Gestin y Administracin de Redes

Escuela Ingeniera de Electrnica en telecomunicacion es y redes

Ing. MSc. Vinicio Ramos V. vi_ramos@espoch.edu.ec 0984421066

CAPITULO II

Gestin del Hardware

La gestin del hardware es una actividad esencial para el control del equipamiento y sus costos asociados as como para asegurar que los usuarios disponen del equipamiento suficiente para realizar sus actividades diarias.
Es necesario mantener actualizado un registro del hardware de cada equipo, con la finalidad de llevar un control de los requerimientos del software utilizado: sistema operativo, actualizaciones, aplicaciones varias. Para evitar que se deba realizar una inspeccin fsica al sitio donde estn instalados los equipos, se suelen emplear agentes que se ejecutan en los equipos y que realizan el inventario del hardware de forma autnoma y remota.

HERRAMIENTAS
Driver

Genius Everest TNM

Gestin de Software

Permite determinar si las aplicaciones requeridas por los usuarios se encuentran instaladas y donde estn localizadas en la red
Adems permite el seguimiento de nmero de licencias existentes y el cumplimiento de su uso en la red. Se recomienda realizar un proceso de levantamiento de informacin con los usuarios para determinar si disponen del software necesario.

Es necesario establecer una secuencia de pasos a realizar dentro del proceso de administracin del software disponible en una empresa.
Software legal Software ilegal (pirata) Software libre (open source)

Microsoft Software Inventory Analyzer se encuentra en:

www.microsoft.com/resources/sam/msia.mspx

Herramientas

Para la Gestin de software se pueden utilizar programas como:

OCS Inventory NG, Open Computer and Software Inventory Next Generation es una aplicacin diseada para ayudar al Administrador de Redes o Sistemas a mantener actualizadas las configuraciones de los ordenadores y del software instalado de la red.

Se puede descargar de la direccin: http://www.ocsinventory-ng.org

Gestin del usuario

La gestin de usuarios incluye los aspectos propios de un sistema informtico en red:

Altas y bajas de usuarios Mantenimiento de usuario Privilegios de los usuarios

La gestin del usuario depender del S.O. que utilicemos

El sistema mantiene una cierta cantidad de informacin acerca de cada usuario.

Nombre de Usuario: es el identificador nico dado a cada usuario del sistema. Clave encriptada del usuario User IDE es un nmero nico dado a cada usuario del sistema. ID del grupo es la identificacin del grupo del usuario por defecto.

USUARIOS
Qu

compone una cuenta de usuario?

Nombre de usuario (NICO) Grupo de trabajo Contrasea

USUARIOS

La cuenta de usuario define las tareas que se pueden realizar en un equipo informtico en funcin de los privilegios que posee el mismo.
Tipos de cuentas:

ADMINISTRADOR control total

INVITADO - LIMITADA

USUARIOS

Adems de las cuentas de administrador, existe un usuario llamado ADMINISTRADOR que es el superusuario y tiene control absoluto sobre el equipo.

Gestor vistabella vs. Modulo CFGM

En linux se llama ROOT Tambin existe otro tipo de usuario denominado INVITADO que aparece por defecto desactivada. Es una cuenta limitada y no protegida por contrasea

USUARIOS - LINUX

En el caso de que muchas personas tengan acceso al sistema, es necesario que el administrador administre a los usuarios.
Para esto, se deben conocer los comandos usuales y los archivos que se configurarn. Debe conocer los siguientes archivos importantes:

Archivo /etc/passwd Archivo /etc/group

El archivo /etc/passwd

Contiene toda la informacin relacionada con el usuario (registro, contrasea, etc.).

Slo el superusuario (raz) puede cambiarla. Por lo tanto, es necesario cambiar los derechos de este archivo para que slo puedan leerlo los dems usuarios. Este archivo posee un formato especial que permite marcar a cada usuario y cada una de sus lneas tiene el siguiente formato: nombre_de_cuenta:contrasea :numero_de_usuario : numero_de_grupo : comentario:directorio:programa_de_inici o

El archivo /etc/group

Contiene una lista de los usuarios que pertenecen a los diferentes grupos. De hecho, cada vez que un gran nmero de usuarios puede tener acceso al sistema, frecuentemente se los ubica en grupos diferentes, cada uno de los cuales posee sus propios derechos de acceso a los archivos y directorios.

Tiene diferentes campos separados por ":

nombre_de_grupo : campo_especial : numero_de_grupo:miembro1, miembro2

Qu es un NOC?
Network Operations Center (Centro de Operaciones de Red)
Centro

red

desde donde se monitorea y administra la

Informacin sobre la disponibilidad actual, histrica y planeada de los sistemas. Estado de la red y estadsticas de operacin Monitoreo y gestin de fallas

REAS FUNCIONALES DE LA GESTIN DE REDES

La Organizacin de estndares OSI define una divisin en reas funcionales para cubrir esas necesidades. Esta divisin ha sido aceptada como til para cualquier sistema de gestin (OSI o no), por lo tanto todas las tareas administrativas de redes debe enmarcase en las reas funcionales siguientes: F (Faul Management, Gestin de fallos) C (Configuration Managment, Gestin de Configuracin) A (Accounting Managment, Gestin de Costos) P (Performance Managment, Gestin de Rendimiento) S (Security Managment, Gestin de Seguridad) OSI tuvo el objetivo de integrar diferentes disciplinas, para tener una explotacin optima de las inversiones en infraestructuras y servicios de comunicaciones

Gestin de Configuraciones
Controlar el estado de las configuraciones lgicas y fsicas de dispositivos de la red, adems de detectar cambios
Como est conectado ese enrutador? No s.. Jos sabe, pero se fu de viaje a Bogot Haba un dibujo en el pizarrn

Gestin de Configuraciones

Estado actual de la red

Registro de la topologa

Esttico

Qu est instalado Dnde est instalado Cmo est conectado Quin es responsable por cada dispositivo Cmo contactar a los responsables Estado operacional de los elementos de la red

Dinmico

Gestin de configuraciones
Gestin

de inventario

Base de datos de elementos de la red Historia de cambios e incidentes (problemas)

Mantenimiento

de Directorios

Nodos y sus aplicaciones Base de datos de nombres de dominio

Coordinacin

del esquema de nombres para nodos y aplicaciones

La informacin no es informacin si no se puede
encontrar"

Gestin de configuraciones
Control operacional de la red

Iniciar/Detener componentes Alterar la configuracin de los dispositivos Cargar y configurar versiones de configuraciones Actualizaciones de Hardware/Software Mtodos de acceso:
SNMP Acceso

fuera de banda (OOB)

Gestin de Configuraciones
Visualizacin generada via SNMP

Gestin de Configuraciones

Herramientas para controlar y administrar configuraciones de equipos

CiscoWorks
Paquete

comercial costoso Solamente soporta equipamiento de marca Cisco

RANCID (http://www.shrubbery.net/rancid)
Utiliza

Subversion o CVS para mantener un repositorio con registros de cada cambio Funciona con las marcas de equipos ms conocidas Puede utilizarse con un front-end web

http://www.freebsd.org/projects/cvsweb.html

Gestin del Rendimiento

Objetivo: Garantizar un nivel de rendimiento consistente

Coleccin de datos

Estadsticas de interfaces Trfico Tasas de error Utilizacin del canal y/o dispositivo Disponibilidad

Anlisis de datos para mediciones y pronsticos Establecimiento de niveles lmite de rendimiento Planificacin de la capacidad e instalaciones

Importancia de las estadsticas de red

Para

qu colectar estadsticas?

Contabilidad Resolucin

de problemas Pronsticos a largo plazo, y planificacin de capacidad

Tipos

de mediciones:

Activas Pasivas

Las

herramientas de gestin suelen tener funciones de anlisis estadstico

MRTG
Herramienta de coleccin y visualizacin de trfico

Herramientas de gestin del rendimiento

Cricket (cricket.sourceforge.net) Cacti (www.cacti.net)

Netviewer (www.nero.net/projects/netviewer)

Herramientas de gestin del rendimiento

Netflow

(cflowd, Flow-Tools, Flowscan) Reunen y presentan informacin de flujos de trfico Informacin de AS a AS Informacin agrupada en direccin y puerto de origen y destino til para contabilidad y estadsticas
Cunto

de mi trfico es puerto 80? Cunto de mi trfico va a AS237?

Ejemplos de Netflow
Listas

tipo Top-Ten (o top-five)

##### Top 5 AS's based on number of bytes ####### srcAS dstAS pkts bytes 6461 237 4473872 3808572766 237 237 22977795 3180337999 3549 237 6457673 2816009078 2548 237 5215912 2457515319
##### Top 5 Nets based on number of bytes ###### Net Matrix ---------number of net entries: 931777 SRCNET/MASK DSTNET/MASK PKTS 165.123.0.0/16 35.8.0.0/13 745858 207.126.96.0/19 198.108.98.0/24 708205 206.183.224.0/19 198.108.16.0/22 740218 35.8.0.0/13 128.32.0.0/16 671980 ##### Top 10 Ports ####### input port packets bytes 119 10863322 2808194019 80 36073210 862839291 20 1079075 1100961902 7648 1146864 419882753 25 1532439 97294492

BYTES 1036296098 907577874 861538792 467274801

output packets bytes 5712783 427304556 17312202 1387817094 614910 62754268 1147081 414663212 2158042 722584770

Flowscan

Gestin de fallas

Identificacin

Sondeo regular de los elementos de la red

Aislamiento y Diagnostico

Establecer el dominio de fallo Diagnosis de los componentes de la red Documentacin es esencial

Reaccin

Asignacin de recursos para resolver fallas Determinacin de prioridades Proceso pre-establecido de escalada tcnica y de gestin

Resolucin

Resolver, o escalar Notificacin al cliente y dems partes interesadas

Requisitos para tener un buen sistema de gestin de fallas (lista de chequeo)

Establecer procedimientos de notificacin:

Enlace al NOC Notificacin al personal tcnico de guardia Notificacin a clientes , gerentes u otro personal de acuerdo a protocolo preestablecido Sistema Automtico (Nagios, Cacti, otros) Documentar procedimientos estndares (SOP) Entrenar al personal tcnico, Especialmente a personal recin contratado Mantener la documentacin actualizada

Tener un buen sistema de monitoreo y alarma

Establecer procedimientos de reparacin/recuperacin

Mantener un sistema de manejo de incidencias (ticketing system)

Para conocer cantidad, prioridad, y estado de resolucin de cada problema Excelente base de conocimiento, datos histricos Administrar carga de trabajo del NOC e ingenieros Ejemplo: RT (Request Tracker)

Deteccin y Gestin de Fallas

Quin detecta un problema en la red?

Idealmente, sistema de monitoreo Personal de guardia 24x7 (NOC) Otros operadores de la red Empleados no tcnicos Llamada de cliente (mejor que no! :)

Que pasos se deben tomar?

Crear un un caso en el sistema de gestin para dar seguimiento al problema Diagnosticar el problema (usualmente 80%) Establecer posibles soluciones (bsicas, preliminares) Punto de decisin:

Asignar un ingeniero al caso o escalar la incidencia Notificar a partes interesadas de acuerdo con el protocolo de notificacin

Deteccin y Gestin de Fallas

Cmo saber si hay un problema en la red?

Herramientas de monitoreo

Utilitarios (linea de comando o GUI)

ping traceroute Ethereal (wireshark) Net-SNMP Nagios Big Brother

Sistemas de Monitoreo

Reportes de estado

Mantener el sistema actualizado, separando:

Nodos no-operativos (down) Nodos no alcanzables (unreachable) Nodos fuera de servicio por causas administrativas

Gestin de Fallas: Sistema de Control de Incidencias

Muy Se

importante!

necesita un mecanismo para dar seguimiento a:

Estado actual de la falla Personal asignado Tiempo estimado de solucin Tiempo trabajado (si se va a cobrar) Historia de las acciones tomadas

Gestin de fallas: gua de accin

Crear un caso por cada notificacin Crear un caso por cada incidente Crear un caso por cada evento programado (mantenimiento) Enviar una copia del caso a quin reporta, y a una lista de distribucin A cada caso se asigna una identificacin nica. Todas las acciones en la vida de un caso estn interrelacionadas va el numero de caso. El caso transita a travs de una mquina de estado

ejemplo: abierto => asignado => en_progreso => resuelto (o escalado) => cerrado

Quin cre el caso determina cundo debe ser cerrada la incidencia

Gestin de contabilidad
Qu
La

se necesita contabilizar?

utilizacin de la red y los servicios que provee

Tipos

RADIUS/TACACS:

Datos de contabilidad de servidores de acceso Estadsticas de interfaces Estadsticas de protocolos

de datos de contabilidad

Los

datos de contabilidad afectan los modelos de negocio

Facturar

la utilizacin? Facturar tarifa plana?

Gestin de Seguridad
Controlar

acceso a los recursos de la red de acuerdo a regulaciones bien definidas

Medidas organizativas y tcnicas que combinadas garantizan disponibilidad, confidencialidad, e integridad de la red
Determinar quin autoriza acceso, y que proceso se sigue Establecer egulaciones respecto al tipo de control de acceso (palabras claves, generadores de claves aleatorias, certificados de SSL) Uso peridico de herramientas para analizar y controlar el uso legtimo de la red

Gestin de Seguridad

Gestin de Seguridad: Herramientas

Herramientas

Sondeo de vulnerabilidades

Nessus (www.nessus.org) swatch reportes via e-mail iptables, tcpwrappers, firewalls SSH cifrado de sesiones interactivas SSL Tripwire monitorea cambios en sistema de ficheros

Anlisis de bitcoras (logs)

Filtros de Servicios

Cifrado

Revisin de Integridad

Mantenerse actualizado es muy importante

Reportes de bugs

CERT BugTraq

Mantener software en versiones confiables y recientes

Gestin de Seguridad
Este es un caso tomado de la vida real. ..
tcp4 0 0 147.28.0.34.80 193.169.4.191.10558 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.154.10589 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.154.10589 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.164.11353 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.164.11353 SYN_RCVD tcp4 0 0 147.28.0.62.25 201.88.17.237.2104 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.224.5167 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.224.5167 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.178.5323 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.178.5323 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.207.7156 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.207.7156 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.203.6892 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.203.6892 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.213.7608 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.213.7608 SYN_RCVD tcp4 0 0 147.28.0.62.80 193.169.4.227.72 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.227.72 SYN_RCVD tcp4 0 0 147.28.0.34.80 193.169.4.131.760 SYN_RCVD $ netstat -na | grep SYN_RCVD | grep 193.169 | wc -l 248

Gestin de Seguridad: Prcticas recomendadas

Proveer puntos de fcil contacto

Direccin de abuso para quejas de clientes

(abuse@su-dominio.net)

Telfonos bien conocidos y accesibles

Asignar tiempos de guardia por turnos

Definir polticas de accin a priori

Gestin de logs

Un nodo centralizado para recibir logs Escribir herramientas simples para encontrar informacin rpidamente

Interfaces web Comandos para simplificar filtrado

Cmo gestionar la red?

Qu

herramientas usar?

Mientras ms simple de mantener, mejor No gastar demasiado tiempo desarrollando las herramientas Hacer uso de herramientas gratuitas
SourceForge.net

FreshMeat.net

Automatizar, automatizar, automatizar!

Herramientas Looking Glass

http://www.nanog.org/lookingglass.html
route-views.oregon-ix.net>show ip bgp 35.0.0.0 BGP routing table entry for 35.0.0.0/8, version 56135569 Paths: (17 available, best #12) 11537 237 198.32.8.252 from 198.32.8.252 Origin incomplete, localpref 100, valid, external Community: 11537:900 11537:950 2914 5696 237 129.250.0.3 (inaccessible) from 129.250.0.3 Origin IGP, metric 0, localpref 100, valid, external Community: 2914:420 2914 5696 237 129.250.0.1 (inaccessible) from 129.250.0.1 Origin IGP, metric 0, localpref 100, valid, external Community: 2914:420 3561 237 237 237 204.70.4.89 from 204.70.4.89 Origin IGP, localpref 100, valid, external 267 1225 237 204.42.253.253 from 204.42.253.253 Origin IGP, localpref 100, valid, external Community: 267:1225 1225:237