Administracin y Gestin

de Redes de Informacin
Darwin Aguilar Salazar, Mgs.

Marzo 15 y 22

CONTENIDOS
Conceptos Bsicos
Monitoreo, Gestin, Service Level Agreement (SLA)

Sistemas de Gestin
Definicin, Elementos
Elementos de un sistema de Gestin

Modelos de Gestin de RED

SNMP, OSI, TMN

reas funcionales definidas por OSI

Herramientas de Gestin
Configuracin de los sistemas de Gestin
Arquitectura del software de Gestin
Gestin de red distribuida

Sistemas de Gestin
Concepto de
Gestin?

Todas las medidas que

aseguran la efectiva y
eficiente operacin de un
sistema, adecuando sus
recursos a un objetivo.

Conceptos Bsicos
Monitorear
Sistemas y????
servicios

Disponible, alcanzable
Recursos
Planificacin de expansin mantener
disponibilidad
Rendimiento
Tiempo de ida y vuelta, tasa mxima de
transmisin
Cambios y configuraciones
Documentacin, control de versiones, logs.

Una red en operacin debe ser monitorizada

para:
- Asegurar los SLA proyectados (Acuerdos de
Nivel de
Servicio.
- Los SLAs dependen de polticas
* Qu espera la Gerencia?
* Qu esperan los usuarios?
* Qu esperan los clientes?
* Qu espera el resto de usuarios del
Internet?
- Qu se considera bueno en cuanto a
disponibilidad?

Ejercicios:
Calcular el tiempo de operacin y el tiempo de
fallo (estimado) de un dispositivo o de red
cuya disponibilidad se encuentra indicada en
98,97%.
Desde el punto de vista de un proveedor de
servicios dentro de el SLA se encuentra
ofertado al cliente una disponibilidad de
servicio del 98,78%, calcule el tiempo mximo
que dispondr este proveedor para dar
solucin a un posible evento de fallo en el
servicio.

Gestin de Red
Es la planificacin,
organizacin, supervisin y
control de elementos de
comunicaciones para
poder garantizar un nivel
de servicio, de acuerdo a
un presupuesto y
utilizando los recursos de

Necesidad de Gestionar la
red

Necesidad de Gestionar la
red

Justificacin para Gestionar

la
red
Control de recursos estratgicos de la empresa:

Las redes y servicios se han vuelto vitales para las

empresas. Sin un control efectivo no se consiguen los
resultados esperados de ellas.
Control de la complejidad: El crecimiento de las
redes, usuarios, interfaces, protocolos y proveedores
complican la gestin.
Mejor servicio: Los usuarios esperan igual o mejor
servicio a medida que la informacin y los recursos
informticos crecen y se distribuyen.
Balance de necesidades: Las organizaciones tienen
diversos usuarios con diferentes necesidades y niveles
de soporte, con requisitos especficos de prestaciones,
disponibilidad y seguridad.
Reduccin de tiempos de no funcionamiento:
Cuanto ms vital se vuelve la red, ms debe aproximarse

Causas por la que es necesario la

Gestin de Red
Los sistemas de informacin son vitales y estn soportados sobre

redes
La informacin manejada tiende a ser cada da mayor y a estar ms
dispersa
Permite el empleo eficiente de los dispositivos de la red
Mejora la eficiencia, disponibilidad y el rendimiento de las redes.
En la mayora de los sistemas de redes existen productos y servicios
de mltiples fabricantes. (Redes heterogneas)
Acrecienta la satisfaccin de los usuarios por el servicio
proporcionado.

Requisitos de los Gestores

de Red:

Una red adecuadamente gestionada

debera:

Sistemas de gestin de red

Coleccin de herramientas para monitorizacin y control compuesto
por:
Una nica interfaz de operador con un completo pero userfriendly conjunto de comandos para realizar la mayora de las
tareas de gestin.
Est diseado para ver la red completa como una arquitectura
unificada, con direcciones y etiquetas asignadas a cada punto y a
los atributos especficos de cada elemento y enlace del sistema.
Un conjunto mnimo de equipamiento separado. La mayora
del
software y hardware de gestin est incorporado en el
equipamiento existente. El software utilizado en realizar
tareas de
gestin reside en los ordenadores y procesadores
de
comunicaciones (concentradores, bridges, routers, etc.)
Los elementos activos de la red envan regularmente informacin
de estado al centro de control de red.

Elementos de un sistema de
Gestin (modelo agente-gestor)

Elementos (modelo agente-gestor)

1.El gestor
2.El agente
3.El protocolo de gestin
4.La base de informacin de gestin (MIB, Management
Information Base)

1)El gestor: Este emite las directivas de

operaciones de gestin, el mismo
recibe notificaciones y respuestas.
2) El agente: Tiene la funcin de
responder a las directivas enviadas por el
gestor.
3) El protocolo: Es el conjunto de
especificaciones y convenciones que
gobiernan la interaccin de procesos y
elementos dentro de un sistema de
gestin.
4)La MIB (Gestin de Bases de
Informacin): almacena los datos de los
dispositivos o componentes de la red.

Preguntas
1. Qu es lo que se debera monitorear prioritariamente en una red de datos?
Configuraciones, seguridades y rendimientos
Disponibilidad, acceso y seguridad
Disponibilidad, rendimiento y configuraciones
Rendimiento, vulnerabilidades y disponibilidad.

2. La disponibilidad es una mtrica que generalmente se la calcula:

En
En
En
En

forma
forma
forma
forma

porcentual
porcentual
porcentual
porcentual

y
y
y
y

desde el nivel de la prestacin del servicio.

desde el nivel de usuarios hacia servicio.
es indiferente calcularla desde operador o usuario.
mide parmetros propios de la red de datos.

3. Qu consideracin en cuanto a tiempo se debera estimar si la disponibilidad de la red es de

98,80%?
1.2 % de no funcionamiento
360.62 das de operacin sin interrupciones
105.12 horas de falta de operacin o servicio.
Casi todo el tiempo funcionara.

4. Qu diferencias se pueden considerar que existen entre Administrar y Gestionar una red?
Proporciona servicios para garantizar la disponibilidad Monitorea fallos
Garantizar la disponibilidad de la red Monitorea y toma mtricas de la red
Configura y da soporte Avisa a usuario cuando existen fallos y los corrige
Garantizar disponibilidad de servicios Monitorea fallos y toma mtricas de la red.

Respuestas: C , A,

B y C, D

Componentes

Subgrupos Organizacionales

a) Control Operacional

b) Administracin

c) Anlisis

d) Planificacin

Componente Tcnico

Componente Tcnico

Componente Tcnico

Componente Funcional

Preguntas?
5. El sistema de Gestin debe propender concordancia en la empresa en la que
se implementa con respecto a:
Satisfacer las necesidades de servicio de los usuarios.
Garantizar niveles de satisfaccin y calidad en la red de datos.
Planificar, supervisar, garantizar y controlar los elementos de red.
El objetivo de negocio en el cual se enmarca.

6. El reducir la necesidad de incrementar recurso humano para la operacin de

la red es un principio de:
Los administradores de red
Los encargados de Gestionar la red
Un sistema de Red adecuadamente supervisado
El uso adecuado de las herramientas de Gestin de red

7.Bajo que premisa aportan las herramientas de gestin considerando la relacin

calidad/costo?
Ayudan mejorando la calidad del servicio aunque esto implique costo adicional.
Las herramientas de Gestin son costosas pero mejoran la calidad de la red.
Disminuyen los costos de funcionamiento y aumentan la calidad de servicio.
Mejoran la disponibilidad y ayudan en la toma de decisiones.

Respuestas:

Cy D,

D,

reas Funcionales
(Modelo OSI)

Modelos de Gestin de
Red

MODELOS DE GESTIN
SNMP y OSI

SNMP: (Simple Network

Management Protocol)
- Conjunto de estndares incluyendo un
protocolo, una especificacin de estructura de
base de datos y
un conjunto de objetos
- Adoptado como estndar para TCP/IP en 1989
- Actualizado con mejoras de seguridad y otras
en 1993: SNMPv2.
- Actualmente en estudio su utilizacin en redes
OSI adems de TCP/IP.
- El ms utilizado hoy en da.

SNMP
3 Full Standards:
RFC 1155(STD 16): Estructura e identificacin de la informacin
de gestin para Internets basadas en TCP/IP. Mayo de 1990.
* Define como se definen en la MIB los objetos gestionados.
RFC 1157 (STD 15): A Simple Network Management Protocol
(SNMP). Mayo de 1990.
* Define el protocolo paragestionar los objetos.
RFC 1213 (STD 17): Management Information Base para
gestin de red en Internets basadas en TCP/IP: MIB-II. Marzo de
1991
* Describe los objetos almacenados en la MIB.
1 Draft Standard
20 Proposed Standards
4 Experimental Standards: entre ellos SNMP sobre OSI
2 Informational

Arquitectura
Estructura general:
Estacin de gestin
Agentes de gestin (incluidos agentes proxy)
Base de informacin de gestin (MIB)
Protocolo de gestin de red
De los elementos de la estacin de gestin: aplicaciones (para
anlisis de datos, etc.), intefaz de usuario, capacidad de convertir
las solicitudes del usuario apeticiones demonitorizacin y control a
los elementos remotos y base de datos con informacin de las
MIBS de los elementos de la red gestionados, slo los dos ltimos
son cubieros por SNMP.
Los agentes mantendrn una MIB local, atendern solicitudes de
la estacin de gestin y podrn enviar de manera asncrona
informes de eventos importantes (event reporting). Soporta por
tanto los dos mecanismos de comunicacin agente-gestor que
conocemos.

 El protocolo (SNMP) enlaza la estacin de gestin y los agentes. El

protocolo es muy simple, proporcionando las siguientes
posibilidades:
Get: permite a la estacin gestora obtener valores de objetos
de agentes.
Set: permite a la estacin gestora modificar valores de objetos
de agentes.
Trap: permite a un agente enviar de manera asncrona la
notificacin de un evento importante a la estacin de gestin.
En el estndar no se indica nadaacerca del nmero de estaciones
gestoras o del ratio gestores/agentes, aunque lo normal es tener
dos estaciones gestoras (una de backup) y al ser el protocolo
simple, el nmero de agentes por gestor puede ser bastante alto
(centenares).

Protocolo SNMP

Limitaciones sobre SNMP

El protocolo no es muy adecuado para leer grandes
cantidades de datos (como tablas de encaminamiento).
No hay asentimiento de las Traps, no sabiendo el agente si
ha llegado a la estacin gestora.
Mecanismo trivial de autentificacin.
No soporta comando imperativos directos. Se puede hacer
indirectamente modificando un valor que implique una
accin (ms limitado que comandos directos).
El modelo de la MIB es limitado y no soporta operaciones
complejas como consultas basadas en valores o tipos de
objetos.
No soporta comunicaciones gestor-gestor, de tal manera
que por ejemplo una mquina gestora no puede obtener
informacin sobre dispositivos o redes de otras mquinas
gestoras.

Modelo de Gestin OSI

Conjunto de muchos estndares desarrollados
conjuntamente por ISO y CCITT para gestin
de redes OSI.
CCITT reservada la serie X.700 para este
conjunto de estndares.
El conjunto de estndares se denomina
Gestin de sistemas OSI (OSI systems
management) e incluye la definicin de: Un
servicio de gestin (CMIS - Common
Management Information Service). Un
protocolo de gestin (CMIP - Common
Management Information Protocol). Una
base
de
datos.

Otros
conceptos

OSI:
Conjunto de estndares (grande y complejo)
incluyendo un conjunto de aplicaciones de
propsito general, un servicio de gestin, un
protocolo, una especificacin de estructura
de base de datos y un conjunto de objetos.
Actualmente en desarrollo: algunas partes
ya estandarizadas y otras en desarrollo.
Actualmente poco usado (poco a poco se va
empezando a utilizar) debido a su
complejidad y su no total estandarizacin.

Arquitectura modelo
Los elementos clave de este modelo de arquitectura son:
Aplicacin de gestin de sistemas (SMAP -systems-management
application process): Software local de un equipo (sistema) gestionado que
implementa las funciones de gestinpara ese sistema (host, router, etc.).
Tiene acceso a los parmetros del sistema y puede, por tanto, gestionar
todos los aspectos del sistema y coordinarse con SMAPs de otros sistemas.

Entidad
de
aplicacin
de
gestin
de
sistemas
(SMAE
-systemsmanagement application entity): Entidad de nivel de aplicacin
responsable del intercambio de informacin de gestin con SMAEs de otros
nodos, especialmente con el sistema que hace las funciones de centro de
control de red. Para esta funcin se utiliza un protocolo normalizado (CMIP)
Entidad de gestin de nivel (LME -layer-management entity):
Proporciona funciones de gestin especficas de cada capa de la torre OSI.
Base de informacin de gestin (MIB).

Arquitectura

reas funcionales definidas por OSI

Gestin
Gestin
Gestin
Gestin
Gestin

de
de
de
de
de

configuracin
fallos
prestacin
contabilidad
seguridad

Gestin de configuracin

Estado actual de la red. Registro de la topologa

Esttico
Qu est instalado
Dnde est instalado
Cmo est conectado
Quin responde por cada cosa
Cmo comunicarse con los responsables
Dinmico
Estado operacional de los elementos de la red
Estado de conexin de cada dispositivo de
infraestructura.

 Gestin de inventario
Base de datos de elementos de la red
Historia de cambios y problemas

Mantenimiento de Directorios
Todos los nodos (sedes) y sus aplicaciones
Base de datos de nombres de dominio
La informacin no es informacin si no se
puede encontrar"

Gestin de proveedores externos

 Gestin de SLAs (Service Level Agreements):

Contrato entre cliente/proveedor o entre proveedores
sobre servicios a proporcionar y calidades asociadas.
Identificacin de las partes contractuales
Identificacin del trabajo a realizar
Objetivos de niveles de servicio
Niveles de servicio proporcionados
Multas por incumplimiento
Fecha de caducidad
Clusulas de renegociacin
Prestaciones actuales proporcionadas

 Gestin de incidencias: TTS (Trouble Ticket

Systems)
Fecha/Hora de:
Informe de incidencia
Resolucin de incidencia

Usuario/localizacin
Equipo afectado
Descripcin del problema
Estado
Operador/es
Grado de severidad
Historial de incidencia
Comentarios

Gestin de configuracin (usuarios)

El gestor debe cambiar la conectividad de la red
cuando las necesidades de los usuarios cambian.
La reconfiguracin de la red es a menudo necesaria
como consecuencia de evaluacin de prestaciones o a
actualizaciones, recuperacin de fallos o problemas de
seguridad.

Los usuarios a veces quieren o necesitan estar

informados del estado de los componentes y
recursos de la red. Por ello cuando se hacen cambios
en la red, se les debe informar. Esta reconfiguracin
puede ser debida a labores de rutina o necesidades
del usuario. Antes de reconfigurar, el usuario quiere
conocer como van a quedar las cosas.

Herramientas
Para gestionar las versiones de las
configuraciones
CiscoWorks (cuesta )
gCFG: gestor de configuraciones
RANCID (http://www.shrubbery.net/rancid)
Utiliza CVS (o SubVersion) para mantener un repositorio con registro de cada cambio

Para los registros de topologa e inventario

Esquemas Grficos: Microsoft Visio
Base de datos de equipamiento: OpenOffice Calc /
Excel
Para gestionar el ticketing
osTicket (http://www.osticket.com)
gServeis(http://www.upcnet.es)

Gestin de Fallos
Mantener funcionando correctamente la red como
un todo y cada uno de sus elementos
individualmente.
Cuando algo falla, es importante, tan rpido como
sea posible:
Determinar exactamente cual es el fallo
Aislar el resto de la red del fallo para que
contine
funcionando sin interferencias
Reconfigurar o modificar la red de manera
que se
minimice el impacto del fallo en las
operaciones de la
organizacin
Reparar o sustituir los componentes que
han fallado.
Hay que distinguir entre fallo y error (los errores son

 Objetivo: mantener dinmicamente el nivel

de servicio.
Funciones
Evitar el fallo antes de que suceda
Gestin proactiva
Gestin de pruebas preventivas

Si el fallo ha sucedido. Gestin reactiva:

Gestin del ciclo de vida de incidencias

Deteccin del fallo

Aislamiento del fallo
Diagnosis del fallo
Resolucin del fallo

Gestin proactiva
Deteccin de fallos antes de que estos sucedan
Evitar fallos detectando tendencias hacia fallos
Caracterizacin de tendencias: determinacin
de umbrales de ciertos parmetros

Objetivo: monitorizar estos parmetros o

programar
notificaciones
automticas
cuando estos umbrales sean superados

Gestin de pruebas preventivas

Detectan fallos ocultos que no podran detectarse
normalmente
Suelen ser intrusivas: necesitan desactivacin del servicio
Pruebas de conectividad
Pruebas de integridad de datos
Pruebas de integridad de protocolos
Pruebas de saturacin de datos
Pruebas de saturacin de conexiones
Pruebas de tiempo de respuesta
Pruebas de bucle
Pruebas de diagnstico

Gestin del ciclo de vida de la incidencia

(i)
Deteccin de fallos
Alarma de usuarios
Alarma de herramientas
Asumir que existen fallos inevitables
Detectar lo antes posible el fallo
Monitorizacin peridica (no es posible notificacin)

Aislamiento del fallo

Una vez detectado aislar el componente que falla
Reconfigurar la red para minimizar el impacto del fallo
Informar del fallo a los usuarios del sistema
Reparar el elemento que falla

Gestin del ciclo de vida de la

incidencia (ii)
Diagnostico del problema

Seguimiento del fallo

Observacin de sntomas
Elaboracin de hiptesis
Fundamental la experiencia del administrador
Es normal el comportamiento actual de la red? O difiere del
habitual
En caso de comportamiento anormal elaboracin de hiptesis
basadas en la experiencia del administrador y en el registro de
fallos anteriores

Verificacin de hiptesis
Conjunto de pruebas que permiten aprobar/descartar las
diferentes hiptesis.

Gestin del ciclo de vida de la

incidencia (iii)
Resolucin del problema
Por
Por
Por
Por
Por

operadores de help-desk (80-85%)

operadores tcnicos (5-10%)
especialistas en comunicaciones (2-5%)
especialistas en aplicaciones (1-3%)
fabricantes (1-2%)

Gestin de fallos (usuarios)

Esperan soluciones rpidas y seguras.
Toleran fallos ocasionales, pero esperan estar
informados de manera inmediata del fallo y su
rpida solucin. Para conseguirlo:
necesidad de funciones muy rpidas de
deteccin y
diagnstico.
Se puede minimizar el impacto utilizando
componentes y
rutas redundantes.
Despus de corregir un fallo el servicio debe
asegurar que
se ha resuelto de verdad y no se
han introducido
nuevos problemas: se
denomina control y seguimiento de
fallos.
Esperan estar informados del estado dela red,
incluyendo paradas de mantenimiento programadas
y no programadas.

Herramientas
Utilidades comunes
Ping
Traceroute
Packet Sniffers (Ethereal / wireshark / tcpdump)
SNMP

Sistemas de monitorizacin
HP Openview
Scotty (https://trac.eecs.iubremen.de/projects/scotty)
Nagios(http://www.nagios.org)
...

Gestin de prestaciones

Las redes modernas estn compuestas de muchos

componentes que se comunican y comparten datos y
recursos. La efectividad de una aplicacin depende cada vez
ms de unas prestaciones adecuadas de la red.
Abarca dos grandes categoras funcionales:
Monitorizacin: Seguimiento de la actividad de la red.
Control: Realizacin de ajustes para mejorar las
prestaciones.
Algunas cosas a plantearse son:
Cul es el nivel de utilizacin de la capacidad?
Hay excesivo trfico?
Las prestaciones se han reducido a niveles inaceptables?
Hay cuellos de botella?
Est aumentando el tiempo de respuesta?
Para esta gestin hay que identificar los valores relevantes a
monitorizar de la red y definir las mtricas adecuadas

 Definicin de indicadores de prestaciones

Orientados a servicio (Grado de satisfaccin de
usuarios)
Disponibilidad
Tiempo de respuesta
Fiabilidad
Orientados a eficiencia (Grado de utilizacin de
recursos y servicios)
Throughput
Utilizacin

Monitorizacin de indicadores de
prestaciones
Anlisis y refinamiento

Indicadores
Disponibilidad
Porcentaje de tiempo que una red, componente de
red o una aplicacin se encuentran disponibles para
un usuario

Tiempo de respuesta
Tiempo que requieren los datos para entrar en la
red, ser procesados por sus recursos y salir de la red
Rangos
> 15 seg. Inaceptable para servicios interactivos
2 a 4 seg: Dificultan servicios interactivos que requieran
concentracin del usuario
2 seg: Lmite aceptable normalmente
Dcimas de segundo: para aplicaciones de tipo grfico
> 0.1 seg: servicios de eco

 Fiabilidad

Probabilidad de que un componente funcione

correctamente bajo unas condiciones especficas
Tasa de errores: Elevadas tasas de error en la
transmisin de datos pueden afectar a la calidad del
servicio

Throughput o Productividad

Capacidad terica mxima de los recursos de una red

Tasa a la que los eventos asociados a las aplicaciones
ocurren (transacciones/seg, llamadas/seg, etc.)

Utilizacin

Porcentaje de uso de un recurso durante un periodo de

tiempo
Se mide sobre los lmites del throughput
Ejemplo: Uso de una lnea serie, uso de una ethernet,
etc

Tareas
Coleccin de datos

Estadsticas de interfaces
Trfico
Tasas de error
Utilizacin
Disponibilidad porcentual

Anlisis de datos para mediciones y

pronsticos
Establecimiento de niveles lmite de
rendimiento
Planificacin de la capacidad e instalaciones

Gestin de prestaciones (usuarios)

Antes de utilizar una aplicacin los

usuarios pueden querer saber cosas
como el tiempo medio y de caso peor
de respuesta y la fiabilidad de los
servicios de red. Estos datos deben
ser suficientemente conocidos por el
gestor para contestar.
Los usuarios esperarn siempre
buenos tiempos de respuesta.

Herramientas
MRTG (http://oss.oetiker.ch/mrtg)
RRDtool (http://oss.oetiker.ch/rrdtool)
Cricket (http://cricket.sourceforge.net)
Netviewer (
http://www.nero.net/projects/netviewer)
Cacti (http://www.cacti.net)

Gestin de contabilidad

En muchas organizaciones, diferentes divisiones, centros de

gasto o proyectos, son facturados por el uso de los servicios

de red.
Aun cuando esto no ocurra, es necesario mantener
informacin sobre el uso de los recursos de red por usuarios
o tipos de usuarios:
Determinados usuarios pueden estar abusando de sus
privilegios de acceso y cargar la red afectando a los dems
usuarios.
Los usuarios pueden hacer un uso ineficiente de la red, y
el gestor puede ayudar a cambiar procedimientos para
aumentar la efectividad.
Conocer en detalle las actividades de los usuarios ser
muy til para planificar el crecimiento adecuado de la red

 Objetivos
Sistema de control interno:
Distribuye la utilizacin de los recursos por los distintos grupos
o usuarios.
Detecta abusos o distribuciones desequilibradas de los
recursos.

Sistema de tarificacin del negocio

Principales tareas
Distribucin de recursos
Identificacin de componentes de costo
Establecimiento de polticas de tarificacin
Definicin de procedimientos para tarificacin
Integracin con la contabilidad empresarial

Monitorizacin de la contabilidad
Registro sobre la utilizacin de los recursos de
red por parte de los usuarios.
RADIUS/TACACS: Datos de contabilidad de servidores de
acceso
Estadsticas de interfaces
Estadsticas de protocolos

Ejemplos de recursos sujetos a monitorizacin

Facilidades de comunicacin: LAN, WAN, lneas mdem,
PBX
Hardware : servidores, estaciones de trabajo
Software: aplicaciones instaladas
Servicios: comunicaciones comerciales, informacin a
usuarios.

Gestin de contabilidad (usuarios)

Esperan informacin sobre sus costos

y su uso de la red.
Esperan la existencia de mecanismos
que aseguren la autorizacin de
acceso a dicha informacin (control
de confidencialidad)

Herramientas
Netflow (cflowd, Flow-Tools, Flowscan,
FlowViewer)
Renen y presentan informacin de flujos de
trfico
Informacin agrupada en direccin y puerto de
origen y destino
til para contabilidad y estadsticas
Cunto de mi trfico es puerto 80?

SMARTxAC (http://www.cba.upc.edu/smartxac )
Recursos
http://www.caida.org/tools

Gestin de seguridad

Generacin, distribucin y almacenamiento de claves

cifradas.
Mantenimiento y distribucin de passwords y otras
autorizaciones o controles de acceso a la
informacin.
Monitorizacin y control del acceso a los ordenadores
de la red as como tambin la informacin de la
gestin de los nodos de la red.
Registros (logs): recoleccin, almacenamiento y
procesamiento de registros de auditora y seguridad.
Gestin (definir, lanzar/parar) las facilidades de
registro.

 Funciones que proporcionan proteccin continuada

de la red y sus componentes en los distintos
aspectos de seguridad
Acceso a las redes
Acceso a los sistemas
Acceso a la informacin en trnsito

Funciones de la gestin de la seguridad

Definicin de anlisis de riesgos y poltica de seguridad
Implantacin de servicios de seguridad e

infraestructura asociada
Definicin de alarmas, registros e informes de

seguridad

Qu es seguridad?
Se entiende por seguridad aquellas actuaciones que permitan:
Defenderme: disminuir la probabilidad de incidentes lesivos
Asegurarme: Disminuir las consecuencias negativas derivadas
de un incidente lesivo

Denunciar: Identificar causas y causantes cuando se

produce un incidente lesivo
La seguridad normalmente implica:
Simplicidad
Disciplina
Limitacin de posibilidades (Es imposible abarcar todo)

 Vulnerabilidad: de un activo es la posibilidad

de que una amenaza se materialice sobre l.
Es necesario cuantificarlo al menos de manera relativa
(grado de importancia, etc.)

Impacto: Consecuencia de la materializacin

de una amenaza sobre un activo
Ejemplos:
Efecto puntual, interrupcin del servicio, liquidacin
total
Prdidas econmicas, materiales, inmateriales
Responsabilidad civil, legal, penal
Mtricas: econmicas, subjetivas
Es necesario cuantificarlo al menos relativamente

Anlisis de Riesgos
Tabla ordenada de riesgos segn su importancia.
Importancia de un riesgo: combinacin del impacto y la

vulnerabilidad del mismo.

Objetivo: aplicar una poltica de seguridad para

los riesgos ms importantes.
Riesgos importantes (cubiertos por la poltica).
Riesgos no importantes (no cubiertos).

Polticas de seguridad: disminuyen la importancia

del riesgo actuando de dos maneras:
Disminuyendo su vulnerabilidad (poltica defensiva).
Disminuyendo su impacto (poltica curativa).

Costos de la seguridad
Directos
Inversiones en equipos y sistemas
Gasto de mantenimiento
Gasto de personal

Indirectos
Dificultad de uso
Restricciones de servicios
Reduccin de prestaciones

Gestin de seguridad (usuarios)

Los usuarios quieren conocer que las

polticas de seguridad son las
adecuadas y efectivas (otros no
pueden acceder a su informacin,
etc.).
Tambin que las herramientas de
seguridad sean seguras.

Herramientas
Mantenerse al da con la informacin de seguridad
Reportes de bugs
CERT
BugTraq
Mantener software en ltimas versiones

Proveer puntos de contacto fciles

Direccin de abuso para quejas de clientes
abuse@su-dominio.net
Telfonos bien conocidos y accesibles
Asignar tiempos de guardia por turnos, por ejemplo
Definir polticas de accin a priori

 Gestin de logs
Un nodo centralizado para recibir logs
Usar herramientas simples para encontrar informacin
rpidamente
Interfaces web
Comandos para simplificar filtrado

Controlar acceso a los recursos de la red

de acuerdo a unas polticas bien definidas
Uso peridico de herramientas para analizar y controlar
el uso legtimo de la red

 Sondeo de vulnerabilidades
Nessus (http://www.nessus.org)
SIGVI (http://sigvi.upcnet.es/demo_sigvi)
Anlisis de bitcoras (logs)
swatch reportes via e-mail
Filtros de Servicios
iptables, tcpwrappers
Cifrado
Uso de SSH, HTTPS, TLS...
Revisin de Integridad
Tripwire monitoriza cambios en los archivos

Planificacin de redes???
Mecanismos para tener en cuenta las
reas anteriores a la hora de disear
o ampliar una red de comunicaciones.
Por tanto el estudio de las reas
anteriores, junto con algunos
conceptos ms (simulacin, etc.)
cubre tambin la planificacin de
redes.

Configuracin de un sistema de
gestin de red
Cada nodo contiene un conjunto de software relacionado
con la gestin y llamado entidad de gestin de red (NME)
Cada NME realiza las siguientes tareas:
Recoge estadsticas de actividades de comunicaciones y
actividades de red
Almacena estadsticas localmente
Responde a comandos del centro de control de red, como:
Enviar estadsticas al centro de control de red
Cambiar un parmetro (ej. un temporizador usado en un
protocolo)
Proporcionar informacin de estado (ej. valores de
parmetros, enlaces activos)
Generar trfico artificial para realizar pruebas.
Cada nodo con un NME se suele denominar agente.

 Al menos un nodo de la red es el nodo de gestin de red o gestor

(manager). Adems del NME, incluye una coleccin de software
denominada la aplicacin de gestin de red (NMA).
El NMA realiza las siguientes tareas:
Incluye una interfaz de operador para permitir a usuarios
autorizados gestionar la red.
Responde a comandos del usuario mostrando informacin
y/o enviando comandos a los NME de la red. Esta
comunicacin se realiza mediante un protocolo de gestin de
red
a nivel de aplicacin de manera similar a cualquier otra
aplicacin distribuida.
Normalmente por motivos de seguridad se suelen tener dos o ms
nodos de gestin de red. Todos menos uno no hacen nada o slo
recogen estadsticas. Si el principal falla, se usa uno de los otros.

Arquitectura del software de

gestin de red
La funcionalidad del software en un agente o gestor
vara mucho dependiendo de la funcionalidad de la
plataforma y sus capacidades de gestin.
En general el software se puede dividir en tres
categoras:
Software de presentacin al usuario
Software de gestin de red
Software de soporte de gestin de red (gestin
de base de datos y comunicaciones)
La siguiente figura muestra una visin genrica de
esta arquitectura software.

Arquitectura del software de gestin

de red.

Software de prestacin al
usuario
Proporciona la interaccin entre el usuario (gestor) y el
software de gestin de red.
Reside en el gestor de red para monitorizar y controla
la red. A veces es til un software de este tipo en un
agente para pruebas, depuracin y gestionar algunos
parmetros de manera local.
Una de las claves de este software es proporcionar
una interfaz de usuario unificada. La interfaz debe ser
la misma para cualquier nodo, independientemente
del vendedor. Esto permite gestionar una red
heterognea con un mnimo entrenamiento.
Un peligro es la sobrecarga de informacin. Una gran
cantidad de informacin est disponible al gestor. Son
necesarias herramientas de presentacin que
organicen, resuman y simplifiquen esta informacin

Software de Gestin de
red
Muy simple, como SNMP o complejo, como OSI.
(sistemas propietarios tpicos).
El software tiene tres niveles:
Aplicaciones: Proporciona servicios de inters de los
usuarios, por ejemplo podran corresponder con las reas
de OSI: fallos, costos, etc.
Elementos: Las pocas aplicaciones son soportadas por un
nmero mayor de elementos que implementas funciones
ms primitivas y ms de propsito general, tal como
generar alarmas o resumir estadsticas. Son elementos
bsicos normalmente compartidos por varias aplicaciones.
Servicio de transporte de datos: Es el protocolo
utilizado para intercambiar
informacin de gestin entre
gestores y agentes y una interfaz de servicio
para los

Software de soporte de gestin de

red
Para realizar sus funciones el software de gestin de red necesita
acceder a la base de informacin de gestin local (MIB) y a gestores
y agentes remotos.
La MIB local de un agente contiene informacin sobre gestin,
incluyendo informacin de la configuracin y comportamiento del
nodo y parmetros que pueden utilizarse para controlar la operacin
del nodo.
La MIB de un gestor contiene la informacin de su agente y un
sumario de la informacin de los agentes que controla.
El mdulo de acceso ala MIB consiste en un software bsico de
acceso a ficheros que permite acceder a la MIB. Adems puede ser
necesario que convierta la informacin del formato de la MIB local a
un formato estandarizado utilizado por el sistema de gestin.
La comunicacin con otros nodos (agentes y gestores) es soportado
por la torre de protocolos, como pueden ser TCP/IP u OSI. Es decir, la
arquitectura de comunicaciones soporta el protocolo de gestin, que
est en el nivel de aplicacin.

Gestin de red distribuida

Al igual que los sistemas centralizados han ido evolucionando hacia
sistemas distribuidos, pasando las aplicaciones de los centros de
datos a los distintos departamentos con la gestin pasa lo mismo.
La gestin se distribuye por los mismos motivos que las
aplicaciones:
Aparicin de PC y estaciones de bajo coste y altas
prestaciones
Proliferacin de LANs departamentales
Necesidad de control y optimizacin local de aplicaciones
distribuidas
La gestin distribuida simplemente sustituye el centro de control de
red con estaciones de gestin en las LANs de la organizacin
cooperando entre ellas.
Esto permite a los gestores de los departamentos mantener las
redes, sistemas y aplicaciones de sus usuarios locales.

Gestin de red distribuida

Para prevenir la anarqua, normalmente se utiliza una
arquitectura jerrquica:
Las estaciones de gestin distribuidas tienen un
acceso limitado a las funciones de monitorizacin
y
control, definidas en funcin de los recursos
departamentales que gestiona.
Una estacin central, con un backup, tiene
permisos globales para gestionar todos los
recursos de la red. Tambin puede interactuar
con
las estaciones distribuidas y monitorizar y
controlar su operacin.

Beneficios de la gestin de red

distribuida
La gestin distribuida mantiene la capacidad de
un control centralizado, ofreciendo ventajas
adicionales:
El trfico de gestin de red disminuye.
Ofrece mayor escalabilidad. Aadir
capacidad de gestin consiste simplemente en
instalar otra estacin de bajo coste en el
lugar
deseado.
El uso de mltiples estaciones de gestin
elimina el nico punto de fallo que existe en
los esquemas centralizados.

Esquema para gestin de red

distribuida

Herramientas para Gestionar redes

de informacin
http://
bitelia.com/2011/01/diez-herramienta
s-esenciales-administrar-sistemas
http://
insecure.org/tools/tools-es.html (75
herramientas)
http://cesarcabrera.info/blog/herrami
entas-para-administrar-redes
/