Skip to content

T8. MANTENIMIENTO Y DOCUMENTACIÓN DE LA RED

¿Qué se pide en esta unidad?

Para superar esta unidad deberéis:

  1. Instalar software de documentación de red (NetBox)
  2. Documentar el aula
  3. Instalar sofware de monitorización de red (Zabbix)
  4. Monitorizar un dispositivo windows, uno linux y una router Mikrotik

Gestión de incidencias en la red:

Gran parte del éxito del departamento de IT (tecnologías de la información) dependerá no sólo de la capacidad de resolver incidencias, si no de su capacidad de adelantarse a los mismos al tener implementado sistemas de avisos previos, documentado propuestas de resolución de incidencias y evaluación posterior de las mismas.

La gestión reactiva a incidentes trata de responder a los incidentes y solventarlos en el menor tiempo posible, pero no debemos realizar "chapuzas" ya que eso provocaría la denominada duda ténica que en un futuro vendrá a cobrarse su tiempo con intereses.

Por otro lado, si sólo reparamos y no investigamos las causas nos encontraremos que la situación se repetirá en un futuro desconocido, por lo que es conveniente evaluar y presupuestar todas las reparaciones de forma que podamos estimar la necesidad de mantenimiento preventivo y no sólo correctivo.

Por ejemplo, si un servidor ha tenido un fallo en un disco, deberemos analizar el uso del mismo y en caso de haber llegado al final de su ciclo de vida (nº de escrituras) deberemos planificar un cambio futuro antes de llegar a ese final, eligiendo el momento necesario para la parada del equipo en momentos NO críticos (baja producción, media noche, etc.).

Al proceso de realizar una programación de actividades se le denomina gestión proactiva o mantenimiento preventivo y nos permitirá adelantarnos a fallos imprevistos y evaluar los costes antes de las reparaciones.

Además, su un servidor nos está generando una cantidad de problemas que eleva su presupuesto (en dinero o tiempo) por encima de lo esperado, quizás nos interese evaluar la necesidad de la modernización/sustitución del equipo o la externalización del servicio en alguna nuve pública (por ejemplo AWS o google Cloud).

Documentación del sistema:

Para poder realizar un mantenimiento y resolución de incidencias deberemos tener todo el sistema perfectamente documentado donde deberemos recoger los siguientes puntos:

  • Mapa de red: deberá recoger todos los dispositivos de red y equipos, así como sus conexiones.

    Ejemplo de mapa de red

  • Mapa de nodos: todos los nodos deberán tener una ficha con datos sobre la red (IP, CIDR y GW), así como aquellos servicios que ofrece o consume.

  • Mapa de usuarios: deberá contener los usuarios y grupos de éstos, así como los recursos que ofrecen o consumen. Si el sistema tiene un servidor LDAP, éste podrá proporcionarnos dicha información.

  • Mapa de recursos: debe recopilar todos los servicios y recursos así como sus datos de acceso).

  • Diario de incidencias: debe recoger las fechas de las incidencias, las causas y las soluciones aportadas para su uso futuro, así como para toma de decisiones sobre la sustitución de equipos problemáticos.

  • Planes de contingencias: se deberá estudiar los servicios críticos y tener estudiada la actuación a realizar en cada caso.

Netbox: Software de documentación

1. Instalación

  1. Instalar git (Git es un control de versiones)
  2. Instalar docker:
  3. Clonar repositorio: git clone -b release https://github.com/netbox-community/netbox-docker.git
  4. Copiar “receta”: cp docker-compose.override.yml.example docker-compose.override.yml

2. Puesta en marcha

  1. Levantar “receta”: docker compose up -d
  2. Crear usuario y contraseña: docker compose exec netbox /opt/netbox/netbox/manage.py createsuperuser
  3. Entrar en http://localhost:8000/

Destruir “receta”: docker compose down

Introdución a netbox

RTFM! (Lee El Bonito Manual)

3. Dispositivos

dispositivos

4. Documentado

documentado

5. Cableado

cableado

6. Entregable

Deberás realizar la instalación y configuración

Plan de contingencias

El plan de contingencias aporta muchs beneficios más allá de la puesta en marcha de sistemas en el mínimo tiempo de parada posible.

Para las elaboración deberemos cubrir los siguientes pasos:

  • Objetivos a cubrir. P.e. no parar la actividad más de 1 días, protegerse ante situaciones de randsomware o virus o fuga de información.
  • Realización de inventario completo de todo lo que se necesita para el funcionamiento del sistema, teniendo en cuenta no sólo los equipos directos, si no también electricidad, operadores, etc.
  • Análisis de riesgos teniendo en cuenta todos los equipos, donde deberá tener en cuenta el alcance económico, técnico, jurídico y de imagen. Recordemos el ataque de randsomware sufrido por movistar hace unos años, teniendo en cuenta que movistar "vende" sistemas de seguridad.
  • Diseño de plan de acción, donde deberán tenerse en cuenta los distintos escenarios y proponer situaciones para cada uno, con asignación presupuestaria y plazos.
  • También habrá que estudiar alternativas temporales de trabajo mientras se restablecen los procesos y sistemas.
  • Estudio de comunicación del plan a todos los interesados, al manos a cada uno la parte que le interesa.

Documentación del sistema (método):

  1. Mapa de red: deberéis crear un mapa de la red lo más fiel posible a la realidad de la práctica que estáis realizando utilizando packettrace o GNS3.

  2. Mapa de nodos: es la ficha de documentación de cada dispositivo de la red (lo qure venimos realizando como documentación) y nos encontraremos una copia junto al dispositivo SIEMPRE. Ejemplo de ficha de documentación:

    NODE: …………………………………………….
    IP/CIDR:
    D. Gateway:
    Port/serv:
    Config:

  3. Mapa de usuarios: es la ficha general del sistema donde registraremos usuarios / passwords / permisos / recursos. Podéis ver un ejemplo:

    USR PASS RECURSOS y PERMISOS
    luis g3.H45$ firewall/root/rw, R0/user/ro, SW1smr/luis/ro
    marcos j&38C.2 firewall/user/ro, R0/-/-, SW1smr/alumno/rw

  4. Mapa de recursos: es la ficha con todos los recursos de la red y los usuarios que pueden acceder a los mismos:

    RECURSO IP/Nombre USR
    compartida firewall ALL
    SW1smr 192.168.1.4 alumno/rw, luis/ro
    asterisk 192.168.1.3 usr1/friend, usr2/send

Herramientas de diagnóstico. Comandos y programas.:

En primer lugar deberemos determinar el origen de la incidencia y la tipología de la misma. Para ello verificaremos:

  1. ¿El equipo tiene IP? (ip addr en linux o ipconfig en windows).
    :

    • Es una IP privada del tipo 10.X.X.X, 172.16.X.X.X o 192.168.X.X.
      Se deberá verificar que el equipo no tiene la ip asignada de forma estática ya que podría enmascarar el problema.
      El equipo tiene conexión con el DHCP, que normalmente es el propio ROUTER con lo que podríamos descartar cualquier problema hasta ese punto.
      Deberemos utilizar los comandos del sistema ping, y traceroute para hacer un seguimiento hasta un servidor de IP conocida de alta fiabilidad, p.e. los dns de google (8.8.8.8) o de Cloudflare (1.1.1.1).
      Si con ping recibimos respuesta a peticiones con nombres, p.e. ping marca.com deberemos comprobar si nuestro servidor de DNS está funcionado con dig marca.com y dig @1.1.1.1 marca.com (el primero consulta al DNS de nuestro equipo/proveedor y el segundo repite la petición a los DNS de Cloudflare.
    • Es una IP de enlace local del tipo 169.254.X.X.
      El equipo no ve presente ningún servidor DHCP. Probablemente se ha perdido la conexión con el ROUTER. Si éste está encendido y con las luces de estado correctas (ver manual) probablemente tengamos un poblema en el cableado existente entre ámbos, descartando a priori la zona desde el equipo hasta el primer SWITCH o HUB.

    No: Probablemente el problema se encuentre en la tarjeta de red, el primer tramo de cableado o el primer dispositivo de red que nos encontramos.

Incidencias físicas e incidencias lógicas en redes locales.

Incidencias físicas:

Una incidencia física es aquel problema que puede surgir en la red por el mal funcionamiento de algún componente físico en la red.

Verás en el siguiente listado los problemas más comunes:

  • Fallos en las tarjetas de red: La primera comprobación que has de hacer es comprobar si sus LED están parpadeando. Si están en verde es que funciona bien y si está en amarillo es que tienen algún problema. Aunque esto dependerá del fabricante. En caso de que no funcionara bien hay que:
    • Comprobar que el cable de red está bien conectado a la tarjeta.
    • Verificar que el equipo informático está conectado a la toma de corriente.
    • Asegurarse de que el conector está bien conectado al dispositivo de interconexión (debe hacer "click")
    • Revisar que la tarjeta de red está bien instalada.
  • Fallos de los cables: Que los cables estén en buen estado. Si estos fallan hay que:
    • Revisar el estado de los conectores de los dos extremos del cable. La envolvente debe estar "pillada" por el conector RJ45.
    • Utilizar el tester para certificar la calidad del cable.
    • Analizar la conexión entre los cables y la tarjeta de red.
    • Controlar la conexión entre los cables y los dispositivos de interconexión.
    • Comprobar que los cables no superan la longitud máxima para su categoría.
    • Examinar el estado del cable en sí.
  • Fallos de los dispositivos de interconexión: Un fallo en uno de estos dispositivos puede dejar sin conexión a uno o a varios nodos de la red, en función de cuál sea el fallo. Si estos fallan hay que:
    • Comprobar que el dispositivo de interconexión está conectado a la red.
    • Comprobar que el dispositivo de interconexión no está recalentado.
    • Si el problema solo afecta a un equipo de la red, puede deberse a un fallo en el puerto al que está conectado. En ese caso el led de dicho puerto estará apagado y probarás a utilizar otro puerto.
  • No se puede acceder a alguna máquina: En este caso tendrías que comprobar que la máquina está encendida, que no tiene fallos en la tarjeta de red o en los cables y por último ejecutar un comando ping a la máquina.

Incidencias lógicas:

Las incidencias lógicas se refieren a posibles fallos de un programa o a una configuración errónea de alguno de ellos.

  • Incidencias provocadas por ataques a la seguridad: Pueden ser ataques de muy distintas formas, pero has de tener en cuenta que los efectos que producen son los siguientes:
    • Impedir la ejecución de determinados programas :=> comprobar que los puertos necesarios están abiertos en el firewall.
    • Recopilación de información de nuestro ordenador y envío de dicha información a otro (spyware o software espía). Ésto podrá detectarse mediante la monitorización de la red o desde el propio equipo con el software wireshark.
    • Envío de tráfico inútil para saturar la red :=> a menudo se trata de un equipo zombie que está buscando propagar malware.
    • Colapso de servidores :=> se deberá comprobar si se trata de un ataque DoS (denegación de servicio), donde recibiremos muchas peticiones desde distintas fuentes donde no se espera a la respuesta de las mismas.

Comandos básicos de despliegue y mantenimiento:

  • ping: send ICMP ECHOREQUEST to network hosts.
    ping -c4 ip o ping -c4 dominio.es
  • arp: manipulate the system ARP cache.
    arp o arp -n
  • netstat: Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships.
    netstat o netstat -lupotan
  • route: show / manipulate the IP routing table.
    route
  • ip route: similar al anterior.
  • tracepath: traces path to a network host discovering MTU along this path.
    tracepath -4 ip o tracepath -6 dominio.es
  • traceroute: print the route packets trace to network host traceroute ip
  • dig: DNS Lookup utility. dig [@server_dns] nombre_de_equipo
    dig -x IP #Resolución inversa
  • nslookup: similar al anterior.
  • nmap: herramienta de exploración de redes y sondeo de seguridad y puertos
    • nmap -O 192.168.1.1[-254] -> sondeo de equipos, puertos y sistemas operativos.

Para gestión remota de equipos:

  • telnet: user interface to the TELNET protocol (no seguro)
  • ssh: OpenSSH remote login client (muy seguro).
    Éste lo ampliaremos un poco más por las extensas posibilidades que nos brinda de generación de túneles seguros.
  • Remote Administrator: sólo para entornos Windows Server

Monitorización de redes cableadas e inalámbricas.

Fundamentalmente se realiza con el protocolo SNMP, aunque empresas como CISCO lo pueden utilizar conjuntamente con su CDP (protocolo de detección CISCO) de L2.

El protocolo simple de administración de redes (Simple Network Management Protocol) -SNMP- es un protocolo de la capa de aplicación (L7) que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.

Un sistema administrador de red (NMS) ejecuta aplicaciones que supervisan y controlan a los dispositivos administrados. Los NMS’s proporcionan el volumen de recursos de procesamiento y memoria requeridos para la administración de la red. Uno o más NMS’s deben existir en cualquier red administrada.

Un dispositivo administrado es un dispositivo que contiene un agente SNMP y reside en una red administrada. Estos recogen y almacenan información de administración, la cual es puesta a disposición de los NMS’s usando SNMP. Los dispositivos administrados, a veces llamados elementos de red, pueden ser routers, servidores de acceso, switches, bridges, hubs, computadores o impresoras.

Un agente es un módulo de software de administración de red que reside en un dispositivo administrado. Un agente posee un conocimiento local de información de administración (memoria libre, número de paquetes IP recibidos, rutas, etcétera), la cual es traducida a un formato compatible con SNMP y organizada en jerarquías.

El protocolo ocupa los puertos UDP 161 y 162 para los TRAP (otro formato de mensajes).

Nota: Protocolos que permiten el auto-descubrimiento de equipos: CDP, FDP, LLDP, OSPF, BGP, SNMP and ARP (los 3 primeros son protocolos de descubrimiento de CISCO, Foundry y neutro).

Instalación Zabbix

Seguir manual

Agentes de Zabbix

en Linux

Agente SNMP en Ubuntu y CentOS

en Windows

Agente win