Monitorización de Sistemas y Redes: Conceptos, Herramientas y Protocolos Esenciales

Ingeniería informática, , , ,

Monitorización

¿Qué es y en qué consiste?

Consiste en el control del comportamiento de los objetos del sistema. Durante la monitorización, se tiene la capacidad de observar la actividad de un sistema mientras se ejecutan una serie de pruebas llamadas cargas.

¿Qué se busca conseguir con la monitorización?

Con esto se busca identificar posibles cuellos de botella en el sistema y determinar qué elementos son mejorables.

Tipos de objetos: Procesos y Subprocesos

Existen dos tipos de objetos muy relacionados:

  • Proceso: Se crea al ejecutar un programa, un servicio o una orden.
  • Subproceso: Es un objeto dentro de un proceso que ejecuta instrucciones del mismo.

Monitorización en Windows

Elementos de la Monitorización

  • Registros de Contador: Proporcionan los datos de rendimiento de los contadores seleccionados cada vez que se cumple un determinado periodo de tiempo.
  • Registros de Seguimiento: Ofrecen información sobre el rendimiento de los contadores siempre que ocurra un determinado suceso relacionado.
  • Alertas: Notifican que ha sucedido un evento o que se ha llegado a un determinado nivel de rendimiento.

La monitorización puede causar problemas de almacenamiento, ya que genera archivos .log que van creciendo de tamaño y, con el tiempo, pueden convertirse en un problema.

Herramientas de Monitorización en Windows

Administrador de Tareas

Es una herramienta del sistema operativo que muestra los programas, procesos y servicios que están en ese momento en ejecución.

Principales funciones:
  • Supervisa el rendimiento del sistema.
  • Permite gestionar los programas y procesos abiertos.
  • Permite comprobar el estado de la red y ver cómo está funcionando.
  • Muestra los usuarios conectados al equipo y permite comunicarse con ellos y desconectarlos.

Visor de Eventos

Es una herramienta del sistema operativo que muestra información detallada sobre sucesos importantes en el equipo.

Tipos de Registros:
  • Registros de Windows: Diseñados para almacenar eventos de aplicaciones y eventos que afectan a todo el sistema.
  • Registros de Aplicaciones y Servicios: Almacenan eventos de una única aplicación o componente.
Clasificación de Eventos por Gravedad:

Todos los eventos se clasifican, según su gravedad, en:

  • Crítico: Un error del que el sistema no puede autorrecuperarse.
  • Error: Un problema importante.
  • Advertencia: Un problema potencial.
  • Información: Notifica una operación finalizada correctamente.

Monitor de Confiabilidad

Herramienta que proporciona información cuantificada de los problemas y cambios en el hardware y software del equipo. La ventana de este monitor proporciona información gráfica de todos los eventos del sistema.

Monitor de Rendimiento

Se emplea para evaluar el impacto de los programas en ejecución en el rendimiento del equipo. Este estudio puede realizarse en tiempo real o mediante una recopilación de datos de registro y un análisis posterior.

Monitorización en Linux

Herramientas Integradas

Son aquellas propias del sistema, presentes en la gran mayoría de distribuciones Linux de forma predeterminada:

  • Uptime: Monitoriza la carga del sistema.
  • Time: Monitoriza el tiempo de ejecución de un programa.
  • Top: Monitoriza la actividad de los procesos. Visualiza los procesos en ejecución y cuánta memoria consumen.
  • Ps: Monitoriza la actividad de los procesos. Visualiza los procesos lanzados por el usuario que ha ejecutado la orden.
  • Vmstat: Monitoriza la actividad de la memoria. Informa sobre el uso de la memoria física y virtual.
  • Free: Monitoriza la actividad de la memoria. Informa sobre el uso de la memoria física y la swap.
  • Who: Monitoriza la actividad de los usuarios del sistema.

Monitor del Sistema

Permite ejercer una monitorización de los principales elementos del sistema y modificar su comportamiento. Ofrece información de las siguientes opciones:

  • Sistema
  • Procesos
  • Recursos
  • Sistema de archivos

Sysstat

Conjunto de herramientas con la capacidad de proporcionar información en tiempo real o de recopilarla para un análisis posterior.

Monitorización en Tiempo Real

Los datos que se guardan en los sistemas de monitorización y logs son realmente importantes, tanto para predecir problemas como para ser proactivos. Saber cómo se han desplegado los sistemas y sus configuraciones es esencial para actuar adecuadamente en caso de necesidad. Es importante monitorizar 24/7 para anticiparse con datos, detectar debilidades y cuellos de botella, mejorar servicios y, en última instancia, evitar y solucionar problemas.

Motivos para la Monitorización 24/7

  • Notificación de anomalías y errores.
  • Conocimiento detallado del rendimiento.
  • Sistema centralizado de logs.
  • Detección de incidencias.
  • Optimización de sistemas.
  • Competitividad y eficiencia.

Clasificación de Herramientas de Monitorización en Tiempo Real

Los diferentes tipos de herramientas de monitorización en tiempo real se pueden clasificar en:

  • SaaS (Software as a Service): El cliente tiene acceso al software vía internet. Sus beneficios son el ahorro, la escalabilidad, la accesibilidad y la resiliencia (capacidad para recuperarse de un fallo).
  • Código Abierto: Son gratuitas y con gran potencial de personalización, pero carecen de servicio técnico.
  • En Propiedad: Disponen de asistencia postventa; el fabricante se compromete a la corrección de errores.

Monitorización Continua

Proceso formal de definir los sistemas de TI de una organización, categorizando cada uno de ellos por el nivel de riesgo, la aplicación de los controles, la monitorización continua de los controles aplicados y la evaluación de la efectividad de estos controles contra las amenazas de seguridad. Es esencial porque las amenazas pueden ocurrir en cualquier momento y hay que estar preparado para prevenirlas. Estas herramientas facilitan esta labor, permitiendo responder de manera proactiva y rápida a las amenazas y los compromisos.

Beneficios

  • Mitigación proactiva y reducción de riesgos.
  • Mejora de los ingresos.
  • Creación de un círculo virtuoso.

Desafíos

Para la mayoría de las empresas se plantean tres desafíos principales:

  • Visibilidad: Más aplicaciones aumentan el número de ubicaciones que ponen en riesgo a la organización.
  • Priorización: Se debe encontrar un equilibrio entre las alertas importantes y las no importantes para no sobrecargar al personal de TI.
  • Error Humano: Produce errores o deja pasar algunas vulnerabilidades.

Herramientas de Gestión de Logs

Un log es un archivo que guarda información de las acciones realizadas sobre el sistema, archivos, aplicaciones, etc. Estos permiten la trazabilidad de los acontecimientos en la infraestructura de TI. Su monitorización es muy útil, dado que con ellos se supervisa la actividad de la red, se inspeccionan los eventos del sistema y se almacenan diferentes acciones que ocurren dentro de los sistemas vigilados.

Tipos de Eventos a Considerar

  • Cambios de contraseña
  • Inicios de sesión no autorizados
  • Fallos de inicio de sesión
  • Detección de malware
  • Errores en dispositivos de red
  • Cambios de nombre de archivo
  • Cambios en la integridad del archivo

Consejos para la Gestión de Logs

  • Saber cómo y cuándo generar registros.
  • Almacenamiento seguro y protegido de alteraciones maliciosas.
  • Revisión periódica por una persona cualificada y de confianza.
  • Tener la capacidad de actuar frente a actividades sospechosas.
  • Configurar reglas para la generación de alertas.

Administración y Mantenimiento de Redes

Motivos de la Monitorización de la Red

  • La utilización del ancho de banda.
  • El estado de funcionamiento de los enlaces.
  • La detección de cuellos de botella.
  • Detectar y solventar problemas con el cableado.
  • Administrar la información de encaminamiento entre máquinas.

Protocolo SNMP (Simple Network Management Protocol)

Conjunto estándar de reglas de comunicación y normas para la gestión de la red, incluyendo una capa de aplicación del protocolo, una base de datos de esquema y un conjunto de objetos de datos. Sirve para integrar distintos tipos de redes. Los elementos principales del protocolo SNMP son: el agente (agent) y el gestor (manager). Es una arquitectura cliente-servidor, en la cual el agente desempeña el papel de servidor y el gestor hace de cliente.

SNMP Polling

Consiste en lanzar consultas remotas de forma activa o a demanda, realizando una operación síncrona de consulta.

SNMP Trap

Son mensajes que envían los dispositivos SNMP a una dirección configurada basándose en cambios o eventos, de forma asíncrona.

Una de las ventajas de SNMP es que, en su configuración básica, es simple, fácil de configurar y, a menudo, gratuita.

Problemas Potenciales

Información Accesible (Mediante MIB – Management Information Base)

Es importante reconocer que la MIB (Management Information Base) es una fuente valiosa de información respecto a la red y los dispositivos conectados a ella. Sin embargo, permite encontrar la siguiente información:

  • Usuarios
  • Programas Instalados
  • Puertos Abiertos

SNMP Reconnaissance

Es una fase de recolección de información que servirá para ejecutar ataques específicos. Una opción para evitar ataques basados en esta vulnerabilidad sería desactivar el protocolo SNMP de cualquier dispositivo que no lo necesite (por ejemplo, dejarlo solo para routers y switches) y cambiar los community strings para que no se usen los valores predeterminados public y private. Los community strings son contraseñas que se usan para comunicarse con el dispositivo de gestión de SNMP (central). Existe una clave pública (public) para solicitar valores de las variables y una clave privada (private) para realizar peticiones de escritura.

Tipos de Mensajes SNMP

Sus mensajes son simples. Existen siete tipos de datos. Como gestor (manager) puede hacer:

  • Solicitar a un agente que proporcione el valor actual de un OID.
  • Solicitar el siguiente objeto en la MIB. Esto significa que puede atravesar un árbol sin necesidad de especificar OID (GetNext).
  • Hacer múltiples solicitudes GetNext (GetBulk).
  • Indicar a un agente que cambie un valor en un host remoto.

Un agente puede devolver:

  • Una respuesta, con la información solicitada.
  • Un mensaje de “trampa” (trap), no solicitado, que proporciona información sobre los eventos del dispositivo.

Finalmente, el administrador puede confirmar la recepción de un mensaje de captura. Este incluye información sobre:

  • Uso de Ancho de Banda.
  • Uso del disco.
  • CPU y uso de memoria.
  • Fallas de dispositivos.

OID – Identificador de Objetos (Object Identifier)

Identifican los objetos gestionados que se definen en los archivos MIB de forma exclusiva. Las MIB contienen OID de una forma correctamente definida.

Diagramas Kiviat

Son gráficos circulares en cuyos ejes radiales se representan diferentes índices de prestaciones. Las intersecciones entre los radios y la circunferencia representan los valores máximos que pueden alcanzar las variables representadas en los mismos.

Formas Comunes de Diagramas Kiviat

  • Estrella de Kiviat: Situación ideal en la que todas las variables están compensadas.
  • Vela de Barco: Sistemas limitados por la CPU, con mucha demanda de CPU y poca utilización de los canales.
  • Cuña: Sistemas limitados por la E/S. Poseen una elevada utilización de los recursos de E/S y baja de la CPU.
  • Flecha de E/S: Sistemas limitados por la E/S que, además, tienen una elevada utilización de la CPU.
  • Threshing: Sistema saturado por la paginación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.