Leonardo Uzcátegui uzcategui@gmail - eslared.org.ve · CPU, disponibilidad de Memoria y Discos...

Leonardo Uzcátegui

[email protected]

09/10/2012 1 WALC 2012 – Ciudad de Panamá

Problemática Monitoreo, definición Clases de Monitoreo

◦ Monitoreo de Desempeño Indicadores de Desempeño

Orientados al Servicio Orientados a la Eficiencia

Medida y Análisis del Desempeño Caracterización de Tráfico

Tipo de Tráfico Características del Tráfico Convergencia del Tráfico

◦ Monitoreo de Seguridad Correlación Sincronización Medida y Análisis

Conclusiones

2 WALC 2012 – Ciudad de Panama 09/10/2012

• Conocimiento tardío del fallo de un nodo o un servicio en producción.

• Tiempos de respuesta elevados en atención de contingencias.

• Falta de información del estado y uso de la red.

• Poca atención en el rendimiento de los equipos.

• Falta de procedimientos para la aplicación de cambios.

• Poca atención en el monitoreo.


“EL monitoreo de red consiste en tres áreas principalmente: ◦ Acceso a la información de monitoreo

◦ Diseño de mecanismos de monitoreo

◦ Aplicación de la información de monitoreo”

(Network monitoring explained : design and application. Chiu & Sudama -1992)


Monitoreo de Desempeño

Monitoreo de Seguridad


Indicadores de Desempeño ◦ Son un prerrequisito absoluto para la gestión de

una red de comunicaciones

◦ Un problema normal que se presenta es no saber que indicadores de gestión emplear.

Existen muchos

No se entiende claramente su alcance

Algunos indicadores son soportados parcialmente por las aplicaciones


Orientados al Servicio ◦ Disponibilidad

◦ Tiempo de Respuesta

◦ Precisión

Orientados a la Eficiencia ◦ Throughput

◦ Utilización


Disponibilidad ◦ Se soporta en la confiabilidad de los componentes

◦ Mayor disponibilidad implica mayores costos

◦ Redundancia

MTBF

◦ Disponibilidad = -------------------

MTBF + MTTR

MTBF= Mean time between failures (Tiempo medio entre fallos)

MTTR= Mean time to repair (Tiempo medio para reparación)


Tiempo de Respuesta ◦ Casi invariablemente un mejor tiempo de respuesta

significa un aumento de los costos

Capacidad de procesamiento de los host

Competencia entre procesos ejecutados

◦ Al analizar las transacciones se encuentran dos elementos

Tiempo de respuesta del usuario

Tiempo de respuesta del sistema


Precisión ◦ Debido a su naturaleza, la precisión o integridad de

la información normalmente es trabajada por los protocolos, sin embargo, el tener estadísticas de ocurrencias de fallas, conlleva a un análisis proactivo


Throughput ◦ La tasa efectiva de transferencia de información en

una red

◦ Número de transacciones de un determinado tipo en un periodo de tiempo determinado

◦ Número de sesiones de usuario para una determinada aplicación


Utilización ◦ Lo más importante es detectar cuellos de botella

potenciales y áreas de congestión

◦ En sentido técnico entre más se haga uso de un recurso, el tiempo de respuesta baja


Existen herramientas de software (libre y privativo) que poseen los indicadores de desempeño mas relevantes

Utilizan combinaciones de protocolos de red para monitorear los indicadores. ◦ ICMP

◦ SNMP

◦ entre otros.


Uno de los protocolo más utilizado para realizar labores de monitoreo de red y que es capaz de entregar información requerida por los indicadores de desempeño es el SNMP (RFC 1157 - Simple Network Management Protocol )


Algunas herramientas Software Libre de Análisis de Desempeño ◦ Disponibilidad, Tiempos de Respuesta, Carga de

CPU, disponibilidad de Memoria y Discos Duros, etc.

ZENOSS

NAGIOS

OpenNMS

JFFNMS


Tipo de Tráfico de Red

Características del Tráfico de Red

Convergencia del Tráfico de Red


Datos de Transacción

Datos en lote

Administración de Red

Videoconferencia

Transferencia de Archivos

Mensajería

Datos de Cliente / Servidor

Voz / Fax


Volumen pico y promedio

Conectividad y flujos de volumen

Orientación de las conexiones

Tolerancia ◦ A la latencia, incluyendo la longitud y la variabilidad

◦ A la disponibilidad de red

◦ Al porcentaje de errores

Prioridad

Tipo de protocolo

Longitud promedio de los paquetes


Convergencia a nivel de transmisión

Convergencia a nivel de red

Convergencia a nivel de aplicación


09/10/2012 WALC 2012 – Ciudad de Panama 21

• Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización


Recolección de Indicadores y Alertas

Análisis y correlación de eventos

Alarmas al equipo de toma de decisiones

Los indicadores y alertas provienen de las herramientas e incluyen: ◦ Datos de sesión

◦ Datos estadísticos

◦ Datos de contenido completo

◦ Datos de alertas


Es la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información.

Permitien aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red.


Es indispensable un mecanismo de sincronización de relojes. ◦ Utilización del protocolo NTP (Network time

protocol).

Utilizado por todas las herramientas de monitoreo y servidores.


Diferentes tipos de herramientas ◦ Análisis de vulnerabilidades

◦ Detección de intrusiones

◦ Integración

◦ logs

◦ Honeypots


Análisis de Vulnerabilidades ◦ Permiten conocer las vulnerabilidades de la red

◦ Generan reportes de vulnerabilidades

◦ Ej. OpenVAS (Nessus)


Sistema de Detección de Intrusos ◦ Genera alarmas en base a patrones de tráfico y a

anomalías de protocolos

◦ Requiere tiempo para entonar dependiendo de donde se coloque

Perímetro

DMZ

Red Interna

◦ Necesidad de Replicas de Tráfico

◦ Ej. SNORT


Replicas de Tráfico ◦ Hubs

◦ SPAN Ports (Mirror Ports)

◦ Dispositivos Inline


Información de seguridad y administración de eventos (SIEM) ◦ Reúne los datos de los eventos, de las amenazas y

de los riesgos para proporcionar la mayor información de seguridad, lograr respuestas rápidas a los incidentes, gestionar los registros de forma sencilla y generar informes de cumplimiento ampliables.

09/10/2012 WALC 2012 – Ciudad de Panama 30

Herramientas de Integración ◦ Ofrecen un ambiente único para centralizar y

organizar las capacidades de detección y de eventos de seguridad.

◦ Ej. OSSIM


Los sistemas de Monitoreo de Red son necesarios en toda organización.

Poseer un equipo de respuesta inmediata para atacar los problemas y fallas que se detectan con el sistema de monitoreo

Conocer la infraestructura de la red a monitorear

Caracterizar el tráfico continuamente

Conocer los umbrales de utilización de: ancho de banda, servicios, etc.


PREGUNTAS


Leonardo Uzcátegui uzcategui@gmail - eslared.org.ve · CPU, disponibilidad de Memoria y Discos...

Documents

Transcript of Leonardo Uzcátegui uzcategui@gmail - eslared.org.ve · CPU, disponibilidad de Memoria y Discos...