UNIVERSIDAD

POLITECNICA SALESIANA
ADMINISTRACION Y GESTION DE REDES
Rommel Paredes
Luis Ramn
Max Ulloa

COLECTORES Y
PRUEBAS

Los colectores y las sondas (pruebas) son sistemas auxiliares de almacenamiento de informacin,
es decir recopilan y almacenan todo tipo de datos de la red, los datos receptados se ponen a
disposicin de otras aplicaciones.

Los colectores se utilizan para recolectar y almacenar diferentes tipos de datos. Un ejemplo son
los colectores NetFlow que recogen datos que atraviesa un nodo.

Las sondas son similares a los colectores, pero son activas, en el sentido de que desencadenan
ciertas actividades en la red y recogen respuestas, por ejemplo llevando a cabo pruebas
peridicas.

NetFlow es un protocolo desarrollado por Cisco para recolectar informacin sobre trfico IP.

SONDAS

Network Probe

Fprobe

Softflowd probe

FlowMon probe

Network probe

Network Probe es un monitor de red y analizador de protocolos para controlar el

trfico de red en tiempo real.

Muestra qu protocolos se estn utilizando en la red, que hosts estn enviando y

recibiendo datos.

Permite configurar para que notifique si ocurre algo fuera de lo normal y as mismo
intenta solucionar el problema antes de que se convierta en un problema serio.

Busca rpidamente cualquier host, protocolo o una conversacin. Simplemente

comienza a escribir en el campo de bsqueda y Network Probe sugiere entradas
encontradas en la red.

Permite controlar una propia seleccin de protocolos, host y conversaciones

previamente configuradas, para mantener vigilada cierta actividad importante en la
red.

Permite obtener al instante una visin general del rendimiento de la red que se est
supervisando y el nmero de hosts, conversaciones y protocolos vistos en la red.

Fprobe

Fprobe es una sonda NetFlow que escucha en una interfaz de red. El flujo se identifica mediante
el protocolo IP, IP de origen, puerto de origen, IP de destino, puerto de destino.

Fprobe captura el trfico y lo reenvia al servidor NetFlow, o colector NetFlow.

Por ejemplo:

./fprobe -i eth2 -t 127.0.0.1:8182, donde eth2 es la interfaz que escucha y la ip y el puerto

corresponden al colector NetFlow.

Softflowd

Softflowd es una sonda que lee el trfico de red y recopila informacin sobre los flujos de
trfico activo. Un Flujo de trfico es la comunicacin entre 2 direcciones IP o
direccin/puerto.

Transcurrido el flujo sus estadsticas se acumulan, y son enviadas a un host colector.

Las estadsticas son resmenes del mnimo, mximo, y promedio del total de los bytes
trasmitidos por la red.

Trabaja con NetFlow versin 1, 5 o 9, es compatible con IPV6.

FlowMon Probe

La sonda FlowMon entrega el monitoreo basado en el flujo de todas las redes de hasta 100 Gbps.
La sonda proporciona estadsticas detalladas de NetFlow v5 / v9 sobre quin se comunica con
quin, cundo, por cunto tiempo, con qu frecuencia, con qu protocolos se transfiri o la
cantidad de datos. Estas estadsticas son necesarias para el monitoreo de red, seguridad y
solucin de problemas.

FlowMon Probe recolecta los datos para enviarlos a un colector, para que el usuario pueda
visualizar y analizar las estadsticas de la red.

Colectores

Cisco NetFlow Collector

Scrutinizer

NetFlow Analyzer

Cflowd

Cisco NetFlow Collector

Es el colector ms usado por los operadores de red. Permite la recoleccin y la agregacin de

datos, adems de hacer un anlisis centralizado de ellos y genera informes.

Cisco NFC implementa una arquitectura escalable de mltiples niveles para la recoleccin, la
normalizacin, la correlacin y la agregacin de datos de los dispositivos habilitados para
NetFlow dispersos a travs de redes distribuidas geogrficamente. La arquitectura consta de dos
capas: Cisco NFC como el primer nivel y Multi-NFC (MNFC) como el nivel dos. Cisco MNFC aade
correlacin a nivel de red y resumen basado en el tiempo, proporcionando una vista central para
todas las implementaciones de Cisco NFC distribuidos en la red. Tpicamente, Cisco MNFC se
despliega en el punto de control administrativo de la red.

Cisco NFC es compatible con todos los formatos de NetFlow, soporta una gran seleccin de
esquemas de agregacin predefinidas, soporta interfaces estndar y abiertos y se integra
fcilmente con otras aplicaciones de anlisis.

Caractersticas

Agregacin flexible al esquema del constructor: Permite a los usuarios elegir la agregacin que mejor
resuelva el problema mediante la seleccin de claves y valores ms relevantes.

Formato V1-V9 NetFlow: Soporta todas las versiones de NetFlow.

Ajuste de umbral: Permite la creacin de parmetros de umbral para el anlisis de correlacin.

Captura SNMP: Soporta el uso de trampas SNMP para la integracin con aplicaciones de usuario final.

Supervisor de estado: Monitorea y proporciona visibilidad del estado de Cisco NFC mediante la
observacin de la utilizacin de recursos en el servidor y la aplicacin.

Mejora del rendimiento: Cisco NFC proporciona un aumento significativo en el rendimiento.

Trfico de la red

Scrutinizer

Hace de colector y adems procesa los datos mostrando grficas, reportando alarmas e incluso
realiza algn pequeo diagnstico. Su uso no est tan extendido como el colector de CISCO.

Es una solucin para la deteccin de amenazas e informes histricos sobre el rendimiento de la

red.

Scrutinizer proporciona informes de utilizacin de la red, informacin sobre los usuarios,

aplicaciones y dispositivos de red. Permite a los administradores de la red ver en donde se
origin una amenaza.

Beneficios:

Mayor informacin sobre el volumen y el tipo de aplicaciones que se ejecutan en la red.

Mayor detalle en el trfico que atraviesa sus infraestructuras virtuales.

Dispositivos escalables capaces de recoger de flujo a travs de grandes centros de datos.

Una resolucin ms rpida de los problemas que afectan a las operaciones empresariales.

NetFlow Analyzer

NetFlow Analyzer, es una completa herramienta de anlisis de trfico,

aprovecha las tecnologas de flujo para proporcionar una visibilidad en tiempo
real del rendimiento de ancho de banda de la red. NetFlow Analyzer, tambin
es una herramienta que ayuda al monitoreo de ancho de banda, es una
solucin unificada que recoge, analiza e informa sobre el ancho de banda de
la red que se est utilizando y por quin.

NetFlow Analyzer recoge la informacin de las sondas, la correlaciona, y

genera grficos e informes que ayudan a la comprensin y resolucin de
problemas de trfico de red.

Monitoreo del ancho de banda en tiempo real

Cflowd

Cflowd es una herramienta de anlisis de flujo que se utiliza para el anlisis

de conmutacin habilitado por NetFlow de Cisco.Incluye las colecciones,
almacenamiento y mdulos de anlisis bsicos para Cflowd.Este paquete de
anlisis permite la recoleccin y anlisis de los datos por los ISP y los
ingenieros de la red, para el apoyo a la planificacin de la capacidad, anlisis
de tendencias, y la caracterizacin de las cargas de trabajo en un ambiente
de proveedor de servicios de red.Otras reas donde Cflowd puede resultar
tiles incluyen el seguimiento del uso de Web hosting, planificacin y anlisis
de la red, monitoreo de red, los perfiles de usuario en desarrollo,
almacenamiento y minera de datos, as como las investigaciones relacionadas
con la seguridad.

Instalacin y manuales

Cisco NetFlow Collector

Instalacin y configuracin:

http://www.cisco.com/c/en/us/td/docs/net_mgmt/netflow_collection_engine/60/tier_one/installation/guide/install_1/preface.html

Scrutinizer

Descarga:

https://www.plixer.com/Products/download-options.html

Manual: https://www.plixer.com/manual/!
SSL!/WebHelp/index.html#welcome.html

NetFlow Analyzer

Descarga:

Manual:

https://www.manageengine.com/products/netflow/download.html?utm_expid=163547761.fKcDPL6qSz6gCM9108tqzQ.0&utm_referrer=https%3A%2F%2Fwww.google.com.ec%2F

https://www.manageengine.com/products/netflow/help/

Cflowd

Descarga:

http://www.caida.org/tools/measurement/cflowd/download/

Manual:

https://infoproducts.alcatel-lucent.com/html/0_add-h-f/93-0073HTML/7750_SROS_Router_Configuration_Guide/Cflowd-CLI.pdf

NetWork Probe

Pgina de descarga:

Manuales de instalacin y funcionamiento:

http://www.objectplanet.com/probe/doc/

Fprobe

Instalacin:

http://www.3open.org/d/tips/install_fprobe_on_centos_5

Manual:

http://www.objectplanet.com/probe/summary.html

http://manpages.ubuntu.com/manpages/raring/man8/fprobe.8.html

Softflow

Instalacin:

http://www.telecom.otago.ac.nz/tele301/student_html/netflow-probe.html

Manual:

http://manpages.ubuntu.com/manpages/natty/man8/softflowd.8.html

Referencias

http://www.cisco.com/c/en/us/products/collateral/cloud-systemsmanagement/netflow-collection-engine/prod_bulletin0900aecd806226d3.html

https://www.plixer.com/Scrutinizer-Netflow-Sflow/scrutinizer-flow-analyzer.html

https://www.manageengine.com/products/netflow/netflow-traffic-analysis.html

http://www.caida.org/tools/measurement/cflowd/

http://www.objectplanet.com/probe/

http://linux.softpedia.com/get/System/Networking/fprobe-14355.shtml

http://www.mindrot.org/projects/softflowd/

https://www.invea.com/en/products-and-services/flowmon/flowmon-probes

SISTEMAS DE DETECCION
DE INTRUSOS
IDS

Estos sistemas ayudan a detectar patrones sospechosos de comunicacin en la red que

podran indicar un ataque en curso.
Los ataques incluyen manipulacin de trfico en routers, servidores e intentos de
negacin de servicio (DoS) que no solo podra afectar un servicio sino provocar el
colapso completo del mismo.
Con estas herramientas se puede observar el modo en el que este se est realizando el
ataque y en algunos casos quin lo realiza.
Se puede considerar un sistema de deteccin de intrusos como un control de auditora
que nos permitir tomar decisiones a la hora de realizar una auditora de seguridad de
nuestro sistema.

HERRAMIENTAS DE DETECCION DE INTRUSOS

Herramientas de cdigo abierto

SNORT

Es de cdigo libre y el ms usados. Detecta intrusos en tiempo real y registro de paquetes

de protocolo de Internet IP. Es muy potente.
Se configura de tres maneras:
Sniffer: el programa leer los paquetes y los mostrara en consola
Packet logger: el programa registrara los paquetes en disco
Deteccin de intrusos en la red: el programa va a controlar el trafico de red y analizarla
contra un conjunto de reglas definidas por el usuario.

Una ventaja de SNORT es que incorpora un sistema bastante sencillo para escribir nuestras reglas, y de este
modo se puede adaptarlo a nuestros requerimientos reescribiendo las reglas para los incidentes que deseamos
monitorizar.
Tiene una fcil configuracin y para instalarlo se debe descargar el programa de su pagina web. Tambin es
importante disponer de las libreras libcap, una interfaz para el tratamiento de paquetes de red desde el usuario
y tambin libnet, librera para la construccin y manejo de paquetes de red.
Link de descarga: https://www.snort.org/downloads
Video de instalacin: https://www.youtube.com/watch?v=1-tTNcMLznI

Tripwire
Es un programa para asegurar la integracin de los archivos y directorios de los sistemas crticos de un ordenador.
Tripwire detecta cambios realizados, mediante un proceso automtico que se ejecuta en intervalos regulares e informa
cambios al administrador mediante un correo electrnico.
No solo detecta la integridad de archivos sino minimiza el impacto de una intrusin en el sistema, ya que al informar los
archivos alterados, permite conocer que archivos deben ser restaurados.
Funciona generando una base de datos inicial al momento de ser instalado, que contiene informacin sobre los archivos
y directorios. Y genera peridicamente una nueva base de datos con el estado actual y de esta forma se comparan para
informar cualquier modificacin, adicin o eliminacin.
Link de descargar: http://sourceforge.net/projects/tripwire/
Manual de instalacin: http://www.angelcarrasco.com/tag/tripwire/

Network Flight Recorder

El NFR Intrusion Detection Appliance (IDA), es una herramienta flexible y de uso general que se encarga de la gestin y
seguridad de la red.
NFR utiliza N-Code para permitir a los usuarios la flexibilidad para configurar el IDA.
NFR tiene un motor de deteccin de intrusos y es actualizado cuando un nuevo ataque ocurri. Controla tambin el trafico
La arquitectura de NFR fue diseado como un conjunto de componentes, cada uno adaptado a una actividad especfica.
Los datos se recopilan por uno o ms paquetes, se envan al motor de decisin para el filtrado y el reensamblaje, y
posiblemente registro a un backend para procesamiento estadstico.
La interfaz de consulta se mantiene completamente separado del flujo de datos de entrada para minimizar el impacto en el
rendimiento usuarios que consultan el sistema mientras ste est recogiendo datos.
Link de informacin: http://www.checkpoint.com/corporate/nfr/index.html
http://www.giac.org/paper/gsec/292/network-flight-recorder-tool-war/100876

Herramientas Comerciales
ISS Real Secure Site Protector

Es un sistema de proteccin global a las empresas y proporciona mxima seguridad en redes grandes.
El objetivo de ISS es conseguir el mximo nivel de proteccin de los activos digitales de cualquier
organizacin. Para ello ha desarrollado esta herramienta, una consola que permite gestionar desde un solo punto
el nivel de proteccin de una empresa.
Incluye la tecnologa Fusion, que permite relacionar en tiempo real entre Real Secure, Internet Scanner, y
Database Scanner, para distinguir entre los ataques realmente peligrosos y los que no lo son.
Link de informacin:
http://www-03.ibm.com/security/xforce/resources.html#all

Sourcefire Network Sensor

Con la implantacin de un mtodo de deteccin basado en reglas, el sensor detecta
tanto ataques conocidos como comportamientos anmalos.
Estas reglas se utilizan para examinar los campos de protocolo y se pueden configurar
para casos especficos de ataques contra un protocolo o para estudiar las condiciones
de un ataque.
Caractersticas:

Instalacin rpida

Interfaz fcil de usar:

Configuracin de redes y alertas
Creacin de reglas y gestin
Redaccin detallada de consultas

Link de informacin: http://www.sourcefire.com/

Cisco NetRanger
NetRanger es un sistema de deteccin de intrusin que puede ser
conectado a redes TCP / IP de muchas maneras. Detecta y responde a la
actividad no autorizada en tiempo real.
La actividad no autorizada incluye intentos de eludir un firewall,
enrutador, y las polticas de seguridad de red existentes, as como el uso
indebido de los servicios autorizados.
NetRanger es una solucin para toda la empresa que puede controlar un
gran nmero de redes a travs de una gestin centralizada.

NetRanger consta de tres componentes bsicos: un sensor, un sistema de comunicacin, y un director.

El sensor se encarga de la deteccin de intrusiones en tiempo real y de

gestin de dispositivos.
El subsistema de la oficina de correos proporciona la columna vertebral de
comunicacin para el control remoto y la gestin del sensor del dispositivo
de red.
El director muestra los eventos, monitorea sensores, y analiza los datos. Se
comunica con uno o ms sistemas de sensor a travs del sistema de
comunicacin.

Caracteristicas:

monitorea trfico de red en tiempo real

responde a la actividad no autorizada en tiempo real

supervisa el trfico de red desde 56 Kbps hasta 100 Mbps

es transparente para los usuarios finales

proporciona una gestin centralizada de sensores remotos

se integra con una variedad de

Routers y firewalls
Sistemas de gestin de redes
Bases de datos relacionales y sistemas de billetes de problemas
Correo electrnico y buscapersonas aplicaciones
es un sistema de comunicacin tolerante a fallos segura

Link de Informacin:
http://
www.cisco.com/application/pdf/en/us/guest/products/ps2113/c1626/ccmigration_09186a008
00ee98e.pdf

Sistemas de Anlisis de
Rendimiento

Planificacin de la gestin de rendimiento.

Propsito

Establecer estado estable (lnea base)

Diagnstico de fallas,

Anticipar crecimiento de demanda

A quin va dirigida la informacin?

Gerencia,

NOC y personal tcnico,

Clientes

Alcance

Impacto en los dispositivos (medidos y de medicin)

Balance entre cantidad de informacin y tiempo de recoleccin

Mtricas
Rendimiento de red
a.

Capacidad del canal:

1.

nominal y efectiva

b.

Utilizacin del canal

c.

Retardo y parpadeo (jitter)

d.

Prdida de paquetes y errores

Rendimiento de sistemas
e.

Disponibilidad

f.

Memoria, utilizacin y carga de CPU

g.

Utilizacin de dispositivos de entrada/salida

Rendimiento de servicios
a.

Disponibilidad

b.

Tiempo de acceso y carga

Relativas al trfico:

Bits por segundo

Paquetes por segundo

Paquetes unicast vs. paquetes no-unicast

Errores

Paquetes descartados

Flujos por segundo

Tiempo de ida y vuelta (RTT)

Dispersin del retardo (parpadeo o Jitter)

Capacidad Nominal del Canal

La mxima cantidad de bits que se pueden transmitir por
unidad de tiempo (ej. bits por segundo)
Depende de:

Ancho de banda del medio fsico

Cable
Ondas
Fibra

electromagnticas

optica

Lineas

de cobre

Capacidad de procesamiento de los elementos

transmisores.

Eficiencia de los algoritmos de acceso al medio

Mecanismos de Codificacin de canal y compresin

Capacidad efectiva del canal

Afectado por muchos factores

La carga adicional de procesamiento en las varias capas OSI

Limitaciones en los dispositivos extremos

Memoria, CPU,otros

Eficiencia de los algoritmos de

Control de flujo

Enrutamiento

Utilizacin del canal

Planificacin futura:
a.

Qu tasa de crecimiento tiene mi utilizacin?

b.

Para cundo debo planear comprar ms capacidad?

c.

Dnde debo invertir en actualizaciones?

Resolucin de problemas:
a.

Dnde estn mis cuellos de botella, etc.

CACTI

Cacties una completa solucin para la generacin degrficos en red, diseada

para aprovechar el poder de almacenamiento y la funcionalidad para grficas
que poseen las aplicacionesRRDtool.

Desarrollada enPHP, (dns, dhcp, web, proxy, ftp)

Plantillasde grficos avanzadas

Mltiples mtodos para la recopilacin de datos manejo de usuarios.

Tiene unainterfaz de usuario fcil de usar, que resulta conveniente para

instalaciones del tamao de unaLAN, as como tambin pararedes complejas
con cientos de dispositivos.

Representa grficamente los datos almacenados en la RRD: uso de conexin a

internet, datos como temperatura, velocidad, voltaje, nmero de impresiones,
etc.

Netflow analyzer

NetFlowes unprotocolo de reddesarrollado porCisco Systemspara

recolectar informacin sobre trficoIP.

Netflow se ha convertido en un estndar de la industria para monitorizacin

de trfico de red, y actualmente est soportado para varias plataformas
adems de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes
comoJuniper,Enterasys Switches, y en sistemas operativos
comoLinux,FreeBSD,NetBSDyOpenBSD.

Paquetes que comparten los siguientes 7 valores:

Direccin IPde origen.

Direccin IP de destino.

Puerto UDPoTCPde origen.

Puerto UDP o TCP de destino.

Protocolo IP.

Interfaz (SNMP ifIndex)

Tipo de servicio IP

Clearsight analyzer

Aplicacin de monitorizacin de rendimiento en tiempo real con

alarmas para la identificacin del problema

Estadsticas en tiempo real, grficos e informes de los flujos en los

segmentos nicos o mltiples - para ver los problemas con rapidez

Estado de distintos tipos de trfico y anlisis de calidades de servicio.

Informe personalizable.

Compatible con Wireshark. Es una aplicacin de anlisis que da

respuestas rpidas a los problemas de rendimiento de redes.

PRTG Paessler Router Traffic Grapher

Es un servidor de tiempo de actividad y utilizacin,monitoreo de redyancho de

bandade software para la infraestructura del servidor en losPaessler AG.Se puede
controlar y clasificar el uso de ancho de banda en una red medianteSNMP,paquetes
oleryNetflow.Presta servicios de Microsoft Windows, as como Linux.

PRTG Network Monitor mide el trfico de red y proporciona resultados detallados en

tablas y grficos.

As podemos verificar el ancho de banda y analizar su uso basado en varios

parmetros, como, por ejemplo, direcciones IP, nmero de puerto, protocolos, etc.
Para ello, PRTG usa las siguientes tecnologas:

SNMP

Anlisis de paquetes

Monitorizacin NetFlow / sFlow / jFlow.

Zyrion Traverse

Es un software que aprovecha el concepto de Business Service Mnagement

(BSM) para los problemas de red y de los servicios.

Diagnostica los sucesos que ocurren en los distintos servicios de la red

siguiendo el enfoque mas actual en el que los servicios son tan importantes

Referencias
Cacti

http://es.wikipedia.org/wiki/Cacti

Manual de Cacti

https://www.youtube.com/watch?v=zQmE4IwNVvo

download cacti

http://www.cacti.net/download_cacti.php

http://www.cacti.net/download_cacti.php

Manual Netflow Analyzer

https://www.youtube.com/watch?v=e54p8NqvZUQ

netflow analyzer

http://es.wikipedia.org/wiki/Netflow

download netflow analyzer

http://www.networkmanagementsoftware.com/

clearsight analyzer

http://es.flukenetworks.com/enterprise-network/network-monitoring/ClearSight-Analyzer

Manual clearsight analyzer

https://www.youtube.com/watch?v=CRVu9NZT2Ek

https://www.youtube.com/watch?v=CRVu9NZT2Ek

download clearsight analyzer

http://es.flukenetworks.com/enterprise-network/network-monitoring/ClearSight-Analyzer

PRTG Paessler Router Traffic Grapher

http://en.wikipedia.org/wiki/Paessler_Router_Traffic_Grapher

manual de Paessler Router Traffic Grapher

https://www.youtube.com/watch?v=jedNQCtma2Y&list=PLVRajpWUvpnP8wEMSb2I1m9jPSMBZsSBh

download Paessler Router Traffic Grapher

http://www.paessler.com/prtg

Zyrion Traverse

http://en.wikipedia.org/wiki/Zyrion_Traverse

manual Zyrion Traverse

https://www.youtube.com/watch?v=ktKU3gThU8c

download Zyrion Traverse

http://www.kaseya.com/solutions/traverse

GRACIAS