Ejercicios de Preguntas UF1880: Gestión de Redes Telemáticas

Se compone de las siguientes fases:

• Planificar: identificar los requerimiento que la red necesita.
• Diseñar: elección de la solución óptima (esta fase incluye diagramas de red y listado de equipos)
• Implementar: crear la red.
• Operar: probar y poner en funcionamiento.
• Optimizar: mejorar la red y arreglar problemas.
• Retirar: en caso necesario, cambiar algún elemento o dar por finalizado el ciclo de vida.

2. Ventajas de RMON frente SNMP en la monitorización de redes.

RMON se basa en SNMP y en el añadido de ciertas MIB (base de Información de administración) que incorporan las funcionalidades necesarias del Protocolo. Esto le permite liberar de mucho trabajo al NMS (servicio de administración de redes), y sobre todo, ahorrar recursos de red, pues solo se envía Información relevante al NMS (sin estar ocupando red con mensajes continuamente).

Se puede conseguir Información sobre el estado de la red, y se pueden utilizar variables como las relativas a filtros, estadísticas que facilitan la elaboración de informes y análisis, umbrales para avisar de eventos, etc.

SNMP: Protocolo de gestión (usa mensajes con menos funcionalidad y realiza sondeos para comprobar los cambios).

RMON: basado en SNMP analiza flujos de datos más que dispositivos puntuales como SNMP.

• Libera trabajo al NMS (servicio de administración de redes)
• Ahorra recursos de red (sólo envía Información relevante)
• Agrega más posibilidades (informes, estadísticas, análisis de eventos, etc.)

Algunas ventajas de RMON (sistema de monitorización remota) son:

• El RMON es capaz de gestionar e interpretar datos, mientas SNMP sólo proporciona la Información que se le solicita.
• Operación off-time: pueden interrumpirse Procesos de control de redes mientras el monitor sigue funcionando siempre.
• Monitorización anticipada o preventiva: se puede enviar periódicamente Información e estatus de la red a fin de prevenir posibles problemas.
• Generando datos de valor añadido se analizan informes realizado, permitiendo detectar problemas y generar informes.
• Análisis Específicos
• Detección local de fallos , enviando Información de los mismos al NMS (sistema de gestión de la red) (Network Manager Station)
• Disminución de consumo de recursos de la red
• Funcionamiento en modo promiscuo. Captura toda Clase de tráfico, no solo el que tiene destino en el equipo donde está instalado.
• Gestiona subredes completas

3. ¿Qué es un NIDS? Pon algunos ejemplos

Un NIDS es un sistema de detección de intrusos de red, es decir, un software o hardware (que incluye un software específico) que permite detectar intentos de intrusión o anomalías en el sistema. Existen varios tipos como SNORT, Firewall con detección de atacante, ejemplo: Huawei tiene un sistema de detección de intrusos.

4. ¿Qué se entiende por capacidad nominal y efectiva de un canal?

Para obtener un análisis fiable sobre el rendimiento es necesario escoger unos buenos Indicadores que aporten Información útil para poder tomar decisiones en base a ellos.

Para el caso de la red, de los muchos posibles indicadores, los más utiliza dos pueden ser: la capacidad del canal, la utilización del canal, el retardo de extremo a extremo, la dispersión del retardo y la pérdida de paquetes y errores.

La capacidad nominal es la máxima cantidad de datos transmitidos por unidad de tiempo (bits x segundos)

Capacidad efectiva del canal, es una fracción de la capacidad nominal.

La capacidad nominal y efectiva de una canal es un indiciador de capacidad, en este caso servirá para saber la cantidad real de Información que se podrá utilizar.

5. Identifica los principales indicadores de rendimiento de un sistema informático.

Los indicadores son datos calculados a lo largo de intervalos de tiempo. Al compararlos reflejará si hay cambios, a través de ellos se podrá juzgar si el sistema responde como se esperaba.

• Disponibilidad: sirve como criterio para evaluar durante cuánto tiempo ha estado dando servicio el sistema.
• Tiempo de respuesta: aunque los servicios estén disponibles es necesario que brinden una atención lo más rápida posible.
• Carga: La carga del servidor indica el nivel de capacidad de trabajo que tiene ocupado. A más carga, menor capacidad de atender más peticiones de clientes.

6. ¿Qué es el mantenimiento preventivo y qué objetivos queremos conseguir con su aplicación?

El mantenimiento preventivo es el destinado a la conservación de equipos o instalaciones mediante la realización de revisiones y reparaciones que garanticen su buen funcionamiento y fiabilidad. El mantenimiento preventivo se realiza en equipos en condiciones de funcionamiento, por oposición al mantenimiento correctivo, que repara o pone en condiciones de funcionamiento aquellos que dejaron de funcionar o están dañados.

El primer objetivo del mantenimiento es evitar o mitigar las consecuencias de los fallos del equipo, logrando prevenir las incidencias antes de que estas ocurran.

El mantenimiento preventivo es prever fallas, mediante las revisiones, instalaciones y reparaciones planificadas.

El objetivo es mantener el sistema en funcionamiento con niveles óptimos de Calidad.

7. Prueba práctica SNORT

SNORT: es una herramienta de detección de intrusos para red (gratuita y de pago) (para Windows o Linux).

• Monitorea diversas fuentes de Información de los sistemas analizando de varias maneras esta Información
• Compara el tráfico con patrones de ataques
• Identifica problemas relacionados con el abuso de privilegios
• Realiza análisis estadístico en busca de patrones de actividad anormal

Se crean reglas, para las alertas como por ejemplo:

• Regla para detectar el troyano SubSeven:

alert TCP $EXTERNAL_NET 27374 -> $HOME_NET any (msg:"BACKDOOR subseven 22"; flags: A+; content: "|0d0a5b52504c5d3030320d0a|"; reference:arachnids,485; reference:url,www.hackfix.org/subseven/; sid:103; classtype:misc-activity; rev:4;)

• Reglas para atrapar intrusos:

alert TCP $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"MS-SQL xp_cmdshell - program execution"; content: "x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00|"; nocase; flags:A+; classtype:attempted-user; sid:687; rev:3;) caught compromise of Microsoft SQL Server

alert TCP $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS cmd.exe access"; flags: A+; content:"cmd.exe"; nocase; classtype:web-application-attack; sid:1002; rev:2;) caught Code Red infection

alert TCP $EXTERNAL_NET any -> $HOME_NET 21 (msg:"INFO FTP \"MKD / \" possible warez site"; flags: A+; content:"MKD / "; nocase; depth: 6; classtype:misc-activity; sid:554; rev:3;) caught anonymous FTP server

alert TCP $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS multiple decode attempt"; flags:A+; uricontent:"%5c"; uricontent:".."; reference:cve,CAN-2001-0333; classtype:web-application-attack; sid:970; rev:2;) caught NIMDA infection

alert TCP $HOME_NET 23 -> $EXTERNAL_NET any (msg:"Telnet Bad Login"; content: "Login incorrect"; nocase; flags:A+; classtype:bad-unknown; sid:1251; rev:2;) caught Telnet username brute-force

Las reglas crean patrones o signatures

Elementos modulares de detección se combinan para formar estos patrones:

Es posible la detección de actividad anómala; stealth scans, OS fingerprinting, buffer overflows, back doors, vulnerabilidades en cgis, códigos ICMP inválidos, entre otros

El sistema de reglas es muy flexible y la creación de nuevas reglas es sencilla.

Puede generar; Alert, Log o Pass sobre dirección/puerto origen/destino para IP, UPD e ICMP, anomalías estadísticas o verificaciones sobre protocolos

A menos que se tengan necesidades muy específicas no es necesario escribir nuevas reglas; actualmente hay mas de 2000 disponibles en línea