cparra
Monitoreando Servicios de Red y Equipamientos con Nagios
Publicado 10 julio, 2011 |
¿Que es nagios?
Es un sistema de monitoreo y generación de alertas que permite realizar un chequeo periódico de la disponibilidad de equipamiento de red y servicios asociados como http, ntp, dns, mysql entre otros.
Nagios cuenta con una interfaz web que permite observar de diferentes perspectivas el estado de los servicios y servidores, en caso de que Nagios haya encontrado algún problema en algunos de los servicios que monitorea es capaz de enviar correo electrónicos a los correos definidos en el archivo de configuración de la herramienta.
Esperamos que este manual les sea de utilidad
Use Facebook to Comment on this Post
Poner nuestras casillas de correo en Google Apps Bind9
Publicado 2 julio, 2011 | 
Uno de los servicios más críticos que entregamos como Administradores es el servicio de correo, actualmente existe muchas alternativas como sendmail, postfix, exim4, qmail, exchange entre otros. Pero una de las soluciones que he visto e implementado y que a dado muy buenos resultados ha sido Google Apps en especial para las empresas pequeñas y que no tienen recursos para mantener su propio servidor de correo. Hemos escrito un manual el cual detalla paso a paso como llevar nuestras casillas de correo a GoogleApps, en este caso utilizamos nuestro propio servidor DNS en linux con Bind9 (que es donde realizaremos los cambios de MX). Podremos crear hasta 10 cuentas de correo en forma gratuita.
Esperamos que este manual les sea de utilidad.
Use Facebook to Comment on this Post
Detección de Ataques de arpspoofing y equipos en la red
Publicado 14 junio, 2011 | ArpWatch
A que administrador no le ha pasado que algún usuario ha traído desde su casa un notebook y lo ha conectado a la red de nuestra empresa (aunque existen diversas formas de prevenir estas situaciones). ¿Cual es el problema? Simplemente no sabemos las intenciones de ese usuario o si él está sirviendo como pasarela para un ataque remoto que Él mismo desconoce. El problema está en cómo detectar este tipo de situaciones. Una herramienta utilizada y que da muy buenos resultados es arpwatch la cual te permite generar una base de datos de pares mac-ip, detectando cambios de ip, equipos nuevos y ataques de arpspoofing y enviarnos por correo cualquiera de las tres situaciones anómalas mencionadas anteriormente.
¿Que es ARP Spoofing?
“El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: Denegación de Servicio).
El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway).”
Instalación sobre linux Debian
Instalamos el paquete arpwatch
root@monitor:~# apt-get install arpwatch
Editamos el archivos de configuración y agregamos la dirección de red y mascara para comenzar el monitoreo es este caso la red es una 192.168.0.0 con máscara /16
root@monitor:~# vi /etc/arpwatch.conf
# /etc/arpwatch.conf: Debian-specific way to watch multiple interfaces.
# Format of this configuration file is:
#<dev1> <arpwatch options for dev1>
#<dev2> <arpwatch options for dev2>
#…
#<devN> <arpwatch options for devN>
#
# You can set global options for all interfaces by editing
# /etc/default/arpwatch
#Linea agregada
eth0 -a -n 192.168.0.0/16 -m cparra@monitor.redescisco.net
#eth0 -m root+eth0
#eth1 -m root+eth1
Una vez realizado el cambio reiniciamos el servicio arpwatch
monitor:~# /etc/init.d/arpwatch restart
Stopping Ethernet/FDDI station monitor daemon: arpwatch-eth0.
Starting Ethernet/FDDI station monitor daemon: (chown arpwatch /var/lib/arpwatch/eth0.dat) arpwatch-eth0.
Verificamos si el servicio esta ejecutándose.
monitor:~# ps -fea|grep arp
arpwatch 6950 1 0 14:59 ? 00:00:00 /usr/sbin/arpwatch -i eth0 -f eth0.dat -a -n 192.168.0.0/16 -m cparra@monitor.redescisco.net -u arpwatch -N -p
root 6960 6934 0 14:59 pts/5 00:00:00 grep arp
Ahora despues de dos minutos aproximadamente revisamos la base de datos que genera la herramienta.
monitor:~#cat /var/lib/arpwatch/eth0.dat
Al revisar la base de datos podemos percatarnos de que existe una ip que posee dos MAC en este caso se produce por que existe una configuración de NAT en un cluster de firewalls activo activo.
0:b:cd:b4:c8:d6 192.168.50.135 1308072511 pcpasoxp
0:c:29:67:aa:a4 192.168.138.253 1308072400 preexplonet
0:8:2:3f:d7:97 192.168.30.122 1308072404 contaxp
0:13:21:1:fc:c3 192.168.46.24 1308072481 cajaxp
0:13:21:5f:37:5 192.168.20.195 1308072489 mmunozxp
0:e:c:cf:36:c0 192.168.8.5 1308078792
0:11:a:5b:be:b3 192.168.8.5 1308078790
Revisando los correos podemos verificar que algo esta pasando
cparra@monitor:~$ mail
Mail version 8.1.2 01/15/2001. Type ? for help.
“/var/mail/cparra”: 2 messages 2 new
>N 1 arpwatch@monitor. Tue Jun 14 14:43 25/984 flip flop eth0
N 2 arpwatch@monitor. Tue Jun 14 14:43 25/983 flip flop eth0
&
Message 1:
From arpwatch@monitor.redescisco.net Tue Jun 14 14:43:10 2011
Envelope-to: cparra@monitor.redescisco.net
Delivery-date: Tue, 14 Jun 2011 14:43:10 -0400
From: arpwatch@monitor.redescisco.net (Arpwatch monitor)
To: cparra@monitor.redescisco.net
Subject: flip flop eth0
Date: Tue, 14 Jun 2011 14:43:10 -0400
hostname: <unknown>;
ip address: 192.168.8.5
interface: eth0
ethernet address: 0:11:a:5b:be:b3
ethernet vendor: Hewlett Packard
old ethernet address: 0:e:c:cf:36:c0
old ethernet vendor: Intel Corporation
;timestamp: Tuesday, June 14, 2011 14:43:10 -0400
previous timestamp: Tuesday, June 14, 2011 14:42:12 -0400
delta: 58 seconds
Ahora revisamos un correo en el cual indica se ha encendido un nuevo host
Message 2:
From arpwatch@monitor.redescisco.net Tue Jun 14 14:44:00 2011
Envelope-to: cparra@monitor.redescisco.net
Delivery-date: Tue, 14 Jun 2011 14:44:00 -0400
From: arpwatch@monitor.redescisco.net (Arpwatch monitor)
To: cparra@monitor.redescisco.net
Subject: new station eth0
Date: Tue, 14 Jun 2011 14:44:00 -0400
hostname: <unknown>
ip address: 192.168.20.3
interface: eth0
ethernet address: 0:11:a:5b:bd:f1
ethernet vendor: Hewlett Packard
timestamp: Tuesday, June 14, 2011 14:44:00 -0400
Use Facebook to Comment on this Post
Medición de Latencia y Pérdida de paquetes con Smokeping
Publicado 7 junio, 2011 | Medición de Latencia Smokeping es un monitor de latencia de red. Esta aplicación permite configurar los destinos que queremos medir, para luego poder identificar pérdidas de paquetes (entre redes o dentro de la misma red) o latencias elevadas, se pueden generar gráficos en forma automática, además se pueden definir alertas vía correo electrónico así como medir latencia en servicios como http (curl), dns (dig). Espero que les sea de utilidad. Adjunto manual para que puedan realizar la configuración.
Use Facebook to Comment on this Post
Configurar servidor NTP linux y cliente CISCO
Publicado 30 noviembre, 2010 | 
¿Que es NTP?
Network Time Protocol (NTP) es un protocolo diseñado para sincronizar los relojes de los distintos dispositivos que forman parte de una red de datos y comunicaciones (servidor, router, switch, firewall, balaceadores, antispams, base de datos, etc).
El presente manual entrega los pasos a seguir para poder configurar un servidor ntp, y como cliente un router, la idea es poder tener todo nuestro equipamiento sincronizado con la misma hora, esto nos ayudara en caso de problemas a obtener una mejor correlación de eventos y bitácoras, a continuación adjunto el manual respectivo.
Use Facebook to Comment on this Post
Monitoreando Equipamiento Cisco con SNMP y Cacti
Publicado 27 noviembre, 2010 |
El objetivo de este manual es poder obtener información acerca del comportamiento de nuestros equipos ya sea en este caso para graficar la cpu en el tiempo, como para ver el nivel tráfico que transita por las diferentes interfaces de este.
Con ayuda de Cacti podemos realizar gráficos de comportamiento históricos de múltiples equipamiento y plataformas como por ejemplo: Linux, Windows, Checkpoint, Cisco, HP-UX, Tru64 entre otros.
En el caso del equipamiento podemos graficar espacio de discos, tráfico en interfaces de red, porcentaje de uso cpu, cantidad de usuarios conectados, números de procesos, carga promedio, latencia, etc.
En el manual, adjunto la forma en la cual se debe instalar esta herramienta de monitoreo, espero que les sea de utilidad.
Use Facebook to Comment on this Post
Lista de correos
|
| Suscribirte a Redes Cisco.NET |
| Consultar este grupo |
Encuesta
Nuestra próxima videoclase debe ser de:
- IPV6 (35%, 54 Votes)
- MPLS (29%, 45 Votes)
- BGP (22%, 34 Votes)
- EIGRP (14%, 20 Votes)
Total Voters: 153
Loading ...Síguenos!
Últimos Comentarios