c
  c 


m
 

 

Objetivo:

©Y Mejora de la continuidad en la operación de la red (control y monitoreo)

©Y Êtilizar mejor los recursos(ej: ancho de banda)
©Y ceducir gastos
©Y ¦acer la red mas segura(denegando acceso no autorizados)
©Y ½ontrolar cambios y actualizaciones en la red

El sistema de administración opera:

©Y coleccion de información acerca del estado de la red(eventos, atributos y

acciones operativas)
©Y transformación de la información (en formatos)
©Y transportación de información al centro de control
©Y almacenamiento de los datos coleccionados en el centro de control
©Y mnalisis de parámetros para deducción del estado de la red
©Y mctuación parra generar acciones en respuesta a un fallo mayor

ELEMENTOS INVOLUCRADOS EN LA ADMINIDTRACION DE RED

Operaciones de la administración de la red

FUNCIONES DE ADMINISTRACION DEFINIDAS POR OSI

PROTOCOLOS DE ADMINISTRACIÓN DE RED

ESQUEMA DE ADMINISTRACION

BASE DE DATOS DE ADMINISTRACION MIB

 SEGURIDAD

u 


 

 

Modelo Gestor/agente

wY Es el modelo cliente/servidor tradicional, compuesto por estaciones gestoras y agentes

actuando, junto con un protocolo de red.
 wY Gestores: Estaciones Gestoras (nodo en el que se ejecuta la aplicación gestora).

wY Agentes: Nodos gestionados ,elementos de red como host, puentes, router, gateway, etc
(reside el agente gestor encargado de llevar a cabo las funciones de gestión)

wY Protocolo Gestión de Red: Define la comunicación entre los nodos gestionados y las
estaciones gestoras.


etos gestionados y el entorno gestor/agente

Se clasifican en dos grandes grupos:

wY Los gestores son los elementos del sistema de gestión que interaccionan con los
operadores humanos y desencadenan acciones necesarias para llevar ha cabo las tareas
por ellos invocadas. El gestor pide al agente, a través de un protocolo de gestión de red,
que realice determinadas operaciones con estos datos de gestión, gracias a las cuales
podrá conocer el estado del recurso y podrá influir en su comportamiento.

wY Los agentes, son los componentes del sistema de gestión invocados por el gestor o
gestores de la red. Mantienen en cada nodo gestionado información acerca del estado y
las características de funcionamiento de un determinado recurso de la red.

wY Cuando se produce una anomalía en un recurso gestionado, los agentes, sin necesidad de
ser invocados por el gestor, 2
2 22

 
2 que son enviados a un gestor
para que el sistema de gestión pueda actuar en consecuencia.

wY Existen distintos protocolos de gestión de red, dentro de los cuales destaca SNMP (Simple
Network Management Protocol) , otro protocolo estándar, es el CMIP (½ommon
Management Information Protocol).

Modelo de gestión IS

wY El modelo de gestión ISO clasifica las tareas de los sistemas de gestión en cinco áreas
funcionales.

1.Y Gestión de configuración.

wY Obtiene datos de la red y los utiliza para incorporar, mantener y retirar los distintos
componentes y recursos a integrar. Consiste en la realización de tres tareas
fundamentales:

©Y Recolección automatizada de datos sobre el inventario y estado de la red, tales como

versiones software y hardware de los distintos componentes.

©Y Cambio en la configuración de los recursos.

©Y Almacenamiento de los datos de configuración.

2.Y Gestión de rendimiento.

wY Da mantenimiento del nivel de servicio que la red ofrece a sus usuarios, asegurándose de
que está operando de manera eficiente en todo momento. La gestión de prestaciones se
basa en cuatro tareas:

©Y Recogida de datos o variables indicadoras de rendimiento, tales como el troughput de la

red, los tiempos de respuesta o latencia, la utilización de la línea, etc.

©Y Análisis de los datos para determinar los niveles normales de rendimiento.

©Y Establecimiento de umbrales, como indicadores que fijan los niveles mínimos de

rendimiento que pueden ser tolerados.

©Y Determinación de un sistema de procesado periódico de los datos de prestación de los

distintos equipos, para su estudio continuado.

3.Y Gestión de contabilidad.

wY Mide los parámetros de utilización de la red (que permitan a su explotador preparar las
correspondientes facturas a sus clientes). Entre las tareas que se deben realizar en esta
área, están:

©Y Recolección de datos sobre la utilización de los recursos.

©Y Establecimiento de cuotas.

©Y Cobro a los usuarios con las tarifas derivadas de la utilización de los recursos.

4.Y Gestión de fallos.

wY Localiza y recupera los problemas de la red. Implica las siguientes tareas:

©Y Determinación de los síntomas del problema.

©Y Aislamiento del fallo.

©Y Resolución del fallo.

©Y Comprobación de la validez de la solución en todos los subsistemas importantes de la red.

©Y Almacenamiento de la detección y resolución del problema.

5.Y Gestión de seguridad

 wY Ofrece mecanismos que faciliten el mantenimiento de políticas de seguridad (orientadas a
la protección contra ataques de intrusos). Entre las funciones realizadas por los sistemas,
están:

©Y Identificación de recursos sensibles en la red, tales como ficheros o dispositivos de

comunicaciones.

©Y Determinación de las relaciones entre los recursos sensibles de la red y los grupos de
usuarios.

©Y Monitorización de los puntos de acceso a los recursos sensibles de red.

©Y Almacenamiento de los intentos de acceso no autorizados a estos recursos, para su

posterior análisis.

Plataformas de gestión

Existen tres plataformas fundamentalmente que se reparten el mercado:

wY OpenView de Hewlett Packard.

wY SunNet de Sun Microsystems.

wY NetView de IBM.

u    

 

Protocolo .- es conjunto de normas que regulan la comunicación (establecimiento, mantenimiento

y cancelación) entre los distintos componentes de una red.

Protocolos inalám ricos

CDMA (Code Division Multiple Access) El acceso múltiple por división de código es un tipo de
protocolo de acceso a los medios de comunicación comunes y frecuentes en las tecnologías de
redes LAN inalámbricas (en este protocolo cada bit que se envía está encriptada multiplicando el
bit de una señal (código) que cambia a una velocidad mucho mayor que la secuencia original de
bits de datos. Los códigos de CDMA se deben elegir con cuidado para que los receptores puedan
extraer la señal de un código).

IEEE 802.11

Tecnología del IEEE (Institute of Electrical and Electronics Engineers) comenzó en la velocidad
baja, pero con el tiempo sus velocidad iba en aumento.

r

Velocidades de 54 Mbps dentro de los estándares de la IEEE y de 72 a 108 Mbps por no
estandarizados. Esta red funciona a una frecuencia de 5 GHz y de apoyo inicialmente 64 usuarios
por punto de acceso (AP).

Ventajas: su la velocidad, la frecuencia libre de cargo que se utiliza y la ausencia de interferencias.

El mayor inconveniente es la incompatibilidad con las normas relativas a la 802.11 b y g (puntos de
acceso).

r


Velocidad de 11 Mbps estandarizada por el IEEE y una velocidad de 22 Mbps que ofrecen algunos
fabricantes no estandarizados. Funciona en la frecuencia de 2,4 GHz inicialmente apoyo a 32
usuarios por punto de acceso.

Debilidad en este estándar : la interferencia de alta para transmitir y recibir señales, porque
funcionan a 2,4 GHz, equivalente a los teléfonos móviles, hornos de microondas y dispositivos
Bluetooth.

r


Se basa en la compatibilidad con 802.11b, y ofrece una velocidad de 54 Mbps. Funciona dentro de
una frecuencia de 2,4 GHz, (incompatibilidad con los dispositivos de distintos fabricantes). Las
ventajas son también las velocidades.

Utiliza la autenticación WEP estática ya la aceptación de otros tipos de autenticación, como WPA
(Wireless Protected Access) de cifrado con el método dinámico (de TKIP y AES). A veces es difícil
de configurar, tales como Home Gateway, debido a su frecuencia de radio y otras señales que
pueden interferir con la transmisión de la red inalámbrica.

r


Opera en las bandas de 2,4 GHz y 5 GHz, que promete ser el estándar para la distribución
inalámbrica de medios de comunicación, que ofrece, a través de la tecnología MIMO (Multiple
Input Multiple Output - lo que significa múltiples entradas y salidas), tasas más altas de
transmisión (hasta 300 Mbps), propagación de la señal más eficiente (con un área de cobertura de
hasta 400 metros al aire libre) y una gran compatibilidad con otros protocolos.

r


Es el estándar de gestión de las redes inalámbricas para la familia del IEEE 802.11, pero todavía
está en las propuestas iniciales. El grupo de trabajo de IEEE 802.11 esta encargado de definir la
norma 802.11v, está trabajando en una enmienda al estándar 802.11 para permitir la
configuración de los dispositivos cliente conectados a redes 802.11. El modelo puede incluir los
paradigmas de gestión similares a los utilizados en las redes celulares.

r
 


El IEEE ha definido un protocolo de acceso a medios (sub MAC-datos de nivel de enlace), llamado
DFWMAC (Distributed Fundación Wireless Medium Access Control), que admite dos métodos de
acceso, un método de distribución de base, que es obligatoria y un método centralizada, que es
opcional.

El método de acceso distribuido es la base sobre la que hemos construido el método centralizado.
Los dos métodos, que también se puede llamar las funciones de coordinación (Coordinación de las
funciones) se utilizan para apoyar la transmisión de tráfico; de tráfico asíncrono retrasado o
limitado (tiempo limitado). Una función de coordinación se utiliza para decidir cuando una
estación se le permite transmitir.

V
2

Es un protocolo de comunicación estándar diseñado principalmente para el consumo de baja

potencia con la gama de corta duración (dependiendo de la potencia: 1 metro, 10 metros, 100
metros).

Bluetooth permite que estos dispositivos se comuniquen entre sí cuando están dentro del rango.

Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el sistema de cifrado incluido

en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información
que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que
utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más
24 bits del IV).

Protocolos móviles

u

 



La tecnología móvil se clasifican en "generaciones". La primera generación admite sólo el tráfico de

voz.

½on calidad de enlaces muy reducida, la velocidad de conexión no era mayor a (2400   ). En
cuanto a la transferencia entre celdas, era muy imprecisa ya que conta an con una a
a capacidad
lo que limita a la cantidad de usuarios que el servicio podía ofrecer.

*   (en inglés aud) es una unidad de medida, usada en telecomunicaciones, que representa
el número de sím olos transmitidos por segundo en una red analógica.

m

TDMA Interim Standard 136 (SE-136 - Provisional estándar TDMA IS-136). Acceso Multiple por
Division de Tiempo .

½aracterísticas:
 dY Se utiliza con modulaciones digitales.

dY Tecnología simple y muy pro ada e implementada.

dY Adecuada para la conmutación de paquetes.

dY cequiere una sincronización estricta entre emisor y receptor.

*multiplexación por división de tiempo (TDM)

es la com inación de dos o más canales de información en un solo medio de transmisión usando un
dispositivo llamado multiplexor

*división de frecuencia de multiplexación (FDM)



Sistema glo al para comunicaciones móviles (Glo al System for Mo ile ½ommunications - GSM),
surgió en Europa para reemplazar la 1G. protocolo de comunicaciones móviles más ampliamente
disponi les.

Se trata de andas de frecuencia de 200 kHz y cada anda apoya ocho llamadas TDM. De
codificación de voz GSM humanos a los 13 k ps y 12,2 k ps.

*división de frecuencia de multiplexación (FDM)

*multiplexación por división de tiempo (TDM)

u 

General Packet cadio Service (GPcS - Dirección General de cadio por Paquetes). GPcS proporciona
servicio de datos más eficiente que GSM, con más velocidad.

GPcS se puede utilizar más de un intervalo de tiempo dentro de un canal determinado, en la

demanda. Permite velocidades de transferencia de 56 a 144 k ps.


m 
u   

mu

Protocolo de Aplicaciones Inalám ricas es un estándar a ierto internacional para aplicaciones que
utilizan las comunicaciones inalám ricas, como el acceso a servicios de Internet desde un teléfono
móvil.

 



Los cables que se suelen utilizar para construir las redes locales son:

XY Cable telefónico normal

XY Cable coaxial
 XY ^ibra óptica

ciesgos en el ca leado

XY Interferencia:

Estas modificaciones pueden estar generadas por cables de alimentación de maquinaria pesada
o por equipos de radio o microondas.

Los cables de fibra óptica no sufren el problema de alteración (de los datos que viajan a través
de él) por acción de campos eléctricos, que si sufren los cables metálicos.

XY Corte del cable:

La conexión establecida se rompe, lo que impide que el flujo de datos circule por el cable.

XY Daños en el cable:

Los daños normales con el uso pueden dañar el apantallamiento que preserva la integridad de
los datos transmitidos o dañar al propio cable, lo que hace que las comunicaciones dejen de ser
fiables.

 



Componentes principales:

Y STA: Cliente.

Y AP: Punto de Acceso.

Estándares´

Y r02.11a: (5 Ghz)

Y r02.11 : (2.4 Ghz)

Y r02.11c: Define carateristicas de AP como bridges.

Y r02.11d: Permite el uso de 802.11 en paises restringidos por el uso de las frecuencias.

Y r02.11e: Define el uso de QoS.

Y r02.11f : Define el enlace entre STA y AP. Roaming.

Y r02.11g: (2.4 Ghz)

r02.11h: Superior al 802.11a permite asignación dinámica de canales (coexistencia con el

HyperLAN).
Las inseguridades de las redes inalámbricas radica en:

Y Configuración del propio ͞servidor͟ (puntos de accesos).

Y La ͞escucha͟ (pinchar la comunicación del envió de paquetes).

Y ͞Portadoras͟ mandan paquetes al aire, pero esta posibilidad es real.

Y Nuestro sistema de encriptación (WEP, Wirelles Equivalent Privacy )

Herramientas y Técnicas de Suplantación

Técnicas

Y Las comunicaciones a través de medios inalámbricos,presentan un elevado numero de

deficiencias de seguridad intrínsecas al protocolo así como al medio en el que se realizan
las comunicaciones.

Y Un ataque DoS puede tener muchos objetivos pero siempre hay uno común que es el de
tratar de inhabilitar la conexión de los diferentes nodos integrantes de la red.

Creación de Nuevos Nodos de Acceso

½onfiguraciones aleatorias: Este tipo de ataque implica una modificación en la estructura de red y
en su funcionamiento normal.

Y  
 

 



  

 
Con esto el atacante
consigue anular un nodo en concreto, y asumir todas las conexiones de los clientes que
tenia asociados.

Y  




  
Este tipo de denegación se basa en el anterior, pero
en vez de dejar el nodo intruso levantado, mediante un script, se inician y paran sus
servicios cada segundo, con ello se consigue, que nunca se llegue a realizar la negociación
de enlace entre el dispositivo cliente y el nodo.

Y  



 


 

 
 

consiste en una modificación dinámica de la dirección mac del nodo intruso en base a las
direcciones mac asignadas a los nodos reales o clientes de la red, manteniéndose activa
para que el dispositivo cliente enlace y desenlace.

Y 



 
Es uno de los ataques 
Y Consiste en suplantar a un cliente y a un
nodo de forma simultánea, de tal forma que todo el trafico entre el cliente y el nodo real
pase primero por el nodo intruso. . La repercusión del ataque ͞ 
2

2͟ es
Y
robar o corromper la información, para conseguir un DoS parcial ó total, ocultando la
identidad del atacante através de uno de los nodos reales de la red inalámbrica.
 ¦


Existen diversas herramientas para Linux que permiten realizar estos ataques y algunos
más:

Y m 
Herramienta de detección de redes wireless,.

Y m
!
Driver utilizado para gestionar diversas utilidades de seguridad: wlan-jack, essid-
jack, monkey-jack, kracker-jack.

Y m
Genera Aps falsos posibilitando la apropiación de información confidencial,
passwd de autenticación, etc.

Y ^!
mu

FakeAP es un script en perl que permite enviar beacons frames con diferentes
ESSIDs y diferentes direcciones MACs a la red. De esta forma posibilita la generación de un
alto número de redes wireless falsas en cuestión de minutos.

" # 

 

Y Cambiar las claves por defecto cuando instalemos el software del Punto De Acceso.

Y Control de acceso seguro con autentificación bidireccional.

Y Control y filtrado de direcciones MAC e identificadores de red para restringir los

adaptadores y puntos de acceso que se puedan conectar a la red.

Y Configuración WEP (muy importante) , la seguridad del cifrado de paquetes que se

transmiten es fundamental en la redes inalámbricas, la codificación puede ser mas o
menos segura dependiendo del tamaño de la clave creada y su nivel , la mas
recomendable es de 128 Bits.

Y Crear varias claves WEP ,para el punto de acceso y los clientes y que varíen cada día.

Y Utilizar opciones no compatibles, si nuestra red es de una misma marca podemos escoger
esta opción para tener un punto mas de seguridad, esto hará que nuestro posible intruso
tenga que trabajar con un modelo compatible al nuestro.

Y Radio de transmisión o extensión de cobertura , este punto no es muy común en todo los
modelos ,resulta mas caro, pero si se puede controlar el radio de transmisión al circulo de
nuestra red podemos conseguir un nivel de seguridad muy alto y bastante útil.

Y Use encriptación para codificar o encriptar las comunicaciones en la red. Si tiene la opción,
use el Acceso Protegido para Transferencia Inalámbrica de Datos o WPA (Îi-Fi Protected
Access) es un sistema de encriptación más potente que el sistema de Equivalencia de
Privacidad Inalámbrica o WEP (Îired Equivalent Privacy).

Y Use software antivirus y antiespía y también active el firewall.

Y Casi todos los enrutadores inalámbricos (wireless routers) tienen un mecanismo llamado
identificador de emisión (identifier roadcasting). Desactive el mecanismo del
identificador de emisión para que su computadora no emita una señal a todas las
terminales que estén en las cercanías anunciando su presencia.
Y Cambie la configuración predeterminada del identificador de su enrutador asignado por el
fabricante del dispositivo (router's pre-set password for administration) para que los
hackers no puedan utilizarlo para intentar acceder a su red.

Y Cambie la contraseña predeterminada de instalación del enrutador por una nueva

contraseña que solamente usted conozca. Cuanto más extensa sea la contraseña, más
difícil será descifrarla.

Y Solamente permita el acceso a su red inalámbrica a computadoras específicas.

Y Apague su red inalámbrica cuando sepa que no la va a utilizar.

Y No dé por supuesto que los hot spots públicos o puntos de acceso público a internet son
seguros.

Uso de cedes Privadas Virtuales (VPN):

Y OpenVPN.

Y vtund.

Y vpnd.

Y Freeswan.

Y CIPE.

Y IPSec

Detección de intrusos

Como detectar un intruso:

£ Y
i tenemos apagados todos lo ordenadores y periféricos de nuestra red, el Ô
Ô

no debería mostrar actividad alguna
i con todo apagado el î



se
muestra frenético en cuanto a parpadeos, es muy posible que tengamos intrusos

2 Y averiguar la IP y direcciones Mm½ de los ordenadores permitidos

3 Y utiliza la lista de clientes D¦½P conectados que genera el Ô
Ô Este sistema
tiene la desventaja de que nos va a permitir descubrir al intruso única y
exclusivamente si el ladrón de conexión se encuentra conectado en el mismo
momento de la consulta

4 Y mlgunos Ô
Ô del mercado tienen la posibilidad de 

î, un
documento en el que se guardan eventos del sistema, que permite ver si hay
peticiones u ordenadores conectados estosY  son largos y difíciles de
interpretar, pero tienen la ventaja de que son atemporales y nos permitirán
descubrir a un intruso incluso si no está conectado en el momento de realizar la
consulta
5 Y ½  î

î

 Seguridad en la red

Y   $ 
%
  

 
Análisis de la cantidad de tráfico, tipo de protocolos,
direcciones origen/destino, etc.

Y   $ 
%
  


   Análisis del espectro radioeléctrico en el que se
encuentren alojadas nuestras comunicaciones.

Y m 
Es el proceso por el que se verifica que una entidad es quien dice ser. Suele
incluir unas credenciales (usuario/contraseña, certificados, tokens opacos, ...).

Y m $ 
Es el proceso de decidir si la entidad, una vez autenticada, tiene permiso
para acceder al recurso. Se suele realizar comprobando pertenencias de usuarios a grupos,
niveles o si dicha entidad pertenece a una lista de suscripción.

Y "  

m 
Es el proceso de conceder el permiso definitivo. Incluso una vez
autorizado, un usuario puede tener restringido el permiso a partes del recurso, o un
número de veces, o un intervalo de tiempo determinado. Con frecuencia se implementa
usando ACLs (Listas de Control de Acceso) o máscaras.

Sistemas de Autenticación:

Y Ficheros (shadow) passwd, group

Y HTTP (Basic, Digest)

Y LDAP

Y Dominio NT

Y NIS

Y Kerberos