Upload
truongthien
View
213
Download
0
Embed Size (px)
Citation preview
Problemática Monitoreo, definición Clases de Monitoreo
◦ Monitoreo de Desempeño Indicadores de Desempeño
Orientados al Servicio Orientados a la Eficiencia
Medida y Análisis del Desempeño Caracterización de Tráfico
Tipo de Tráfico Características del Tráfico Convergencia del Tráfico
◦ Monitoreo de Seguridad Correlación Sincronización Medida y Análisis
Conclusiones
2 WALC 2012 – Ciudad de Panama 09/10/2012
• Conocimiento tardío del fallo de un nodo o un servicio en producción.
• Tiempos de respuesta elevados en atención de contingencias.
• Falta de información del estado y uso de la red.
• Poca atención en el rendimiento de los equipos.
• Falta de procedimientos para la aplicación de cambios.
• Poca atención en el monitoreo.
3 WALC 2012 – Ciudad de Panama 09/10/2012
“EL monitoreo de red consiste en tres áreas principalmente: ◦ Acceso a la información de monitoreo
◦ Diseño de mecanismos de monitoreo
◦ Aplicación de la información de monitoreo”
(Network monitoring explained : design and application. Chiu & Sudama -1992)
4 WALC 2012 – Ciudad de Panama 09/10/2012
Indicadores de Desempeño ◦ Son un prerrequisito absoluto para la gestión de
una red de comunicaciones
◦ Un problema normal que se presenta es no saber que indicadores de gestión emplear.
Existen muchos
No se entiende claramente su alcance
Algunos indicadores son soportados parcialmente por las aplicaciones
6 WALC 2012 – Ciudad de Panama 09/10/2012
Orientados al Servicio ◦ Disponibilidad
◦ Tiempo de Respuesta
◦ Precisión
Orientados a la Eficiencia ◦ Throughput
◦ Utilización
7 WALC 2012 – Ciudad de Panama 09/10/2012
Disponibilidad ◦ Se soporta en la confiabilidad de los componentes
◦ Mayor disponibilidad implica mayores costos
◦ Redundancia
MTBF
◦ Disponibilidad = -------------------
MTBF + MTTR
MTBF= Mean time between failures (Tiempo medio entre fallos)
MTTR= Mean time to repair (Tiempo medio para reparación)
8 WALC 2012 – Ciudad de Panama 09/10/2012
Tiempo de Respuesta ◦ Casi invariablemente un mejor tiempo de respuesta
significa un aumento de los costos
Capacidad de procesamiento de los host
Competencia entre procesos ejecutados
◦ Al analizar las transacciones se encuentran dos elementos
Tiempo de respuesta del usuario
Tiempo de respuesta del sistema
9 WALC 2012 – Ciudad de Panama 09/10/2012
Precisión ◦ Debido a su naturaleza, la precisión o integridad de
la información normalmente es trabajada por los protocolos, sin embargo, el tener estadísticas de ocurrencias de fallas, conlleva a un análisis proactivo
10 WALC 2012 – Ciudad de Panama 09/10/2012
Throughput ◦ La tasa efectiva de transferencia de información en
una red
◦ Número de transacciones de un determinado tipo en un periodo de tiempo determinado
◦ Número de sesiones de usuario para una determinada aplicación
11 WALC 2012 – Ciudad de Panama 09/10/2012
Utilización ◦ Lo más importante es detectar cuellos de botella
potenciales y áreas de congestión
◦ En sentido técnico entre más se haga uso de un recurso, el tiempo de respuesta baja
12 WALC 2012 – Ciudad de Panama 09/10/2012
Existen herramientas de software (libre y privativo) que poseen los indicadores de desempeño mas relevantes
Utilizan combinaciones de protocolos de red para monitorear los indicadores. ◦ ICMP
◦ SNMP
◦ entre otros.
13 WALC 2012 – Ciudad de Panama 09/10/2012
Uno de los protocolo más utilizado para realizar labores de monitoreo de red y que es capaz de entregar información requerida por los indicadores de desempeño es el SNMP (RFC 1157 - Simple Network Management Protocol )
14 WALC 2012 – Ciudad de Panama 09/10/2012
Algunas herramientas Software Libre de Análisis de Desempeño ◦ Disponibilidad, Tiempos de Respuesta, Carga de
CPU, disponibilidad de Memoria y Discos Duros, etc.
ZENOSS
NAGIOS
OpenNMS
JFFNMS
16 WALC 2012 – Ciudad de Panama 09/10/2012
Tipo de Tráfico de Red
Características del Tráfico de Red
Convergencia del Tráfico de Red
17 WALC 2012 – Ciudad de Panama 09/10/2012
Datos de Transacción
Datos en lote
Administración de Red
Videoconferencia
Transferencia de Archivos
Mensajería
Datos de Cliente / Servidor
Voz / Fax
18 WALC 2012 – Ciudad de Panama 09/10/2012
Volumen pico y promedio
Conectividad y flujos de volumen
Orientación de las conexiones
Tolerancia ◦ A la latencia, incluyendo la longitud y la variabilidad
◦ A la disponibilidad de red
◦ Al porcentaje de errores
Prioridad
Tipo de protocolo
Longitud promedio de los paquetes
19 WALC 2012 – Ciudad de Panama 09/10/2012
Convergencia a nivel de transmisión
Convergencia a nivel de red
Convergencia a nivel de aplicación
20 WALC 2012 – Ciudad de Panama 09/10/2012
• Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de detección y visibilidad en la monitorización de eventos de seguridad de la organización
22 WALC 2012 – Ciudad de Panama 09/10/2012
Recolección de Indicadores y Alertas
Análisis y correlación de eventos
Alarmas al equipo de toma de decisiones
Los indicadores y alertas provienen de las herramientas e incluyen: ◦ Datos de sesión
◦ Datos estadísticos
◦ Datos de contenido completo
◦ Datos de alertas
23 WALC 2012 – Ciudad de Panama 09/10/2012
Es la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a través de esta situación privilegiada relacionar y procesar la información.
Permitien aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de nuestra red.
24 WALC 2012 – Ciudad de Panama 09/10/2012
Es indispensable un mecanismo de sincronización de relojes. ◦ Utilización del protocolo NTP (Network time
protocol).
Utilizado por todas las herramientas de monitoreo y servidores.
25 WALC 2012 – Ciudad de Panama 09/10/2012
Diferentes tipos de herramientas ◦ Análisis de vulnerabilidades
◦ Detección de intrusiones
◦ Integración
◦ logs
◦ Honeypots
26 WALC 2012 – Ciudad de Panama 09/10/2012
Análisis de Vulnerabilidades ◦ Permiten conocer las vulnerabilidades de la red
◦ Generan reportes de vulnerabilidades
◦ Ej. OpenVAS (Nessus)
27 WALC 2012 – Ciudad de Panama 09/10/2012
Sistema de Detección de Intrusos ◦ Genera alarmas en base a patrones de tráfico y a
anomalías de protocolos
◦ Requiere tiempo para entonar dependiendo de donde se coloque
Perímetro
DMZ
Red Interna
◦ Necesidad de Replicas de Tráfico
◦ Ej. SNORT
28 WALC 2012 – Ciudad de Panama 09/10/2012
Replicas de Tráfico ◦ Hubs
◦ SPAN Ports (Mirror Ports)
◦ Dispositivos Inline
29 WALC 2012 – Ciudad de Panama 09/10/2012
Información de seguridad y administración de eventos (SIEM) ◦ Reúne los datos de los eventos, de las amenazas y
de los riesgos para proporcionar la mayor información de seguridad, lograr respuestas rápidas a los incidentes, gestionar los registros de forma sencilla y generar informes de cumplimiento ampliables.
09/10/2012 WALC 2012 – Ciudad de Panama 30
Herramientas de Integración ◦ Ofrecen un ambiente único para centralizar y
organizar las capacidades de detección y de eventos de seguridad.
◦ Ej. OSSIM
31 WALC 2012 – Ciudad de Panama 09/10/2012
Los sistemas de Monitoreo de Red son necesarios en toda organización.
Poseer un equipo de respuesta inmediata para atacar los problemas y fallas que se detectan con el sistema de monitoreo
Conocer la infraestructura de la red a monitorear
Caracterizar el tráfico continuamente
Conocer los umbrales de utilización de: ancho de banda, servicios, etc.
32 WALC 2012 – Ciudad de Panama 09/10/2012