monitoreo a traves de SNMP. A demas da soporta soporta al protocolo spann spanning ing Tree y rapid Spanning Spanning Tree para dar redundancia a la red. Caracteristicas generales
Control de flujo, capacidad dúplex, concentración de enlaces, soporte VLAN, snooping IGMP, soporte para Syslog, Cola Round Robin (WRR) ponderada, actualizable por firmware
Protocolo de gestión remota: SNMP 1, SNMP 2, RMON 1, RMON 2, RMON 3, RMON 9, Telnet, SNMP 3, HTTP
13http://www.almacen-informatico.com/CISCO_switch-catalyst--2950-series-WS-C2950-24_22682_p.htm
Cumplimiento de normas: IEEE 802.3, IEEE 802.3u, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s
Calidad de servicio
Da el soporte POE
6.1.2 SWITCH CATALYST 2960 Los switches de la serie Catalyst 2960 habilitan a las redes de capa de entrada de empresas medíanas y de sucursales para prestar servicios LAN. Los switches de la serie Catalyst 2960 son apropiadoss para implementaciones de capa de acceso apropiado
Figura VI. 2 switch catalyst 2960
Caracteristicas
Tipo de dispositivo: Conmutador
Tasas de Reenvio de 16 Gb/s a 32 Gb/s
Switching de capas multiples
Factor de forma: Montable en bastidor
Cantidad de puertos: 24 x Ethernet 10 base-T, Ethernet 100 Base –TX
Velocidad de transferencia de datos: 100 Mbps
Protocolo de interconexiòn: etherneth, fastEthernet
Protocolo de gestiòn remota: SNMPv1, RMON1, RMON2, Telnet, SNMPv3,SNMPv2c, HTTP
Modo de comunicaciòn: Semiduplex y duplex plano.
Caracteristicas de QoS para admintir comunicaciónes IP
Listas de control de acceso
No admiten PoE
Hast 48 puertos de 10/100 o puertos de 10/100/1000 con enlaces gigabit adicionales de doble proposito
6.1.3 ROUTER CISCO 2811 Caracteristicas
Tipo de dispositivo Encaminador
Protocolo de interconexión de datos Ethernet, Fast Ethernet
Red / Protocolo de transporte IPSec
Protocolo de gestión remota SNMP v3
Características Diseño modular, protección firewall, cifrado del hardware, asistencia técnica VPN, soporte de MPLS, montable en pared, Quality of Service (QoS)
Cumplimiento de normas IEEE 802.3af, IEEE 802.1x
Alimentación CA 120/230 V ( 50/60 Hz )
Dimensiones (Ancho x Profundidad x Altura) 43.8 cm x 41.7 cm x 4.5 cm
Peso 6.4 kg
6.2 Herramientas y sofware La herramientas herramientas necesarias para implementacion del prototipo prototipo necesarias son: 6.2.1 NMS-CACTI Es la aplicación de monitoreo encargada de colectar la información de gestión generada desde los agentes SNMP hacia la NMS y generar peticiones de informacion de gestion hacia los servidores. Es la interfaz entre el administrador y la red de datos o es hilo de comunicación entre los equipos
6.3 IMPLEMENTACIÓN DEL PROTOTIPO AGENTE 4 4
CACTI NMS
SNIFFER WIRESHARK WIRESHARK
AGENTE 2 AGENTE 3
AGENTE 5
Figura VI. 3 Red de pruebas
Una vez configurado los equipos y haber comprobado la conectividad entre los dispositivos intermedios y finales de la red. Se procede a la instalacion y configuracion de los agentes y de la consola de Administración. 6.3.1 Instalación del Gestor (CACTI) Para realizar la instalación de CACTI, se requiere de la instalación de componentes adicionales, que tiene por objeto tener una correcta instalación y configuracion de CACTI para evitar problemas con la herramienta durante su utilización. 6.3.1.1 Instalacion Apache2
Figura VI. 4 Instalación Apache2
6.3.1.2 Instalaciòn de la base de datos MySql
Figura VI. 5 Instalación Base de datos MySql
6.3.1.2 Instalación de Cacti- localhost/cacti Inmediatamente Inmediatamen te después cargara la página gu guia ia de instalación Cacti que sera guia guia durante el procesos de instalación. instalación. En la ventana emergente que se abre presionar en next.
Figura VI. 6 Guía de d e instalación Cacti
Seleccionar la opción opción NewInstall eenn la persiana de dell cuadro de dia dialogo logo y acontinuación clic en next next
Figura VI. 7 Selección new Install
En el siguiente recuadro confirmamos que las rutas de los ejecutables. Correspondientes a los programas del Cacti son las correctas y presionamos finish
Figura VI. 8 Confirmación de rutas de acceso de los ejecutables
A continuación se visualizara visualizara el cuadro de diálog diálogoo de acceso al sistema, en el mismo, hay que ingresar el usuario y la contraseña c ontraseña que se introdujeron durante la instalación.
Figura VI. 9 Ingreso usuario y contraseña
Una vez ingresado lo loss datos de uusuario suario y password, el sistema forzará forzará a realizar realizar una modificación de la contraseña ddel el usuario admin.
. 10
Figura VI. 11 Consola de administración Cacti Cacti
6.3.1.3 Agregar dispositivos a monitorear en Cacti
Figura VI. 12 Creación de los dispositivos
Situarse en el menu inferior izquierdo, buscar create devices y presionar
Figura VI. 13 Configuración de los parámetros del dispositivo a monitorear monitorear
Figura VI. 14 Acceso satisfactorio del dispositivo a monitorear
Para el resto de dispositivos dispositivos se realiza el mismo procedimien procedimiento, to, pero teniendo eenn consideración que en cada uuno no de los dispositivos , va a existir usuarios y passwords passwords Diferentes. 6.3.2 Configuración de los agentes SNMPv3 Antes de realizar la configuración de los agentes en los dispositivos a monitorear, se debe realizar un análisis análisis de los sistemas operativos con la fifinalidad nalidad de con constatar statar que dichos sistemas dan soporte al protocolo snmpv3. Si no fuera asi, surge la necesidad de aactualizar ctualizar los IOS en caso de los switche switchess y routers, y los sistemas operativos en el caso de los servidores y terminales de usuarios que participaran en el sistema de gestión. 6.3.2.1 SNMPV3 EN ROUTER 2811 1. Crear la MIB View El objetivo de crear una vista MIB es restringir restringir el acceso a la MIB, permitiendo asi solo tene tenerr acceso a cierta parte de la MIB, obviamente esto va ha depender de lo que se desea administrar de forma remota. Para el prototipo de monitoreo de red se definieron dos vistas, una vista que va ha permitir modificar los valores de las instancias de los objetos de forma remota y la otra solo permitira permitira visualizar los datos, obviamente cada una de estas vistas van dirigidas a tareas administrativas y usua usuarios rios to totalmente talmente diferentes. Como pprimer rimer paso paso se crea la vista que que lleva por nombre cisco que permite ten tener er acceso al grupo system de la MIB, le asigna asignamos mos como modo de de acceso (cont (control rol de aacceso) cceso) solo lectura, de modo, los usuarios que van a tener acceso acceso a esa vista tendran la potestad de visualizar los ddatos atos sin poder modificarlos, por razones esta esta mib view esta creada para cualquier qu quee tenga acceso a la red.
Figura VI. 15 vista escritura en el Router 2811
2. Configuración de los grupos grupos Permite a una unarr usuarios con privilegios de administración administración similares. Para Para este caso en particular se va ha tener dos grupos. Configuracion del del grupo administrador_p administrador_principal. rincipal. Encargado de realizar acciones criticas de forma remota. Lo que significa que se debe configurar configurar password de autenti autenticación cación y encriptación los comandos utilizados son: snmp-server group administrador_principal authpriv write escritura
Figura VI. 16 Configuración del grupo administrador_secundario administrador_secundario en el router 2811
v3
Figura VI. 17 Configuración grupo administrado administrador_principal r_principal
3. Creacion de usuarios Se crea el el usuario al alejandra, ejandra, usuario pe perteneciente rteneciente aall grupo administrado_principal administrado_principal mismo que esta relacionado relacionado con la vista con derechos de acceso de escritura, escritura, se le asigna una clave de autenticación y de encriptación que se va a requerir cada vez que se solicite algun valor de la MIB al router, si las contraseñas introducida introducidass son correctas se lleva a cabo la operación caso contrario se producira una falla de autenticación, la misma que sera alertada por el agente a la NMS.tambien se creara ruth como usuario que pertenecera al grupo administrador_secundario administrador_secundario que tambien tambien se le asignara ppalabras alabras claves para para poder interrogar al router, pero con una ligera diferencia entre Alejandra y Ruth que ambos pueden indagar al router, pero unicamente Alejandra tiene la potestad para modificar los objetos de la MIB de forma remota, a diferencia de Ruth que unicamente puede leer los datos, pero no puede realizar cambio alguno. alguno.
Figura VI. 18 Creación del usuario Alejandra ligado al a l grupo administrador_ principal
Figura VI. 19 Creación del usuario Ruth ligado al grupo administrador_secundario administrador_secundario
6.3.2.2 SNMPV3 EN CATALYST 2950 Y 2960 se siguen los mismos pasos qque ue en llos os routers para la configuracion de los agentes agentes 1. Crear la MIB View Para el caso de los catalyst 2950 y 2960 se creo solo una sola vista de ssolo olo lectura, dado que el IOS de estos estos dispositvos no dan soporte soporte para encriptar encriptar los datos por lo tanto no hay como ariesgarse en crear vistas con derechos de modificación de la información de administración .
Figura VI. 20 Configuración vista lectura en catalyst 2950 y2960
Figura VI. 21 Configuración vista escritura en catalyst 2950 y2960
2. Configuración de los grupos grupos De igual manera se sigue los mismos pasos que en los routers para la creación de los grupos, se crea el grupo administrador_principal se define el nivel de seguridad que poseeran los usuarios usuarios pertenecientes a este grupo, en este caso el IOS de los switch solo admiten autenticación y no permiten la encriptación de los dato, por lo tanto la vista ligada al mencionado grupo no permite realizar acciones criticas sobre el dipositivo. Para la configuración de grupo se aplica los siguientes comandos:
snmp-server group administrador_principal authpriv md5 ruth245031
v3
Figura VI. 22 Configuraci Configuración ón del grupo administrador administrador principal
3. Configuracion de usuarios usuarios Se crea el usuario ruth, como este usuario va a pertenecer al grupo administrado_principal administrado_p rincipal se le asigna una pal palabra abra de autenticación que se va a requerir cada ves que se solicite algun valor de la MIB al switch, si la contraseña contraseña es incorrecta se producira una falla de autenticación, la misma que sera alertada por agente a la NMS. Los comandos son los siguientes: s iguientes: snmp-server user ruth administrador_principal v3 auth md5 ruth245031
6.3.2.3 SNMPV3 EN PC Instalación Instalaci ón del agente SNMPv3 en la PC
Figura VI. 23 Inicialización del agente SNMPv3
Configuración del Agente en la PC Definición de vistas
•
Figura VI. 24 Configuración de la vista escritura
Se crea la vista escritura en la máquina que permitira administrar de forma remota el grupo IP de la MIBII
Definición de grupos
•
Figura VI. 25 Definición de grupo administrador_principal administrador_principal
Definición de usuarios
•
Figura VI. 26 Definición de usuario Alejandra
CONCLUSIONES 1. Al analizar los conceptos, elementos, elementos, arquite arquitecturas cturas y estandares que son parte del protocolo SNMPv3, se llega a determinar determinar que este ofrece ofrece un buen nivel de flexibilidad y seguridad a los entornos de gestión de redes gracias a los mecanismos de autenticación y encriptación que se introducen a esta versión a diferencia de sus antecesores. antecesores.
2. Se ha determinado la necesidad de contar con entornos seguros de gestiòn y administraciòn de redes basados en SNMP, por la criticidad de la informaciòn de gestiòn que maneja este protocolo en muchos de los casos. casos.
3. Gracias a la expermitención que se realizo en los ambientes de simulaciòn se llega a concluir que Los mecanismos de privacidad que introduce SNMPv3, garantiza que la información de gestión unicamente se ha revelada a usuarios autorizados y no a terceros, para este cometido hace uso de contraseñas simétricas que permiten encriptar y desencriptar la información de gestión los mismos que hacen uso de algoritmos sofisticados de encripción, no permitiendo que la información de monitorización y de gestión se ha revelada a usuarios usuarios que contengan la contra contraseña seña correcta caso contrario no se revela la información y en el caso de que se introduzca i ntroduzca una contraseña erronea se enviara una notificación de error a la NMS. NMS.
4. Haciendo uso de los ambientes de simulaciòn sea llegado a determinar que el protocolo que facilita el transito seguro de la informaciòn de gestiòn es SNMPv3 esto debido a la introducciòn de nuevos mecanismo mecanismoss de autent autenticaciòn, icaciòn, privacidad y control de Acceso que ofrece el protocolo. protocolo.
5. El analisis del del protocolo SNMPv3 permitió lllegar legar a conclu concluirir que es el protocolo mas eficiente para la administración y gestión de redes por encima de SNMPv1/v2, SNMPv1/v2 , SNMPv3 gracias a los mecanismos de autenticación, privacidad y control de acceso que permiten una colección segura de la informaciòn de gestón, a diferencia de SNMPv1/v2 que ofrece una gestión gestión trivial por la ppoca oca o casi ninguna seguridad que emplea en el el momento de transmitir la información de gestión, haciendo que esto se convierta en un punto debil de la monitorización de la red. red.
RECOMENDACIONES 1. Para configurar un sistema de gestión de red basado en SNMPv3 se debe considerar que los equip equipos os den sop soporte orte al protocolo , caso contrario habra que que buscar alternativas una de ellas; migrar a un IOS de una versión superio superiorr en caso de los Switches y routers.
2. La latencia que introduce introduce SNMPv3 va ha depend depender er del tamaño de la red, de forma que en una red de tamaño mediano el impacto en la red va hacer minimo, mientras que en una red de tamaño considerable el impacto ya va hacer considerable debido que el trafico de la información de gestión se suma al trafico propio de la red, haciendo que el trafico de la red se aumente es por eso que se recomienda que el uso de SNMPv3 debe hacerse de forma cuidadosa para no permitir que el performance de la red se vea afectado.
3. Si por imcompatibilidad o por que los dispositivos no fueron diseñados para dar soporte SNMPv3, se recomienda qque ue las acciones a realizar de forma remota si se va utilizar el el protocolo SNMPv1/v2 no realicen tareas criticas eenn el dispositivo ,mas bien bien se relicen acciones que no manejen caracteristicas del dispositivo, con objeto de evitar que personas ajenas ajenas a la red puedan acceder a eesos sos recursos de la red y causar un caos en la red.
4. Se recomienda utilizar contra contraseñas señas robustas, con la finalidad de evitar la adivinación de contraseñas a traves de los conocidos taques de diccionario o comunmente conocidos como ataques de fuerza bruta.
5. Aplicación correcta de las politicas de contraseñas con la finalidad de evitar ser un blanco fácil de los ataques de diccionario, por lo que es dable que las contraseñas se han largas,combinación de numeros y letras, etc.
6. Es recomendable que el administrador de red guarde con total reserva las claves de administración, con el objeto de evitar intromiciones no deseadas a los dispositivos de la red.
RESUMEN El análisis del protocolo Simple Network Management System (SNMPv3), permitió dar paso al desarrollo de un prototipo de monitoreo de red segura en lo que se refiere a autenticación, privacidad y control de acceso, con la finalidad de garantizar el tránsito seguro de los datos de gestión, el prototipo se implementó implementó en la Academia CISCO de la Escuela Superior Poli Politécnica técnica de Chimborazo. El método utilizado durante durante el proceso de investigación fue el Expe Experimental, rimental, permitió establecer las diferencias de seguridad seguridad que ofrece cada versión del protocolo Simple de Ad Administración ministración y Gestión de Redes. El método experimental experimental consistió de dos esquemas de red, en eell primer esquema de red se configuro con las versiones uno uno y dos del protocolo en me mención nción (SNMPv1/v2), y el segu segundo ndo esquema se configuro la última última versión del protocolo, protocolo, para la construcción de los los escenarios de simulación se utilizó los siguientes materiales: dos Switchs Catalyst de la serie 2960, un router 2811, una computadora portátil que procesaba la información de gestión colectada desde los agentes instalados en los dispositivos hacer monitoreados, y una máquina de escritorio que hacía de espía de red. Con SNMPv3 se logro tener un 100% de la encriptación encriptac ión de la información de gestión durante el tránsito de llaa misma, frente a un 0% que que ofre ofrece ce SNMPv1/v2, así también garantiza que la la información de gestión durante su viaje por la red no sufra modificación alguna esto es gracias a la capacidad del protocolo de autenticar a la entidad emisora del mensaje, también garantiza que los dispositivos monitoreados monitoreados sean ún únicamente icamente accesados po porr usuarios autori autorizados, zados, esto es gracias a que el protocolo permite configurar usuarios únicos en los dispositivos con sus derechos de accesos correspondientes. Por lo que se llega a concluir concluir que la seguridad ofrecida por SNMPv3 en cuanto a autenticación, autenticación, privacidad y control de acceso está muy por encima a la insipiente seguridad ofrecida por las versiones anteriores del protocolo.
Se recomienda a los administradores de red, en el caso de que hagan uso del protocolo simple de administración y gestión de redes como protocolo de monitoreo de redes, escojan la última versión del protocolo, por los mecanismos de seguridad que este introduce.
SUMMARY
This analysis allowed us to develop a prototype secure network monitoring with regard to verification of authenticity, privacy and Access control to ensure the safe passage of management data. The prototype was implemented in the CISCO Academy Polytechnic School of Chimborazo; the experimental method was used, which established the differences in security provided by each version of the simple Management Protocol and Network Management. Two network schemes were analyzed the first scheme was set up with one and two protocol version in question (SNMPv1/v2) the second scheme sc heme was based on the latest protocol version. The simulation scenarios used the following materials: two switch Catalyst series 2960, one 2811 router a laptop computer processing informa information tion collected from managemen managementt agents installed on the devices to be monitoring m onitoring and a machine desktop running a spy network. SNMPv3 is a 70% achievement of the encryption of management information for the transit of the same compared with 0% offered SNMPv1/v2 also ensured that management information when traveling through the network does not suffer any modification this is possible thanks to the protocol ability to the authenticate the message issuer and ensure that monitored devices are only accessed by authorized users this protocol allows user to configure only devices with their corresponding access rights. It included that the security offered by SNMPv3 about authentication, privacy and access control is well above the incipient security offered by previous versions of the protocol. Recommend to network administrators to choose the latest protocol version by security mechanism it offers.
BIBLIOGRAFIA 1. STALLINGS, STALLINGS, W., W., SNMPv1, SNMPv2, SNMPv3 and RMON., 3a. ed., BostonEstados Unidos de America., Addison-Wesley Longman Publishing., 1998., Pp. 410-415 2.- CAMPRECIÓS, M.A., Diseño e implementación de un sistema sistema de monitorización monitorización Satélite a través través del protocolo SNMP., Universidad Politécnica Politécnica de Catalunya., Barcelona-España., TESIS., 2011., Pp.130-158 3. CASTAÑEDA, F.V., Diseño e implementación de un sistema multiplataforma multiplataforma de monitorización y administración de red, con interfaz web para el usuario y utilizando el protocolo SNMPv3., Escuela Politécnica Politécnica Nacional, Nacional, Facultad de de Ingeniería Eléctrica Eléctrica y Electrónica, Electróni Electrónica ca y Redes de la información., Quito-Ecuador., TESIS., 2011., Pp. 405- 410. 4. HIDALGO, L; MUÑOZ, J., Guía práctica de implementación de los los protocolos protocolos de administración de red red SNMPv2 y SNMPv3 en las Pymes de Quito., Pontificia Universidad Católica del Ecuador, Facultad de Ingeniería Ingeniería,, Ingeniería en sistemas y Computación., Quito-Ecuador., TESIS., 2007., Pp. 190.
INTERNET 5. - ANÁLISIS Y MONITOREO DE REDES http://www.intergracio-de-sistema http://www.in tergracio-de-sistemas.com/analisis-y-monitoreos.com/analisis-y-monitoreo-de-redes/index.htm de-redes/index.htmll 2011-05-20
6.- ARQUITECTURA DE GESTIÓN DE INTERNET http://www.fic.udc.es7files/asignatura http://www.fic.ud c.es7files/asignaturas/56XR/files/04-Gestion s/56XR/files/04-GestionInternet1-2009 Internet1-2009.pdf .pdf 2011-06-17 7.- AGENTE SNMPV3 WINDOWS http://marksw.com/snmpv3agent/windowsagent.html 2011-11-20 8.- CACTI http://bdigital.uao.edu http://bdig ital.uao.edu.co/bitstream/10614 .co/bitstream/10614/831/3/T00035 /831/3/T0003537.pdf 37.pdf http://bitelia.com/2010/09/mo http://bite lia.com/2010/09/monitoriza-el-estado-d nitoriza-el-estado-de-tu-red-con-cacti e-tu-red-con-cacti 2011-12-20 9.- COMPONENTES ZABBIX http://joniux.x-red.com/2008/04 http://joniu x.x-red.com/2008/04/08/monitoreand /08/monitoreando-servidores-con-zabbi o-servidores-con-zabbix/ x/ 2011-11-20 10.- INTRODUCCIÓN A LA GESTIÓN DE REDES http://www.fic.udc.es7files/asignatura http://www.fic.ud c.es7files/asignaturas/56XR/files/03-intro s/56XR/files/03-introducciónGestionRede ducciónGestionRedess 2011-05-21 11.- INSTALACIÓN CACTI http://administracionderedes201 http://admin istracionderedes2010.wikispaces.com/file/vie 0.wikispaces.com/file/view/CACTI.pdf w/CACTI.pdf 2011-12-20 12.- MANUAL ZABBIX http://www.zabbix.com/es/features.php 2011-11-20 13.- NAGIOS http://administracionderedes201 http://admin istracionderedes2010.wikispaces.com/file/vie 0.wikispaces.com/file/view/NAGIOS.pdf w/NAGIOS.pdf 2011-12-20
14.- NET-SNMP http://net-snmp.sourceforge.net/ 2012-02-17 15.- REQUERIMIENTOS DE HADWARE ZABBIX http://www.rediris.es/difusion/pub http://www.red iris.es/difusion/publicaciones/boletin licaciones/boletin/88-89/Ponencia /88-89/Ponencia8.B.pdf 8.B.pdf 2011-12-20 16. - SIMPLE NETWORK MANAGEMENT PROTOCOL (SNMP) www.snmplink.org 2011-06-20 17.- SIMPLE NETWORK MANAGEMENT PROTOCOL VERSION 3 http://www.ndt-inc.com/SNMP/pdf/NuDesin http://www.nd t-inc.com/SNMP/pdf/NuDesing_SNMPv3_Tutorial g_SNMPv3_Tutorial_&_De_Manual.pd _&_De_Manual.pdff 2011-07-18 18.- TABLA DE DISTRIBUCIÓN DEL CHI CUADRADO http://juancarlosvergara.50web http://juan carlosvergara.50webs.org/Apuntes/tab s.org/Apuntes/tablachicuadrado.pd lachicuadrado.pdff 2011-10-16
ANEXOS
ANEXO 1
ESTRUCTURA DE LA INFORMACIÓN DE GESTIÓN (SMI)
La estructura de información de gestión mediante el uso de ASN.1 define las reglas que permiten representar los ob objetos jetos
gestionado gestionadoss sin necesidad de preocuparse preocuparse de detalles detalles de
implementación. Básicamente la especificación especificación SMI lleva a cabo las siguien siguientes tes tareas:
Estructuración de las bases de información de gestión (MIB), mediante la asignación de un objeto identificador identificador (OID) a cada uno de los objetos gestionados. gestionados.
Definición de la sintaxis sintaxis y estructura de los objetos gesti gestionados, onados, para ello se hace uso de la Notificación Sintáctica Abstracta Uno, ASN1.
Codificación de los valores (Instancias) de los objetos gestionados, mediante la aplicación de la regla de codificación básica BER.
ANEXO 2
EQUIPOS QUE DAN SOPORTE SNMPV3
Equipos que dan soporte SNMPv3 Marcas de dispositivos de interconexión que dan soporte SNMPv3 son: CISCO EQUIPO CISCO SOPORTE SNMPV3 CONMUTADORES
Equipo
Descripcion
Catalyst 500 Express
24 puertos 10/100 2 puertos 10/100/1000 BASE-T
Catalyst 2950-ST-8-LR 2950-ST-8-LREE
8 puertos 10/100/1000B 2 puertos SPF SPF
Catalyst 2850-ST-24-LRE
24 puertosLRE+ 2puertosEthernet10BaseT/100BaseTX/1000BasetT+ 2puertosEthernet10BaseT/100B aseTX/1000BasetT+ 2Small Form Factor Pluggable(SF Pluggable(SFP) P) (dos de los cuatro c uatro puertos de enlace ascendente activos al mismo tiempo
Catalyst 3560 -24PS
24 puertos 100/100 2 puertos SPF SPF
Catalyst 3560-48PS
48 puertos 10/100 4 puertos SPF
Catalyst 2960
24 x Ethernet 10 base-T, Ethernet 100 Base –TX
Catalyst 3750 -24ts-S24
No admite PoE Alta, disponibilidad, disponibilidad, escalabilidad. 24 puerto puertoss 10 10/10 /100, 0, 1 pue puerto rto de ad admin minist istra ración ción,, 2 pue SFP.4 puerto GigabitEthernet Apilable. Autenticaciòn:: Kerveros, RADIUS, TACACS+ Autenticaciòn Modo de comunicaciòn Half Duplex, Full-Duplex
Catalyst 3750-24PS-S PoE 24
24 puertos 10/100 Base T, 1 puerto adminsitracion, adminsitr acion, 2 puertos Stack RJ-45, 2 puerto SFP. Autenticaciòn:: Kerveros, RADIUS, TACAS+, SSH Autenticaciòn
HalfDuplex, full-Duplex Catalyst 6500
Escalabilidad empresarial Interfaces de adminsitracion intuitivas
Catalyst 3550 -24-FX
Wireless Puertos de Seguridad basado en 802.1Q Puertos basado en ACLs Limitar la velocidad para los usuarios Modular Radius
Catalyst 8500
Integran conmutacion ATM Soluciones para aredes metropolitana metropolitanass RUTEADORES
Cisco 1861
1 puert 10/100 FastEthernet 8 puertos de 10/100 Mbps LAN 1 Puerto Ethernet 10/100 de expansion
Cisco 1805
4 puertos 10/100 Ethernet 1 puerto auxiliar para copias de seguridad Inte Interr-Vl Vlan an Gest Gestión ión de An Anch choo de de ban banda da y cali calida dadd de de ser ser avanzado
Cisco 2801
Cisco IOS 12.3(8)T 2 puertos Ethernet 10/100 Base puerto de consola y un puerto Auxiliar Algoritmo de cifrado DES, 3DES, AES
Cisco 2811
Diseño modular Encriptación mediante hardware Soporte MPLS, VPN 2 puertos Ethernet 10/100 Base T 1 puerto de consola , 1 puerto auxiliar
Cisco 2821
Soporte MPLS Slots de expansión: 4 HWIC, 2 AIM, 3PVDM,NME-X. SShv2 2 puertos Ethernet 10/100 Base T,1puerto de consola, etc.
EQUIPO 3COM SOPORTE SNMPV3 CONMUTADORES
Equipo
Descripcion
3COM 5500 52 puertos
48 puertos 10 Base T/100 Base-X, 4 puertos Gigabit puertos de alimentacion RPS. Apilables hasta ocho unidades. Ruteo basado en hardware.
3COM 5500 28 puertos
24 puertos 10 Base –T/100 Base-TX, 4 puertos Gigabit SF Interfaces virtuales, Transmision de capa 3 . Camb Ca mbio ioss de di disco scont ntin inui uida dadd ent entre re dir direc ecto to y alte alte Convergencia aplicando la tecnica Round Robin. Seguridad: Radius.
3COM 3CO M 450 45000 26 puerto puertoss
24 pue puerto rtoss 10 Base-t Base-t/10 /1000 Base Base TX con au auton tonego egocia ciacc Confi Configur gurab ables les Auto Auto MDI/MD MDI/MDIX, IX, 2 puerto puertoss Gigabi Gigabitt ddee uso d Interfaces basadas en fibra. Capacidad de tran transmision smision de 8.8 Gbps, hasta 6.5 6.5 millone paquetes por segundo. Autenticación Radius. Administración Remota atraves de SShv2 o SNMPv3 RUTEADORES
3 COM 5012 5012
1 pue puerto rto 10/ 10/10 1000 Ba Base se –T, un serial serial de al alta ta veloci velocida dadd sincro sincro y asicroni asicronico, co, uno de consola consola,, un auxilar auxilar;; una Ranura Ranura MI dos SIC.Interfaces WAN: RDSI, ADSL, E1,T1 Interfaces LAN: Ethernet 10/100,10/100/100 10/100,10/100/10000 Ruteo WAN: IP, IPX, OSPF, BGP-4
EQUIPO 3COM SOPORTE SNMPV3
Equipo
descripcion 24 puertos 10/100 , 2 puertos Gigabit (10/100/1000 (10/100/10 00 om SF
Switch de Acceso Des-3526
Gest Ge stió iónn ce cent ntra raliliza zada da vía vía SIM SIM Per Permi mite te for forma marr stac stackk virtu virtu hasta hasta de un maxi maximo mo de 32 un unid idad ades es.. Se Segu guririda dadd Avanz Avanz Soporte QoS, IGMP
Switch de distribucion distribucion DGS-33121SR DGS-33121SR Switch de capa 3. 3. Puerto Uplink: 802.3ad 802.3ad y soporte LACP Esta Estand ndar ares es:: IE IEEE EE80 802. 2.3u 3u 100 100 Bas Basee TX Rute Ruteoo IP, IP, co conn so sopp RIP v1/v2, OSPF Listas de acceso L1/L2/L3 Rout Ro uter er DI-3 DI-366 6600
Pr Prot otoc ocol olos os
de
en enla lace ce
de
da dato tos: s:
Fram Framee
R
LAPB,P LAP B,PPP, PP,PPP PPPoE. oE. Protoc Protocolo oloss de de llaa capa capa de de Red:ARP Red:ARP,, D NAT,etc Calidad de servicio: FIFO,PQ, CQ, etc.
Otras marcas que dan soporte SNMPv3 AlaxalIA Networks: AX7800R,AX7800S,AX7700R,AX5400S Alcatel: OmniSwitch 6850, OmniSwitch 9000 Alcatel: Allied Telesis: SwitchBlade 7800R series, SwitchBlade 7800 Series, SwitchBlade 5400S Foundry Networks: BigIron Networks: BigIron series, Fastlon, IronPoint,NetIron IronPoint,NetIron,, SecureIron. Hitachi: GR4000, Hitachi: GR4000, GS4000,GS3000
ANEXO 3 EXPERIMENTO 1 SNMPV3
Pruebas de Monitoreo y Analisis de los mensajes SNMP Se procedio a la realización varias pruebas del funcionamiento del sistema, con el objeto de conocer cuan seguro es la red implementada. Para lo cual se utilizo las operaciones SNMP. Cacti permite desplegar desplegar los datos de gestión atraves de graficas, graficas, que hacen mas fácil interpretar el desempeño del dispositivo dispositivo en la red, lo que pemite pemite solucionar y prevenir los proble problemas mas antes que estos se materialicen. El administrador de red tiene la fa facilidad cilidad de comparar graficas de un dia con otro, lo que permitira sacar las mejores conclusiones del funcionamiento del dispositivo monitoreado.. A ccontinuación monitoreado ontinuación se muestran algunas graficas del monitoreo de red bajo CACTI
Análisis de datos y ataques a la red La red de datos fue sometida a un analisis de datos y al ataque del hombre en el medio. Ataque de hombre en el medio en la red configurada con SNMPv3 Para lo que se utiliza dsniff y arspoof Dsniff permite la captura de contraseñas que se transmiten en texto plano atraves de la red y arpspoof permite realizar un envenenamiento de rutas atraves de ARP. Como el objetivo es snifar contraseñas contraseñas en otros equipos de la red. Para ello ante antess de ejecutar el dsniff, lo primero que hay que realizar es un atque de hombre en el medio. Para lo cual escogemos nuestro objetivo de ataque va ha ser s er el siguiente Máquina A 192.168.0.1 Maquina B 192.168.0.58 Atacante C 192.168.0 192.168.0.206 .206 Lo que se desea es interceptar la comunicación entre el router y la victima. Lo primero que se realiza es ponernos como root y activar el ipforwarding, para lo cual se ejecuta el siguiente comando en la terminal.
Lo que se consigue con este comando que todos los paquetes recibidos por el equipo atacante se han retransmitidos a su origen correspondien correspondiente, te, con el fin de evitar ser descubiertos. En la misma terminal o en otra ejecutamos el siguiente comando
Una vez ejecutados los tres comandos anteriores, ya estamos en el medio, interecptando las comunicaciones entre el router y la victima y la victima y el router, consiguiendo asi hacer creer al router somos la victima y a la victima que somos el router. Una vez que tenemos el ataque MITM en marcha, ya podemos lanzar ataques que nos permitran descubrir contraseñas, análisis de tráfico, matar determinadas conexiones, etc.
Captura de contraseñas transmitidas en texto plano atraves de la red, para lo cual se utiiza el dsniff
En este caso como se esta utilizando la versión tres del protocolo SNMP no aparece ninguna contraseña capturada por el sniffer esto es gracias a que este protocolo encripta las contraseñas antes de enviarlas por la red Análisis de tráfico de la red SNMPv3 Se uso el sniffer sniffer wireshark, se procedio de la siguiente man manera. era. Con el sniffer sniffer en marcha en una una máquina escogida estrategicamente, se empezo a indagar a los dispositivo dispositivo de forma remota, remota, Con el objeto de comprob comprobar ar que tan confiable es el protocolo SNMPv3 para intercam intercambiar biar la información de gestión entre lo loss agentes y gestores. Pruebas de Autenticación Como se puede apreciar en la gráfica, el protocolo SNMPv3 es bastante seguro en cuanto autenticación, como se observa en la grafica asi el atacante con autenticación, conozca ozca el nombre de usuario usuario autorizado, si no tiene conocimiento de las contraseñas correctas no van a pasar la prueba de autenticación,, de modo que no va ha poder acceder a la información solicitad autenticación solicitadaa
A traves de la consola de de comandos se procedi procedioo a pedir el valor ddee un OID Especificamente la ubicación del dispositivo. Para tal cometido se utilizo el usuario ruth, que tiene que ingresar unicamente datos datos de autenticación autenticación.. Dado que es el nivel de seguridad que debe debe cumplir este
usuario para poder indagar al dispositivo de forma remota caso contrario no podra acceder a los recursos del dispositivo en mención.
Como se puede apreciar en la grafica, cuando no se a logrado pasar las etapas de seguridad el protocolo reporta un error de USM.
Como muestra la captura del paq paquete uete este nivel de seguridad es inseguro(authnopriv), inseguro(authnopriv), dado que no encripta el contenido del mensaje en tránsito, por lo que cualquier persona que tenga acceso a la red y tenga a su hab haber er un sniffer puede aacceder cceder a la información de de gestión con facilidad como muestra la grafica. Por lo que es recomendable que cuando se utilice el nivel de seguridad AuthNopriv para monitorear un dispositivo este no maneje accciones criticas del dispositivo. De la captura del paquete Fig.4.26 se conoce el nombre del usuario, el Id del mensaje, El valor del OID.
A traves de la consola de comandos de ubuntu se procedio a consultar la tabla IP del Dispositivo, por la naturaleza de la información que se esta pidiendo, se utilizo el usuario alejandra que tiene el nivel de segurida seguridadd authpriv, significa que para acceder a dicha información debe debe proveer un password de autenticación y encriptación encriptación caso contrario no se accede a la información requerida.
Pruebas de confidencialidad Como se aprecia en la captura captura del mensaje SNMP al utilizar el nnivel ivel de seguridad authp authpriv, riv, es imposible conocer el contenido del mensaje en cuestión, por lo que se garantiza integridad y confidencialidad confidencial idad de los datos intercambiados entre los agentes y gestores. Por lo lo que se aconseja que las claves de autenticación y encriptación no sean cortas, no se an nombre de personas, etc., para no ser s er un blanco fácil ante un eminente ataque de diccionario.
Snmpset
Este comando permite alterar alterar el valor de un OID de forma remota, por por lo cual se requiere apli aplicar car el nivel de segurida seguridadd mas alto que proporciona proporciona SNMP3. Con el fin de garantizar el tránsito seguro de la información de gestión a traves de la red, dado que si no se pone el cuidado necesario del del caso, la seguridad y el el correcto funcion funcionamiento amiento del dispositivo se verian seriamente afectados.
.
Anexo 3 EXPERIMENTO 2 SNMPv1/v2
Ataque de hombre en el medio en la red configurada con SNMPv1/v2 Para realizar el ataque de hombre en el medio, Seguir el mismo procedimiento del anexo 1 Atacante reenviando datos
Envenenamiento de rutas
Una vez introducido los comandos ya estamos en el medio interceptando y reenviando paquetes. Puesta en marcha dsniff
Con el sniffer ejecutandose, se realiza intercambio de información de gestión entre los agentes y gestores, como se esta monitorizando la red con SNMPv1/v2 pronto el sniffer comienza a capturar el nombre de las comunidades c omunidades de los paquetes SNMP
Análisis de los mensajes SNMPv1/v2 SNMPv1/v2 Snmpwalk
Autenticación
Como se puede apreciar en la captura del mensaje SNMPv1 se puede conocer con facilidad el nombre de la comunidad que se utiliza para gestionar los dispositivos, de modo que cualquier persona con ese tipo de información puede hacer que su equipo pertenezca a ese entorno de gestión como se puede apreciar en la figura de la parte inferior.
Como se aprecia en la figura, figura, se configuro configuro un eequipo quipo que que tiene acceso a la la red y se le configura el agente agente SNMP con la comunidad cisco, dicho eequipo quipo convirtie convirtiendose ndose en parte del sistema de gestión SNMP, SNMP, ya el dispositivo puede comenzar comenzar a realizar tareas de ge gestión stión sobre otros dispositivos con la misma comunidad.
CONFIDENCIALIDAD Como queda sentado en la gráfica, la información de gestión transita por la red en texto claro al utilizar el protocolo de ge gestión stión SNMPv1/v2, SNMPv1/ v2, por lo tanto el mencionado menciona do protocolo no da las garantias necesarias para garantizar el acceso selectivo a los datos administrativos, de forma que se convierte en un potencial problema para la seguridad de la red de datos.
ANEXO 4 Tabla de la distribución distribución chi cuadrado 2 X
Anexo 5 NET-SNMP
NET-SNMP Se puede definir Net-SNMP como un conjunto de aplicaciones que por medio de la linea de comandos permite la monitorizacion y control de dispositivos locales y remotos valiendose del protocolo SNMP en cualquiera de sus versiones SNMPv1, SNMPv2 y SNMPv3. Net-SNMP esta disponible para los siguientes sistemas operativos basados en Linux y en Windows y basicamente incluye las siguientes aplicaciones: Aplicación de linea de comandos para el control y monitoreo de la red.
•
Agente SNMP
•
Aplicaciòn demonio para recepción de traps
•
Aplicaciòn de linea li nea de comandos La aplicación de linea de comandos provee las herramientas necesarias para monitorizar y
controlar los elemntos de la red (switches, routers, hosts, servidores, etc.) que tenga instalado un agente SNMP. La aplicación de linea de comasndos brinda las siguientes funciones: Consultas simples
•
Consultas Multiples
•
Configuración de objetos gestionado gestionadoss
•
Consultas de información fija de los Objetos O bjetos administrados
•
Agente SNMP
Net-SNMP incluye un agente SNMP que responde a las peticiones de los gestores y emiten Traps. De igual manera incluye un aplio conjunto de módulos MIB, y a su vez permite que nuevos mòdulos MIB puedan ser cargados c argados dinamicamente dinamicamente.. El agente de NET-SNMP recibe el nombre de snmpd , es un demonio que escuha en modo
pasivo en el puerto 161(UDP) por defecto, espera las peticiones de un gestor, autentica el
mensaje, recopila y responde con la información pertinente. Cuando el demonio arranca busca el archivo snmpd.conf que normalmente en linux se instala en el directorio /etc/snmp/ este archivo describe el funcionamiento del agente. El archivo snmp.conf viene con un archivo de configuración por defecto que se puede ejecutar sin necesidad de modificarlo, sin embargo como politica de seguridad se establezca el ccambio ambio de esta configuración para evitar accesos no autorizados a la información de gestiòn. Basicamente la configuración del archivo snmpd.conf se divide en: Configuración de directivas para el establecimiento de valores de la MIB.
•
Configuración de directivas para el control de acceso a los objetos.
•
Configuración para envio de notifica notificaciones ciones
•
Configuración de directivas para establecimiento de valores de las MIB En el archivo de configuración se pueden especificar directivas que modifiquen y establezcan los valores de ciertos objetos MIB. Por ejemplo Sylocation Syscontact Estos identificadores identificadores de Obje Objetos tos pese a ser de lectura/escritura , el el momento en que son especificados en el el archivo snmpd.conf se convieretn en solo valo valores res de solo lectura y ya no pueden ser modifcados mediante la directiva snmpset. En este archivo tambien se puede especificar el puerto por el cual el agente SNMP escucha y responde peticiones del gestor para ello se puede usar la directiva. Agentaddress velocidad> 2. Ignoredisk es otra directiva muy utilizada para aquellos casos en los que una determinada partición del disco no funciona adecuadamente. Con esta directiva se obliga al agente que ignore la monitorizacion de esta partición, evitando asi los timeouts repetitivos. Ignoredisk
View more...
Comments
