Leonardo Uzctegui uzcategui@gmail.

com

WALC 2012 Ciudad de Panam

09/10/2012

Problemtica Monitoreo, definicin Clases de Monitoreo

Monitoreo de Desempeo
Orientados al Servicio Orientados a la Eficiencia

Indicadores de Desempeo Medida y Anlisis del Desempeo Caracterizacin de Trfico

Tipo de Trfico Caractersticas del Trfico Convergencia del Trfico

Monitoreo de Seguridad
Correlacin Sincronizacin Medida y Anlisis

Conclusiones

WALC 2012 Ciudad de Panama

09/10/2012

Conocimiento tardo del fallo de un nodo o un servicio en produccin. Tiempos de respuesta elevados en atencin de contingencias. Falta de informacin del estado y uso de la red. Poca atencin en el rendimiento de los equipos. Falta de procedimientos para la aplicacin de cambios. Poca atencin en el monitoreo.
WALC 2012 Ciudad de Panama 09/10/2012 3

EL monitoreo de red consiste en tres reas principalmente:

Acceso a la informacin de monitoreo Diseo de mecanismos de monitoreo Aplicacin de la informacin de monitoreo (Network monitoring explained : design and application. Chiu & Sudama -1992)

WALC 2012 Ciudad de Panama

09/10/2012

Monitoreo de Desempeo Monitoreo de Seguridad

WALC 2012 Ciudad de Panama

09/10/2012

Indicadores de Desempeo
Son un prerrequisito absoluto para la gestin de una red de comunicaciones Un problema normal que se presenta es no saber que indicadores de gestin emplear.
Existen muchos No se entiende claramente su alcance Algunos indicadores son soportados parcialmente por las aplicaciones

WALC 2012 Ciudad de Panama

09/10/2012

Orientados al Servicio
Disponibilidad Tiempo de Respuesta Precisin

Orientados a la Eficiencia
Throughput Utilizacin

WALC 2012 Ciudad de Panama

09/10/2012

Disponibilidad
Se soporta en la confiabilidad de los componentes Mayor disponibilidad implica mayores costos Redundancia MTBF Disponibilidad = ------------------MTBF + MTTR
MTBF= Mean time between failures (Tiempo medio entre fallos) MTTR= Mean time to repair (Tiempo medio para reparacin)

WALC 2012 Ciudad de Panama

09/10/2012

Tiempo de Respuesta
Casi invariablemente un mejor tiempo de respuesta significa un aumento de los costos
Capacidad de procesamiento de los host Competencia entre procesos ejecutados

Al analizar las transacciones se encuentran dos elementos

Tiempo de respuesta del usuario Tiempo de respuesta del sistema

WALC 2012 Ciudad de Panama

09/10/2012

Precisin
Debido a su naturaleza, la precisin o integridad de la informacin normalmente es trabajada por los protocolos, sin embargo, el tener estadsticas de ocurrencias de fallas, conlleva a un anlisis proactivo

WALC 2012 Ciudad de Panama

09/10/2012

10

Throughput
La tasa efectiva de transferencia de informacin en una red Nmero de transacciones de un determinado tipo en un periodo de tiempo determinado Nmero de sesiones de usuario para una determinada aplicacin

WALC 2012 Ciudad de Panama

09/10/2012

11

Utilizacin
Lo ms importante es detectar cuellos de botella potenciales y reas de congestin En sentido tcnico entre ms se haga uso de un recurso, el tiempo de respuesta baja

WALC 2012 Ciudad de Panama

09/10/2012

12

Existen herramientas de software (libre y privativo) que poseen los indicadores de desempeo mas relevantes Utilizan combinaciones de protocolos de red para monitorear los indicadores.
ICMP SNMP entre otros.

WALC 2012 Ciudad de Panama

09/10/2012

13

Uno de los protocolo ms utilizado para realizar labores de monitoreo de red y que es capaz de entregar informacin requerida por los indicadores de desempeo es el SNMP (RFC 1157 - Simple Network Management Protocol )

WALC 2012 Ciudad de Panama

09/10/2012

14

WALC 2012 Ciudad de Panama

09/10/2012

15

Algunas herramientas Software Libre de Anlisis de Desempeo

Disponibilidad, Tiempos de Respuesta, Carga de CPU, disponibilidad de Memoria y Discos Duros, etc.
ZENOSS NAGIOS OpenNMS JFFNMS

WALC 2012 Ciudad de Panama

09/10/2012

16

Tipo de Trfico de Red Caractersticas del Trfico de Red Convergencia del Trfico de Red

WALC 2012 Ciudad de Panama

09/10/2012

17

Datos de Transaccin Datos en lote Administracin de Red Videoconferencia Transferencia de Archivos Mensajera Datos de Cliente / Servidor Voz / Fax

WALC 2012 Ciudad de Panama

09/10/2012

18

Volumen pico y promedio Conectividad y flujos de volumen Orientacin de las conexiones Tolerancia
A la latencia, incluyendo la longitud y la variabilidad A la disponibilidad de red Al porcentaje de errores

Prioridad Tipo de protocolo Longitud promedio de los paquetes

WALC 2012 Ciudad de Panama 09/10/2012 19

Convergencia a nivel de transmisin Convergencia a nivel de red Convergencia a nivel de aplicacin

WALC 2012 Ciudad de Panama

09/10/2012

20

WALC 2012 Ciudad de Panama

09/10/2012

21

 Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin

WALC 2012 Ciudad de Panama

09/10/2012

22

Recoleccin de Indicadores y Alertas Anlisis y correlacin de eventos Alarmas al equipo de toma de decisiones Los indicadores y alertas provienen de las herramientas e incluyen:
Datos Datos Datos Datos de sesin estadsticos de contenido completo de alertas

WALC 2012 Ciudad de Panama

09/10/2012

23

Es la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a travs de esta situacin privilegiada relacionar y procesar la informacin. Permitien aumentar la capacidad de deteccin, priorizar los eventos segn el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red.

WALC 2012 Ciudad de Panama

09/10/2012

24

Es indispensable un mecanismo de sincronizacin de relojes.

Utilizacin del protocolo NTP (Network time protocol).

Utilizado por todas las herramientas de monitoreo y servidores.

WALC 2012 Ciudad de Panama

09/10/2012

25

Diferentes tipos de herramientas

Anlisis de vulnerabilidades Deteccin de intrusiones Integracin logs Honeypots

WALC 2012 Ciudad de Panama

09/10/2012

26

Anlisis de Vulnerabilidades
Permiten conocer las vulnerabilidades de la red Generan reportes de vulnerabilidades Ej. OpenVAS (Nessus)

WALC 2012 Ciudad de Panama

09/10/2012

27

Sistema de Deteccin de Intrusos

Genera alarmas en base a patrones de trfico y a anomalas de protocolos Requiere tiempo para entonar dependiendo de donde se coloque
Permetro DMZ Red Interna

Necesidad de Replicas de Trfico Ej. SNORT

WALC 2012 Ciudad de Panama

09/10/2012

28

Replicas de Trfico
Hubs SPAN Ports (Mirror Ports) Dispositivos Inline

WALC 2012 Ciudad de Panama

09/10/2012

29

Informacin de seguridad y administracin de eventos (SIEM)

Rene los datos de los eventos, de las amenazas y de los riesgos para proporcionar la mayor informacin de seguridad, lograr respuestas rpidas a los incidentes, gestionar los registros de forma sencilla y generar informes de cumplimiento ampliables.

WALC 2012 Ciudad de Panama

09/10/2012

30

Herramientas de Integracin
Ofrecen un ambiente nico para centralizar y organizar las capacidades de deteccin y de eventos de seguridad. Ej. OSSIM

WALC 2012 Ciudad de Panama

09/10/2012

31

Los sistemas de Monitoreo de Red son necesarios en toda organizacin. Poseer un equipo de respuesta inmediata para atacar los problemas y fallas que se detectan con el sistema de monitoreo Conocer la infraestructura de la red a monitorear Caracterizar el trfico continuamente Conocer los umbrales de utilizacin de: ancho de banda, servicios, etc.
WALC 2012 Ciudad de Panama 09/10/2012 32

PREGUNTAS

WALC 2012 Ciudad de Panama

09/10/2012

33

WALC 2012 Ciudad de Panama

09/10/2012

34

WALC 2012 Ciudad de Panama

09/10/2012

35

WALC 2012 Ciudad de Panama

09/10/2012

36

WALC 2012 Ciudad de Panama

09/10/2012

37

WALC 2012 Ciudad de Panama

09/10/2012

38

WALC 2012 Ciudad de Panama

09/10/2012

39

WALC 2012 Ciudad de Panama

09/10/2012

40

WALC 2012 Ciudad de Panama

09/10/2012

41