Llegamos a ustedes gracias a:



Reportajes y análisis

Analizadores de Protocolo: ¿Cómo compararlos y utilizarlos?

[10/06/2011] Los analizadores de protocolo son las herramientas indispensables que su personal de TI despliega cuando la red no se comporta correctamente. Los administradores agudos y experimentados pueden examinar los datos de la red en directo o una captura guardada como archivo, y averiguar por qué las conexiones son intermitentes, por qué los usuarios se quejan de que la red está lenta o no pueden llegar a su servidor de archivos, o por qué la voz sobre IP no está funcionando en una sucursal.

Hay mucho más. Mientras que los gurús de la red siguen utilizando analizadores portátiles en sus laptops para solucionar problemas y cuestiones de depuración a medida que surgen, las herramientas de nivel empresarial han surgido para monitorear continuamente la salud y la seguridad de la red, y las aplicaciones complejas y sensibles a la latencia, que son su negocio.
Esta caja de herramientas, explica el papel de los analizadores de protocolo y las herramientas de análisis, seguimiento y visibilidad que ayudan a mantener sus redes, y las aplicaciones que por ahí se entregan, funcionando sin problemas y con seguridad.
El análisis de protocolo en las trincheras
Lo que conocemos como analizadores de protocolos se refiere comúnmente a (y todavía a veces se les llama) rastreadores (sniffers) de paquetes, pero Sniffer es en realidad el nombre de una marca de los productos de NetScout Systems. (Es muy parecido al término "curita" que se usa genéricamente para los vendajes adhesivos). Además, los analizadores de protocolos han evolucionado a un nivel que va más allá de las capacidades de captura de paquetes que el término implica.
"El cambio de nombre es importante", señala Mike Chapple, asesor del vicepresidente ejecutivo de la Universidad de Notre Dame, ya que las herramientas se vuelven muy sensibles al protocolo. Se establece una analogía entre los analizadores de protocolo y la evolución en los firewalls. "Usted tuvo firewalls de filtrado de paquetes, inspección de estado y luego aplicación de proxy. Las herramientas de análisis de redes han tenido la misma evolución, desde paquetes de uno en uno sin contexto, sin comprender lo que vino antes y lo que viene después. Ahora las herramientas son conscientes del contexto".
Los analizadores de protocolo capturan datos de un puerto en particular o de un segmento de la red mediante una herramienta que se expande, reproduciéndolos en algo parecido a un formato legible, y proporcionando un cierto nivel de análisis para resaltar la información clave. Son, principalmente, herramientas de depuración de red para saber lo que está causando problemas de rendimiento, por qué los errores de protocolo están apareciendo, por qué el DHCP no funciona, por qué la red virtual no está enrutando el tráfico adecuadamente, y temas relacionados.
A menudo se utilizan cuando se introduce un nuevo servicio o se cambia uno ya existente, que es cuando suelen ocurrir más errores de implementación y configuración. En algunos casos, la documentación incompleta o mal escrita puede ser la culpable, por lo que los administradores tienen que echarle un vistazo de cerca al tráfico para averiguar exactamente lo que está sucediendo.
"No necesariamente podemos confiar en que la configuración que cree que se está ejecutando es la configuración que realmente se está ejecutando, por lo que agarrar los paquetes y verlos le dirá exactamente lo que está pasando", señala Joel Snyder, socio senior de la consultoría de TI, Opus One. "Estas son, herramientas muy importantes y son constantemente utilizadas por el administrador de la red y la gente que está depurando y solucionando problemas".
Los analizadores de protocolo portátiles son, principalmente, herramientas de red, pero también son útiles para la solución de problemas y para afinar productos de seguridad como firewalls y sistemas de detección de intrusos. Por ejemplo, Chapple señala que ha usado regularmente el analizador omnipresente Wireshark para solucionar las reglas del firewall. Con los sistemas ejecutando un analizador a cada lado del firewall, se puede ver exactamente qué paquetes están de paso y determinar qué está causando los problemas de acceso -el tráfico autorizado que no está pasando, o tráfico potencialmente malicioso o no autorizado que está pasando.
También son muy útiles en el análisis de un ataque, como determinar el tipo de ataque de negación de servicio (DoS) que está agrediendo a una red para que pueda ser contrarrestada efectivamente.
En el lado negativo, los usuarios malintencionados pueden implementar un analizador para escuchar el tráfico de la empresa.
Hay una serie de analizadores libres disponibles, tales como Capsa Network Analyzer, Microsoft Network Monitor y la herramienta de línea de comando tcpdump. También hay analizadores comerciales de compañías como NetScout, pero la de código abierto Wireshark se ha convertido en un estándar de facto para el análisis de protocolos portátiles. Wireshark es conocido por su filtro de idioma, la interfase de usuario, soporte para más de mil 100 protocolos, e información detallada sobre más de 90 mil campos de protocolo, según su creador, Gary Combs, director de proyectos de código abierto en Riverbed Technology.
"Wireshark mató al mercado", señala Snyder. "Las empresas que quieren vender se han trasladado hasta la pila, haciendo un mayor conocimiento de la red de capas de aplicaciones. El viejo mercado rastreador desapareció."
Dando un paso más: Monitoreo y análisis de escala empresarial
Así como son valiosos, los analizadores de protocolo portátiles no están diseñados para escalar a través de la red de la empresa, especialmente cuando se tiene en cuenta los desafíos de esta red: un enorme volumen de tráfico; aplicaciones diversas y complejas, desde la gestión de riesgos empresariales a los medios sociales; velocidades de 10Gbps y mayores; y requisitos de rendimiento y disponibilidad de las transacciones financieras de alta velocidad, VoIP, streaming de video, y así sucesivamente.
"Incluso las redes lentas de hace 10 años eran demasiado grandes para analizarlas manualmente", señala Chapple de Notre Dame. "Nuestras herramientas se han vuelto más sofisticadas, al igual que nuestra forma de manejar las cosas".
Por ejemplo, Wireshark se integra en dispositivos RiverbedTechnologies que se pueden implementar en los puntos clave de toda la empresa para monitorear y analizar el tráfico en toda la red y, si es necesario, sumergirse con Wireshark desde una consola, en lugar de tener que ser recogidos y conectados para analizar un problema.
"Wireshark distribuido no hace un buen trabajo de almacenamiento de paquetes", señala Snyder. "Es bueno cuando está buscando una transacción y necesita ver 20 o 100 paquetes para averiguar lo que está mal con esa transacción".
Del mismo modo, NetScout tiene en su línea de productos un rastreador adecuado para el análisis a escala empresarial, y Colasoft vende una edición empresarial de Capsa.
El mercado de la empresa incluye una amplia gama de productos para organizaciones muy poderosos y suites que se centran en el rendimiento de las aplicaciones y cuestiones de gran volumen y alta velocidad de redes, en compañías como OPNET Technologies, NetScout, HP, CA, Quest, Compuware, IBM, Oracle y Nimsoft.
"No es que siempre la red sea el problema", señala Steve Shalita, vicepresidente de marketing de NetScout. "Es el contexto de los flujos de aplicación lo que es realmente significativo. Con grandes flujos de datos, es necesario automatizar y obtener una visión más clara de las transacciones y aplicaciones en lugar de paquetes individuales".
De este modo, señala Snyder, estas herramientas verán las estadísticas de las aplicaciones como el tiempo promedio de transacciones de tráfico HTTP, consultas DNS y el tiempo de respuesta de SQL Server, las tasas de retransmisión, y los que más hablan y escuchan en la red.
Las herramientas de otros proveedores, incluyendo Solera Networks, NetWitness, Niksun y Endace, están construidas para captar y analizar cada paquete que atraviesa la red, proporcionando el control continuo y la inteligencia sobre la red, aplicaciones y usuarios. Ellos tienen un juego fuerte de seguridad, además del monitoreo de la salud de la aplicación y la red. La información amplia y granular que estos productos ofrecen pueden ser aprovechadas por otras herramientas de seguridad, tales como firewalls, sistemas de detección de intrusos y sistemas de protección contra intrusos, sistemas de seguridad de la información y de monitoreo de eventos y análisis de malware. Los fabricantes señalan que este nivel de visibilidad es esencial para hacer frente a los problemas complejos de seguridad, como persistentes amenazas avanzadas, el gusano Stuxnet, la actividad maliciosa de información privilegiada, bots y malware sofisticado.
Uniéndolo todo
En un viejo sketch de Saturday Night Live, una pareja discutía sobre si un producto llamado New Shimmer era una cera de piso o un postre. Ambos tenían razón, según les aseguraba el locutor. "New Shimmer es una cera de piso y un postre".
Por lo tanto, ¿el objetivo de un analizador de protocolos es evaluar el rendimiento de red, rendimiento de las aplicaciones o la seguridad? Los tres.
"Estamos viendo el surgimiento del gerente de prestación de servicios", señala Shalita. "Está encargado de orquestar el ámbito tradicional de la red, las aplicaciones y la seguridad en esta noción de la gestión de entrega de servicio a los usuarios".
Así, cuando los usuarios se quejan de que la red está lenta, puede que no sea -y con frecuencia no es- la red, pero sí problemas de aplicación o algún tipo de problema de seguridad, tales como un ataque DoS o tráfico bot. TI es cada vez más como un proveedor de servicios para sus usuarios, y la propuesta global de herramientas de análisis, y monitoreo es reducir al mínimo la interrupción en la entrega de aplicaciones y servicios y, en consecuencia, la interrupción de la empresa.
Neil Roiter, CSO (US)