Como implementar un EasyIDS en la Red

Como dije anteriormente EasyIDS es un excelente conjunto de herramientas de Linux, basada en CentOS, que permite configurar de manera rápida un sistema de detección de Intrusos potente, mediante el uso de la herramienta Snort al igual que otra herramienta de red tan potente y sencilla como es  Ntop.

Sin embargo no explique la manera en que EasyIDS obtenía los datos de la red, hoy explicare brevemente la manera en que realice la conexiones para echar a andar mi pequeño IDS, cabe mencionar que actualmente esta funcionando y recibiendo trafico de al menos unas 500 Computadoras.

Configuración de un spam port en Switch Cisco

Herramienta de Monitoreo de Red “EasyIDS”

EasyIDS es una excelente distribución de Linux, basada en CentOS, que permite configurar de manera rápida un sistema de detección de Intrusos potente, mediante el uso de la herramienta Snort al igual que otra herramienta de red tan potente y sencilla como es Ntop

EasyIDS también posee herramienta como arpwatch, al igual que permite al administrador utilizar herramientas como traceroute o nmap que podrían generar al administrador del sistema información adicional.

El primer paso consiste en descargar y grabar la imagen iso en un CD, lo ideal y recomendable seria descargar la imagen desde el sitio oficial: http://www.skynet-solutions.net/About-EasyIDS

Una vez que se cuenta con la imagen se procede al proceso de instalación, en este caso se requiere una equipo con las siguientes características:

Nagios, Cambiar imagenes o iconos de equipos Parte 1

En esta publicación, explicare brevemente el proceso de mejorar la imagen de la aplicación de monitoreo, es decir cambiar los iconos que aparecen normalmente en el mapa y dar una mejor apariencia a nuestro nagios. Por el momento solamente utilizaremos tres dispositivos, un servidor en windows, un switch y un servidor linux donde corre nagios actualmente.

Nagios permite agregar imágenes en lugar de los  equipos como: switches L3, enrutadores, equipos mac, servidores de correos, servidores o equipos windows, firewall, pixes o asas, entre otros. Por el momento nos concentraremos en cambiar la siguiente imagen.

Para esto es necesario modificar algunos archivos de configuración, tal como se ha venido haciendo en otras ocasiones.

Enrutamiento entre vlan, utilizando un Switch Cisco L3 y un servidor dhcp en Linux

Saludes esta vez tratare un pequeño caso de estudio que esta conformado por un servidor dhcp en Linux, para dos vlans (vlan 10 y vlan 20), el cual esta conectado a un switch Cisco L3, tal como aparece en el diagrama.

En este ejemplo, las nubes naranjas representan los equipos de red conectados a los puertos 1-10 de cada switch L2 y las nubes blancas representan los equipos de red conectados a los puertos 11-20.

Nagios, Monitorización de Routers y Switches

En esta publicación, explicare brevemente el proceso de monitorizar un switch cisco por medio de la herramienta nagios, el proceso para monitorizar un enrutador es el mismo. Es importante recordar que solamente es posible monitorizar dispositivos que sean administrables.

Los equipos no administrables no pueden ser monitorizados de ninguna manera, debido a que estos no poseen una dirección IP. La selección de equipos de telecomunicaciones no administrables, realmente dependerá de los alcances que se pretenden en una red.

En este caso explicare la forma de monitorizar un switch cisco modelo 2950T de 24 puertos, para este equipo verificaremos las perdidas de paquetes, tiempo de respuesta y verificaremos el tiempo que este ha estado disponible, mediante el uso de snmp.

Uso de Router Cisco 2800 2600, 3600 como dhcp server.

El tema de utilizar un servidor DHCP o no, depende principalmente del tamaño de la red y de la forma de administrar la misma, es decir si la persona que administra la red esta dispuesta a realizar estas configuraciones o no. 

También dependerá de la existencia o carencia de los recursos, tanto de hardware como de software. Para los que estén convencidos que utilizar un entorno de asignación de direcciones IP por medio  de DHCP, utilizando un enrutador cisco 2811 como dhcp server, les recomiendo este pequeño documento.

DHCP es un protocolo que permite a dispositivos individuales en una red obtener su propia información de configuración de red, tal como la dirección IP; máscara de sub-red, puerta de enlace, servidores dns, etc. El propósito principal es hacer más fáciles de administrar las redes grandes. Sin la ayuda de un servidor DHCP, tendrían que configurarse de forma manual cada dirección IP de cada equipo en la red. Un servidor DHCP supervisa y distribuye las direcciones IP de una Red de Área Local asignando una dirección IP a cada equipo que se una a la Red de Área Local. 

Herramienta de monitoreo de Red “Nagios”

Nagios es una herramienta de monitorización de redes de código abierto, muy utilizada por el personal de redes que permite controlar el estado o disponibilidad de equipos asi como de servicios de redes. Entre los servicios que pueden monitorizarse con nagios tenemos los siguientes: SMTP, POP, HTML, SNMP entre otros. Asi como también es posible obtener información sobre los recursos de sistemas de algunos equipos.

Nagios permite al equipo de IT monitorizar todos los componentes de una red, desde las métricas, protocolos, servicios, aplicaciones, servidores, switches, enrutadores. A demás permite que el personal se encuentre informado de todos los eventos que suceden, desde la falla hasta el proceso de recuperación de cada evento. Permite mantener un nivel de escalación, importante para garantizar que los las alertas sean atendidas por el personal a cargo. Nagios sirve como una herramienta de apoyo para los administradores ya que permite visualizar información histórica de las fallas o capacidades de los recursos y asi evitar fallos futuros mediante la planeación anticipada de recursos de la infraestructura gestionada.

Para esta demostración utilizare un PC con sistema operativo Fedora core 16.

Configuración del Spanning Tree (Definir el Root Bridge)

Una vez que ya se ha comprendido el modo de funcionar del algoritmo que utiliza STP para crear una red convergente, es importante iniciar con el proceso de configuración de la topología, para definir el Root Bridge. 

Para demostrar el funcionamiento se presenta una topología configurada de tal manera que se puede ver que la topología ha convergido de manera automática. Sin embargo no es lo que realmente se requiere en la vida real.

 

Segun la imagen se puede ver a simple vista que el sw#3 ha sido el ganador y definido como el Root Bridge (Puente Raíz), sin embargo para nuestro ejemplo realizaremos las configuraciones necesarias para que sea el sw#1 el Root Bridge.

Introducción al Protocolo Spanning Tree (IEEE 802.1D)

Para iniciar a escribir sobre este protocolo explicare un poco la manera en que me tope con el e iré describiendo algunos conceptos importantes para comprender mejor el funcionamiento del mismo.

Hace algún tiempo, trabajaba en los laboratorios del departamento de computación de la universidad, especialmente en un laboratorio que tenia 30 equipos, para conectar estos equipos utilizábamos dos switches L2 uno de 24 puertos 10/100 y otro de 16 puertos 10/100 con la siguiente Tolopologia.

Con el fin de evitar problemas de comunicación y brindar un poco de redundancia en la red de laboratorio, conecte un cable entre los switches de 24 y 16 puertos, por lo que comencé a notar que la red después de unos minutos presentaba problemas y la comunicación era imposible.