Network Monitoring Flashcards
¿Qué es un IDS y cómo funciona?
¿Qué es un IPS y cómo se diferencia de un IDS?
Introducción a IDS y IPS
IDS (Intrusion Detection System)
Es un dispositivo pasivo que monitoriza el tráfico de red para detectar actividades sospechosas o maliciosas. Funciona en paralelo a la red, registrando eventos y generando alertas cuando detecta comportamientos anómalos o coincidentes con firmas de ataques conocidos. No bloquea el tráfico, simplemente notifica al administrador para que tome acciones correctivas.
Un IPS (Intrusion Prevention System)
Es un dispositivo activo que no solo monitoriza el tráfico de red como un IDS, sino que también puede bloquear o detener el tráfico malicioso en tiempo real. A diferencia del IDS, el IPS está en línea y tiene la capacidad de prevenir activamente ataques, evitando que lleguen a su destino. Sin embargo, puede bloquear tráfico legítimo si no está correctamente configurado.
¿Cuáles son los métodos principales de detección utilizados por IDS e IPS, cómo funcionan, y cuáles son sus ventajas y limitaciones?
Introducción a IDS y IPS
Detección Basada en Firmas:
Compara el tráfico de red con una base de datos de patrones predefinidos (firmas) que representan ataques conocidos. Si el tráfico coincide con una firma, se genera una alerta.
- Ventajas: Es muy efectiva para identificar ataques específicos que ya se conocen.
- Limitaciones: Es incapaz de detectar ataques nuevos o modificados que no tienen una firma en la base de datos. Además, puede generar falsos positivos si el tráfico legítimo coincide con una firma.
Detección Basada en Políticas:
Aplica reglas que reflejan las políticas de seguridad de la organización. Cualquier actividad que viole estas reglas se detecta y se reporta.
- Ventajas: Garantiza que las políticas de seguridad internas se cumplan, por ejemplo, bloqueando el uso de protocolos inseguros como Telnet.
- Limitaciones: Su eficacia depende de la claridad y actualización de las políticas definidas. Si las políticas están mal configuradas, pueden pasar por alto amenazas o bloquear tráfico legítimo.
Detección Basada en Anomalías:
Identifica comportamientos inusuales que se desvían de lo que se considera normal en la red.
Se subclasifica en:
Detección Estadística: Establece una línea base del comportamiento normal del tráfico y detecta desviaciones significativas.
Detección No Estadística: Utiliza umbrales y parámetros predefinidos por el administrador para identificar comportamientos anómalos.
- Ventajas: Es útil para detectar ataques nuevos o desconocidos que no están en la base de datos de firmas.
- Limitaciones: Puede ser propensa a falsos positivos, especialmente en entornos donde el comportamiento normal de la red cambia con frecuencia.
¿Cuál es la diferencia entre los IDS/IPS basados en red (NIDS/NIPS) y los basados en host (HIDS/HIPS)?
Introducción a IDS y IPS
IDS/IPS basados en red (NIDS/NIPS):
Estos sistemas están diseñados para proteger toda la red. Un NIDS monitorea el tráfico de red para detectar actividades sospechosas, mientras que un NIPS también puede bloquear el tráfico malicioso en tiempo real. Se suelen colocar en puntos estratégicos, como entre el firewall y el router, para supervisar todo el tráfico que entra y sale de la red.
IDS/IPS basados en host (HIDS/HIPS):
Se instalan directamente en dispositivos individuales, como servidores o estaciones de trabajo. Su función es proteger ese dispositivo específico, detectando y previniendo amenazas locales, como intentos de instalar software malicioso o cambios no autorizados en archivos del sistema.
¿Qué es un falso positivo en el contexto de IDS/IPS y por qué es un problema?
Introducción a IDS y IPS
Un falso positivo ocurre cuando un IDS o IPS identifica un tráfico legítimo como malicioso y genera una alerta o bloquea el tráfico incorrectamente. Esto es problemático porque puede interrumpir el servicio normal, provocar pérdidas de productividad y sobrecargar al equipo de seguridad con alertas innecesarias. En el caso de un IPS, un falso positivo puede bloquear aplicaciones o usuarios legítimos, afectando las operaciones normales.
¿Qué es SNMP y para qué se utiliza?
Simple Network Management Protocol (SNMP)
Simple Network Management Protocol (SNMP) [161-162]
Es un protocolo de Internet utilizado para recopilar, organizar y modificar información sobre dispositivos gestionados en redes IP.
Se utiliza para supervisar y controlar routers, switches, firewalls, impresoras, servidores y dispositivos de usuario final en redes LAN o WAN.
¿Cuáles son los componentes principales de la arquitectura SNMP?
Simple Network Management Protocol (SNMP)
SNMP Manager: Es el nodo central o maestro que se encarga de gestionar y supervisar los dispositivos de red. El manager recopila información de los agentes distribuidos por la red, procesa los datos y permite a los administradores de red tomar decisiones informadas. En entornos empresariales, el SNMP manager generalmente se encuentra en un servidor dedicado que centraliza la gestión de todos los dispositivos de la red.
Agents: Los agentes son programas que se ejecutan en los dispositivos de red, como routers, switches, servidores, etc. Estos agents recopilan datos sobre el rendimiento y estado del dispositivo y los envían al SNMP manager. Los agentes también pueden recibir y ejecutar comandos desde el manager, como actualizar configuraciones o enviar alertas sobre eventos críticos. Cada agente actúa como un “reportero” que informa al manager sobre el estado del dispositivo en tiempo real o a intervalos regulares.
¿Cuáles son los tres tipos principales de mensajes en SNMP y cuál es su función?
Simple Network Management Protocol (SNMP)
Set Request: Este mensaje permite que el SNMP manager realice cambios en la configuración de un dispositivo gestionado. Por ejemplo, puede modificar el valor de una variable específica en un router o switch para ajustar su comportamiento.
Get Request: Este tipo de mensaje es utilizado por el SNMP manager para solicitar información de un dispositivo gestionado. Permite obtener datos específicos, como el estado de la red o la utilización de recursos, que el manager utiliza para monitorear y analizar el rendimiento del dispositivo.
Trap Message: Los mensajes Trap son enviados por los agents de forma asíncrona al SNMP manager. Estos mensajes se generan automáticamente cuando ocurre un evento significativo en el dispositivo, como una alerta de fallo o un cambio en la configuración. A diferencia de los mensajes Set y Get, los Trap no requieren una solicitud previa del manager, lo que permite notificaciones inmediatas y en tiempo real sobre problemas potenciales.
¿Qué es un “variable binding” en SNMP?
Simple Network Management Protocol (SNMP)
Un “variable binding” es una configuración de pares clave-valor que asocia un Object Identifier (OID) específico con su valor correspondiente en un mensaje SNMP.
Por ejemplo, un OID para un router podría incluir
- “SiteName: PR-Branch”
- “Criticality: High”
- “Severity: Low”
- “Alarm Description: High temperature”.
¿Cuáles son las diferencias clave entre SNMPv1, SNMPv2 y SNMPv3?
Simple Network Management Protocol (SNMP)
SNMPv1 y SNMPv2: Utilizan community strings como mecanismo de seguridad, que se transmiten en texto claro, lo que las hace vulnerables a ataques.
SNMPv3: Introduce mejoras significativas en seguridad, incluyendo integridad (hashing de mensajes), autenticación (validación de la fuente del mensaje) y confidencialidad (cifrado de datos transmitidos). También permite la gestión de accesos y privilegios mediante la creación de grupos de usuarios con diferentes niveles de acceso.
¿Qué son los “granular traps” y “verbose traps” en SNMP, y cuáles son sus diferencias?
Simple Network Management Protocol (SNMP)
Granular Traps: Estos mensajes contienen solo la información específica relacionada con un cambio en un Object Identifier (OID) particular. Esto permite al SNMP Manager identificar exactamente qué ha cambiado sin recibir datos innecesarios. Los Granular Traps son eficientes en el uso de ancho de banda y reducen la carga en la red, ya que transmiten solo los datos estrictamente necesarios.
Verbose Traps: A diferencia de los Granular Traps, los Verbose Traps contienen toda la información relevante sobre un evento o alerta en su carga útil. Aunque proporcionan un mayor nivel de detalle, lo que puede ser útil para análisis exhaustivos, estos mensajes utilizan más recursos de red y procesamiento. Debido a su tamaño más grande, los Verbose Traps pueden consumir más ancho de banda y ser más costosos de gestionar en términos de almacenamiento y análisis.
¿Por qué es crucial el monitoreo de la temperatura en dispositivos de red?
Sensores de Monitoreo en Dispositivos de Red
El monitoreo de la temperatura es crucial para evitar sobrecalentamiento, que puede degradar el rendimiento, acortar la vida útil del dispositivo o provocar fallas catastróficas.
Los sensores miden principalmente el aire en la entrada y salida del dispositivo.
Se configuran umbrales menores y mayores:
- Umbrales menores: Se activan ante un aumento de temperatura que aún no es peligroso. Esto genera un mensaje en el sistema, una notificación SNMP y posiblemente una alarma ambiental.
- Umbrales mayores: Se activan cuando la temperatura alcanza niveles peligrosos. Además de las notificaciones y alarmas, el dispositivo puede iniciar una “reducción de carga” (load shedding), apagando algunas funciones para disminuir el calor generado.
¿Qué indica una alta utilización de CPU en un dispositivo de red y qué valores se consideran normales?
Sensores de Monitoreo en Dispositivos de Red
Una alta utilización de CPU en un dispositivo de red puede indicar una red mal configurada o un ataque en curso.
Esto puede provocar pérdida de paquetes y potencialmente una falla total de la conexión.
En condiciones normales, la utilización de CPU debería estar entre el 5% y el 40%. Durante picos de actividad, puede aumentar hasta un 70%-80%. Es crucial monitorear la CPU para detectar problemas antes de que afecten la red.
¿Cómo se monitorea y mitiga el alto uso de memoria en dispositivos de red?
Sensores de Monitoreo en Dispositivos de Red
El monitoreo del uso de memoria en dispositivos de red se realiza mediante alertas de umbrales menores, severos y críticos que notifican a un panel centralizado a través de SNMP.
Cuando los dispositivos comienzan a consumir demasiada memoria, pueden producirse bloqueos del sistema, fallos del procesador y otros comportamientos indeseados.
Los dispositivos deben operar normalmente con una utilización de memoria del 40%. Si supera constantemente el 80%, se recomienda actualizar el dispositivo o investigar un posible ataque o problema de configuración en la red.
¿Qué es una captura de paquetes y para qué se utiliza?
Introducción a la Captura de Paquetes
Una captura de paquetes es un proceso para recopilar datos que viajan a través de una red. Se utiliza para analizar el tráfico de red, identificar problemas de comunicación y detectar posibles ataques o comportamientos anómalos.
El análisis de capturas de paquetes es importante porque permite identificar problemas de rendimiento, solucionar errores de configuración y detectar actividades sospechosas o maliciosas, como escaneos de puertos o ataques de denegación de servicio.
¿Qué tipo de información se puede obtener de una captura de paquetes?
Introducción a la Captura de Paquetes
De una captura de paquetes se puede obtener información como direcciones IP de origen y destino, protocolos utilizados, puertos, tamaños de paquetes, y detalles de la comunicación, lo que ayuda a entender el comportamiento del tráfico de red.
¿Qué herramientas se utilizan comúnmente para la captura de paquetes?
Introducción a la Captura de Paquetes
Herramientas como Wireshark, tcpdump, y NetworkMiner son comúnmente utilizadas para capturar y analizar paquetes de red, proporcionando una visión detallada del tráfico que circula por la red.
¿Qué es NetFlow y cuál es su propósito principal?
Análisis de Flujos de Tráfico con NetFlow
NetFlow es una herramienta desarrollada por Cisco para el análisis de tráfico de red que recopila metadatos sobre los flujos de tráfico en lugar de capturar cada paquete completo. Su propósito principal es identificar patrones de tráfico y posibles anomalías con un uso reducido de almacenamiento en comparación con la captura completa de paquetes.
¿Qué es un traffic flow en el contexto de NetFlow?
Análisis de Flujos de Tráfico con NetFlow
Traffic flow es una secuencia de paquetes que comparten un conjunto de características comunes, como direcciones IP de origen y destino, puertos, protocolo y otros atributos, mientras atraviesan la red. NetFlow agrupa y monitorea estos flujos para análisis y detección de patrones de tráfico.
¿Qué diferencias existen entre Full Packet Capture (FPC) y NetFlow?
Análisis de Flujos de Tráfico con NetFlow
Full Packet Capture (FPC) captura tanto el encabezado como la carga útil de todos los paquetes de red, proporcionando un nivel de detalle muy alto, pero a costa de un gran consumo de almacenamiento.
NetFlow ofrece la ventaja de reducir significativamente el uso de almacenamiento al capturar solo metadatos de tráfico en lugar de cada bit de datos. Esto permite un monitoreo eficiente del tráfico y la detección de anomalías sin necesidad de grandes capacidades de almacenamiento.
¿Cuáles son algunas herramientas comunes para el análisis de flujos de tráfico y qué características tienen?
Análisis de Flujos de Tráfico con NetFlow
NetFlow / IPFIX (IP Flow Information Export): Una de las primeras herramientas desarrolladas para definir y analizar flujos de tráfico en la red, ayudando a identificar patrones de tráfico.
Zeek (anteriormente Bro): herramienta híbrida que monitorea pasivamente la red y captura paquetes completos solo cuando detecta tráfico de interés según reglas configuradas. Esto permite reducir el almacenamiento necesario y aún así capturar datos detallados para un análisis más profundo.
Zeek también normaliza los datos y los almacena en formatos compatibles como JSON, facilitando su integración con otras herramientas de análisis.
MRTG (Multi Router Traffic Grapher): Utiliza SNMP para crear gráficos de flujos de tráfico en routers y switches, permitiendo visualizar patrones y detectar anomalías que podrían indicar problemas o actividades maliciosas.
Link State
ESTADISTICAS DE INTERFACES
Indica si una interfaz tiene un cable conectado y si un protocolo válido está operativo. Por ejemplo, un enlace “up” significa que la interfaz está físicamente conectada y el protocolo está funcionando.
MTU
ESTADISTICAS DE INTERFACES
El tamaño de la Unidad Máxima de Transmisión (MTU) indica la cantidad máxima de datos que se pueden transmitir en un solo paquete, típicamente 1500 bytes para Ethernet.
Reliability
ESTADISTICAS DE INTERFACES
Indica la fiabilidad de la interfaz, (255/255 es la máxima fiabilidad). A medida que aumentan los errores de entrada o salida, este valor disminuye.
Txload y Rxload
ESTADISTICAS DE INTERFACES
Estos valores indican cuán ocupada está la interfaz. (1/255 - 255/255)
- Txload: Mide la carga de transmisión de la interfaz
- Rxload: Mide la carga de recepción.
Keepalive
ESTADISTICAS DE INTERFACES
Intervalo de tiempo, generalmente 10 segundos, en el que el router envía paquetes de keepalive para verificar si la conexión está activa.
Duplex Status and Speed
ESTADISTICAS DE INTERFACES
Indica si la interfaz opera en half o full duplex y la velocidad de la conexión (por ejemplo, 100 Mbps (100BaseTX) para Fast Ethernet). La configuración incorrecta, como half duplex cuando debería ser full duplex, puede reducir significativamente el rendimiento.
ARP Type y ARP Timeout
ESTADISTICAS DE INTERFACES
ARP Type: Indica el tipo de ARP en uso. Por ejemplo, ARPA, que se utiliza para encapsulación Ethernet estándar.
ARP Timeout: Tiempo que una entrada ARP se mantiene en la caché antes de ser eliminada, generalmente 4 horas por defecto.
Last Input, Last Output y Last Clearing
ESTADISTICAS DE INTERFACES
- Last Input: Muestra cuándo se recibió el último paquete en la interfaz.
- Last Output: Indica cuándo se envió el último paquete desde la interfaz.
- Last Clearing: Señala cuándo se reiniciaron por última vez los contadores de la interfaz. Es útil para diagnósticos después de un reinicio del sistema o de la interfaz.
Queueing Strategy, Input Queue y Output Queue
ESTADISTICAS DE INTERFACES
-
Input Queue: Indica cuántos paquetes están en la cola de entrada y cuántos han sido descartados debido a la congestión.
- Size: Número actual de paquetes en la cola de entrada.
- Max: Capacidad máxima de la cola antes de descartar paquetes.
- Drops: Número de paquetes que han sido descartados debido a que la cola alcanzó su capacidad máxima.
- Flushes: Cuántas veces la interfaz ha vaciado selectivamente la cola de entrada para liberar espacio, generalmente descartando paquetes menos prioritarios (SPD - Selective Packet Discards).
- Queueing Strategy: Muestra la estrategia de colas utilizada, como FIFO (first in, first out).
- Output Queue: Muestra cuántos paquetes están en la cola de salida y cuántos han sido descartados debido a la congestión.
5 minute input/output rate
ESTADISTICAS DE INTERFACES
Mide el rendimiento reciente de la interfaz. Se expresa en bits por segundo (bps) o paquetes por segundo (pps). Ayuda a identificar patrones de tráfico y posibles congestiones.
- 5 minute input rate: Tasa promedio de tráfico entrante en los últimos cinco minutos.
- 5 minute output rate: Tasa promedio de tráfico saliente en los últimos cinco minutos.
Packet Input y Packet Output
ESTADISTICAS DE INTERFACES
Contabiliza la cantidad total de paquetes de entrada y salida y el tamaño total de los datos procesados.
Runts, Giants, y Throttles
ESTADISTICAS DE INTERFACES
- Runts: Ethernet frames menores de 64 bytes.
- Giants: Ethernet frames recibidos que exceden los 1518 bytes.
- Throttles: Indicador de que la interfaz no pudo manejar el tráfico entrante debido a un búfer insuficiente. Un número elevado puede sugerir la necesidad de actualizar el hardware o modificar la configuración de red, ya que podría provocar una reducción significativa en el rendimiento y pérdida de paquetes.
Input Errors, CRC, Frame, Overrun, Ignored
ESTADISTICAS DE INTERFACES
-
Input Errors: Número total de errores en la entrada.
- CRC: Paquetes que fallaron la verificación CRC (Cyclic Redundancy Checksum).
- Frame: Paquetes con error CRC y número no entero de octetos.
- Overrun: Ocurre cuando la interfaz no puede procesar tráfico debido a un búfer de hardware insuficiente.
- Ignored: Paquetes ignorados debido a búferes internos bajos.
Watchdog, Dribble Condition, Underrun, Output Errors
ESTADISTICAS DE INTERFACES
- Watchdog: Cuenta cuántas veces expiró el temporizador de watchdog, esto pasa cuando se recibe un paquete de mas de 2048 bytes.
- Dribble Condition: Paquetes ligeramente más grandes que el tamaño MTU pero no clasificados como giants.
- Underrun: Ocurre cuando el remitente opera más rápido de lo que el router puede manejar, causando buffers o paquetes descartados.
- Output Errors: Errores durante la salida, similares a los errores de entrada, incluyendo colisiones y reinicios de la interfaz, (en full duplex deberia ser 0, si no es 0 algo esta mal).
Unknown Protocol Drops, Babbles, Late Collision, Deferred
ESTADISTICAS DE INTERFACES
- Unknown Protocol Drops: Paquetes descartados cuyo protocolo no pudo ser identificado.
- Babbles: Paquetes transmitidos más grandes de 1518 bytes (similar a giants pero se usa en transmision en vez de recepcion).
- Late Collision: Colisiones que ocurren después de que la interfaz comienza a transmitir un frame (en full duplex deberia ser 0, si no es 0 algo esta mal).
- Deferred: Paquetes transmitidos correctamente después de esperar porque el medio estaba ocupado (en full duplex deberia ser 0, si no es 0 algo esta mal).
Lost Carrier y No Carrier
ESTADISTICAS DE INTERFACES
Lost Carrier y No Carrier se refieren al número de veces que la señal portadora se perdió o no estuvo presente durante la transmisión
Lost Carrier: Cuenta cuántas veces la interfaz perdió la señal portadora mientras estaba transmitiendo datos.
No Carrier: Indica cuántas veces la interfaz intentó transmitir datos pero no detectó una señal portadora.
Estos indicadores son importantes porque pueden señalar problemas físicos en la conexión, como cables defectuosos o desconectados, o problemas con el dispositivo en el otro extremo de la conexión.
Output Buffer Failures y Swapped Out
ESTADISTICAS DE INTERFACES
- Output Buffer Failures: Paquetes no enviados debido a la falta de memoria compartida.
- Swapped Out: Paquetes almacenados en la memoria principal cuando la cola estaba llena, si este numero es muy alto significa que estas experimentando congestion en la red.
