Monitorización y Seguridad Informática

Javier Rubio Robledo
Ingeniería de Computadores y Electrónica Industrial

Monitorización de Redes – Abril 2015
Copyright © 2015 por Javier Rubio Robledo. Algunos derechos reservados.
El contenido de este manual se distribuye bajo la licencia Creative Commons Atribución-

NoComercial-SinDerivadas 3.0 España (CC BY-NC-ND 3.0 ES). Es una licencia libre que
persigue garantizar la libertad para compartir contenidos sin ánimo de lucro respetando la
integridad de los mismos, así como el reconocimiento de los derechos y el trabajo realizado
por el autor.
Para obtener más información sobre esta licencia y sus términos puede consultar la página
web http://creativecommons.org/licenses/by-nc-nd/3.0/es/deed.es o solicitar información
por carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California,
94105, USA.
Contenido
1. Introducción a la Gestión de Redes ............................................................................... 7

 Conceptos y Áreas Funcionales ............................................................................... 10
 Gestión de Fallos ........................................................................................... 10
 Gestión de la Configuración ........................................................................... 12
 Gestión de la Contabilidad ............................................................................. 14
 Gestión de las Prestaciones ........................................................................... 15
 Gestión de la Seguridad ................................................................................. 16
 Fundamentos de la Gestión de Red ........................................................................ 17
 Tipos de Monitorización ......................................................................................... 19
 Polling / Event-Reporting .............................................................................. 19
 Monitorización de Prestaciones ..................................................................... 20
 Monitorización de Fallos ............................................................................... 21
 Monitorización de la Contabilidad ................................................................ 22
 Indicadores de Prestaciones ................................................................................... 23
 Disponibilidad / Tiempo de Respuesta ........................................................... 23
 Rendimiento / Fiabilidad / Utilización ............................................................ 24
 Fundamentos del Control de la Red ........................................................................ 25
 Control de la Configuración ........................................................................... 25
 Control de Seguridad ..................................................................................... 26
 Gestión de Red Integrada ....................................................................................... 27
 Sistemas de Estandarización................................................................................... 29
 International Organization for Standarizacion (ISO) ....................................... 29
 International Telecomunications Union (ITU) ................................................. 30
 Foros Industriales .......................................................................................... 32
 Internet Architecture Board (IAB) .................................................................. 33
3
Monitorización de Redes y Seguridad Informática
2. Monitorización de Red .................................................................................................. 35

 El protocolo SNMP ................................................................................................. 36
 Desarrollo de SNMP ...................................................................................... 40
 Información de Gestión ................................................................................. 41
 Comandos básicos de SNMP .......................................................................... 42
 Extensiones SNMP: RMON MIB ..................................................................... 45
 Control de Seguridad ..................................................................................... 48
 Técnicas de Monitorización .................................................................................... 50
 Monitorización Activa y Pasiva ...................................................................... 50
 Estrategia de monitorización ......................................................................... 52
 Configuración de SNMP en Windows ...................................................................... 53
 Windows XP / Vista / Windows Server 2003 .................................................. 55
 Windows 7-8 / Windows Server 2008-2012.................................................... 57
 Herramientas de monitorización ............................................................................ 61
3. Introducción a PRTG Network Monitor ......................................................................... 65

 Preparación del software ....................................................................................... 66
 Instalación .................................................................................................... 68
 Registro ........................................................................................................ 69
 Descubrimiento Automático de la red .................................................................... 70
 Configuración de la primera pantalla ............................................................. 70
 Configuración de la segunda pantalla ............................................................ 71
 Proceso de búsqueda .................................................................................... 74
 Jerarquía de objetos............................................................................................... 75
 El árbol de aparatos ...................................................................................... 76
 Grupo “Root” y Sonda ................................................................................... 77
 Concepto de grupo ........................................................................................ 78
 Aparato y Sensor ........................................................................................... 79
 Canal ............................................................................................................. 80
 Extras adicionales .................................................................................................. 81
 Más información .................................................................................................... 82
4
4. Monitorización en Linux con Nagios .............................................................................. 83

 Configuración de SNMP en Linux ............................................................................ 85
 Instalación y configuración de Nagios ..................................................................... 92
 Descarga e instalación del software ............................................................... 94
 Añadiendo los hosts Windows ....................................................................... 100
 Instalando el cliente en los sistemas Windows ............................................... 102
 Software NRPE para sistemas Linux ........................................................................ 104
 Modos de empleo de NRPE ........................................................................... 106
 Instalación de NRPE en Nagios ....................................................................... 107
 Instalando el cliente en los sistemas Linux ..................................................... 108
 Creación de host clientes y sensores en el servidor Nagios ............................. 111
 Características de Nagios........................................................................................ 115
 Estructura ..................................................................................................... 116
 Interfaz Web ................................................................................................. 117
 Personalización ............................................................................................. 126
5. Análisis de la monitorización ........................................................................................ 129

 La monitorización de prestaciones ......................................................................... 130
 Indicadores orientados a Servicio .................................................................. 130
 Indicadores orientados a Eficiencia ................................................................ 131
 Generación de informes ................................................................................ 132
 Informes en Polling ....................................................................................... 133
 Informes en Event-Reporting ......................................................................... 134
 Importación de datos en Excel................................................................................ 135
 Análisis de indicadores orientados a Servicio .......................................................... 144
 Disponibilidad ............................................................................................... 144
 Tiempo de Respuesta .................................................................................... 145
 Fiabilidad ...................................................................................................... 154
 Análisis de indicadores orientados a Eficiencia ....................................................... 155
 Rendimiento ................................................................................................. 155
 Utilización ..................................................................................................... 160
5
6. Seguridad Informática .................................................................................................. 165

 Lo que debemos proteger ...................................................................................... 166
 De qué se debe proteger ........................................................................................ 167
 Factores humanos externos ........................................................................... 167
 Personal interno ............................................................................................ 170
 Factores no humanos .................................................................................... 171
 Fundamentos de seguridad informática ................................................................. 172
 Control de la Seguridad ................................................................................. 172
 Amenazas por personas físicas ...................................................................... 175
 Amenazas lógicas .......................................................................................... 177
 Amenazas físicas ........................................................................................... 180
 Principio de Defensa en Profundidad ..................................................................... 182
 Etapas de la seguridad de un sistema............................................................. 182
 La seguridad en redes .................................................................................... 183
 Ataques activos en una red............................................................................ 184
 Protección básica de una red .................................................................................. 186
 Medidas de protección ........................................................................................... 192
 Software de seguridad ........................................................................................... 193
 Antivirus y Antispyware ................................................................................ 193
 Firewall ......................................................................................................... 194
 Software Criptográfico .................................................................................. 195
 Ventajas de usar un firewall físico .......................................................................... 196
7. Glosario de términos de Monitorización ....................................................................... 201
8. Diccionario de Seguridad Informática............................................................................ 209
6
Introducción a la
Gestión de Redes
El objetivo de las tecnologías de gestión de red es reducir los costes y riesgos de operación
asociados con sistemas distribuidos grandes y complejos. Conforme los sistemas en red aumentan
en heterogeneidad y ofrecen un mayor número de aplicaciones de misión crítica, los riesgos
asociados con fallos y los costes de operación se convierten en la preocupación principal para el
usuario.
Las tecnologías de gestión de red se centran en la monitorización, interpretación y control de los

comportamientos de la red. Los estándares de gestión de red buscan integrar estas funciones
dentro de la gran variedad de dispositivos y protocolos que existe en los sistemas en red actuales.
Tanto las tecnologías de gestión de red como los estándares se han desarrollado rápidamente en
los últimos años. Los profesionales en los campos de redes y computación distribuida necesitan
conocer y comprender el estado del arte de estos desarrollos.
7
Gestionar una red consiste en realizar actividades de inicialización, monitorización y control de

una red de comunicaciones con el objetivo de que ésta cumpla los requisitos de usuario para los
que fue construida.
La palabra inglesa "framework" (marco o entorno de trabajo) define, en términos generales, un

conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática
particular que sirve como referencia, para enfrentar y resolver nuevos problemas de índole
similar.
La gestión de una red de comunicaciones puede descomponerse en un framework o marco de

trabajo llamado FCAPS, que en definitiva es el estándar de gestión de comunicaciones aplicado a
la gestión de redes. FCAPS es un acrónimo de Fault, Configuration, Accounting, Performance &
Security (Fallo, Configuración, Contabilidad, Prestaciones y Seguridad), que son las categorías en
las cuales este modelo divide las tareas de gestión de redes. En algunos casos Contabilidad se
reemplaza con Administración.
8
La administración detallada de la infraestructura de red aplicada a las tecnologías de la

información de una organización es un requerimiento fundamental. Los empleados y clientes
dependen de los servicios de IT (Information Technology), así que la disponibilidad y el
desempeño son importantes, ya que los problemas deben ser rápidamente identificados y
resueltos. El tiempo medio de reparación debe ser tan bajo como sea posible para evitar caídas del
sistema donde es posible la pérdida de vidas o beneficios.
La gestión de una red de comunicaciones puede descomponerse en las cinco áreas

funcionales definidas por las FCAPS:
Gestión de Fallos (Fault).

Gestión de la Configuración (Configuration).
Gestión de la Contabilidad (Accounting).
Gestión de las Prestaciones (Performance).
Gestión de la Seguridad (Security).
9
CONCEPTOS Y ÁREAS FUNCIONALES
Gestión de Fallos
Un fallo o un error es un evento que tiene un significado negativo. El objetivo del fallo es
reconocer, aislar, corregir y registrar incidencias que ocurren en las redes de comunicaciones. Para
ello se utiliza un tipo de análisis de tendencias para predecir los errores o fallos de tal manera que
la red siempre esté disponible. Esto puede ser realizado monitorizando diferentes puntos de
control para detectar un comportamiento anormal del sistema.
Cuando ocurre un fallo o un error un componente de la red enviará una notificación al operador
de la misma utilizando un protocolo específico de comunicación, como por ejemplo el SNMP
(Simple Network Management Protocol, Protocolo Simple de Administración de Red). Esta
notificación puede ejecutarse automáticamente o de forma manual.
Los informes de fallos son un medio utilizado para recopilar estadísticas a fin de determinar el
nivel de servicio proporcionado de elementos individuales de una parte de una red, así como de
subredes o la red entera. También se utilizan para determinar componentes de red
aparentemente deficientes que necesitan más atención.
Ejemplos de sistemas de Gestión de Fallos son HP OpenView, IBM Tivoli Netcool, TTI Telecom
Netrac o Clarity. Las herramientas de aislamiento de fallos como Delphi que también están
disponibles son básicamente utilizadas para aislar fallos en cualquier red de comunicaciones.
Mediante el uso de software de este tipo es posible mantener un funcionamiento correcto de la
red, tratando así de protegerla de las incidencias que puedan aparecer en el sistema en su
conjunto o en los elementos que lo componen.
10
Es conveniente diferenciar el fallo del error. El fallo es una situación que requiere de algún tipo de
acción correctora y que es descubierto debido a la imposibilidad de operar correctamente o por
una gran cantidad de errores. Sin embargo, los errores ocurren ocasionalmente y no tienen por
qué ser fallos, por ejemplo, el hecho de que todo enlace tenga una tasa de error mínima de un bit.
Cuando nos encontramos ante un fallo se deben realizar los siguientes pasos:
1. Diagnosticar y determinar rápidamente donde se localiza dicho fallo.
2. Aislar a la red del fallo, reconfigurándola de forma que el impacto de éste sea lo menor
posible.
3. Resolver el problema de forma que la red vuelva a su estado inicial. Esto puede suponer
la sustitución de los componentes fallidos.
4. Comunicar a los usuarios del fallo, así como de la resolución del problema.
El impacto y duración de los fallos depende de la redundancia o repetición tanto en nodos

como en rutas que exista en la red, incluso del propio sistema de gestión de fallos. Una vez
solucionado el fallo debe encontrarse la red realmente operativa donde se haya solucionado el
problema y verificar que no se hayan introducido otros fallos.
11
Gestión de la Configuración
Las redes están formadas por componentes y sistemas que pueden ser configurados para muy
diferentes funciones. Por ejemplo, un nodo puede actuar como router o como host, se pueden
variar los temporizadores de retransmisión en la Capa de Transporte, etc...
La gestión de la configuración es el proceso mediante el cual todas las operaciones diarias son
monitoreadas y controladas a fin de obtener información de la red y usarla para hacer ajustes a la
configuración de los dispositivos de la misma. En general esta función es la que se ocupa de
inicializar la red, mantener, añadir y actualizar el estado de los componentes y las relaciones entre
dichos componentes.
Asimismo todos los cambios de hardware y de software son coordinados a través de este proceso.
La instalación de nuevos programas o equipamiento, la modificación de sistemas existentes, así
como la eliminación de sistemas y programas obsoletos también son coordinados a través de la
gestión de la configuración.
Los objetivos de la administración de la configuración son:
Recolectar información.
Modificar la configuración.
Generación de reportes.
Gestión de cambios.
Según las redes incrementan su tamaño una tarea importante es la configuración automatizada.
Algunos ejemplos de esta tareas son el DNS (Domain Name System, Sistema de Nombres de
Dominio), el histórico de cambios de configuración RANCID para la gestión de routers, la gestión
de archivos guardados en Compact Flash para su uso en portátiles o el control de las versiones del
software.
12
Este proceso de gestión debe tener en cuenta:
Permitir el acceso rápido a la información sobre configuraciones.

Facilitar la configuración remota de los dispositivos.
Proporcionar inventario actualizado de los componentes de la red.
Recopilar y almacenar las configuraciones de los dispositivos de la red.
Simplificar la configuración del dispositivo.
Hacer un seguimiento de los cambios que se hacen a la configuración.
Para configurar la comunicación a través de redes no conmutadas.
13
Gestión de la Contabilidad
La gestión de la contabilidad es a menudo conocida también como la gestión de la tarificación o

costes. El objetivo es reunir las estadísticas de uso de los usuarios. Utilizando las estadísticas, los
sistemas pueden ser evaluados y conociendo su límite de uso pueden ser forzados hasta ese
límite. Por ejemplo:
Utilización del espacio en disco.

Uso de los recursos del sistema como la RAM.
Tiempo y tráfico de utilización de enlace de red.
Velocidad de proceso de la CPU.
El gestor de red debe ser capaz de establecer los parámetros de contabilidad que van a ser
medidos en cada nodo, así como el intervalo de tiempo entre sucesivas envíos de información al
gestor o el algoritmo de cálculo de la factura. RADIUS, TACACS y DIAMETER son ejemplos de
protocolos comúnmente utilizados para gestión de costes.
Para redes no tarificadas se utiliza la Gestión de Administración. Los objetivos de la

administración son gestionar el conjunto de usuarios autorizados estableciendo usuarios,
contraseñas, permisos y administrar las operaciones de los equipos como realizar backups (copias
de seguridad) de software y la sincronización de los sistemas.
En todas las redes resulta interesante mantener un registro del uso que los usuarios hacen de
la red. En redes públicas es imprescindible para la facturación. En redes corporativas sirve para
distribuir el gasto entre departamentos y vigilar el uso excesivo que hacen de ella ciertos usuarios
perjudicando a los demás, así como planificar el futuro crecimiento o redistribución de los
recursos de la red. El acceso a esta información siempre debe ser restringido.
14
Gestión de las Prestaciones
La gestión de las prestaciones o rendimiento permite al gestor preparar la red para el futuro, así
como a determinar la eficiencia de la red actual, por ejemplo, en relación con las inversiones
realizadas para establecerla. El rendimiento de la red se mide con el throughput (tráfico cursado),
el porcentaje de utilización, las tasas de error y los tiempos de respuesta. Se llama throughput al
volumen de trabajo o de información neto que fluye a través de un sistema, como puede ser una
red de computadoras.
Es particularmente significativo el control del almacenamiento y los sistemas de recuperación de

información, en los cuales el rendimiento es medido en unidades como accesos por hora.
Recopilando y analizando los datos de rendimiento el estado de la red puede ser monitorizado. Las
tendencias de funcionamiento pueden indicar la capacidad o cuestiones de fiabilidad que pueden
convertirse en servicios afectados. Los umbrales de rendimiento pueden ser establecidos para
lanzar una alarma. La alarma sería manejada por el proceso de gestión de fallos habitual. Las
alarmas varían dependiendo de la severidad.
También se ocupa de monitorizar las prestaciones de la red para comprobar que están dentro de
los límites permisibles y eventualmente realizar operaciones de control para mejorarlas. El gestor
de la red debe ser capaz de establecer los indicadores a medir aplicarlos en según qué puntos de la
red para que una vez analizados permitan monitorizar la degradación de las prestaciones. De esta
forma se pueden descubrir cuellos de botella y así poder planificar mejor las ampliaciones de la
red. La tendencia lógica es la de obtener un servicio de red con las mejores prestaciones posibles.
15
Gestión de la Seguridad
La gestión de la seguridad es el proceso de controlar el acceso a recursos en la red. La seguridad

de datos puede ser establecida principalmente con la autenticación, el cifrado y la autorización
debidamente configuradas mediante el sistema operativo de red, así como la configuración de
control de acceso del sistema de gestión de base de datos. Básicamente sus funciones
fundamentales son:
Gestionar la generación, distribución y mantenimiento de la encriptación de claves.

Gestionar los mecanismos de control de acceso (Passwords o Contraseñas).
Monitorizar el acceso a la red y a la propia información de gestión.
Controlar los ficheros de registro.
16
FUNDAMENTOS DE LA GESTIÓN DE RED
Podemos analizar los fundamentos de la gestión de red centrándonos no en las funciones,

sino en las dos principales operaciones involucradas: monitorización y control.
Gestión = Monitorización + Control
La información de monitorización puede clasificarse en:
Estática: Información que no cambia frecuentemente, como la que caracteriza la

configuración de la red y los dispositivos que la componen, como por ejemplo el
número de interfaces de un Router, un Hub o un Switch. Suele ser mantenida por el
elemento de red involucrado (Terminal).
Dinámica: Información relacionada con eventos de la red. Cambia frecuentemente.

Suele ser mantenida por el elemento de red que genera los eventos, pero también
puede hacerse externamente.
Estadística: Información derivada de la dinámica. Por ejemplo la tasa media de

paquetes transmitidos por un nodo. Generada por cualquier sistema que tenga acceso
a la información dinámica.
17
Distinguimos los siguientes elementos de un sistema de monitorización:
Aplicación de Monitorización: es el software de monitorización que ayuda a asegurar la

máxima disponibilidad y rendimiento de la red. Se trata de un sistema con prestaciones
avanzadas para la monitorización de plataformas, servidores y sistemas. Genera un
historial continuo que forma la Base de Datos de Gestión (MIB), por lo que necesita de
los datos monitorizados desde cualquier área funcional.
Gestor: realiza la función de obtener los datos de monitorización para la aplicación. Es la

estación de trabajo donde se ejecutan las aplicaciones de gestión de red, que disponen de
interfaces gráficas para presentar información al usuario y para facilitarle la ejecución de
operaciones de gestión. Se comunica con el Agente mediante un Protocolo de Gestión.
Agente: se ejecuta en el dispositivo a gestionar (host, router, hub...) o en una estación

con acceso a los recursos gestionados. Responde a peticiones del gestor y puede
asíncronamente enviarle información acerca de algún evento importante. En modo
automático toma el papel del gestor para la obtención de datos.
18
TIPOS DE MONITORIZACIÓN
Polling / Event-Reporting
El Polling es una interacción basada en mensajes de Petición/Respuesta entre Gestores y

Agentes. El Gestor solicita parte o toda la información de algún elemento de red. Pueden
ser peticiones más o menos precisas, solicitando información que cumple determinados
criterios. Mientras, el Agente espera peticiones y devuelve respuestas. El polling puede hacerse
periódico, para detectar cambios de estado, o puede ser disparado como consecuencia de
algún evento que precisa de obtener más información.
Con Event-Reporting, la iniciativa (y la complejidad) es del Agente, que periódicamente o

cuando se haya cumplido alguna condición envía información al gestor. Aquí el Gestor sólo tiene
que configurar la actividad del Agente (periodo de recepción de informes o condición para el
envío de informes) y pasar a la espera.
19
Monitorización de Prestaciones
Tiene como dificultad el seleccionar los medidores apropiados (hay medidores no

comparables, no todos los fabricantes de equipos soportan los mismos medidores, etc...).
Algunos indicadores genéricos son:
1. Indicadores orientados a Servicio:
• Disponibilidad: porcentaje de tiempo que un elemento de red, componente,

aplicación está disponible para el usuario.
• Tiempo de Respuesta: tiempo que el usuario debe esperar la respuesta a una
acción iniciada por él.
• Fiabilidad: Porcentaje de tiempo sin errores en la transmisión y entrega de la
información.
2. Indicadores orientados a Eficiencia:
• Rendimiento: Tasa de ocurrencia de eventos de usuario: generación de

transacciones, mensajes, etc...
• Utilización: Porcentaje actualmente utilizado de la teórica capacidad total de un
recurso.
Los primeros son más importantes (reflejan la calidad del servicio ofrecido), pero los segundos nos
indican a qué coste estamos ofreciendo esa calidad. El objetivo, lógicamente, es minimizar
dicho coste.
20
Monitorización de fallos
Sirven para detectar problemas propios de la gestión de fallos. Como hemos mencionado
anteriormente hay que confundirlos con los errores.
Fallos inobservables: Hay fallos inherentemente inobservables, como un

bloqueo mutuo (deadlock) entre procesos múltiples. O porque el equipo en
cuestión no dispone de mecanismos para detectar ese error.
Fallos Parcialmente Observables: Puede ser que lo observable no sea suficiente

para diagnosticar la causa real.
Incertidumbre en la observación: Aunque tengamos observaciones muy

detalladas, puede que haya incertidumbre acerca de la causa. Por ejemplo, un
nodo que no responde puede haber fallodo, haberse caído la red o haberse
retardado la respuesta por congestión. Por eso hay que tener especial cuidado
en identificar la causa original del problema.
Causas potencialmente múltiples: Si la red está formada por múltiples

tecnologías, tendremos una gran variedad de problemas y puntos de fallo.
Múltiples observaciones relacionadas: Un simple fallo puede ser detectado en

numerosos sitios de la red. Debemos considerar que una capa en una red puede
soportar servicios de comunicación de capas superiores.
Hay que tener mucha precaución a la hora de tratar los fallos, porque procedimientos locales de
recuperación de datos pueden destruir evidencias importantes de cara a diagnosticar el problema.
Por eso no suele ser fácil desarrollar procedimientos de prueba que aíslen las verdaderas causas.
La red está dando servicio continuamente y es muy difícil realizar paradas técnicas útiles para la
detección de fallos.
21
Monitorización de la Contabilidad
Los requisitos de éste área funcional varían mucho dependiendo de la naturaleza de la red, ya sea
corporativa o pública. En definitiva, los costes que deben monitorizarse son:
Recursos de Comunicaciones: LANs, WANs, líneas dedicadas, acceso WiFi, etc... En función
de la red disponible los costes pueden variar por el uso que se necesite.
Recursos Hardware: tipo de cable, nodos, servidores, etc...
Software y aplicaciones en servidores.
Servicios de información: ofrecidos de forma comercial por la red.
22
INDICADORES DE PRESTACIONES
Las medidas de prestaciones puede realizarlas un agente específico para cada nodo, pero en
algunos casos, puede hacerlo un monitor externo. Estas medidas pueden ser interesantes para
realizar un análisis o procesamiento para extraer conclusiones o, simplemente, presentarle
los datos al gestor de la red o al usuario final.
Disponibilidad.
Se puede medir en base a la fiabilidad de los componentes, que normalmente se

calcula con los parámetros MTBF (Mean Time Between Failures, Tiempo Medio Entre Fallos) y
MTTR (Mean Time to Repair, Tiempo Medio de Reparación).
Pero la disponibilidad de un sistema completo o un servicio depende de la de los

componentes y como estén relacionados. Además un punto importante a tener en cuenta es que
la propia en la disponibilidad influye la propia carga de la red.
Tiempo de Respuesta.
Lógicamente, un menor tiempo de respuesta exige más coste: más recursos, tanto de máquina
como de red. En la mayoría de ocasiones, conviene realizar mediciones separadas para los
distintos elementos que intervienen, para así detectar los posibles cuellos de botella del
sistema.
Rendimiento (Throughput).
23
Es útil monitorizar las llamadas atendidas, las transacciones realizadas, como forma de
prever posibles problemas de prestaciones como consecuencia de incrementos de la demanda.
Fiabilidad (Accuracy).
A pesar de que los protocolos disponen de mecanismos para detectarlos e incluso corregirlos,
conviene monitorizarlos para descubrir posibles enlaces con problemas que conviene corregir.
Utilización.
Se trata de detectar cuellos de botella y áreas de importante congestión. Por la teoría de colas
sabemos que con un alto grado de utilización, el tiempo de respuesta se comporta
exponencialmente. Podemos detectar recursos infrautilizados y sobreutilizados. Los primeros
suponen un coste inútil a evitar y los segundos degradan las prestaciones del sistema.
24
FUNDAMENTOS DEL CONTROL DE LA RED
Control de la Configuración
La información de configuración describe la naturaleza y el estado de los recursos de la red, tanto

lógicos como físicos. Existen muy diferentes enfoques para estructurar esa información de gestión.
Esta información es necesaria en la estación gestora y está disponible para ser accedida en los
agentes. Aunque la definición de esta información de gestión se suele hacer actualmente off-line,
sería interesante que pudiera ser controlado desde la estación gestora.
Puede necesitarse autentificación para cambiar ciertos parámetros de configuración. Algunos

atributos no son alterables, porque reflejan la realidad de la red, como por ejemplo el número de
conexiones de un router. El cambio del valor de un atributo puede significar alteración en la base
de datos del agente o cambios en la base de datos de la red, así como modificación del recurso
gestionado.
La configuración realiza también la definición y modificación de relaciones de tipo topológico,

jerárquicas, conexiones físicas y lógicas, de dominios de gestión, etc... En el caso de la gestión del
software controla la inicialización y terminación de la operación de la red, así como la propia
distribución de software mediante la funcionalidad para atender peticiones de carga de
software (nuevas versiones), transmitir nuevas versiones a los nodos de una red, etc...
25
Control de la Seguridad
Para poder alcanzar los objetivos y para poder cumplir con la preservación y cumplimiento de los
tres principios básicos de la seguridad informática, es necesario contemplar una serie de servicios
o funciones, que sirven como base para la implementación de una infraestructura de seguridad de
la red en una organización.
En el último apartado del manual hablaremos extensamente acerca del control de seguridad, tipos
de amenazas y ataques, así como formas de establecer sistemas de seguridad que protejan la red
de incursiones maliciosas, bien desde la propia red LAN como en los accesos a Internet.
26
GESTIÓN DE RED INTEGRADA
Hasta hace unos años tradicionalmente era bastante habitual utilizar varios sistemas de gestión de
red a la hora de cubrir las diferentes áreas de la misma, sobre todo debido a la escasez de software
genérico que fuera capaz de controlar todos sus aspectos. Por lo general los programas estaban
dedicados a una sola de las tareas de gestión de red, ya fueran para resolver fallos, establecer la
seguridad, gestionar la configuración del sistema, etc., lo que solía producir un acoplamiento entre
servicios específicos a ciertos recursos de la red.
Esto provocaba una gran duplicidad y multiplicación de tareas, ya que se necesitaban múltiples
sistemas de gestión para cada uno de los controles de red, incluso para diferentes equipos de la
misma red. Esto a la vez conllevaba disponer de múltiples equipos de personas realizando
funciones similares, lo que en la mayoría de las veces provocaba sobreprotección en unas áreas
mientras otras se dejaban sin controlar o se hacía de forma deficiente. Al final se obtenía un
conjunto no interoperable de soluciones parciales ineficientes, complejas, poco flexibles y caras de
administrar.
27
La solución se obtuvo al aplicar los Estándares de Gestión de Red. Es importante estandarizar

porque implica una manera de establecer un Protocolo de Gestión de tal forma que se pueda
consultar a los subordinados y expresar las informaciones en base a un modelo común de
información. De esta forma se consiguieron una serie de mejoras aplicables a la gestión uniforme
de la red, que básicamente de definen en cuatro puntos:
Evolución de los servicios: Desde los clásicos servicios de poca capacidad hasta los nuevos
servicios ofrecidos por las redes de banda ancha (Video bajo demanda, Videoconferencia,
etc...)
Evolución de la tecnología: Introducción de tecnologías síncronas en las redes de

transmisión (SDH / SONET). Introducción del Asynchronous Transfer Mode (ATM), tanto
en redes locales como en redes más extensas.
Evolución en las demandas de los clientes: Los clientes demandan servicios fiables con
capacidades para poder, de forma remota, solicitar cambios, informar de problemas,
acceder a información de facturación, etc., con tiempos de acceso al servicio cada vez
menores.
Competitividad: El panorama del sector de las telecomunicaciones está cambiando

radicalmente debido a la liberalización del mercado: existe la necesidad imperiosa de
disminuir los costes de operación de la red, un uso más eficiente de los recursos, acelerar
la implementación de nuevos servicios, etc...
28
SISTEMAS DE ESTANDARIZACIÓN
International Organization for Standarization (ISO)
Organización voluntaria creada en 1946 con sede en Ginebra. Es la Agencia Internacional para el
Desarrollo de Estándares en un amplio rango de temas. Sus miembros son las organizaciones de
estandarización de naciones participantes y otras organizaciones observadoras sin derecho a voto.
Conocida su labor de estandarización en arquitecturas de comunicación para la interconexión de
sistemas abiertos.
Se organiza en cerca de 200 comités técnicos denominados TC (Technical Committee) que se

numeran en orden ascendente según su fecha de creación. El que nos interesa a nosotros es el
TC97 que trata de ordenadores y proceso de la información. Cada comité tiene subcomités (SCs)
que a su vez se dividen en grupos de trabajo o WGs (Working Groups).
Un grupo de trabajo de un comité técnico publica un “committee draft” compuesto de unas

especificaciones técnicas para el estándar propuesto. Una vez aceptado por los miembros
interesados se adapta a las prácticas ISO y se edita un “draft international standard”. Al cabo de 6
meses si es aprobado por un 75% del comité técnico se convierte en “International Standard”.
Tradicionalmente la ISO ha abordado aspectos de comunicaciones por ordenador y procesamiento

distribuido (niveles 4 a 7 de la capa OSI), mientras que la ITU ha trabajado más los temas de redes
de comunicaciones y transmisión de datos (niveles 1 a 3). La evolución de la tecnología de redes
ha hecho que ambas converjan y tengan que colaborar en la definición de nuevos estándares.
29
International Telecomunications Union (ITU)
Organización creada en 1934 y con la creación de las Naciones Unidas se vinculó a ésta en 1947. La
ITU tiene tres sectores de los cuales solo nos interesa el conocido como ITU-T que es un Comité de
Estandarización en temas de telecomunicaciones.
El objetivo de este comité es la estandarización de técnicas y operaciones de telecomunicaciones

para conseguir la compatibilidad terminal-terminal en las conexiones internacionales de
telecomunicaciones, sin importar países de origen y destino. Desde 1956 a 1993 la ITU-T se
conoció como CCITT (Comité Consultivo Internacional en Telefonía y Telegrafía). En 1993 el CCITT
fue reorganizada y se le cambió el nombre a ITU-T.
Los miembros de la ITU-T son de cinco clases, aunque sólo los representantes de los países tienen
derecho a voto.
Representantes de los países.

Operadores privados reconocidos (British Telecom, Global One, AT&T).
Organizaciones regionales de telecomunicaciones (por ejemplo, ETSI).
Empresas que comercializan productos relativos al ámbito de las telecomunicaciones y
organizaciones científicas
Otras organizaciones interesadas (bancos, líneas aéreas, etc.)
Para desarrollar su trabajo se organiza en Grupos de Estudio (hasta 400 personas). Los Grupos de
Estudio se dividen en Equipos de Trabajo (Working Parties), que a su vez se dividen en Equipos de
Expertos (Expert Teams).
30
Cuenta con los siguientes Grupos de Estudio:
Grupo 1: Servicios.
Grupo 2: Organización de red.
Grupo 3: Tarificación y principios de contabilidad.
Grupo 4: Mantenimiento.
Grupo 5: Protección contra efectos electromagnéticos.
Grupo 6: Planta exterior.
Grupo 7: Redes de Comunicaciones de datos.
Grupo 8: Terminales para servicios telemáticos.
Grupo 9: Redes y equipos terminales de telégrafos.
Grupo 10: Lenguajes para aplicaciones de telecomunicación.
Grupo 11: Conmutación y señalización.
Grupo 12: Transmisión de redes y terminales de telefonía.
Grupo 15: Equipos y Sistemas de Transmisión.
Grupo 16: Transmisión de datos en redes de telefonía.
Grupo 17: ISDN.
Todos los estándares de la ITU-T se nombran mediante una letra seguida de un punto seguido a su
vez de números. Cada 4 años la asamblea plenaria decide y planifica en función del trabajo de un
grupo de estudio. Aprobación de las recomendaciones (Draft Recomendations) para su posterior
publicación en libros. También decide sobre la creación o eliminación de grupos de estudio.
31
Foros industriales
La elaboración de estándares en ITU-T y la ISO se ha caracterizado por una gran lentitud, debido a
la necesidad de llegar a un consenso entre muchos participantes y a procedimientos
excesivamente complejos y burocratizados. Los fabricantes de equipos perdían gran cantidad de
mercado por culpa de estos retrasos.
A principios de los 90 surgió un nuevo mecanismo para acelerar la creación de estándares, que fue
la creación de foros industriales. La idea era simple: un conjunto de fabricantes, usuarios y
expertos interesados en desarrollar una tecnología concreta forman un consorcio que se ocupa de
fijar los estándares necesarios para garantizar la interoperabilidad entre diversos fabricantes; los
estándares se hacen públicos de forma que cualquier fabricante que lo desee puede desarrollar
productos conformes con dicho estándar. Algunos de los más conocidos son el Forum Frame
Relay, el Forum ATM y el Forum ADSL.
No pretenden competir con las organizaciones internacionales de estándares, sino cooperar con
ellas y ayudarlas a acelerar su proceso. Sus características son:
Intentan aclarar ambigüedades
Definir subconjuntos de funciones que permitan hacer una implementación sencilla.
Comprobar la viabilidad y la interoperabilidad entre diversos fabricantes.
Establecen fechas límite para la producción de estándares.
32
Internet Architecture Board (IAB)
Creada en 1983, con el nombre Internet Activities Board. Su objetivo era observar la evolución de
la red de ARPANET hacia la NSFNET (National Science Foundation's Network) cuando el
Departamento de Defensa de EEUU abandonó el proyecto. También se ocupaba de detectar
dónde era necesario o conveniente especificar un nuevo protocolo. La información circulaba en
documentos en forma de documentos técnicos denominados RFC (Request For Comments). Los
RFCs siguen siendo hoy en día los mecanismos de publicación de los estándares de Internet. En
1989 el IAB se reorganiza para acomodarse a la evolución de la red. Se crearon dos subcomités:
Internet Engeneering Task Force (IETF). Resuelve cuestiones de ingeniería más inmediatas.
Internet Research Task Force (IRTF). Se concentra en los problemas a largo plazo.
Actualmente una propuesta de un nuevo estándar debe explicarse con todo detalle en un RFC y
tener el interés suficiente en la comunidad de Internet para que sea tomada en cuenta; en ese
momento se convierte en un Estándar Propuesto (Proposed Standard). Para avanzar a la etapa de
Borrador de Estándar (Draft Standard) debe haber una implementación operativa que haya sido
probada de forma exhaustiva por dos instalaciones independientes al menos durante cuatro
meses. Si supera esta fase, el software funciona y el IAB considera que la idea es buena se
declarará el RFC como un Estándar Internet (Internet Standard).
Además se prevé también un mecanismo de ‘envejecimiento’, es decir que un protocolo pueda

quedar anticuado debido a la aparición de otros nuevos y más avanzados que le sustituyan, por lo
que un Estándar Internet puede pasar al estado de Obsoleto o Histórico. Un RFC puede describir
un RFC que nunca llega a aceptarse como estándar y pasar después al estado histórico. Asimismo
existen RFCs de carácter informativo.
En 1991 se creó la Internet Society (ISCO), una asociación internacional para la promoción de la
tecnología y servicios Internet en todos los ámbitos de la sociedad. Cualquier persona física u
organización puede ser miembro de la ISOC. Absorbió en su seno el IAB con sus dos subcomités, el
IRTF y el IETF.
33
34
Monitorización de Red
La detección oportuna de fallos y la monitorización de los elementos que conforman una red de
ordenadores son actividades de gran relevancia para brindar un buen servicio a los usuarios. De
esto se deriva la importancia de contar con un esquema capaz de notificarnos los fallos en la red y
de mostrarnos su comportamiento mediante el análisis y recolección de tráfico. A continuación se
habla sobre los enfoques activo y pasivo de la monitorización y sus técnicas, también se toca el
tema de cómo crear una estrategia de monitorización incluyendo la definición de métricas y la
selección de las herramientas.
Una de las muchas tareas importantes que corresponden a un administrador de red es la

monitorización del sistema, ya que es imprescindible conocer en todo momento qué está
ocurriendo en nuestra red y atajar así cualquier problema que pueda surgir. Esto es posible
mediante el uso de protocolos básicos como UDP (User Datagram Protocol), SNMP (Simple
Network Management Protocol) o ICMP (Internet Control Message Protocol). Existen
herramientas de monitorización de redes, como Nagios, MRTG (Multi Router Traffic Grapher),
PRTG Network Monitor, Cacti o Wireshark que permiten obtener información en tiempo real de
numerosos parámetros del sistema en base a los datos obtenidos mediante los protocolos antes
mencionados.
35
EL PROTOCOLO SNMP
SNMP (Simple Network Management Protocol, Protocolo Simple de Control de Red) es un

protocolo de gestión de red muy utilizado, que permite obtener información de dispositivos de
red, memoria libre, uso de la CPU, detección de errores, establecer alarmas, estado de
funcionamiento, etc. Por ejemplo, en la gestión de un switch, SNMP podría desconectar
automáticamente los nodos que estén corrompiendo la red, o se podrían establecer alarmas para
alertar al administrador de la red cuando en un dispositivo el tráfico de datos supere el umbral
establecido, o se podrían buscar IPs duplicadas, etc...
La mayoría de los fabricantes de dispositivos de red soportan SNMP, para ello se instalan unos
agentes en los dispositivos definidos como OID (Object IDentification, Identificador de Objeto),
que recogen la información y la registran en una base de datos en forma de árbol llamada MIB
(Management Information Base). Tanto los OID como los MIB tienen un formato estándar
definido de forma que aún siendo de fabricantes distintos, las herramientas SNMP puedan
obtener información del dispositivo.
36
Los OID tienen una identificación única para seleccionar un objeto particular en el dispositivo, de
tal forma que un mismo dato a obtener siempre se encuentra en el mismo OID. Se identifica
mediante una cadena de tamaño variable de números (por ejemplo, 1.3.6.1.2.1.1.3) organizados
de forma jerárquica en un árbol para asegurar que sean únicos.
Las MIB conforman esa estructura arborescente, donde algunas de las ramas más usadas para
obtener información son: rmon, host, system, interfaces, ip, udp, tcp, private, etc, cada una con
sus OID correspondientes.
37
Una red administrada con SNMP consiste de tres componentes fundamentales:
Dispositivo administrado (MD, Managed Devices): es un nodo de red que contiene un

agente SNMP y que reside en una red administrada. Los dispositivos administrados
recolectan y almacenan información y hacen que esta información esté disponible al NMS´s
utilizando SNMP. Los MD están identificados por un OID y pueden ser routers y servidores
de acceso, switches, bridges, hubs, computadoras anfitrionas o impresoras.
Agente (Agent): un agente es un modulo de SW de gestión de red que reside en un MD. Un

agente tiene conocimiento local de información (sobre su memoria, número de paquetes
recibidos y enviados, direcciones IP, rutas, etc.) y traduce esa información en una forma de
formato compatible con SNMP.
Sistema Administrado de Red (NMS, Network Managed System): un NMS contiene los
gestores que ejecutan las aplicaciones que monitorizan y controlan los MD. Los NMS´s
proporcionan la mayor parte de recursos de procesamiento y memoria requeridos para la
gestión de la red. Uno o más NMS´s deben existir en cualquier red administrada.
38
El protocolo SNMP está formado por tanto por un agente que se instala en los nodos que se
desean monitorizar y un gestor que se instala en el ordenador encargado de monitorizar la red. El
gestor es el que obtiene la información de los agentes. El gestor solicita a los agentes información
sobre los dispositivos gestionados, y los agentes responden a dicha solicitud.
Esto último tiene una excepción, mediante el comando SNMP trap (captura), donde los agentes
pueden enviar datos no solicitados al gestor, por ejemplo, cuando hay un fallo eléctrico. En
general la disposición automática hace que el dispositivo envíe mensajes trap al servidor de
SNMP anunciando que un evento inusual ha sucedido.
39
Desarrollo de SNMP
El desarrollo de SNMP ha estado ligado al de TCP/IP. SNMP funciona bajo TCP/IP, lo cual significa
que desde un sistema central se puede gestionar cualquier ordenador de la LAN, WAN o Internet.
TCP/IP nació con la expansión de ARPANET hacia NFSNET. Sus estándares están publicados en
RFCs. Al principio no tenía protocolos de gestión de red, pero posteriormente nació el ICMP que
permitía enviar mensajes de control entre máquinas mediante IP y retorno del eco (como el
comando PING). Posteriormente las necesidades de gestión de red se incrementaron y en marzo
de 1987 se establecieron tres modos de control de red:
HEMS (High-level Entity-Management System): basado en el HMP (Host-Monitoring

Protocol, Protocolo de Monitorización de Terminales ).
SNMP (Simple Network Management Protocol): basado en el SGMP (Simple Gateway-
Monitoring Protocol, Protocolo Simple de Monitorización por Puertas de enlace).
CMOT (CMIP over TCP/IP): describe una arquitectura de gestión de red que proporciona
un canal para que un gestor y una entidad de red remota intercambien información de
control y monitorización.
En la revisión de Febrero de 1988 se llegó a la conclusión de que a corto plazo se utilizaría SNMP
mientras que a largo plazo se necesitarían aproximaciones CMOT. Se propuso la estandarización
de la información de gestión cuya estructuración puede ser utilizada por los dos modos. SNMP es
fácil de implementar y estuvo rápidamente disponible en los equipos.
Al convertirse TCP/IP en el estándar de redes de ordenadores, SNMP se ha convertido en otro

estándar de facto, pero con muchas limitaciones. En agosto de 1988 se publican las primeras
recomendaciones: SNMP, SMI y MIB. Son revisadas en 1991 las recomendaciones SNMP y MIB,
dando lugar, esta última, a la recomendación MIB-II. A partir de esta fecha comienza el desarrollo
de MIBs particulares por parte de los fabricantes. En mayo de 1993 aparece SNMPv2 que
pretende suplir las deficiencias de SNMP en cuanto a seguridad y funcionalidad se refiere.
40
Información de Gestión
Un protocolo como SNMP nos permite llegar al proceso SNMP agente, pero el problema está en
llegar a los recursos que controla el agente. Para ello se establece una MIB que contiene una
representación estandarizada del objeto gestionado. Para definir la sintaxis de estos objetos se
utiliza la Abstract Syntax Notation One (ASN.1). Esta sintaxis es necesaria para utilizar una
representación de datos común para el intercambio entre sistemas y, dentro de un sistema,
intercambio de datos entre aplicaciones que utilizan cada una su representación particular de
datos. Es necesario resaltar los siguientes conceptos:
Sintaxis abstracta: define una estructura de datos independiente de la técnica de

codificación usada.
Tipos de datos: conjuntos de valores nombrados.
Codificación: secuencia de octetos que representan un valor de un dato.
Sintaxis de transferencia: representación de los datos mediante patrones de bits para su
transmisión entre entidades de presentación.
Reglas de codificación: mapeo de una sintaxis en otra.
Comandos Básicos de SNMP

41
Los dispositivos administrados son supervisados y controlados utilizando cuatro tipos de

comandos SNMP básicos:
Read: es utilizado por un gestor para supervisar los Managed Devices. El NMS examina
diferentes variables que son mantenidas por los agentes.
Write: es utilizado por un gestor para controlar los agentes. El NMS cambia los valores de
las variables almacenadas dentro de los Managed Devices.
Trap: es utilizado por los agentes para reportar eventos de forma asíncrona a los gestores.
Cuando cierto tipo de eventos ocurren, un gestor también puede enviar un TRAP hacia el
agente.
Transversal Operations: son las llamadas operaciones de recorrido utilizadas por los
gestores para determinar que variables son soportadas por los agentes y obtener
secuencialmente información en una tabla de variables.
Dado que el SNMP es un protocolo simple de petición / respuesta, el funcionamiento es el

siguiente: el NMS (gestor) emite una solicitud y los agentes situados en el MD retornan una
respuesta. Este comportamiento se implementa mediante el uso de varias operaciones del
protocolo SNMP:
Get: es utilizada por el gestor para recuperar el valor de una o más instancias de un objeto
desde un agente. Si el agente responde a la operación Get y no puede proporcionar valores
para todas las instancias del objeto en una lista, no proporcionara entonces ningún valor.
GetNext: es utilizada por el gestor para recuperar el valor de la siguiente instancia del
objeto en una tabla o una lista dentro de un agente. Esto ahorra mucho tiempo a la hora
de solicitar varias peticiones consecutivas en un agente.
42
Set: es usada por el gestor para colocar los valores de los objetos dentro de un agente.
Trap: es utilizada por los agentes para informar asíncronamente al gestor sobre un evento
importante.
La versión SNMP V2 define 2 nuevas operaciones de protocolo: GetBulk e Inform.
GetBulk: es utilizada por el gestor para recuperar de manera eficiente grandes bloques de
datos, tales como múltiples filas de una tabla. Llena un mensaje de respuesta con la mayor
cantidad de datos solicitados.
Inform: permite que un gestor envíe capturas (traps) hacia otro gestor y luego reciba una
respuesta.
La mayoría de operaciones generan mensajes de respuesta (requests). Aunque la mayoría (Get,

GetNext y Set) son únicamente emitidos por el administrador SNMP (gestor), el mensaje TRAP es
el único mensaje capaz de ser iniciado por un agente, y este es el utilizado en los sistemas basados
en RTU (Remote Telemetry Units) para informar de las alarmas. Los mensajes se clasifican en
varios tipos:
GetRequest: a través de esta operación de mensaje el gestor solicita al agente retornar el

valor de un objeto de interés mediante su nombre. En respuesta el agente envía una
respuesta indicando el éxito o fracaso de la petición. Si la petición fue correcta, el
mensaje resultante también contendrá el valor del objeto solicitado. Este mensaje puede
ser usado para recoger un valor de un objeto, o varios valores de varios objetos, a través
del uso de listas.
43
GetNextRequest: este mensaje es usado para recorrer una tabla de objetos. Una vez que
se ha usado un mensaje GetRequest para recoger el valor de un objeto, puede ser
utilizado el mensaje GetNextRequest para repetir la operación con el siguiente objeto de
la tabla. Siempre el resultado de la operación anterior será utilizado para la nueva
consulta. De esta forma un gestor puede recorrer una tabla de longitud variable hasta que
haya extraído toda la información para cada fila existente.
SetRequest: este tipo de mensaje es utilizado por el gestor para solicitar a un agente
modificar valores de objetos. Para realizar esta operación el gestor envía al agente una
lista de nombres de objetos con sus correspondientes valores.
GetResponse: este mensaje es usado por el agente para responder un mensaje

GetRequest, GetNextRequest, o SetRequest. En el campo "Identificador de Request" lleva
el mismo identificador que el "request" al que está respondiendo.
GetBulkRequest: este mensaje es usado por un gestor que utiliza la versión 2 ó 3 del
protocolo SNMP típicamente cuando es requerida una larga transmisión de datos, tal
como la recuperación de largas tablas. En este sentido es similar al mensaje
GetNextRequest usado en la versión 1 del protocolo, sin embargo, GetBulkRequest es
un mensaje que implica un método mucho más rápido y eficiente, ya que a través de un
solo mensaje es posible solicitar la totalidad de la tabla.
InformRequest: un gestor que utiliza la versión 2 ó 3 del protocolo SNMP transmite un

mensaje de este tipo a otro gestor con las mismas características, para notificar
información sobre objetos administrados.
44
Extensiones SNMP: RMON MIB
Con SNMP y MIB-II sólo se puede recuperar información local de los dispositivos. En un entorno
de red con un gran número de dispositivos podemos monitorizar el tráfico en cada dispositivo
pero no el global. Para esta labor se utilizan los agentes monitores de red (también analizadores o
sondas) en cada segmento.
Actúan en modo promiscuo escuchando todos los paquetes que viajan por el segmento. Producen
información estadística sobre los paquetes, aplican filtros y pueden almacenar paquetes para su
estudio posterior. Para una gestión eficaz, los monitores instalados en cada segmento deben
comunicarse con una estación central de gestión.
Mediante la monitorización remota podemos acceder a la información que almacenan las sondas.
El método de intercambio de información está basado en SNMP y esta información reside en una
MIB especial denominada RMON MIB (Remote Network MONitoring Management Information
Base). Sus principales objetivos son:
Operación off-line: La sonda monitora continúa los trabajos de monitorización aún cuando
se haya caído la comunicación con el monitor central.
Monitorización configurable: Ejecutar diagnósticos para detectar cuando un dispositivo
puede fallar e informar a la estación central.
Detección e informe de fallos: Ocasionalmente, mediante un polling, pueden detectarse
problemas de congestión u otros errores que son notificados a la estación central.
Datos con valor agregado: El monitor de red puede realizar un análisis de la información
recolectada de la red que gestiona. Por ejemplo, puede reconocer las estaciones que
generan mayor cantidad de tráfico.
Múltiples gestores: El agente monitor puede ser configurado para trabajar con varios
gestores (necesario cuando la red es muy amplia y consta de muchas subredes).
45
Para conseguir una gestión eficiente de los monitores remotos, la RMON MIB debe proporcionar
unas características de control adicionales con respecto a MIB-II:
Configuración: El monitor remoto debe ser configurado para saber qué datos recogerá y
con qué parámetros. Se definen unas tablas de control por grupo que contienen
parámetros que describen a las tablas de datos. Para configurar el monitor se modifica o
inserta una fila en la tabla de control.
Ejecución remota de acciones: Se realiza mediante la operación SNMP SetRequest sobre

variables especiales.
Asimismo cuando un analizador RMON es compartido, puede ser accedido desde diferentes
gestores de red y pueden ocasionarse las siguientes dificultades:
Si varios gestores realizan pedidos a la vez, la suma de los recursos que necesitan en total
pueden exceder la cantidad de recursos del explorador, ocasionando que algunos de los
pedidos no se lleven a cabo.
Si una estación de gestión retiene recursos del monitor por un periodo largo de tiempo,
puede provocar que otro gestor no pueda acceder a los datos de gestión por falta de
recursos.
Si un gestor ha sido reinicializado puede detectar los recursos que poseía anteriormente y liberar
los que ya no necesitará. RMON sugiere que la etiqueta de propietario se coloquen uno o varios de
los datos siguientes: dirección IP, nombre de la estación de gestión, lugar dónde se encuentra,
etc... La etiqueta de propietario no confiere ningún tipo de seguridad sobre los objetos asociados
(pueden ser leídos, modificados y borrados si tienen permisos de lectura y escritura).
46
Los recursos pueden estar asignados a un gestor que haya sufrido un fallo sin haber liberado estos
recursos. Para evitar este tipo de problemas la MIB RMON incluye en todas las tablas de control
una columna que identifica el propietario de la fila correspondiente. Este valor puede ser utilizado
del siguiente modo:
Un gestor puede reconocer los recursos que posee y ya no necesita, y de esta forma puede
liberarlos.
Un operador de red puede conocer qué gestor está utilizando determinados recursos y
puede negociar su liberación.
Un operador puede tener la autorización para liberar recursos que otros operadores hayan
reservado.
Para mejorar la eficiencia del sistema en el uso de recursos, en caso de gestores múltiples, pueden
compartirse los valores obtenidos por el explorador. Para ello, cuando un gestor requiere
información, debe observar antes de solicitar los recursos necesarios, por si otro gestor está
solicitando los mismos datos.
47
Control de Seguridad
SNMP no proporciona mecanismos de seguridad, es decir, no es capaz de identificar y autentificar

la fuente de un mensaje de gestión para prevenir posibles alteraciones. Un intruso puede observar
un mensaje y leer su nombre de comunidad para posteriormente enviar mensajes modificando
parámetros de configuración de un dispositivo. Por ello, muchos fabricantes no implementan el
comando SetRequest. Existen cuatro requerimientos básicos de un sistema seguro:
Confidencialidad: Acceso a información no autorizada.

Autenticidad: Identificación correcta del origen de un mensaje.
Integridad: Modificación de datos no autorizados.
Disponibilidad: Interrupción del correcto funcionamiento de los dispositivos.
Existen varios tipos de amenazas que se pueden clasificar, a su vez, en pasivas (observación del
contenido de un mensaje y análisis del tráfico) o activas (enmascaramiento, replicación,
modificación de mensajes y denegación de servicios). Las pasivas son más difíciles de detectar
pero menos malignas. En general, en un entorno SNMP, podemos hablar de los siguientes
peligros:
Interrupción: se interrumpe o destruye la disponibilidad de un recurso.

Intercepción: una entidad no autorizada accede a un recurso.
Enmascaramiento: una entidad realiza acciones asumiendo la entidad de otra autorizada.
Modificación de información: se modifican los parámetros o datos de un recurso. Una
entidad altera el contenido de un mensaje enviado por otra autorizada.
Modificación de la secuencia de mensajes: al tratarse de una comunicación no orientada a
conexión, una tercera entidad puede alterar el orden de los mensajes para realizar
operaciones no permitidas.
Descubrimiento: detección de eventos a partir de la escucha de mensajes gestor-agente.
48
Para paliar estos problemas se ha desarrollado el S-SNMP (SNMP Seguro) que resuelve estos
problemas mediante la utilización de un algoritmo de seguridad denominado MD-5. S-SNMP
proporciona servicios de seguridad para:
Integridad de datos: Se asegura que un mensaje es enviado y recibido sin duplicación,

inserción, modificación, resecuenciamiento o replicación. El algoritmo MD-5 añade un
resumen de 128 bits del mensaje y lo incorpora en su cabecera para asegurar que no se
modifica. Se incorpora también una señal de tiempo para asegurar el secuenciamiento.
Autentificación del origen de los datos: Corroboración de la fuente emisora de un

mensaje. Para calcular el resumen anterior se utiliza una semilla secreta que conocen a
priori emisor y receptor.
Confidencialidad de datos: Asegura que la información no pueda ser observada por

entidades no autorizadas. Se realiza una encriptación de parte del mensaje utilizando el
algoritmo DES (Data Encription Standard).
S-SNMP está basado en un nuevo modelo administrativo que reemplaza el concepto de

comunidad de SNMP. Se incluye un identificador que especifica quien es el destino y fuente
durante un intercambio. Esta información es incorporada en la cabecera del mensaje. Se incorpora
el concepto de Party como entidad administrativa que regula el acceso a una entidad. Un SNMP
party regula cómo llegar a una entidad, que algoritmo de autentificación utiliza y que algoritmo de
privacidad usa.
Las siguientes versiones del protocolo SNMP (SNMPv2 y SNMPv3) se desarrollaron en base a la
introducción de mejoras en el campo de la seguridad. Permiten (opcionalmente) dotar de
privacidad y autenticidad a las primitivas de SNMP. Incorporan el concepto de party heredado de
S-SNMP y añaden a la cabecera del mensaje información de seguridad relativa al contexto sobre el
que actuará el mensaje.
49
TÉCNICAS DE MONITORIZACIÓN
Existen al menos dos puntos de vista para abordar el proceso para monitorizar una red: el enfoque
activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.
Monitorización Activa y Pasiva
La monitorización activa se realiza inyectando paquetes de prueba en la red, o enviando paquetes

a determinadas aplicaciones y midiendo sus tiempos de respuesta. Este enfoque tiene la
característica de agregar tráfico en la red. Es utilizado para medir el rendimiento en una red. Está
compuesto de distintas técnicas:
Basado en ICMP: sirve para diagnosticar problemas en la red mediante detección del
retorno y la pérdida de paquetes, de la misma forma que el comando RTT (Traceroute). Se
usa principalmente para gestionar la disponibilidad de los hosts.
Basado en TCP: funciona en base al cálculo de la Tasa de Transferencia de Datos. Se usa

para diagnosticar problemas a nivel aplicación.
Basado en UDP: funciona como el tipo ICMP calculando los niveles de transferencia en
base a medir la pérdida de paquetes en un solo sentido mediante un sistema RTT.
Sin embargo, la monitorización pasiva se basa en la obtención de datos a partir de recolectar y

analizar el tráfico que circula por la red. Se emplean diversos sistemas como sniffers (Analizadores
de Paquetes), dispositivos DCE, computadoras con software de análisis de tráfico y en general
dispositivos con soporte para SNMP, RMON y NETFLOW. Este enfoque no agrega tráfico en la
red como lo hace el activo. Es utilizado para analizar el tráfico en la red y para contabilizar su uso.
50
Los tipos de monitorización pasiva son:
Solicitud remota mediante SNMP: esta técnica es utilizada para obtener estadísticas
sobre la utilización de ancho de banda en los dispositivos de red, para ello se requiere
tener acceso a dichos dispositivos. Al mismo tiempo, este protocolo genera paquetes
llamados traps que indican que un evento inusual se ha producido.
Otros métodos remotos de acceso: se pueden realizar llamadas que tengan acceso a
dispositivos remotos para obtener información importante para monitorear. En esta
técnica se pueden emplear módulos de lenguaje PERL, SSH (Secure SHell, Intérprete
Seguro de Órdenes) con autenticación de llave pública, etc.
Captura de tráfico: se puede llevar a cabo de dos formas. Una de ella se realiza mediante
la configuración de un puerto espejo en un dispositivo de red, el cual hará una copia del
tráfico que se recibe en un puerto hacia otro donde estará conectado el equipo que
realizará la captura. Otra forma se realiza mediante la instalación de un dispositivo
intermedio que capture el tráfico, el cual puede ser una computadora con el software de
captura o un dispositivo extra. Esta técnica es utilizada para contabilizar el tráfico que
circula por la red.
Análisis de Tráfico: se utiliza para caracterizar el tráfico de la red, es decir, para identificar
el tipo de aplicaciones que son más utilizadas. Se puede implementar haciendo uso de
dispositivos sonda que envíen información mediante RMON o a través de un dispositivo
intermedio con una aplicación capaz de clasificar el tráfico por aplicación, direcciones IP
origen y destino, puertos origen y destino, etc.
Análisis de flujo de datos: también utilizado para identificar el tipo de tráfico utilizado en la
red. Un flujo es un conjunto de paquetes que utilizan el mismo tipo de aplicación con la
misma IP y puerto TCP de origen y destino. Los flujos pueden ser obtenidos de los
enrutadores o mediante dispositivos que sean capaces de capturar tráfico y
transformarlo en flujos. También es usado para tareas de facturación (billing).
51
Estrategia de monitorización
Antes de implementar un esquema de monitorización se deben tomar en cuenta los elementos

que se van a monitorización así como las herramientas que se utilizarán para esta tarea. Una
consideración muy importante es delimitar el espectro sobre el cual se va a trabajar. Existen
muchos aspectos que pueden ser monitorizados, aunque los más comunes son la utilización de
ancho de banda, el consumo de CPU, consumo de memoria, estado físico de las conexiones, tipo
de tráfico, gestión de alarmas y análisis de servicios (Web, correo, base de datos).
Es importante definir el alcance de los dispositivos que van a ser monitorizado, puede ser muy
amplio y se puede dividir de la siguiente forma.
Dispositivos de interconexión: routers, switches, hubs, firewalls.

Servidores: Web, Mail, Bases de Datos.
Red de Administración: Monitorización, Registros del sistema, Configuración.
Las alarmas son consideradas como eventos con comportamiento inusual. Las alarmas más
comunes son las que reportan cuando el estado operacional de un dispositivo o servicio cambia.
Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras métricas,
son valores máximos conocidos como umbrales o threshold. Cuando estos patrones son
superados se produce una alarma, ya que es considerado como un comportamiento fuera del
patrón. Algunos tipos de alarmas son:
Alarmas de procesamiento
Alarmas de conectividad
Alarmas ambientales
Alarmas de utilización
Alarmas de disponibilidad (estado operacional)
52
CONFIGURACIÓN DE SNMP EN WINDOWS
Como hemos visto el protocolo SNMP sirve de base para el soporte de cualquier sistema de
monitorización de redes. En la mayoría de los sistemas operativos específicamente diseñados para
redes, como las variedades de Linux que usan Unix de base como motor del sistema, este
protocolo suele venir activado por defecto. Sin embargo en otros modelos, como los sistemas
operativos de Microsoft, el protocolo viene desactivado, por lo que previamente a la instalación
y/o soporte de cualquier software de monitorización tenemos que proceder a la activación del
protocolo. Si no lo hacemos cualquier intento de rastrear la red usando dicho protocolo será inútil.
Para configurar SNMP en sistemas operativos Windows debemos añadir una característica o
servicio que no trae activo por defecto. Dependiendo de la versión del sistema operativo el acceso
a la ventana de configuración se hace por vías distintas:
Windows XP / Windows Server 2003: accedemos al Panel de Control y ejecutamos la

opción Agregar o Quitar Programas. En el cuadro de diálogo dentro de la columna vertical
marcamos la opción Agregar o Quitar componentes de Windows para abrir el asistente.
Cuando se abra activamos las Herramientas de Administración y Supervisión y entramos
en Detalles.
Windows Vista: accedemos al Panel de Control. Hacer clic en Programas de Enlace y luego
pulsar Activar o Desactivar las características de Windows. Si se abre el cuadro de diálogo
Control de Cuentas de Usuario hacer clic en "Continuar". Cuando se abra la ventana
siguiente buscamos la Característica SNMP.
Windows 7, 8 / Windows Server 2008, 2012: accedemos al Panel de Control y ejecutamos

la opción Programas  Programas y Características. Pulsar Activar o Desactivar las
características de Windows. Si se abre el cuadro de diálogo Control de Cuentas de Usuario
hacer clic en "Continuar". Cuando se abra la ventana buscar el Protocolo Simple de
Administración de Redes (SNMP).
53
En cualquiera de las versiones el siguiente paso es seleccionar y marcar la casilla de verificación de

Simple Network Management Protocol (SNMP) o la Característica SNMP. Hacemos clic en
Aceptar, y también hacer clic en Siguiente en las versiones de Windows XP o WS 2003. El Servicio
SNMP se instalará en el sistema. Es posible que el sistema necesite algún controlador adicional y
solicite insertar el CD o DVD de instalación de la versión de Windows en el lector óptico.
Reiniciamos el sistema operativo y el protocolo SNMP se iniciará automáticamente después de la

instalación. Sin embargo, se recomienda comprobar el estado del servicio de los Servicios del
Panel de Control, y si está detenido, iniciar el servicio SNMP desde allí. Con esta operación hemos
creado dos nuevos servicios:
Servicio SNMP, que es el motor principal de los agentes que vigilan la actividad en los
dispositivos de red y reporta la información a la estación de trabajo de la consola de
monitorización.
Servicio de captura SNMP, que recibe mensajes de captura generados por agentes SNMP
locales o remotos y reenvía mensajes de los programas de gestión SNMP que se ejecutan
en este equipo.
Windows no asigna cualquier grupo o comunidad al servicio SNMP por defecto, y también sólo
permiten el acceso a la monitorización del sistema desde dispositivos locales o localhost. Es
necesario realizar una configuración adicional para añadir la identificación de la comunidad que se
desee monitorizar, que actúa a la vez como contraseña para otorgar respuesta a cualquier
solicitud de SNMP del sistema remoto. Los puertos usados son 161 y 162 (snmp y snmp-trap).
54
Configuración en Windows XP / Vista / Windows Server 2003
Para configurar el servicio SNMP y que sea de acceso completo o "público" entramos al Panel de
Control (en Windows Vista hacer clic en Sistema  Mantenimiento y Enlace). Abrimos las
Herramientas Administrativas y entramos en la opción Servicios. Buscamos el Servicio SNMP y
seleccionamos Propiedades.
En la ventana Propiedades del servicio SNMP, haga clic en la pestaña Capturas (Traps), y en el
cuadro de texto "Nombre de la comunidad" escribir pública o cualquier otro el nombre de
comunidad SNMP respetando mayúsculas y minúsculas para que este equipo pueda enviar
mensajes de captura. No olvidar pulsar la opción Agregar a la lista antes de pulsar Ok.
55
Para configurar la seguridad del servicio SNMP para una comunidad o grupo de trabajo volvemos a
la misma ventana pero accediendo a la pestaña Seguridad. En la sección "Nombres de comunidad
aceptados" hacer clic en el botón Agregar.
Seleccionar el nivel de permiso adecuado para esa comunidad en la lista desplegable de derechos,
para especificar la forma en la que la máquina procesa las solicitudes de SNMP de la comunidad
seleccionada. Normalmente se recomienda activar la opción SÓLO LECTURA.
En el "Nombre de la Comunidad", escriba pública o cualquier otro el nombre de comunidad

SNMP respetando mayúsculas y minúsculas. Finalmente pulsar Añadir.
Para que el servicio SNMP acepte y reciba paquetes de requerimientos SNMP desde cualquier host
en la red, incluido el anfitrión remoto externo, independientemente de la identidad, hacer clic en
Aceptar paquetes SNMP de cualquier host. Para limitar la aceptación de paquetes SNMP hacer
clic en Aceptar paquetes SNMP de estos hosts. En este caso pulsamos Agregar y a continuación,
escribimos los datos del equipo (el nombre de host, dirección IP del host, IP o el cuadro de
dirección IPX). Se puede restringir el acceso solo a los host locales o limitar el acceso a un grupo
mediante esta opción. En cada host agregado pulsamos Agregar nuevo.
56
Configuración en Windows 7-8 / Windows Server 2008-2012
Para configurar el servicio SNMP y que sea de acceso completo o "público" entramos en Equipo y
con el botón derecho del ratón elegimos Administrar. Abrimos las Herramientas Administrativas
y entramos en la opción Servicios y Aplicaciones. Buscamos Servicios y seleccionamos Servicio
SNMP.
En el caso de estos sistemas operativos es necesario configurar también las pestañas Capturas y
Seguridad, pero requiere además configurar otros aspectos como la identificación y las
características de Agente, de tal forma que disponga de la información de lo que queremos
monitorizar, la localización y el contacto.
57
En la ventana Propiedades del servicio SNMP, haga clic en la pestaña Capturas (Traps), y en el
cuadro de texto "Nombre de la comunidad" escribir pública o cualquier otro el nombre de
comunidad SNMP respetando mayúsculas y minúsculas para que este equipo pueda enviar
mensajes de captura. En este caso podemos indicar la dirección IP para definir la localización del
host en la red. No olvidar pulsar la opción Agregar a la lista antes de pulsar Aceptar.
Para configurar la seguridad del servicio SNMP para una comunidad o grupo de trabajo volvemos a
la misma ventana pero accediendo a la pestaña Seguridad. En la sección "Nombres de comunidad
aceptados" hacer clic en el botón Agregar.
58
Seleccionar el nivel de permiso adecuado para esa comunidad en la lista desplegable de derechos,
para especificar la forma en la que la máquina procesa las solicitudes de SNMP de la comunidad
seleccionada. Normalmente se recomienda activar la opción SÓLO LECTURA. En el "Nombre de la
Comunidad", escriba pública o cualquier otro el nombre de comunidad SNMP respetando
mayúsculas y minúsculas. Finalmente pulsar Añadir.
Para que el servicio SNMP acepte y reciba paquetes de requerimientos SNMP desde cualquier host
en la red, incluido el anfitrión remoto externo, independientemente de la identidad, hacer clic en
Aceptar paquetes SNMP de cualquier host. Para limitar la aceptación de paquetes SNMP hacer
clic en Aceptar paquetes SNMP de estos hosts. En este caso pulsamos Agregar y a continuación,
escribimos los datos del equipo (el nombre de host, dirección IP del host, IP o el cuadro de
dirección IPX). Se puede restringir el acceso solo a los host locales o limitar el acceso a un grupo
mediante esta opción. En cada host agregado pulsamos Agregar nuevo.
59
Por último, configuramos los datos del agente para que quede reflejado en el sistema gestor. Esto
es muy útil a la hora de controlar los equipos remotamente. Podemos poner datos de contacto, la
ubicación y el tipo de servicio. Aplicamos, aceptamos y reiniciamos el servicio.
60
HERRAMIENTAS DE MONITORIZACIÓN
Existe un gran número de herramientas para resolver el problema de la monitorización de una

red. Las hay tanto comerciales como basadas en software libre. La elección depende de varios
factores, tanto humanos, económicos como de infraestructura:
El perfil de los administradores y sus conocimientos en determinados sistemas operativos.

Los recursos económicos disponibles.
El equipo de cómputo disponible.
Uno de los más conocidos es CACTI. Es una completa solución para la monitorización de redes.
Utiliza la base de datos RRDTool (Round Robin Database Tool) para almacenar la información de
los dispositivos, y aprovecha sus funcionalidades gráficas para proporcionar un esquema rápido de
obtención de datos remotos con múltiples métodos de obtención de datos (SNMP, scripts, etc...),
un manejo avanzado de plantillas y características de administración de usuarios. Además, ofrece
un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola consola de
administración, fácil de configurar.
61
MRTG (Multi Router Traffic Grapher) es una herramienta escrita en Lenguajes C y Perl que se
utiliza para supervisar la carga de tráfico de interfaces de red. MRTG genera un informe en
formato HTML con gráficas que proveen una representación visual de la evolución del tráfico a lo
largo del tiempo.
Para recolectar la información del tráfico del dispositivo (habitualmente routers) la herramienta
utiliza el protocolo SNMP (Simple Network Management Protocol). Este protocolo proporciona la
información en bruto de la cantidad de bytes que han pasado por ellos distinguiendo entre
entrada y salida para posteriormente ser tratada adecuadamente para la generación de informes.
Asimismo, proporciona una aplicación cfgmaker que genera la configuración para un router de
forma automática utilizando la información que proporciona el protocolo SNMP.
62
Otro software ampliamente usado es Wireshark. Es un analizador de protocolos que sirve para
desarrollar y depurar protocolos y aplicaciones de red. Permite al operador capturar diversas
tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar
se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo
concreto (TCP, ICMP...) y muestra al usuario la información decodificada. De esta forma se puede
ver todo aquello que en un momento concreto está circulando por la red que se está analizando.
Wireshark funciona como un analizador de paquetes de red. Intenta capturar paquetes en la red e
intenta visualizar los datos de esos paquetes tan detalladamente como sea posible. Se puede
pensar en un analizador de paquetes de red como un dispositivo de medición utilizado para
examinar lo que está pasando en el interior de un cable de red, igual que un polímetro es utilizado
por un electricista para examinar lo que está pasando dentro de un cable eléctrico.
Este programa tiene todas las características estándares que se pueden esperar en un analizador de
protocolos. Su licencia es de código abierto y puede ser ejecutado sobre plataformas como Unix,
Linux y Windows.
63
64
Introducción a
PRTG Network Monitor
PRTG Network Monitor es un producto de software fácil de usar con potentes funciones para la
monitorización de su red entera. Este documento está pensado como una guía de inicio rápido
para poder empezar a monitorizar de inmediato. Introduce conceptos básicos del programa sin
perderse en detalles.
Si se desea información más detallada en cuanto a las opciones y posibilidades se refiere, por favor
vea el Manual de referencia completo.
Si no desea leer toda la información, por favor por lo menos eche un vistazo a la sección Jerarquía
de Objetos. Esto le ayudara a entender la mejor manera de configurar su monitorización.
65
PREPARACIÓN DEL SOFTWARE
PRTG monitoriza cualquier red local sin necesidad de otros programas. Puede ser usado para
monitorizar terminales y equipos de red usados en su infraestructura.
En la página web de Paessler se encuentran varios tipos de instaladores para PRTG, uno en forma
de descarga pública para las versiones gratuitas y de prueba, y otro para la versión comercial (que
solo está disponible para clientes con licencias comerciales).
66
Para descargar la versión gratuita o de prueba descargue el archivo del instalador actual de la
página web de Paessler (http://www.paessler.com/prtg/download). Al descargar la versión de
prueba se puede solicitar una clave de prueba.
Para descargar la edición comercial que incluye las actualizaciones gratuitas hay que ser cliente de
Paessler con un contrato de mantenimiento activo. Para ello hay que registrarse en la página web
de Paessler para mejorar las descargas que se tengan instaladas o bien solicitar información de
licencia en http://www.paessler.com/login
Si no se tiene un contrato de mantenimiento activo es posible prolongar su mantenimiento

después del registro o contactando con [email protected].
67
Instalación
Para la versión en español se accede a través del portal oficial de Paessler en España
(http://www.es.paessler.com) mediante la descarga de un fichero de instalación. Haga doble clic
sobre el archivo de instalación en su ordenador que será utilizado como servidor de PRTG. Siga las
instrucciones del asistente de instalación para instalar el software. Al final de la instalación
aparecerá un asistente de bienvenida.
Si tiene dudas mientras el asistente de bienvenida está activo, por favor presione el símbolo de
interrogación azul (?) en la esquina superior derecha para cargar una página de información en su
navegador. Esto le presentara con información detallada referente a cada paso de la instalación.
Paso 1: Seleccione el tipo de edición que desea instalar.
Paso 2: Para las ediciones de prueba, de inicio o en caso de ediciones comerciales,

introduzca su información de licencia (este paso no es necesario en la edición gratuita).
Paso 3: Para la configuración básica introduzca una dirección de correo electrónico valida y
deje los demás valores en el estado actual. Recomendamos configurar su instalación en el
modo standalone. Puede expandir su configuración a un sistema más amplio
posteriormente.
Al final del asistente de bienvenida se desplegara información básica acerca de PRTG. Por favor lea
la información proporcionada en detalle, ya que esta le facilitara el trabajo con PRTG. Al final se
abrirá una ventana en la cual se configura la página de registro de PRTG usando la dirección IP del
servidor núcleo.
68
Registro
Asegúrese de usar un navegador compatible al registrarse con PRTG. Recomendamos usar Google
Chrome 10 o Mozilla Firefox 4 (o superiores). Solo un navegador compatible le permitirá usar la
interfaz basada en GUI AJAX con todas las funciones. Si se usa otro tipo de navegador (por
ejemplo, con Internet Explorer 8) pueden no aparecer correctamente los menús y enlaces, por lo
que es recomendable cerrar la aplicación, abrir un navegador compatible y volver a abrir el enlace.
Deje los campos Registro nombre y Contraseña vacios.
Seleccione la opción GUI AJAX (todas las funciones).
Haga clic en el botón Registro estándar para proceder a la interfaz web de PRTG.
69
DESCUBRIMIENTO AUTOMÁTICO DE LA RED
Configuración de la primera pantalla
Después de registrarse a la interfaz web seleccione el botón Página Principal del Menú Principal y
aparecerá la pantalla de bienvenida.
70
Seleccione Ejecutar descubrimiento automático de red para automáticamente escanear la red.

PRTG tratara de detectar todos los aparatos conectados en tan solo dos pasos.
Configuración de la primera pantalla
En el primer paso se desplegara el árbol con todas las sondas y grupos de su configuración.
Seleccione Sonda local del árbol de aparatos.
Haga clic en el botón Continuar.
Configuración de la segunda pantalla
Existen varios métodos de configurar PRTG para que realice la búsqueda automática. Todos estos
métodos aportan un rango de direcciones IP que serán escaneadas durante el proceso de
descubrimiento automático. Dependiendo de la selección se activaran diferentes campos de
selección.
71
Con la selección de método de IP puede seleccionar si desea insertar una IP con base clase
C, una lista de IPs individuales, IP y subnet o una IP indicando un rango de bytes.
72
Recomendamos usar la opción IP base clase C. En el campo IP base introduzca los primeros
tres octetos del rango de la IP de su red IPv4, por ejemplo 192.168.0 ó 10.0.0 ó cualquier
rango de dirección IP que esté usando. Si no cambia los valores de los campos IPv4 inicio
de rango y fin de rango PRTG automáticamente completara la base de la IP y escaneará
todas las direcciones de IP desde la .1 hasta la .254.
Si es posible, incluya los Datos de acceso para sistemas Windows, Linux, servidores
VMware/XEN y aparatos SNMP. Puede desplegar la configuración de los mismos al
eliminar la selección de la casilla al inicio de la línea respectiva. Puede encontrar más
información acerca de la función de descubrimiento automático en la sección
correspondiente dentro del manual de referencia.
Deje los valores ya seleccionados para las demás opciones.
Haga clic en el botón Continuar.
73
Proceso de búsqueda
Ahora, PRTG iniciara el descubrimiento de su red en fondo, añadiendo aparatos y sensores

automáticamente. Por el momento puede familiarizarse con la interfaz web Ajax.
Normalmente la función de descubrimiento automático detecta la mayoría de los aparatos en su

red. Automáticamente también aparecen sensores en el aparato de sonda, los cuales están
monitorizando el ordenador en el que está instalado PRTG. En la pantalla de Página principal
puede seleccionar Ver resultados para ver el árbol de aparatos con sus aparatos y sensores.
Puede encontrar más información en los siguientes enlaces:
Manual de referencia (en Inglés):
http://download-cdn.paessler.com/download/prtgmanual.pdf
Manuales de versiones anteriores:
http://www.es.paessler.com/support/manuals
74
JERARQUÍA DE OBJETOS
Es importante entender como los objetos son ordenados en PRTG para poder cambiar la
configuración de su monitorización de manera rápida y fácil.
Árbol de aparatos de PRTG después de la instalación
Esta sección explica los conceptos del árbol de aparatos y de los objetos incorporados al mismo.
75
El árbol de aparatos
Todos los objetos en una configuración de monitorización de PRTG están integrados en una
jerarquía de tipo árbol que le permite al usuario navegar la configuración de manera fácil y le
ofrece la posibilidad de agrupar objetos que monitorizan aparatos del mismo tipo, que se
encuentren en una localidad, etc. El orden jerárquico descrito también es usado para definir
configuraciones comunes que serán heredadas a los objetos subordinados. Por ejemplo, la
configuración del grupo raíz se aplica por defecto a todos los objetos de su configuración.
Modelo de la jerarquía de objetos de PRTG
76
Grupo "Root"
El grupo raíz es la instancia principal de PRTG. Contiene todos los demás objetos de su
configuración. Recomendamos ajustar la configuración del grupo "Root" a su red para poder usar
la funcionalidad de herencia integrada a PRTG. Normalmente todos los objetos heredarán la
configuración del grupo "Root". Esto facilitá la edición de la configuración en el futuro.
Simplemente haga clic con el botón derecho para acceder a las opciones de configuración.
Sonda
Cada grupo (excepto el grupo "Root") es parte de una sonda. Esta es la base de la cual funciona la
monitorización. Todos los objetos configurados bajo una sonda son monitorizados por esta sonda.
Cada instalación núcleo de PRTG automáticamente instala un servicio de sonda local. Si solo desea
monitorizar una instalación individual de PRTG no es necesario profundizarse en el tema de
sondas. Simplemente añada sus grupos bajo la sonda local.
Puede añadir "sondas remotas" adicionales para poder monitorizar aparatos remotos localizados
afuera de su red. En el caso de una instalación de cluster notara una sonda adicional, la sonda de
cluster, que opera en cada instancia de su cluster de alta disponibilidad. Aparatos definidos bajo la
sonda de cluster son monitorizados por todos los nodos del cluster, permitiendo monitorizar los
datos desde varias perspectivas y asegurando la fiabilidad de la monitorización en caso que uno de
los nodos falle. Estos escenarios requieren de configuración avanzada, descrita en el manual de
referencia.
77
Concepto de grupo
Bajo cada sonda se encuentran los grupos, los que tienen funciones meramente estructurales. Use
grupos para organizar objetos similares para facilitar la herencia de la configuración de los
mismos. Puede organizar sus aparatos en varios grupos para reflejar la estructura de su red.
Aquí puede ver un ejemplo de configuración: un árbol de aparatos con una sonda local, varios
grupos, aparatos y sus sensores.
Vista del árbol de aparatos de PRTG
78
Aparato
Puede añadir aparatos a monitorizar a cada sonda o grupo. Cada aparato en su configuración
representa un aparato real en su red. Este es el caso, por ejemplo, con:
Servidores de web o archivos.

Ordenadores (Windows, Linux, o Mac OS).
Enrutadores o switches de red.
Cualquier otro aparato en su red que tenga una dirección de IP.
PRTG además añade aparatos de sonda a su sonda local. Estos representan aparatos de sistema
internos. Usando el acceso al ordenador en el cual opera la sonda en caso, permite la
monitorización de parámetros de salud del sistema usando varios sensores.
Sensor
Bajo cada aparato se puede generar un número de sensores. Cada sensor monitoriza un aspecto
del aparato. Esto puede ser, por ejemplo:
Un servicio de red, como SMTP, FTP, HTTP, etc.

El tráfico que fluye por un puerto de un switch de red.
La carga de procesador de un aparato.
El uso de memoria de un aparato
El tráfico que fluye por una tarjeta de red
El flujo NetFlow de un aparato compatible
79
Canal
Cada sensor tiene un número de canales por medio de los cuales procesa y visualiza los diferentes
tramos de datos. Los canales disponibles dependen del tipo de sensor. Un sensor, por ejemplo,
puede contener los siguientes canales:
Tiempo de fallo de un aparato

Tráfico de entrada de un aparato de ancho de banda.
Tráfico de salida de un aparato de ancho de banda.
Tráfico suma de un aparato de ancho de banda.
Tráfico WWW de un aparato NetFlow.
Tráfico de correo de un aparato NetFlow.
Tráfico "otro tipo" de un aparato NetFlow.
Carga de procesador de un aparato.
Tiempo de carga de una página web.
Ancho de banda de descarga de una página web.
Tiempo de primer byte de una página web.
Tiempo de respuesta de un sensor Ping a un aparato.
Tiempo de respuesta de un servicio de RDP.
80
EXTRAS ADICIONALES
Dispone de una Interfaz Web rápida y muy intuitiva, optimizada para uso fácil e intuitivo. Por
ejemplo, esta imagen muestra la integración con Google Maps y la vista jerárquica de dispositivos:
Incluye además la posibilidad de Creación de Mapas personalizados usando iconos propios

integrados en PRTG, que indican el estado de monitorización, gráficos y tablas.
81
MÁS INFORMACIÓN
Recomendamos tomarse un tiempo para familiarizarse con la interfaz web Ajax, sus menús, el
árbol de aparatos y las opciones de configuración. En varios casos hay información de ayuda
desplegada directamente en la interfaz y más información está disponible en la casilla azul que se
muestra en la parte superior derecha de la página.
Si tiene preguntas específicas acerca de alguna funcionalidad de PRTG en particular puede

remitirse al manual de referencia (disponible en inglés) en los siguientes enlaces:
http://www.paessler.com/manuals/prtg
http://download-cdn.paessler.com/download/prtgmanual.pdf
Página oficial de Paessler (en español):
http://www.es.paessler.com
Número de Serie para la licencia de 30 Días:
000014-55GKFM-8FFVFN-G699DM-3XW428-G46NBW-Z8536F-W5V44V-KP1XDH-0V54K3
82
Monitorización en
Linux con Nagios
NAGIOS es una aplicación para la monitorización de servicios y hosts que pertenecen a una red.
Es capaz de monitorizar si un servicio se encuentra activo o no, o si un host se encuentra
operacional o no. Muestra el estadio operacional de todos los servicios y hosts en un ambiente
Web. Está diseñado para enviar notificaciones mediante E-Mail o SMS cuando el estado
operacional de un elemento a monitorizar cambia. Es uno de los sistemas más usados en Linux,
aunque existe una versión libre para Windows llamada Nagwin.
83
Como sistema de monitorización de equipos y de servicios de red fue creado para ayudar a los
administradores a tener siempre el control de qué está pasando en la red y conocer los problemas
que ocurren antes de que los usuarios de la misma los perciban. Se trata de un software usado en
todo el mundo que funciona en sistemas Linux o Unix y que permite extender su funcionalidad con
la utilización o creación de extensiones. Está liberado bajo licencia GPL por lo que no está
sometido a costes de licenciamiento.
Es un sistema de monitorización muy completo, con grandes posibilidades de ampliación y

adaptación como demuestra su implantación en empresas, universidades y organismos
gubernamentales. Sin embargo, se trata de un sistema complejo que requiere una configuración e
instalación elaborada que no lo hacen apropiado para ser usado en redes pequeñas. Por ese
motivo Nagios es una solución robusta, escalable y económica para la monitorización de equipos y
redes informáticas.
84
CONFIGURACIÓN DE SNMP EN LINUX
Antes de la instalación de cualquier herramienta de monitorización (como Nagios), previamente

hay que configurar el protocolo en el sistema Linux. Como ya se ha visto en capítulos anteriores,
SNMP es uno protocolo del conjunto definido por la IETF (Internet Engineering Task Force) que
trabaja en el nivel de aplicación del modelo TCP/IP y que está diseñado para facilitar el
intercambio de información entre dispositivos de red, y es ampliamente utilizado en la
administración de redes para supervisar el funcionamiento, integridad y gestión de un sistema.
Para obtener el máximo rendimiento a las aplicaciones de gestión de red del protocolo SNMP se
utiliza el software Net-SNMP, que es un conjunto de programas utilizados para implementar
SNMP v1, SNMP v2c y SNMP v3 utilizando direcciones IPv4 y/o IPv6. El proyecto fue iniciado en
1992 como un conjunto de herramientas SNMP por Steve Waldbusser en la CMU (Carnegie
Mellon University), Pittsburgh, Pennsylvania. Tras ser abandonado, fue retomado por Wes
Hardaker en la UCDavis (University of California, Davis), renombrado como UCD-SNMP y
mejorado para cubrir las necesidades del Departamento de Ingeniería Eléctrica de dicha
institución. Tras dejar la universidad, Hardaker continuó el proyecto, desarrollando nuevas
herramientas y cambiando el nombre de éste a Net-SNMP.
En Linux el protocolo SNMP está implementado con el software UCD-SNMP, incluido en todas las
distribuciones de Linux, que suelen ser tres paquetes independientes: ucd-snmp, ucd-snmp-devel
y ucd-snmp-util. Este software incluye el agente snmpd y las herramientas de gestión snmpget,
snmpgetnext, snmpset, snmpwalk, snmpnetstat, snmptrapd y snmptest.
Para gestionar la instalación del protocolo SNMP es conveniente trabajar en modo superusuario.
Se abre un terminal, y en la línea de comando ejecutamos:
$ sudo su
Para instalar el protocolo ejecutamos la siguiente línea de comando, obteniendo un resultado

como el siguiente:
$ sudo apt-get install snmpd snmp
85
Aceptamos la instalación y se ejecuta todo el proceso, reiniciando el sistema para aplicar los
cambios. Una vez instalado el software el fichero de configuración del agente snmpd queda
instalado en la ubicación /etc/snmp/snmpd.conf. Este archivo puede resultar bastante engorroso
de manejar, ya que está lleno de comentarios y opciones de todo tipo que además suele provocar
retrasos en las operaciones de control de red al tener que cargar muchas líneas de código que en
la mayoría de los casos son irrelevantes. Lo más recomendable es crear un archivo nuevo y limpio
de contenido para poder partir de algo más simple y funcional.
Este fichero es el lugar donde se guardan las ACL (Access Control List, Listas de Control de
Acceso), las cuales servirán para definir quién tendrá acceso hacia el servicio snmpd. A una de
estas listas se le otorgará permiso de acceso de lectura y escritura, para lo que sea necesario en
relación con administración, y a la otra de solo lectura.
86
Por razones de seguridad solo la interfaz 127.0.0.1 (loopback) estará en la lista de lectura y
escritura. Por tanto se otorgará permiso de acceso de solo lectura a una red o bien a una dirección
IP en la otra lista de control de acceso. En esta IP deberá estar configurado el programa de
monitorización.
Esto se realiza mediante las comunities, que son las claves que se utilizan para acceder al agente
SNMP. Normalmente está configurado con public para lectura y private para escritura, pero por
razones de seguridad obvias es conveniente modificarlas. Sin embargo previamente es obligatorio
hacer una copia de seguridad del fichero a modificar para que en el caso de error pueda
restaurarse una copia correcta desde la que realizar nuevas modificaciones. Accedemos a la
carpeta, renombramos el fichero y lo protegemos contra escritura:
$ cd /etc/snmp
$ mv snmpd.conf snmpd.conf.original
$ chmod 400 snmpd.conf.original
Abrimos un nuevo fichero de configuración. Para editarlo usamos por ejemplo el editor Nano. Una vez
creado guardamos el fichero (CRTL+X y aceptamos).
$ sudo nano snmpd.conf
Aquí se deberían colocar los parámetros de configuración del agente. Podemos configurarlo como
solo lectura (ro) o lectura/escritura (rw). En caso de querer dejar acceso libre (público) de solo
lectura a todos los dispositivos de la red bastaría con escribir:
# Community name (con acceso público de solo lectura)

rocommunity public
# System contact information (datos de contacto del administrador)

syslocation
syscontact
87
Un ejemplo completo de configuración del agente para el fichero snmpd.conf sería el siguiente:
# Reglas de control de acceso al agente, establece quién puede conectarse, permisos

# de lectura y escritura, que ramas se pueden ver, etc. Aquí sólo será posible acceder # al agente
SNMP desde el host 192.168.8.1
# sec.name source community
com2sec local localhost gestor

com2sec mynetwork 192.168.8.1 gestor
group MyRWGroup v1 local
group MyRWGroup v2c local
group MyRWGroup usm local
group MyROGroup v1 mynetwork
group MyROGroup v2c mynetwork
group MyROGroup usm mynetwork
# Ramas MIB que se permiten ver

# incl/excl subtree mask
view all included .1 80
#Estableciendo permisos de lectura y escritura por grupos

# context sec.model sec.level match read write notif
access MyROGroup "" any noauth exact all none none

access MyRWGroup "" any noauth exact all all none
# System contact information

rwcommunity tran$port
syslocation MiClase
syscontact Profesor <[email protected]>
88
Ahora hacemos que el agente snmpd use el nuevo archivo creado y le indicamos que capte
información para todas las interfaces. Para ello editamos el fichero /etc/default/snmpd:
$ sudo nano /etc/default/snmpd
Modificamos la siguiente línea, cambiando la puerta de loopback (127.0.0.1) por el fichero de

configuración que hemos creado:
# snmpd options (usa syslog, cierra stdin/out/err).

SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1'
Por esta:
SNMPDOPTS='-Lsd-Lf/dev/null-u snmp -I -smux -p /var/run/snmpd.pid -c /etc/snmp/snmpd.conf'
Reiniciamos SNMPD para completar su configuración:
$ /etc /init.d/snmpd restart
Iniciamos el agente con:
$ /etc/init.d/snmpd start
Una vez instalado y configurado el protocolo SNMP podemos usar sus comandos de gestión. Para
testear su correcto funcionamiento las más usadas son snmpget y snmpwalk:
snmpget: lee el valor de un objeto SNMP (hoja del árbol MIB), siguiendo con el ejemplo
anterior vamos a obtener información sobre el sistema:
# snmpget localhost <community> system.sysDescr.0
Y devuelve:
system.sysDescr.0 = Linux pinero 2.2.14-5.0 #1 Tue Mar 7 20:53:41 EST 2000 i586
89
snmpwalk: puede leer una rama completa. Se puede hacer un snmpwalk desde otro host
para el nuevo host configurado o bien leer el sistema completo:
# snmpwalk -v 1 -c public -O e serverSNMP
# snmpwalk localhost <community> system
Esto devuelve información sobre el sistema operativo, nombre del hosts, persona de
contacto, localización, etc.
Un resultado normal después de aplicar los test de prueba sería similar al siguiente:
SNMPv2-MIB::sysDescr.0 = STRING: Linux ibsen 2.6.27-9-generic #1 SMP Thu Nov 20 21:57:00

UTC 2008 i686
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (68869) 0:11:28.69
SNMPv2-MIB::sysContact.0 = STRING: [email protected]
SNMPv2-MIB::sysName.0 = STRING: serverSNMP
SNMPv2-MIB::sysLocation.0 = STRING: "Ernesto Centro de Computo"
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (1) 0:00:00.01
SNMPv2-MIB::sysORID.1 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.2 = OID: SNMP-MPD-MIB::snmpMPDCompliance
SNMPv2-MIB::sysORID.3 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
SNMPv2-MIB::sysORID.4 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.5 = OID: TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.6 = OID: IP-MIB::ip
Si no se obtiene la información comentada es que SNMP tiene algún problema bien en la

instalación o en la configuración.
90
Aunque en la distribución UCD-SNMP se incluyen MIBS de numerosos fabricantes, puede ser que
se necesiten descargar de la web del fabricante las MIBS propietarias del dispositivo. Si por
ejemplo se necesita monitorizar un router de la marca CISCO en la web del fabricante se pueden
encontrar las MIBS de todos sus modelos de router así como el software para su instalación.
91
INSTALACIÓN Y CONFIGURACIÓN DE NAGIOS
Nagios es un sistema de monitorización de redes de código abierto ampliamente utilizado, que

vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el
comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la
monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los recursos
de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los
puertos...) con independencia de sistemas operativos, posibilidad de monitorización remota
mediante túneles SSL cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos
sistemas.
Se trata de un software que proporciona una gran versatilidad para consultar prácticamente
cualquier parámetro de interés de un sistema, y genera alertas, que pueden ser recibidas por los
responsables correspondientes mediante (entre otros medios) correo electrónico y mensajes SMS,
cuando estos parámetros exceden de los márgenes definidos por el administrador de red.
Llamado originalmente Netsaint, nombre que se debió cambiar por coincidencia con otra marca
comercial, fue creado y es actualmente mantenido por Ethan Galstad, junto con un grupo de
desarrolladores de software que mantienen también varios complementos. Fue originalmente
diseñado para ser ejecutado en GNU/Linux y está licenciado bajo la GNU General Public License
Version 2 publicada por la Free Software Fundation.
92
Antes de empezar a configurarlo previamente debemos tener activado el protocolo SNMP e

instalar los siguientes paquetes en el sistema: Apache2, PHP 5, el compilador GCC, las librerías de
desarrollo y las librerías GD. Para ello abrimos un terminal, activamos el modo superusuario y
ejecutamos las siguientes órdenes:
$ sudo su
# apt-get -y update
# apt-get -y install apache2
# apt-get -y install libapache2-mod-php5
# apt-get -y install build-essential
# apt-get -y install libgd2-xpm-dev
Al terminar de instalar, tenemos que reiniciar los siguientes servicios:
# /etc/init.d/apache2 restart
# /etc/init.d/mysql restart
# /etc/init.d/php5 restart
Creamos el usuario nagios y le asignamos una contraseña:
Creamos el usuario
# useradd -m -s /bin/bash nagios
Le asignamos una contraseña

# passwd nagios
93
Añadimos el nuevo usuario en el grupo nagios:
# usermod -G nagios nagios
Creamos el nuevo grupo nagcmd para alojar los comandos usados por la interfaz web.
# groupadd nagcmd
Añadimos el usuario en el grupo Nagios:
# usermod -a -G nagcmd nagios
También en el grupo Apache:
# usermod -a -G nagcmd www-data
Descarga e instalación del software
Usaremos para ello la carpeta Descargas dentro de nuestro usuario. Si no la tenemos podemos
crear una carpeta para descargar los paquetes desde la página web del producto:
# mkdir Descargas
# cd Descargas
Ahora vamos a bajar los paquetes desde la web. Podemos usar el comando wget para la descarga
desde la página web http://sourceforge.net/projects/nagios/files/ o bien acceder a la página y
ejecutar la descarga desde ella. En principio siempre escogemos la última versión disponible
(actualmente es la Nagios-4.1.0rc1, actualizada a 19 de Febrero de 2015):
# wget http://sourceforge.net/projects/nagios/files/nagios-4.x/nagios-4.1.0/nagios-
4.1.0rc1.tar.gz
94
Ahora descomprimimos los paquetes descargados y accedemos al nuevo directorio:
# tar xzf nagios-4.1.0rc1.tar.gz
# cd nagios-4.1.0rc1
Ejecutamos el script de configuración, pasándolo por el grupo que hemos creado nagcmd y
compilamos el código fuente:
# ./configure --with-command-group=nagcmd
# make all
95
Ahora instalamos los binarios, los scripts de inicio y los archivos de ejemplo.
# make install
# make install-init
# make install-config
# make install-commandmode
Los archivos básicos de configuración los tenemos en la carpeta /usr/local/nagios/etc/objects, y

son los siguientes:
commands.cfg  Comandos básicos.

contacts.cfg  Usuarios.
localhost.cfg  Configuración local.
printer.cfg  Impresoras.
switch.cfg  Dispositivos.
templates.cfg  Plantillas.
timeperiods.cfg  Configuración de sondas.
windows.cfg  Configuración de terminales Microsoft.
linux.cfg  Configuración de terminales Linux.
El archivo que tenemos que modificar para añadir nuestra dirección de correo electrónico y así
recibir notificaciones sobre el funcionamiento del sistema es
/usr/local/nagios/etc/objects/contacts.cfg, y allí, en los datos del usuario nagiosadmin,
añadiremos nuestra dirección.
# nano /usr/local/nagios/etc/objects/contacts.cfg
Por el momento sólo modificaremos este archivo contacts.cfg, que es dónde tenemos
identificados los usuarios. Para poder cambiar el correo de contacto por el nuestro propio
cambiamos la dirección de correo por la dirección de correo electrónico a la que queremos que
nos manden las notificaciones. Si todo ha ido bien empezaremos a recibir las notificaciones de
correo.
96
Ahora realizamos la configuración del servicio Web y la preparación para iniciar Nagios. Para ello
ejecutaremos el script install-webconf desde el directorio /downloads/nagios-4.1.0rc1
# make install-webconf
Asignaremos el usuario nagiosadmin a la interfaz web de Nagios. Nos pedirá introducir una
contraseña de administrador que debemos anotar. Después reiniciamos el servicio Apache:
# htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin
# /etc/init.d/apache2 reload
97
Es necesario instalar los plugins de Nagios para configurar el acceso a los sistemas remotos. Un
plugin (plug-in, del inglés “enchufable o inserción”) es una aplicación que se relaciona con otra
para aportarle una función nueva y generalmente muy específica. Esta aplicación adicional es
ejecutada por la aplicación principal e interactúan entre ellas mediante la API (Application
Programming Interface, Interfaz de Programación de Aplicaciones). También se conoce como
add-on (“añadido”), conector o extensión.
Procedemos por tanto a descargar el fichero de los plugins en https://nagios-plugins.org/, lo

extraemos, compilamos e instalamos. Para ello volvemos al directorio donde tenemos el archivo
descargado de los plugins y lo descomprimimos (Nagios-Plugins 2.0.3 es la última versión
actualizada a fecha 28 de enero de 2014):
# wget http://nagios-plugins.org/download/nagios-plugins-2.0.3.tar.gz
# tar xzf nagios-plugins-2.0.3.tar.gz
Y accedemos dentro del directorio creado. Compilamos e instalamos los plugins:
# cd nagios-plugins-2.0.3
# ./configure --with-nagios-user=nagios --with-nagios-group=nagios
# make
# make install
Por último comprobaremos que toda la configuración es correcta:
# /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
Si no nos devuelve ningún error ya podemos arrancar el programa. La ejecución del programa se
realiza con la siguiente orden:
# /etc/init.d/nagios start
98
Para iniciarlo en modo gráfico abrimos el navegador (Firefox o Chrome) y en la barra de dirección
escribimos http://localhost/nagios/. Podemos crear un icono en el escritorio para poder
directamente.
También podemos acceder en remoto desde cualquier sistema mediante el navegador a través de la IP
del equipo donde está instalado, escribiendo http://<ip_del_equipo>/nagios. Una vez lo hemos
instalado, únicamente tendremos monitorizada la propia máquina del servidor:
99
Añadiendo los host Windows
Antes de añadir o modificar cualquier aspecto de Nagios hay que detener la monitorización
mediante el comando stop:
# /etc/init.d/nagios stop
Comenzaremos añadiendo un servidor con Microsoft Windows Server 2008, que tenemos
ubicado por ejemplo en la dirección 192.168.1.8, con el nombre de “winserver”. Antes de nada
hay que activar la línea de los servidores Windows en el archivo de configuración nagios.cfg,
ubicado en /usr/local/nagios/etc/ (quitando el símbolo # antes de la línea, es decir,
descomentándola).
Usaremos el fichero que viene por defecto para los hosts y servicios que corren en las máquinas
que tienen sistemas operativos Microsoft Windows, ubicado en el fichero
/usr/local/nagios/etc/objects/windows.cfg
# sudo nano /usr/local/nagios/etc/objects/windows.cfg
Modificamos la información del principio del archivo con los datos de nuestro servidor. Aquí
podemos añadir todas las máquinas que queramos una detrás de otra, indicando los nombres de
los equipos, un identificador o “alias” y la dirección de red asociada:
define host {
use windows-server
host_name winserver
alias My Windows Server
address 192.168.1.8
}
100
A continuación configuramos la información del grupo de servidores Windows. Más adelante

vemos los datos de todos los servicios para éste grupo de servidores. En este caso lo dejamos tal y
como está:
define hostgroup {
hostgroup_name windows-server
alias Windows Servers
}
Reiniciamos el servicio y ahora ya podemos ver nuestro servidor en Nagios:
# /etc/init.d/nagios restart
Se puede observar arriba a la derecha de la imagen que nos indica que tenemos algunos servicios
con problemas (en este caso, siete). Esto es normal porque aparte del servicio PING, el resto sólo
funcionan si instalamos el cliente Nagios en los sistemas Windows.
101
Instalando el cliente en los sistemas Windows
El cliente nos lo podemos bajar desde la página web de Nagios. Usaremos el cliente NSClient++,
que se puede descargar desde el siguiente enlace:
http://nsclient.org/nscp/downloads
Una vez descargado, al comenzar la instalación veremos la siguiente ventana:
Los siguientes pasos son aceptar los términos de licencia y seguir los pasos de configuración típica.
La ubicación de la instalación dejamos la que viene por defecto. Después nos pedirá la IP del
sistema Linux donde está instalado Nagios. El campo de contraseña se queda en blanco y se
habilitan todos los módulos.
102
Si todo ha ido bien, ya tendremos todos los servicios monitorizados sin errores y funcionando:
Modificando el archivo de configuración windows.cfg podremos añadir más servidores.
103
SOFTWARE NRPE PARA SISTEMAS LINUX
Para poder monitorizar sistemas Linux debemos de instalar tanto en el servidor que monitoriza
como en el equipo cliente a monitorizar el software del plugin NRPE (Nagios Remote Plugin
Executor), que permite ejecutar remotamente plugins de Nagios en otros equipos Linux / Unix
para monitorizar los datos de la máquina remota (uso del disco, carga de la CPU, etc.). NRPE
también puede comunicarse con algunos de los complementos del agente de Windows, por lo que
también puede ejecutar secuencias de comandos y verificar mediciones en máquinas Windows
remotas. NRPE se compone de dos partes:
Plugin Check_NRPE: en monitorización ejerce la labor del gestor. Por tanto es el plugin que
corre en el servidor que ejecuta Nagios y que se comunica con el daemon NRPE instalado
en los hosts remotos. El plugin usa la salida de la ejecución remota y un código de retorno
para mostrar el estado del host remoto en la interfaz del Nagios.
Daemon NRPE: en monitorización ejerce la labor del agente. Es la parte del paquete que se
ejecuta en el host Linux/Unix remoto, encargado de procesar los requerimientos de la otra
parte del paquete, el plugin Check_Nrpe que se ejecuta en el servidor Nagios. Un daemon
es un programa que funciona en segundo plano, sin que el usuario perciba que está activo,
de forma similar a como funcionan los antivirus o firewalls, por ejemplo. El daemon NRPE
recibe el pedido de ejecución desde el Check_Nrpe, ejecuta la sentencia asociada al pedido
recibido y devuelve la salida de la ejecución al plugin de origen.
104
La comunicación entre el plugin y el host remoto se realiza mediante librerías SSL (Secure Sockets
Layer, Capa de Conexión Segura), que son protocolos criptográficos que proporcionan
comunicaciones seguras por una red. El daemon suele ser del tipo Xinetd (eXtended InterNET
Daemon, Demonio EXtendido de Internet), que es el modelo de servicio o daemon seguro de alto
nivel que usan la mayoría de los sistemas UNIX dedicados a administrar la conectividad basada en
Internet y redes locales.
El daemon NRPE requiere que los plugins de Nagios estén instalados en el servidor Linux/Unix
remoto. Sin ellos, el daemon no sería capaz de supervisar. Cuando Nagios necesita controlar un
recurso de servicio en una máquina Linux o Unix remoto realiza lo siguiente:
1. Nagios ejecuta el plugin Check_Nrpe y le dice decirle qué servicios desea comprobar
2. El plugin Check_Nrpe contacta el daemon NRPE en la máquina remota a través de una

conexión (opcional) protegida con SSL
3. El daemon NRPE corre el plugin de Nagios apropiado para comprobar que el servicio o
recurso en la máquina remopta
4. Los resultados de la comprobación de servicio se devuelven y pasan desde el daemon NRPE

al plugin check_nrpe, que a continuación, devuelve los resultados de la verificación del
proceso de Nagios.
105
Modos de empleo de NRPE
Por control directo: el más sencillo uso del plugin NRPE, se trata de monitorizar los
recursos “privados” o “locales” a distancia de una máquina Linux/Unix. Esto incluye
servicios como la carga de la CPU, uso de memoria, uso del swap, los usuarios activos, uso
de disco, estados de proceso, etc...
Por controles indirectos: NRPE puede comprobar indirectamente los servicios “públicos” y
los recursos de los servidores remotos que podrían no ser accesibles directamente desde el
host de supervisión. Por ejemplo, si el host remoto se encuentra en una red con la cual
Nagios no tiene comunicación (porque el encargado de comunicaciones no permite el
acceso), pero si tiene acceso a otro servidor que si se comunica con el servidor de dicha
red, y en la que el daemon NRPE y el plugin si se comunican, se puede configurar NRPE
para que supervise el servidor web remoto indirectamente. El daemon NRPE está actuando
esencialmente como sensor remoto en este caso.
106
Instalación de NRPE en Nagios
Descargamos el software, accediendo a la página web o mediante el comando wget (el protocolo
NRPE más actual es la versión 2.15 con fecha 13 de junio de 2013):
# wget http://sourceforge.net/projects/nagios/files/nrpe-2.x/nrpe-2.15/nrpe-2.15.tar.gz
Una vez descargado, lo descomprimimos, accedemos al directorio y compilamos el código fuente.
# cd nrpe-2.15
# ./configure
Si aparece el error “Checking for SSL headers… configure: error: Cannot find ssl headers“, es
porque el sistema no tiene instaladas las librerías SSL. Habrá que realizar entonces la instalación
de las librerías SSL y configurarlas:
# apt-get install libssl-dev
# apt-get install libssl-dev libcurl4-openssl-dev
# ./configure --with-ssl=/usr/bin/openssl --with-ssl-lib=/usr/lib/x86_64-linux-gnu
Si aparece el error “Checking for SSL libraries… configure: error: Cannot find ssl libraries“, es
porque el sistema está buscando las librerías en un directorio incorrecto. La solución consiste en
cambiar al directorio x86_64 por el genérico i386:
#./configure --with-ssl=/usr/bin/openssl --with-ssl-lib=/usr/lib/i386-linux-gnu/
107
A continuación ejecutamos los comandos: make all y make install-plugin.
# make all
# make install-plugin
Con esto finalizamos la configuración en el equipo gestor.
Instalando el cliente en los sistemas Linux
Una vez instalado el plugin en el servidor ahora haremos lo mismo en el cliente. Para ello creamos
también un usuario que se llame nagios, con la contraseña igual que el nombre y descargamos el
paquete nagios-plugin para cliente (última versión 2.0.3):
# useradd nagios
# passwd nagios
# wget http://nagios-plugins.org/download/nagios-plugins-2.0.3.tar.gz
Una vez descargado, lo descomprimimos, accedemos a la carpeta y lo compilamos:
# tar xvfz nagios-plugins-2.0.3.tar.gz

# cd nagios-plugins-2.0.3
# export LDFLAGS=-ldl
# ./configure --with-nagios-user=nagios --with-nagios-group=nagios --enable-redhat-pthread-
workaround
# make
# make install
108
Cambiamos los propietarios de las carpetas de Nagios en el cliente:
# chown nagios.nagios /usr/local/nagios

# chown -R nagios.nagios /usr/local/nagios/libexec/
Ahora nos toca instalar NRPE en el cliente. Nos descargamos el add-on NRPE otra vez, pero ahora
en cliente:
# wget http://sourceforge.net/projects/nagios/files/nrpe-2.x/nrpe-2.15/nrpe-2.15.tar.gz
Descomprimimos y entramos dentro del directorio recién creado compilando el código fuente e
instalando todos plugins:
# tar xvfz nrpe-2.15.tar.gz

# cd nrpe-2.15
# ./configure
# make all
# make install-plugins
# make install-daemon
# make install-daemon-config
# make install-xinetd
Si nos dan los mismos errores con las librerías y cabeceras SSL, sólo tenemos que seguir las
mismas instrucciones de cuando instalamos el software en el servidor Nagios. Otro error que nos
puede dar es al instalar el protocolo Xinetd. Tenemos que tener este plugin instalado, y si no es así
simplemente lo instalamos con el comando:
# apt-get -y install xinetd
109
Ahora solo nos falta configurar NRPE en el agente del cliente. Para ello modificamos el archivo de
configuración de NRPE dentro de xinetd, para indicar que admitimos conexiones desde nuestro
servidor Nagios y modificamos la línea de origen del gestor:
# nano /etc/xinetd.d/nrpe
only_from = 127.0.0.1 192.168.1.x
Donde la x es la IP de nuestro servidor Nagios. Evidentemente si hemos modificado la IP de origen

de Nagios en el equipo agente habremos también de modificarla, para que ambas máquinas
puedan rastrearse. Modificamos también el archivo /etc/services, y añadimos al final:
# nano /etc/services
nrpe 5666/tcp #Puerto de entrada NRPE
Los comandos que se usan para monitorizar se configuran en el archivo

/usr/local/nagios/etc/nrpe.cfg. Si lo editamos veremos varios comandos de ejemplo.
110
Por ejemplo, si echamos un ojo a los parámetros veremos que la “w” es Warning (advertencia), y
“c” es sinónimo de crítico. Podemos modificar el comando check_disk, si el espacio disponibles es
menor al 20 % lanza una advertencia, si queda menos del 10 % de espacio Nagios nos enviará un
mensaje crítico. La configuración quedaría así:
command[check_disk]=/usr/local/nagios/libexec/check_disk -w 20% -c 10% -p /dev/hda1
Creación de host clientes y sensores en el servidor Nagios
Para ello volvemos al equipo gestor y creamos un archivo nuevo linux.cfg, con los datos del host
remoto y sus servicios. A veces se recomienda copiar el archivo localhost.cfg y modificarlo, pero al
igual que en la activación del servicio SNMP es mejor crearlo nuevo para evitar errores. Los datos
de los hosts y sus servicios los guardamos en ese fichero que creamos nuevo y que se llamará
/usr/local/nagios/etc/objects/linux.cfg con la siguiente plantilla, que servirá de base para todos
los host. Añadimos un host, por ejemplo, HostPrueba con dirección 192.168.1.200, y definimos los
sensores que queremos asociar:
# nano /usr/local/nagios/etc/objects/linux.cfg
define host {
use linux-box
host_name HostPrueba
alias Ubuntu_12
address 192.168.1.200
}
define service {
use generic-service
service_description Root Partition
check_command check_nrpe!check_load
}
111
Por defecto los parámetros que van a definir los terminales Linux no están definidos, por lo que se
hace necesario introducir una plantilla para monitorizar esos sistemas. Esto lo hacemos
añadiendo al fichero templates.cfg una plantilla como la siguiente:
# nano /usr/local/nagios/etc/objects/templates.cfg
define host {
name linux-box
use generic-host
check_period 24x7
check_interval 5
retry_interval 1
max_check_attempts 10
check_command check-host-alive
notification_period 24x7
notification_interval 30
notification_options d,r
contact_groups admins
register 0 ;
}
Los comandos que se están definiendo en este caso están previamente configurados en el archivo
/usr/local/nagios/etc/nrpe.cfg del host remoto, que en nuestro caso se llamaba HostPrueba.
Podemos añadir por ejemplo cuatro servicios más, que se encargarán de revisar el espacio de
disco, el “log” o registro de los usuarios, el total de los procesos y el estado de los procesos
“zombie” o residuales:
112
Control de disco:
define service {
use generic-service
service_description /dev/hda1 Free Space
check_command check_nrpe!check_hda1
}
Control de usuarios:
define service {
use generic-service
service_description Current Users
check_command check_nrpe!check_users
}
Control de los procesos:
define service {
use generic-service
service_description Total Processes
check_command check_nrpe!check_total_procs
}
Control de los procesos “zombie”:
define service {
use generic-service
service_description Zombie Processes
check_command check_nrpe!check_zombie_procs
}
113
Modificamos el archivo nagios.cfg para añadir el nuevo archivo creado mediante la línea:
# Añadimos el fichero linux.cfg

cfg_file=/usr/local/nagios/etc/objects/linux.cfg
Para que funcione el plugin tenemos que modificar también el fichero

/usr/local/nagios/etc/objects/commands.cfg y añadir:
# Plugin nrpe para los servidores Linux remotos

define command {
command_name check_nrpe
command_line #USER1#/Check_Nrpe -H #HOSTADDRESS# -c #ARG1#
}
Ahora ya podemos reiniciar el servicio Nagios:
# service nagios restart
Si todo ha ido bien veremos los servicios OK en cada uno de los host añadidos en la interfaz de
Nagios:
114
CARACTERÍSTICAS DE NAGIOS
Una vez instalado y configurado Nagios podemos analizar las distintas partes que lo componen.
Básicamente es un sistema que testea los servicios y parámetros de una red, y notifica todas las
incidencias rápidamente a los administradores, siendo por tanto un sistema de alerta temprana.
Dispone de las siguientes características:
Interfaz web: muestra la información en una interfaz web desde la que el administrador
puede establecer algunos parámetros, lo que permite observar este interfaz de forma
remota vía cliente HTTP. Incluso desde dicha interfaz web, previa autenticación HTTP,
permite también programar en el tiempo los chequeos a máquinas o servicios previamente
configurados, las notificaciones, etc.
Definición de jerarquías de servicios o de máquinas: Incorpora características muy

interesantes como las dependencias de servicios o de equipos que permiten establecer
jerarquías de servicios o de máquinas. De esta forma puede detectar si un servicio está
inactivo o inaccesible.
Administración y definición de usuarios: otra característica que ofrece es la agrupación de

contactos (personas a quién notificar) de manera que cuando una incidencia se produzca
para equipos o servicios supervisados por esas personas, dicha notificación llegue a todas y
cada una de ellas y no exclusivamente a una persona. Esto proporciona flexibilidad si por
ejemplo la administración de la red se realiza en jornadas divididas por turnos. De esta
forma se puede hacer que se notifique solo a la persona que se encuentra en su jornada
laboral o que se notifique a un grupo de personas.
Creación de nuevos comandos (plugins): también permite la creación sencilla de nuevos

comandos (llamados plugins) para añadir nuevas funcionalidades al sistema, o bien
combinar varios de los que se encuentran activos. En cierto modo Nagios puede ser tan
flexible como se desee tanto en cuanto es software libre y por tanto el código fuente es
abierto y modificable por cualquiera.
115
Estructura
El núcleo de la aplicación, que forma la lógica de control de la aplicación, contiene el software

necesario para realizar la monitorización de los servicios y equipos de la red que han sido
definidos. Hace uso de diversos componentes que vienen con la aplicación, y puede hacer uso de
otros componentes realizados por terceras personas.
Aunque permite la captura de paquetes SNMP para notificar sucesos, no es un sistema de

monitorización y gestión basado en SNMP sino que realiza su labor basándose en una gran
cantidad de pequeños módulos software que realizan chequeos de parte de la red.
Muestra los resultados de la monitorización y del uso de los diversos componentes en una interfaz
web a través de un conjunto de CGI’s y páginas HTML que vienen incorporadas de serie. Y que
permiten al administrador una completa visión de qué ocurre, dónde y en algunos casos, el por
qué.
Por último, si se compila para ello, Nagios guardará los históricos en una base de datos para que al
detener y reanudar el servicio de monitorización, todos los datos sigan como iban, sin cambios.
116
Interfaz Web
La Web de administración de Nagios es altamente configurable, además existen numerosos

plugins para hacer que se adapte a las necesidades particulares.
Visión general: Muestra de forma rápida un resumen de todo el sistema que permita
tomar decisiones rápidas apoyadas en una base real del estado del sistema.
Detalle de los servicios: Muestra el estado de los servicios que se están monitorizando así
como una descripción textual de si ha habido problemas, si no se tienen datos suficientes,
etc.
117
Detalle de los equipos: Muestra si los equipos que están siendo monitorizados se
encuentran activos, si se encuentran caídos o si el acceso a los mismos está dificultado por
alguna cuestión.
Estado detallado de un equipo: Muestra para cada equipo monitorizado, su estado, el

estado de los servicios que tiene asociados y algunos datos extra.
118
Información sobre un equipo: Muestra datos muy detallados sobre un equipo concreto y
permite además la ejecución de algunos comandos que afectan a dicho equipo.
Información de estado por grupo de equipos: Muestra un resumen de los equipos y

servicios activos y caídos según los grupos a los que pertenece cada equipo de una forma
sencilla y rápida.
119
Problemas con los equipos: Esta opción muestra exclusivamente los equipos que están
teniendo problemas así como una descripción de los mismos. Es especialmente útil para un
administrador de red saber inmediatamente qué equipos están fallando.
Problemas con los servicios: Esta opción muestra exclusivamente los servicios que están
teniendo problemas así como una descripción de dichos problemas. Es especialmente útil
para un administrador de red saber inmediatamente qué servicios están dejando de
funcionar.
120
Creación de comentarios para equipos: Permite asociar un comentario a un equipo. Es

especialmente útil si varios administradores por turnos administran las máquinas. Uno
puede dejar notas sobre ciertos equipos para que otro las vea cuando llegue su jornada
laboral.
Administración Web de Nagios: El propio sistema Nagios puede ser administrado vía web
mediante la ejecución de comandos. Además se puede ver su estado, las incidencias que
ha tenido, etcétera.
121
Cola de planificación: Esta opción muestra y permite cambiar la fecha y hora para la cual
están planificadas la ejecución de los chequeos a servicios y equipos.
Configuración de informes: Común para casi cualquier informe. Permite elegir el rango de
tiempo, la forma de presentación, el orden, etcétera, de los datos que aparecerán en el
informe.
122
Informe de disponibilidad: Esta opción presenta en la ventana web un listado con todos
los equipos y los porcentajes de tiempo en los que cada uno ha estado activo e inactivo.
Esto permite obtener unas estadísticas para ver si una máquina falla con frecuencia y
tomar medidas al respecto.
Histograma: Como cualquiera de los demás tipos de informe, el histograma muestra de

forma gráfica distintos parámetros, a elegir, sobre los servicios y equipos monitorizados.
123
Histórico de eventos: Esta opción muestra el total de sucesos que han ocurrido en el
sistema, desde la caída de un equipo hasta el envío a un contacto de una notificación vía
correo electrónico.
Contactos: Esta opción permite ver los datos de configuración de los contactos, esto es,
horas de contacto, métodos para notificaciones, dirección de correo, datos personales, etc.
Lo mismo aparece para otro parámetros que no sean los contactos, pero sólo mostramos
esta opción como ejemplo.
124
Mapa: Esta opción permite ver un esquema gráfico de la red que monitoriza Nagios y el
estado de cada elemento de la red:
125
Personalización
La interfaz Web de Nagios puede configurarse para diversidad de idiomas (entre ellos castellano y
catalán) y permite, mediante plugins, cambiar la apariencia de la interfaz Web. He aquí algunos
ejemplos de interfaz:
Mapas de red local:
126
Mapa de rack:
Mapa Geográfico:
127
Mapa gráfico:
Sobre una imagen real:
128
Análisis de la
Monitorización
Como la mayoría de los programas de monitorización de red PRTG Network Monitor trabaja
cubriendo distintas áreas funcionales propias de la Gestión de Red, en concreto la Gestión de
Prestaciones, mediante la cual se pueden generar informes que posteriormente pueden ser
analizados con vistas a tomar decisiones propias de la Gestión de Fallos, Configuración y
Contabilidad.
Como se ha visto en la primera parte en relación a la monitorización de Prestaciones podemos

distinguir dos tipos: de Servicio, que nos indican la calidad de los componentes de la red
(Disponibilidad, Tiempo de Respuesta y Fiabilidad), y los de Eficiencia, que nos indican a que
coste estamos ofreciendo esa calidad (Rendimiento y Utilización).
Los primeros reflejan la calidad del servicio ofrecido y los segundos nos indican a qué coste
estamos ofreciendo esa calidad. El objetivo, lógicamente, es minimizar dicho coste.
129
LA MONITORIZACIÓN DE PRESTACIONES
Tiene como dificultad el seleccionar los sensores apropiados para generar los informes que
posteriormente van a usarse en el análisis de datos, ya que hay medidores no comparables, no
todos los fabricantes de equipos soportan los mismos sensores, etc... En general los sensores
genéricos más usados en la monitorización de prestaciones son:
Indicadores orientados a Servicio
Disponibilidad: porcentaje de tiempo que un elemento de red, componente o aplicación

está disponible para el usuario. Por ejemplo, un sensor relativo la conexión lógica como es
el PING nos da información acerca de la disponibilidad o no del equipo monitorizado, es
decir, si el terminal está disponible o no (encendido/apagado) y si tiene errores de
conexión.
Tiempo de Respuesta: tiempo que el usuario debe esperar la respuesta a una acción
iniciada por él. Por ejemplo, el sensor HTTP es el más indicado para ver el tiempo de
respuesta, ya que al basarse su análisis en la transferencia de datos en formato Web es
mucho más completo que el sensor PING, que solo basa su análisis en el envío de
paquetes.
Fiabilidad: Porcentaje de tiempo sin errores en la transmisión y entrega de la información.

Este tipo de indicador es derivado del indicador de disponibilidad, pero solo es relativo al
tiempo en el cual el equipo está operativo, es decir, encendido y sin errores de conexión.
Evidentemente este indicador (al igual que el de la disponibilidad) no solo implica al propio
terminal, sino también a los componentes intermedios que hacen que esté correctamente
conectado a la red (nodos, DCEs, NIC, etc...).
130
Indicadores orientados a Eficiencia
Rendimiento: Tasa de ocurrencia de eventos de usuario dentro de la red, como

generación de transacciones, mensajes, solicitudes, etc... Implica por supuesto a cualquier
transmisión por red, con su volumen de datos de entrada y salida asociado, y por
consiguiente, a cualquier componente usado para realizar dicha transmisión (NIC). Los
sensores de Tarjetas de Red, ya sean para LAN o WLAN, son los encargados de medir el
rendimiento de la red, si está siendo sobreutilizada o infrautilizada, así como su capacidad
de cobertura o porcentaje de rendimiento del sistema. El sensor de Tiempo de Actividad
también ofrece datos de rendimiento, ya que da mayor información sobre el uso o no de un
de un terminal (un DTE puede estar operativo y sin embargo no estar realizando
transmisiones en la red).
Utilización: Porcentaje actualmente utilizado de la teórica capacidad total de un recurso.

Implica a todos los sensores que miden el rendimiento interno de un componente de la
red. El análisis se realiza principalmente mediante los siguientes sensores:
 Procesador/CPU: da información del porcentaje de uso del microprocesador

interno del equipo. En el caso de terminales o servidores con dos o más
procesadores, o sistemas de procesador con varios núcleos (Core Duo, QuadCore,
etc...) realiza controles independientes de cada uno de ellos, ofreciendo datos
parciales y la media total del sistema.
 Memoria RAM: da información del total de memoria instalada y del porcentaje de

uso de la misma.
 Memoria Virtual (Pagefile): es posible gestionar parte del espacio del disco duro
como Memoria Virtual con el fin de acelerar el proceso de algunos programas
liberando a la memoria RAM de su gestión. Este sensor da información del total de
memoria configurada y del porcentaje de uso de la misma.
131
 Disco Duro (HD): da información del total del espacio de los discos disponibles y del
porcentaje de uso de los mismos. Este sensor es muy importante sobre todo en
servidores de datos a fin de prevenir su bloqueo por discos duros dañados o
saturados (llenos).
Generación de informes
En PRTG Network Monitor, como en cualquier otro programa de monitorización, por lo general la
generación de los informes de cada sensor es idéntica. Basta con seleccionar el sensor a chequear,
elegir el reporte adecuado a los datos que queremos sacar indicando la fecha y hora de inicio,
fecha y hora de fin, intervalo de chequeo, formato de salida, etc..., y el propio programa se
encarga de consultar el historial y generar un fichero de salida con los datos solicitados.
Podemos generar varios tipos de salida de datos, dependiendo de si generamos informes en modo
Event-Reporting (automático) o en modo Polling (solicitado).
Es posible generar informes de tablas, gráficos, independientes o mixtos, clasificados por sensores,
por rango de fechas, por listado de actividad, etc. Los reportes de Event-Reporting se generan a
partir de la pestaña Reportes, indicando los sensores y aparatos asociados al reporte, así como el
formato de salida de los datos (HTML o PDF, guardando el archivo o enviándolo por e-mail).
Los reportes de Polling se generan en cada sensor a partir de la pestaña Datos Históricos,
indicando el rango de fecha, intervalo de chequeo, etc... Como formato de salida de los datos
podemos obtener una pantalla HTML, un fichero XML o un fichero CSV.
132
Informes en Polling
Existen dos formatos de salida para los informes generados mediante Polling:
En HTML: es una salida estándar en el navegador Web que se tenga instalado. Permite
visualizar los datos en memoria para comprobar que el reporte se ha solicitado
correctamente y que ofrece los datos que se han pedido. Debido a la normativa actual en
lo referente a la LOPD (Ley de Protección de Datos) es importante vigilar no extraer más
información que la estrictamente solicitada a fin de evitar reclamaciones legales por la
entrega de información no solicitada.
En PDF: genera el informe en un fichero PDF, con el cual nos ofrece dos opciones:
 Guardado automático en el ordenador. Se generará un fichero PDF según el

intervalo solicitado (diario, semanal, por horas, etc) donde se indicará el tipo de
reporte, fecha y hora del mismo.
 Envío automático por e-mail. Cada vez que se genere un informe el fichero PDF se
enviará automáticamente a una dirección de correo especificada.
133
Informes en Event-Reporting
Existen tres formatos de salida para los informes generados mediante Event-Reporting:
En HTML: al igual que en el Polling es una salida estándar en el navegador Web que se
tenga instalado. Permite visualizar los datos en memoria para comprobar que el reporte se
ha solicitado correctamente y que ofrece los datos que se han pedido. Como ya se ha
mencionado, debido a la normativa actual en lo referente a la LOPD es importante vigilar
no extraer más información que la estrictamente solicitada.
En PDF: es posible generar un fichero PDF a partir de la pantalla HTML generada,

dependiendo del navegador y del software de gestión de PDF instalado (Firefox, Chrome,
PDFill, Solid PDF, etc...). Basta con imprimir o guardar el fichero indicando el nombre del
sensor y el intervalo de fecha solicitado.
En XML: significa EXtensible Markup Language ('lenguaje de marcas extensible'), y es un

tipo de lenguaje desarrollado para almacenar datos en forma legible mediante una
estructura de árbol. Se usa para integrar información entre distintas aplicaciones de
gestión de bases de datos. Estos ficheros pueden abrirse con software específico (Altova
XML Editor) o bien importarse en Microsoft Excel como tablas XML.
En CSV: los ficheros CSV (‘Comma Separated Values’, Valores Separados por Comas) son
un tipo de documento que se usa para representar datos en forma de tabla, en las que las
columnas se separan por comas. Estos ficheros pueden abrirse con cualquier editor de
texto u hoja de cálculo. En Microsoft Excel se importan como tablas de texto donde las
columnas se separan por tabulaciones y comas.
134
IMPORTACIÓN DE DATOS EN EXCEL
Para realizar el análisis es necesario el uso de herramientas como bases de datos u hojas de
cálculo que permitan realizar las operaciones necesarias para calcular los porcentajes.
Si se trabaja en formato de bases de datos se pueden utilizar programas específicos creados en

lenguajes de gestión de bases (por ejemplo en SQL o DBase) que realicen todas las operaciones y
ofrezcan los resultados de forma automática. Si se usan hojas de cálculo (como Microsft Excel) hay
que ir analizando los sensores uno a uno para realizar los cálculos y crear el informe de resultados
que se haya solicitado.
135
Este manual se ha realizado con la versión Microsoft Excel 2007 y para analizar datos vamos a
trabajar con ficheros CSV. Como ya se ha mencionado anteriormente son ficheros de texto
organizados en columnas separadas por comas. Para poder usarlos correctamente en Excel
primero abrimos el programa y con una hoja de cálculo nueva insertamos el fichero CSV de la
siguiente forma:
Menú Principal  Datos  Desde texto
136
Elegimos el fichero en CSV que hayamos generado después de crear el reporte. Para abrirlo
correctamente hay que seguir los siguientes pasos:
Paso 1: marcamos la casilla de Delimitados y pulsamos Siguiente.
Paso 2: marcamos la casilla de Tabulación y Coma. Pulsamos Siguiente.
137
Paso 3: pulsamos Finalizar.
Paso 4: dejamos por defecto la casilla de inicio y pulsamos Aceptar.
138
Una vez realizados los pasos anteriores de forma correcta el fichero de datos se quedará ordenado
por columnas. Es conveniente hacer una copia del fichero para trabajar directamente en Excel,
bien en formato XLS (compatible con todas las versiones hasta Excel 2003) o bien en XLSX
(compatible con todas las versiones a partir de Excel 2007).
139
Para trabajar con los datos hay que saber utilizar los filtros. Dependiendo del reporte solicitado
una hoja puede tener desde unos pocos registros hasta varios miles, por lo que el uso de filtros y
de la marca de colores es muy conveniente para ajustar bien el estudio de los datos. Para colocar
un filtro seleccionamos la fila del encabezado (en el ejemplo anterior sería la 2ª fila) y pulsamos:
Menú Principal  Inicio  Ordenar y Filtrar  Filtro
140
Esta orden nos coloca unas pestañas en el encabezado que nos permite mostrar el documento
filtrando los datos mediante el menú de selección en cada columna. Por ejemplo, en el caso
anterior que estamos analizando los datos del sensor PING usaríamos la columna que nos da el
tiempo de respuesta:
141
Si queremos marcar por colores una selección del filtro podemos usar las opciones de relleno:
142
Marcando “Seleccionar Todo” podemos ver los datos divididos por colores:
143
ANALISIS DE INDICADORES ORIENTADOS A SERVICIO
Disponibilidad
El análisis de la disponibilidad lo realizamos desde los datos que nos suministra el sensor PING.
Hay que tener en cuenta que los datos de este sensor han de ser obtenidos siempre desde otro
equipo distinto al que queremos analizar. Los datos de auto-PING en el propio equipo no son
válidos, ya que éste se realiza de forma interna sin usar la conexión de red, y por tanto no muestra
las incidencias de conexión a la misma.
El archivo de datos del sensor PING puede ofrecer tres tiempos de respuesta:
Que no tenga tiempo de respuesta, lo que indica que el equipo está apagado y por tanto
no operativo.
Que tenga un tiempo de respuesta, lo que indica que el equipo está encendido y operativo.
El tiempo de respuesta de ‘0 mseg’ se incluye en este caso.
Que tenga ‘Error’ como tiempo de respuesta. El equipo está encendido pero tiene algún
problema de conexión, y por tanto no está operativo.
Por tanto podemos decir que el tiempo de conexión será la suma de los tiempos en los que el
terminal está encendido, tenga errores o no.
Por el contrario hay que distinguirlo del tiempo operativo, que será aquel en el cual el terminal
está encendido sin errores de conexión.
144
Para extraer los datos del archivo de Excel tendremos que distinguir entre el tiempo de error,
tiempo de apagado y tiempo operativo. Usando los filtros podemos marcar cada tipo por colores
(como en el ejemplo anterior). Una vez filtrado cada caso podemos ver el recuento de registros
seleccionando cualquiera de las columnas:
Como se puede ver hemos obtenido 12 registros de error, y podemos comprobar que cada
registro se realiza cada 5 minutos. Multiplicando ambas cantidades obtenemos el tiempo total de
error:
El proceso se puede repetir para hallar el tiempo de apagado (cuando no tiene datos) y el tiempo
operativo (cuando tiene datos que no son ‘error’). Teniendo estos datos podemos calcular los
porcentajes de operatividad. Por ejemplo:
145
Tenemos un informe de 48 horas de datos PING de un terminal. Después de analizar los datos
obtenemos que el equipo ha estado operativo durante 16 horas, ha tenido 60 minutos de error y
el resto ha estado apagado. ¿Cuál serán sus porcentajes?:
Lo primero es pasar todos los tiempos a horas. El tiempo de error en horas sería:
60/60 = 1 hora
Aplicamos la regla de tres y calculamos los porcentajes:
Tiempo total: 48 h  100%
Tiempo operativo: 16 h  (16*100)/48 = 33,3%
Tiempo de error: 1h  (1*100)/48 = 2%
Tiempo apagado: 48-16-1= 31h  (31*100)/48=64,7%
146
Para calcular la disponibilidad nos fijamos en los registros de error. Con la hoja de cálculo sin
filtros vamos anotando los fallos del equipo, tomando como fallos los bloques de error
consecutivos:
147
En este caso tenemos 3 bloques de error con un total de 1 hora de tiempo de error. Por tanto
podemos decir que el equipo ha tenido 3 fallos con un tiempo de reparación total de 1 hora.
Sabiendo que el tiempo total analizado es de 48 horas podemos calcular los valores MTBF y MTTR:
MTBF = 48 / 3 = 16 ; MTTR = 1 / 3 = 0,33
Aplicamos la fórmula y calculamos la disponibilidad:
Por tanto, del análisis del sensor PING hemos obtenido los siguientes resultados:
De un tiempo total estudiado de 48 horas el equipo ha estado operativo 16 horas (33,3%),

encendido pero con errores durante 1 hora (2%) y apagado durante 31 horas (64,7%). Atendiendo
a su disponibilidad ha tenido 3 fallos con un tiempo total de 1 hora, lo que ofrece un 97% de
disponibilidad sobre el tiempo total de encendido.
148
Tiempo de Respuesta
El análisis del tiempo de respuesta podría realizarse a partir de los datos del sensor PING, pero
para obtener una medida mucho más precisa es conveniente trabajar con envío y recepción de
información mucho más compleja, como por ejemplo la carga de archivos en formato Web. El
sensor HTTP ofrece ese tipo de datos.
Un fichero de datos del sensor HTTP tendrá el siguiente formato:
149
Como se puede comprobar tiene una columna que indica el tiempo de carga y la media del mismo.
Hay que tener en cuenta que la media se hace sobre el tiempo que el terminal está encendido
enviando o recibiendo datos, no sobre el tiempo que está apagado que, obviamente, no ofrecerá
ninguna información (celdas vacías).
Normalmente la media del tiempo de carga suele ser correcta, pero no está exenta de errores de
medida. Si se quiere hacer una media precisa podemos usar el Excel para ese cometido.
Filtramos el documento por la columna de los tiempos de carga, dejamos solo los registros que
tienen datos y los seleccionamos:
150
Copiamos las celdas en la misma columna debajo de las originales para evitar que el filtro nos
separe los datos. Modificamos el formato de las celdas copiadas y le indicamos que son de tipo
‘Numero’ sin decimales:
Todavía no se ha notado ningún cambio a la hora de ofrecer datos sobre las celdas copiadas, y eso
es porque contienen la cadena ‘mseg’ y la hoja de cálculo no puede operar con ellas. Para
eliminarla vamos a reemplazar la cadena por carácter cero. Así las celdas solo se quedarán con los
números y podremos obtener los resultados que deseamos.
151
Sin dejar de seleccionar las celdas vamos al siguiente menú:
Menú Principal  Inicio  Buscar y Seleccionar  Reemplazar
Accedemos a la ventana y buscamos ‘mseg’ reemplazándolo por nada. Pulsamos Reemplazar

Todos.
152
Una vez efectuados los cambios el aspecto que mostrará es el siguiente:
Como se puede comprobar el programa ya hace los cálculos automáticamente para los registros
seleccionados, ofreciendo el Promedio, el Recuento y la Suma. El dato que buscamos es el
promedio, que será más exacto que el ofrecido por el informe, ya que éste último suele tener
asociado un margen de error acumulado.
De esta forma obtenemos la media del tiempo de carga, y por tanto, el tiempo de respuesta del
terminal analizado.
153
Fiabilidad
Se define la fiabilidad como el porcentaje de tiempo sin errores en la transmisión y entrega de la

información. Este tipo de indicador es derivado del indicador de disponibilidad, pero solo es
relativo al tiempo en el cual el equipo está operativo, es decir, encendido y sin errores de
conexión. Evidentemente este indicador (al igual que el de la disponibilidad) no solo implica al
propio terminal, sino también a los componentes intermedios que hacen que esté correctamente
conectado a la red (nodos, DCEs, NIC, etc...).
El análisis de la fiabilidad lo podemos extraer de los cálculos realizados para la disponibilidad. La

fiabilidad sería el porcentaje del tiempo en el cual el equipo está encendido y operativo, es decir
sin errores. Aplicado para el ejemplo anterior de la disponibilidad los datos obtenidos fueron los
siguientes:
Tiempo total: 48 h  100%

Tiempo operativo: 16 h  (16*100)/48 = 33,3%
Tiempo de error: 1h  (1*100)/48 = 2%
Tiempo apagado: 48-16-1= 31h  (31*100)/48=64,7%
De aquí vemos que del tiempo que el terminal estuvo encendido (17 horas) se repartió entre 16
horas operativo y 1 hora de error. Calculamos por tanto la fiabilidad aplicando la ecuación:
154
ANÁLISIS DE INDICADORES ORIENTADOS A EFICIENCIA
Rendimiento
El rendimiento de una red viene definido por la capacidad de la misma de realizar las
transmisiones de datos entre sus componentes con una velocidad y cobertura adecuada a los
parámetros físicos que la componen. Es decir, que si tenemos una red local con componentes de
fibra óptica no tengamos una velocidad y cobertura equivalentes a una red local de par trenzado,
por ejemplo.
Este indicador afecta por tanto a todos los componentes que forman parte de la transmisión de
datos: nodos, conectores, DCEs, DTEs, NICs, tipo de cable, elementos de interconexión, sistemas
inalámbricos, sistemas de canalizado, etc... Cualquiera de ellos puede ser responsable de un
deficiente rendimiento, aunque desde el punto de vista de la monitorización el indicador más
fiable es el Sensor de Red, ya sea a través de tarjeta LAN o de un dispositivo Wifi.
Este sensor ofrece información acerca del rendimiento de la conexión de red de un equipo y, por
extensión, de todos los componentes asociados a dicha conexión. Su tabla de datos almacena el
volumen de transferencia, velocidad, cantidad de datos transmitidos y cobertura, diferenciando
además por datos de entrada y salida.
El fichero de informe de red es igual independientemente que se trabaje sobre un dispositivo NIC
de transmisión por cable (una tarjeta de red interna) o un dispositivo NIC de transmisión
inalámbrica (un dispositivo WiFi, interno o externo).
155
La tabla de datos es similar a la siguiente:
Como se puede comprobar solo recoge datos cuando el equipo está transmitiendo o recibiendo
datos en red. Eso no implica que cuando las celdas están vacías el equipo esté apagado: puede
darse la circunstancia de que el terminal esté trabajando pero no esté usando los dispositivos de
red. Por ello un sensor complementario al de red es el de Tiempo de Actividad, que sí registra
exactamente el tiempo que un terminal está activado.
Uno de los índices que mejor evalúa el rendimiento de un dispositivo de red es el de cobertura. La
forma de cálculo del rendimiento por cobertura se realiza de la siguiente forma.
156
Primero filtramos el archivo para que muestre todos los registros que tienen datos, es decir,
descartamos las celdas vacías. Da igual en que columna se filtre: todas indican a la vez cuando se
transmiten datos y cuando no. Cuando tengamos los registros anotamos el recuento y calculamos
el tiempo, que será el tiempo total de actividad en red.
En este caso tenemos 259 registros con un tiempo de chequeo de 5 minutos. Pasando el tiempo a
horas tenemos que:
157
Sin quitar el filtro nos vamos a la última columna, la que nos indica la cobertura. Ahí volvemos a
filtrar, marcando en este caso las casillas de las que queremos calcular el porcentaje. Por ejemplo,
si queremos calcular el porcentaje de cobertura igual o superior al 90% tendremos que indicar que
nos saque los registros con una cobertura al 90% o superior. Anotamos el recuento y calculamos
el tiempo, que será el tiempo con cobertura mayor o igual a la seleccionada.
En este caso tenemos 254 registros con un tiempo de chequeo de 5 minutos. Pasando el tiempo a
horas tenemos que:
158
Ahora solo bastará con calcular el porcentaje aplicando una regla de tres:
Por tanto el terminal ha estado transmitiendo en red con un rendimiento del 98,1% estimando
una cobertura mínima de red del 90%.
159
Utilización
La utilización sirve para medir el rendimiento interno de un componente de la red. Es la media del
porcentaje usado de la capacidad total de un recurso. Implica a todos los sensores que miden el
rendimiento interno de un componente de la red, como por ejemplo, los componentes internos
de un terminal (uso de procesador, disco duro, memoria, etc..). PRTG Network Monitor tiene
varios sensores específicos para cada componente, e incluso, de un mismo componente puede
derivar sensores distintos para chequear valores específicos.
Las tablas de datos de los sensores internos son muy similares, atendiendo a las diferencias de los
componentes que controlan. Pero todas tienen en común una columna de porcentajes totales de
las que sacar su índice de utilización. Por ejemplo, la tabla de sensor del microprocesador es la
siguiente:
160
Hay una columna de Total que ofrece el porcentaje de uso de la CPU, y al final de la misma
también nos da el promedio de todos los registros que no estén vacíos. Filtramos esa columna
dejando solo los registros que tengan datos:
En este caso obtenemos una media de uso del 4% sobre un total de 61 registros. Cada registro
marca los datos obtenidos por hora, por lo que tenemos un tiempo de uso de 61 horas.
161
Sabiendo que, por ejemplo, esta tabla se ha generado estudiando la utilización del terminal
durante 5 días podemos calcular la utilización del componente aplicando reglas de tres:
Tiempo total = 5 dias  en horas  5*24= 120 horas
Calculamos el uso del terminal:
Por tanto deducimos que el terminal se usa solo un 50,83% del tiempo total con una carga de CPU
del 4%.
Este proceso lo podemos repetir para cualquier otro componente interno como por ejemplo la
gestión de la memoria (RAM, Virtual, Caché, etc…).
En el caso del sensor de disco duro lo que se calcula es el porcentaje no usado del espacio interno,
muy útil sobre todo en servidores de datos a fin de prevenir su bloqueo por discos duros dañados
o saturados (llenos). Podemos encontrarnos en el informe datos de más de un disco duro,
dependiendo de las particiones que tenga o de los discos que tengamos instalados.
162
Por ejemplo, la siguiente tabla nos muestra una columna ya filtrada de datos de un disco duro en
un informe realizado durante 48 horas:
De esta tabla podemos deducir varios datos, como por ejemplo el porcentaje de utilización del
disco, tamaño de disco disponible, etc…
Como en el caso de la carga de CPU, sabiendo que, por ejemplo, esta tabla se ha generado
estudiando la utilización del terminal durante 48 horas podemos calcular la utilización del disco
duro aplicando reglas de tres.
163
En este caso obtenemos una media de disco disponible del 91% sobre un total de 66 registros.
Cada registro marca los datos obtenidos cada 5 minutos, por lo que tenemos que calcular su uso
en horas:
Tiempo de uso = (66*5)/60= 5,5 horas
Con este dato calculamos el porcentaje de utilización del disco:
Por tanto deducimos que el disco duro se ha usado solo un 11,46% del tiempo total con un espacio
disponible de media del 91%.
164
Seguridad Informática
“El único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado
en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeado de gas
nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no
apostaría mi vida por ello.”
Gene Spafford. Experto en Seguridad Informática de la Universidad Purdue, Indiana, EEUU.
La seguridad informática está definida como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre o un sistema o red informática, cuyos efectos puedan conllevar
daños sobre la información, comprometer su confidencialidad, autenticidad o integridad,
disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
Lo anterior nos conlleva a afirmar que “el objetivo de la seguridad informática será mantener la
Confidencialidad, Integridad y Disponibilidad de la información”.
Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la

seguridad.
Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un

incidente de seguridad.
165
LO QUE DEBEMOS PROTEGER
Desde el punto de vista informático, existen tres tipos de elementos que pueden sufrir amenazas:
hardware, software y datos. El más sensible, y en el que se basa casi toda la literatura sobre
seguridad, son los datos, ya que es el único elemento que depende exclusivamente de la
organización.
Es decir, tanto el hardware como el software, si en la peor de las situaciones se pierden, siempre
se pueden adquirir y/o instalarlos; pero los datos pertenecen a la organización y nadie puede, en
el caso de pérdida, proporcionarlos.
Definimos dato como “la unidad mínima con la que compone cierta información”. La Información
“es una agregación de datos que tiene un significado específico más allá de cada uno de éstos”, y
tendrá un sentido particular según como y quien la procese. La información tiene las siguientes
características:
166
DE QUÉ SE DEBE PROTEGER
Esta pregunta es tan amplia como su respuesta. Hay muchas clasificaciones, pero la mayoría
tienen un punto de vista en común: nos protegemos de las personas. El factor más importante que
incita a las personas cometer actos contra los pilares de la seguridad informática es, sin ninguna
duda, el poder. Este poder reside en los datos y en la información. Nuestros atacantes, podemos
clasificarlos como factores humanos y factores no humanos.
Factores Humanos Externos
Al hablar de factores humanos, incluimos al software y/o malware, ya que los mismos fueron
ideados y creados por personas. El personal o los ex-empleados, son los grupos más poderosos y
los que más pueden sacar provecho de los datos. Otros que se pueden mencionar son, hackers,
crackers, lamers, script-kiddie, intrusos por paga, los cyberterroristas, software con errores,
puertas traseras, entre otros métodos
167
Hacker: es el neologismo utilizado para referirse a un EXPERTO en varias o alguna rama

técnica relacionada con la informática: programación, redes de computadoras, sistemas
operativos, hardware de red/voz, etc.
El término “hacker” trasciende a los expertos relacionados con la informática, para

también referirse a cualquier profesional que está en la cúspide de la excelencia en su
profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona
el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.
Un buen hacker se apunta lo aprendido y no lo difunde.
El Hacker es alguien compulsivo y obsesivo por acumular conocimientos. Es una persona

normal, con amplios conocimientos en informática, electrónica y telecomunicaciones. Es
extrovertido e investiga todo lo relacionado con la electrónica y la informática. Un buen
Hacker prueba y modifica las cosas que tiene entre sus manos y se pasa largas horas
pensando en ello. Existen dos tipos de Hackers, los Hackers en sí y los Hardware Hackers.
Cracker: viene del inglés “crack” (romper) y justamente es lo que ellos hacen. Saben más o
menos lo mismo que los hackers pero no comparten la ética. Por consiguiente, no les
importa romper una arquitectura o sistema una vez dentro, ni tampoco borrar, modificar o
falsificar algo; es por eso que la teoría habla de que: “los hackers son buenos y los crackers
son malos”.
Phreaker: es una persona que con amplios conocimientos de telefonía puede llegar a
realizar actividades no autorizadas con los teléfonos, por lo general celulares. La realidad
indica que los Phreakers son Cracker de las redes de comunicación. Personas con amplios
conocimientos en telefonía, a veces mayor incluso que el de los mismos empleados de las
compañías telefónicas.
168
Lamer: Se usa la palabra lamer o lammer para hablar en forma despectiva de una persona
que no posee los mismos conocimientos que tienen los expertos, pero que conserva la
misma intención. Más puntualmente, se denomina de esta manera a la persona que quiere
aprender a ser un experto sin siquiera poner esfuerzo en aprender.
Script Kiddie: es un término despectivo utilizado para describir a aquellos que utilizan
programas y scripts desarrollados por otros para atacar sistemas de computadoras y
redes. Es habitual asumir que los script kiddies son adolescentes sin habilidad para
programar sus propios exploits, y que su objetivo es intentar impresionar a sus amigos o
ganar reputación como Pirata Informático. Es quien adopta por negocio la reproducción,
apropiación o acaparamiento y distribución, con fines lucrativos, y a gran escala, de
distintos medios y contenidos (software, videos, música) de los que no posee licencia o
permiso de su autor, generalmente haciendo uso de un ordenador, siendo la de software la
práctica de piratería más conocida.
Delincuentes informáticos: son los ladrones que instalan Keyloggers (Capturadores de

contraseñas por teclado) en los cibercafés de acceso libe a Internet, los que envían
exploits de falsificación de correos para obtener una contraseña, a los que clonan tarjetas
de crédito, a los que extorsionan por medio de E-mails, a los que se dedican al phishing
para robar dinero, etc.
169
Personal interno
Hay que tener en cuenta el papel desempeñado por algunos empleados. En muchos de los
ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria. Así,
podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática
de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales
que pretenden causar algún daño a la organización.
Las amenazas a la seguridad de un sistema, provenientes del personal del propio sistema
informático, rara vez es tomada en cuenta porque se supone un ámbito de confianza muchas
veces inexistente. Generalmente estos ataques son accidentes por desconocimiento o inexistencia
de las normas básicas de seguridad; pero también pueden ser del tipo intencional.
EX-Empleado: este grupo puede estar especialmente interesado en violar la seguridad de

nuestra empresa, sobre todo aquellos que han sido despedidos y no han quedado
conformes; o bien aquellos que han renunciado para pasar a trabajar en la competencia.
Generalmente se trata de personas descontentas con la organización que conocen a la
perfección la estructura del sistema y tienen los conocimientos necesarios como para
causar cualquier tipo de daño.
Curiosos: suelen ser los atacantes más habituales del sistema. Son personas que tienen un
alto interés en las nuevas tecnologías, pero aún no tienen los conocimientos ni experiencia
básicos para considerarlos hackers o crackers. En la mayoría de los casos son estudiantes
intentando penetrar los servidores de su facultad o empleados consiguiendo privilegios
para obtener información para él vedada.
170
Terrorista: Bajo esta definición se engloba a cualquier persona que ataca el sistema para
causar daño de cualquier índole en él; y no sólo a la persona que coloca bombas o quema
automóviles.
Cyberterrorismo: Se trata de la ejecución de un ataque sorpresa por parte de un grupo (o

persona) terrorista con objetivo político utilizando tecnología informática e Internet para
paralizar o desactivar las infraestructuras electrónicas y físicas de una nación, provocando
de este modo la pérdida de servicios críticos.
Factores No Humanos
Las amenazas ambientales, si bien dependiendo de la ubicación geográfica pueden tener más o
menos periodicidad catastrófica, no son hechos que ocurran frecuentemente. Las catástrofes más
comunes son los terremotos, incendios, atentados colaterales, tormentas, etc.
171
FUNDAMENTOS DE SEGURIDAD INFORMÁTICA
Control de la Seguridad
Se encarga de ofrecer seguridad en los ordenadores y en la red para los recursos gestionados,
incluido el propio sistema de gestión. Tipos de amenazas a la seguridad pueden ser:
Contra la Privacidad: sólo deben acceder a la información las personas autorizadas. El

acceso y robo de datos se produce principalmente mediante ataques por intercepción.
Contra la Integridad: la información sólo debe ser modificada por personas autorizadas. La
alteración de datos se produce mediante ataques por fabricación, modificación y
enmascaramiento.
Contra la Disponibilidad: la información solo debe estar disponible para los autorizados. El
bloqueo de acceso se produce mediante ataques por interrupción.
172
También los podemos clasificar dependiendo del tipo de activos de la red al que ataquen: contra el
hardware, el software, las líneas de comunicaciones o los datos. Si nos centramos en las líneas de
comunicaciones podemos distinguir distintos tipos de ataques:
Ataques por Captura de Mensajes: mediante el análisis de tráfico, aunque el contenido de

un mensaje no pueda ser descubierto (criptografía), el simple análisis del flujo de
información (nodos que se comunican y su localización, frecuencia y longitud de los
mensajes) puede aportar algo de información. Estos ataques no alteran la información y
son difíciles de detectar.
Ataques por Modificación de Mensajes: existen dos variaciones.
I. Negación de Servicio: ataque que trata de evitar el normal uso de los recursos de
comunicaciones. Por ejemplo, saturación de la red para conseguir una degradación
de las prestaciones.
II. Enmascaramiento: también llamado “masquerade”. Es la suplantación de la

identidad de un nodo o usuario. Lleva asociado normalmente la captura y
manipulación de los mensajes de autentificación. Deben detectarse y evitar efectos
desastrosos.
No olvidemos que el sistema de gestión se compone también de diferentes aplicaciones y bases de

datos que están soportadas por distintas plataformas hardware, también puede ser el blanco de
violaciones de seguridad. En estos casos pueden existir los mismos ataques, pero la información
de gestión es especialmente sensible dado que de ella depende el normal funcionamiento de la
red.
173
Las funciones de la gestión de la seguridad son las siguientes:
Custodia de la información del sistema de

seguridad de la red: claves, información de
autentificación, información de derechos de acceso,
etc... La gestión de la seguridad debe registrar la
actividad sobre esta información como ayuda para
la recuperación ante ataques exitosos.
Control del acceso a los recursos: Debe

autentificarse al usuario para concederle el acceso a
determinados recursos.
Control del proceso de encriptación: entre agentes

y gestores. Debe gestionarse también para otras
entidades mediante la elección de algoritmo de
encriptación y la distribución de claves.
174
Amenazas por personas físicas
Para poder gestionar mejor la defensa y protección de un sistema es conveniente conocer de

antemano que tipo de amenazas nos podemos encontrar. En primer lugar nos encontramos a las
propias personas que pueden constituir una amenaza para el sistema informático, a saber:
personal de la propia organización, ex-empleados, curiosos, crackers, terroristas, intrusos
remunerados, etc.... Todas ellas podemos clasificarlas como 'atacantes' en dos grupos:
Activos: su objetivo es hacer daño de alguna forma. Eliminar información, modificar o

sustraerla para su provecho. El atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener información de lo que está siendo transmitido. Sus
objetivos son la intercepción de datos y el análisis de tráfico, una técnica útil para obtener
información de la comunicación.
Pasivos: su objetivo es curiosear en el sistema. Los ataques pasivos son muy difíciles de
detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible
evitar su éxito mediante el cifrado de la información.
Sin duda alguna el punto más débil de un sistema informático son las personas relacionadas en
mayor o menor medida con él. Puede ser inexperiencia o falta de preparación, o sin llegar a
ataques intencionados propiamente, simplemente sucesos accidentales. Pero que, en cualquier
caso, hay que prevenir. Entre algunos de los ataques potenciales que pueden ser causados por
estas personas, encontramos:
Ingeniería social: consiste en la manipulación de las personas para que voluntariamente

realicen actos que normalmente no harían.
Shoulder Surfing: consiste en "espiar" físicamente a los usuarios para obtener

generalmente claves de acceso al sistema.
175
Masquerading: consiste en suplantar la identidad de cierto usuario autorizado de un

sistema informático o su entorno.
Basureo: consiste en obtener información dejada en o alrededor de un sistema informático

tras la ejecución de un trabajo.
Actos delictivos: son actos tipificados claramente como delitos por las leyes, como el
chantaje, el soborno o la amenaza.
Atacante interno: la mayor amenaza procede de personas que han trabajado o trabajan
con los sistemas. Estos posibles atacantes internos deben disponer de los privilegios
mínimos, conocimiento parcial, rotación y separación de funciones, etc.
Atacante externo: suplanta la identidad de un usuario legítimo. Si un atacante externo

consigue penetrar en el sistema, ha recorrido el 80% del camino hasta conseguir un control
total de un recurso.
176
Amenazas lógicas
Las amenazas lógicas comprenden una serie de programas que pueden dañar el sistema
informático. Y estos programas han sido creados de forma intencionada para hacer daño
(software malicioso o malware) o por error (bugs o agujeros). Algunas de las amenazas con las que
nos podemos encontrar:
Software incorrecto: son errores de programación (bugs) y los programas utilizados para
aprovechar uno de estos fallos y atacar al sistema son los exploits. Es la amenaza más
habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin tener grandes
conocimientos.
Exploits: son los programas que aprovechan una vulnerabilidad del sistema. Son
específicos de cada sistema operativo, de la configuración del sistema y del tipo de red en
la que se encuentren. Puede haber exploits diferentes en función del tipo de
vulnerabilidad.
Herramientas de seguridad: pueden ser utilizadas para detectar y solucionar fallos en el

sistema o un intruso puede utilizarlas para detectar esos mismos fallos y aprovechar para
atacar el sistema. Herramientas como Nagios o PRTG Network Monitor pueden ser útiles
pero también peligrosas si son utilizadas por crackers buscando información sobre las
vulnerabilidades de un host o de una red completa.
Puertas traseras: durante el desarrollo de aplicaciones los programadores pueden incluir

'atajos' en los sistemas de autenticación de la aplicación. Estos atajos se llaman puertas
traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos. Si
estas puertas traseras, una vez la aplicación ha sido finalizada, no se destruyen, se está
dejando abierta una puerta de entrada rápida.
177
Bombas lógicas: son partes de código que no se ejecutan hasta que se cumple una
condición. Al activarse, la función que realizan no está relacionada con el programa, su
objetivo es completamente diferente.
Virus: secuencia de código que se incluye en un archivo ejecutable (llamado huésped), y

cuando el archivo se ejecuta, el virus también se ejecuta, propagándose a otros programas.
Gusanos: programa capaz de ejecutarse y propagarse por sí mismo a través de redes, y

puede llevar virus o aprovechar bugs de los sistemas a los que conecta para dañarlos.
Caballos de Troya: los caballos de Troya son instrucciones incluidas en un programa que
simulan realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones con el
objetivo de ocultar la presencia de un atacante o para asegurarse la entrada en caso de ser
descubierto.
178
Spyware: programas espía que recopilan información sobre una persona o una
organización sin su conocimiento. Esta información luego puede ser cedida o vendida a
empresas publicitarias. Pueden recopilar información del teclado de la víctima pudiendo
así conocer contraseña o nº de cuentas bancarias o pines.
Adware: programas que abren ventanas emergentes mostrando publicidad de productos y

servicios. Se suele utilizar para subvencionar la aplicación y que el usuario pueda bajarla
gratis u obtener un descuento. Normalmente el usuario es consciente de ello y da su
permiso.
Spoofing: técnicas de suplantación de identidad con fines de enmascaramiento.
Phishing: se intenta conseguir información confidencial de forma fraudulenta (conseguir

contraseñas o pines bancarios) haciendo una suplantación de identidad. Para ello el
estafador se hace pasar por una persona o empresa de la confianza del usuario mediante
un correo electrónico oficial o mensajería instantánea, y de esta forma conseguir la
información.
Spam: recepción de mensajes no solicitados. Se suele utilizar esta técnica en los correos
electrónicos, mensajería instantánea y mensajes a móviles.
Programas replicantes o bacterias: programas que no hacen nada, solo se reproducen

rápidamente hasta que el número de copias acaba con los recursos del sistema (memoria,
procesador, disco, etc.).
Técnicas “salami”: robo automatizado de pequeñas cantidades dinero de una gran

cantidad origen. Es muy difícil su detección y se suelen utilizar para atacar en sistemas
bancarios.
179
Amenazas físicas
Dentro de las amenazas físicas podemos englobar cualquier error o daño en el hardware que se
puede presentar en cualquier momento. Por ejemplo, daños en discos duros, en los procesadores,
errores de funcionamiento de la memoria, etc. Todos ellos hacen que la información o no esté
accesible o no sea fiable.
Otro tipo de amenazas físicas son las catástrofes naturales. Por ejemplo hay zonas geográficas del
planeta en las que las probabilidades de sufrir terremotos, huracanes, inundaciones, etc, son
mucho más elevadas. En estos casos en los que es la propia Naturaleza la que ha provocado el
desastre de seguridad, no por ello hay que descuidarlo e intentar prever al máximo este tipo de
situaciones.
Hay otro tipo de catástrofes que se conocen como de riesgo poco probable. Dentro de este grupo
tenemos los ataques nucleares, impactos de meteoritos, etc. y que, aunque se sabe que están ahí,
las probabilidades de que se desencadenen son muy bajas y en principio no se toman medidas
contra ellos.
Las amenazas físicas las podemos agrupar en las producidas por:
Acceso físico: hay que tener en cuenta que cuando existe acceso físico a un recurso ya no
existe seguridad sobre él. Supone entonces un gran riesgo y probablemente con un
impacto muy alto. A menudo se descuida este tipo de seguridad. El ejemplo típico de este
tipo es el de una organización que dispone de tomas de red que no están controladas.
Radiaciones electromagnéticas: sabemos que cualquier aparato eléctrico emite

radiaciones y que dichas radiaciones se pueden capturar y reproducir, si se dispone del
equipamiento adecuado. Por ejemplo, un posible atacante podría 'escuchar' los datos que
circulan por el cable telefónico. Es un problema que hoy día con las redes Wi-Fi
desprotegidas, por ejemplo, vuelve a estar vigente.
180
Desastres naturales: respecto a terremotos el riesgo es reducido en nuestro entorno, ya

que España no es una zona sísmica muy activa. Pero son fenómenos naturales que si se
produjeran tendrían un gran impacto y no solo en términos de sistemas informáticos, sino
en general para la sociedad. Siempre hay que tener en cuenta las características de cada
zona en particular.
Desastres del entorno: dentro de este grupo estarían incluidos sucesos que, sin llegar a ser
desastres naturales, pueden tener un impacto igual de importante si no se disponen de las
medidas de protección listas y operativas. Puede ocurrir un incendio o un apagón y no
tener bien definidas las medidas a tomar en estas situaciones o simplemente no tener
operativo el SAI que debería responder de forma inmediata al corte de suministro
eléctrico.
Como se puede comprobar, evaluar y controlar permanentemente la seguridad física del edificio
que alberga el CPD (Centro de Proceso de Datos) es la base para comenzar a integrar la seguridad
como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y
acceso físico permite:
Disminuir siniestros.
Trabajar mejor manteniendo la sensación de seguridad.
Descartar falsas hipótesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
Las distintas alternativas enumeradas son suficientes para conocer en todo momento el estado del
medio en el que se trabaja y así tomar decisiones en base a la información ofrecida por los medios
de control adecuados. Estas decisiones pueden variar desde el conocimiento de la áreas que
recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
181
PRINCIPIO DE DEFENSA EN PROFUNDIDAD
Consiste en el diseño e implantación de varios niveles de seguridad dentro del sistema informático
de la organización. De este modo si una de las “barreras” es franqueada por los atacantes,
conviene disponer de medidas de seguridad adicionales que dificulten y retrasen su acceso a
información confidencial o el control por su parte de recursos críticos del sistema.
Etapas de la seguridad de un sistema
La seguridad solo no consiste, básicamente, en evitar las intrusiones en nuestro sistema. Como
dice el dicho “Más vale prevenir que curar”, debe tener en cuenta otros factores que ayudan a
mejorar la seguridad: detectar cuándo se produce una intrusión, poder restaurar nuestro sistema
y poder identificar las acciones que ha realizado un intruso. Según esto, también se puede definir
la seguridad de un sistema informático como los mecanismos de prevención, detección,
restauración y análisis que se lleven a cabo para garantizar la seguridad del sistema.
Prevención: En esta etapa se toman las acciones necesarias para prevenir una posible
intrusión. Estas acciones se pueden realizar tanto a nivel de software (actualización del
sistema), a nivel hardware (p.e. asegurar físicamente nuestro servidor) o de red (p.e.
filtrado de puertos).
Detección: Si por desgracia se produce una intrusión, es recomendable detectar el

momento en que se produce, y tomar las medidas necesarias para que no pueda dañar
nuestro sistema (filtrar puertos, apagar el equipo, etc.).
Restauración: una vez que nuestro sistema ha sido atacado, entonces es necesario
restaurarlo a partir de las copias de seguridad realizadas anteriormente.
182
Análisis Forense: permite determinar las acciones que ha realizado nuestro atacante:
desde ver qué agujeros de seguridad ha utilizado para entrar en nuestro equipo, hasta ver
las acciones que ha realizado. De esta forma puede asegurar el sistema ante posibles
ataques futuros.
La seguridad en redes
Es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de
procedimientos basados en una política de seguridad tales que permitan el control de lo actuado.
La seguridad de redes es un nivel de seguridad que garantiza que el funcionamiento de todas las
máquinas de una red sea óptimo y que todos los usuarios de estas máquinas posean los derechos
que les han sido concedidos, esto puede incluir:
Evitar que personas no autorizadas intervengan en el sistema con fines malignos.

Evitar que los usuarios realicen operaciones involuntarias que puedan dañar el sistema.
Asegurar los datos mediante la previsión de fallas
Garantizar que no se interrumpan los servicios.
Aún así también es necesario concienciar a los usuarios de los peligros de errores involuntarios,
que son aquellos relacionados con el uso descuidado del equipo por falta de entrenamiento o de
concienciación sobre la seguridad. Entre las más comunes podemos citar:
Borrar sin querer parte de la información

Dejar sin protección determinados ficheros básicos del sistema.
Dejar pegado a la pantalla un post-it con nuestro password u olvidarnos de salir del
sistema.
183
Ataques activos en una red
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de
un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de

recursos informáticos y de comunicaciones.
Explotar bugs del software: utilizar fallos de seguridad en el software para atacar un
sistema.
Romper contraseñas: por fuerza bruta o ataques basados en diccionarios que permiten
obtener las contraseñas del sistema o de un determinado servicio.
Barridos de ping: utilización del protocolo ICMP para determinar los equipos activos de
una red.
DNS Spoofing: Falsificación de una entrada DNS que apunta a un servidor no autorizado.
Denegación de Servicio (DOS): consiste en saturar un sistema para impedir la utilización

correcta del mismo.
Hijacking: permite a un usuario robar una conexión de un usuario que ha sido

autentificado en el sistema.
Man in the middle: a través de un ataque por spoofing el atacante se sitúa en medio de la
comunicación entre varios equipos para realizar otros ataques como sniffer, spoofing,
phising etc.
184
Navegación anónima: No se considera directamente un ataque pero la suelen utilizar los

atacantes para realizar sus fechorías. Se denomina navegación anónima cuando un usuario
utilizar diferentes servidores Proxy para ocultar su dirección IP.
Sniffer: programa o equipo que registra todo el tráfico de una red. Se utiliza especialmente
para obtener las contraseñas de los sistemas.
Inyección SQL: ataque que consiste en modificar las consultas SQL de un servidor web
para poder realizar consultas SQL maliciosas.
LFI: ataque informático que consiste en hacer que un servidor ejecute un script que
está alojado en el mismo servidor.
RFI: ataque informático que consiste en hacer que un servidor ejecute un script
(macro) que está alojado en una máquina remota.
XSS: consiste en engañar al servidor web para que ejecute un script malicioso en el
navegador del cliente que visita una determinada página.
Keylogger: software o hardware que registra todas las pulsaciones de teclado que se
realizan en el sistema.
Rootkit: software que se instala en un sistema y oculta toda la actividad del atacante.
185
PROTECCIÓN BÁSICA DE UNA RED
El número de aparatos que están conectados a Internet cada vez es mayor. Si hace 10 años solo
nuestro ordenador tenía acceso a la Red, ahora tenemos el televisor, las consolas, los teléfonos
móviles, la tableta, el MP4… y algunos tienen hasta la nevera. Por eso no solo nos tenemos que
preocupar por la seguridad del PC, sino de proteger toda la red de dispositivos. Y para ello es
conveniente seguir estas recomendaciones.
Actualizar el sistema operativo rápidamente: Casi siempre que Microsoft o Apple publican
una actualización de su sistema operativo, incluyen una mejora de seguridad. Las dos
compañías saben muy bien cuando alguno de sus productos está siendo atacado por algún
flanco en concreto, así que rápidamente arreglan el problema. Por eso es conveniente
mantener actualizado el software de nuestros equipos. Así nunca nos llevaremos una
sorpresa desagradable.
186
Protege tu Wifi: la red inalámbrica es el punto más vulnerable y a la vez es el más

importante para la seguridad. Si un hacker tiene acceso a ella, podría desde ver los archivos
que tenemos almacenados en el ordenador hasta tomar control de él y activar la webcam
para espiarnos.
Así que lo primero que hay que hacer es activar la encriptación WPA y WPA2 en el router,
así como cambiar la contraseña. Además, es recomendable actualizar el firmware del
aparato, para evitar problemas de seguridad. Para realizar estas dos operaciones hay que
ponerse en contacto con el operador de telefonía con el que hayamos contratado Internet
para que nos expliquen cómo acceder al menú de configuración del router.
187
Instalar un antivirus y mantenerlo actualizado: los virus ya no llegan solo por el correo
electrónico ni a través de páginas webs sospechosas. Los hackers han desarrollado técnicas
cada vez más sofisticadas para entrar en nuestro PC. Por ejemplo, ahora utilizan las
memorias USB o acceden a través de nuestra red WIfi. Para protegernos de ellos, nada
mejor que instalar un antivirus y mantenerlo actualizado. Uno de los más usados es Panda
Cloud, un antivirus on-line gratuito que se mantiene activo y actualizado
permanentemente. Y mucho ojo con los dispositivos Android: es el sistema operativo para
móviles y tabletas más utilizado en el mundo y por lo tanto, el más atacado. Así que es
conveniente instalar programas de seguridad también en ellos, como Avast y Avira.
Tomarse en serio las contraseñas: crear contraseñas fuertes (más de ocho caracteres, con
mayúsculas, minúsculas, números y símbolos) y olvidarse de usar la misma en varias webs.
No hay nada más peligroso.
188
Actualizar los programas que se tengan instalados: lo mismo que en el punto anterior,
pero con el software de terceros. Oracle Java y Adobe Flash Player suelen estar en todos
los ordenadores, y por eso mismo los delincuentes buscan debilidades para poder colarse
en ellos. Si mantenemos estos programas desactualizados, estaremos corriendo un serio
peligro. Así que hay que estar atentos y cuando nos salte el aviso, permitir la descarga de la
nueva actualización. ¿Y si se nos ha escapado y hemos dicho ‘no’? No hay que preocuparse.
Programas como Secunia escanean nuestro disco duro y nos dicen si todo el software está
al día.
Renovar el hardware: lo mismo que ocurre con el software pasa con el hardware. Un
ordenador de hace 10 años es mucho más vulnerable que uno actual. Y lo mismo con los
smartphones de hace 5 años. Y si se tira, no olvidar romperlos, o borrarlos por completo,
para que nadie que los encuentre pueda acceder a nuestros datos a través de ellos.
189
Cuidado en las redes sociales: si damos información sobre cuál es nuestro destino favorito
de vacaciones, el nombre de nuestra mascota o nuestro color favorito, estaremos dando
las respuestas a muchas de esas preguntas de seguridad de servicios como iCloud o
Dropbox. Y si no, que se lo pregunten a las famosas cuyas fotos íntimas fueron filtradas en
Internet hace apenas unos meses: los hackers llegaron a ese botín respondiendo de forma
adecuada a las preguntas de seguridad de sus cuentas de iCloud.
No bajar la alerta: bloquear el acceso a páginas web sospechosas. Si se quiere descargar

software, que el archivo descargado sea un enlace a la página oficial o un fichero
comprimido, y no uno ejecutable. No caer en las trampas del phising: tu banco nunca te va
a pedir las contraseñas a través de un e-mail.
190
Olvidarse de los programas a los que ya no dan servicio: Microsoft decidió el año pasado
dejar de actualizar Windows XP. Esto significa que si los hackers descubren una puerta de
atrás en los ordenadores en los que está instalado para colarse, no hay nadie que lo vaya a
impedir. Así que mejor saltar a una nueva versión que si está actualizada y vigilada, y
olvidarnos de este problema.
Activar la autentificación en dos pasos: por ejemplo, ir al banco y pedir que cada vez que
utilices tu tarjeta de crédito en Internet te envíen un mensaje de texto al móvil con un
código para permitir la operación. Haz lo mismo en Facebook y en tu cuenta de correo:
cada vez que un nuevo dispositivo o navegador quiera acceder a tu cuenta, que te avisen al
teléfono y tengas que introducir una nueva clave, además de tu contraseña habitual.
191
MEDIDAS DE PROTECCIÓN
Existen multitud de medidas de seguridad que pueden evitar en lo posible todos estos riesgos o,
en el peor de los casos, mitigar sus efectos. Algunas de estas medidas son simplemente programas
que “combaten” contra el malware, mientras que otras son políticas de seguridad que imponen la
forma en la que deben trabajar los usuarios para evitar estos riesgos.
Existen varios métodos de proteger una red LAN mediante el software. Si la red está cableada
directamente al router podemos instalar un firewall físico que contenga el software de protección
entrada a la red desde Internet, aunque ese sistema no protege el acceso malicioso desde dentro
de la propia red.
Si el sistema posee un servidor se puede instalar el firewall en el servidor. Normalmente suelen

instalarse conjuntamente con un firewall externo para aumentar la protección del sistema de
ataques tanto desde dentro como desde fuera de la red.
Los antivirus se instalan en los host de la red. Si se dispone de un servidor el trabajo es más
sencillo, ya que se puede implementar como aplicación actualizable desde el propio servidor. SI no
es así normalmente se realiza de forma manual mediante enlaces al terminal que lo tenga
almacenado y notificaciones por correo interno.
Entre el software utilizado para mejorar la seguridad de un sistema destaca:
Antivirus: programas para eliminar los virus del sistema, e impedir su entrada.
Firewall (cortafuegos): programas para evitar la acción de los hackers.
Software criptográfico: programas para mejorar la confidencialidad de los usuarios.
Antispyware: programas que se usan para proteger el sistema contra software espía.
192
SOFTWARE DE SEGURIDAD
Antivirus y Antispyware
Los antivirus son programas informáticos que monitorizan el sistema para evitar la entrada de
virus conocidos, y para eliminar los que ya hayan penetrado en el sistema. El antivirus debe
actualizarse periódicamente para recibir datos sobre los nuevos virus existentes. Hay una
constante guerra entre los programadores de virus y los programadores de antivirus. Son el
sistema inmunológico del ordenador ya que si no tenemos anticuerpos contra un tipo de virus, no
podemos defendernos.
En el ordenador ocurre lo mismo: si no tenemos el antivirus actualizado, éste no reconocerá a los

nuevos virus y no podrá defenderse. Actualmente suelen venir implementados con versiones
AntiSpyware que se complementan, protegiendo el sistema también de software espía.
Los antivirus actuales detectan y destruyen cualquier tipo de malware: Gusanos, troyanos,
spyware, rootkits, … Existen antivirus comerciales (Norton, Panda, McAffee, Kaspersky, …), pero
también gratuitos (ClamWin).
193
Firewall
Un firewall o cortafuegos es un programa que controla todas las conexiones que establece nuestro
ordenador con otras máquinas de Internet. Son el muro que tienen que saltar los hackers. En
definitiva tiene dos niveles de actuación, ya que controla quién se puede conectar a nuestro
ordenador y cómo en las peticiones de entrada, así como controla dónde se puede conectar
nuestro ordenador en las peticiones de salida. Existen principalmente dos tipos. La mayoría de los
cortafuegos actuales combinan estas dos técnicas. En cuanto a su funcionamiento los podemos
dividir en tres categorías en función de su sistema de filtrado:
Filtrado por paquetes: controla las conexiones en función del tipo de paquetes
TCP/IP que circulan (a qué puerto de qué máquina me puedo conectar, …).
Filtrado por aplicación: controla las conexiones en función de qué programa las creó
(¿tiene sentido que Word intente enviar información a través de Internet?).
Sistema de Detección de Intrusos (IDS): es un tipo de cortafuegos más avanzado que

permite identificar los ataques potenciales que está sufriendo el sistema.
Hay cortafuegos comerciales (ZoneAlarm, BlackIce, …) y también gratuitos (Comodo, IPTables, …).
194
Software Criptográfico
La criptografía es la ciencia que estudia la forma de cifrar la información para que sólo pueda ser
escrita y leída por las personas a quienes va dirigida. Garantías que nos da el uso de la criptografía:
La información no va a poder ser leída por terceras personas.

La información ha sido escrita por quien dice haberlo hecho (si no, no sabría escribirla).
No es infalible, pero incrementa muchísimo la seguridad.
La usamos muchas veces sin darnos cuenta:
HTTPS: protocolo para ver páginas web encriptadas.

Certificados X.509: certificado de autenticidad de un sitio web.
PGP: programa criptográfico que garantiza la confidencialidad de la información, y al
mismo tiempo proporciona un sistema de firmas electrónicas que permite garantizar la
autenticidad de la información.
195
VENTAJAS DE USAR UN FIREWALL FÍSICO
Un firewall o físico es un dispositivo de seguridad informática situado entre una red interna e
Internet. Puede trabajar a nivel de hardware y software para evitar accesos no autorizados desde
fuera de la red de la empresa. Vamos a ver ahora las ventajas al usar un dispositivo de protección
firewall en la red de la empresa. Y más aún sabiendo que es una de las formas más efectivas de
protección contra los piratas informáticos desarrollados y que todavía funcionan en Internet.
Este firewall se usa para proteger la red interna de accesos no autorizados que se pueden intentar
a una red de área local (LAN) desde Internet y con la intención de explotar vulnerabilidades en los
sistemas de la red interna. Estos firewalls pueden “ocultar” la identidad de los equipos como
medio de prevención ante los intentos de escaneo o intrusión de las computadoras por los
hackers, por ejemplo; no devolviendo el tipo de información que necesitan estos hackers para
acceder a los equipos.
196
La seguridad debe ser una de las principales preocupaciones cuando una red privada se conecta a
Internet. Para conseguir un nivel de protección aceptable, se necesita una política de seguridad
para evitar que usuarios sin autorización tengan acceso a los recursos de la red privada y
protegerla contra la exportación sin autorización de información confidencial.
Los firewalls físicos suelen ser más difíciles y caros de configurar y administrar que los firewalls de
software. Impide accesos de cualquier intruso externo ya que están incorporados en el router que
se encuentra entre un ordenador y una puerta de enlace a Internet. Todos los paquetes son
filtrados por el servidor de seguridad de hardware para confirmar la información entre las
direcciones de origen y de destino. Esta información después se compara con un grupo de reglas
definidas por el administrador para determinar si los paquetes deben ser reenviados o
bloqueados.
197
Llevan un programa de configuración similar al de router, por lo que su acceso por lo general suele
hacer desde IP. De esta forma se puede configurar para interceptar cada una de las solicitudes que
recibe del ordenador para que se pueda conectar a Internet. Luego se encarga de comprobar si la
solicitud es válida o no. Estos firewalls se pueden configurar también para llevar un control sobre
las solicitudes salientes sospechosas. Los firewalls físicos permiten configurar la ejecución segura
de archivos y bloquear las aplicaciones no seguras que detecte en el sistema así como compartir
impresoras. Su gran ventaja es la de liberar el trabajo de cortafuegos tanto de los equipos de red
como del servidor (si está instalado) mejorando la velocidad de transferencia dentro de la red
local.
198
Un firewall es como un cuello de botella por el que todo el tráfico de Internet entrante y saliente
debe pasar, permitiendo controlar el tráfico. Un buen cortafuegos bien configurado y
administrado evita en gran medida que los hackers lo superen y por supuesto ayuda a mantener a
salvo los datos confidenciales de la red interna. Un firewall trabaja como un policía identificando
cada paquete de información antes de que este le permita el acceso. En general sus funciones son
las siguientes:
Monitorización y registro de los servicios utilizados para usar Internet, FTP y otros
protocolos.
Permite definir una “barrera” manteniendo a un lado a los usuarios sin autorización.
Prevención de los ataques hacia tu red privada desde otras redes externas.
Control de la seguridad de tu red y los equipos individualmente cuando se produce
cualquier actividad sospechosa.
Control del uso de Internet bloqueando o desbloqueando material inapropiado o
apropiado.
Aunque la red local no esté conectada a Internet es necesario establecer una política de seguridad
para la red interna y así administrar el acceso de los usuarios a sitios específicos de la red y
proteger la información sensible. Un firewall puede entonces ser configurado para proteger ese
acceso a ciertos puntos de la red local.
199
200
Glosario de términos
de Monitorización
A menudo una de las cosas que más cuesta entender cuando se comienza con monitorización son
los términos que se manejan. Si se viene de otro sistema de monitorización o si no se conoce
ninguno anterior, resulta bastante confuso. El propósito de este glosario es complementar las
definiciones vistas en el manual de forma pormenorizada algunas definiciones de términos
comúnmente empleados en monitorización.
Acción
La acción es una de las partes de la alerta. Las acciones son instancias (es decir, la
particularización) de un comando. Esta particularización hace que las acciones incluyan
parámetros específicos. Por ejemplo, sobre el comando E-Mail podríamos definir las acciones
Enviar un correo al administrador y Enviar un correo a la lista de distribución del proyecto,
definiendo algunos de los campos que tenía el comando, especificando el email del administrador
o el de la lista de correo de distribución, siguiendo el ejemplo anterior.
Agente
Un agente en monitorización es una entidad organizativa, que generalmente suele ser una
maquina, sistema o host (un ordenador). El agente contiene información, y pertenece a un grupo
(a un único grupo). Un agente también puede ser una unidad organizativa, diferente de un
ordenador, puede ser un edificio, un vehículo o cualquier otra cosa que contiene información. El
agente contiene información en diferentes módulos. El agente puede estar relacionado con otros
agentes, mediante una relación de parentesco (un agente puede ser hijo de otro agente). El
agente por tanto es una unidad organizativa dentro de la monitorización, un concepto donde se
almacena información otras unidades de información llamadas módulos.
201
Agente software
Aunque se llama igual que el concepto anterior, el agente software hace referencia al programa
que se instala en los ordenadores para recoger información de forma automática, ese programa es
el llamado "Agente de Monitorización" que se instala en todo tipo de sistemas: Windows, UNIX,
etc. El agente software es una aplicación que genera un fichero de datos que se envía al servidor
de monitorización a través de la red, generalmente usando el protocolo SNMP.
Alerta
Es una instancia de una plantilla de alerta asociada a un módulo concreto. Puede llevar asociadas
distintas acciones y tiene dos estados posibles, disparada o no disparada. La alerta en
monitorización, es lo que hace que cuando ocurra algo, por ejemplo cuando se cae un servidor, el
agente lo interprete y envíe un email o un SMS a una persona indicándole lo sucedido.
Base de datos
Es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente
para su posterior uso. Monitorización utiliza bases de datos relacionales, en las que el lugar y la
forma en que se almacenen los datos no tienen relevancia y se accede a ellos a través de un
lenguaje estructurado de consultas estándar (SQL).
Comando
Es otro componente de las alertas de monitorización. Exceptuando los comandos internos de
monitorización, que permiten generar eventos, enviar emails etc. un comando representa un
programa o utilidad externa que el servidor ejecuta.
Consola
La consola, o consola WEB es la aplicación WEB que permite gestionar la monitorización mediante
WEB.
202
Esquema de base de datos

Describe la estructura de una base de datos en un lenguaje formal. En una base de datos
relacional el esquema define las tablas, los campos de cada tabla y las relaciones entre campos y
tablas.
Estado
Normalmente nos referimos al estado de un módulo. Nos da información acerca del módulo en el
momento actual. El estado de un agente viene dado por el peor de los estados de sus módulos en
conjunto (si tiene 5 modulos y uno está en CRITICAL, dos en WARNING y dos en NORMAL) el
estado del módulo sería CRITICAL. Lo mismo se aplica para el estado de un grupo.
Estado NORMAL, CRITICAL, WARNING

NORMAL, WARNING y CRITICAL son los tres estados posibles de un módulo. Los estados WARNING
y CRITICAL suelen indicar condiciones de error de distinta gravedad. En monitorización permite
definir de forma independiente distintos umbrales para los estados WARNING y CRITICAL de cada
módulo.
Estado desconocido
Decimos que un módulo está en estado desconocido si no recibe datos desde hace más del doble
de su intervalo. Es decir, un módulo que envía datos cada 5 minutos se marca como desconocido
después de 10 minutos sin recibir datos. Sin embargo el módulo sigue conservando su estado
NORMAL, WARNING o CRITICAL en función del último dato que llegase.
Falso positivo/negativo
Cuando un chequeo devuelve un error y éste no se ha producido hablamos de falso positivo.
Cuando no devuelve ningún error y éste se ha producido hablamos de falso negativo. Por ejemplo,
tenemos un falso positivo si un módulo que devuelve 1 cuando un servidor está disponible y 0
cuando no lo está devuelve 1 sin estar el servidor disponible.
203
Ficheros de datos / XML de datos

Un XML es un fichero de datos que generan los agentes software de monitorización. El formato
XML sirve como contenedor de datos, para más información sobre el formato XML, visitar
http://es.wikipedia.org/wiki/Extensible_Markup_Language
Grupo
Un grupo es un elemento organizativo. Los grupos contienen agentes, y los grupos se usan como
referencia para establecer qué cosas puede ver y qué no puede ver un usuario. Por ejemplo,
cuando se define un informe y este está relacionado con un grupo, sólo los usuarios con acceso a
ese grupo pueden ver ese informe.
LCA - ACL
Acrónimo de Access Control List, o Listas de Control de Accesos (LCA en Español), que en
monitorización se definen asignando a un usuario un perfil sobre un grupo.
Monitor
Es un módulo con un estado asociado. En versiones anteriores de monitorización únicamente los
módulos booleanos tenían estado (normal cuando estaban a 1 y crítico cuando estaban a 0).
Actualmente todos los módulos permiten definir umbrales para tres estados diferentes. Cuando
un modulo no tiene información de estado asociado, no sabe cuando ponerse crítico o en warning,
de forma que es simplemente un módulo.
Monitorización asíncrona
Decimos que un módulo es asíncrono cuando devuelve datos en función de su disponibilidad. Por
ejemplo, buscar una cadena en un fichero de log. Si no se encuentra la cadena, el módulo no
devuelve datos. Otro ejemplo muy frecuente es el de los traps SNMP, que sólo se generan cuando
ocurre un error (por ejemplo, fallo en una fuente de alimentación).
204
Monitorización síncrona
Decimos que un módulo es síncrono cuando devuelve datos a intervalos regulares. Por ejemplo,
una medición de temperatura cada 5 minutos.
Módulo o Sensor
Un módulo es una entidad atómica de información que almacena valores (numéricos, o de de tipo
alfanumérico/texto). Cada módulo sólo almacena un tipo de dato, del mismo tipo. Es decir, un
módulo que almacena el caudal de tráfico en un router, solo almacena ese valor (números que se
van incrementando en el tiempo). Los módulos están contenidos dentro de los agentes, y siempre
asociados a un único agente. Un agente puede contener N módulos. Los módulos no están
relacionados entre sí.
Paquete
Un paquete contiene un programa o conjunto de programas empaquetados en un determinado
formato listo para ser instalado en un sistema operativo y versión determinados. Por ejemplo, un
paquete RPM para OpenSUSE Linux.
Perfil
Es un grupo de "permisos" sobre diferentes operaciones posibles en Monitorización: ver un
agente, modificar un agente, asignar alertas, definir informes, gestionar la BBDD, etc.
Plantilla de alerta
Es uno de los tres componentes de las alertas. Define la configuración de una alerta de forma
general (llamaremos alerta propiamente dicha a la instancia de una plantilla). Permite especificar
la condición de disparo, que puede depender del valor o del estado de un módulo, y otros detalles
como el número máximo de veces que se disparará en un intervalo dado o las opciones de
recuperación.
205
Protección Flip/Flop
La protección flip flop de un módulo indica el número de veces que se debe dar la condición de
cambio de estado para que se produzca el cambio de estado. Esto permite proteger a un módulo
de falsos positivos/negativos. Por ejemplo, si sabemos que un módulo devuelve falsos positivos,
pero nunca más de dos seguidos, podemos configurar la protección de flip flop a tres para evitar
que los falsos positivos produzcan cambios de estado.
Shell o línea de comando

Interfaz que permite la introducción de comandos por medio del teclado.
Servidor
El servidor de monitorización es quien procesa la información recolectada de diferentes maneras,
también son los que ejecutan alertas y envían los datos a la base de datos. Hay muchos subtipos
de servidores de Pandora, y cada uno realiza una operación. Los servidores de tipo red, por
ejemplo, realizan pruebas de monitorización remotas (a distancia, mientras que los servidores de
datos, procesan XML recogidos). A veces se habla genéricamente "Servidor" cuando nos referimos
a un sistema, a un ordenador.
Servidor remoto
Servidor que está en red y no es el servidor local.
SNMP
Es el protocolo de transferencia de datos que utilizan los agentes software para enviar datos al
servidor de Monitorización. SNMP es multiplataforma y está diseñado para ser un protocolo
seguro y fácil de usar.
206
SVN / Subversion / Repositorio de código

Es un sistema de control de versiones que guarda un repositorio con las distintas versiones de los
archivos que integran un proyecto a lo largo de su vida. Al conjunto de archivos en un instante del
tiempo dado se le denomina revisión, de modo que dos personas que tengan la misma revisión del
proyecto tendrán dos copias idénticas de los mismos archivos.
Tarball
Al igual que un paquete, contiene un programa o conjunto de programas empaquetados en
formato TAR, pero a diferencia de éste no contiene información sobre cómo instalarlo y en
principio no son específicos para un sistema operativo determinado (aunque es posible el
programa que contenga sí lo sea).
Traps
Son las capturas del agente, los envíos de alerta al gestor cuando se produce un Event-Reporting.
Umbral de alerta (Alert threshold)

Es el intervalo de tiempo en el que aplican las restricciones definidas al configurar la plantilla de la
alerta. Por ejemplo, una plantilla de alertas que defina un umbral de 10 minutos y un número
máximo de alertas de 5, garantiza que en un intervalo de 10 minutos la alerta no se disparará más
de 5 veces. Además, salvo que la recuperación esté configurada, la alerta permanecerá disparada
hasta que venza este intervalo de tiempo.
207
208
Diccionario de
Seguridad Informática
Para quienes no estén familiarizados con las expresiones utilizadas en la seguridad informática,
puede resultar frustrante leer determinados documentos. La complejidad en los términos puede
acabar con la paciencia de cualquiera, y más si el que analiza el texto es un principiante o está
comenzando con esto de la seguridad informática. De ahí que cualquier pequeño diccionario o
glosario de términos relacionados con la seguridad informática es necesario para comprender
cierta terminología.
Amenaza: Situación o evento con que puede provocar daños en un sistema.
Anomalía: No usual o estadísticamente raro.
Anonimato, anonimia: Carácter o condición de anónimo (desconocimiento del nombre o

identidad).
Aplicación engañosa: Aplicación cuya apariencia y comportamiento emulan a una

aplicación real. Normalmente se utiliza para monitorizar acciones realizadas por atacantes
o intrusos.
Ardid, artificio: Implementación de un fallo de seguridad, utilizado bien para comprobar y

demostrar la existencia del fallo, o bien para comprometer el sistema de forma ilícita.
Ataque por interceptación: Estrategia de ataque en la que el atacante intercepta una

comunicación entre dos partes, substituyendo el tráfico entre ambas a voluntad y
controlando la comunicación.
209
Autenticación, autentificación: Proceso de confirmar la identidad de una entidad de

sistema (un usuario, un proceso, etc.).
Autorización: Acción de otorgar el acceso a usuarios, objetos o procesos.
Caballo de Troya, troyano: Programa informático de aspecto inofensivo que oculta en su

interior un código que permite abrir una "puerta trasera" en el sistema en que se ejecuta.
Véase también ("puerta trasera").
Capa de Conexión Segura (SSL): Protocolo creado por Netscape para permitir la
transmisión cifrada y segura de información a través de la red.
Capacidad de ser registrado: Habilidad de relacionar una determinada actividad o evento

con la parte responsable.
Célula de aislamiento, célula acolchada: Sistema o red consistente en una copia parcial de
un sistema real, al que un dispositivo con capacidades de enrutamiento y detección de
intrusiones redirige el tráfico hostil.
Cifrado: Proceso mediante el cual se toma un mensaje en claro, se le aplica una función
matemática, y se obtiene un mensaje codificado.
Cobertura, alcance: Proporción de ataques conocidos que un detector de intrusiones es

capaz de detectar.
Composición: 1. En detección de intrusiones, proceso de combinar información

procedente de distintas fuentes en un flujo de datos coherente. 2. En seguridad
informática, combinar un conjunto de componentes en un sistema para obtener los
atributos de seguridad del sistema, según las propiedades de los componentes.
210
Comprobador de integridad: Herramienta de seguridad que utiliza funciones de resumen

basadas en algoritmos de cifrado para detectar alteraciones en objetos de sistema.
Comprometido, violentado: Estado de un equipo/sistema cuando un intruso ha entrado.
Confianza: Esperanza firme de que un sistema se comporte como corresponde.
Confidencialidad: Requisito de seguridad que indica que el acceso a los recursos de

sistema debe estar limitado exclusivamente a los usuarios con acceso autorizado.
Control de acceso: Limitar el acceso a objetos de acuerdo a los permisos de acceso del
sujeto. El control de acceso puede ser definido por el sistema (Control de accesos
obligatorio, MAC) o por el propietario del objeto (Control de accesos discrecional, DAC).
Control de acceso discrecional (DAC): Política de acceso a los datos en la que el propietario
del objeto, de forma voluntaria (discrecional), concede o deniega el acceso a éste a otros
sujetos. Véase también ("Control de accesos obligatorio").
Control de accesos obligatorio (MAC): Política de acceso a los datos en la que el sistema
comparte de forma obligatoria tanto los objetos como los sujetos. A partir de dicha forma
de compartir los elementos, se establecen unas reglas de acceso. Véase también ("Control
de acceso discrecional").
Correlación: En detección de intrusiones, relación que se establece entre diferentes

fuentes de información.
Cortafuegos (Firewall): Herramienta de seguridad que proporciona un límite entre redes

de distinta confianza o nivel de seguridad mediante el uso de políticas de control de acceso
de nivel de red.
211
Criterio de Evaluación de Sistemas Informáticos Fiables (TCSEC): Conocido comúnmente

como Libro Naranja, describe las propiedades que deben cumplir los sistemas para
contener información sensible o clasificada. Este criterio fue desarrollado por el Centro de
Seguridad Informática Nacional (NCSC).
Denegación de servicio (DoS): Estrategia de ataque que consiste en saturar de información

a la víctima con información inútil para detener los servicios que ofrece. Véase también
("Denegación de servicio distribuida").
Denegación de servicio distribuida (DDoS): Estrategia de ataque que coordina la acción de

múltiples sistemas para saturar a la víctima con información inútil para detener los
servicios que ofrece. Los sistemas utilizados para el ataque suelen haber sido previamente
comprometidos, pasando a ser controlados por el atacante mediante un cliente DDoS.
Véase también ("Denegación de servicio").
Desbordamiento de búfer, desbordamiento de la pila: Técnica que consiste en almacenar

más datos en un búfer de los que puede contener. Los datos que no caben pueden invadir
zonas adyacentes a la del búfer, corrompiéndolas o sobrescribiéndolas. Este método es
ampliamente utilizado para realizar ataques que abren interfaces de comando remotas.
Desbordamiento de la pila: Caso especial del desbordamiento de búfer, en el que el

objetivo es la pila del sistema. Véase también ("pila", "desbordamiento de búfer").
Deslizamiento sigiloso de sesión: Técnica utilizada por un usuario que consiste en

modificar gradualmente su comportamiento para entrenar al detector de anomalías. De
esta forma, se consigue que el detector diagnostique como actividad normal un posible
ataque.
Detección de anomalías: Detección basada en la actividad de sistema que coincide con la

definida como anormal.
212
Detección de intrusiones: Proceso de monitorizar los eventos de un sistema o red en busca

de signos que indiquen problemas de seguridad.
Detección de usos indebidos: Detección basada en la actividad de sistema que coincide

con la definida como mala.
Detector de Intrusiones de Nodo de Red: Detector de intrusiones basado en red que se

instala en una máquina. Esta medida ayuda a solventar problemas como los asociados a
entornos conmutados, o cifrado en las comunicaciones.
Disponibilidad: Requisito de seguridad que implica que la información y los servicios del
sistema continúen en funcionamiento y que los usuarios autorizados puedan acceder a los
recursos cuando lo necesiten, dónde lo necesiten, y en la forma en que lo necesiten.
Dispositivo de escucha de red: Dispositivo, de aspecto externo similar a un concentrador o

un conmutador, que permite a un rastreador interceptar el tráfico de red entre dos
segmentos sin ser detectado. Además, apenas afecta al rendimiento de la red.
Enmascarado: Atacante que accede a un sistema utilizando identificadores de usuario y

contraseñas de usuarios legítimos.
Envoltura, forro, empacador: Software que complementa las características de otro

software para mejorar determinados aspectos como compatibilidad, o seguridad.
Error de Tipo I: En detección de intrusiones, error producido cuando el sistema diagnostica

como ataque una actividad normal. También conocido como falso positivo. Véase también
("falso positivo").
213
Escaneo sigiloso de puertos: Barrido de puertos mediante diversas técnicas con el fin de
evadir los métodos de detección comunes. Algunas de estas técnicas implican un escaneo
intencionadamente lento, o el envío de paquetes especiales aprovechando
particularidades del protocolo. Véase también ("escaneo de puertos").
Escáner o analizador de vulnerabilidades: Herramienta diseñada para llevar a cabo análisis

de vulnerabilidades.
Esteganografía: Arte de transmitir información de modo que la presencia de la misma pase

inadvertida. Se suele hacer camuflando los datos en el interior un texto, imagen, o fichero
multimedia. Proviene de las palabras griegas steganós (cubierto) y graptos (escrito).
Ethernet: Sistema de red de área local de alta velocidad.
Falseamiento, enmascaramiento: Modificación de la identidad de origen real durante una

comunicación. El método más común consiste en alterar directamente la dirección origen
de cada paquete de la comunicación.
Falso negativo: En detección de intrusiones, error producido cuando el sistema diagnostica

como ataque una actividad normal. También conocido como error de tipo I.
Falso positivo: En detección de intrusiones, error producido cuando el sistema diagnostica

como actividad normal un ataque. También conocido como error de tipo II.
Firma, patrón: En detección de intrusiones, patrones que indican los usos indebidos de un
sistema.
Formato de registro binario: Formato de registro utilizado por herramientas basadas en las
librerías "libpcap", como por ejemplo "tcpdump". Se aplica para registrar el tráfico de red.
Algunas de las ventajas del formato binario sobre el formato ASCII son que ocupa menos, y
la información que contiene puede ser accedida en menor tiempo.
214
Función resumen: Función de cifrado que permite detectar cambios en objetos.
Generación de Patrones Probables: Técnica que permite, mediante métodos estadísticos,

predecir eventos futuros basándose en los que ha ya han tenido lugar. En determinadas
circunstancias, si no se cumplen los eventos esperados, hay posibilidades de que se trate
de un ataque.
Gestión de seguridad: Proceso de establecer y mantener la seguridad en un sistema o red

de sistemas informáticos. Las etapas de este proceso incluyen la prevención de problemas
de seguridad, detección de intrusiones, investigación de intrusiones, y resolución. 2. En
gestión de redes, controlar (permitir, limitar, restringir, o denegar) acceso a la red y
recursos, buscar intrusiones, identificar puntos de entrada de intrusiones, y reparar o
cerrar estas posibles vías de acceso.
Gestor de registro de actividades: Componente de sistema encargado de las labores de

registro de actividad.
Gusano: Programa informático que se auto-duplica y auto-propaga. A diferencia que los

virus, suelen estar diseñados para redes.
Identificación de Sistema Operativo: Conjunto de técnicas utilizadas para determinar la

identidad del sistema operativo de un sistema remoto. Generalmente se logra mediante el
envío de determinados datos de red y el posterior análisis de las respuestas recibidas.
Identificación y autenticación (I&A): Mecanismo de seguridad que asigna una identidad

única a cada usuario (identificación) y la comprueba (autenticación).
Inodo, nodo i: Estructura de datos que contiene información sobre cada archivo en
sistemas UNIX. Cada archivo tiene un nodo-i asociado.
215
Integración: En ingeniería de sistemas, combinación de componentes en una entidad

coherente.
Integridad: Requisito de seguridad que indica que la información deberá ser protegida ante
alteraciones no autorizadas.
Inteligencia artificial (AI): Ciencia que busca la comprensión de entidades inteligentes.
Interconexión de Sistemas Abiertos (OSI): Estructura de protocolos en siete niveles

propuesta por ISO (International Standardisation Organisation) e ITU-T (International
Telecommunication Union Telecommunication Standardization Sector).
Interfaz Común de Acceso (CGI): Especificación para la transmisión datos entre programas
residentes en servidores Web y navegadores.
Interfaz de comandos polimórfica: Interfaz de comandos cuyo código cambia con cada
ejecución. Esto se hace para evadir los detectores de intrusión basados en reglas. En la
mayoría de los casos se utilizan durante ataques de desbordamiento de búfer.
Interfaz de comandos segura (SSH): También conocida como "Secure Socket Shell", es una
interfaz de comandos basada en UNIX y un protocolo para acceder de forma segura a una
máquina remota. Es ampliamente utilizada por administradores de red para realizar tareas
de gestión y control. SSH es un conjunto de tres utilidades: slogin, ssh y scp; versiones
seguras de las anteriores utilidades de UNIX: rlogin, rsh y rcp.
Intrusión: Violación intencionada de las políticas de seguridad de un sistema.
Intrusos desde el exterior: Usuarios no autorizados de un sistema.
216
Lista de Control de Acceso (ACL): Conjunto de datos que indican al sistema operativo qué
permisos tiene un usuario o grupo sobre un determinado objeto de sistema. Cada objeto
tiene atributos de seguridad únicos que indican qué usuarios pueden accederlo, y la Lista
de Control de Acceso contiene una descripción de los privilegios de acceso de cada objeto y
usuario.
Lógica difusa: Forma de razonamiento que incorpora criterios múltiples para tomar
decisiones y valores múltiples para evaluar posibilidades. Permite formalizar operaciones
del razonamiento impreciso sobre conceptos imprecisos, comunes en el razonamiento
humano.
Lote: En informática, programa asignado a un sistema para ser ejecutado de forma

desatendida. Los trabajos por lotes suelen ejecutarse en un plano secundario, mientras que
los interactivos se ejecutan en primer plano.
Malla mundial, telaraña mundial: Sistema de información distribuido, basado en

hipertexto. La información puede ser de diferente naturaleza, como por ejemplo texto,
gráfico, audio, o vídeo. Véase también ("web").
Malla, telaraña: Servidor de información WWW. Se utiliza también para definir el universo
WWW en su totalidad. Véase también ("WWW").
Marco de Detección de Intrusiones Común (CIDF): Grupo de trabajo encargado de crear

interfaces que permitan a los desarrolladores de detección de intrusiones compartir sus
conocimientos y poder reutilizar los resultados en otros sistemas. Fue fundado por Teresa
Lunt.
Minería de datos: Arte y ciencia de descubrir y explotar relaciones nuevas, útiles, y

provechosas en grandes cantidades de información.
217
Modo en línea: Método de interceptación del tráfico de red que consiste en hacer pasar
todo el tráfico a través de un monitor o rastreador, generalmente configurado como
puente para minimizar el impacto sobre el rendimiento de la red y dificultar su detección.
Modo promiscuo: Respecto a una interfaz de red, el modo de operación que genera una
interrupción por cada actividad de red detectada. Esto permite a la interfaz recoger todo el
tráfico de red de su segmento y entregárselo al detector de intrusiones.
Paquete: Estructura de datos con una cabecera que puede estar o no lógicamente
completa. Más a menudo, se refiere a un empaquetamiento físico de datos que lógico. Se
utiliza para enviar datos a través de una red conmutada de paquetes.
Parche: En seguridad informática, código que corrige un fallo (agujero) de seguridad.
Política de seguridad: 1. Conjunto de estatutos que describen la filosofía de una

organización respecto a la protección de su información y sistemas informáticos. 2.
Conjunto de reglas que ponen en práctica los requisitos de seguridad del sistema.
Privacidad: Estar libre de accesos no autorizados.
Privilegio: Nivel de confianza perteneciente a un objeto de sistema.
Probar mediante explotación: Método de comprobación de seguridad que consiste en

lanzar ataques conocidos contra el objetivo y estudiar los resultados. Véase también
("análisis de vulnerabilidades").
Procesamiento por lotes, procesamiento en lotes: Procesamiento realizado en intervalos

de tiempo, de forma discontinua.
Procesos de confianza: Procesos que sirven para cumplir un objetivo de seguridad.
218
Protocolo de Control de Transmisión / Protocolo Internet (TCP/IP): Conjunto de

protocolos básico sobre los que se fundamenta Internet. Se sitúan en torno al nivel tres y
cuatro del modelo OSI.
Puerta trasera: Mecanismo que permite a un atacante entrar y controlar un sistema de

forma oculta. Suelen instalarse justo después de comprometer un sistema. Véase también
("vulnerabilidad").
Puerto de extensión, puerto abarcador: Puerto especial con el que cuentan algunos
conmutadores avanzados. Está programado para poder recibir una copia del tráfico
destinado a uno o varios puertos del conmutador.
Registro de seguridad: En sistemas Windows, es uno de los tres tipos de registros de

eventos. Este registro contiene los eventos considerados como relevantes en materia de
seguridad.
Registro de sistema: 1. En sistemas Windows, es uno de los tres tipos de registros de

eventos. Este registro contiene los eventos generados por los componentes de sistema. 2.
en sistemas UNIX, ficheros de eventos de sistema y aplicaciones, que suelen consistir en
ficheros de texto consistentes en una línea por cada evento.
Registros de auditoría de sistema operativo: Historiales de eventos de sistema generados

por el mecanismo especializado de un sistema operativo.
Repetidor: Dispositivo que regenera la señal que pasa a través de la red, permitiendo
extender la distancia de transmisión de dicha señal. Un repetidor multi-puerto se conoce
como un concentrador. Véase también ("concentrador").
Rompedor de contraseñas: Herramienta de seguridad diseñada para descubrir las

contraseñas de los usuarios. En la mayoría de los casos se utilizan diferentes
aproximaciones para obtenerlas.
219
Salto de red: Estrategia de ataque en la que el atacante intenta ocultar su identidad

realizando sus actividades desde otros sistemas comprometidos.
Seguridad: 1. Según un enfoque práctico, la seguridad implica que un sistema se comporte

de la manera esperada. Esta definición depende de los niveles de confianza 2. Según un
enfoque formal, consiste en el cumplimiento de la "tríada de conceptos": confidencialidad,
integridad y disponibilidad.
Seguridad de Protocolo Internet (IPSec): Conjunto de protocolos desarrollados por IETF

para soportar el intercambio seguro de paquetes en el nivel IP. IPsec se utiliza
ampliamente para implementar Redes Virtuales Privadas (VPNs).
Sensor: En detección de intrusiones, una entidad que realiza labores de monitorización y

obtención de datos de las fuentes de información. También conocido como agente. En
muchos IDS, el sensor y el analizador forman parte del mismo componente. Véase también
("agente").
Serie Arco Iris: Conjunto de documento que definen la Iniciativa de Sistemas Confiables, un
programa del gobierno de EE.UU. para resolver problemas relacionados con la seguridad
informática. Los nombres de los documentos se corresponden con los colores de sus
cubiertas. Véase también ("Libro Naranja" y "Libro Marrón").
Sistema de prevención de intrusiones (IPS): Sistema que combina las capacidades de

bloqueo de un cortafuegos y las de análisis de un IDS. Está diseñado para detener ataques
antes de que tengan éxito.
Sistema experto: Aplicación informática que realiza una tarea que podría realizar un
humano experto, como por ejemplo, diagnóstico de enfermedades, ataques, o búsqueda
de rutas de encaminamiento óptimas. Los sistemas expertos pertenecen a una categoría
general de aplicaciones que utilizan técnicas de inteligencia artificial.
220
Sistema Experto de Detección de Intrusiones (IDES): Sistema de Detección de Intrusiones

basado en reglas diseñado para detectar ataques conocidos. Fue el precursor de NIDES.
Véase también "Sistema Experto de detección de intrusiones de siguiente generación
(NIDES)".
Sistema Experto de detección de intrusiones de siguiente generación (NIDES): Detector

de intrusiones que realiza funciones de monitorización en tiempo real de actividades de
usuario a través de múltiples sistemas conectados vía Ethernet. Véase también "Sistema
Experto de Detección de Intrusiones (IDES)".
Sistema trampa, tarro de miel: Recurso de sistema de información cuyo valor reside en el
uso no autorizado o ilícito de dicho recurso.
Uso indebido: Actividad o comportamiento conocida como mala o inapropiada.
Virus polimórfico: Virus informático que cambia de aspecto con cada ejecución. Esta
característica tiene el objeto de evitar los detectores de virus.
Vulnerabilidades: Debilidades en un sistema que pueden ser utilizadas para violar las
políticas de seguridad.
Zona desmilitarizada, red perimétrica (DMZ): Máquina o pequeña subred situada entre
una red interna de confianza (como una red local privada) y una red externa no confiable
(como Internet). Normalmente en esta zona se sitúan los dispositivos accesibles desde
Internet, como servidores Web, FTP, SMTP o DNS, evitando la necesidad de acceso desde
el exterior a la red privada. Este término es de origen militar, y se utiliza para definir un
área situada entre dos enemigos.
221

Monitorización y Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Monitorización y Seguridad Informática

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Monitorización y Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Javier Rubio Robledo

Ingeniería de Computadores y Electrónica Industrial

El contenido de este manual se distribuye bajo la licencia Creative Commons Atribución-

1. Introducción a la Gestión de Redes ............................................................................... 7

2. Monitorización de Red .................................................................................................. 35

3. Introducción a PRTG Network Monitor ......................................................................... 65

4. Monitorización en Linux con Nagios .............................................................................. 83

5. Análisis de la monitorización ........................................................................................ 129

6. Seguridad Informática .................................................................................................. 165

7. Glosario de términos de Monitorización ....................................................................... 201

8. Diccionario de Seguridad Informática............................................................................ 209

Las tecnologías de gestión de red se centran en la monitorización, interpretación y control de los

Gestionar una red consiste en realizar actividades de inicialización, monitorización y control de

La palabra inglesa "framework" (marco o entorno de trabajo) define, en términos generales, un

La gestión de una red de comunicaciones puede descomponerse en un framework o marco de

La administración detallada de la infraestructura de red aplicada a las tecnologías de la

La gestión de una red de comunicaciones puede descomponerse en las cinco áreas

Gestión de Fallos (Fault).

CONCEPTOS Y ÁREAS FUNCIONALES

1. Diagnosticar y determinar rápidamente donde se localiza dicho fallo.

El impacto y duración de los fallos depende de la redundancia o repetición tanto en nodos

Los objetivos de la administración de la configuración son:

Este proceso de gestión debe tener en cuenta:

Permitir el acceso rápido a la información sobre configuraciones.

La gestión de la contabilidad es a menudo conocida también como la gestión de la tarificación o

Utilización del espacio en disco.

Para redes no tarificadas se utiliza la Gestión de Administración. Los objetivos de la

Gestión de las Prestaciones

Es particularmente significativo el control del almacenamiento y los sistemas de recuperación de

La gestión de la seguridad es el proceso de controlar el acceso a recursos en la red. La seguridad

Gestionar la generación, distribución y mantenimiento de la encriptación de claves.

FUNDAMENTOS DE LA GESTIÓN DE RED

Podemos analizar los fundamentos de la gestión de red centrándonos no en las funciones,

Gestión = Monitorización + Control

La información de monitorización puede clasificarse en:

Estática: Información que no cambia frecuentemente, como la que caracteriza la

Dinámica: Información relacionada con eventos de la red. Cambia frecuentemente.

Estadística: Información derivada de la dinámica. Por ejemplo la tasa media de

Distinguimos los siguientes elementos de un sistema de monitorización:

Aplicación de Monitorización: es el software de monitorización que ayuda a asegurar la

Gestor: realiza la función de obtener los datos de monitorización para la aplicación. Es la

Agente: se ejecuta en el dispositivo a gestionar (host, router, hub...) o en una estación

El Polling es una interacción basada en mensajes de Petición/Respuesta entre Gestores y

Con Event-Reporting, la iniciativa (y la complejidad) es del Agente, que periódicamente o

Tiene como dificultad el seleccionar los medidores apropiados (hay medidores no

1. Indicadores orientados a Servicio:

• Disponibilidad: porcentaje de tiempo que un elemento de red, componente,

2. Indicadores orientados a Eficiencia:

• Rendimiento: Tasa de ocurrencia de eventos de usuario: generación de

Fallos inobservables: Hay fallos inherentemente inobservables, como un

Fallos Parcialmente Observables: Puede ser que lo observable no sea suficiente

Incertidumbre en la observación: Aunque tengamos observaciones muy

Causas potencialmente múltiples: Si la red está formada por múltiples

Múltiples observaciones relacionadas: Un simple fallo puede ser detectado en

Recursos Hardware: tipo de cable, nodos, servidores, etc...

Software y aplicaciones en servidores.

Servicios de información: ofrecidos de forma comercial por la red.

Se puede medir en base a la fiabilidad de los componentes, que normalmente se

Pero la disponibilidad de un sistema completo o un servicio depende de la de los