Llegamos a ustedes gracias a:



Reportajes y análisis

Herramientas de monitoreo y análisis de redes

[18/01/2010] Con el objetivo de lograr que los empleados trabajen durante las horas de oficina, en vez de consumir recursos accediendo a redes sociales o descargando música y videos, existen en la web herramientas de monitoreo y análisis de redes de datos.  Pero, ¿Cómo se llaman esas herramientas? ¿Para qué sirven? ¿Es recomendable utilizarlas? ¿Cuánto cuestan? A estas y otras preguntas responde este artículo basado en una conferencia dirigida a pequeños y medianos empresarios, interesados en hacer uso de las tecnologías de la información. No se trata de una auditoría, sino de una serie de recomendaciones para aquellos que quizás no cuenten con un administrador de TI en su empresa.

La conferencia en la que está basado este texto se llevó a cabo hace poco más de una semana en el marco del XVII Encuentro Científico Internacional 2010 de verano ECI2010v, y estuvo a cargo de Edwin Salazar Vega de Nextel del Perú. Según el expositor, una de las necesidades primordiales para una empresa es contar con información oportuna, en el instante en que yo quiero nueva información, debo tenerla, tener la tasa de referencia y revisar periódicamente la proyección de crecimiento. A nivel infraestructura, asegura que es importante disminuir costos y hacer una mejor distribución de los recursos. En cuanto a hardware, se debe tener al día el inventario de los equipos. Y, muy importante también, es conocer los tiempos de respuesta. A un empresario con un sistema de ventas por Internet, le interesa que la experiencia del cliente al entrar a la página sea rápida y amigable. Lo más importante es que al hacer clic para comprar no se demore una hora, porque eso sería una pésima experiencia. Se trata de evitar los cuellos de botella a la hora de entrar al Internet o a una base de datos, de evitar los intentos fallidos, y a los usuarios malintencionados, señaló el ejecutivo.
Medir, controlar y cortar tráfico
En lo referente a la seguridad, el expositor mencionó la importancia de saber qué está haciendo un usuario en la red. En una empresa con diez empleados, por ejemplo, al empresario le va a interesar asegurarse de que los empleados estén realmente trabajando, y que no estén en el Facebook o en el Messenger. Hay herramientas que nos permiten medir, controlar o cortar ese tipo de tráfico en la oficina. Primero hay que conocer las conexiones y salidas de los usuarios, es decir con qué recurso de Internet, IP o URL, tienen contacto los empleados. Por ejemplo, un empresario se queja con su proveedor de Internet, de que su red está lenta. No me están dando lo que yo he contratado, afirma. Se realiza una investigación y se descubre que uno de sus empleados está todo el día viendo videos. Está consumiendo ancho de banda, aparte de no aportar, está disminuyendo la capacidad de lo que esa empresa podría producir a través de Internet, agrega el especialista.
Edwin Vega también se refirió a los virus. Existen virus o malware que envían spam a millones de usuarios valiéndose de la cuenta de correo y de la conexión de Internet de alguien en la oficina. Si pedimos un reporte podría resultar que 50% de las conexiones del día se han realizado hacia el servidor de correo. Pero el empleado no envía correos. Se realiza un investigación y se descubre que dos o tres PC tienen sombies instalados, éstos están generando tráfico o correos, por eso es que a muchos nos llega correo spam. Vega asegura que existen herramientas que permiten detectar y tomar las acciones necesarias para evitar estos virus.
El monitoreo de la red, las herramientas
Es fundamental realizar observaciones periódicas, ya sea que un administrador de red ingrese al equipo y supervise cada cierto tiempo; o lo recomendable es que una herramienta haga el trabajo por él, sostiene el especialista. La herramienta tiene que obtener data sobre el consumo del servidor, graficarla de un modo amigable y guardarla de tal forma que uno pueda ver el patrón en el tiempo, y de acuerdo a ello establecer una referencia de funcionamiento. Ahora la pregunta es ¿qué monitoreo?, lo clásico: disponibilidad de la red, router, fireware, servidores, CPU, espacio de disco. Por experiencia, sucede muy a menudo que la red se queda colgada, no levanta el servicio de web. El problema es que el disco duro está lleno. Las herramientas nos van a permitir -aparte de obtener, graficar y guardar en un histórico- generar una alerta de manera que cuando el disco llegue por ejemplo a un 80% de capacidad, envíe una aviso al administrador o a todos los empleados si se desea.
¿Y cuáles son las herramientas disponibles en la red para estos temas? El ya conocido MRTG (Multi Router Traffic Grapher), probablemente uno de los más utilizados y más antiguos, orientado al rendimiento de la interfase de red. Según el especialista, esta herramienta es muy limitada porque solamente muestra el gráfico del consumo entrante y saliente del router a la Internet. En cambio recomienda Nagios, una herramienta muy completa con capacidad de open source, que puede medir el desempeño y notificarlo. Tiene millones de scripts publicados en el Internet que uno puede reutilizar. Por ejemplo, puedo monitorear el servidor de un usuario. No es necesario crear algo nuevo, sino reutilizar algo que ya está en Internet. En general, puedo monitorear todos los servicios que podría tener el servidor y que a la larga podrían afectar a la empresa si llegaran a fallar. Nagios tiene la posibilidad, si lo configuran adecuadamente, de armar un mapa topológico de la red para que, por ejemplo, si se cayera uno de los switches, saber qué otros elementos debajo de él podrían estar afectados.
Graficando y monitoreando
Otra herramienta es el Smokeping, más orientada a medir latencias, que es el tiempo de respuesta al pasar a través de uno o varios dispositivos. Esta herramienta nos muestra cuánto delay puede haber desde un determinado punto a otro, y ver qué salto está teniendo un determinado diferencial que está provocando mucha latencia, señala Vega. Por otro lado el Cacti, otra herramienta también de fuente abierta, complementaria a Nagios, ayuda sobre todo en el tema de gráficos de parámetros de los elementos de red. El Cacti monitorea, grafica y almacena datos a través de SNMP, y también a través de dispositivos no SNMP, por medio de scripts, al igual que Nagios. Estos scripts antes de ser bajados del Internet y ejecutados en la red deben ser revisados para saber qué función desempeñan. Cacti tiene una interfase amigable para cada muestra. Según Edwin Vega, se trata de todo un árbol en el que uno puede ir indexando y observando el comportamiento de cada componente, graficado y monitoreado.
Lo que tienen en común Cactis y MRTG, y probablemente otros sistemas que cuentan con un sistema de gráficas, es el RRDTool, escrito por Tobi Oetiker, es una base de datos. El RRDTool era parte de MRTG, pero luego fue separado para tener un desarrollo propio y de hecho ser reutilizado por muchos otros programas. Desde el punto de vista gráfico, el RRDToll no es otra cosa que una cantidad de registros en un período determinado, por ejemplo, en un gráfico podría presentarse una columna en la que se guarda registros cada cinco minutos durante una hora; y en otro, podría representarse una columna que guarda registros cada hora en un día, el sistema podría tomar un promedio de los dos, el mínimo, o el máximo, y almacenarlos. Es por ello que bajo este esquema, al guardar la data de tráfico de Internet, el archivo nunca va a crecer demasiado, nunca va a ocupar mucho espacio, porque el sistema rotativo que tiene esta herramienta no gasta mucho en espacio en disco para estas soluciones
Flujos, puertos y routers
Por otro lado, a un administrador le interesa saber qué está pasando exactamente en el instante X. Necesita saber qué hizo el usuario Y con la PC Z. Para esto existe la herramienta Netflow que es un protocolo desarrollado por Cisco, que envía los flujos de una cadena unidireccional, esto es dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino, protocolo utilizado, tipo de servicio, etc. Un Netflow estaría conformado por un router conectado a Internet, y unos flujos que llegan de diferentes redes locales hacia Internet. El router envía los flujos a un colector o servidor que va almacenando esa data y la muestra gráficamente para ser tratada por otras herramientas. En otras palabras, lo que hace Netflow es exportar paquetes hacia un servidor para que luego puedan ser analizados para los fines que se crea convenientes. Es necesario aclarar que la utilización de esta herramienta aumenta el consumo de recursos. Por ejemplo, 65 mil flujos podrían utilizar hasta el 16% de la CPU. Esto es algo que hay que tener en cuenta cuando uno implementa estas herramientas, qué tanto puede costar, a nivel de recursos de infraestructura, el sistema de monitoreo.
También debemos contar con herramientas de análisis de tráfico que arrojen reportes personalizados, estadísticas de los tops, saber quién está consumiendo más, y qué cosas, alarmas, identificar anomalías dentro de la red, entre otras cosas. Para esto existe una herramienta que sirve como analista de tráfico, es un producto de Netflow, llamado Flowview, y permite ver la contabilidad del uso de internet. Arroja gráficas en las que se aprecia desde dónde hasta dónde se está conectando, y cuánto tráfico está teniendo un determinado usuario. Esto sirve para saber quién está consumiendo más en la red local.
La herramienta considerada por Edwin Vega como la más completa y recomendada es el Nfsen, que además de mostrar tablas, ofrece gráficos, por ejemplo del consumo: el público entrante y el público saliente, o por puerto. Este tipo de gráficos permiten tener una mejor visión de lo que está pasando en la red. En otras palabras, el Nfsen grafica la información para realizar consultas sobre lo observado.
Monitoreo de seguridad de red
Además, ¿cómo saber que un data center está expuesto a una vulnerabilidad? ¿Hay herramientas para ello o es necesario hacer revisiones manuales? Sí hay herramientas para hacerlo. Estas herramientas, según el expositor, van a permitir saber si estamos sufriendo un ataque, o hacer un análisis posterior cuando hemos tenido un ataque. La clásica es que me jaquearon mi página de Internet y no sé quién fue o cómo fue. Entonces tenemos que considerar tres pasos: revisar, recomendar y tomar acciones. Esto implica recolección de datos estadísticos y de contenido, análisis de los mismos y finalmente tomar decisiones.
También existen herramientas de análisis de vulnerabilidad, sistemas de detección de intrusiones o snorts, y honeypots. Entre las herramientas de análisis de vulnerabilidad, la más recomendada por Vega, es Nessus. Esta herramienta es gratuita por 30 días y permite, en un determinado momento, hacer un barrido de vulnerabilidades y saber, por ejemplo, qué servidor tiene el antivirus atrasado, o qué servidor está configurado con cuentas y pagos por defecto. Estas características van a hacer más sencilla la solución, el reporte va a ser más amigable, y van a permitir al administrador de red ver directamente qué es necesario corregir.
En cuanto al sistema de detección de intrusiones, Vega recomienda el Snort, una herramienta de fuente abierta que permite verificar qué trafico está pasando y analizar anomalías, para de acuerdo a eso tomar acciones. Por ejemplo, un cliente detecta que su computadora está lenta. La herramienta podría detectar qué tráfico pasa por ahí y si está generando spam.
Los Honeypots por otro lado, son herramientas útiles para detectar incidentes de seguridad. Se trata de servidores que los administradores de red colocan en un punto estratégico de la red para engañar a los atacantes con información falsa; de tal forma que cuando un atacante accede a él, no se va a llevar nada y a la vez le va a permitir al administrador saber qué método utilizó. Sin embargo es una herramienta de doble filo porque el atacante puede entrar ahí y a toda la red al mismo tiempo, por eso hay que ser muy cuidadosos con los Honeypots, advierte Vega.
Costos de implementación
El expositor concluyó que esta variedad de herramientas son solo algunas de las muchas que existen, y que tanto el costo de implementación como el costo de alimentación es cero. Sin embargo, hay un costo de auto aprendizaje de la herramienta, que no es complicado, pero que sí requiere de tiempo para pruebas, agregó. Finalmente, el expositor recomendó que para tener una red controlada es necesario realizar acciones preventivas, y no esperar los problemas para recién tomar acción.
Roxana Rojas, CIO Perú