Administración LAN (B4T4) - Past Paper 2015-2016 - PDF

2015-2016 Bloque 4 - Tema 4 ADMINISTRACIÓN DE REDES DE ÁREA LOCAL. GESTIÓN DE USUARIOS. GESTIÓN DE DISPOSITIVOS. MONITORIZACIÓN Y CONTROL DE TRÁFICO PREPARACIÓN OPOSICIONES TÉCNICOS AUXILIARES DE INFORMÁTICA B4T4 ADMINISTRACIÓN LAN TAI ÍNDICE ÍNDICE............................................................................................................................................................ 2 1. ADMINISTRACIÓN DE REDES DE ÁREA LOCAL........................................................................................... 3 1. Linux..................................................................................................................................................... 3 2. Windows............................................................................................................................................... 8 2. GESTIÓN DE USUARIOS........................................................................................................................... 15 1. Sistemas Linux.................................................................................................................................... 15 2. Sistemas Windows............................................................................................................................. 23 3. GESTIÓN DE DISPOSITIVOS MÓVILES...................................................................................................... 28 1. Modelos de propiedad de los dispositivos.......................................................................................... 28 2. Gestión de los dispositivos.................................................................................................................. 29 3. Guías de Seguridad CCN-STIC............................................................................................................. 32 4. MONITORIZACIÓN Y CONTROL DEL TRÁFICO.......................................................................................... 33 1. Modelo de gestión de red OSI............................................................................................................ 33 2. Modelo de gestión de red TCP/IP....................................................................................................... 35 3. Modelo de gestión de red TMN.......................................................................................................... 44 4. Modelo de gestión de red MTNM...................................................................................................... 44 5. Herramientas de monitorización y control de tráfico......................................................................... 45 PABLO ARELLANO www.theglobeformacion.com Página 2 B4T4 ADMINISTRACIÓN LAN TAI 1. ADMINISTRACIÓN DE REDES DE ÁREA LOCAL 1. Linux Se presentan un conjunto de comandos para administrar la red: COMANDOS PARA ADMINISTRACIÓN DE REDES ping [-a] [-b] [-c count] [-i intervalo] [-t TTL] objetivo Verifica si el objetivo (nombre host o dirección IP) es accesible a través de la red. Disponible en Linux, Windows y macOS -a Resuelve el nombre host -b Para hacer ping a la dirección de broadcast -c Número de paquetes a enviar -i Intervalo de tiempo entre envío de paquetes. Por defecto 1 segundo -t Número de saltos. Valor para TTL (Time To Live). Valor máximo 255 ping www.google.es ping -t 10 www.inap.es #Máx 10 saltos hasta objetivo. Cada router decrementa en 1 el campo TTL y reenvía el paquete si TTL > 0 ping -c 6 www.theglobeformacion.com #Envía 6 paquetes al objetivo ping -i 3 10.47.4.23 #Envía paquetes cada 3 segundos traceroute objetivo Muestra la ruta de un paquete hasta el destino objetivo Nombre host destino traceroute destino ifconfig interfaz [dirección [parámetros]] Configuración de interfaces de red. Desde Debian 9, no instalado por defecto. Paquete net- tools -a Muestra las direcciones de todas las interfaces Sin parámetros muestra las interfaces configuradas. Si se indica una interfaz muestra su configuración: interfaz Nombre de la interfaz. Por ejemplo, eth0 direccion Dirección IP up Marca la interfaz como disponible down Marca la interfaz como inaccesible netmask Asigna una máscara de subred a una interfaz PABLO ARELLANO www.theglobeformacion.com Página 3 B4T4 ADMINISTRACIÓN LAN TAI broadcast Asigna la dirección de difusión ifconfig eth0 192.168.1.1 netmask 255.255.255.0 up ifconfig eth0 192.168.1.7 netmask 255.255.255.0 broadcast 192.168.1.255 route [-e] [-n] Manipulación de la tabla de enrutamiento -e Muestra contenido tabla en formato hostname -n Muestra contenido tabla en formato numérico add Añade nueva ruta a la tabla del Elimina ruta de la tabla Opciones con add y del: -net Objetivo es una red -host Objetivo es un host -p Persistente (estática) gw Especifica puerta de enlace. -gateway en Solaris netmask Máscara de subred dev Interfaz donde se enviarán los paquetes reject Rechaza los paquetes default Predeterminado route -n route add default gw 192.168.0.1 #Gateway por defecto route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0 route del -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0 route add -net 192.168.0.0 netmask 255.255.255.0 dev eth1 route add -net 192.168.1.0 netmask 255.255.255.0 eth0 route add -net 163.117.168.0 netmask 255.255.255.0 gw 163.117.144.2 dev eth0 iw [opciones] objeto [comando] Gestión de conexiones wifi Sin argumentos, muestra la información de las interfaces wifi Objetos: dev Interfaz de red phy Nombre dispositivo inalámbrico phy# Índice dispositivo inalámbrico iw list #Muestra info de las interfaces wifi iw dev wlan7 info #Muestra info de la interfaz iw dev wlan0 link #Informa sobre la conexión iw dev wlan0 scan #Escanea redes wifi PABLO ARELLANO www.theglobeformacion.com Página 4 B4T4 ADMINISTRACIÓN LAN TAI netstat [opciones] Muestra las conexiones, interfaces y estadísticas de red -r Muestra la tabla de enrutamiento -i Muestra las interfaces -s Muestra estadísticas de red -a Muestra sockets activos. Añadiendo t (-at) solo conexiones TCP, si u (-au) solo conex. UDP -l Muestra conexiones activas de escucha (LISTEN). Añadiendo t (-lt) solo conexiones TCP, si u (-lu) solo conex. UDP -c Muestra la información con refresco periódico netstat -s netstat -i netstat -r netstat -at ip [opciones] objeto [comando [argumentos]] Asume la funcionalidad de ifconfig y route. Paquete iproute2 Opciones: -s Estadísticas -f Familia de protocolo a usar (inet, inet6, link) Objetos: link Elemento de red address Dirección IP del elemento. Versión corta a utilizar addr route Entrada en la tabla de enrutamiento neigh Caché ARP Comandos: add Añadir objeto. Se combinar con default del Eliminar objeto set Establecer objeto show Ver objeto via Gateway ip link show #Información de eth0 ip add show #Muestra las direcciones IP ip address show dev eth0 #Dirección IP de eth0 ip addr add 192.168.0.103/24 dev eth1 #Configura dir. IP para interfaz eth1 ip -6 addr add 2001:db8::103/64 dev eth1 #Configura dir. IPv6 para interfaz eth1 ip link set eth0 up #Activa interfaz eth0 ip link set eth0 down #Desactiva interfaz eth0 ip route show #Muestra la tabla de enrutamiento ip route add 10.10.20.0/24 via 192.168.50.100 dev eth0 #Añade ruta PABLO ARELLANO www.theglobeformacion.com Página 5 B4T4 ADMINISTRACIÓN LAN TAI ip route add default via 192.168.50.100 #Añade ruta por defecto ip route del 10.10.20.0/24 #Elimina ruta ip neigh show #Muestra la cache ARP ip neigh del 192.168.1.100 dev eth0 #Elimina una entrada de la cache ARP ip neigh flush all #Elimina la cache ARP mtr objetivo [opciones] (My Trace Route) Combina traceroute y ping objetivo Nombre host destino -c Número máximo de ping -i Intervalo de tiempo entre envío de paquetes. Por defecto 1 segundo -r Muestra estadísticas nslookup [opciones] HOST/IP Obtiene IP a partir de un nombre de host o viceversa mediante consulta DNS. Disponible en Linux, Windows y macOS HOST/IP Nombre del host a resolver o IP para obtener el nombre de host nslookup www.inap.es #Obtiene IP para ese nombre de host nslookup 145.239.121.48 #Obtiene nombre de host asociado a esa dirección IP dig [@servidor] [dominio] [tipo] [-x dirIP] [opciones] (Domain Information Groper) Obtiene IP a partir de un nombre de host o viceversa mediante consulta DNS. Disponible en Linux, Windows y macOS @servidor Servidor DNS al que se realiza la petición. Por defecto /etc/resolv.conf dominio Nombre de dominio sobre el que se busca en el DNS tipo Tipo de consulta: por defecto ANY (cualquier entrada), registro A (IPv4), registro AAA (IPv6), registro MX o registro SOA -x Dirección IP por la que se busca el nombre de dominio +short Búsqueda en modo "corto" dig www.correos.es dig www.correos.es a +short dig www.inap mx +short dig www.theglobeformacion.com +short PABLO ARELLANO www.theglobeformacion.com Página 6 B4T4 ADMINISTRACIÓN LAN TAI ssh usuario@host [-p puerto] {comando|'comandos'} (Secure Shell) Inicia sesión en equipo remoto y ejecuta comandos mediante canal seguro. Solicita password para autenticar el usuario suministrado. El servidor escucha por defecto en el puerto 22. Sustituye a telnet, rlogin y rsh. También se puede utilizar el cliente PuTTY usuario Usuario de la máquina remota host Nombre o dirección IP de la máquina remota -p Puerto de escucha del servidor, cuando es distinto de 22 comando Comando a ejecutar en máquina remota comandos Comandos separados por ; a ejecutar en máquina remota. Puede ser un único comando ssh [email protected] uptime ssh u@s1 who ssh usuario@maquina 'who' ssh usuario@s1 'uptime;date;df -h' ssh [email protected] 'echo "Test comando entrecomillado"' ssh -p 28 USUARIO@SERVIDOR who [-a] [-b] [-H] [-m] [-q] [-r] [-u] Información del sistema y usuarios conectados Sin argumentos, muestra el usuario actual, terminal y nombre de host -a Todas las opciones -b Fecha y hora del último inicio del sistema (boot) -H Imprime encabezado para cada columna -m Nombre de host y usuario -q Número total y nombre de usuarios conectados -r Nivel de ejecución (runlevel) -u Nombre de usuarios conectados who -r who -a who -b -u #Ultimo arranque del sistema y usuarios conectados scp [userorigen@hostorigen:]/[dir_file] userdestino@hostdestino:/[dir_dest] (Secure Copy Protocol) Copia ficheros entre dos máquinas a través de un canal seguro userorigen Usuario host origen hostorigen Nombre o dirección IP de la máquina origen dir_file Directorio o ficheros a copiar userdestino Usuario host destino hostdestino Nombre o dirección IP de la máquina destino dir_dest Directorio donde se ubicarán la información copiada PABLO ARELLANO www.theglobeformacion.com Página 7 B4T4 ADMINISTRACIÓN LAN TAI scp /usuario1/dir/info [email protected]:/compartido/informes sftp usuario@host Copia ficheros entre máquinas de forma interactiva usuario Usuario de la máquina remota host Nombre o dirección IP de la máquina remota w [opciones] usuario Información de usuarios conectados y sus procesos (qué están haciendo). Informa también sobre tiempo de conexión y de inactividad arp [-a] [-d] [-n] [-s] (Address Resolution Protocol) Gestiona la caché ARP -a Sin dir. IPv4 muestra toda la caché. Con dir. IPv4 solo las entradas coincidentes -d Sin argumentos borra la caché. Si se indica IPv4 elimina esa entrada -n Muestra la información en formato numérico -s Añade una entrada a la tabla (nombre host, dirección MAC) arp -a #Muestra la caché arp -a 192.168.1.3 #Muestra info de un host arp -d 192.168.1.100 #Elimina una entrada arp -d #Borra la caché arp -s 192.168.1.4 22:22:22:33:33:33 #Añade una entrada 2. Windows En los sistemas Windows disponemos de un conjunto de comandos para la administración de la red: COMANDO CMD DESCRIPCIÓN VERSIÓN WINDOWS Muestra y modifica las entradas incluidas en la caché del arp protocolo de resolución de direcciones (Address Resolution Cualquier Win Procol, ARP). Muestra datos sobre el modo de transferencia asíncrona atmadm XP (Asynchronous Transfer Mode, ATM). Gestiona y establece condiciones para el registro de certreq 11/10/8/7/Vista certificados en organismos de certificación. certutil Gestiona servicios de autenticación de certificados. 11/10/8/7/Vista PABLO ARELLANO www.theglobeformacion.com Página 8 B4T4 ADMINISTRACIÓN LAN TAI Modifica la configuración de un servidor de terminales y se change utiliza junto a los parámetros logon, port o user. Reemplaza 11/10/8/7/Vista a los comandos chglogon, chgport y chgusr. Prueba las apps de la Windows Store en la capacidad de tu checknetisolation 11/10/8 red. Activa, desactiva o elimina los logins en las sesiones del chglogon 11/10/8/7/Vista servidor de terminales. Muestra o modifica la asignación de puertos COM en chgport servidores de terminales para que sean compatibles con 11/10/8/7/Vista DOS. chgusr Cambia el modo de instalación en un servidor de terminales. 11/10/8/7/Vista cmstp Instala o desinstala perfiles para el gestor de la conexión. 11/10/8/7/Vista/XP Crea una nueva cuenta de equipo en los servicios de djoin dominio de Active Directory (Active Directory Domain 11/10/8/7/Vista Services, AD DS). Proporciona información sobre los usuarios en dispositivos finger 11/10/8/7/Vista/XP remotos que utilizan el servicio finger. Transfiere datos a un servidor FTP o de este a un ordenador. El comando también ofrece opciones adicionales, de modo ftp Cualquier Win/DOS que así puede activarse la depuración de programas o debugging con -d. Muestra la dirección MAC de todos los adaptadores de red. getmac El formato de salida (table, list, CSV) se especifica con /FO. 11/10/8/7/Vista/XP Con /S puede utilizarse el comando en sistemas remotos. gpresult Muestra información sobre las directivas de grupo. 11/10/8/7/Vista/XP gpupdate Actualiza la información sobre las directivas de grupo. 11/10/8/7/Vista/XP hostname Ofrece el nombre del host actual. 11/10/8/7/Vista/XP Conecta dos ordenadores por medio de conexión paralela o interlnk DOS en serie para compartir archivos o impresoras. Inicia un servidor Interlnk y transfiere datos de un intersvr ordenador a otro mediante una conexión paralela o en DOS serie. Facilita información sobre la IP de cualquier adaptador de red utilizado. Con este comando también pueden liberarse ipconfig Cualquier Win/DOS direcciones (/release) o renovarse (/renew). /flushdns permite vaciar la caché DNS. Modifica y muestra información sobre tablas de ipxroute XP enrutamiento IPX. Transfiere archivos a través de una conexión por infrarrojos irftp 11/10/8/7/Vista si hubiera una disponible. PABLO ARELLANO www.theglobeformacion.com Página 9 B4T4 ADMINISTRACIÓN LAN TAI Gestiona iSCSI, que permite conexiones con el protocolo iscsicli 11/10/8/7/Vista SCSI. Muestra todos los tickets con los que es posible autenticarse klist en el servicio Kerberos y también permite eliminarlos 11/10/8/7 (purge). ksetup Configura una conexión al servidor Kerberos. 11/10/8/7 Permite compartir redes en el sistema de archivos de red mount (Network File System). Para utilizar el comando deben 7/Vista activarse los servicios NFS. mrinfo Ofrece información sobre el router. 11/10/8/7/Vista/XP Muestra estadísticas y datos sobre conexiones TCP/IP en nbtstat 11/10 ordenadores remotos. net Configura y muestra ajustes de red. Cualquier Win Configura y muestra ajustes de red. En su lugar, se net1 recomienda utilizar net, pues el comando net1 solo fue 11/10/8/7/Vista/XP concebido como solución temporal para problemas Y2K. Inicia el shell de red con el que pueden realizarse ajustes de netsh 11/10/8/7/Vista/XP red para ordenadores locales y remotos. Muestra estadísticas y datos sobre conexiones TCP/IP en el netstat Cualquier Win ordenador local. Gestiona servidores y clientes NFS (para poder utilizar el nfsadmin comando deben activarse primero los servicios de NFS en 7/Vista Windows). Muestra información sobre canales seguros en los servicios nltest de dominio de Active Directory (Active Directory Domain 11/10/8/7 Services, AD DS) y comprueba las conexiones. Envía una solicitud DNS sobre una IP o un nombre de host al nslookup servidor DNS predeterminado. Alternativamente puede 11/10 indicarse un servidor DNS diferente. ntsd Lleva a cabo la depuración (debugging). XP Proporciona información sobre la redirección y pérdida de pathping paquetes durante el envío a través de una red y también 10/8/7/Vista/XP especifica la latencia. Envía una solicitud de eco mediante el protocolo de mensajes de control de Internet (ICMP) a un host específico para comprobar que está disponible y ofrece, además, la ping duración del eco. Con -t pueden enviarse señales ping de Cualquier Win forma ininterrumpida. Para poder visualizar una estadística sobre esta acción presiona las teclas Ctrl+Pausa/Inter. Puedes cancelar el proceso con Ctrl+C. PABLO ARELLANO www.theglobeformacion.com Página 10 B4T4 ADMINISTRACIÓN LAN TAI qappsrv Muestra todos los ordenadores remotos de la red. 11/10/8/7/Vista/XP Proporciona información sobre las sesiones de escritorio qwinsta 11/10/8/7/Vista remoto abiertas. rasautou Gestiona direcciones AutoDialer. 11/10/8/7/Vista/XP rasdial Inicia y finaliza conexiones de red para clientes de Microsoft. 11/10/8/7/Vista/XP Copia archivos de un ordenador Windows en un servidor en rcp 7/Vista/XP el que se está ejecutando un demonio RSDH y viceversa. Firma un archivo de protocolo de escritorio remoto (Remote rdpsign 11/10/7 Desktop Protocol, RDP). Ejecuta comandos en un ordenador remoto en el que se rexec Vista/XP está ejecutando un demonio rexec. Muestra la tabla de enrutamiento (print) y permite route modificar (change), añadir (add) o eliminar (delete) Cualquier Win entradas. Envía una llamada a procedimiento remoto (Remote Procedure Call, RPC) a un servidor RPC. El resultado muestra rpcinfo los programas en el ordenador remoto (para poder utilizar 7/Vista el comando deben activarse los servicios de NFS en Windows). Envía un ping vía llamada a procedimiento remoto (Remote rpcping Procedure Call, RPC) a un servidor y comprueba si es posible 11/10/8/7/Vista establecer así una conexión. Ejecuta comandos en ordenadores remotos en los que está rsh 7/Vista/XP funcionando el programa de Unix Remote Shell (RSH). Crea, elimina y modifica SPN, que hace referencia a setspn identificadores únicos para los servicios de una red que 11/10/8/7 utiliza la autenticación de Kerberos. Supervisa la sesión en un ordenador remoto y con él el shadow usuario puede controlar activamente dicho ordenador 7/Vista/XP remoto. Proporciona información sobre sistemas de archivos NFS. showmount Para utilizar el comando, deben activarse previamente los 7/Vista servicios NFS en Windows. Activa o desactiva un cliente para la Telephony Application tcmsetup Programming Interface (TAPI), una interfaz de 11/10/8/7/Vista/XP programación para aplicaciones de telefonía. Permite la comunicación con otro ordenador que también telnet Cualquier Win/DOS utilice el protocolo Telnet. Permite el intercambio de datos entre el ordenador local y tftp 11/10/8/7/Vista/XP un servidor que soporte el Trivial File Transfer Protocol PABLO ARELLANO www.theglobeformacion.com Página 11 B4T4 ADMINISTRACIÓN LAN TAI (TFTP). Para poder utilizar el comando debe estar activado el cliente TFTP en las opciones del sistema. Gestiona un servidor Telnet en un ordenador local o tlntadmn remoto. Para utilizar el comando deben activarse las 8/7/Vista/XP funciones del servidor Telnet en las opciones del sistema. Hace el seguimiento de un paquete de datos a través de la red hasta que llega a un servidor. No solo se comprueba si el paquete llega y el tiempo que necesita para ello, sino que tracert Cualquier Win también se registran los saltos que este hace por el camino. Todos los paquetes tienen un determinado tiempo de vida (TTL) que aumenta paso a paso a raíz del comando. Conecta la sesión actual del usuario local con una sesión en tscon 11/10/8/7/Vista/XP un ordenador remoto. Finaliza la conexión entre una sesión de usuario local y la de tsdiscon 11/10/8/7/VistaXP un ordenador remoto. tskill Termina un proceso en un ordenador remoto. 11/10/8/7/Vista/XP Apaga o reinicia un servidor de terminales remoto. Si el tsshutdn ordenador correspondiente lo permite, este puede XP apagarse completamente de esta manera. Elimina unidades de sistema de archivos de red (NFS) umount integradas. Para utilizar el comando deben activarse las 7/Vista funciones NFS en el panel de control del sistema. Gestiona el servicio de hora de Windows con el que se w32tm sincronizan la fecha y la hora en todos los ordenadores bajo 11/10/8/7/Vista/XP un dominio AD DS. Envía o espera a una señal. Si esta no se ha de enviar a todos los ordenadores de un dominio, sino a uno específico, se waitfor 11/10/8/7/Vista utiliza el parámetro /S. Este comando permite sincronizar los ordenadores de una misma red entre sí. Crea y administra suscripciones para eventos, los cuales son wecutil reenviados por fuentes de eventos remotas que soportan el 11/10/8/7/Vista protocolo de gestión WS. Administra conexiones seguras entre ordenadores locales y winrm 11/10/8/7/Vista remotos a través del protocolo de gestión WS. A través de una conexión segura permite acceder a las líneas winrs de comandos de un ordenador remoto y realizar cambios. 11/10/8/7/Vista Para desactivar el cifrado debe recurrirse a –un. Gestiona las funciones del Windows Remote Management wsmanhttpconfig 11/10/8/7/Vista (winrm). PABLO ARELLANO www.theglobeformacion.com Página 12 B4T4 ADMINISTRACIÓN LAN TAI Opciones interesantes del comando net: - net accounts: configuración de las políticas de cuentas y contraseñas de una máquina local. - net computer: añade o elimina equipos a un dominio. - net continue: reanuda un servicio. - net config: lista y permite configurar los servicios de un equipo. - net pause: pausa un servicio concreto o pausa todos los servicios. - net start: inicia un servicio o lista los servicios iniciados. - net stop: detiene un servicio. - net group: configuración de grupos globales en un dominio. - net statistics: muestra estadísticas de servicios en ejecución. Equivalente a net stats. - net use: muestra las conexiones de red persistentes y permite conectar/desconectar recursos compartidos. - net share: crea, elimina o lista recursos compartidos. - net time: sincroniza el reloj del equipo con el de otro equipo o dominio. - net view: muestra lista de equipos del dominio actual o los recursos compartidos de un equipo concreto. netsh (Network Shell) permite la administración y configuración de redes locales y remotas, desde la configuración del firewall, gestión de redes hasta la configuración de servidores. La estructura del programa se basa en contextos que representan diferentes niveles de administración. Cada contexto cubre una funcionalidad de red específica (IP, LAN, configuración del cortafuegos…). Contextos más destacables: CONTEXTO DESCRIPCIÓN advfirewall Cortafuegos (directivas y configuración) bridge Puente de red dhcpclient Cliente DHCP dnscliente Configuración cliente DNS http Servidor http interface Configuración IPv4 e IPv6 ipsec Configuración Ipsec lan Interfaces de red LAN wlan Interfaces de red inalámbrica PABLO ARELLANO www.theglobeformacion.com Página 13 B4T4 ADMINISTRACIÓN LAN TAI netsh lan #Cambia el contexto a lan netsh advfirewall #Cambia el contexto al cortafuegos Opciones para los contextos: - set: actualiza los ajustes de configuración. - show: muestra información. - add: añade una entrada de configuración a la lista. - delete borra una entrada de configuración de la lista. - exec: ejecuta un archivo de script. netsh interface show interface #Muestra interfaces de red netsh wlan show profiles #Muestra los perfiles de redes WiFi netsh wlan show interfaces #Muestra detalle interface netsh advfirewall show allprofiles Muestra todos los perfiles netsh advfirewall set currentprofile state on #Activa FW para perfil actual netsh advfirewall set currentprofile state off #Desactiva FW para perfil actual netsh advfirewall set allprofile state on #Activa FW para todos los perfiles netsh advfirewall set allprofile state off #Desactiva FW para todos los perfiles netsh advfirewall add portopening tcp 443 myhttps #Abre el puerto 443 netsh advfirewall delete portopening tcp 443 #Cierra el puerto 443 netsh advfirewall set opmode enable #Activa el cortafuegos netsh advfirewall set opmode disable #Desactiva el cortafuegos netsh advfirewall firewall add rule name= «Open Port 80» dir=in action=allow protoco l=TCP localport=80 #Abre el puerto 80 netsh advfirewall reset #Restaurar valores predeterminados PABLO ARELLANO www.theglobeformacion.com Página 14 B4T4 ADMINISTRACIÓN LAN TAI 2. GESTIÓN DE USUARIOS 1. Sistemas Linux Describimos una serie de ficheros que almacenan la información de usuarios y grupos y los comandos disponibles para la gestión de usuarios. Los ficheros de configuración contienen la información sobre las cuentas de usuario, los grupos y contraseñas. Los ficheros son: - /etc/passwd: contiene las cuentas de usuarios. - /etc/shadow: contiene las contraseñas cifradas de los usuarios. - /etc/group: contiene los grupos de usuarios. - /etc/gshadow: contiene las contraseñas cifradas de los grupos. - /etc/skel/: directorio que contiene el contenido del directorio home para cada nuevo usuario que se vayan añadiendo al sistema. Se usa como plantilla. Ahora, profundizaremos en la información contenida en los ficheros más importantes. (1) /etc/passwd Contiene las cuentas de usuarios. Cada línea se corresponde con un usuario. El formato de cada una de las líneas es: usuario:password:uid:gid:comentario:directorio:shell-inicio CAMPO DESCRIPCIÓN usuario Debe tener entre 1 y 32 caracteres de longitud Un carácter x indica que la contraseña cifrada se almacena en el archivo password /etc/shadow (User ID) número de identificación único de usuario. El UID 0 (cero) está reservado para root y los UID 1-99 están reservados para otras cuentas uid predefinidas. El sistema reserva UID 100-999 adicionales para cuentas/grupos administrativos y del sistema (Group ID) número de identificación único de grupo. Varios usuarios gid pueden tener el mismo grupo. Los datos de los grupos se encuentran /etc/group Información adicional sobre el usuario, como el nombre completo del comentario usuario, el número de teléfono, etc. Conocido como campo GECOS (General Electric Comprehensive Operating Supervisor) PABLO ARELLANO www.theglobeformacion.com Página 15 B4T4 ADMINISTRACIÓN LAN TAI (Home directory) ruta absoluta del directorio de inicio del usuario. Los directorio usuarios suelen tenerlo en /home Shell que utiliza por defecto el usuario. Por defecto /bin/bash. Los daemos shell suelen especificar para este campo /usr/bin/false o /usr/bin/nologin como medida de seguridad Ejemplo: root:x:0:0:root:/root:/bin/bash pepe:x:1002:1002:Pepe Pótamo,123,981234321,:/home/pepe:/bin/bash (2) /etc/shadow Contiene las contraseñas cifradas de los usuarios. Cada línea se corresponde con un usuario. El formato de cada una de las líneas es: usuario:password:lastchg:min:max:warn:inactive:expire:reserved CAMPO DESCRIPCIÓN usuario Nombre de usuario password Contraseña cifrada Días que han pasado desde la última vez que se cambió la contraseña, lastchg contados en número de días desde el 01/01/1970 min Número mínimo de días antes de que la contraseña pueda ser cambiada max Número de días de validez de la contraseña warn Número días en que se avisa al usuario de que la contraseña va a caducar inactive Nº de días en que se deshabilitará la cuenta tras caducar la contraseña expire Días en que la cuenta se deshabilitará, contados desde el 1/1/1970 reserved Campo reservado para usos futuros Ejemplo: pepe:$1$.QKDPc5E$SWlkjRWexrXYgc98F.:12825:0:90:5:30:13096: (3) /etc/group Contiene los grupos de usuarios. Cada línea se corresponde con un grupo. El formato de cada una de las líneas es: grupo:password:gid:miembros PABLO ARELLANO www.theglobeformacion.com Página 16 B4T4 ADMINISTRACIÓN LAN TAI CAMPO DESCRIPCIÓN grupo Nombre del grupo Un carácter x indica que la contraseña cifrada se almacena en el archivo password /etc/gshadow. Si está vacío no requiere contraseña gid (Group ID) Número de identificación único de grupo Lista separada por comas con los nombres de usuario que pertenecen a miembros ese grupo Ejemplo: users:x:100:pepe,elena COMANDOS DE GESTIÓN DE USUARIOS CREAR UN USUARIO useradd [-c comentario] [-d homedir] [-e expire] [-f inactive] [-g gid] [-G group1,...] [-m] [-p password] [-s shell] [-u uid] usuario Crea un usuario OPCIÓN DESCRIPCIÓN Comentario, es decir, información adicional sobre el usuario, como el -c nombre completo del usuario o el número de teléfono -d Directorio del usuario. El directorio por defecto es /home/usuario -e Fecha en la que se deshabilitará la cuenta. Formato YYYMMDD Número de días a partir de la fecha de expiración de la contraseña en la -f cual la cuenta se deshabilitará. Grupo primario del usuario (debe existir previamente) mediante el -g nombre o el gid -G Lista de grupos secundarios separados por comas -m Directorio del usuario a crear si no existe -p Contraseña del usuario cifrada -s Shell del usuario -u uid del usuario PABLO ARELLANO www.theglobeformacion.com Página 17 B4T4 ADMINISTRACIÓN LAN TAI usuario Nombre del usuario a crear useradd anabel -g primario -G secundario1,secundario2 useradd -c "Pablo Arellano" pablo El fichero /etc/default/useradd contiene los valores por defecto cuando se añade un usuario con el comando useradd. como su grupo, raíz del home, shell, sus grupos secundarios, ubicación del esqueleto (skel) para el home, etc. ELIMINAR UN USUARIO userdel [-r] usuario Elimina un usuario. Por defecto no se elimina el directorio del usuario OPCIÓN DESCRIPCIÓN -r Elimina el directorio del usuario usuario Nombre del usuario a eliminar userdel usuario userdel -r juan MODIFICAR UN USUARIO usermod [-a] [-d homedir] [-e] [-f] [-g gid] [-G group1,...] [-l nuevonombreusuario] [-L] [-m] [-s shell] [-u uid] [-U] usuario Realiza modificaciones sobre los datos de un usuario en /etc/passwd OPCIÓN DESCRIPCIÓN -a Añade los grupos. Usado en combinación con -G -d Nuevo directorio del usuario -e Fecha de caducidad de la cuenta -g Nuevo grupo primario del usuario Lista de grupos separados por comas y sin espacios a los que el usuario pertenecerá. Si el usuario pertenecía a un grupo no indicado en la lista -G dejará de pertenecer a él. Para añadir la lista de grupos a los ya existentes se requiere la opción -a -l Nuevo nombre de usuario PABLO ARELLANO www.theglobeformacion.com Página 18 B4T4 ADMINISTRACIÓN LAN TAI -L Bloquea la cuenta de usuario -m Mueve el directorio del usuario. Implica opción -d -s Nuevo shell -u Nuevo uid del usuario -U Desbloquea la cuenta de usuario usuario Nombre del usuario a modificar usermod -g grupo usuario #Modifica el grupo primario del usuario usermod -G grupo usuario #Reemplaza el grupo del usuario usermod -a -G grupo usuario #Añade el grupo al usuario OTROS COMANDOS PARA LA GESTIÓN DE USUARIOS passwd [-d] [-i num] [-l] [-n num] [-S] [-u] [-x num] [-w num] [usuario] Gestión de contraseñas de usuarios Sin argumentos, cambia la contraseña del usuario actual -d Elimina la contraseña del usuario -i Número de días antes de deshabilitar la cuenta después de que caduque la contraseña -l Bloquea la cuenta del usuario -n Número de días antes de que la contraseña pueda ser cambiada -S Muestra el estado de una cuenta -u Desbloquea la cuenta del usuario -x Número de días de validez de la contraseña -w Número de días antes de que caduque la contraseña en que se avisa al usuario passwd -l juan #Bloquea la cuenta juan, usermod -L juan passwd -n 10 -x 60 -w 7 -i 4 anabel #Modificaciones de la cuenta anabel: debe esperar 10 días para poder cambiar la contraseña, la contraseña es válida para un periodo de 60 días, se le avisa con 7 días de antelación que debe cambiar la cont raseña y si la contraseña no se cambió durante la validez (60 días) dispone 4 día s desde que caducó la contraseña antes de que su cuenta sea deshabilitada. chage [-d num] [-E num] [-I num] [-l] [-m num] [-M num] usuario (Change age) Gestión de la caducidad de las contraseñas de usuarios -d Fecha de última modificación de la contraseña (desde 01/01/1970) -E Fecha de caducidad de la contraseña (desde 01/01/1970) -I Inactividad, equivale a passwd -i -l Muestra información de caducidad de la cuenta -m Número de días mínimo, equivale a passwd -n -M Validez, equivale a passwd -x PABLO ARELLANO www.theglobeformacion.com Página 19 B4T4 ADMINISTRACIÓN LAN TAI chage -l pepe #Muestra información de caducidad del usuario pepe chage -I 5 anabel #La cuenta se bloquea a los 5 días de la caducidad de la contra seña si no ha sido modificada chage -M 30 juan #Validez de 30 días de la contraseña, passwd -x 30 juan finger usuario Información del usuario chfn [usuario] Cambio de información del usuario (campo comentario o GECOS) Sin argumentos, cambia la información del usuario actual chsh [-l] -s shell [usuario] (Change Shell) Cambio de shell Sin argumentos, cambia el shell para el usuario actual -l Listado de shells disponibles (fichero /etc/shells) -s Nuevo shell. También se puede indicar la opción --shell chsh --shell /bin/sh pedro #cambia el shell al usuario pedro id [usuario] Muestra información del uid y gid del usuario actual o del usuario pasado como argumento pwck Verificación de la integridad de la información en /etc/passwd y /etc/shadow Para la creación de usuarios existe una "variante" denominada adduser. A diferencia del comando useradd, adduser es un script que internamente utiliza useradd. De la misma manera, para la eliminación de usuarios tenemos el script deluser, el cual hace uso del comando userdel. Estos scripts suelen ser utilizados en distribuciones Debian. Se apoyan en los siguientes ficheros de configuración: - /etc/adduser.conf: valores por defecto cuando se añaden usuarios con adduser. - /etc/deluser.conf: valores por defecto cuando se eliminan usuarios con deluser. PABLO ARELLANO www.theglobeformacion.com Página 20 B4T4 ADMINISTRACIÓN LAN TAI COMANDOS DE GESTIÓN DE GRUPOS Debemos de tener en cuenta en relación con los grupos de usuarios que cada usuario pertenece a un grupo principal o primario y puede pertenecer a uno o varios grupos secundarios. CREAR UN GRUPO groupadd [-g gid] grupo Crea un grupo OPCIÓN DESCRIPCIÓN -g GID grupo Nombre del grupo a crear groupadd alumnos #Añade un grupo ELIMINAR UN GRUPO groupdel grupo Elimina un grupo OPCIÓN DESCRIPCIÓN grupo Nombre del grupo a eliminar groupdel profesores #Elimina el grupo profesores MODIFICAR UN GRUPO groupmod [-g gid] [-n nuevonombregrupo] grupo Modifica la información de un grupo OPCIÓN DESCRIPCIÓN -g Nuevo GID -n Nuevo nombre del grupo grupo Nombre del grupo a modificar PABLO ARELLANO www.theglobeformacion.com Página 21 B4T4 ADMINISTRACIÓN LAN TAI groupmod -n nombrenuevo nombreantiguo #Cambia el nombre de un grupo groupmod -g 1500 profesores #Cambia el gid del grupo profesores OTROS COMANDOS PARA LA GESTIÓN DE GRUPOS gpasswd [-a usuario] [-A usuario1,…] [-d usuario] [-r] grupo Añade y elimina usuarios a un grupo -a Añade el usuario al grupo -A Usuarios que serán administradores de grupo -d Elimina el usuario del grupo -r Elimina la contraseña del grupo gpasswd -a pepe docker #Añade el usuario pepe al grupo docker gpasswd -d pepe docker #Elimina el usuario pepe del grupo docker gpasswd -r docker #Elimina la contraseña del grupo docker gpasswd -A ana,pepe docker #Añade ana y pepe como admins del grupo docker newgrp grupo Cambia el grupo durante la sesión actual groups usuario Muestra los grupos a los que pertenece un usuario grpck Verificación de la integridad de la información en /etc/group y /etc/gshadow Para la creación de grupos existe una "variante" denominada addgroup. A diferencia del comando groupadd, addgroup es un script que internamente utiliza groupadd. De la misma manera, para la eliminación de grupos tenemos el script delgroup, el cual hace uso del comando groupdel. Estos scripts suelen ser utilizados en distribuciones Debian. PABLO ARELLANO www.theglobeformacion.com Página 22 B4T4 ADMINISTRACIÓN LAN TAI 2. Sistemas Windows Ver concepto y organización del Active Directory en B2T4 SSOO. GESTIÓN DE USUARIOS Y GRUPOS EN LÍNEA DE COMANDOS GESTIÓN DE USUARIOS LÍNEA DE COMANDOS net user [usuario] [usuario [contraseña | *] [opciones]] [/DOMAIN] usuario {contraseña | *} /ADD [opciones] [/DOMAIN] usuario [/DELETE] [/DOMAIN] usuario [/TIMES:{tiempos | ALL}] usuario [/ACTIVE: {YES | NO}] Por defecto, muestra las cuentas del sistema OPCIÓN DESCRIPCIÓN usuario Nombre del usuario Contraseña del usuario. Si se indica * la contraseña es mostrada cuando contraseña es introducida /DOMAIN Dominio en el que se realizará la operación /ADD Añadir la cuenta de usuario al sistema /DELETE Eliminar la cuenta de usuario del sistema Horas permitidas para inicio de sesión. All permite el inicio en cualquier /TIMES momento /ACTIVE Habilita/Deshabilita la cuenta del usuario net user #Muestra las cuentas de usuario dadas de alta en el sistema net user fernando #Muestra info del usuario fernando net user pablo * #Cambia la contraseña del usuario pablo net user /add ana * #Crea el usuario ana y se especifica la contraseña net user /delete juan #Elimina el usuario juan net user /active:no ana #Deshabilita el usuario ana PABLO ARELLANO www.theglobeformacion.com Página 23 B4T4 ADMINISTRACIÓN LAN TAI GESTIÓN DE GRUPOS LÍNEA DE COMANDOS net localgroup [grupo] [grupo usuario /ADD grupo usuario [/DELETE] Por defecto, muestra los grupos del sistema OPCIÓN DESCRIPCIÓN grupo Nombre del grupo usuario Nombre del usuario /ADD Añadir la cuenta de usuario al grupo /DELETE Eliminar la cuenta de usuario del grupo net localgroup #Muestra los grupos del sistema net localgroup administradores #Muestra info del grupo y lista los miembros net localgroup grupotic /add #Añade el grupo grupotic net localgroup gruporrhh /delete #Elimina el grupo gruporrhh net localgroup grupotic fernando /add #Añade a grupotic el usuario fernando net localgroup grupotic ana /delete #Elimina de grupotic el usuario ana GESTIÓN DE USUARIOS Y GRUPOS EN POWERSHELL GESTIÓN DE USUARIOS Get-LocalUser [-Name nombreusuario] Lista las cuentas de usuarios locales Sin argumentos, muestra todos los usuarios del sistema -Name Nombre de usuario Get-LocalUser #Lista las cuentas de usuario Get-LocalUser -Name pepe #Muestra información del usuario pepe New-LocalUser [-AccountExpires fecha] [-AccountNeverExpires] [-Description escript] [-Disabled] [-FullName nombrecompleto] [-Name nombreusuario] [-NoPassword] -Password contraseña [-PasswordNeverExpires] PABLO ARELLANO www.theglobeformacion.com Página 24 B4T4 ADMINISTRACIÓN LAN TAI Crea una cuenta de usuario local -AccountExpires Fecha de expiración de la cuenta -AccountNeverExpires Cuenta nunca expira -Description Comentario para el usuario (longitud máx. 48 caracteres) -Disabled La cuenta de usuario está deshabilitada -FullName Nombre completo para el usuario -Name Nombre para el usuario -NoPassword Cuenta sin contraseña -Password Cuenta con contraseña -PasswordNeverExpires Contraseña nunca expira New-LocalUser -Name “User02” -Description “Descripción” -NoPassword New-LocalUser “User03” -Password $Password -FullName “Nombre escript” Set-LocalUser [-AccountExpires fecha] [-AccountNeverExpires] [-Description descrip] [-FullName nombrecompleto] [-Name nombreusuario] [-Password contraseña] [-PasswordNeverExpires] Modifica una cuenta de usuario local -AccountExpires Fecha de expiración de la cuenta -AccountNeverExpires Cuenta nunca expira -Description Comentario para el usuario (longitud máx. 48 caracteres) -FullName Nombre completo para el usuario -Name Nombre del usuario -Password Cuenta con contraseña -PasswordNeverExpires Contraseña nunca expira Set-LocalUser -Name “Admin07” -Description “Cambio escript ón de la cuenta” Remove-LocalUser [-Name] nombreusuario Elimina una cuenta de usuario local -Name Nombre del usuario Rename-LocalUser [-Name] nombreusuario [-NewName] nuevonombreusuario Modifica el nombre del usuario -Name Nombre actual del usuario -NewName Nombre nuevo del usuario Rename-LocalUser -Name “Admin02” -NewName “Admin0003” PABLO ARELLANO www.theglobeformacion.com Página 25 B4T4 ADMINISTRACIÓN LAN TAI Disable-LocalUser [-Name] nombreusuario Deshabilita la cuenta del usuario -Name Nombre del usuario Disable-LocalUser -Name “Admin02” Enable-LocalUser [-Name] nombreusuario Habilita la cuenta del usuario -Name Nombre del usuario Enable-LocalUser -Name “Admin02” GESTIÓN DE GRUPOS Get-LocalGroup [-Name nombregrupo] Lista los grupos locales Sin argumentos, muestra todos los grupos del sistema -Name Nombre del grupo Get-LocalGroup -Name “Administrators” Get-LocalGroupMember [-Name nombregrupo] Lista los miembros de un grupo local -Name Nombre del grupo Get-LocalGroupMember administradores New-LocalGroup [-Description escript] [-Name nombregrupo] Crea un grupo local -Description Comentario para el grupo (longitud máx. 48 caracteres) -Name Nombre para el grupo New-LocalGroup -Name "SecurityGroup04" New-LocalGroup grupo PABLO ARELLANO www.theglobeformacion.com Página 26 B4T4 ADMINISTRACIÓN LAN TAI Add-LocalGroupMember [-Group grupo] [-Member miembro] Añade miembros a un grupo local -Group Grupo para el que se añadirán miembros -Member Array de usuarios que se añadirán al grupo Add-LocalGroupMember -Group "Administrators" -Member "Admin02", "MicrosoftAccount \[email protected]", "AzureAD\[email protected]", "CONTOSO\Domain Admins" Add-LocalGroupMember -Member usuario -Group administradores Set-LocalGroup [-Description descrip] [-Name nombregrupo] Modifica un grupo local -Description Comentario para el grupo (longitud máx. 48 caracteres) -Name Nombre del grupo Set-LocalGroup -Name "SecurityGroup04" -Description "Nueva descripción." Remove-LocalGroupMember [-Group grupo] [-Member miembro] Elimina un usuario de un grupo local -Group Grupo para el que se eliminarán miembros -Member Array de usuarios que se eliminarán del grupo Remove-LocalGroupMember -Member usuario,usuario3 -Group grupo Remove-LocalGroup [-Name] nombregrupo Elimina un grupo local -Name Nombre de grupo Rename-LocalGroup [-Name] nombregrupo [-NewName] nuevonombregrupo Modifica el nombre del grupo -Name Nombre actual del grupo -NewName Nombre nuevo del grupo Rename-LocalGroup -Name "SecurityGroup" -NewName "SecurityGroup04" PABLO ARELLANO www.theglobeformacion.com Página 27 B4T4 ADMINISTRACIÓN LAN TAI 3. GESTIÓN DE DISPOSITIVOS MÓVILES El desarrollo de los dispositivos y comunicaciones móviles y de las tecnologías inalámbricas en los últimos años ha revolucionado la forma de trabajar y comunicarse. El uso creciente de estas tecnologías sitúa a los dispositivos móviles como uno de los objetivos principales de las ciberamenazas. Se considera dispositivo móvil aquel dispositivo de uso personal o profesional de reducido tamaño que permite la gestión de información y el acceso a redes de comunicaciones y servicios, y que habitualmente dispone de capacidades de telefonía, tanto de voz como de datos, como por ejemplo teléfonos móviles, smartphones, tablets y PDAs, independientemente de sí disponen de teclado o pantalla táctil. 1. Modelos de propiedad de los dispositivos En el diseño del sistema de comunicaciones móviles de una organización, una de las primeras decisiones que debe tomar la organización es el modelo de propiedad de los dispositivos utilizados para acceder a, o manejar datos de la organización. Estos modelos suelen dividirse en cuatro grupos (según guía CCN-STIC 496): - BYOD (Bring Your Own Device): el dispositivo es adquirido y es propiedad del usuario final que lo pone a disposición de la organización con fines profesionales. Entre otras, este modelo destaca por estas características: o La organización puede gestionar parte del dispositivo. o No existe trazabilidad ni cadena de custodia del dispositivo por lo que el punto inicial de seguridad se obtiene mediante diagnosis. Variante: BYOA (Bring Your Own App), los usuarios instalan apps de los mercados de aplicaciones públicos en sus dispositivos móviles personales o corporativos para incrementar su productividad, empleándolas para realizar sus tareas profesionales y manejar, por tanto, datos corporativos. - CYOD (Choose your own device): es una solución intermedia entre los modelos COPE y COBO. Permite a los trabajadores la elección del modelo de dispositivo entre varios de una lista elaborada previamente por la organización que a su vez conserva el control total del dispositivo y establece las condiciones de seguridad y uso, pudiendo permitir o denegar su utilización para fines personales. - COPE (Corporate Owned, Personally Enabled): el dispositivo es propiedad de la organización. Es puesto a disposición del usuario para el desempeño de sus funciones profesionales, habilitándose desde la organización un espacio separado para albergar y manejar datos de carácter personal del usuario final. La organización gestiona parte o la totalidad del dispositivo. PABLO ARELLANO www.theglobeformacion.com Página 28 B4T4 ADMINISTRACIÓN LAN TAI - COBO (Corporate Owned, Business Only): el dispositivo es propiedad de la organización y es puesto a disposición del usuario únicamente para el desempeño de sus funciones profesionales. La organización gestiona la totalidad del dispositivo. El modelo de despliegue recomendado por el Centro Criptológico Nacional es el modelo COBO, en el que todo el dispositivo es gestionado por la organización y está orientado en exclusiva a la realización de tareas profesionales. Las razones para la recomendación de este modelo de propiedad/despliegue se clasifican según el punto de vista: - Técnico: el nivel de riesgo introducido por una zona "personal" en un dispositivo corporativo, así como la no trazabilidad e imposibilidad de gestionar las cuentas personales del usuario, recomienda este modelo. - Legal: las implicaciones de habilitar una zona para uso personal por parte del usuario final en un dispositivo que es propiedad de un organismo quedan supeditadas al interés general y a la prestación del servicio público correspondiente. 2. Gestión de los dispositivos La utilización y amplia adopción, sin precedentes, de los dispositivos móviles como herramientas básicas de productividad en el ámbito profesional, junto a su utilización simultánea en el ámbito personal, hacen necesario que las organizaciones realicen una gestión minuciosa, exhaustiva y continua de los mismos, acorde con las políticas de seguridad de la organización. Las soluciones tecnológicas que permiten la gestión de los dispositivos móviles a nivel empresarial se conocen como MDM (Mobile Device Management). Estas soluciones permiten gestionar de forma eficiente la diversidad y el despliegue masivo, dinámico y a gran escala de dispositivos móviles en una organización, con un enfoque principalmente orientado a incrementar su seguridad, y mejorando colateralmente la productividad del usuario final. El principal objetivo de las soluciones MDM es permitir la correcta gestión de los dispositivos móviles asociados a la organización y reducir su superficie de exposición frente a ataques de seguridad, incluyendo la protección del propio dispositivo móvil, de sus comunicaciones y de la información y datos que gestiona y almacena. Otra de las principales áreas de gestión asociada a los dispositivos móviles es la de la gestión de las aplicaciones móviles que pueden ser instaladas en estos. El término empleado para la gestión de aplicaciones móviles es MAM (Mobile Application Management) o MEAM (Mobile Enterprise Application Management), y las soluciones asociadas pueden estar integradas o no en las soluciones MDM. A la vista de los riesgos derivados del uso de dispositivos móviles, los organismos están considerando la implantación de soluciones para gestionar centralizadamente tal equipamiento, tanto si se trata de dispositivos propiedad de los propios usuarios como si se trata de dispositivos cuyo titular es la propia organización. Mediante estas soluciones las PABLO ARELLANO www.theglobeformacion.com Página 29 B4T4 ADMINISTRACIÓN LAN TAI instituciones pueden estar en mejores condiciones para gestionar tales equipamientos y propiciar un acceso más seguro a los recursos corporativos. Conceptos clave: - MDM (Mobile Device Management): gestión de dispositivos móviles. Permiten gestionar de forma eficiente la diversidad y el despliegue masivo, dinámico y a gran escala de dispositivos móviles en una organización, con un enfoque principalmente orientado a incrementar su seguridad, y mejorando colateralmente la productividad del usuario final. - MAM (Mobile Application Management): gestión de las aplicaciones móviles. Gestiona una o varias aplicaciones específicas dentro de cada dispositivo móvil. - MCM (Mobile Content Management): gestión del contenido móvil. - EMM (Enterprise Mobility Management): gestión de la movilidad de la empresa. Pone el foco en la seguridad de la información corporativa y las aplicaciones, en lugar de la protección del dispositivo en sí mismo. - MTD (Mobile Threat Defense): defensa contra las amenazas móviles. Solución de seguridad para proteger tanto los dispositivos como el acceso a las redes corporativas. - UEM (Unified Endpoint Management): gestión unificada de terminales. Solución tecnológica que permite el control y gestión remota de todos los dispositivos (móviles, portátiles, equipos de escritorio, IoT, wearables…) de diferentes plataformas, los contenidos y las aplicaciones en una organización de una forma integrada. La función común a estas denominaciones será la gestión y monitorización de los dispositivos finales y de la información manejada a través de los mismos. Debido al dinamismo propio del sector de la ciberseguridad y en especial de la tecnología móvil, se podrán encontrar diferentes denominaciones para éste, dependiendo de la perspectiva del fabricante. Actualmente se ha evolucionado de MDM a UEM. Mobile Device Management (MDM) Se trata de un software centralizado que permite la gestión, monitorización y securización de los dispositivos móviles desplegados en la organización que, en general, deberán tener instalado el correspondiente software-cliente. Mediante este sistema, las organizaciones pueden distribuir de forma remota aplicaciones a los dispositivos móviles y determinar las opciones de configuración y datos de cada uno de ellos. La posibilidad de gestionar diferentes tipos de dispositivos y marcas facilita el uso de dispositivos propiedad de los usuarios (BYOD) como instrumentos de acceso a recursos corporativos. La posibilidad de gestionar los controles de configuración de cada uno de los dispositivos sujetos al ámbito de aplicación de la solución MDM de que se trate, facilita igualmente la adopción de medidas de seguridad, reduciendo el riesgo inherente al uso de tales dispositivos. Las soluciones MDM contemplan cuatro componentes: - Un servidor centralizado que envía las órdenes de gestión a los dispositivos móviles. PABLO ARELLANO www.theglobeformacion.com Página 30 B4T4 ADMINISTRACIÓN LAN TAI - Un software-cliente instalado en cada dispositivo móvil que recibe y ejecuta tales órdenes. - Una base de datos centralizada que contiene el estado de situación de cada uno de los dispositivos móviles del ámbito de la solución MDM. - Un modelo de comunicación entre el servidor centralizado y cada uno de los dispositivos móviles, denominado OTA (Over-the-air programming), capaz de configurar remotamente un dispositivo concreto, un conjunto determinado de ellos, o la totalidad del parque de dispositivos móviles de su ámbito de gestión, incluyendo actualizaciones de software y sistemas operativos, bloqueo y borrado remoto de los dispositivos, análisis remoto, etc. Características de las soluciones MDM: - Registro de los dispositivos móviles en la solución MDM. - Inventario y monitorización. - Configuración de los dispositivos móviles. - Mecanismos de seguridad: gestión de las políticas de seguridad y mecanismos de protección. - Gestión de las comunicaciones: NFC, bluetooth, WiFi, 2/3/4/5G y VPN. - Gestión de aplicaciones: MAM y gestión de contenidos y datos corporativos (MCM). Lista ordenada alfabéticamente con algunos de los fabricantes de soluciones MDM actuales: - Absolute Software. - LANDesk. - Afaria (SAP/Sybase). - McAfee. - AirWatch (VMware). - Meraki (Cisco). - Amtel. - Microsoft Intune. - BlackBerry. - Mobile Active Defense. - BoxTone. - MobileIron. - Citrix Endpoint Management. - Odyssey (Symantec). - Dialogs Smartman (Sophos). - RhoGallery. - Excitor. - Sophos Mobile Control. - FancyFon. - Soti. - Fiberlink MaaS360. - Symantec. - Good Technology. - Tangoe. - IBM Tivoli. - Trend Micro Mobile Security. - Kaseya. - Unwired Revolution DeviceLink. - Kaspersky Lab. - Zenprise (Citrix). PABLO ARELLANO www.theglobeformacion.com Página 31 B4T4 ADMINISTRACIÓN LAN TAI Mobile Application Management (MAM) Se trata de una solución similar a MDM, salvo que en este caso se dirige a gestionar una o varias aplicaciones específicas dentro de cada dispositivo móvil, en vez de gestionar la totalidad del dispositivo. El propósito de este mecanismo es permitir únicamente la gestión, actualización o borrado de las aplicaciones o los datos residentes en el dispositivo móvil de naturaleza corporativa, manteniendo inalterado el resto de las aplicaciones que pudiera contener el dispositivo. Por ejemplo, una organización podría utilizar MAM para ofrecer servicios de correo electrónico seguro y calendario a un determinado dispositivo (o grupo de dispositivos), exigiendo una autenticación específica para el acceso a tales aplicaciones, y liberando al usuario de tales requisitos cuando accediera a la parte privada de su dispositivo móvil. Esta solución es especialmente útil para la gestión de políticas de seguridad, cifrado selectivo de datos, borrado y bloqueos remotos, etc. Además, desde el punto de vista de la privacidad del usuario, esta solución posibilita que la organización no tenga visibilidad sobre el comportamiento del usuario más allá de las aplicaciones corporativas. Unified Endpoint Management (UEM) Solución integrada para gestionar de forma centralizada todas las aplicaciones y todos los dispositivos unificando la gestión de cualquier terminal en múltiples plataformas y modelos de propiedad. Soluciones UEM: - Citrix Endpoint Management. - MobileIron UEM. - IBM Security MaaS360 with Watson. - Sophos Mobile. - Ivanti UEM. - VMware Workspace ONE. 3. Guías de Seguridad CCN-STIC - CCN-STIC 496: Sistemas de comunicaciones móviles seguras. - CNN-STIC 827: Gestión y uso de dispositivos móviles. PABLO ARELLANO www.theglobeformacion.com Página 32 B4T4 ADMINISTRACIÓN LAN TAI 4. MONITORIZACIÓN Y CONTROL DEL TRÁFICO La ISO define la gestión de red como el conjunto de elementos de control y supervisión de los recursos que permiten que la comunicación tenga lugar sobre la red. La gestión de red está formada básicamente por cuatro componentes: - Plataforma de gestión o elemento que supervisa. Este componente se denomina NMS (Network Management Server) y se usa para gestionar toda la red. Recibe toda la información y la muestra una vez que filtra lo que realmente es importante. - El elemento a gestionar. Este elemento se denomina NMA (Network Management Agent). El NMA es un elemento de la red como pueden ser los encaminadores, conmutadores, hosts, etc. A la vez, cada nodo de red contiene una colección de software encargado de las tareas de gestión. Este software se denomina NME (Network Management Entity). - El protocolo de diálogo entre el agente y el servidor. Genéricamente, es el software de comunicación. El protocolo más común es SNMP. - Los objetos a gestionar. Estos objetos son los recursos de los dispositivos a gestionar. Se agrupan normalmente en una especie de base de datos denominada MIB (Management Information Base). 1. Modelo de gestión de red OSI El modelo de gestión de red OSI de ISO, conocido como modelo FCAPS (Fault, Configuration, Accounting, Performance, Security), es un modelo bien estructurado que divide las funciones de administración de redes en 5 áreas de gestión. - Fallos (Fault). Comprende la detección, el aislamiento y la corrección de fallos, así como la corrección de la operación anormal. Incluye funciones para: o Mantener y examinar registros de error. o Aceptar notificaciones de detección de error y reaccionar a las mismas. o Rastrear e identificar fallos. o Efectuar secuencias de pruebas de diagnóstico. o Eliminar fallos. - Configuración (Configuration). El objetivo es obtener datos de la red y utilizarlos para mantener los componentes y recursos. Tareas fundamentales: o Recolección automatizada de datos sobre el inventario y estado de la red, tales como versiones software y hardware de los distintos componentes. o Cambio en la configuración de los recursos. o Almacenamiento de los datos de configuración. PABLO ARELLANO www.theglobeformacion.com Página 33 B4T4 ADMINISTRACIÓN LAN TAI - Contabilidad (Accounting). Tiene como misión la gestión del uso de los recursos de la red por usuarios y aplicaciones. Tareas: o Recolección de datos sobre la utilización de los recursos. o Establecimiento de cuotas. - Rendimiento o desempeño (Performance). Evalúa el comportamiento de recursos que conforman la red para mantener el nivel de servicio que la red ofrece a sus usuarios. Tareas: o Recolección de información estadística (troughput, latencia). o Análisis de los datos para determinar los niveles normales de rendimiento. o Establecimiento de niveles mínimos de rendimiento que pueden ser tolerados. o Determinación de un sistema de procesado periódico de los datos de prestación de los distintos recursos. - Seguridad (Security). Tiene como finalidad establecer mecanismos para la autorización, control de acceso y confidencialidad. Funciones: o Identificación de recursos sensibles en la red (ficheros, elementos de red). o Determinación de las relaciones entre los recursos sensibles de la red y los grupos de usuarios. o Monitorización de los puntos de acceso a los recursos sensibles de red. o Almacenamiento de los intentos de acceso no autorizados a estos recursos, para su posterior análisis. El modelo OSI incluye 4 componentes claves en la administración de red: - CMIS (Common Management Information Services). Es el servicio para la colección y transmisión de información de administración de red a las entidades de red que lo soliciten. - CMIP (Common Management Information Protocol). Es el protocolo de OSI que soporta a CMIS, y proporciona el servicio de petición/respuesta que hace posible el intercambio de información de administración de red entre aplicaciones. - MIB (Management Information Base). Define un modelo conceptual de la información requerida para tomar decisiones de administración de red. Es una base de datos jerárquica que contiene todos los objetos a administrar. La información en la MIB incluye: número de paquetes transmitidos, número de conexiones intentadas, datos de contabilidad, etc... La MIB se describe en formato ASN.1, según establece el modelo OSI. - Servicios de Directorio: Define las funciones necesarias para administrar la información nombrada, como la asociación entre nombres lógicos y direcciones físicas. PABLO ARELLANO www.theglobeformacion.com Página 34 B4T4 ADMINISTRACIÓN LAN TAI 2. Modelo de gestión de red TCP/IP En los inicios de lo que conocemos como Internet no existían los protocolos de gestión como tal. La única herramienta que se utilizaba para "gestión" era el protocolo ICMP (Internet Control Message Protocol). ICMP se encuentra disponible en todos los dispositivos IP y en sus inicios era un mecanismo que servía para testear (echo/reply) la comunicación entre parejas de dispositivos. El receptor del mensaje echo está obligado a responder a quien le realiza la petición. A la vez, también resulta útil para obtener otras informaciones muy interesantes, como el retraso en la red. El ejemplo más conocido del uso del protocolo ICMP es el programa ping (packet Internet grouper). Con esta sencilla herramienta se pueden observar, por ejemplo, las variaciones en el retraso extremo a extremo, la pérdida de paquetes, de manera que puede ayudar entre otras cosas a determinar áreas de congestión y puntos de fallo. Las propuestas más interesantes fueron: - Simple Network Management Protocol (SNMP) y - CMIP sobre TCP/IP (CMOT). Para facilitar la transición de SNMP a CMOT (Common Management Information Services and Protocol Over TCP/IP), los dos protocolos emplean la misma base de administración de objetos MIB (Management Information Base). A finales de los ochenta, la IAB (Internet Architecture Board) revisó las propuestas y aprobó que SNMP fuera desarrollado como una solución a corto plazo, mientras que se planteaba CMOT como la solución hacia donde se debía ir. La simplicidad del protocolo SNMP hizo que pronto fuera el protocolo elegido por los fabricantes. Arquitectura El modelo de gestión de red TCP/IP consta de cuatro componentes clave: - La estación de gestión o gestor. - Los agentes de gestionados. - La base de datos de gestión (MIB). - El protocolo de gestión de red. PABLO ARELLANO www.theglobeformacion.com Página 35 B4T4 ADMINISTRACIÓN LAN TAI La estación de gestión o gestor ejecuta aplicaciones (consola de administración) que supervisan y controlan a los agentes gestionados. Los agentes gestionados son el equipamiento lógico (software de administración de red) alojado en los dispositivos a gestionar de la red (dispositivo administrado). Almacena datos de gestión y responde a las peticiones asociadas a estos datos. De manera asíncrona (traps) pueden proporcionar información al gestor sin que éste lo solicite. Los agentes gestionados, también denominados elementos de red, pueden ser routers, servidores, switches, bridges, hubs, computadores, impresoras... Estos agentes recogen y almacenan información de administración, la cual es puesta a disposición del gestor usando SNMP. La base de datos de gestión o MIB (Management Information Base) es una base de datos jerárquica de objetos y sus valores. Estos objetos de la MIB están estandarizados, son actualizados y accesibles por el agente y pueden ser manipulados vía SNMP para administrar la red. Así pues, la MIB contiene los datos sobre los recursos de un dispositivo administrado y cuya estructura es según la SMI. La MIB reside en cada uno de los dispositivos administrados. El gestor puede disponer de una MIB central que consolide la información recibida de los agentes. Finalmente, el último elemento básico dentro de la arquitectura es el protocolo de comunicación de gestión de red, que permite comunicar la estación de gestión con los agentes. En este caso es el protocolo SNMP. Es un protocolo que se basa en el paradigma petición-respuesta o pregunta-respuesta. Así pues, cada equipo conectado a la red ejecuta unos procesos (agentes), para que se pueda realizar una administración tanto remota como local de la red. Dichos procesos van actualizando variables (especie de históricos) en una base de datos, que máquinas remotas pueden consultar (gestor). PABLO ARELLANO www.theglobeformacion.com Página 36 B4T4 ADMINISTRACIÓN LAN TAI El Protocolo Simple de Administración de Red o SNMP (Simple Network Management Protocol) es un protocolo de nivel de aplicación (capa 7 del modelo OSI) y sobre UDP (capa de transporte) que ha llegado a ser un estándar de facto en la industria de comunicación de datos para la administración de redes, ya que ha sido instalado por múltiples fabricantes de bridges, repetidores, routers, servidores y otros componentes de red es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras... Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. La forma normal de uso del SNMP es síncrona: - Petición: (GESTOR) el gestor envía una solicitud a un agente pidiéndole información (GET) o mandándole actualizar su estado (SET). Este método se conoce como sondeo (puede degradar el rendimiento de la red). - Respuesta: (AGENTE) el agente responde con la información requerida o confirmando la acción solicitada. Como forma de uso extraordinaria de uso encontramos la forma asíncrona denominada interrupción (TRAP). Es preferible que un agente pueda mandar la información al gestor puntualmente ante una situación predeterminada, como cuando ocurre una anomalía detectada en la red, sin que medie petición del gestor. PABLO ARELLANO www.theglobeformacion.com Página 37 B4T4 ADMINISTRACIÓN LAN TAI SNMP se suele implementar usando comunicaciones UDP utilizando los puertos 161 y 162: - Puerto 161: (GESTOR à AGENTE) transmisiones normales de comando SNMP. - Puerto 162: (AGENTE à GESTOR) TRAP. Mensajes de tipo notificación o interrupción. Estructura de la información de gestión (SMI) La SMI (Structure of Management Information) define la estructura de la MIB, es decir, la sintaxis y semántica de los objetos de la MIB. SMI utiliza como notación un subconjunto de ASN.1 (Abstract Syntax Notation one) para posibilitar la comunicación entre sistemas heterogéneos. ASN.1 es una notación formal que se utiliza para describir datos transmitidos por protocolos de telecomunicaciones, independientemente de la implementación del lenguaje y la representación física de estos datos, sea cual sea la aplicación, ya sea compleja o muy simple. Así pues, es un estándar que define un formalismo para la especificación de tipos de datos abstractos. Las características de SMI son: - Simplicidad: sólo admite tipos de datos simples (escalares y arrays de dos dimensiones de escalares). - Extensibilidad: permite la introducción de nuevos objetos (dependientes o independientes del fabricante). Si dichos objetos dependientes del fabricante afectará a la interoperabilidad. La estructura (parcial) con los tipos de objetos de cualquier MIB se muestra en la siguiente figura, donde se puede observar un árbol con una raíz sin nombre y varios niveles: Para obtener/establecer la información de gestión se usa el método de identificadores de objetos (OID, Objetc IDentifier). Cada tipo de objeto tiene asociado un OID que sirve para identificarlo. Además, como el valor asociado de cada identificador es jerárquico (una secuencia de enteros), dichos identificadores también definen la estructura de la MIB PABLO ARELLANO www.theglobeformacion.com Página 38 B4T4 ADMINISTRACIÓN LAN TAI (estructura en forma de árbol) que permite acceder a los objetos siguiendo la secuencia de un árbol, obteniendo así el objeto de la MIB. Por ejemplo, el OID de private(4) es 1.3.6.1.4, es decir, su representación numérica. De esta manera, OID permite identificar exactamente el valor a leer (GET) o a escribir (SET). Si pensamos en la estructura de carpetas de ficheros de un ordenador, un fichero con su ruta sería un OID y el conjunto de carpetas y ficheros de una unidad sería una MIB. Un dispositivo puede tener varias unidades de disco (varias MIB). En cada unidad, todos los ficheros (OID) son conocidos de antemano, están escritos y bien definidos. Su contenido es almacenado mediante el estándar SMI. Ejemplo: OID.1.3.6.1.2.1 hace referencia al objeto mib-2(1). Ejemplo: OID.1.3.6.1.2.1.1.1 hace referencia a sysDecr PABLO ARELLANO www.theglobeformacion.com Página 39 B4T4 ADMINISTRACIÓN LAN TAI MIB-II y extensiones Dentro de la rama internet (OID 1.3.6.1), que se muestra en la figura, nos encontramos los siguientes grupos: - mgmt(2): contiene definiciones de información aprobada por el IAB1, bajo la cual destaca: o MIB-II: es la segunda versión estandarizada, siendo un superconjunto de la MIB-I que contiene objetos y grupos adicionales. Los grupos incluidos son: § system: información general del sistema. § interfaces: interfaces de red y estadísticas de tráfico. § at: traslación de direcciones Ethernet a IP (no usado). § ip: estadísticas de paquetes IP. § icmp: estadísticas de paquetes ICMP recibidos. § tcp: estadísticas de tráfico TCP. § udp: estadísticas de tráfico UDP. § egp: estadísticas de tráfico EGP. § transmission: reservado. § snmp: estadísticas de tráfico SNMP. - private(4): rama en la que se pueden añadir extensiones. Es lo que se conoce como MIB privada. Permite a los fabricantes incorporar objetos asociados en la gestión específica de sus productos, concretamente bajo el nodo enterprises(1). Por defecto, las estaciones de gestión sólo conocen la MIB estándar. Por lo tanto, para poder gestionar objetos MIB 1 Internet Architecture Board (Junta de Arquitectura de Internet) es un comité contratado por el Grupo de Trabajo de Ingeniería de Internet (IETF) y el órgano asesor de la Internet Society (ISOC). PABLO ARELLANO www.theglobeformacion.com Página 40 B4T4 ADMINISTRACIÓN LAN TAI privados es necesario que previamente se cargue la estructura de la MIB privada en la plataforma de gestión. - experimental(3): contiene objetos experimentales que en un futuro podrían pasar al subárbol mgmt. Protocolo SNMP SNMP o SNMPv1 (versión 1) es muy simple, es la primera versión estándar, definido por la IETF en el RFC 1157. Para la transmisión de mensajes utiliza el protocolo UDP, servicio no orientado a conexión. De manera básica, proporciona las siguientes posibilidades: - Get: el gestor obtiene valores de objetos de agentes. Comunicación GESTOR à AGENTE. - Set: el gestor modifica valores de objetos de agentes. Comunicación GESTOR à AGENTE. - Trap: un agente envía de manera asíncrona la notificación de un evento importante al gestor. Comunicación AGENTE à GESTOR. Por tanto, las operaciones soportadas en SNMPv1 son: - GetRequest: un gestor solicita el valor de uno o más atributos de un objeto. GESTOR à AGENTE. - GetNextRequest: un gestor solicita el valor del siguiente atributo de un objeto. GESTOR à AGENTE. Polling - SetRequest: un gestor asigna el valor de uno o más atributos de un objeto. GESTOR à AGENTE. - GetResponse: un agente responde a los siguientes mensajes enviados por el gestor: GetRequest, GetNextRequest y SetRequest. AGENTE à GESTOR. - Trap: un agente envía al gestor notificaciones no solicitadas sobre eventos importantes Trap (alerta asíncrona). AGENTE à GESTOR. El funcionamiento se basa en el concepto de COMUNIDAD como un método de seguridad. Una comunidad es un nombre con un conjunto de operaciones permitidas establecidas en los agentes, siendo posible que un agente pueda tener varias comunidades definidas. El nombre PABLO ARELLANO www.theglobeformacion.com Página 41 B4T4 ADMINISTRACIÓN LAN TAI de la comunidad se incluye en las peticiones y es el único mecanismo de autenticación soportado. Por defecto, se define una comunidad de lectura denominada "public" y otra de escritura llamada "private". Respecto a los mensajes, el formato del paquete SNMP se muestra en la siguiente imagen. Como se puede observar, todos los mensajes incluyen: - El número de versión de SNMP. - El nombre de la comunidad para utilizar en el intercambio. - La PDU (unidad de datos de protocolo), que incluye el tipo de mensaje, es decir, la operación. Las limitaciones del protocolo SNMP v1 son: - No permite recuperar grandes bloques de información del agente. - Seguridad trivial. - Los mensajes traps no son confirmados por el gestor. - Sin soporte para comunicaciones GESTOR à GESTOR. - No se puede añadir/eliminar objetos en la MIB. SNMP v2 El SNMPv2 (RFCs 1441-1452, 3416-3417) es una evolución de la versión inicial de SNMP, la cual incluye toda una serie de mejoras con respecto a la versión anterior. SNMPv2 puede soportar tanto gestión centralizada como distribuida. En este caso, algunos gestores realizarán el papel de gestor y agente simultáneamente. Como agentes, aceptarán solicitudes de un gestor de categoría superior. Estas peticiones pueden ser para obtener información del gestor intermedio o para pedir a este gestor un informe de los agentes que están subordinados a él. Asimismo, el gestor intermedio puede enviar traps al superior. Se amplían las operaciones soportadas, incorporando: - GetBulkRequest: un gestor solicita el valor de un bloque grande de datos. El gestor obtiene una respuesta que será tan grande como sea posible. GESTOR à AGENTE. - InformRequest: un gestor proporciona información de gestión (valores de objetos MIB) a otro gestor, es decir, es un mensaje Trap entre gestores con acuse de recibo por el receptor. GESTOR à GESTOR (se permite también de AGENTE à GESTOR). PABLO ARELLANO www.theglobeformacion.com Página 42 B4T4 ADMINISTRACIÓN LAN TAI El RFC que define SNMPv2 especifica una operación denominada Report que no tiene ninguna definición, tan sólo un comentario, para que pueda ser definida, tanto en su sintaxis como semántica. Dentro de SNMPv2 hubo algunos intentos de mejora de la seguridad, concretamente: - SNMPsec: es el primer intento de dotar al protocolo de un cierto grado de seguridad, mediante (1) la identificación unívoca de las entidades que participan en las comunicaciones y (2) la utilización de mecanismos criptográficos para conseguir autenticación, integridad y privacidad. Posteriormente, pasó a denominarse SNMPv2p (Party-based SNMPv2). - SNMPv2c (Community-based SNMPv2):definido en los RFCs 1901-1908 ofrece el mismo modelo administrativo que SNMPv1, por lo que no se incluyen mecanismos de seguridad. - SNMPv2*: proporciona niveles de seguridad adecuados, pero no alcanzó el nivel necesario de estandarización y aceptación por el IETF. - SNMPv2u (User-based SNMPv2): utiliza el concepto de usuario para que las comunicaciones se lleven a cabo bajo la identidad de usuarios (RFC 1910). SNMP v3 Especificado en RFCs 3410-3415, elimina el concepto de comunidad y se enfoca principalmente en la seguridad, proporcionando tres servicios importantes: autenticación, privacidad y control de acceso, los cuales trabajan en una arquitectura modular. Mecanismos de seguridad incorporados: - Seguridad basada en usuarios o USM (User Security Model). Definido en el RFC 3414 proporciona servicios de autenticación y privacidad. Especifica como protocolos de autenticación HMAC-MD5-96 y HMAC-SHA-96. - Modelo de control de acceso basado en vistas o VACM (View-based Access Control Model). Especificado en el RFC 3415, presenta diferentes niveles de acceso a las MIB de los agentes por parte de los gestores. RMON (Remote MOnitoring) El objetivo de RMON es proporcionar información a la plataforma de gestión de los diferentes segmentos de red. Una sonda es el equipo que inspecciona el tráfico (tradicionalmente conocidos como sniffers). Los resultados del análisis realizado por la sonda son enviados al NMS. Si sonda y NMS se encuentran en distinto segmento de red se conoce como monitorización remota. La comunicación entre ambos se realiza mediante SNMP. Una de las características de RMON es que se centra en la información que viaja por el segmento de red, no en la información que almacena un agente. PABLO ARELLANO www.theglobeformacion.com Página 43 B4T4 ADMINISTRACIÓN LAN TAI Versiones de RMON: - RMON v1 (o RMON1): definido en el RFC 2819, permite la monitorización de redes Ethernet y Token Ring, en concreto, las 2 capas inferiores del modelo OSI, es decir, capa física y capa de enlace. - RMON v2 (o RMON2): especificado en el RFC 2021, permite monitorización de las capas superiores del modelo OSI, correspondientes a las capas de Internet, transporte y aplicación del modelo TCP/IP. Ventajas: - Funcionamiento offline: no es necesaria la comunicación permanente entre NMS y sonda. - Monitorización proactiva: ejecución continua de diagnósticos sobre la red. - Detección y reporte de fallos: la monitorización proactiva permite detectar y reportar cualquier fallo. - Múltiples gestores de red. - Disminución del tráfico de red: al delegar el gestor en las sondas RMON la monitorización. Por último, nombramos SMON (Switched MONitoring) como parte de RMON, capaz de gestionar los dispositivos de red y VPNs 3. Modelo de gestión de red TMN El modelo TMN (Telecommunications Management Network), propuesto por la ITU-T, tiene como objetivo de proporcionar una estructura de red organizada para conseguir la interconexión de los diferentes tipos de sistemas de operación y equipos de telecomunicación usando una arquitectura estándar e interfaces normalizadas. 4. Modelo de gestión de red MTNM Las interfaces estandarizadas entre muchos proveedores, tecnologías y sistemas permiten a los proveedores de servicios ofrecer nuevos servicios y productos más rápidamente y a un coste menor. El modelo MTNM (Multi-Technology Network Management) es una suite de interfaz de gestión de red basada en CORBA. MTNM incluye soporte para inventario, aprovisionamiento, gestión de fallos y gestión del rendimiento. MTNM admite la gestión de estas tecnologías: SONET/SDH, PDH, DWDM, Ethernet, DSL, ATM y Frame Relay. PABLO ARELLANO www.theglobeformacion.com Página 44 B4T4 ADMINISTRACIÓN LAN TAI 5. Herramientas de monitorización y control de tráfico Se considera esencial para cualquier entorno corporativo a la hora de asegurar el adecuado funcionamiento de los sistemas y redes disponer de herramientas de monitorización de redes. Antes de seleccionar una solución de monitorización concreta es necesario comprobar que la herramienta dispone de una serie de elementos, entre los que destacan: - Monitorización de redes, servidores y servicios. - Tipos de licencias. - Configuración de la herramienta. - Monitorización de multitud de nodos. - Disponibilidad de APIs para integrar con otras aplicaciones. - Sistema de gestión de alertas. - Monitorización de máquinas virtuales e infraestructuras de virtualización. - Inventario de componentes de la red. - Generación de informes y estadísticas. - Monitorización de instalaciones en cloud. - Gestión de históricos de monitorización. - Cuadro de mando. Las principales soluciones de gestión de redes y sistemas son: - Nagios (Nagios Ain't Gonna Insist On Sainthood): de código abierto bajo licencia GPL. Monitorización de sistemas y servicios. Gran cantidad de plugins. Configuración compleja. - Pandora FMS: opciones de código abierto y también privativo. Es multiplataforma y altamente escalable llegando a 100.000 nodos. Mapeo automático de redes. Integración y monitorización de dispositivos móviles. - Zabbix: de código abierto bajo licencia GPL. No recomendable para grandes redes ya que el rendimiento disminuye a partir de 1000 nodos. - Solarwinds: software privativo. Mapeo automático de redes. Integración de máquinas virtuales en la monitorización. - PRTG Network Monitor: software privativo para sistemas Windows. Gran interfaz y flexibilidad para la generación de alertas. Escalabilidad limitada. - Zenoss: de código abierto bajo licencia GPL. Monitoriza adicionalmente aplicaciones, almacenamiento y servidores virtuales. Enfocado a la monitorización de pocos nodos. - Monitis: software privativo. Dirigido a pequeñas y medianas empresas. - OpenNMS: de código abierto bajo licencia GPL. Cubre todas las áreas del modelo FCAPS. Gran flexibilidad y capacidad. PABLO ARELLANO www.theglobeformacion.com Página 45 B4T4 ADMINISTRACIÓN LAN TAI - Icinga: basado en Nagios, lo usa como core. De código abierto bajo licencia GPL. Integración con aplicaciones mediante REST API. - Opsview: basado en Nagios. Software privativo. - Observium: de código abierto. Destaca por la monitorización multiplataforma para grandes redes. - GroundWork: software privativo. Enfocado a la monitorización de pocos nodos. - Manage Engine / OPManager: software privativo con una curva de aprendizaje pronunciada. - Op5 Monitor: software privativo basado en Nagios. Permite la monitorización de sistemas en la nube y entornos virtuales. Dirigido a grandes redes y es altamente escalable. - Whatsup Gold: software privativo. Mapeo automático de redes. Escalabilidad limitada. - Datadog: monitorización de aplicaciones en la nube. - Centreon: solución de monitorización de código abierto. - Prometheus: es un conjunto de herramientas de monitorización y alerta de sistemas de código abierto bajo licencia Apache y escrito en lenguaje Go. - Sampled Flow (sFlow): monitorización de tráfico que recopila estadísticas de tráfico mediante muestreo de paquetes y analiza las estadísticas de tráfico. - Check_MK (Checkmk): basado en Nagios permite la monitorización de infraestructuras de TI (servidores, aplicaciones, redes, nube, contenedores, bases de datos, sensores y almacenamiento). Requiere instalación en un servidor Linux. Finalmente, conviene resaltar Grafana, un software de código abierto para visualización de datos bajo licencia Apache q

Administración LAN (B4T4) - Past Paper 2015-2016 - PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue