MONITOREO Y TRÁFICO DE REDES

TAREA 4

ARYARIDEL RIOS DEL VALLE

1
AUDITORÍA DE SISTEMAS A REDES Y COMUNICACIONES

PROGRAMA AUDITORIA DE SISTEMAS

UNIVERSIDAD ANTONIO NARIÑO

2011

MONITOREO Y TRÁFICO DE REDES

TAREA 4

ARYARIDEL RIOS DEL VALLE

2
Trabajo presentado como requisito de la Guía No 2, en la materia

de Auditoría de Sistemas a Redes y Comunicaciones.

Tutor: Esp. NELSON GALINDO

AUDITORÍA DE SISTEMAS A REDES Y COMUNICACIONES

PROGRAMA AUDITORIA DE SISTEMAS

UNIVERSIDAD ANTONIO NARIÑO

2011

TABLA DE CONTENIDO

3
TITULO PÁGINA

INTRODUCCIÓN 4

1. MONITOREO DE RED 5

1.1. OBJETIVOS DEL MONITOREO 6

2. TRÁFICO DE RED 7

3. HERRAMIENTAS PARA EVALUACIÓN DEL TRÁFICO 8

3.1. CommTrafic 8

3.2. Commview 9

3.3. AirPortFlow 10

3.4. NTOP (network Top) 10

3.5. MRTG (Multi Router Traffic Grapher) 11

3.6. TcpDump 12

3.7. Ethereal 13

3.8. Satan 13

3.9. SARA 13

3.10. IPLog 13

3.11. IPTRAF 14

CONCLUSION

BIBLIOGRAFÍA

4
 INTRODUCCIÓN

En el presente escrito mostrará que es monitoreo, los objetivo que se tienen para
implementar el monitoreo de redes, que es análisis de tráfico, y se mostrará
algunas herramientas de monitoreo y análisis de tráfico en redes de datos.

5
 1. MONITOREO DE RED

El monitoreo resulta ser simplemente visualizar el trabajo que se hace en la red,

dicho de otra manera es observar cuanto ancho de banda se consume
actualmente, o en un periodo de tiempo determinado, entonces si se tiene una red
de varios ordenadores también resulta en mirar cuanto consume cada ordenador.

6
 Figura 1. Ejemplo de monitoreo de red.

En la figura 1 desde el computador utilizando una herramienta de monitoreo desde

el computador se puede saber cuáles son nodos que envía o recibe más trafico
en la red.

El monitoreo de una red abarca 4 fases:

• Definición de la información de administración que se monitorea.
• Acceso a la información.
• Diseño de políticas de administración.
• Procesamiento de la información.

Los tipos de monitoreo son:

• Local.
• Remoto.
• Automático.
• Manual.

Los elementos monitoreados pueden ser:

• En su totalidad.

7
 • En Segmentos.

El monitoreo puede ser realizado en forma:

• Continua.
• Eventual.

1.1. OBJETIVOS DEL MONITOREO.

Los objetivos del monitoreo son los siguientes:

• Identificar la información a monitorear.

• Diseñar mecanismos para obtener la información necesaria.
• Utilizar la información obtenida dentro de las distintas áreas funcionales de
administración de red.
• Tomar nuevas medidas sobre aspectos de los protocolos, colisiones, fallas,
paquetes, etc.
• Almacenar la información obtenida en Bases de Información de gestión
para su posterior análisis. Del análisis, obtener conclusiones para resolver
problemas concretos o bien para optimizar la utilización de la red.

Dentro del monitoreo de la actividad de la red, los eventos típicos que son
monitoreados suelen ser:

• Ejecución de tareas como la realización de copias de seguridad o búsqueda

de virus.
• Registro del estado de finalización de los procesos que se ejecutan en la
red.
• Registro de las entradas y salidas de los usuarios en la red.
• Registro del arranque de determinadas aplicaciones.

8
 • Errores en el arranque de las aplicaciones, etc.

En función de la prioridad que tengan asignados los eventos y de la necesidad de

intervención, se pueden utilizar diferentes métodos de notificación o alerta tales
como:

• Mensajes en la consola: método en el que se suele codificar en función de

su importancia.
• Mensajes por correo electrónico: método mediante el cual se envía contenido
el nivel de prioridad y el nombre del evento ocurrido.
• Mensajes a móviles: método utilizado cuando el evento necesita intervención
inmediata del administrador de red.

2. TRÁFICO DE RED.

El trafico de red se refiere a los paquetes que pasan a través de una red, por lo
general se escoge un equipo, que es el que hace las veces de puerta de enlace a
otras redes para medir el tráfico que vine hacia y desde una red, para determinar
el tráfico sobre la misma.

9
 Figura 2. Ejemplo de análisis de tráfico.

En la figura 2 se muestra un ejemplo de análisis de tráfico a través de una

herramienta de análisis de trafico conocida como ntop, más adelante se hablara
de esta herramienta, lo importante es que con ella se puede analizar el trafico de
la red, incluso que programas están abiertos en cada equipo y el consumo de
estos sobre el ancho de banda de la red.

3. HERRAMIENTAS PARA EVALUACIÓN DEL TRÁFICO.

3.1. CommTrafic.

Es una utilidad de red destinada a coleccionar, procesar y mostrar tráfico y

estadísticas del uso de una red para conexiones LAN y dial-up.

10
En un segmento de LAN, CommTraffic muestra estadísticas del tráfico y uso de
red para cada ordenador.

Es una aplicación altamente personalizable, con una interfaz muy intuitiva que
muestra estadísticas gráficas y numéricas. La ventana principal puede ser
personalizada para mostrar, tráfico entrante, saliente y resumen de estadísticas en
una variedad de estilos.

Permite establecer tiempo y límite de tráfico para reflejar los ratios establecidos
por tu ISP. Una vez que el límite es alcanzado, el programa es capaz de emitir una
alerta mediante la ejecución de un sonido y mostrando un mensaje.

CommTraffic permite generar una serie de reportes que reflejan el volumen de

tráfico de la red y el gasto de conexión a Internet. Esta capacidad de reporte
dejará ver estadísticas para hosts local y remoto, protocolos IP y puertos
TCP/UDP remoto/local.

Soporta virtualmente cualquier ratio planeado por tu ISP, tales como aquellos
basados en tiempo de conexión, volumen de tráfico, hora del día, y otras medidas.

3.2. Commview

Herramienta completa y poderosa para administradores WLAN, profesionales de

seguridad, programadores de red o para cualquier persona que desee ver una
imagen completa de su tráfico WLAN.

CommView for WiFi es una edición del programa CommView diseñada para
capturar y analizar paquetes en redes wireless 802.11a/b/g. Recoge información
desde adaptadores wireless y decodifica los datos analizados.

11
3.3. AirPortFlow

Es una pequeña utilidad que nos permite monitorizar el tráfico de red si se usa
AirPort Extreme, es decir se conocerá en todo momento el tráfico TCP que entra y
sale del router.

AirPortFlow 1.1 tiene dos gráficas muy sencillas muestran el tráfico que entra y
sale, con indicaciones acerca de los picos de tráfico. Desde su panel de
preferencia se podrá configurar la dirección IP del router, el valor IP y contraseña
si se tiene.

Es importante que el SNMP esté activado en el router, de lo contrario no

funcionará.

AirPort Flow 1.1 también posibilita el monitoreo de otras interfaces del router, sea
el puerto WLAN u otro.

3.4. NTOP (network Top)

Permite monitorear y medir en tiempo real el trafico por usuario y aplicaciones que
están consumiendo recursos de red, detecta malas configuraciones, analizar datos
de flujos de la industria enviados por los routers.

Ntop es una excelente herramienta que todo administrador de red debería usar, ya
que permite controlar en tiempo real los usuarios y aplicaciones que están
consumiendo recursos de red.

Soporta los siguientes protocolos: TCP/UDP/ICMP, (R) ARP, IPX, DLC, Decnet,
AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP,
HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.

12
 Figura 3. Vista de NTOP

3.5. MRTG (Multi Router Traffic Grapher)

Funciona bajo el protocolo snmp (simple network management protocol). Es un

software considerado como administrador del tráfico de red. Está escrito en
lenguaje perl, funciona en sistemas Unix, Linux, Windows y Netware.

Crea los logs tomando una muestra de cualquier contador snmp y lo grafica en
paginas html integrando una lista de gráficos que representas los datos obtenidos
de cada dispositivo.

A continuación en la figura 4 se muestra un ejemplo gráfico de monitoreo de red,

donde se observa que está clasificado el monitoreo por horas, días, meses e
incluso durante el año, usando mrtg.

13
 Figura 4. Mrtg.

3.6. TcpDump

Una poderosa herramienta para el monitoreo y la adquisición de datos en redes.

Este programa permite volcar (a un archivo, la pantalla, etc.) el tráfico que
presenta una red. Puede ser usado para imprimir los encabezados de los
paquetes en una interfaz de red ("network interface") que concuerden con una
cierta expresión. Se puede usar esta herramienta para seguir problemas en la red,
para detectar "ping attacks" o para monitorear las actividades de una red.

14
3.7. Ethereal

Ethereal es un analizador de tráfico de redes, o "sniffer" para Unix y Sistemas

operativos del tipo Unix usa GTK+, una biblioteca de interfaz gráfica para el
usuario (GUI), y libcap, una biblioteca que facilita la captura y el filtrado de
paquetes.

3.8. Satan

Herramienta de Auditoría de Seguridad para Analizar Redes (Security Auditing

Tool for Analysing Networks). Ésta es una poderosa herramienta para analizar
redes en búsqueda de vulnerabilidades creada para administradores de sistema
que no pueden estar constantemente chequeando bugtraq, rootshell y ese tipo de
fuentes de información.

3.9. SARA

El Asistente de Investigación para el Auditor de Seguridad (Security Auditor's

Research Assistant) es una herramienta de análisis de seguridad de tercera
generación que está basada en el modelo de SATAN y distribuída bajo una
licencia del estilo de la GNU GPL. Promueve un ambiente colaborativo y es
actualizada periódicamente para tener en cuenta las últimas amenazas.

3.10. IPLog

IPlog es una herramienta de registro de tráfico TCP/IP. Actualmente, es capaz de

registrar tráfico TCP, UDP, e ICMP. Iplog 2.0 es el 1.x pero escrito desde cero,
teniendo esta versión mayor portabilidad y mejor desempeño. Iplog 2.0 tiene todas
las características de iplog 1.x así como también muchas nuevas. Entre las más
importantes nuevas características están: un filtro de paquetes y la detección de
más escaneos y ataques. Hoy por hoy, corre sobre GNU/Linux, FreeBSD,
OpenBSD, BSDI y Solaris. Versiones para otros sistemas, así como cualquier
contribución son bienvenidas.

15
3.11. IPTRAF

Es una utilidad con menús basados en curses [librería muy común utilizada para
generar menús en aplicaciones] que intercepta los paquetes de la red y nos brinda
información al respecto. Usualmente, este tipo de programas de monitoreo de
redes es utilizado en puertas de enlace en los que el computador actúa como
router hacia el mundo exterior. Pero también puede ser utilizado por un usuario
casero conectado a la red para monitorear lo que pasa en la propia PC.

Para comenzar a utilizar IPTraf, se lo debe instalar primero; lo que en un sistema

basado en Debian es tan simple como alguno de los siguientes comandos:

• apt-get install iptraf

• aptitude install iptraf

Una vez instalado el programa, uno puede ejecutarlo para monitorear la red.
Desafortunadamente, se necesitan de permisos de super-usuario para hacer esto.
En una versión tipo Debian la orden será:

sudo iptraf

Una vez ejecutado, el usuario verá un menú donde puede elegir comenzar el
monitoreo local o el tráfico a través de cualquiera de las tarjetas de red instaladas
en la máquina.

16
Este programa fácil de usar tiene opciones adicionales entre sus menús como
activar la búsqueda DNS inversa, en cuyo caso, los registros tendrán los
nombres de dominio en lugar de las direcciones IP siempre que sea posible, así
como el nombre del servicio en lugar del número de puerto. Por ejemplo, si uno
trata de conectarse a la universidad Antonio Nariño desde mi navegador iptraf lo
mostrará como UAN.com:www lo que denota que se está conectado al puerto 80
del sitio web de UAN. También mostrará la cantidad de paquetes transferidos
desde y hacia el servidor web de la UAN en la máquina y esto lo hace todo en
tiempo real.

Lo mismo ocurre cuando alguien intenta conectarse a nuestra máquina. Todos y

cada uno de los paquetes IP es interceptado, la información IP de cada paquete
es decodificada y se muestra el resultado en tiempo real. Existe una opción para
guardar los registros a un archivo que se encuentra, por defecto, en el directorio
/var/log/iptraf. También puede monitorear interfaces PPP, loopback, SLIP, FDDI e
ISDN.

La información de los paquetes interceptados que es decodificada por iptraf

incluye:

• Dirección y puerto de origen

• Dirección y puerto de destino
• Cuenta de paquetes
• Cuenta de bytes
• Tamaño del paquete
• Tamaño de ventana
• Estado de opciones (flags)

17
 CONCLUSIÓN

En el anterior escrito se menciono algunas razones para llevar a cabo monitoreo

de redes como identificar la información a monitorear, diseñar mecanismos para
obtener la información necesaria, utilizar la información obtenida dentro de las
distintas áreas funcionales de administración de red, tomar nuevas medidas sobre
aspectos de los protocolos, colisiones, fallas, paquetes, etc., y también se expuso
el almacenar la información obtenida en Bases de Información de gestión para su
posterior análisis. Del análisis, obtener conclusiones para resolver problemas
concretos o bien para optimizar la utilización de la red. Se mencionó también
18
algunas herramientas usadas para monitorear como es el caso de MRTG y
analizar tráfico como es el IPtrafic, entre otras.

BIBLIOGRAFIA

19
http://www.slideshare.net/AnaCGuzman/herramientas-para-evaluar-el-trfico-
de-una-red/download

http://www.enespanol.com.ar/2006/04/29/monitoreo-de-redes-en-casa/

http://mycmdline.esnoei.com/2011/02/20/ntop-o-como-monitoriar-tu-trafico-
de-red/

20