TRABAJO DE TALLER DE SEGURIDAD “IMPLEMENTACION DEL PRODUCTO NAGIOS XI” Carrera: Ingeniería en Redes y Telecomunicaciones Modalidad: Vespertina Asignatura: Taller de Seguridad Profesor: Miguel Gonzalez ruiz Estudiantes: Roberto Acevedo Guillermo Henríquez Rodrigo Ruíz
Trabajo sobre monitoreo con Nagios XI para el instituto La Araucana (Puede contener errores)
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
TRABAJO DE TALLER DE SEGURIDAD “IMPLEMENTACION DEL
PRODUCTO NAGIOS XI”
Carrera: Ingeniería en Redes y Telecomunicaciones
Modalidad: Vespertina
Asignatura: Taller de Seguridad
Profesor: Miguel Gonzalez ruiz
Estudiantes: Roberto Acevedo
Guillermo Henríquez
Rodrigo Ruíz
2
Índice
Introducción………………………………………………………………………………..3
Capítulo 1 Objetivo………………………………………………………………………..4
Contextualización………………………………………………………………….4
Empresa…………………………………………………………………….4
Las redes y los sistemas de la empresa………………………………..4
Necesidad de un sistema de monitoreo y alerta temprana…………………...7
Capítulo 2 Producto……………………………………………………………………….8
Reseña sobre Nagios……………………………………………………………..8
Nagios XI………………………………………………………………………….11
Host, Servicios, Tipos de Monitoreo y Alertas de Monitoreo en Nagios...…19
Posibilidad de definir la jerarquía de la red, permitiendo distinguir entre host caídos
y host inaccesibles.
Notificaciones a los contactos cuando ocurren problemas en servicios o hosts, así
como cuando son resueltos (a través del correo electrónico, buscapersonas, Jabber,
SMS, o cualquier método definido por el usuario junto con su correspondiente
complemento).
Posibilidad de definir manejadores de eventos que ejecuten al ocurrir un evento de
un servicio o host para resoluciones de problemas proactivas.
Rotación automática del archivo de registro.
Soporte para implementar hosts de monitores redundantes.
Visualización del estado de la red en tiempo real a través de interfaz web, con la
posibilidad de generar informes y gráficas de comportamiento de los sistemas
monitorizados, y visualización del listado de notificaciones enviadas, historial de
problemas, archivos de registros
10
En año 1996, Ethan Galstad crea una sencilla aplicación MS-DOS diseñado para
"ping" servidores Novell Netware y enviar páginas numéricas. La aplicación está
diseñada utilizando aplicaciones externas de terceros para llevar a cabo los
controles de servidor y enviar páginas. El concepto arquitectónico básico que se
utilizará para Nagios nace.
En 1998, Considerando entrar al negocio de Monitoreo Hospedado / servicios
gestionados, Ethan utiliza las ideas y la arquitectura de su trabajo anterior para
comenzar a construir una aplicación nueva y mejorada diseñada para ejecutarse en
Linux.
Posteriromente en el año 1999 Ethan libera su obra como un proyecto de código
abierto bajo el nombre "NetSaint". Se estima que puede haber aproximadamente
una docena de otras personas que puedan estar interesadas en la aplicación.
Los plugins que se distribuyeron originalmente como parte de la distribución
NetSaint pronto se escindió como un proyecto Nagios Plugins separada.
Debido a cuestiones de marcas con el nombre de "NetSaint" que podrían tener un
impacto a largo plazo, Ethan decide cambiar el nombre del proyecto a "Nagios", que
era un acrónimo recursivo para "Nagios no voy a insistir en la santidad". El desarrollo
del proyecto NetSaint Plugins se mueve al proyecto Nagios Plugins.
Para saltarnos al año 2007 Ethan funda Nagios Enterprises, LLC para proporcionar
servicios de consultoría y desarrollo de servicios en torno a Nagios.
Nagios es finalista en el "Mejor herramienta o utilidad para los administradores de
sistemas" categoría de los Premios de SourceForge.net comunitarias.
Nagios gana el LinuxQuestions.org 2007 "Aplicación Red de Monitoreo del Año".
LinuxWorld.com tasas Nagios como una de las "Herramientas Top 5 Abra Seguridad
Fuente en la Empresa".
eWeek clasifica Nagios como una de "las más importantes aplicaciones de código
abierto de todos los tiempos".
Nagios BPI se libera para monitorear los procesos de negocio.
La primera Conferencia Mundial de Nagios se celebra en Saint Paul, Minnesota
(EE.UU.).
11
Nagios gana el LinuxQuestions.org 2011 "Aplicación Red de Monitoreo del Año" por
quinto año consecutivo.
Nagios gana el Premio los Linux Journal 2011 Readers 'por "Mejor Aplicación de
Monitoreo".
Nagios gana el Premio 2011 Open Source PortalProgramas en la categoría
"Esencial para Redes de Comunicaciones".
Nagios es otorgado "Mejor Web Tool" por WebHostingSearch.com.
Nagios aparece en la lista de los mejores 125 SecTools.org herramientas de
seguridad.
2.2. Nagios XI
Nagios XI es una plataforma completa e integrada de monitoreo, la cual da
más integrada de Nagios, desarollada por Nagios Enterprises. Nagios XI, tiene dos
versiones la standard y la enterprise, la standard tiene los siguientes valores en
dolares para 100 nodos: $1,995, para 200 nodos: $2,995 y nodos indefinidos:
$4,995; mientras que enterprise donde su valor 100 nodos: $3,495, 200 nodos:
$4,495 y nodos ilimitados: $6,495.
Ambas versiones esta plataforma cuenta con interfaz web completamente
integrada donde los host son fácilmente configurables mediante asistentes o
wizards en lugar de utilizar texto plano en archivos de configuración, permite
configurar usuarios de la web de nagios con distintos niveles de privilegios, permite
graficar los valores de los datos monitoreados ya sean niveles ocupación de ancho
de banda, delay de ping, etc..
Tiene un sin número de de informes que permiten medir uptime, SLA, capacity
planning, viene integrado a herramientas como Nagvis que permite diseñar
diagramas de red para monitorear el sistema.
Quizás el principal punto débil de nagios XI versus nagios es que realizar cambios
de configuración de los nodos es mucho más lento que la configuración por texto
plano en consola, pero permite configuración más simple para los usuarios no tan
avezados trabajando en la línea de comando de Linux.
La siguiente tabla muestra las características de Nagios XI para los dos tipos de
licencia
12
Tabla 1
Características de Nagios XI
Característica Standard Enterprise Beneficio
Rollback (Vuelta atrás) de la Configuración
Permite a los administradores recuperan fácilmente de errores de configuración, haciendo una reversión o vuelta atrás a la última configuración buena conocida.
Nuevos asistente y Componentes
Los nuevos asistentes y componentes añaden funcionalidad adicional y se instalan automáticamente y se actualizan con cada nueva versión.
Menú de herramientas
Permite a los usuarios integrar aplicaciones personalizadas y de otros desarrolladores directamente en la interfaz XI para aumentar la productividad.
Reporte de Ancho de Banda
Proporciona detallado diario, mensual, trimestral, y los informes de ancho de banda anuales para los routers y switches .
Informe Resumen Ejecutivo
Proporciona gestión, para administradores y encargados de tomar decisiones con visibilidad de un vistazo a las últimas alertas y actividad.
Monitoreo Heartbeat
Proporciona monitoreo esencial de hosts y aplicaciones críticas en máquinas remotas.
Custom Action URLs
Proporciona a los usuarios con capacidad de agregar vínculos personalizados a cada host y el servicio.
Pantallas NOC Proporciona al de un vistazo visión general de las operaciones de TI desde una única pantalla.
Herramienta de renombrado de Host
Permite a los administradores cambiar el nombre de forma rápida y eficiente de los host y retienen el rendimiento histórico y los datos de alerta.
Acceso remoto instantáneo de Host
Provee a usuario con acceso remoto instantáneo a cualquier dispositivo que se esté monitoreando vía RDP, VNC, Telnet, o SSH.
Informes por correo electrónico
Permite a los usuarios por correo electrónico rápidamente informes a sí mismos, los miembros del equipo, y otros tomadores de decisiones.
Tabla continúa en la siguiente página
13
Tabla 1 (continuación)
Característica Standard Enterprise Beneficio
GUI de configuración mejorada
Mejorada interfaz gráfica de usuario para la configuración de monitoreo, para hacer que las tareas complejas sean más simples.
Interfaz para móviles
Proporciona un modo para teléfonos móviles, interfaz intuitiva para los teléfonos móviles y dispositivos.
Acciones personalizadas para hosts y servicios
Permite a los administradores definir los comandos y las acciones que están disponibles para el usuario para la resolución y reparación de problemas, la apertura de tickets, entre otros.
Monitoreo de equipos remotos
Proporciona fácil de usar monitorización de
máquinas y dispositivos de redes externas remotas sin modificaciones firewall.
Asistentes para escalamiento
Permite a los usuarios crear fácilmente políticas de escalamiento para notificación.
Servicio de soporte mediante correos y foros
Los clientes que adquieran una licencia Nagios XI reciben acceso a tutoriales exclusivos para clientes, documentación y soporte de técnicos expertos.
Reporte Capacity Planning
–
Proporciona análisis de tendencias y la capacity planning para predecir futuros requisitos de actualización.
Acceso a la consola del servidor a través de la web
–
Proporciona acceso rápido, basado en la web para la consola del servidor XI para realizar actualizaciones y mantenimiento.
Monitoreo avanzado de procesos de negocio
–
Proporciona informes avanzados de los procesos críticos de negocio con la sincronización automática de grupo, la lógica de agrupación avanzada y permisos avanzados .
Tabla continúa en la siguiente página
14
Tabla 1 (continuación)
Característica
Standard Enterprise Beneficio
Informes programados
–
Proporciona informes programados regularmente para ser enviados a los tomadores de decisiones , gestión y administración a través de correo electrónico.
Páginas programadas
–
Permite a los usuarios programar cualquier página web XI que se entregarán por correo electrónico como archivos adjuntos PDF de forma programada . Util para enviar cuadros de mando, pantallas personalizadas y mucho más.
Herramienta de Modificación a granel
–
Permite a los administradores modificar rápidamente los atributos de miles de hosts y servicios en unos pocos pasos simples.
Despliegue Avanzado de Dashboard
–
Permite a los administradores implementar cuadros de mando (Dashboard) personalizados a otros usuarios durante la sincronización de un panel de control de administrador maestro para asegurar que los usuarios reciben información relevante y actualizada información.
Herramienta de Configuración de notificaciones a granel
–
Permite a los administradores implementar rápidamente los ajustes de notificación a los usuarios en unos pocos pasos simples.
Registro de auditoría
–
Proporciona una pista de auditoría de los cambios y modificaciones para garantizar el cumplimiento de políticas.
Desmantelamiento automatizado
–
Asegura de supervisión de red de flujo de trabajo se mantiene limpio y organizado , eliminando automáticamente las configuraciones de Host para los dispositivos que se encuentran en un estado de problema durante demasiado tiempo que minimiza los falsos positivos y proporciona una mayor claridad a la red .
Tabla continúa en la siguiente página
15
Tabla 1 (continuación)
Característica Standard Enterprise Beneficio
Reportes de SLA (Service-Level Agreement )
–
Proporciona a los usuarios la capacidad de medir la eficacia de los hosts, servicios y procesos de negocio específicos para determinar si se están cumpliendo los acuerdos de nivel de servicio . Horario informa que se enviará de manera recurrente para las estadísticas de rendimiento de red rápidas y precisas .
Mejorado Auto -Discovery
–
Proporciona una fácil integración con el asistente de monitoreo a granel para el monitoreo rápido de los dispositivos recién descubiertos
Como se aprecia en la tabla anterior Nagios XI posee muchas características
interesantes como informes de Capacity Planning, informes de SLA, etc…
A continuación mostraré algunas imágenes de la Nagios XI
Imagen 1
Informe de Disponibilidad de Servicio
16
Imagen 2
Estado de un host group
Imagen 3
Página home
17
Imagen 4
Gráficos de Perfomance
Imagen 5
Monitoreo de los servicios de un host
18
Imagen 6
Informe de Métricas sobre uso de disco
Imagen 7
Diagrama realizado en Nagvis
19
2.3. Host, Servicios, Tipos de Monitoreo y Alertas de Monitoreo en
Nagios
Tanto Nagios como Nagios XI, o sistemas derivados como Centreon o
Fan, tiene una nomenclatura que explicaremos a continuación:
Host: Son los equipos a monitorear, normalmente para probar
conectividad entre ambos puntos, se monitorea el estado por medio de
ping ICMP, aunque pueden utilizarse otras formas como pulling SNMP,
como un servicio de consulta remota como NRPE a un agente dummy
que siempre responda OK y su estado siempre sea up si logra
comunicación o un monitoreo pasivo que entregue una mensaje de OK
en forma regular y si se supera dicho tiempo se alerte, entre otros. En los
host las alarmas tienen sólo dos estados UP y DOWN.
Servicio: Asociado a cada Host existen los denominados servicios,
aunque estos son básicamente consultas de distinto tipo para diferentes
variables dentro del host, por ejemplo si es un Switch, habrán servicios
que monitorean mediante ping icmp al equipo, abrá otro que haga
consultas snmp para saber el estado especifico de alguna puerta o cuanto
tráfico posee en ese instante o si es un servidor cuanta capacidad
disponible tiene los filesystem, si determinado puerto se encuentra
abierto, si el servicio del servidor se encuentra en ejecución, etc… Estos
pueden tenemos diversos estados que son CRITICAL, WARNING, OK y
UNKNOWN. Critical se utiliza para las alarmas con mayores rangos,
Warning se clasifica el nivel intermedio y OK cuando el servicio se
encuentrade los valores recibido y que suelen estar por debajo de los
umbrales, Unknown es cuando la alerta definida dicho resultado no se
puede interpretar como los estados anteriores,
Cada servicio o Host se suele monitorear cada 5 minutos, esto es
determinado por en configuración, si uno de estados monitoreo da un
resultado que no es UP en el caso de un Host u OK en el caso de Servicio,
el equipo volverá a consultar al minuto siguiente cambiando se estado al
nuevo estado pero con el apodo de SOFT, hace consultas cada minutos
y si el servicio o host no obtiene un resultado positivo cambia el estado a
HARD, pero si por el contrario encuentra que el estado varía mucho de
estado este tomará un estado de FLAPPING.
Ahora existen dos tipos fundamentales de monitoreo en Nagios estos son
los siguientes:
20
Monitoreo Activo: El monitoreo activo es la consulta desde el servidor
de monitoreo a equipo remoto y esperar la respuesta de este con el
resultado esperado, este es el tipo de monitoreo más común en nagios
y los ejemplos más clásicos son el ping ICMP, las consultas SNMP,
consulta de puertos TCP abiertos, consultas WMI mientras que otros
son más propio de Nagios como el uso de los agentes NRPE,
NSClient, etc…
Monitoreo Pasivo: El monitoreo pasivo es la información desde el
equipo remoto sin una consulta previa de parte del servidor monitoreo,
los ejemplos en este sentido son los traps snmp, el protocolo syslog,
el protocolo Netflow (no soportado nativamente por nagios XI) y el
agente remoto NSCA.
21
3. Implementación
Tal como se explicó la primera parte de este informe tiene como objetivo
posee un sistema de alerta temprana en caso de algún incidente o problema en la
red, en este capítulo se explicará la implementación del sistema.
3.1. Costo
El servidor con el sistema Nagios XI, con la licencia Enterprise con una
cantidad ilimitada de nodos tiene un valor de $6,495 dolares estadounidenses, se
debe considera que el servidor utilizar es un servidor virtual de su granja con un
nucleo de CPU, con 2 GB de Memoria RAM y un disco duro virtual de 20 GB, todo
esto ya viene no tendría un costo adicional para la empresa debido a que esta
plataforma virtualizada de servidores ya existe y cuenta con los recursos necesarios
para esto. Con lo que respecta a la mano de obra es personal propio de la empresa
y sus HH están consideradas dentro de su sueldo.
3.2. Políticas de monitorización
Los hosts a monitorear poseerán las siguientes políticas de monitoreo que
detallaremos y explicaremos en este punto
.
3.2.1. Políticas para equipos de red.
Los Switch, Switch L3, Routers, Firewalls serán monitoreados por medio de
snmp, mediante consultas y mediante traps, además de ping.
Los switch L2 y los Switch L3 se monitorearan las bocas conectadas a puertas
troncales tanto por estado como por cantidad de tráfico, lo mismo para bocas que
van conectados a equipos que requieran de conexión permanente como servidores
u otros equipos de red.
En el caso de los routers y firewalls se monitorearan todas las bocas conectadas,
tanto por estado como por cantidad de tráfico.
En caso todos estos equipos se monitorearán también por ICMP, además se
realizarán consultas snmp por cpu, memoría ram, uptime.
Esta última consulta es muy importante dado que permite descartar si una caída fue
producto del apagado de un equipo o de la caída de un enlace o conexión.
22
La siguiente tabla muestra a modo simple como se encuentran asignadas las
alarmas para los equipos de red, teniendo la primera columna, el tipo de equipo de
red y la segunda el tipo de consulta a realizar, la tercera es la MIB asociada y la
cuarte que niveles de tendrán dichas alertas en el sistema Nagios XI.
Tabla 2
Políticas de monitoreo de equipos de red
Equipo Consulta MIB Niveles
Todos Ping (5 consultas ICMP al equipo remoto)
---- >2 pings sin respuesta – Warning >4 ping sin respuesta – Critical > 50 mseg. de delay – Warning > 100 mseg. de delay - Critical
Todos Uptime SNMPv2-MIB Informativo
Todos CPU OLD-CISCO-CPU-MIB
>90% Warning >95% Critical
Todos Memoria RAM OLD-CISCO-MEMORY-MIB
>90% Warning >95% Critical
Todos Interfaz de red estado IF-MIB Down – Critical Up – OK
Todos Interfaz de red tráfico entrante
IF-MIB >90% Warning >95% Critical
Todos Interfaz de red tráfico saliente
IF-MIB >90% Warning >95% Critical
Switch L2 y Switch L3
Spanning Tree estado de boca
BRIDGE-MIB Informativo
Firewall Cantidad de VPNs Conectadas
CISCO-IPSEC-FLOW-MONITOR-MIB
Informativo
Todos Traps: authentication linkdown linkup coldstart warmstart fan shutdown supply temperature status
CISCO-GENERAL-TRAPS
Informativo
23
3.2.2. Políticas para servidores.
Los servidores se monitorearan mediante un agente, en el caso de
Linux es el agente NRPE y en el caso de Windows es el agente NSClient,
se monitorearan en ambos casos procesador, memoría RAM, filesystem,
servicios y procesos que operan en el servidor.
Tabla 3
Políticas de monitoreo de servidores
Servidores Consulta Niveles
Todos Ping (5 consultas ICMP al equipo remoto)
>2 pings sin respuesta – Warning >4 ping sin respuesta – Critical > 50 mseg. de delay – Warning > 100 mseg. de delay - Critical
Todos Uptime Informativo
Todos CPU >90% Warning >95% Critical
Todos Memoria RAM >90% Warning >95% Critical
Todos Filesystem >90% Warning >95% Critical
Todos Servicio Down – Critical Up - Ok
Todos Proceso Down – Critical Up - Ok
3.3. Notificaciones y Escalamiento
En caso de cualquier alerta se sigue un protocolo de notificaciones y
escalamiento, las alertas del sistema de monitoreo llegan vía mail a una
mesa de soporte 7x24, el cual al recibir alertas del equipo se crea un ticket
en un sistema de seguimiento de soporte.
Además las alertas llegan también al área resolutora correspondiente
para sus solución, en el caso de las alertas de redes llegan al equipo de
ingeniería y administración de redes, mientras que las alertas de
servidores llegan al área de ingeniería y administración de infraestructura
tecnológica. Si la alerta critica supera la hora en el sistema se envía un
correo de notificación al área resolutora y al gerente de tecnología para
notificar el tema y el sistema hará esto cada hora durante el día hasta que
la alerta se supere.
24
Conclusión
En conclusión la seguridad de los datos es crítico en una empresa y se debe velar
por que la información este 100 % integra, disponible y autentica.
Cabe mencionar que la información de una empresa es un activo más de esta por
eso se debe velar que se cumplan los protocolos de seguridad y para eso existen
muchos software de monitoreo para alcanzar una mejor solución en caso de
problemas que pueden suceder en un día común de trabajo.
Conocer el problema manejar los factores que influyen en la red que ocasionan
fallas dar soluciones a tiempo cumplir con el SLA.
Para esto Nagios XI es una herramienta poderosa de monitoreo en su versión libre
y licenciada cumple con nuestros requerimientos de monitoreo y con una correcta
instalación y configuración se adecua mejor a cada solución de seguridad.
Solo cabe mencionar lo importante que es la información y las medidas de
seguridad que se deben tener en cuenta para su correcto estado.