Índice de contenido
1 Introducción...................................................................................8
1.1...
3.2.5 Menú Ayuda.................................................................40
3.3 Noticias.............................
5.2.4 Protocolos....................................................................62
5.2.5 ICMP............................
5.5.5 Sondas.........................................................................83
5.5.5.1 Dashboard....................
5.7.2 Imágenes...................................................................109
5.7.3 Servicio Virtual..................
6 PUF/FAQ.....................................................................................128
7 Anexo A: Configuración...
- 7 -
1 Introducción
El sistema redBorder SE es una solución de aprovisionamiento de
imágenes pensada para su funcionamiento en ...
3) Una vez autenticada, la aplicación se descarga la base de
datos del terminal y las plantillas asociadas a cada uno de
l...
Las empresas autorizadas pueden modificar las plantillas del
sistema para personalizar los ficheros de configuración gener...
controlados) para respaldar e iniciar dicho servicio en otro blade
que esté disponible, siempre en función de la configura...
1.5 Instalación
redConsole, la aplicación de gestión de redBorder SE, requiere para
su funcionamiento de una máquina virtu...
1.5.3 UNIX/Linux
Debido a la diversidad de escritorios existentes en Unix/Linux se
hace necesario el uso de la línea de co...
2 Instalación del MSB
El MSB es el elemento clave del sistema de redBorder SE. Es quien
proporcionará las imágenes al rest...
• dhcp
• nfs-utils-lib, nfs-utils
• portmap
• libpcap
• ntp
• rrdtool
• drbd
• heartbeat
Todos estos paquetes son instalad...
• Configuración de los módulos de E/S.
• Direccionamiento IP
• Verificación del firmware mínimo necesario.
• Configuración...
Es necesario igualmente permitir que los puertos externos de los
switches puedan ser configurados vía SNMP: I/O Module Tas...
sistema de gestión o vía KVM virtual, habitual en los distintos
fabricantes. Por ejemplo, el sistema BladeCenter de IBM:
E...
El sistema por defecto inicia el instalador en modo texto, el más
adecuado ya que el sistema operativo del MSB no necesita...
A continuación se muestran una serie de capturas de pantalla de la
instalación:
- 20 -
- 21 -
Una vez se haya completado la instalación, reiniciamos el MSB tal y
como se especifica en el instalador. Con esto hemos co...
La siguiente pantalla presenta los parámetros de configuración de
la red externa, con valores por defecto. Dichos parámetr...
A continuación deberá indicar los valores de servidores DNS, NTP
así como las interfaces de red (esto último mediante su d...
La siguiente pantalla presenta el tamaño por defecto seleccionado
para la partición dedicada al sistema DRBD, en unidades ...
Tras confirmar la creación del volumen lógico, se procederá
finalmente a la creación de la partición drbd y configuración ...
Tras el reinicio, ya tiene su sistema redBorder SE totalmente
operativo y listo para aprovisionar imágenes una vez las ten...
heartbeat OK [pid 320 et al] is running on msb01 [msb01]...
Evidentemente el PID puede variar de unas instalación a otra.
...
puede proceder con la instalación del MSB02, como se hacía en
versiones anteriores, si configura adecuadamente el MSB01
au...
rsc_xinetd (lsb:xinetd): Started msb01
rsc_dhcp (lsb:dhcpd): Started msb01
rsc_snmptrapd (lsb:snmptrapd): Started msb01
rs...
3 Ventana Principal
redConsole es un entorno de administración centralizado para una
red desplegada de MSBs. Desde la vent...
terminales no pueden estar en cualquier lado sino que
deben situarse en algún grupo o carpeta.
• Tercer Nivel (nivel de mó...
• Alertas.- El MSB almacena todos los eventos ocurridos en
el mismo en una base de datos. A través de este terminal
podrá ...
Como norma general, cualquier acción a realizar en cualquier
ventana, está recogida en el menú pero, para facilitar la
int...
• Eliminar Todos.- Eliminará todos los nodos del árbol.
Como antes, siempre pedirá conformidad puesto que el
cambio es irr...
• Puntos de restauración.- Cada vez que nos conectamos
con el terminal o cambiamos la configuración del mismo se
guarda de...
Supongamos primero que redConsole dispone de una configuración
inicial que llamaremos conf1:
Momento
Configuración almacen...
• Ver licencia.- Muestra el tipo de licencia instalada en
el terminal.
• Obtener parámetros de la licencia.- Cuando no se
...
Esto nos permite evitar ataques de suplantación de IP.
Mediante esta función eliminamos todas las firmas de
todos los term...
• Acerca de .- Típico menú de ayuda en el que encontrará
información de la versión y la empresa desarrolladora de la
aplic...
4 Ventana de Terminal
Nuestro objetivo es la configuración y gestión de un terminal de
forma remota. Para ello debemos con...
Sólo se mostrarán los módulos que tenga instalado del terminal o
permita la licencia instalada en el mismo. La detección d...
• Guardar Informe HTML.- Crea y guarda un informe
general (con los módulos que se hubieran indicado en la
opción "Propieda...
• Transmitir Actual.- Transmite el módulo que tenga
seleccionado en la Ventana de Terminal. El módulo Objetos
siempre se t...
• Buscar.- Función que nos permite buscar un texto dentro
de redConsole en todos los módulos asociados al terminal.
Se mue...
5 Módulos principales
Los módulos principales son los incluidos en un terminal estándar,
aunque no siempre todos están act...
Se divide en tres partes claramente diferenciadas:
• Estado del chasis.- Estado de los blades del chasis
controlado por el...
• Número de MSBs que forman el cluster.
• Estado de la partición DRBD del cluster.
5.1.2 Sistema
Este apartado se encarga ...
5.1.3 SSH
El servidor SSH es una de las bases del sistema de configuración.
Todas las comunicaciones que se efectúan entre...
Los parámetros configurables son:
• Puerto de escucha.- Es el puerto donde escuchará el
servidor SSH. Por defecto será el ...
• Guardar Log.- Descarga el fichero completo para
guardarlo en la máquina donde se ejecuta redConsole y lo
muestra en el c...
Se puede elegir entre distintos temas:
• Información General.- Muestra información como la
fecha del sistema, el tiempo qu...
5.2 Objetos
El módulo de Objetos es una de las bases de redConsole puesto
que de él dependen el resto de módulos. Cuando u...
¿Qué objetos podemos usar? Todo aquello que sea susceptible de
ser usado en cualquier otro módulo, se considerará un objet...
• Protocolos.- Existen multitud de protocolos de red que
pueden ser usados, por ejemplo TCP y UDP. Este objeto
hará refere...
• Marcas.- índices usados en los módulos de tráfico y
cortafuegos.
• Grupos.- Aquí se pueden definir grupos que engloben a...
5.2.1 Tabla Principal
La tabla principal se compone de “barra de herramientas” y “tabla
de datos”.
5.2.1.1 Barra de Herram...
5.2.1.2 Tabla de Datos
Es el lugar donde se mostrará la información contenida en la tabla
ordenada por columnas y filas. P...
Un uso común para la ordenación puede ser la de buscar una fila
determinada. La ordenación alfabética o numérica según el ...
5.2.2 Elementos de red
La multitud de direcciones IP y subredes a utilizar hace necesario
definirlos como un objeto de red...
• Dirección IP.- Una dirección IP simple en el formato
habitual. Ej: 192.168.100.2.
• Dirección de Subred.- Una dirección ...
5.2.3 Servicios
Cualquier servicio de red queda definido por dos parámetros:
dirección IP de acceso y puerto de escucha de...
Por la misma razón que en los objetos de red, una vez definido un
objeto de servicio de tipo simple (un solo puerto) que e...
5.3 Cortafuegos
Este módulo está incluido en el sistema base y es el encargado de
controlar todas las comunicaciones que a...
Antes de proceder a la explicación detallada de cada una de las
partes del cortafuegos es necesario disponer de una serie ...
5.3.1 Configuración
El panel de Configuración es el encargado de todos los aspectos
generales del cortafuegos. De su confi...
Por defecto toma el valor ACCEPT pero debe cambiarlo una
vez haya definido correctamente el cortafuegos. La política de
se...
• RETURN.- Vuelve a la regla padre de la cual proviene.
• Interfaz de entrada (IN).- Interfaz por la que entra el
paquete....
Una peculiaridad de este cortafuegos es la definición de las reglas
en forma de árbol. Para ello tenemos dos tipos de regl...
• Si se trata de una regla padre:
• En caso de hacer coincidencia con el paquete en
cuestión recorrerá sus reglas hijas.
•...
• El cortafuegos comprueba la tercera regla y sí hace
coincidencia. El paquete es aceptado.
• Paquete que proviene de la W...
ACCEPT WAN servidor2
DROP WAN
Como se puede observar el efecto es el mismo pero:
• Si la interfaz de entrada es la LAN atr...
sin ninguna limitación. Aunque puede definir tantas reglas
padres como estime oportuno, no es recomendable poner
más de 4 ...
Si queremos que una subred siempre sea aceptada, sólo tenemos
que incluirlo en la lista blanca. De esta manera no nos tene...
5.4 Tráfico
La correcta gestión y monitorización del ancho de banda disponible
en los enlaces se ha convertido en una prio...
5.4.2 Sonda
Tenemos que especificar cómo la sonda Netflow ha de tratar los
datos. Se pueden configurar las siguientes prop...
5.4.3 Colector
En este apartado debemos indicar el número de sondas instaladas
en el terminal. Podemos crear tantas sondas...
El terminal colector es el encargado de recibir los paquetes de
información netflow de cada una de las sondas para ser
alm...
5.5.1.1 Parámetros de configuración
Aquí se configuran los parámetros más generales del módulo
Colector:
• Activar/Desacti...
• IP de la sonda.- El colector recibirá los paquetes netflow
de la ip configurada. Es la forma que tiene el colector de
di...
• Contraseña del usuario.
• Sondas a las que tienen acceso.
• Comentarios.
5.5.2 Informes
Es una herramienta para la gener...
indicada. Podemos elegir entre 12 horas, 1 día, 2 días, 3
días, 4 días, 5 días, 6 días, 7 días.
• Nivel de detalle.- El ni...
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Upcoming SlideShare
Loading in...5
×

Manual red border-1.6.1

1,046

Published on

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,046
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Manual red border-1.6.1

  1. 1. Índice de contenido 1 Introducción...................................................................................8 1.1 Componentes........................................................................8 1.2 Modo de funcionamiento.......................................................8 1.3 El papel del MSB..................................................................10 1.3.1 Servicios......................................................................10 1.4 Características.....................................................................11 1.5 Instalación...........................................................................12 1.5.1 Creación de accesos directos......................................12 1.5.2 Microsoft Windows......................................................12 1.5.3 UNIX/Linux...................................................................13 1.5.4 MacOS X......................................................................13 2 Instalación del MSB.....................................................................14 2.1 Pasos de instalación............................................................15 3 Ventana Principal.........................................................................32 3.1 Creación de Terminales.......................................................33 3.2 Funciones............................................................................34 3.2.1 Menú Archivo...............................................................35 3.2.2 Menú Edición...............................................................35 3.2.3 Menú Ver.....................................................................36 3.2.4 Menú Herramientas.....................................................36 - 1 -
  2. 2. 3.2.5 Menú Ayuda.................................................................40 3.3 Noticias................................................................................41 4 Ventana de Terminal....................................................................42 4.1 Manejo.................................................................................42 4.1.1 Menú Archivo...............................................................43 4.1.2 Menú Módulo...............................................................44 4.1.3 Menú Transmitir...........................................................44 4.1.4 Menú Herramientas.....................................................45 4.1.5 Menú Asociado al Módulo Activo.................................46 5 Módulos principales.....................................................................47 5.1 Sistema................................................................................47 5.1.1 Sistema.......................................................................47 5.1.2 SSH..............................................................................49 5.1.3 Logs.............................................................................50 5.1.4 Estado.........................................................................51 5.1.5 Módulos.......................................................................52 5.2 Objetos................................................................................52 5.2.1 Tabla Principal.............................................................56 5.2.1.1 Barra de Herramientas........................................56 5.2.1.2 Tabla de Datos.....................................................57 5.2.2 Elementos de red........................................................59 5.2.3 Servicios......................................................................61 - 2 -
  3. 3. 5.2.4 Protocolos....................................................................62 5.2.5 ICMP.............................................................................62 5.2.6 MAC.............................................................................62 5.2.7 Grupos.........................................................................62 5.3 Cortafuegos.........................................................................63 5.3.1 Configuración..............................................................65 5.3.2 Reglas de Filtrado........................................................66 5.3.3 Listas Blancas..............................................................72 5.3.4 Listas Negras...............................................................73 5.3.5 Funciones de Menú.....................................................73 5.4 Tráfico..................................................................................74 5.4.1 Netflow........................................................................74 5.4.2 Sonda..........................................................................75 5.4.3 Colector.......................................................................76 5.5 Colector...............................................................................76 5.5.1 Configuración..............................................................77 5.5.1.1 Parámetros de configuración..............................78 5.5.1.2 Configuración de sondas.....................................78 5.5.1.3 Configuración de usuarios..................................79 5.5.2 Informes......................................................................80 5.5.3 Alertas.........................................................................81 5.5.4 Snapshot.....................................................................82 - 3 -
  4. 4. 5.5.5 Sondas.........................................................................83 5.5.5.1 Dashboard...........................................................85 5.5.5.2 Tráfico IN.............................................................86 5.5.5.3 Tráfico OUT..........................................................88 5.5.5.4 IN+OUT...............................................................88 5.6 Alertas.................................................................................88 5.6.1 Configuración..............................................................89 5.6.1.1 Parámetros de configuración..............................90 5.6.1.2 Configuración de sondas.....................................91 5.6.1.3 Configuración de usuarios..................................92 5.6.2 Informes......................................................................93 5.6.3 Snapshot.....................................................................94 5.6.4 Alertas.........................................................................95 5.6.4.1 Dashboard...........................................................98 5.6.4.2 Top.......................................................................99 5.6.4.3 Temporal............................................................101 5.6.4.4 Tiempo Real......................................................103 5.7 BladeControl......................................................................106 5.7.1 Configuración............................................................106 5.7.1.1 Configuración general.......................................106 5.7.1.2 Configuración de los Módulos de Control.........107 5.7.1.3 Configuración de los Switches..........................108 - 4 -
  5. 5. 5.7.2 Imágenes...................................................................109 5.7.3 Servicio Virtual..........................................................110 5.7.4 Estado MSB...............................................................112 5.7.5 Estado de los Blades.................................................113 5.7.6 Estado de la Red.......................................................114 5.7.7 Switches....................................................................114 5.7.8 Monitorización...........................................................116 5.7.9 Información...............................................................117 5.7.10 Logs.........................................................................118 5.8 Útil.....................................................................................119 5.8.1 Sistema de Ficheros..................................................120 5.8.2 Supervisión................................................................121 5.8.3 CPU............................................................................122 5.8.4 Carga.........................................................................122 5.8.5 Memoria....................................................................123 5.8.6 Swap..........................................................................123 5.8.7 Procesos....................................................................124 5.8.8 Usuarios....................................................................124 5.8.9 NFS............................................................................124 5.8.10 Globo.......................................................................125 5.8.10.1 Escáner...........................................................125 5.8.10.2 Tareas..............................................................126 - 5 -
  6. 6. 6 PUF/FAQ.....................................................................................128 7 Anexo A: Configuración de traps del MM .................................138 8 Anexo B: Creación de los usuarios SNMP en el MM..................140 9 Anexo C: Configuración inicial de la red...................................142 10 Anexo D: Creación de los usuarios SNMP en Switch...............144 11 Anexo E: Actualización del firmware de los Switches Nortel mediante telnet.............................................................................149 La documentación contenida en este documento puede ser cambiada sin previo aviso. Marcas comerciales: redBorder, redBorder SE, redBorder networks y el logotipo de redBorder son marcas comerciales de redBorder S.L. Las demás marcas registradas y nombres comerciales que puedan utilizarse en este documento se refieren a las empresas que figuran en las marcas y en los nombres de sus productos. redBorder S.L. renuncia a cualquier interés sobre la propiedad de marcas y nombres comerciales que no sean los suyos. Copyright 2008 redBorder S.L. www.redboder.net - 6 -
  7. 7. - 7 -
  8. 8. 1 Introducción El sistema redBorder SE es una solución de aprovisionamiento de imágenes pensada para su funcionamiento en sistemas críticos de alto rendimiento sobre chasis en blade. Permite controlar de manera gráfica, segura y centralizada una infraestructura desplegada de sistemas centrales de gestión y servicios a través de una interfaz gráfica multiplataforma (redConsole). El producto está pensado para funcionar sobre las distribuciones más importantes basadas en Linux (SuSE, Red Hat 5.X y Centos 5.X) ofreciendo soporte para las imágenes más comunes (CP Secure Plataform, Red Hat, Debian, IMSS, IWSS, Zeus, etc.) en entornos críticos. 1.1 Componentes redBorder SE consta de los siguientes componentes: • redConsole.- Entorno gráfico de gestión y configuración propietario desarrollado en JAVA. • MSB.- Sistema de gestión y aprovisionamiento de imágenes configurable a través de redConsole. • Hardware.- Hardware específico para los requisitos concretos del proyecto o cliente. Los chasis actualmente soportados son: IBM BladeCenter E, H y S. 1.2 Modo de funcionamiento 1) El administrador inicia la aplicación gráfica en el ordenador de administración. 2) La aplicación gráfica se conecta a un MSB remoto de manera segura mediante el protocolo SSH v2. - 8 -
  9. 9. 3) Una vez autenticada, la aplicación se descarga la base de datos del terminal y las plantillas asociadas a cada uno de los módulos configurados. 4) Se generan los elementos gráficos con los datos almacenados en la base de datos de configuración descargada. 5) El administrador modifica la configuración del sistema con la interfaz gráfica, alterando los valores almacenados en la base de datos local. 6) Uniendo los valores almacenados en la base de datos de configuración a las plantillas de sistema se generan los ficheros de configuración necesarios. 7) Se transmiten al MSB mediante la sesión SSH v2 la nueva base de datos y los nuevos ficheros de configuración. 8) Se reinician en el MSB los servicios necesarios de manera automática. Este sistema de funcionamiento presenta las siguientes ventajas: Los ficheros de configuración de cada MSB se almacenan en el propio sistema, permitiendo su configuración desde cualquier equipo que tenga la aplicación redConsole instalada. Se obtiene una visión de conjunto de la red desplegada, a diferencia de las soluciones basadas en una interfaz web que presentan una visión excesivamente local. No se requiere ningún tipo de servicio o demonio propio en el sistema, ya que se utiliza el servidor SSH. Manteniendo este servidor convenientemente actualizado evitamos problemas de seguridad inherentes al desarrollo de una aplicación nueva. El sistema funciona de manera fluida incluso cuando se está accediendo a equipos con escaso caudal de acceso, ya que una vez descargadas la base de datos y las plantillas, todo el funcionamiento es en local, en la máquina del administrador. - 9 -
  10. 10. Las empresas autorizadas pueden modificar las plantillas del sistema para personalizar los ficheros de configuración generados. El sistema es muy flexible y permite su modificación con rapidez. No es necesario desarrollar complicados analizadores para cada aplicación, basta con uno genérico. Se desacopla el desarrollo de la interfaz gráfica de la integración de la aplicación a controlar (plantillas), siguiendo el modelo MVC. 1.3 El papel del MSB La complejidad de las instalaciones actuales requiere de sistemas autónomos capaces de asegurar la disponibilidad de los servicios a un nivel adecuado. El papel de administrador debe ser más de supervisor que de guardián de los sistemas, relegando las tareas más tediosas y rutinarias de la administración. En la solución redBorder SE, el MSB intenta cubrir ese papel. Consiste en un sistema basado en Linux con las herramientas necesarias para asegurar una alta disponibilidad, gestión de imágenes y servicios adecuados. Para ello el MSB está duplicado, instalado por tanto en dos blades, y configurado en modo activo/pasivo, de manera que si falla el maestro (nodo activo) el esclavo ocupará su lugar (nodo pasivo). 1.3.1 Servicios El sistema está compuesto por el chasis y los servidores blades además de la electrónica de apoyo. Los servidores blades son los equipos sobre los que correrán las aplicaciones llamadas servicios (Security Service Blade, SSB) y los nodos de gestión llamados MSB (Management Service Blade). Cuando un blade es insertado en un chasis gestionado por la solución redBorder SE, el MSB detecta su presencia, activando y configurando todos los aspectos necesarios de la electrónica y los sistemas para que el blade inicie la imagen necesaria y arranque el servicio configurado para dicho blade en función de su ubicación (bahía ocupada) y prioridad. Si un servicio cae por algún motivo, es responsabilidad del MSB la detección de dicha caída (si está dentro de unos parámetros - 10 -
  11. 11. controlados) para respaldar e iniciar dicho servicio en otro blade que esté disponible, siempre en función de la configuración de ubicaciones y prioridades definidas por el administrador. 1.4 Características A continuación se listan algunas de las características más importantes. Su sistema no tiene por qué incluirlas todas ya que dependen del tipo de licencia obtenida: • Sistema de objetos.- Para facilitar las labores de administración del equipo, la configuración de los distintos módulos se realiza utilizando objetos definidos de manera centralizada. Existen objetos de red, servicios, protocolos y mensajes ICMP. • Cortafuegos con control de estado.- Los cortafuegos dinámicos o con control de estado ofrecen mejores niveles de seguridad que los cortafuegos estáticos usados hasta ahora. Mediante la correcta configuración del cortafuegos podrá proteger el MSB ante accesos no autorizados. • Gestión del Tráfico.- El MSB puede disponer de tantas sondas de tráfico como desee. Estas sondas recolectarán información de tráfico de una interfaz concreta para ser analizada por el administrador. Se recomienda, al menos, la monitorización de cada una de interfaces del MSB para un correcto estudio del mismo. • Volcado de configuración.- Permite almacenar en un único fichero la base de datos de configuración del sistema para clonar otros equipos o como copia de seguridad. • Logs remotos.- Por defecto el sistema almacena los logs en local. Si dispone de un servidor compatible syslog, puede configurar el MSB para que envíe los logs a ese equipo usando el protocolo UDP/TCP o un túnel SSL. • Servidor SSH.- El sistema de administración gráfica se conecta al cortafuegos a través del protocolo de comunicaciones seguras SSH v2. - 11 -
  12. 12. 1.5 Instalación redConsole, la aplicación de gestión de redBorder SE, requiere para su funcionamiento de una máquina virtual JAVA v1.5 o superior correctamente configurada. Asegúrese de que sea así antes de proceder. Para instalar la aplicación tan sólo necesitará ejecutar el programa 'setup.jar', bien haciendo doble clic sobre el archivo (si así lo permite el sistema operativo), o bien ejecutando el comando: admin@server $> java -jar setup.jar Lo primero que aparecerá será la selección del idioma de la instalación. A continuación aparecerá el acuerdo de licencia, indispensable para la instalación del software. Si la acepta, el instalador le pedirá el directorio donde instalar el programa. Una vez introducido el directorio, el programa comienza su instalación. Tras esto, será necesario indicar el grupo de programas y si se quiere un acceso directo en el escritorio (versión Windows). Pulsando “Siguiente” se finaliza la instalación. 1.5.1 Creación de accesos directos Una vez realizado el proceso de instalación de los binarios, podrá acceder al programa de diversas formas según el sistema operativo de la máquina cliente. 1.5.2 Microsoft Windows Podrá acceder a la aplicación redConsole mediante el grupo de programas que seleccionó en la instalación, el icono de acceso directo del escritorio (si así lo solicitó) o directamente por línea de comandos (se verá más adelante). - 12 -
  13. 13. 1.5.3 UNIX/Linux Debido a la diversidad de escritorios existentes en Unix/Linux se hace necesario el uso de la línea de comandos para estandarizar la ejecución. Sin embargo ciertos escritorios, como gnome o kde, facilitan la creación de entradas en los menús de aplicaciones o la creación de iconos de enlace directo en el escritorio, haciendo su ejecución semejante al entorno Windows de Microsoft. Queda en manos del administrador de la máquina cliente realizar tales entradas. Para el inicio de la aplicación deberá ejecutar en el directorio de instalación del programa el siguiente comando: admin@server $> java -jar redborder.jar 1.5.4 MacOS X La ejecución de la aplicación en este sistema no es diferente de la de cualquier sistema Unix. - 13 -
  14. 14. 2 Instalación del MSB El MSB es el elemento clave del sistema de redBorder SE. Es quien proporcionará las imágenes al resto de blades y quien monitorizará el buen funcionamiento del chasis. El sistema base en el que está instalado es compatible Red Hat® Enterprise Linux 5 (RHEL5 o CentOS5). Sobre dicho sistema se instalarán una serie de paquetes que aseguren el buen funcionamiento de redBorder SE. El proceso de instalación se debe realizar en dos fases principales: • Instalación del sistema base y los paquetes mínimos necesarios. • Instalación de redBorder SE y su configuración. Los requisitos para una correcta instalación de redBorder SE son los siguientes: • bash • perl • net-snmp, net-snmp-libs, net-snmp-utils • pcre • freetype • libart_lgpl • gnutls • postgresql, postgresql-server • xinetd • tftp-server - 14 -
  15. 15. • dhcp • nfs-utils-lib, nfs-utils • portmap • libpcap • ntp • rrdtool • drbd • heartbeat Todos estos paquetes son instalados automáticamente con el DVD de instalación. 2.1 Pasos de instalación La instalación de redBorder SE implica la configuración previa de varios elementos del chasis: • Configuración inicial del Módulo de Gestión (MM/AMM) • Configuración inicial de los switches • Instalación de redBorder SE Si el chasis está correctamente instalado, antes de proceder a la instalación del sistema operativo y del software de redBorder SE, hay que realizar los siguientes pasos: • Configuración de los módulos de gestión. • Direccionamiento IP. • Verificación del firmware mínimo necesario. • Configuración del servicio SNMP. - 15 -
  16. 16. • Configuración de los módulos de E/S. • Direccionamiento IP • Verificación del firmware mínimo necesario. • Configuración del servicio SNMP. Para que la comunicación interna entre los MSB sea correcta, deberá configurar los switch para permitir el tráfico de la VLAN de gestión entre los puertos involucrados en dicha comunicación. Por ejemplo, tomando como VLAN interna la 10 en los blades 1 y 2: /* Configuration dump taken 1:07:03 Sun Jan 1, 2000 /* Version 1.2.4, Base MAC address XX:XX:XX:XX:XX:XX /c/port INT1 pvid 10 tagpvid ena /c/port INT2 pvid 10 tagpvid ena /c/l2/vlan 10 ena name "VLAN 10" def INT1 INT2 /c/l2/stg 1/clear /c/l2/stg 1/add 1 10 / script end /* Para más detalles, será necesario que el lector consulte el Anexo A "Configuración de traps del MM", Anexo B "Creación de usuarios SNMP en el MM", Anexo C "Configuración inicial de la red" y Anexo D "Creación de los usuarios SNMP en el switch". - 16 -
  17. 17. Es necesario igualmente permitir que los puertos externos de los switches puedan ser configurados vía SNMP: I/O Module Tasks → Admin/Power/Restart → Select Module → External Ports → Enabled. Una vez hechas estas modificaciones, si el chasis sobre el que está trabajando es un IBM con un módulo de gestión avanzado (AMM), será necesario guardar la configuración en la memoria del mismo mediante el menú MM Control → Configuration Mgmt → Save Configuration to Chassis: La instalación del sistema redBorder SE sobre un sistema basado en blades se puede realizar 'in situ' mediante la consola directa del - 17 -
  18. 18. sistema de gestión o vía KVM virtual, habitual en los distintos fabricantes. Por ejemplo, el sistema BladeCenter de IBM: En sistemas Dell, por ejemplo, se usa la interfaz iDrac, que lanza una consola virtual basada en java parecida al applet de la consola de IBM. Será necesario para la instalación indicar en el blade que el inicio del sistema será por CD/DVD. Para ello se deberá configurar bien en la BIOS del propio blade o bien vía el módulo de gestión del chasis (MM/AMM en IBM o CMC en Dell por ejemplo). Cuando se empiece a leer el CD/DVD, lo primero que nos saldrá en la consola es la pantalla del instalador de Red Hat/CentOS (Sistema base del MSB): - 18 -
  19. 19. El sistema por defecto inicia el instalador en modo texto, el más adecuado ya que el sistema operativo del MSB no necesita de modo gráfico alguno. Basta, pues, con pulsar la tecla <ENTER>. A partir de aquí la instalación es la de una distribución Red Hat/CentOS normal en la que se han omitido aquellos pasos que no son necesarios. Simplemente tendremos que: elegir el idioma, el teclado, y la clave de root. No es necesario modificar más parámetros para una instalación básica. - 19 -
  20. 20. A continuación se muestran una serie de capturas de pantalla de la instalación: - 20 -
  21. 21. - 21 -
  22. 22. Una vez se haya completado la instalación, reiniciamos el MSB tal y como se especifica en el instalador. Con esto hemos completado la primera fase de la instalación: “Instalación del sistema base y los paquetes mínimos necesarios”. Tras el reinicio, deberá hacer login en el sistema introduciendo 'root' como nombre de usuario, y la clave que eligió en el momento de la instalación. En este momento, y al ser la primera vez que se inicia el sistema, se invocará automáticamente el script de configuración del sistema redBorder SE, comenzando con la aceptación de la licencia: Tras aceptar la licencia, se pararán algunos servicios que necesitan ser reconfigurados y se pedirá si quiere que se busque alguna configuración MSB existente. Esto será muy útil cuando lo que se haya instalado sea el MSB de respaldo (el esclavo). Si el MSB es el maestro, deberá decir que no. Es importante indicar que no se debe ejecutar desde una sesión ssh, puesto que uno de los servicios a reconfigurar es el de red. La siguiente pantalla le pide si desea activar o desactivar el soporte de los módulos de alertas y tráfico (explicados más adelante). Normalmente son módulos no incluidos en las licencias básicas y su activación sólo será útil si y sólo si ha adquirido las licencias necesarias. - 22 -
  23. 23. La siguiente pantalla presenta los parámetros de configuración de la red externa, con valores por defecto. Dichos parámetros representan los valores de red accesibles desde el exterior del chasis necesarios para la gestión del sistema redBorder SE. Lo mismo ocurre en la siguiente pantalla, salvo que se refiere a valores de la red interna del chasis. El sistema redBorder SE reservará un rango de direcciones IP internas para el servicio DHCP necesario para el arranque vía PXE de los blades SSB. - 23 -
  24. 24. A continuación deberá indicar los valores de servidores DNS, NTP así como las interfaces de red (esto último mediante su dirección MAC). Deberá comprobar que el orden en que el sistema operativo ha mapeado las interfaces de red es el correcto, es decir, correspondan con el orden detectado por el módulo de gestión. En el caso de IBM será por ejemplo: Siguiendo con el ejemplo, la configuración del bonding quedaría como sigue: • bond0 eth0 -> 00:1a:64:33:19:34 eth1 -> 00:1a:64:33:19:36 • bond1 eth2 -> 00:0e:1e:00:1b:24 eth3 -> 00:0e:1e:00:1b:25 - 24 -
  25. 25. La siguiente pantalla presenta el tamaño por defecto seleccionado para la partición dedicada al sistema DRBD, en unidades de PE (extensiones físicas, cada extensión equivale a 32Mbytes). Asimismo, Se presenta una clave precompartida por defecto para el sistema DRBD, que el administrador puede usar o modificar si lo desea. Cuando se realice la instalación en el segundo MSB la clave la obtendrá automáticamente si decide activar la búsqueda de configuraciones de MSB existentes, por lo que no es necesario recordarla de una instalación a otra. Se pedirá confirmación de la configuración creada. - 25 -
  26. 26. Tras confirmar la creación del volumen lógico, se procederá finalmente a la creación de la partición drbd y configuración de todos los servicios involucrados en el sistema redBorder SE. Nota: hay que asegurarse que la clave elegida en las instalaciones de los dos MSB para la partición compartida es la misma, ya que si no se indica lo contrario la clave se genera aleatoriamente. Finalmente se le pedirá confirmación para que el MSB actual se le considere como maestro. Tras esto será necesario reiniciar. - 26 -
  27. 27. Tras el reinicio, ya tiene su sistema redBorder SE totalmente operativo y listo para aprovisionar imágenes una vez las tenga creadas y configuradas. Elementos a chequear para verificar el estado de la instalación: • Ver si está levantado el servidor de DRBD. Nos debe aparecer algo como lo siguiente: [msb01]# /etc/init.d/drbd status drbd driver loaded OK; device status: version: 8.0.11 (api:86/proto:86) GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by buildsvn@c5-i386-build, 2008-02-13 19:40:55 m:res cs st ds p mounted fstype 0:shared WFConnection Primary/Unknown UpToDate/UpToDate C /opt/rb/shared ext3 En la parte que dice UpToDate/Unknown significa que el nodo en el que se ha ejecutado el drbd está actualizado y que el otro extremo es desconocido. Esto es lógico si aún no hemos instalado el MSB de respaldo. • Verificar si heartbeat está iniciado: [msb01]# /etc/init.d/heartbeat status - 27 -
  28. 28. heartbeat OK [pid 320 et al] is running on msb01 [msb01]... Evidentemente el PID puede variar de unas instalación a otra. • Verificar los servicios virtuales levantados por heartbeat: [msb01]# crm_mon Defaulting to one-shot mode You need to have curses available at compile time to enable console mode ============ Last updated: Mon Jul 14 13:31:16 2008 Current DC: msb02 (22222222-2222-2222-2222-222222222222) 2 Nodes configured. 1 Resources configured. ============ Node: msb01 (11111111-1111-1111-1111-111111111111): online Node: msb02 (22222222-2222-2222-2222-222222222222): offline Resource Group: grp_drbd rsc_drbd (heartbeat:drbddisk): Started msb01 rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01 rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01 rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01 rsc_fw (lsb:eneo_fw): Started msb01 rsc_nfs (lsb:nfs): Started msb01 rsc_nfslock (lsb:nfslock): Started msb01 rsc_apache (lsb:httpd): Started msb01 rsc_xinetd (lsb:xinetd): Started msb01 rsc_dhcp (lsb:dhcpd): Started msb01 rsc_snmptrapd (lsb:snmptrapd): Started msb01 rsc_rb_provd (lsb:rb_provd): Started msb01 rsc_rb_stats (lsb:rb_stats): Started msb01 rsc_collectd (lsb:collectd): Started msb01 rsc_prelude-lml (lsb:prelude-lml): Started msb01 rsc_nprobe (lsb:nprobe): Started msb01 rsc_flow-capture (lsb:flow-capture): Started msb01 rsc_pgsql (heartbeat::ocf:pgsql): Started msb01 rsc_prelude-manager (lsb:prelude-manager):Started msb01 Con esto vemos que todos los servicios han sido levantados en el msb01. Una vez instalado el MSB01 debemos conectarnos con la ayuda de redConsole para empezar a configurar nuestros chasis. Aunque - 28 -
  29. 29. puede proceder con la instalación del MSB02, como se hacía en versiones anteriores, si configura adecuadamente el MSB01 automáticamente se clonará el MSB02 formando el cluster de MSBs. Si el cluster está bien montado debemos obtener la siguiente salida: [msb01]# /etc/init.d/drbd status drbd driver loaded OK; device status: version: 8.0.11 (api:86/proto:86) GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by buildsvn@c5-i386-build, 2008-02-13 19:40:55 m:res cs st ds p mounted fstype 0:shared Connected Primary/Secondary UpToDate/UpToDate C /opt/rb/shared ext3 Lo cual significa que ambos extremos están actualizados. [msb01]# crm_mon Defaulting to one-shot mode You need to have curses available at compile time to enable console mode ============ Last updated: Mon Jul 14 13:31:16 2008 Current DC: msb02 (22222222-2222-2222-2222-222222222222) 2 Nodes configured. 1 Resources configured. ============ Node: msb01 (11111111-1111-1111-1111-111111111111): online Node: msb02 (22222222-2222-2222-2222-222222222222): online Resource Group: grp_drbd rsc_drbd (heartbeat:drbddisk): Started msb01 rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01 rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01 rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01 rsc_fw (lsb:eneo_fw): Started msb01 rsc_nfs (lsb:nfs): Started msb01 rsc_nfslock (lsb:nfslock): Started msb01 rsc_apache (lsb:httpd): Started msb01 - 29 -
  30. 30. rsc_xinetd (lsb:xinetd): Started msb01 rsc_dhcp (lsb:dhcpd): Started msb01 rsc_snmptrapd (lsb:snmptrapd): Started msb01 rsc_rb_provd (lsb:rb_provd): Started msb01 rsc_rb_stats (lsb:rb_stats): Started msb01 rsc_collectd (lsb:collectd): Started msb01 rsc_prelude-lml (lsb:prelude-lml): Started msb01 rsc_nprobe (lsb:nprobe): Started msb01 rsc_flow-capture (lsb:flow-capture): Started msb01 rsc_pgsql (heartbeat::ocf:pgsql): Started msb01 rsc_prelude-manager (lsb:prelude-manager):Started msb01 Esta salida significa que ambos nodos están activos en el cluster. - 30 -
  31. 31. 3 Ventana Principal redConsole es un entorno de administración centralizado para una red desplegada de MSBs. Desde la ventana principal controlamos todos los sistemas de manera agrupada. Para lanzar la aplicación pulsaremos sobre el icono creado durante el proceso de instalación tal y como se detalla en capítulos anteriores. La primera vez que se ejecuta redConsole, preguntará el idioma por defecto de la aplicación, pudiéndose cambiar posteriormente a través del menú Herramientas. Después se muestra la ventana principal desde donde se configuran las carpetas (agrupaciones de MSBs) y los MSBs a administrar. La ventana principal se compone de tres partes claramente diferenciadas: • Barra de Menú.- Recoge toda las funciones asociadas a la ventana principal. • Barra de Herramientas.- Incluye las funciones más comunes. • Árbol de Terminales.- En este cuadro se incluyen todos los terminales que se desean configurar a través de la aplicación redConsole en forma de árbol. Para mantener de una forma estructurada los terminales se han considerado tres niveles de organización: • Primer Nivel (nivel de carpeta).- Especificamos un grupo en el cual podremos insertar terminales. De esta manera podemos ubicar los terminales en base a alguna característica común (cliente, provincia, tipo de hardware, tipo de contrato). • Segundo Nivel (nivel de terminal).- Es el nivel donde debemos introducir los terminales. Los - 31 -
  32. 32. terminales no pueden estar en cualquier lado sino que deben situarse en algún grupo o carpeta. • Tercer Nivel (nivel de módulo).- Cada uno de los terminales dispone de una serie de módulos (Sistema, Objetos, Blade Control, etc). Este nivel sólo aparecerá cuando nos conectemos con algún MSB. 3.1 Creación de Terminales Cada terminal tiene una serie de opciones en común: • Nombre del Terminal.- Se corresponde con el nombre que le daremos al terminal para reconocerlo fácilmente. • Puerto.- Como ya se ha comentado, la aplicación redConsole interactúa con el terminal a través del protocolo seguro SSH v2. Es por tanto en este punto donde indicamos en qué puerto escucha el servidor SSH instalado en redBorder SE. El puerto se puede variar pero por defecto se toma el estándar (puerto 22). • Dominio / IP.- En este cuadro especificamos la dirección IP donde se encuentra el terminal. La dirección puede ser una única dirección IP o un nombre de dominio, en cuyo caso la interfaz resolverá el nombre de dominio introducido. Podemos crear distintos MSBs/terminales cada uno con unas características concretas. Para añadir un elemento basta con usar el menú “Edición/Añadir”: • Carpeta.- Son meramente organizativas, nos permiten agrupar cualquier tipo de terminal. • MSB.- Terminal para configurar. Este es el terminal más importante. • Colector.- Los colectores recogen toda la información referente al consumo de ancho de banda en la red y nos muestran información útil y legible en forma de gráficos. - 32 -
  33. 33. • Alertas.- El MSB almacena todos los eventos ocurridos en el mismo en una base de datos. A través de este terminal podrá visualizar dichas alertas de una forma gráfica y sencilla. • Espejo.- Esta es una forma especial de terminal que permite la configuración en espejo de varios MSB del mismo tipo. • MSB Virtual.- Es igual que el MSB en espejo pero en este caso se permite sobreescritura de objetos con el fin de lograr configuraciones más complejas. Se pueden crear tantas carpetas y MSB como sean necesarias (siempre y cuando la licencia lo permita). Es decir, podríamos agrupar varios MSBs en una misma carpeta para representar su pertenencia a una misma organización, provincia, tipo de hardware, etc. De esta manera logramos un control centralizado a través de redConsole de todos los MSB contratados de una forma flexible y ordenada. 3.2 Funciones Una vez comprendidas las partes de las que se compone la ventana principal veremos qué funciones podemos realizar. Existen cuatro medios de actuación: • Barra de Menú.- Situada en la parte superior de la ventana. • Barra de Herramientas.- Situada justo debajo de la barra de menú. • Menú Popup.- Menú contextual que aparece si pulsamos el botón derecho del ratón sobre el árbol de terminales. • Teclas de acceso rápido.- Que permiten una interacción rápida con algunas funciones. - 33 -
  34. 34. Como norma general, cualquier acción a realizar en cualquier ventana, está recogida en el menú pero, para facilitar la interacción con el usuario, se hace uso del resto de medios de acción. El manual se centra en explicar todas las funciones del menú y comentar cuáles de estas funciones se han considerado como de uso común incluyéndose así en la barra de herramientas, menú popup o teclas de acceso rápido. 3.2.1 Menú Archivo • Salir.- Cierra y termina la aplicación redConsole. En caso de tener algún terminal abierto cerrará las sesiones establecidas con todos ellos antes de salir. Como cualquier otra aplicación de entorno de escritorio podemos igualmente cerrar la aplicación pulsando Alt+F4 o pulsando con el ratón sobre el botón de “Cerrar ventana”. 3.2.2 Menú Edición Se encarga de las funciones de edición de la parte principal de la ventana, es decir, el árbol de terminales. • Añadir.- Podemos añadir cualquier tipo de nodo en nuestro árbol de MSBs. Para añadir ciertos terminales, se puede hacer uso de la barra de herramientas. • Eliminar.- Se encarga de la eliminación de los MSB del árbol. Es importante notar que la eliminación de un terminal no implica nada sobre su configuración real, sino que simplemente elimina la referencia del terminal en redConsole sin actuar sobre la máquina en remoto. Siempre podrá volver a añadir el terminal y acceder a su configuración si lo requiere. Existen dos posibilidades: • Eliminar Actual.- Eliminará el nodo que tengamos seleccionado. En caso de seleccionar una carpeta eliminará todos los terminales de esa carpeta. Como en cualquier explorador de ficheros, también podemos eliminar el nodo seleccionado mediante la tecla 'suprimir'. - 34 -
  35. 35. • Eliminar Todos.- Eliminará todos los nodos del árbol. Como antes, siempre pedirá conformidad puesto que el cambio es irreversible. 3.2.3 Menú Ver Recogemos las funciones de visualización y edición de las propiedades de cualquier nodo del árbol. • Propiedades.- Función que permite modificar los parámetros de un MSB (nombre, puerto y dirección) o cambiar el nombre de un grupo de terminales (carpeta). Para ello tendremos, previamente, que seleccionar el nodo en cuestión. También podemos acceder a esta función a través de la barra de herramientas o el menú popup o mediante la tecla de acceso rápido F2. 3.2.4 Menú Herramientas En este menú se recogen todas la funciones avanzadas asociadas a un terminal, por tanto deberemos de tener seleccionado un terminal sobre el que actuar. • Conectar.- Se procede a la conexión con el terminal mediante el protocolo SSH con la dirección y puerto indicado en las propiedades del terminal. Ésta es quizás la acción mas común de todas y por ello se incluye en la barra de menú, en el menú popup e incluso haciendo doble clic con el ratón sobre el terminal con el que queremos conectar. • Cargar Configuración Salvada.- Igualmente conectaremos con el terminal pero esta vez cargaremos ciertos datos de una configuración almacenada localmente. Igualmente esta acción puede ser ejecutada a través del popup. • Ver Configuración Salvada.- A través de redConsole podemos guardar configuraciones de nuestros terminales y es a través de este menú como se pueden visualizar dichas configuraciones en modo 'offline'. - 35 -
  36. 36. • Puntos de restauración.- Cada vez que nos conectamos con el terminal o cambiamos la configuración del mismo se guarda de forma local una copia de seguridad o punto de restauración. Por defecto se guardan hasta 30 puntos de restauración diferentes. Esto nos permite visualizar, cargar o comparar configuraciones anteriores a la actual lo que facilita enormemente la administración del terminal. • Cargar configuración.- Dos tipos: de Conexión anterior y de Transmisión anterior. • Conexión anterior.- Cada vez que conectamos con el terminal se hace una copia de seguridad de los datos, que por tanto recogen la configuración antes de cualquier modificación que pudiera realizarse durante la nueva conexión. Sólo se hará backup de la última conexión, de tal manera que si vuelve a conectar con el terminal perderá la copia de seguridad antigua, ya que será reemplazada por otra nueva. • Transmisión anterior.- Como ya sabemos, para hacer efectiva una configuración de un terminal, debemos transmitir dicha configuración. Es justo antes de este momento cuando redConsole realiza otra copia de seguridad antes de hacer efectiva la nueva configuración. El momento en que se realiza cada conexión y la durabilidad de las mismas se comprenderá mucho mejor mediante el siguiente diagrama. - 36 -
  37. 37. Supongamos primero que redConsole dispone de una configuración inicial que llamaremos conf1: Momento Configuración almacenada redConsole (activa) Última Conexión Última Transmisión Inicio de la Aplicación conf1 - - Conexión al Terminal conf1 conf1 - Modificación de datos conf1 conf1 - Transmisión de datos conf2 conf1 conf1 Modificación de datos conf2 conf1 conf1 Transmisión de datos conf3 conf1 conf2 Desconexión conf3 conf1 conf2 Podemos observar que las copias de seguridad sólo se efectúan en la conexión y en la transmisión pudiendo recuperar datos anteriores en caso de que lo deseemos. Como ya veremos también es posible guardar la configuración en cualquier momento de forma local y recuperarla a través del menú “Herramientas/Cargar configuración local”. • Licencia.- Este menú recoge las funciones básicas relativas a la licencia del terminal: • Importar Licencia.- Importa una licencia para el terminal seleccionado a partir de un fichero. - 37 -
  38. 38. • Ver licencia.- Muestra el tipo de licencia instalada en el terminal. • Obtener parámetros de la licencia.- Cuando no se dispone de una licencia para el terminal seleccionado debemos obtener una determinada información del mismo con el fin de que se pueda generar una licencia. Esta función muestra los parámetros necesarios para la generación de una licencia válida para dicho terminal. • Actualizar el terminal.- Actualiza el o los terminales seleccionados. • Reiniciar equipo.- Reiniciará el o los terminales seleccionados. • Cambiar contraseña.- Para configurar un terminal es necesario conocer su contraseña. Mediante este menú podemos cambiar la contraseña del terminal. Nota: la contraseña por defecto es “marte”. • Cambiar el Idioma.- Para cambiar el idioma de la aplicación. • SSH.- Menú asociado al protocolo de comunicación SSH: • Terminal SSH.- Abre una ventana que nos permitirá conectarnos por SSH con cualquier terminal. En caso de tener un terminal seleccionado intentará conectar con el mismo. • Importar clave RSA.- Existen dos modos de autenticación con el terminal mediante SSH: password y clave RSA. Esta opción nos permite importar una clave RSA del terminal con el que conectar. Nota: el primer modo probado es siempre mediante clave RSA. • Exportar clave RSA.- Permite copiar la clave RSA del terminal seleccionado para copiarla en otro destino. • Limpiar firmas RSA conocidas.- Cada vez que redConsole abre una conexión con un terminal guarda una firma digital única que identifica a dicho terminal. - 38 -
  39. 39. Esto nos permite evitar ataques de suplantación de IP. Mediante esta función eliminamos todas las firmas de todos los terminales conocidos. • Editor de claves RSA conocidos.- Esta opción nos permite la edición individual de cada una de las llaves RSA. • Incluir imagen en los informes en PDF.- Selección de la imagen a incluir en la creación de informes PDF. • Borrar imagen de los informes PDF.- Elimina la imagen almacenada para la creación de informes PDF. • Configurar Proxy HTTP.- Es posible que para que redConsole pueda conectarse con internet necesite de la utilización de un proxy. Mediante esta opción podemos indicar la ip del proxy, nombre de usuario y contraseña si fuera necesario. redConsole se conecta al exterior por web para dos funciones: • Actualizar redConsole. • Mostrar las noticias RSS de la aplicación. • Noticias RSS antiguas.- Muestra las noticias RSS antiguas o ya leídas de redConsole. • Tips.- Muestra el clásico diálogo de sugerencias de la aplicación. 3.2.5 Menú Ayuda Existen tres funciones: • Actualizar redConsole.- Permite la actualización de la aplicación. Para ello es necesario disponer de un usuario y contraseña. Póngase en contacto con su proveedor si no dispone de unos valores válidos. • Contenidos.- Abre el navegador mostrando el manual de redConsole en PDF. - 39 -
  40. 40. • Acerca de .- Típico menú de ayuda en el que encontrará información de la versión y la empresa desarrolladora de la aplicación. 3.3 Noticias redConsole tiene un sistema de noticias integrado (usando tecnología RSS) que aparece en la parte inferior de la ventana en forma de líneas anaranjadas. Hay tres tipos de noticias diferenciables por su respectivo icono: • Noticias normales • Actualizaciones • Seguridad Puede necesitar configurar el proxy en el menú “Herramientas” para poder conectarse al servidor de noticias. - 40 -
  41. 41. 4 Ventana de Terminal Nuestro objetivo es la configuración y gestión de un terminal de forma remota. Para ello debemos conectar con cualquiera de los terminales que dispongamos en la ventana principal obteniendo así la ventana de terminal. Dicha ventana no es más que un reflejo de la base de datos asociada al terminal conectado, presentándose de una forma más cómoda y fácil de manejar. Las comunicaciones llevadas a cabo con el terminal se realizan mediante el protocolo de comunicaciones seguro SSH v2. La sesión es iniciada en el momento de conexión con el terminal y no termina hasta que no se cierra la ventana de terminal. Mientras se disponga la ventana de terminal abierta existirá un medio de comunicación establecido entre la aplicación y dicho terminal. Para hacer notar cuándo la sesión SSH está abierta o mostrar qué terminales tiene conectados, en el icono del terminal se mostrará encendido un led verde simulando la conexión. En el caso de que intentemos conectar con el terminal nuevamente, simplemente mostrará la ventana de terminal asociada a la conexión anterior. Si quisiéramos realmente volver a conectar deberíamos primero desconectar del terminal, cerrando la ventana de terminal, para así poder conectar nuevamente. En esta ventana se configuran los módulos correspondientes a cada terminal, los módulos serán tratados independientemente en apartados posteriores. No es objetivo de este capítulo explicar ahora cada uno de ellos sino explicar las características comunes. 4.1 Manejo Para mostrar la configuración de cada uno de los módulos debemos previamente seleccionar dicho módulo. Se puede realizar a través de: • Menú Módulo de la Barra de menú del Terminal. • Haciendo click sobre los iconos de los diferentes módulos en la Ventana principal. - 41 -
  42. 42. Sólo se mostrarán los módulos que tenga instalado del terminal o permita la licencia instalada en el mismo. La detección de qué módulos tiene activados cada terminal se realiza en el periodo de conexión, por lo que es posible disponer de varios terminales contratados teniendo cada uno distintas funcionalidades. La aplicación mostrará y configurará aquello que tenga contratado cada terminal. Cuando conectamos con varios terminales dispondremos de ventanas y conexiones independientes entre todas ellas. Para detectar con qué terminal está asociado una de las ventanas de terminales disponible se muestra en la parte superior de la misma la información del terminal conectado con el siguiente formato: nombre – dirección - puerto ( grupo ) “Módulo Activo” De esta forma logramos un sistema de configuración centralizado con el que podemos configurar y gestionar cualquier terminal independientemente de su localización, estructura o funcionalidades contratadas. En este apartado veremos qué podemos realizar a través de la Ventana de Terminal. Todas estas características son comunes a todos los módulos activos en el terminal. 4.1.1 Menú Archivo • Guardar Configuración.- Esta función tomará la configuración de todos los módulos y la guardará en un fichero especial. Previamente se verificará que la configuración que se pretende guardar es coherente y no tiene errores. Una vez verificados los módulos se preguntará al usuario dónde desea guardar la configuración. Los ficheros de configuración de redConsole tendrán la extensión ".mgc" que será añadida automáticamente en caso de no especificarla. Para volver a una configuración salvada deberá de elegir la opción de “Cargar configuración Local” en el Menú Herramientas de la ventana principal seleccionando una de las configuraciones salvadas previamente. - 42 -
  43. 43. • Guardar Informe HTML.- Crea y guarda un informe general (con los módulos que se hubieran indicado en la opción "Propiedades del informe") en formato HTML. • Guardar Informe PDF.- Similar al anterior, pero en un documento PDF. • Guardar Pantalla PDF.- Crea un informe PDF que se presenta en la pantalla actual. • Propiedades del informe.- Permite seleccionar los módulos de los que se realizarán los informes. • Salir.- Cerrará la Ventana de Terminal finalizando con la sesión SSH que tenía abierta. 4.1.2 Menú Módulo A través de este menú podemos cambiar de un módulo a otro para mostrar su configuración. Sólo se mostrarán los módulos que tiene activos en el terminal. 4.1.3 Menú Transmitir Este función se encarga de la transmisión de la configuración presente en la Ventana de Terminal al terminal conectado. Al igual que en el caso de Guardar Configuración en el menú Archivo, antes se realizará una comprobación de los datos detectando posibles errores. Una vez transmitida la configuración se reiniciarán los servicios implicados de forma automática y transparente al usuario. Para mantener una consistencia en los datos, en determinadas circunstancias es necesario transmitir todos los módulos o, excepcionalmente, reiniciar la máquina. En estos casos, antes de realizar cualquier transmisión, se le preguntará al usuario si desea continuar. Todas las funciones de este menú están asociadas a la transmisión de la configuración al otro extremo pero de diferentes maneras: - 43 -
  44. 44. • Transmitir Actual.- Transmite el módulo que tenga seleccionado en la Ventana de Terminal. El módulo Objetos siempre se transmitirá puesto que es un elemento base. • Transmitir Todos.- Transmite todos los módulos activos en el terminal. • Selección.- Transmitirá sólo aquellos módulos que tenga seleccionados. Seleccionando este menú se abre un desplegable en el que se muestran todos los módulos activos mediante un selector. Se transmitirán todos aquellos módulos que tengan dicho selector habilitado una vez pulsando el “Transmitir” del desplegable del menú “Selección”. Como puede observar el menú de Objetos siempre esta seleccionado y no se puede modificar. En caso de existir algún cliente conectado previamente, las opciones anteriores no aparecerán habilitadas en el menú Transmitir. Será necesario marcar primero la opción “Desbloquear” para poder acceder a ellas. Esto se utiliza como mecanismo de seguridad, para avisarnos de la existencia de otros clientes conectados. 4.1.4 Menú Herramientas • Reiniciar equipo.- Reinicia el terminal de forma remota. Evidentemente perderá la sesión SSH, luego tendrá que volver a conectar con el terminal si desea realizar más cambios. • Apagar equipo.- Apaga el terminal de forma remota. • Comprobar estado.- Comprueba el estado del módulo que se indique. En algunos casos da información que puede ser útil para la monitorización del servicio. • Ver modificaciones en la base de datos.- Muestra las modificaciones de la base de datos desde el momento de la conexión o desde la última transmisión (si es que se hizo) - 44 -
  45. 45. • Buscar.- Función que nos permite buscar un texto dentro de redConsole en todos los módulos asociados al terminal. Se muestra un diálogo en el que nos permite seleccionar los módulos en los que se realizarán la operaciones de búsqueda. Mediante la tecla de acceso rápido Ctrl+F podemos acceder a esta función. • Tips.- Muestra sugerencias acerca de redConsole pero en este caso asociados al terminal conectado. 4.1.5 Menú Asociado al Módulo Activo Este menú sólo esta disponible para ciertos módulos que lo requieran. Recoge funciones asociadas al módulo en cuestión y por ello serán tratadas en apartados posteriores. - 45 -
  46. 46. 5 Módulos principales Los módulos principales son los incluidos en un terminal estándar, aunque no siempre todos están activos ya que éstos dependen tanto del hardware como de la licencia que se esté usando. 5.1 Sistema El módulo de Sistema recoge toda la parte de configuración de la máquina en sí. Constituye, junto con el módulo de Objetos, uno de los módulos base del cual dependen el resto de módulos. Debemos tener en cuenta que una modificación inadecuada en este módulo podría suponer la pérdida de contacto con la máquina, de ahí su importancia. Es por esta razón por la que debe prestar especial cuidado a la hora de modificar ciertos parámetros. El módulo de Sistema se divide en 5 partes: • Resúmen.- Muestra un resúmen del estado del MSB conectado. • Sistema.- Parámetros básicos de sistema. • SSH.- Configuración del servidor SSH del terminal usado por redConsole para comunicarse con el MSB. • Logs.- Visor de logs del MSB conectado. • Estado.- Creación de informes básicos en HTML del estado de la máquina. 5.1.1 Resúmen Esta pantalla muestra un resúmen del estado del MSB conectado. A modo de ejemplo tenemos: - 46 -
  47. 47. Se divide en tres partes claramente diferenciadas: • Estado del chasis.- Estado de los blades del chasis controlado por el MSB. • Estado del MSB.- Estado de la CPU y carga del MSB conectado. • Tabla de propiedades.- En esta tabla se recogen los siguientes campos: • Nombre del terminal. • Usuarios conectados. • Tiempo local del MSB. • Uptime. Tiempo que lleva encendida la máquina y la carga de la misma en modo texto. • Versión del software de redBorder instalada en el MSB. • Validez de la licencia instalada en el MSB. - 47 -
  48. 48. • Número de MSBs que forman el cluster. • Estado de la partición DRBD del cluster. 5.1.2 Sistema Este apartado se encarga de los siguientes parámetros: • Nombre del Sistema.- Nombre interno del MSB. • Fecha actual del Sistema. • Hora de conexión.- Hora de conexión con el MSB. • E-Mail del Administrador.- Se especifica el correo del administrador al que se le enviarán alertas si es necesario. • E-Mail de respuesta.- Se especifica el correo origen con el que se enviarán los mensajes. Cuando el administrador reciba una notificación via email conocerá el MSB al que hace referencia gracias a este campo. • Servidor SMTP (relay).- Servidor SMTP usado para enviar cualquier correo de administración. • Puerto.- Puerto de escucha del servidor SMTP • Requiere autenticación.- Esta opción debe estar marcada sólo si el servidor SMTP configurado requiere autenticación. • Usuario.- Nombre de usuario usado para la autenticación con el servidor SMTP. • Contraseña.- Contraseña utilizada para la autenticación con el servidor SMTP. - 48 -
  49. 49. 5.1.3 SSH El servidor SSH es una de las bases del sistema de configuración. Todas las comunicaciones que se efectúan entre redConsole y el MSB se hacen a través del protocolo de comunicaciones seguro SSHv2. Una modificación inadecuada del servidor SSH podría suponer la pérdida de la conexión con el terminal para futuras sesiones. - 49 -
  50. 50. Los parámetros configurables son: • Puerto de escucha.- Es el puerto donde escuchará el servidor SSH. Por defecto será el puerto 22. Al tratarse de un puerto (servicio) se mostrará, como es lógico, la lista de objetos servicio que tenga definido. • Habilitar acceso por contraseña.- Si esta marcado, se permitirá el acceso por contraseña y por clave RSA. En caso de estar desmarcado sólo se permitirá el acceso por clave RSA. Aunque redBorder SE puede ser configurado desde cualquier equipo de la red, es recomendable que el servidor SSH sólo escuche en la interfaz de gestión y cortarlo para otras interfaces. Este es el modo más seguro puesto que evita posible conexiones SSH desde el exterior. Para ello, deberá realizar las acciones adecuadas en el módulo de Cortafuegos. Debemos tener en cuenta también el puerto de escucha del servidor SSH. La modificación del puerto implicará una modificación en las propiedades del terminal para conexiones futuras. Para reforzar la seguridad, es posible usar claves RSA/DSA para la autenticación. Lo más seguro es crear claves RSA/DSA únicas para cada administrador en caso de ser varios los administradores del equipo, y desactivar el acceso por contraseña. El servidor SSH también puede ser usado para una administración a bajo nivel sólo disponible para usuarios avanzados. 5.1.4 Logs Si los logs generados se guardan en el mismo equipo podemos visualizarlos desde este panel. Para ello, debemos seleccionar previamente el fichero de logs que deseamos visualizar. Tenemos dos posibilidades: • Analizar Log.- Muestra en el cuadro de texto inferior las últimas líneas del fichero de logs. - 50 -
  51. 51. • Guardar Log.- Descarga el fichero completo para guardarlo en la máquina donde se ejecuta redConsole y lo muestra en el cuadro de texto para su visualización. Podemos usar esta opción para visualizar partes del fichero más antiguas o para hacer una copia de seguridad del mismo. 5.1.5 Estado Esta pestaña permite crear un pequeño informe en HTML de varios aspectos relacionados con el sistema. - 51 -
  52. 52. Se puede elegir entre distintos temas: • Información General.- Muestra información como la fecha del sistema, el tiempo que lleva encendido y el número de usuarios conectados. • Información de Sistema.- Muestra el número de procesos y el porcentaje de ocupación de la CPU. • Información de Memoria.- Muestra información sobre la memoria RAM, la memoria de intercambio y las particiones que se encuentren en el sistema. • Información de Red.- Muestra el número de reglas iptables, las conexiones TCP y UDP y la tabla de rutas estáticas así como las interfaces. - 52 -
  53. 53. 5.2 Objetos El módulo de Objetos es una de las bases de redConsole puesto que de él dependen el resto de módulos. Cuando un administrador quiere configurar un dispositivo avanzado necesita gestionar múltiples direcciones de red, subredes, puertos de servicios, protocolos... Muchos de estos datos son comunes a varios o a todos los servicios. Por ejemplo, si el sistema de red que pretende configurar el administrador contiene una subred correspondiente a la red local (ej. 192.168.100.0/24) tendrá que utilizar dicha subred en todos los servicios que dependan de la misma (ej. Cortafuegos). El mantenimiento de dicha subred de forma manual sería complicado y tedioso si consideramos una dependencia múltiple del mismo. Cualquier modificación de dicha subred implicaría una modificación de todos los ficheros de configuración de los que depende lo cual puede resultar complicado y en ciertos casos prácticamente inviable. Esta es la razón principal por la que existe el módulo de Objetos. En un único punto de la aplicación se definen esas subredes, direcciones IP, puertos y mensajes ICMP, que de forma genérica se tratarán como objetos por el resto de componentes. Los otros módulos utilizarán dichos objetos como si de una base de datos se tratara, y de esta manera cualquier modificación en el valor almacenado en el objeto de la red local sólo implicaría la modificación del objeto de red en el módulo de Objetos, no siendo necesaria la alteración en el resto de módulos que lo utilicen. Con todo esto, se puede observar la importancia de dicho módulo para el resto de módulos. Siempre debe de haber una coherencia entre los datos de este módulo y el resto, y por ello siempre se transmite al terminal al hacer cualquier cambio en la configuración. Cada uno de estos objetos definidos en este módulo tendrá un nombre para hacer referencia a los mismos en cualquier otro módulo. Este nombre es totalmente configurable por el usuario según sus necesidades. - 53 -
  54. 54. ¿Qué objetos podemos usar? Todo aquello que sea susceptible de ser usado en cualquier otro módulo, se considerará un objeto. Para esta versión se han considerado los siguientes objetos: • Elementos de red.- Se corresponde con cualquier dirección de red, ya sea una dirección IP simple (ej. 192.168.100.1), una dirección de subred (192.168.100.0/24) o una lista de ambas. También es posible utilizar un nombre de máquina para que la interfaz realice una consulta DNS y escriba por nosotros el valor de su IP. Es importante resaltar que NO se almacena el nombre de la máquina, sólo su dirección IP. • Servicios.- Para identificar un servicio IP debemos indicar el número de puerto que utiliza. Por ejemplo, el puerto por defecto del servicio SSH es el 22. De fábrica se especifican la gran mayoría de puertos de los principales servicios, pero puede necesitar crear objetos nuevos. También podemos especificar rangos de puertos para aquellos servicios que los usen. - 54 -
  55. 55. • Protocolos.- Existen multitud de protocolos de red que pueden ser usados, por ejemplo TCP y UDP. Este objeto hará referencia al identificador de cada protocolo. • Mensajes ICMP.- En el protocolo ICMP existen multitud de tipos de mensajes, por ejemplo, el mensaje de “echo” y “echo reply” (ping). Este tipo de objetos guardará el identificador del mensaje ICMP. • MAC.- Lista de direcciones MAC que queremos controlar de manera personalizada. - 55 -
  56. 56. • Marcas.- índices usados en los módulos de tráfico y cortafuegos. • Grupos.- Aquí se pueden definir grupos que engloben a distintos objetos. Independientemente de la naturaleza del objeto redConsole, cada uno dispone de un nombre al que haremos referencia cuando queramos usarlo. Evidentemente, en función del tipo de objeto que sea, podremos usarlo en un lugar u otro. Para ello se hará uso de desplegables en los que se muestren todos los objetos del tipo en cuestión. En todos los cuadros donde se requiera de un objeto, se mostrarán de forma automática sólo los que tengan sentido según el contexto. Debido a su importancia en el resto de módulos existen ciertas limitaciones: • Un objeto no se podrá eliminar cuando esté en uso. Sólo cuando se libere al objeto de dichos usos, podrá ser eliminado. • La modificación de un objeto que esté en uso implicará la transmisión de todos los módulos. Con todo esto, el módulo Objetos se divide en varias partes (pestañas), que se corresponden con los tipos de objetos que se pueden crear. El uso de este tipo de tabla es común al resto de la aplicación. Es por esta razón por la que se explicará la funcionalidad de esta tabla para luego detallar los aspectos particulares de cada tabla en otros módulos. - 56 -
  57. 57. 5.2.1 Tabla Principal La tabla principal se compone de “barra de herramientas” y “tabla de datos”. 5.2.1.1 Barra de Herramientas En la parte superior se dispone de una barra de herramientas con las funciones principales: • Añadir.- Añadirá una fila al final de la tabla. • Insertar.- Insertará una fila encima de la fila seleccionada. En caso de no tener seleccionada ninguna fila la insertará al principio. • Editar.- Tomará la fila seleccionada para su edición. También se edita haciendo doble clic con el ratón sobre la fila seleccionada. • Eliminar.- Se eliminarán aquellas filas seleccionadas solicitando, por seguridad, una confirmación del usuario. En caso de que exista un error y ciertas filas no hayan podido ser eliminadas se mostrará mediante un diálogo de error. Para eliminar una fila puede hacer uso de la tecla Suprimir del teclado. • Subir.- Subirá la fila seleccionada una posición hacia arriba. Existen diferentes tablas en las que la posición de las filas es importante, luego esta función nos podría valer para organizar la tabla según nuestras necesidades. Existe un acceso directo a esta función mediante la combinación Alt+Up (flecha hacia arriba del cursor). Como ya veremos esta combinación se puede usar en otros sitios en los que tenga sentido subir o bajar (por ejemplo en el árbol del QoS). • Bajar.- Al igual que podemos subir una fila mediante esta función bajaremos la fila de posición. Igualmente podemos hacer uso del acceso directo Alt+Down (flecha hacia abajo del cursor). - 57 -
  58. 58. 5.2.1.2 Tabla de Datos Es el lugar donde se mostrará la información contenida en la tabla ordenada por columnas y filas. Para facilitar la visualización de la tabla se alterna, entre dos colores, el color de las distintas filas. Como cualquier otra tabla dispone de dos partes: cabecera (donde se muestra una información resumida del contenido) y cuerpo (donde se presentan los datos). Existen ciertas tablas que son sensibles a ser organizadas por orden alfabético a nivel de columna. Tipos de ordenaciones: • Definida por el usuario.- El usuario define su propia ordenación según sus necesidades pudiendo subir o bajar las filas con las funciones que vimos anteriormente. • Ordenación ascendente.- Si hacemos clic con el ratón sobre la columna de la tabla que queremos ordenar modificará, de forma automática, el orden para que sea ascendente. Podemos ver que se está aplicando este tipo de ordenación observando la forma de la cabecera de la columna ya que aparece con un triángulo justo al lado del nombre indicando el orden ascendente. • Ordenación descendente.- En caso en el que estemos en orden ascendente y hagamos clic nuevamente sobre la misma columna, el triángulo que aparecerá será un triángulo invertido, denotando el orden descendente de la misma. El orden por defecto es el primero, en el que no se muestra ningún triángulo en la cabecera. Como ya sabemos, para pasar de un estado a otro basta con hacer clic sobre la cabecera en cuestión formando un ciclo. Pasamos de orden definido por el usuario a orden ascendente, y haciendo clic, de orden ascendente a descendente, y si hacemos clic nuevamente, de orden descendente al definido por el usuario, repitiendo así el ciclo. Podemos incluso ordenar más de una columna a la vez manteniendo pulsada la tecla ”Ctrl” mientras hacemos clic sobre las cabeceras de las columnas que queramos ordenar. - 58 -
  59. 59. Un uso común para la ordenación puede ser la de buscar una fila determinada. La ordenación alfabética o numérica según el caso, puede simplificar las tareas de búsqueda en tablas extensas. Para tal fin, también puede hacerse uso de las teclas de acceso rápido. Cuando se tenga seleccionada una celda (fila+columna), pulsando cualquier tecla imprimible del teclado buscará la siguiente fila que comience por dicha letra en la columna seleccionada. Para sucesivas búsquedas basta con pulsar la tecla F3. Relativo a la ordenación, en el caso en que tenga la tabla ordenada, ya sea de forma ascendente o descendente, si sube o baja una fila de posición, lo hará de manera relativa al orden definido por el usuario. También, en el caso de que la tabla esté ordenada, e inserte o añada una fila, como parece lógico, la fila se colocará en el lugar que le corresponda según la ordenación seleccionada. Para facilitar la adición o edición de filas a la tabla se dispone de un diálogo asociado a la misma. Este diálogo es diferente en función de para qué se utilice en la tabla ya que aun teniendo todas la tablas de este tipo una estructura similar, los datos que contienen pueden ser totalmente diferentes. A medida que veamos cada uno de los módulos en los que nos encontremos con tablas de este tipo, se irán viendo las limitaciones de cada diálogo según corresponda. Puede crear puntos de retorno en las tablas mediante la combinación de teclas Ctrl+F2. Para volver a dicho punto de retorno basta con pulsar la tecla de acceso rápido F2. Existen ciertas filas que son consideradas como de sistema que no pueden ser eliminadas o editadas (al menos en parte). Estas filas sirven para mantener una coherencia de los datos y las aplicaciones. - 59 -
  60. 60. 5.2.2 Elementos de red La multitud de direcciones IP y subredes a utilizar hace necesario definirlos como un objeto de red. Éste es quizás, el objeto más usado en el resto de módulos debido a su importancia. Estos objetos de red almacenarán bajo un mismo nombre varios tipos de datos: • Dirección IP.- Dirección de un equipo. Ej: 192.168.100.2 • Subred.- Dirección de una subred. Ej: 192.168.100.0/24 • Múltiples direcciones IP o Subredes.- Usados para definir entornos más complejos según la necesidad del administrador. Ej: 192.168.100.0/24,192.168.100.2 En este panel se especifican todos los objetos de red para el terminal conectado. Por defecto aparecen dos objetos de red que son: • internet.- Se corresponde con la subred global 0.0.0.0/0 • localhost.- Se corresponde a la dirección reflexiva 127.0.0.1, es decir hace referencia a la propia máquina. Para insertar o editar objetos de red hacemos uso de las funciones de la tabla principal que vimos previamente. El diálogo es como sigue: Debemos indicar: • Nombre.- Nombre único entre objetos de red, que será usado para hacer referencia al objeto. • Subred.- Tabla en la que se indican tantas direcciones IP o de subred como sean necesarias. Para añadir una dirección a la lista basta con introducir la dirección en el cuadro que se indica y pulsar “Añadir” incluyéndose al final de la lista. Podemos añadir: - 60 -
  61. 61. • Dirección IP.- Una dirección IP simple en el formato habitual. Ej: 192.168.100.2. • Dirección de Subred.- Una dirección de red con el formato IP/Máscara. Ej: 192.168.100.0/24. Es posible que no especifique una dirección de subred correcta, por ejemplo: 192.168.100.200/25 en cuyo caso se calculará, de forma automática, la dirección de red correcta con esa máscara (192.168.100.128/25). • Dominio.- Puede especificar cualquier nombre de dominio de tal manera que redConsole resolverá la IP(s) que le corresponda. redConsole debe ser capaz de resolverlo de forma local o haciendo la petición a la red si lo requiere. En caso de que no pueda resolver el nombre de dominio dará un mensaje de error. Es importante notar que una vez resuelta la IP, el valor que se usará será siempre el de la dirección IP resuelta y nunca el del dominio. Esto es así ya que el resto de módulos no trabajan con nombres de dominio sino con direcciones IP. El uso de los objetos de red con direcciones de subred o con múltiples direcciones IP está limitado. Existen ciertos puntos en los que se espera una dirección de red simple como puede ser la dirección de escucha del proxy. No tendría sentido que un servicio escuche en una dirección de subred o en múltiples direcciones IP. ¿Qué pasaría si un objeto de red que tuviera una dirección IP simple pasara a una dirección de subred? En todos aquellos puntos en los que aparezca dicho objeto y se esperara una dirección de red simple contendría datos erróneos. Es por esta razón por la que, para mantener un sistema más simple y estable, se limita justamente la acción errónea. Es decir, en el caso en el que un objeto de red con una IP (objeto de red simple) esté siendo usado, no se podrá pasar a dirección de subred o dirección de red múltiple (objeto de red complejo). - 61 -
  62. 62. 5.2.3 Servicios Cualquier servicio de red queda definido por dos parámetros: dirección IP de acceso y puerto de escucha del servidor. La dirección de acceso se incluye en los objetos de red y el puerto en los objetos de servicio. Existen en la actualidad multitud de servicios. En la configuración de fábrica se definen los puertos por defecto de los servicios típicos de Internet. Estos objetos se consideran objetos de sistema y por ello no se podrán eliminar o editar. También es posible definir nuevos servicios sin más que indicar el número de puerto al que hace referencia. Existen servicios más complejos que no usan un puerto simple sino un rango de puertos. Se pueden igualmente definir rangos de puertos para ser usados en los objetos de red. Los rangos quedan definidos mediante el siguiente formato (ambos puertos inclusive): puerto_inicial:puerto_final Como cualquier otro objeto se debe especificar un nombre para poder usarlo en el resto de módulos. Igualmente se recomienda el uso de un nombre acorde al servicio que se pretende definir para facilitar su interpretación. Una vez definido el objeto podemos usarlo en el resto de módulos sin más que seleccionar el servicio apropiado según nuestras necesidades. Como ocurre con los objetos de red el uso de los objetos de servicio está limitado. Existen ciertos puntos en los que no es posible usar objetos definidos como un rango de puertos. Por ejemplo, el puerto de escucha del servidor SSH no tiene sentido que sea un rango de puertos. Al igual que ocurría en el caso anterior la aplicación redConsole sólo mostrará los objetos que tengan sentido según el lugar donde lo utilice, por tanto el administrador no se tendrá que preocupar de si puede o no usar un objeto en un determinado lugar. - 62 -
  63. 63. Por la misma razón que en los objetos de red, una vez definido un objeto de servicio de tipo simple (un solo puerto) que esté siendo usado no podrá cambiarlo a objeto de servicio complejo (con rango de puertos). 5.2.4 Protocolos En Internet existen multitud de protocolos siendo quizás los más usados los protocolos TCP, UDP e ICMP. Todos los protocolos disponen de un identificador de protocolos estándar siendo, por ejemplo, 6 para el protocolo TCP, 17 para UDP y 1 para ICMP. En la configuración de fábrica se definen todos los identificadores estándar de protocolos aunque existe la posibilidad de añadir nuevos protocolos introduciendo su identificador. 5.2.5 ICMP Para el protocolo ICMP existen multitud de tipos de mensajes. Cada uno de ellos dispone de un identificador único que le diferencia del resto. El objeto ICMP guardará el identificador del mensaje ICMP. De esta manera no tendremos que recordar el valor numérico asociado al mensaje ICMP sino un nombre que indica el tipo de mensaje. Al igual que en el resto de objetos, se definen una serie de objetos ICMP por defecto en la configuración de fábrica con los mensajes ICMP más importantes. Estos objetos son considerados de sistema y no se podrán eliminar o editar. 5.2.6 MAC Permite definir objetos asociados a direcciones MAC para así poder controlarlas de manera personalizada. 5.2.7 Grupos Sirve para definir agrupaciones de distintos objetos. - 63 -
  64. 64. 5.3 Cortafuegos Este módulo está incluido en el sistema base y es el encargado de controlar todas las comunicaciones que atraviesan el MSB. La interfaz gráfica debe separar la red, al menos, en dos partes: una parte confiable (red interna) y otra parte no confiable (red externa). Es deber del administrador decidir qué partes de la red son confiables y qué partes no, y realizar las conexiones físicas adecuadas con la máquina. El cortafuegos, al controlar las comunicaciones en las que interviene la interfaz redConsole, puede suponer un punto peligroso para el sistema de configuración. En caso de no definir correctamente las reglas podría provocar que redConsole no pudiera comunicarse con el equipo. Es por esta razón por la que este módulo debe ser tratado cuidadosamente. Por defecto, en la configuración de fábrica, se permiten todas las comunicaciones. Es tarea “PRIORITARIA” del administrador ajustar la configuración a sus necesidades para mantener una seguridad adecuada de su red. El módulo de Cortafuegos se divide en 4 partes claramente diferenciadas por pestañas: • Configuración.- Panel general de configuración del cortafuegos. • Reglas de Filtrado.- Definición del árbol de reglas del cortafuegos. • Lista Blanca.- Conjunto de direcciones IP, redes o servicios que serán siempre aceptados por el cortafuegos. • Lista Negra.- Conjunto de direcciones IP, redes o servicios que serán siempre denegados por el cortafuegos. La mayoría de estos paneles tienen una estructura muy similar a la de los paneles del módulo Objetos. - 64 -
  65. 65. Antes de proceder a la explicación detallada de cada una de las partes del cortafuegos es necesario disponer de una serie de conocimientos básicos: • Cortafuegos con control de estado.- El cortafuegos realiza un control de todas las conexiones que lo atraviesan. Cuando se inicia una comunicación que controla el cortafuegos se recorren las reglas del mismo hasta que una haga coincidencia. En caso de cumplirse, se realizará la acción indicada en la regla. Si el paquete es aceptado se guarda su estado en una tabla conocida como “Tabla de control de estado del cortafuegos”. Cuando el paquete llega a su destino y éste responde, la conexión de la tabla anterior se pasa a estado asegurado. Subsiguientes paquetes no tienen que atravesar de nuevo todo el árbol de reglas del cortafuegos sino que existe una primera regla que dice algo así: “si la conexión ya está asegurada en la tabla de control de estado el paquete se acepta directamente”. Esto tiene dos implicaciones: • Mejora de rendimiento.- La gran mayoría de paquetes hacen coincidencia en la primera regla del cortafuegos por tanto se mejora enormemente la eficiencia del mismo. • No es necesario reescribir el camino de vuelta.- Las reglas del cortafuegos se deben escribir pensando en quién origina la comunicación ya que las respuestas quedan implícitas. • Iptables.- Es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El cortafuegos está basado en netfilter (subsistema de cortafuegos) e iptables (herramienta de configuración del espacio de usuario). - 65 -
  66. 66. 5.3.1 Configuración El panel de Configuración es el encargado de todos los aspectos generales del cortafuegos. De su configuración dependerán el resto de paneles del mismo: • Activar/Desactivar.- Podrá activar o desactivar el cortafuegos activando o desactivando dicha casilla. En caso de estar desactivado, el cortafuegos dejará pasar todo el tráfico. • Listas Blancas/Negras antes del control de estado.- Los usuarios, redes o servicios que estén incluidos en la lista negra serán rechazados al igual que los usuarios que estén en la lista blanca serán siempre aceptados. ¿Dónde se ponen dichas reglas?, ¿antes o después del control de estado?. • Después del control de estado.- Si un usuario es incluido en la lista negra pero el usuario ya inició sesión antes de dicha acción todos sus paquetes (los de las conexiones que permanezcan abiertas) no atravesarán las reglas del cortafuegos sino que serán inmediatamente aceptados en la primera regla de control de estado. • Antes.- Si se ponen antes, todas las comunicaciones atravesarán dichas reglas antes de llegar a la regla del control de estado. Por tanto si un usuario es incluido en la lista negra será denegado en todo caso. Por contra empeoramos la eficiencia del cortafuegos ya que los paquetes tienen que atravesar más reglas de media. • Política por defecto.- En caso de no hacer coincidencia con ninguna regla en el cortafuegos, se aplicará esta política. Existen dos posibles valores: • ACCEPT.- El paquete es aceptado. • DROP.- El paquete se desecha silenciosamente y por tanto no llega a su destino (no se envía una respuesta negativa al emisor). - 66 -
  67. 67. Por defecto toma el valor ACCEPT pero debe cambiarlo una vez haya definido correctamente el cortafuegos. La política de seguridad más adecuada es: “Todo se rechaza excepto lo que yo acepto”. • Tasa máxima de generación de Logs.- En caso de que una regla haga coincidencia y tenga indicado hacer log, escribirá en disco como máximo a la tasa indicada, por defecto, 10 logs/segundo. Esto previene ataques por desbordamiento de logs. 5.3.2 Reglas de Filtrado Este panel es uno de los paneles principales del cortafuegos. Aquí el administrador define el conjunto de reglas que serán aplicadas en el cortafuegos. Las reglas serán recorridas una a una hasta que haga coincidencia, aplicándose la acción elegida. En caso de no haber coincidencia en ninguna regla se tomará la acción por defecto definida en el panel de Configuración. Una de las novedades del cortafuegos es la posibilidad de definir un árbol multinivel de reglas que mejoran la eficiencia del mismo. Se pueden definir los siguientes campos: • Acción.- Si la regla hace coincidencia en todos sus campos se ejecutará la acción indicada en este campo. Existen 6 tipos de acciones: • ACCEPT.- El paquete es aceptado. • DROP.- El paquete es silenciado o ignorado sin dar respuesta al emisor. • REJECT.- Rechaza el paquete enviando una respuesta de rechazo al emisor, mediante un mensaje ICMP. • CONTINUE.- No hace nada con el paquete. Sigue a la siguiente regla que corresponda. Esto sirve para crear excepciones a reglas más globales o para hacer logs sin realizar ninguna acción en ese punto. - 67 -
  68. 68. • RETURN.- Vuelve a la regla padre de la cual proviene. • Interfaz de entrada (IN).- Interfaz por la que entra el paquete. • Interfaz de salida (OUT).- Interfaz por la que sale el paquete. • Origen.- IP origen del paquete. • Destino.- IP destino del paquete. • Protocolo.- • Puerto Origen.- • Puerto Destino.- Campos avanzados: • MAC Origen.- • Límite de Conexiones.- Si el número es menor o igual al indicado la regla hará coincidencia (al menos este campo). • Política IPSEC.- El tráfico proviene de una conexión VPN (cifrado). • LOG.- En caso de estar habilitado la regla hará log si hace coincidencia con el paquete. Puede indicar un texto descriptivo para reconocer fácilmente el log. • Configuración de la Hora.- Definición del intervalo de tiempo en que hará coincidencia la regla. Por defecto, no hay limitación de tiempo. • Comentarios.- El administrador puede incluir un comentario asociado a la regla. Este texto no será tenido en cuenta en la compilación de la regla. Es importante notar que todos los campos son opcionales. En caso de no indicarse cualquiera de los campos se tomará la opción más general. Por ejemplo, si no se especifica la interfaz de entrada, se tomará cualquiera interfaz de entrada. - 68 -
  69. 69. Una peculiaridad de este cortafuegos es la definición de las reglas en forma de árbol. Para ello tenemos dos tipos de regla: • Regla Padre.- Regla que contiene reglas dentro. Las reglas dentro de las de un padre se llaman reglas hija. • Regla Hija.- Regla que cuelga de una regla padre. Las reglas hijas pueden ser a su vez reglas padre o reglas hoja (que no contienen reglas hija). Ejemplo: Regla 1 (nivel 1) Regla 2 (nivel 2) Regla 3 (nivel 2) Regla 4 (nivel 3) Regla 5 (nivel 3) Regla 6 (nivel 2) • Reglas Padre: 1, 3 • Reglas Hoja: 2, 4, 5, 6 • Reglas Hija: • Regla 2, 3, 4, 5 y 6 del padre 1 • Regla 4 y 5 del padre 3 La forma de proceder es la siguiente: • El cortafuegos atraviesa las reglas de forma lineal (una detrás de otra). • Si se trata de una regla hoja: • En caso de hacer coincidencia con el paquete aplica la acción de la regla. • Si no hace coincidencia, continúa por la siguiente regla del mismo nivel. - 69 -
  70. 70. • Si se trata de una regla padre: • En caso de hacer coincidencia con el paquete en cuestión recorrerá sus reglas hijas. • Si no hace coincidencia continúa por la siguiente regla del mismo nivel. • Se aplicará la acción de la regla padre sólo si no hace coincidencia con ninguna de sus reglas hijas. Ejemplo 1: ACCION IN OUT Origen Destino DROP WAN ACCEPT servidor1 ACCEPT servidor2 Supongamos los siguientes casos: • Paquete que proviene de la LAN del servidor 1: • El cortafuegos analiza la primera regla y detecta que no hace coincidencia puesto que no proviene por la WAN. Como es una regla padre no se mete dentro y continuará por las reglas que sean. • Paquete que proviene de la WAN hacia el servidor 2: • El cortafuegos analiza igualmente la primera regla (padre) y en este caso, sí hace coincidencia. Por tanto nos metemos dentro de la regla padre. • El cortafuegos comprueba la segunda regla y vemos que no hace coincidencia luego continua por la siguiente. - 70 -
  71. 71. • El cortafuegos comprueba la tercera regla y sí hace coincidencia. El paquete es aceptado. • Paquete que proviene de la WAN hacia el servidor X: • El cortafuegos analiza igualmente la primera regla (padre) y sí hace coincidencia. Por tanto nos metemos dentro de la regla padre. • El cortafuegos comprueba la segunda regla y vemos que no hace coincidencia luego continua por la siguiente. • El cortafuegos comprueba la tercera regla y vemos que no hace coincidencia luego continua por la siguiente. • Al no haber más reglas hijas, se aplica la política de la regla padre. El paquete es rechazado. Con todo esto, el bloque de reglas anterior se debe interpretar como sigue: • “Se rechazan todas las comunicaciones que provengan de la WAN excepto las que vayan hacia el servidor 1 y hacia el servidor 2”. • También es importante notar que en las reglas hijas ya no es necesario indicar la interfaz de entrada porque queda implícito de su regla padre. Si no se cumple la regla padre nunca entrará en los hijos. • Igualmente este cortafuegos se puede comportar como un cortafuegos estándar lineal. Las reglas serían las siguientes: Ejemplo 1: ACCION IN OUT Origen Destino ACCEPT WAN servidor1 - 71 -
  72. 72. ACCEPT WAN servidor2 DROP WAN Como se puede observar el efecto es el mismo pero: • Si la interfaz de entrada es la LAN atravesamos tres reglas mientras que en el otro escenario sólo con una pasamos al siguiente bloque de reglas. • Más difícil de mantener. Si por lo que sea queremos cambiar la interfaz de entrada tenemos que modificar tres reglas mientras que con el otro escenario sólo debemos modificar una. Ejemplo 2: ACCION IN OUT Origen Destino ACCEPT WAN DROP servidor1 DROP servidor2 Este ejemplo es el mismo que el anterior pero se ha cambiado la política: • “Se aceptan todas las comunicaciones que provengan de la WAN excepto las que vayan hacia el servidor 1 y hacia el servidor 2 que serán rechazadas” Por tanto, con esta estructura en árbol conseguimos los siguiente aspectos: • Eficiencia.- Por término medio se atraviesan muchas menos reglas que si fuera totalmente lineal. • Flexibilidad.- El propio administrador puede definir su árbol de reglas en función de sus necesidades y su tráfico - 72 -
  73. 73. sin ninguna limitación. Aunque puede definir tantas reglas padres como estime oportuno, no es recomendable poner más de 4 o 5 niveles puesto que aun ganando en eficiencia también el sistema es más complejo. • Simplicidad.- No se tiene que reescribir campos evidentes en muchas reglas. Por ejemplo: la interfaz de entrada en las reglas hijas. Esto hace que sea más fácil su mantenimiento. Una vez comprendido el esquema de árbol propuesto se explicarán nuevamente las acciones CONTINUE y RETURN que vimos en un principio: • CONTINUE.- En caso de que la regla haga coincidencia continuará por la siguiente regla que corresponda. ¿Para qué vale esta regla? Tiene dos usos principales en: • Regla hoja con log activado.- Se hace log pero no toma parte en la acción a ejecutar (se tomará más adelante). • Regla padre.- La política CONTINUE hará que continúe por las siguientes reglas en caso de que no haya ningún hijo que haga coincidencia. • RETURN.- Si hay coincidencia con la regla, volverá al padre del cual proviene sin necesidad de continuar por las reglas hijas. 5.3.3 Listas Blancas En este panel se definen las direcciones IP, subredes, servicios o conjuntos de ellos que serán aceptados por el servidor. Tanto las listas blancas como las listas negras son independientes del árbol de reglas de filtrado definido. - 73 -
  74. 74. Si queremos que una subred siempre sea aceptada, sólo tenemos que incluirlo en la lista blanca. De esta manera no nos tenemos que preocupar en qué parte del árbol de reglas colocarlo. 5.3.4 Listas Negras Este panel es exactamente igual al anterior en aspecto pero justamente lo contrario en funcionalidad. Se definen las direcciones IP, subredes, servicios o conjuntos de ellos que serán automáticamente rechazados en el cortafuegos. 5.3.5 Funciones de Menú El menú del módulo Cortafuegos se divide en: • Información: • Ver últimos logs.- Muestra los últimos logs del cortafuegos. • Traza Iptables.- Muestra la traza interna de reglas del cortafuegos. Muestra las reglas iptables compiladas en el cortafuegos a bajo nivel. • Limpiar reglas del cortafuegos.- Borra todas las reglas del cortafuegos y pone la política ACCEPT por defecto. - 74 -
  75. 75. 5.4 Tráfico La correcta gestión y monitorización del ancho de banda disponible en los enlaces se ha convertido en una prioridad fundamental para muchas empresas. El terminal incorpora una sonda NetFlow que envía la información requerida a un colector. Dado que este estándar es muy popular, existen múltiples colectores en el mercado, tanto libres como comerciales. 5.4.1 Netflow Este es el único panel del módulo Tráfico para la versión blade y se encarga de la configuración de la sonda Netflow integrada en el MSB. Como cualquier otra sonda, Netflow recolecta datos de la red que enviará a un colector. Puede encontrar abundante información sobre NetFlow en la página de Cisco (http://www.cisco.com/warp/public/732/Tech/nmp/ netflow/). Igualmente, puede encontrar información sobre nprobe, la sonda utilizada, en http://www.ntop.org/nProbe.html. Se considera flujo al conjunto de paquetes que tienen la misma dirección IP, puertos de origen y de destino, así como protocolo. La información de los flujos es emitida cada cierto tiempo por la sonda, y es en la configuración de ésta cuando podemos definir cuándo emite esos flujos. Se ha de buscar un equilibrio entre un alto número de flujos emitido (pocos paquetes por flujo, menor latencia, mayor sobrecarga de la red, mayor consumo de CPU, menor consumo de RAM) o un bajo número de flujos (muchos paquetes por flujo, mayor latencia, menor sobrecarga de la red, menor consumo de CPU, mayor consumo de RAM). Incluso en el caso de la descarga de un fichero grande, la sonda emitirá varios flujos relativos a dicha conexión. A través de este panel configuramos la sonda nprobe integrada en el terminal. El panel se divide en dos partes claramente diferenciadas. - 75 -
  76. 76. 5.4.2 Sonda Tenemos que especificar cómo la sonda Netflow ha de tratar los datos. Se pueden configurar las siguientes propiedades: • Activar/Desactivar.- La sonda Netflow se puede desactivar haciendo que no se analice el tráfico y por tanto no se envíe información al colector. Esto haría que se consumieran menos recursos de CPU. • Tiempo máximo de vida de los flujos (segundos).- Especifica el tiempo máximo que se esperará para emitir un flujo. Valor de fábrica 120 segundos. • Tiempo máximo de inactividad de los flujos (segundos).- Especifica el tiempo máximo que puede estar un flujo sin cambiar. Si se alcanza este valor el flujo es emitido. Valor de fábrica 30 segundos. • Tiempo de verificación de flujos expirados (segundos).- Especifica cada cuánto tiempo se verifica el punto anterior. Valor de fábrica 30 segundos. • Tamaño mínimo de flujo TCP (bytes).- Especifica el tamaño mínimo que debe tener un flujo TCP para ser emitido. Valor opcional. En caso de no indicarse se tomará un tamaño mínimo ilimitado. • Número mínimo de flujos por paquete (flujos).- Número mínimo de flujos que debe tener un paquete antes de ser emitido, excepto si ha expirado. Valor de fábrica 30 flujos. • Retardo entre flujos (segundos).- Algunos colectores son incapaces de recoger todos los flujos que le manda la sonda. Mediante este parámetro introducimos un retardo artificial. Valor por defecto 0 segundos. • Activar/Desactivar LOGS.- Si habilitado, la sonda netflow generará logs del sistema con los resultados del análisis. • Numero de Hilos.- Número de hilos lanzados para el análisis de tráfico. - 76 -
  77. 77. 5.4.3 Colector En este apartado debemos indicar el número de sondas instaladas en el terminal. Podemos crear tantas sondas como interfaces disponga. Los campos son los siguientes: • Interfaz.- Interfaz de análisis • Colector Netflow.- Ip donde está escuchando nuestro colector netflow. • Puerto del Colector.- Puerto donde escucha el servidor (por defecto 2055). • Comentarios.- 5.5 Colector El módulo Colector es el encargado de gestionar los flujos netflow de las sondas configuradas. Una sonda es el terminal encargado de monitorizar una determinada red con el fin de estudiar la información de tráfico de la misma. La sonda recopila información de la red de análisis enviando de forma periódica paquetes netflow al terminal de tipo colector. - 77 -
  78. 78. El terminal colector es el encargado de recibir los paquetes de información netflow de cada una de las sondas para ser almacenada en una base de datos común. redConsole se encargará de hacer un estudio de dicha base de datos de una forma análoga al análisis de eventos del módulo de Alertas. Es importante, por tanto, tener clara la diferencia entre sonda y colector. En un escenario habitual tendremos muchas sondas por un único colector. Debido a la configuración cliente-servidor, un colector puede ser a su vez sonda. El módulo Colector se encarga de extraer la información de la base de datos del colector y presentar unas estadísticas de tráfico de cada una de las sondas que tiene configurada. Esto permite al administrador tener información completa y detallada del tipo de tráfico que circula por las sondas. Al igual que el resto de módulos, el módulo Colector se subdivide en pestañas que explicaremos a continuación. 5.5.1 Configuración Para poder configurar el módulo Colector hay que entrar como administrador y una vez registrado aparecerá un primer panel de configuración que a su vez se subdivide en 3 subpaneles. - 78 -
  79. 79. 5.5.1.1 Parámetros de configuración Aquí se configuran los parámetros más generales del módulo Colector: • Activar/Desactivar.- Para activar o desactivar el módulo Colector. • Contraseña del administrador.- Es la contraseña del administrador (usuario: eneo) de la base de datos. El administrador es capaz de ver información de tráfico de todas las sondas configuradas. • Puerto de escucha de los flujos.- Es el puerto por el cual el servidor va a recibir los paquetes netflow provenientes de todas las sondas. Valor por defecto 2055. • Localización de la base de datos.- Dirección donde se encuentra el servidor de base de datos (PostgreSQL) que almacena la información de los datos de tráfico de las sondas. • Puerto de escucha de la base de datos.- Por defecto es el 5432 (PostgreSQL). • Tamaño máximo del fichero temporal de flujos.- Por defecto es 5 Mbytes. • Nivel de logs.- Nivel de detalle de los ficheros de logs del colector. 5.5.1.2 Configuración de sondas A través de este panel se dan de alta las sondas aceptadas por el colector. Una vez dadas de alta, se creará en la base de datos un conjunto de tablas asociadas a la sonda que guardarán la información del tráfico de dicha sonda. Los parámetros necesarios son: • Nombre de la sonda.- Nombre con el que se hará referencia a la sonda en el resto del módulo. Una vez creada la sonda, no puede modificarse su nombre. - 79 -
  80. 80. • IP de la sonda.- El colector recibirá los paquetes netflow de la ip configurada. Es la forma que tiene el colector de discriminar entre sondas. • Redes zona IN.- Redes locales que tenemos en el área local de análisis. Esta información es necesaria para detectar el sentido de la comunicación de la sonda configurada. • Redes zona OUT.- Redes externas a la sonda. En el panel de tráfico de la sonda, que veremos más adelante, existe una pestaña en la que se analiza el tráfico hacia cada una de las redes externas definidas en esta columna. • Máximo ancho de banda IN.- Es el máximo ancho de banda del flujo de entrada. Esta información sólo tiene carácter estadístico y no afecta para nada al funcionamiento de la sonda. • Máximo ancho de banda OUT.- Es el máximo ancho de banda del flujo de salida. • Comentarios.- Una pequeña descripción sobre la sonda. Si pulsamos con el botón derecho del ratón sobre una sonda y seleccionamos “Conectar”, veremos la información de tráfico de la sonda seleccionada. 5.5.1.3 Configuración de usuarios En un escenario con muchas sondas es posible la creación de múltiples usuarios para una selectiva monitorización del colector. La información de tráfico de las sondas supone un claro control de la red y del uso de cada uno de los usuarios de la sonda de estudio. Es por ello por lo que se pueden definir nuevos usuarios de acceso a la base de datos pudiendo limitar las sondas a las que tiene acceso dicho usuario. Los datos necesarios para la creación de un usuario son: • Nombre del usuario. - 80 -
  81. 81. • Contraseña del usuario. • Sondas a las que tienen acceso. • Comentarios. 5.5.2 Informes Es una herramienta para la generación periódica de informes avanzados. Es el panel análogo al de Alertas pero en vez de realizar un informe asociado a los eventos de las sondas, el informe estará asociado al tráfico. Para configurar los informes avanzados nos situamos en la pestaña de Informes y añadimos un nuevo elemento. Los parámetros que se pueden configurar son los siguientes: • Sonda.- Sonda de la cual se quiere extraer el informe. • Frecuencia.- El sistema generará informes de estudio de tráfico de las sondas seleccionadas con la frecuencia - 81 -
  82. 82. indicada. Podemos elegir entre 12 horas, 1 día, 2 días, 3 días, 4 días, 5 días, 6 días, 7 días. • Nivel de detalle.- El nivel 1 representa el mínimo nivel de detalle y el nivel 4 el máximo. • Email.- Escribimos la dirección de correo donde llegará el informe avanzado. • Configuración del servidor FTP.- Para el caso de que se active el envío por FTP. Se pondría la dirección del servidor FTP, el usuario, la contraseña y la ruta remota del servidor FTP donde se almacenará el informe. 5.5.3 Alertas En este panel podemos escribir reglas de control de tráfico y notificación de eventos. Si la regla se cumple se generará un evento que será recogido por el sistema de gestión de eventos del módulo alertas. De forma opcional dicha notificación también puede hacerse por email. Tenemos los siguientes parámetros: • Sonda.- Sonda de la que se quiere chequear sus datos de tráfico. - 82 -

×