Monitorizacin de Redes - PowerPoint PPT Presentation

1 / 22
About This Presentation
Title:

Monitorizacin de Redes

Description:

Mensajes por correo electr nico: conteniendo el nivel de prioridad y el nombre e ... silenciosamente los paquetes en lugar de enviar un mensaje de rechazo, lo cual ... – PowerPoint PPT presentation

Number of Views:97
Avg rating:3.0/5.0
Slides: 23
Provided by: Karl73
Category:

less

Transcript and Presenter's Notes

Title: Monitorizacin de Redes


1
Monitorización de Redes
SEGURIDAD EN REDES TELEMÁTICAS Autor Carlos
López Pérez-Navarro Curso 2001/2002
2
Monitorización de Redes
  • Introducción.
  • Eventos típicos que son monitorizados.
  • Métodos de notificación al administrador.
  • Monitorización del tráfico de red.
  • Equipos para la monitorización de redes.
  • Servicios de red.
  • Herramientas de administración.
  • Conclusiones.

3
Monitorización de Redes
  • Introducción.
  • Que es lo que se esta haciendo, y quien lo esta
    haciendo, es la primera pregunta que debemos
    hacernos.
  • Que fallos se han producido en el sistema.
  • Existe gran número de herramientas en el mercado
    que nos facilitan la monitorizacion de nuestros
    sistemas, de las cuales veremos algunas de las
    más importantes y nos van ha ayudar a realizar
    dicha labor.

4
Monitorización de Redes
  • Eventos típicos que son monitorizados I.
  • Se puede monitorizar todo lo que pasa en el
    sistema, pero solo debemos monitorizar aquello
    que se vaya a analizar.
  • Ejecución de tareas como pueden ser realización
    de copias de seguridad o búsqueda de virus.
  • Registro del estado de finalización de los
    procesos que se ejecutan en la red.
  • Registro de los cambios que se producen en el
    inventario de hardware.
  • Registro de las entradas y salidas de los
    usuarios en la red, asi como el tráfico de datos.
  • Registro del arranque de determinadas
    aplicaciones.

5
Monitorización de Redes
  • Eventos típicos que son monitorizados II.
  • Número de usuarios en el sistema, porcentaje de
    usuarios no atendidos y tiempos de respuesta.
  • Cuellos de botella en el sistema.
  • Registro de servicios ofrecidos y a quien.
  • Fallos de sistema o de mala configuración.
  • Registro de los intentos fallidos de acceso al
    sistema y de apertura de puertos.
  • Así como casi cualquier otro parámetro que se nos
    pueda ocurrir.

6
Monitorización de Redes
  • Métodos de notificación al administrador.
  • Mensajes en la consola se suelen codificar con
    colores en función de su importancia.
  • Mensajes por correo electrónico conteniendo el
    nivel de prioridad y el nombre e información del
    evento.
  • Mensajes a móviles cuando el evento necesita
    intervención inmediata se suele comunicar a los
    técnicos de guardia a través de este método.

7
Monitorización de Redes
  • Monitorización del tráfico de red.
  • Se toman nuevas medidas sobre aspectos de los
    protocolos, colisiones, fallos, paquetes, etc.
  • Se almacenan en BBDD o ficheros log para su
    posterior filtrado y análisis.
  • Del análisis se obtienen conclusiones, bien para
    resolver problemas concretos o bien para
    optimizar la utilización de la red.

8
Monitorización de Redes
  • Equipos para la monitorización de red.
  • Existen en el mercado diferentes dispositivos
    para integrarlos en switchs y routers. Cuyo único
    objetivo es el análisis y monitorización de las
    redes.
  • Un ejemplo de estos equipos es el Cisco Catalyst
    6000, capaz de analizar datos tales como
  • Trafico de datos
  • Servicios ofrecidos
  • Tiempos de respuesta
  • Así como otros muchos parámetros

9
Monitorización de Redes
  • Servicios de red Qué se está ejecutando y con
    quién se está hablando?
  • PS Nos muestra el estado de procesos. Tiene gran
    variedad de opciones y esta disponiblie en todos
    los sistemas UNIX.
  • Netstat Informa acerca de gran cantidad de
    parametros de la red. Es especialmente buena para
    sacar listados de conexiones y sockets activos.
    Disponible en todos los sistemas UNIX.
  • Lsof Similar a ps pero muestra mucha
    informacion por lo que hay que usar grep para
    filtrar la información.
  • ftp//vic.cc.purdue.edu/pub/tools/unix/lsof/

10
Monitorización de Redes
  • Herramientas de administración I.
  • Acceso remoto I
  • Telnet Acceso remoto a un host. Muy poco seguro
    pero muy extendido, tanto en todo tipo de
    sistemas y entornos.
  • SSL Telnet Igual que el anterior pero con
    certificados X509 ftp//ftp.replay.com
  • SSH Soporta diferentes tipos de autentificación,
    permite redireccionar puertos, y se puede
    configurar fácilmente a qué usuarios se les
    permite usarlo. SSH.
  • ftp//ftp.replay.com
  • LSH Implementa SSH http//www.net.lut.ac.uk/pss
    t
  • Rexec Ejecutar comandos remotos. Sin seguridad.

11
Monitorización de Redes
  • Herramientas de administración II.
  • Acceso remoto II
  • Super Para dar a ciertos usuarios (y grupos)
    diferentes niveles de acceso a la administración
    del sistema. Además, se pueden especificar horas
    y permitir el acceso a scripts.
  • ftp//ftp.ucolick.org/pub/users/will
  • Slush Está basado en OpenSSL, y actualmente
    soporta certificados X.509. http//violet.ibs.com.
    au/slush
  • NSH Es un producto comercial que esta entre los
    más completos del mercado. http//www.networkshell
    .com
  • Sudo Restringe desde que host se puede hacer un
    login.
  • http//www.courtesan.com/sudo

12
Monitorización de Redes
  • Herramientas de administración III.
  • Acceso remoto III
  • Runas Muy parecido a Super y Sudo.
  • www.mindspring.com/carpinello/runas/index.html
  • Secsh(Shell Seguro) aporta otra capa más de
    seguridad de login, una vez que has hecho log vía
    ssh o telnet SSL te pide otra contraseña, si
    introduces una errónea, secsh mata el intento de
    login. http//www.leenux.com/scripts
  • Fsh Habilitando un túnel cifrado utilizando ssh
    o lsh, y ejecutando todos los comandos sobre él.
    www.lysator.liu.se/fsh

13
Monitorización de Redes
  • Herramientas de administración IV.
  • Remotas basadas en WWW
  • Webmin Herramienta de administración no
    comercial. Es un conjunto de scripts de perl con
    un servidor www autocontenido al cual se accede
    utilizando un visor de www.
  • http//www.webmin.com
  • Linuxconf Herramienta de administración Linux de
    propósito general, que se puede utilizar desde la
    línea de comandos, desde X, o vía su propio
    servidor. Muy útil para configuraciones de red
    complejas. www.http//www.solucorp.qc.
    ca/linuxconf
  • COAS Proyecto para proporcionar un marco abierto
    de administración de sistemas.
    http//www.coas.org

14
Monitorización de Redes
  • Herramientas de administración V.
  • Escáners de Intrusos I
  • Pikt Se puede utilizar para monitorizar la
    actividad de los usuarios. Lo recomendaría para
    grandes instalaciones, pues es muy flexible y
    potente. http//pikt.uchicago.edu/pikt/
  • Nessus Una de las mejores herramientas de
    escaneo de intrusos. Tiene una arquitectura
    cliente (UNIX, Windows) /servidor
    (UNIX). http//www.nessus.org/
  • Saint Produce una salida muy fácil de leer y
    entender, graduando por prioridad los problemas
    de seguridad (aunque no siempre de forma
    correcta) y también soporta módulos de escaneo
    añadidos, lo cual le hace muy flexible.
    http//www.wwdsi.com/saint/

15
Monitorización de Redes
  • Herramientas de administración VI.
  • Escáners de Intrusos II
  • SARA Similares a las de SATAN y Saint. Soporta
    múltiples hilos para escaneos más rápidos, guarda
    sus datos en una base de datos para facilidad de
    acceso y genera interesantes informes en HTML.
    http//home.arc.com/sara/
  • BASS Permite escanear internet en busca de una
    variedad de exploits.
  • http//www.securityfocus.com/data/tools/network/ba
    ss-1.0.7.tar.gz

16
Monitorización de Redes
  • Herramientas de administración VII.
  • Escáners de host
  • Nmap Es una herramienta de escaneo de puertos, y
    posiblemente podemos decir que es una de las
    mejores que se pueden encontrar. Tiene técnicas
    avanzadas, como las huellas TCP-IP, un método por
    el cual se examinan los paquetes TCP-IP
    devueltos, y se deduce el SO del host.
  • http//www.insecure.org/nmap/index.html
  • SBScan Es un scanner basado en host, busca una
    variedad de problemas como ficheros rhosts
    malignos, puertos abiertos, cuentas de
    contraseñas, y escanea la red buscando otro tipo
    de problemas. http//www.haqd.demon.co.uk/

17
Monitorización de Redes
  • Herramientas de administración VIII.
  • Escáners de Red I.
  • Iptraf Es una utilidad que en modo texto,
    presenta bastante bien el estado de una red con
    una gran variedad de opciones.
  • Netstat Es menos completa que la anterior pero
    se encuentra en todos los sistemas UNIX.
  • Tcpdump Es una de las utilidades que más
    detalles nos va a aportar de cara a saber que
    paquetes circulan por nuestra red, permitiendonos
    llegar a ver las cabeceras de los propios
    paquetes de red que circulan por ellas.

18
Monitorización de Redes
  • Herramientas de administración IX.
  • Escáners de Red II.
  • Strobe Intenta conectar a varios puertos de una
    máquina(s) e informa del resultado (si existe).
    Es simple de utilizar y muy rápido.
    ftp//suburbia.net/pub
  • Portscanner Escaneador de puertos que tiene
    diferentes niveles de salida, lo cual le hacen
    sencillo de utilizar en scripts y por usuarios.
    http//www.ameth.org/veilleux/portscan.html
  • SPY Es un sniffer multiprotocolo avanzado que se
    ejecuta en diferentes plataformas. Es una de las
    mejores soluciones en caso de necesidad de un
    sniffer industrial. http//pweb.uunet.de/trill
    ian.of/Spy/

19
Monitorización de Redes
  • Herramientas de administración X.
  • Escáners de Cortafuegos
  • Firewalk Programa que utiliza un estilo similar
    al traceroute para escanear un cortafuegos e
    intentar deducir las reglas impuestas en ese
    cortafuegos. No existe una defensa real contra
    esto, aparte de denegar silenciosamente los
    paquetes en lugar de enviar un mensaje de
    rechazo, lo cual con suerte revelará menos cosas.
  • http//www.packetfactory.net/firewalk

20
Monitorización de Redes
  • Detección de ataques basada en red.
  • Saber que es lo que ha pasado.
  • Por que ha pasado.
  • Que o quien ha sido la causa.
  • Que efectos tiene sobre los sistemas.

NFR es uno de los sniffers más potentes.
Presentando los datos de posibles ataques en
tiempo real. http//www.nfr.com
21
Monitorización de Redes
  • Sniffers y sus peligros.
  • Dispositivo en modo promiscuo que intercepta
    todos los paquetes que viajan por la red.
  • Actuan silenciosamente, y es muy dificil
    detectar su existencia
  • La informacion que capturan,
  • puede comprometer la seguridad
  • de la red.

Existen programas como AntiSniff que permiten
detectar la presencia de sniffers.
http//www.l0pht.com/antisniff
22
Monitorización de Redes
  • Conclusiones.
  • Una buena monitorizacion permite determinar la
    causa de gran parte de los problemas de una red.
  • Aumenta en un alto grado la seguridad del
    sistema.
  • Incrementa la posibilidad de detectar posibles
    ataques.
  • Los log. nos permiten hacer un estudio en
    profundidad de que es lo que pasa en nuestros
    sistemas, optimizar la configuracion de los
    equipos y detectar puntos debiles en la red.
Write a Comment
User Comments (0)
About PowerShow.com