Network Monitoring Flashcards

1
Q

¿Qué es un IDS y cómo funciona?
¿Qué es un IPS y cómo se diferencia de un IDS?

Introducción a IDS y IPS

A

IDS (Intrusion Detection System)
Es un dispositivo pasivo que monitoriza el tráfico de red para detectar actividades sospechosas o maliciosas. Funciona en paralelo a la red, registrando eventos y generando alertas cuando detecta comportamientos anómalos o coincidentes con firmas de ataques conocidos. No bloquea el tráfico, simplemente notifica al administrador para que tome acciones correctivas.

Un IPS (Intrusion Prevention System)
Es un dispositivo activo que no solo monitoriza el tráfico de red como un IDS, sino que también puede bloquear o detener el tráfico malicioso en tiempo real. A diferencia del IDS, el IPS está en línea y tiene la capacidad de prevenir activamente ataques, evitando que lleguen a su destino. Sin embargo, puede bloquear tráfico legítimo si no está correctamente configurado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

¿Cuáles son los métodos principales de detección utilizados por IDS e IPS, cómo funcionan, y cuáles son sus ventajas y limitaciones?

Introducción a IDS y IPS

A

Detección Basada en Firmas:
Compara el tráfico de red con una base de datos de patrones predefinidos (firmas) que representan ataques conocidos. Si el tráfico coincide con una firma, se genera una alerta.
- Ventajas: Es muy efectiva para identificar ataques específicos que ya se conocen.
- Limitaciones: Es incapaz de detectar ataques nuevos o modificados que no tienen una firma en la base de datos. Además, puede generar falsos positivos si el tráfico legítimo coincide con una firma.

Detección Basada en Políticas:
Aplica reglas que reflejan las políticas de seguridad de la organización. Cualquier actividad que viole estas reglas se detecta y se reporta.
- Ventajas: Garantiza que las políticas de seguridad internas se cumplan, por ejemplo, bloqueando el uso de protocolos inseguros como Telnet.
- Limitaciones: Su eficacia depende de la claridad y actualización de las políticas definidas. Si las políticas están mal configuradas, pueden pasar por alto amenazas o bloquear tráfico legítimo.

Detección Basada en Anomalías:
Identifica comportamientos inusuales que se desvían de lo que se considera normal en la red.
Se subclasifica en:
Detección Estadística: Establece una línea base del comportamiento normal del tráfico y detecta desviaciones significativas.
Detección No Estadística: Utiliza umbrales y parámetros predefinidos por el administrador para identificar comportamientos anómalos.
- Ventajas: Es útil para detectar ataques nuevos o desconocidos que no están en la base de datos de firmas.
- Limitaciones: Puede ser propensa a falsos positivos, especialmente en entornos donde el comportamiento normal de la red cambia con frecuencia.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

¿Cuál es la diferencia entre los IDS/IPS basados en red (NIDS/NIPS) y los basados en host (HIDS/HIPS)?

Introducción a IDS y IPS

A

IDS/IPS basados en red (NIDS/NIPS):
Estos sistemas están diseñados para proteger toda la red. Un NIDS monitorea el tráfico de red para detectar actividades sospechosas, mientras que un NIPS también puede bloquear el tráfico malicioso en tiempo real. Se suelen colocar en puntos estratégicos, como entre el firewall y el router, para supervisar todo el tráfico que entra y sale de la red.

IDS/IPS basados en host (HIDS/HIPS):
Se instalan directamente en dispositivos individuales, como servidores o estaciones de trabajo. Su función es proteger ese dispositivo específico, detectando y previniendo amenazas locales, como intentos de instalar software malicioso o cambios no autorizados en archivos del sistema.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

¿Qué es un falso positivo en el contexto de IDS/IPS y por qué es un problema?

Introducción a IDS y IPS

A

Un falso positivo ocurre cuando un IDS o IPS identifica un tráfico legítimo como malicioso y genera una alerta o bloquea el tráfico incorrectamente. Esto es problemático porque puede interrumpir el servicio normal, provocar pérdidas de productividad y sobrecargar al equipo de seguridad con alertas innecesarias. En el caso de un IPS, un falso positivo puede bloquear aplicaciones o usuarios legítimos, afectando las operaciones normales.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿Qué es SNMP y para qué se utiliza?

Simple Network Management Protocol (SNMP)

A

Simple Network Management Protocol (SNMP) [161-162]
Es un protocolo de Internet utilizado para recopilar, organizar y modificar información sobre dispositivos gestionados en redes IP.
Se utiliza para supervisar y controlar routers, switches, firewalls, impresoras, servidores y dispositivos de usuario final en redes LAN o WAN.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

¿Cuáles son los componentes principales de la arquitectura SNMP?

Simple Network Management Protocol (SNMP)

A

SNMP Manager: Es el nodo central o maestro que se encarga de gestionar y supervisar los dispositivos de red. El manager recopila información de los agentes distribuidos por la red, procesa los datos y permite a los administradores de red tomar decisiones informadas. En entornos empresariales, el SNMP manager generalmente se encuentra en un servidor dedicado que centraliza la gestión de todos los dispositivos de la red.

Agents: Los agentes son programas que se ejecutan en los dispositivos de red, como routers, switches, servidores, etc. Estos agents recopilan datos sobre el rendimiento y estado del dispositivo y los envían al SNMP manager. Los agentes también pueden recibir y ejecutar comandos desde el manager, como actualizar configuraciones o enviar alertas sobre eventos críticos. Cada agente actúa como un “reportero” que informa al manager sobre el estado del dispositivo en tiempo real o a intervalos regulares.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

¿Cuáles son los tres tipos principales de mensajes en SNMP y cuál es su función?

Simple Network Management Protocol (SNMP)

A

Set Request: Este mensaje permite que el SNMP manager realice cambios en la configuración de un dispositivo gestionado. Por ejemplo, puede modificar el valor de una variable específica en un router o switch para ajustar su comportamiento.

Get Request: Este tipo de mensaje es utilizado por el SNMP manager para solicitar información de un dispositivo gestionado. Permite obtener datos específicos, como el estado de la red o la utilización de recursos, que el manager utiliza para monitorear y analizar el rendimiento del dispositivo.

Trap Message: Los mensajes Trap son enviados por los agents de forma asíncrona al SNMP manager. Estos mensajes se generan automáticamente cuando ocurre un evento significativo en el dispositivo, como una alerta de fallo o un cambio en la configuración. A diferencia de los mensajes Set y Get, los Trap no requieren una solicitud previa del manager, lo que permite notificaciones inmediatas y en tiempo real sobre problemas potenciales.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

¿Qué es un “variable binding” en SNMP?

Simple Network Management Protocol (SNMP)

A

Un “variable binding” es una configuración de pares clave-valor que asocia un Object Identifier (OID) específico con su valor correspondiente en un mensaje SNMP.
Por ejemplo, un OID para un router podría incluir
- “SiteName: PR-Branch”
- “Criticality: High”
- “Severity: Low”
- “Alarm Description: High temperature”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿Cuáles son las diferencias clave entre SNMPv1, SNMPv2 y SNMPv3?

Simple Network Management Protocol (SNMP)

A

SNMPv1 y SNMPv2: Utilizan community strings como mecanismo de seguridad, que se transmiten en texto claro, lo que las hace vulnerables a ataques.

SNMPv3: Introduce mejoras significativas en seguridad, incluyendo integridad (hashing de mensajes), autenticación (validación de la fuente del mensaje) y confidencialidad (cifrado de datos transmitidos). También permite la gestión de accesos y privilegios mediante la creación de grupos de usuarios con diferentes niveles de acceso.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

¿Qué son los “granular traps” y “verbose traps” en SNMP, y cuáles son sus diferencias?

Simple Network Management Protocol (SNMP)

A

Granular Traps: Estos mensajes contienen solo la información específica relacionada con un cambio en un Object Identifier (OID) particular. Esto permite al SNMP Manager identificar exactamente qué ha cambiado sin recibir datos innecesarios. Los Granular Traps son eficientes en el uso de ancho de banda y reducen la carga en la red, ya que transmiten solo los datos estrictamente necesarios.

Verbose Traps: A diferencia de los Granular Traps, los Verbose Traps contienen toda la información relevante sobre un evento o alerta en su carga útil. Aunque proporcionan un mayor nivel de detalle, lo que puede ser útil para análisis exhaustivos, estos mensajes utilizan más recursos de red y procesamiento. Debido a su tamaño más grande, los Verbose Traps pueden consumir más ancho de banda y ser más costosos de gestionar en términos de almacenamiento y análisis.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

¿Por qué es crucial el monitoreo de la temperatura en dispositivos de red?

Sensores de Monitoreo en Dispositivos de Red

A

El monitoreo de la temperatura es crucial para evitar sobrecalentamiento, que puede degradar el rendimiento, acortar la vida útil del dispositivo o provocar fallas catastróficas.
Los sensores miden principalmente el aire en la entrada y salida del dispositivo.
Se configuran umbrales menores y mayores:
- Umbrales menores: Se activan ante un aumento de temperatura que aún no es peligroso. Esto genera un mensaje en el sistema, una notificación SNMP y posiblemente una alarma ambiental.
- Umbrales mayores: Se activan cuando la temperatura alcanza niveles peligrosos. Además de las notificaciones y alarmas, el dispositivo puede iniciar una “reducción de carga” (load shedding), apagando algunas funciones para disminuir el calor generado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

¿Qué indica una alta utilización de CPU en un dispositivo de red y qué valores se consideran normales?

Sensores de Monitoreo en Dispositivos de Red

A

Una alta utilización de CPU en un dispositivo de red puede indicar una red mal configurada o un ataque en curso.
Esto puede provocar pérdida de paquetes y potencialmente una falla total de la conexión.
En condiciones normales, la utilización de CPU debería estar entre el 5% y el 40%. Durante picos de actividad, puede aumentar hasta un 70%-80%. Es crucial monitorear la CPU para detectar problemas antes de que afecten la red.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

¿Cómo se monitorea y mitiga el alto uso de memoria en dispositivos de red?

Sensores de Monitoreo en Dispositivos de Red

A

El monitoreo del uso de memoria en dispositivos de red se realiza mediante alertas de umbrales menores, severos y críticos que notifican a un panel centralizado a través de SNMP.
Cuando los dispositivos comienzan a consumir demasiada memoria, pueden producirse bloqueos del sistema, fallos del procesador y otros comportamientos indeseados.
Los dispositivos deben operar normalmente con una utilización de memoria del 40%. Si supera constantemente el 80%, se recomienda actualizar el dispositivo o investigar un posible ataque o problema de configuración en la red.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

¿Qué es una captura de paquetes y para qué se utiliza?

Introducción a la Captura de Paquetes

A

Una captura de paquetes es un proceso para recopilar datos que viajan a través de una red. Se utiliza para analizar el tráfico de red, identificar problemas de comunicación y detectar posibles ataques o comportamientos anómalos.
El análisis de capturas de paquetes es importante porque permite identificar problemas de rendimiento, solucionar errores de configuración y detectar actividades sospechosas o maliciosas, como escaneos de puertos o ataques de denegación de servicio.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

¿Qué tipo de información se puede obtener de una captura de paquetes?

Introducción a la Captura de Paquetes

A

De una captura de paquetes se puede obtener información como direcciones IP de origen y destino, protocolos utilizados, puertos, tamaños de paquetes, y detalles de la comunicación, lo que ayuda a entender el comportamiento del tráfico de red.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

¿Qué herramientas se utilizan comúnmente para la captura de paquetes?

Introducción a la Captura de Paquetes

A

Herramientas como Wireshark, tcpdump, y NetworkMiner son comúnmente utilizadas para capturar y analizar paquetes de red, proporcionando una visión detallada del tráfico que circula por la red.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

¿Qué es NetFlow y cuál es su propósito principal?

Análisis de Flujos de Tráfico con NetFlow

A

NetFlow es una herramienta desarrollada por Cisco para el análisis de tráfico de red que recopila metadatos sobre los flujos de tráfico en lugar de capturar cada paquete completo. Su propósito principal es identificar patrones de tráfico y posibles anomalías con un uso reducido de almacenamiento en comparación con la captura completa de paquetes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

¿Qué es un traffic flow en el contexto de NetFlow?

Análisis de Flujos de Tráfico con NetFlow

A

Traffic flow es una secuencia de paquetes que comparten un conjunto de características comunes, como direcciones IP de origen y destino, puertos, protocolo y otros atributos, mientras atraviesan la red. NetFlow agrupa y monitorea estos flujos para análisis y detección de patrones de tráfico.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

¿Qué diferencias existen entre Full Packet Capture (FPC) y NetFlow?

Análisis de Flujos de Tráfico con NetFlow

A

Full Packet Capture (FPC) captura tanto el encabezado como la carga útil de todos los paquetes de red, proporcionando un nivel de detalle muy alto, pero a costa de un gran consumo de almacenamiento.

NetFlow ofrece la ventaja de reducir significativamente el uso de almacenamiento al capturar solo metadatos de tráfico en lugar de cada bit de datos. Esto permite un monitoreo eficiente del tráfico y la detección de anomalías sin necesidad de grandes capacidades de almacenamiento.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

¿Cuáles son algunas herramientas comunes para el análisis de flujos de tráfico y qué características tienen?

Análisis de Flujos de Tráfico con NetFlow

A

NetFlow / IPFIX (IP Flow Information Export): Una de las primeras herramientas desarrolladas para definir y analizar flujos de tráfico en la red, ayudando a identificar patrones de tráfico.

Zeek (anteriormente Bro): herramienta híbrida que monitorea pasivamente la red y captura paquetes completos solo cuando detecta tráfico de interés según reglas configuradas. Esto permite reducir el almacenamiento necesario y aún así capturar datos detallados para un análisis más profundo.
Zeek también normaliza los datos y los almacena en formatos compatibles como JSON, facilitando su integración con otras herramientas de análisis.

MRTG (Multi Router Traffic Grapher): Utiliza SNMP para crear gráficos de flujos de tráfico en routers y switches, permitiendo visualizar patrones y detectar anomalías que podrían indicar problemas o actividades maliciosas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

¿Qué es Syslog y cuál es su propósito principal en la gestión de redes?

Log Aggregation with Syslog

A

Syslog [514]
Syslog es un protocolo utilizado para la centralización de logs generados por dispositivos de red y sistemas.
Su propósito principal es permitir que los logs de diferentes dispositivos, como routers, switches, firewalls y servidores, se envíen a un servidor Syslog centralizado.
Al centralizar los logs, Syslog permite a los administradores analizar y correlacionar eventos desde un único punto, mejorando la capacidad de respuesta ante incidentes y la seguridad general de la red.

22
Q

¿Cuáles son los componentes principales de la arquitectura Syslog?

Log Aggregation with Syslog

A

Cliente Syslog:
Es cualquier dispositivo o aplicación que genera eventos y envía logs a un servidor central. Ejemplos incluyen routers, switches, firewalls, servidores y estaciones de trabajo.

Servidor Syslog:
Es el componente central que recibe, almacena y organiza los logs enviados por los clientes Syslog.
Este servidor puede estar ubicado en un servidor dedicado o ser parte de una solución de gestión más amplia, como un SIEM.

Las funciones clave de un servidor Syslog incluyen:
- Recepción de logs: El servidor escucha continuamente en el puerto designado para recibir los logs enviados por los clientes Syslog.
- Almacenamiento de logs: Dependiendo de la configuración, los logs pueden almacenarse a corto o largo plazo. El almacenamiento puede organizarse por categorías, como fuente del log, nivel de severidad o tipo de evento.
- Análisis de logs: El servidor Syslog puede integrar herramientas de análisis que permiten correlacionar eventos, identificar patrones de comportamiento, y detectar anomalías o amenazas potenciales en la red.
- Notificación y alertas: Basado en reglas predefinidas, el servidor puede generar alertas cuando ciertos eventos ocurren, como múltiples fallos de autenticación o intentos de acceso no autorizados.

23
Q

¿Cómo clasifica Syslog los registros y cuál es la importancia de los niveles de severidad?

Log Aggregation with Syslog

A

Syslog clasifica los registros en ocho niveles de severidad:

Nivel 0 - Emergencia (Emergency): Condiciones críticas que hacen que el sistema sea inutilizable, como una falla total del hardware o un apagado inesperado.
Nivel 1 - Alerta (Alert): Situaciones que requieren atención inmediata, como la corrupción de datos o la pérdida de conectividad crítica.
Nivel 2 - Crítico (Critical): Fallos graves en aplicaciones o servicios esenciales, que requieren intervención rápida.
Nivel 3 - Error (Error): Errores que afectan el funcionamiento normal del sistema pero que no son críticos.
Nivel 4 - Advertencia (Warning): Indicaciones de posibles problemas que podrían requerir intervención, como una capacidad cercana al límite.
Nivel 5 - Notificación (Notice): Eventos normales pero significativos que no son errores, como la finalización exitosa de un proceso.
Nivel 6 - Información (Informational): Mensajes informativos sobre el estado de operaciones normales, como un reinicio de un servicio.
Nivel 7 - Depuración (Debug): Información detallada utilizada para depurar el sistema, generalmente utilizada por desarrolladores o administradores para resolver problemas específicos.

Debido a las limitaciones de espacio, los administradores suelen registrar solo eventos críticos (niveles 0 a 5) y omiten los logs informativos o de depuración dependiendo las políticas de la organización.

24
Q

¿Qué tipos de logs generan los dispositivos de red y cómo son útiles para la seguridad?

Log Aggregation with Syslog

A

Logs de tráfico: Estos logs contienen información detallada sobre los flujos de tráfico que pasan a través del dispositivo, incluyendo direcciones IP de origen y destino, puertos utilizados, direcciones MAC, y el Time to Live (TTL) de los paquetes. Analizar estos logs es crucial para la seguridad de la red, ya que permiten identificar patrones de tráfico inusuales o sospechosos, como intentos de escaneo de puertos, actividad de malware o posibles intentos de exfiltración de datos.

Logs de auditoría: Estos logs registran eventos y cambios específicos realizados en los dispositivos, como modificaciones en las configuraciones, actualizaciones de firmware, o cambios en las políticas de seguridad. Estos logs son vitales para la seguridad porque permiten a los administradores rastrear quién realizó qué cambios y cuándo, facilitando la detección de configuraciones incorrectas o accesos no autorizados.

25
Q

¿Qué tipos de logs generan los sistemas Windows y cómo se pueden visualizar?

Log Aggregation with Syslog

A

Los sistemas Windows generan tres tipos principales de logs que son fundamentales para la gestión de la seguridad y el rendimiento:

Application logs: Registran eventos relacionados con el software que se ejecuta en el sistema, incluyendo errores, advertencias e información general sobre el funcionamiento de las aplicaciones.

Security logs: Contienen información crítica sobre la seguridad, como intentos de inicio de sesión exitosos y fallidos, y eventos de auditoría que ayudan a rastrear acciones sospechosas o no autorizadas.

System logs: Documentan eventos importantes del sistema operativo, como problemas de hardware, eventos de inicio y apagado, y errores de controladores, lo que permite detectar y solucionar problemas de estabilidad.

26
Q

¿Cuál es la función principal de un SIEM?

Introducción al SIEM

A

SIEM (Security Information and Event Management)
Es una herramienta crucial en la ciberseguridad que centraliza la recopilación, análisis y correlación de logs y eventos de seguridad provenientes de diferentes sistemas y dispositivos en una red. Su función principal es proporcionar una visión unificada y en tiempo real de la seguridad de la red, permitiendo a los administradores identificar rápidamente amenazas, anomalías y posibles ataques, facilitando una respuesta más eficiente.

27
Q

¿Cómo facilita un SIEM la detección de anomalías?

Introducción al SIEM

A

Facilita la detección de anomalías al correlacionar eventos de distintas fuentes, como firewalls, servidores, y dispositivos de red.
Esta correlación permite identificar patrones inusuales o inconsistencias que podrían pasar desapercibidas si se revisaran los logs de manera aislada.

28
Q

¿Cuáles son las cinco funciones clave de un SIEM?

Introducción al SIEM

A

Recolección de logs: Recopila y centraliza logs de diferentes dispositivos y aplicaciones en la red.

Normalización: Convierte los datos de los logs a un formato estándar, facilitando el análisis.

Correlación: Vincula eventos relacionados de diferentes fuentes para identificar patrones de ataque.

Agregación: Consolida eventos similares para reducir el volumen de datos y enfocar el análisis.

Reporte: Genera informes y alertas basados en los datos agregados y correlacionados, ayudando en la toma de decisiones y cumplimiento normativo.

29
Q

¿Cuáles son las consideraciones clave al implementar un SIEM?

Introducción al SIEM

A

Registro y Filtrado de Eventos Relevantes

Es fundamental registrar todos los eventos relevantes y filtrar los datos irrelevantes. Esto asegura que el SIEM no se sature con información innecesaria, enfocándose solo en lo que realmente importa para la seguridad.

Establecer y Documentar el Alcance

Es importante definir y documentar el alcance de los eventos que se van a registrar. Debes determinar qué se incluirá dentro del monitoreo y qué se dejará fuera, estableciendo claramente los límites de tu análisis.

Desarrollar Casos de Uso para Definir Amenazas

Crear casos de uso específicos que definan qué se considera una amenaza es esencial. Esto permite identificar qué eventos requieren acción inmediata y cuáles pueden ser monitorizados o analizados más tarde.

Planificación de Respuestas ante Incidentes

Planificar respuestas predeterminadas para diferentes escenarios o eventos es crucial. Saber de antemano qué acciones tomar cuando se detecta un tipo específico de amenaza acelera la respuesta y mitiga riesgos.

Establecimiento de un Proceso de Ticketing

Implementar un proceso de ticketing permite hacer un seguimiento de los eventos marcados como sospechosos o anómalos. Esto garantiza que cada incidente se rastree hasta su resolución sin que nada se pase por alto.

Programación Regular de Threat Hunting

Realizar cacerías de amenazas regularmente junto con los analistas de ciberseguridad es esencial para identificar amenazas que podrían haber pasado desapercibidas en los sistemas automatizados. Esto refuerza la seguridad proactiva.

Provisión de una Pista de Auditoría para Cumplimiento

Finalmente, es crucial proporcionar una pista de auditoría clara para los auditores y analistas. Un SIEM centraliza y organiza los datos, facilitando la inspección de cumplimiento y el análisis detallado durante auditorías de seguridad.

30
Q

¿Cuáles son las principales métricas de rendimiento en una red?

Network Performance Metrics

A

Las principales métricas de rendimiento en una red son:
- Latencia, mide el tiempo que tardan los datos en viajar de un punto a otro
- Ancho de banda, indica la capacidad máxima teórica de transferencia de datos
- Jitter, mide la variación en los tiempos de retraso de los paquetes de datos, crucial para aplicaciones en tiempo real como VoIP y videoconferencias.

31
Q

¿Qué es la latencia en el contexto de la red y por qué es importante?

Network Performance Metrics

A

La latencia mide el tiempo que tarda un dato en llegar a su destino y volver, expresándose generalmente en milisegundos. Es crucial porque una alta latencia puede ralentizar significativamente el rendimiento de la red, afectando especialmente aplicaciones sensibles al tiempo como videoconferencias, VoIP y juegos en línea.

32
Q

¿Cómo se diferencian el ancho de banda y el throughput en una red?

Network Performance Metrics

A

El ancho de banda (Bandwith) es la capacidad máxima teórica de transferencia de datos a través de una red.

El throughput es la cantidad real de datos que se transfieren. El throughput suele ser menor que el ancho de banda debido a factores como la congestión de la red y la calidad de la conexión, por eso, se suele medir el throughput para evaluar el rendimiento real de la red

33
Q

¿Qué es el jitter y por qué es problemático en redes?

Network Performance Metrics

A

El jitter es la variación en el retraso de los paquetes de datos en una red, lo que puede causar problemas en aplicaciones en tiempo real como videoconferencias y VoIP.
Es problemático porque puede provocar efectos como la pérdida de paquetes y la distorsión en la calidad de la comunicación, especialmente si no se gestiona adecuadamente la calidad del servicio (QoS).

34
Q

Link State

ESTADISTICAS DE INTERFACES

A

Indica si una interfaz tiene un cable conectado y si un protocolo válido está operativo. Por ejemplo, un enlace “up” significa que la interfaz está físicamente conectada y el protocolo está funcionando.

35
Q

MTU

ESTADISTICAS DE INTERFACES

A

El tamaño de la Unidad Máxima de Transmisión (MTU) indica la cantidad máxima de datos que se pueden transmitir en un solo paquete, típicamente 1500 bytes para Ethernet.

36
Q

Reliability

ESTADISTICAS DE INTERFACES

A

Indica la fiabilidad de la interfaz, (255/255 es la máxima fiabilidad). A medida que aumentan los errores de entrada o salida, este valor disminuye.

37
Q

Txload y Rxload

ESTADISTICAS DE INTERFACES

A

Estos valores indican cuán ocupada está la interfaz. (1/255 - 255/255)

  • Txload: Mide la carga de transmisión de la interfaz
  • Rxload: Mide la carga de recepción.
38
Q

Keepalive

ESTADISTICAS DE INTERFACES

A

Intervalo de tiempo, generalmente 10 segundos, en el que el router envía paquetes de keepalive para verificar si la conexión está activa.

39
Q

Duplex Status and Speed

ESTADISTICAS DE INTERFACES

A

Indica si la interfaz opera en half o full duplex y la velocidad de la conexión (por ejemplo, 100 Mbps (100BaseTX) para Fast Ethernet). La configuración incorrecta, como half duplex cuando debería ser full duplex, puede reducir significativamente el rendimiento.

40
Q

ARP Type y ARP Timeout

ESTADISTICAS DE INTERFACES

A

ARP Type: Indica el tipo de ARP en uso. Por ejemplo, ARPA, que se utiliza para encapsulación Ethernet estándar.

ARP Timeout: Tiempo que una entrada ARP se mantiene en la caché antes de ser eliminada, generalmente 4 horas por defecto.

41
Q

Last Input, Last Output y Last Clearing

ESTADISTICAS DE INTERFACES

A
  • Last Input: Muestra cuándo se recibió el último paquete en la interfaz.
  • Last Output: Indica cuándo se envió el último paquete desde la interfaz.
  • Last Clearing: Señala cuándo se reiniciaron por última vez los contadores de la interfaz. Es útil para diagnósticos después de un reinicio del sistema o de la interfaz.
42
Q

Queueing Strategy, Input Queue y Output Queue

ESTADISTICAS DE INTERFACES

A
  • Input Queue: Indica cuántos paquetes están en la cola de entrada y cuántos han sido descartados debido a la congestión.
    • Size: Número actual de paquetes en la cola de entrada.
    • Max: Capacidad máxima de la cola antes de descartar paquetes.
    • Drops: Número de paquetes que han sido descartados debido a que la cola alcanzó su capacidad máxima.
    • Flushes: Cuántas veces la interfaz ha vaciado selectivamente la cola de entrada para liberar espacio, generalmente descartando paquetes menos prioritarios (SPD - Selective Packet Discards).
  • Queueing Strategy: Muestra la estrategia de colas utilizada, como FIFO (first in, first out).
  • Output Queue: Muestra cuántos paquetes están en la cola de salida y cuántos han sido descartados debido a la congestión.
43
Q

5 minute input/output rate

ESTADISTICAS DE INTERFACES

A

Mide el rendimiento reciente de la interfaz. Se expresa en bits por segundo (bps) o paquetes por segundo (pps). Ayuda a identificar patrones de tráfico y posibles congestiones.

  • 5 minute input rate: Tasa promedio de tráfico entrante en los últimos cinco minutos.
  • 5 minute output rate: Tasa promedio de tráfico saliente en los últimos cinco minutos.
44
Q

Packet Input y Packet Output

ESTADISTICAS DE INTERFACES

A

Contabiliza la cantidad total de paquetes de entrada y salida y el tamaño total de los datos procesados.

45
Q

Runts, Giants, y Throttles

ESTADISTICAS DE INTERFACES

A
  • Runts: Ethernet frames menores de 64 bytes.
  • Giants: Ethernet frames recibidos que exceden los 1518 bytes.
  • Throttles: Indicador de que la interfaz no pudo manejar el tráfico entrante debido a un búfer insuficiente. Un número elevado puede sugerir la necesidad de actualizar el hardware o modificar la configuración de red, ya que podría provocar una reducción significativa en el rendimiento y pérdida de paquetes.
46
Q

Input Errors, CRC, Frame, Overrun, Ignored

ESTADISTICAS DE INTERFACES

A
  • Input Errors: Número total de errores en la entrada.
    • CRC: Paquetes que fallaron la verificación CRC (Cyclic Redundancy Checksum).
    • Frame: Paquetes con error CRC y número no entero de octetos.
    • Overrun: Ocurre cuando la interfaz no puede procesar tráfico debido a un búfer de hardware insuficiente.
    • Ignored: Paquetes ignorados debido a búferes internos bajos.
47
Q

Watchdog, Dribble Condition, Underrun, Output Errors

ESTADISTICAS DE INTERFACES

A
  • Watchdog: Cuenta cuántas veces expiró el temporizador de watchdog, esto pasa cuando se recibe un paquete de mas de 2048 bytes.
  • Dribble Condition: Paquetes ligeramente más grandes que el tamaño MTU pero no clasificados como giants.
  • Underrun: Ocurre cuando el remitente opera más rápido de lo que el router puede manejar, causando buffers o paquetes descartados.
  • Output Errors: Errores durante la salida, similares a los errores de entrada, incluyendo colisiones y reinicios de la interfaz, (en full duplex deberia ser 0, si no es 0 algo esta mal).
48
Q

Unknown Protocol Drops, Babbles, Late Collision, Deferred

ESTADISTICAS DE INTERFACES

A
  • Unknown Protocol Drops: Paquetes descartados cuyo protocolo no pudo ser identificado.
  • Babbles: Paquetes transmitidos más grandes de 1518 bytes (similar a giants pero se usa en transmision en vez de recepcion).
  • Late Collision: Colisiones que ocurren después de que la interfaz comienza a transmitir un frame (en full duplex deberia ser 0, si no es 0 algo esta mal).
  • Deferred: Paquetes transmitidos correctamente después de esperar porque el medio estaba ocupado (en full duplex deberia ser 0, si no es 0 algo esta mal).
49
Q

Lost Carrier y No Carrier

ESTADISTICAS DE INTERFACES

A

Lost Carrier y No Carrier se refieren al número de veces que la señal portadora se perdió o no estuvo presente durante la transmisión⁠

Lost Carrier: Cuenta cuántas veces la interfaz perdió la señal portadora mientras estaba transmitiendo datos.

No Carrier: Indica cuántas veces la interfaz intentó transmitir datos pero no detectó una señal portadora.

Estos indicadores son importantes porque pueden señalar problemas físicos en la conexión, como cables defectuosos o desconectados, o problemas con el dispositivo en el otro extremo de la conexión.

50
Q

Output Buffer Failures y Swapped Out

ESTADISTICAS DE INTERFACES

A
  • Output Buffer Failures: Paquetes no enviados debido a la falta de memoria compartida.
  • Swapped Out: Paquetes almacenados en la memoria principal cuando la cola estaba llena, si este numero es muy alto significa que estas experimentando congestion en la red.