Your SlideShare is downloading. ×
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Manual red border-1.6.1
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Manual red border-1.6.1

1,011

Published on

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,011
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Índice de contenido 1 Introducción...................................................................................8 1.1 Componentes........................................................................8 1.2 Modo de funcionamiento.......................................................8 1.3 El papel del MSB..................................................................10 1.3.1 Servicios......................................................................10 1.4 Características.....................................................................11 1.5 Instalación...........................................................................12 1.5.1 Creación de accesos directos......................................12 1.5.2 Microsoft Windows......................................................12 1.5.3 UNIX/Linux...................................................................13 1.5.4 MacOS X......................................................................13 2 Instalación del MSB.....................................................................14 2.1 Pasos de instalación............................................................15 3 Ventana Principal.........................................................................32 3.1 Creación de Terminales.......................................................33 3.2 Funciones............................................................................34 3.2.1 Menú Archivo...............................................................35 3.2.2 Menú Edición...............................................................35 3.2.3 Menú Ver.....................................................................36 3.2.4 Menú Herramientas.....................................................36 - 1 -
  • 2. 3.2.5 Menú Ayuda.................................................................40 3.3 Noticias................................................................................41 4 Ventana de Terminal....................................................................42 4.1 Manejo.................................................................................42 4.1.1 Menú Archivo...............................................................43 4.1.2 Menú Módulo...............................................................44 4.1.3 Menú Transmitir...........................................................44 4.1.4 Menú Herramientas.....................................................45 4.1.5 Menú Asociado al Módulo Activo.................................46 5 Módulos principales.....................................................................47 5.1 Sistema................................................................................47 5.1.1 Sistema.......................................................................47 5.1.2 SSH..............................................................................49 5.1.3 Logs.............................................................................50 5.1.4 Estado.........................................................................51 5.1.5 Módulos.......................................................................52 5.2 Objetos................................................................................52 5.2.1 Tabla Principal.............................................................56 5.2.1.1 Barra de Herramientas........................................56 5.2.1.2 Tabla de Datos.....................................................57 5.2.2 Elementos de red........................................................59 5.2.3 Servicios......................................................................61 - 2 -
  • 3. 5.2.4 Protocolos....................................................................62 5.2.5 ICMP.............................................................................62 5.2.6 MAC.............................................................................62 5.2.7 Grupos.........................................................................62 5.3 Cortafuegos.........................................................................63 5.3.1 Configuración..............................................................65 5.3.2 Reglas de Filtrado........................................................66 5.3.3 Listas Blancas..............................................................72 5.3.4 Listas Negras...............................................................73 5.3.5 Funciones de Menú.....................................................73 5.4 Tráfico..................................................................................74 5.4.1 Netflow........................................................................74 5.4.2 Sonda..........................................................................75 5.4.3 Colector.......................................................................76 5.5 Colector...............................................................................76 5.5.1 Configuración..............................................................77 5.5.1.1 Parámetros de configuración..............................78 5.5.1.2 Configuración de sondas.....................................78 5.5.1.3 Configuración de usuarios..................................79 5.5.2 Informes......................................................................80 5.5.3 Alertas.........................................................................81 5.5.4 Snapshot.....................................................................82 - 3 -
  • 4. 5.5.5 Sondas.........................................................................83 5.5.5.1 Dashboard...........................................................85 5.5.5.2 Tráfico IN.............................................................86 5.5.5.3 Tráfico OUT..........................................................88 5.5.5.4 IN+OUT...............................................................88 5.6 Alertas.................................................................................88 5.6.1 Configuración..............................................................89 5.6.1.1 Parámetros de configuración..............................90 5.6.1.2 Configuración de sondas.....................................91 5.6.1.3 Configuración de usuarios..................................92 5.6.2 Informes......................................................................93 5.6.3 Snapshot.....................................................................94 5.6.4 Alertas.........................................................................95 5.6.4.1 Dashboard...........................................................98 5.6.4.2 Top.......................................................................99 5.6.4.3 Temporal............................................................101 5.6.4.4 Tiempo Real......................................................103 5.7 BladeControl......................................................................106 5.7.1 Configuración............................................................106 5.7.1.1 Configuración general.......................................106 5.7.1.2 Configuración de los Módulos de Control.........107 5.7.1.3 Configuración de los Switches..........................108 - 4 -
  • 5. 5.7.2 Imágenes...................................................................109 5.7.3 Servicio Virtual..........................................................110 5.7.4 Estado MSB...............................................................112 5.7.5 Estado de los Blades.................................................113 5.7.6 Estado de la Red.......................................................114 5.7.7 Switches....................................................................114 5.7.8 Monitorización...........................................................116 5.7.9 Información...............................................................117 5.7.10 Logs.........................................................................118 5.8 Útil.....................................................................................119 5.8.1 Sistema de Ficheros..................................................120 5.8.2 Supervisión................................................................121 5.8.3 CPU............................................................................122 5.8.4 Carga.........................................................................122 5.8.5 Memoria....................................................................123 5.8.6 Swap..........................................................................123 5.8.7 Procesos....................................................................124 5.8.8 Usuarios....................................................................124 5.8.9 NFS............................................................................124 5.8.10 Globo.......................................................................125 5.8.10.1 Escáner...........................................................125 5.8.10.2 Tareas..............................................................126 - 5 -
  • 6. 6 PUF/FAQ.....................................................................................128 7 Anexo A: Configuración de traps del MM .................................138 8 Anexo B: Creación de los usuarios SNMP en el MM..................140 9 Anexo C: Configuración inicial de la red...................................142 10 Anexo D: Creación de los usuarios SNMP en Switch...............144 11 Anexo E: Actualización del firmware de los Switches Nortel mediante telnet.............................................................................149 La documentación contenida en este documento puede ser cambiada sin previo aviso. Marcas comerciales: redBorder, redBorder SE, redBorder networks y el logotipo de redBorder son marcas comerciales de redBorder S.L. Las demás marcas registradas y nombres comerciales que puedan utilizarse en este documento se refieren a las empresas que figuran en las marcas y en los nombres de sus productos. redBorder S.L. renuncia a cualquier interés sobre la propiedad de marcas y nombres comerciales que no sean los suyos. Copyright 2008 redBorder S.L. www.redboder.net - 6 -
  • 7. - 7 -
  • 8. 1 Introducción El sistema redBorder SE es una solución de aprovisionamiento de imágenes pensada para su funcionamiento en sistemas críticos de alto rendimiento sobre chasis en blade. Permite controlar de manera gráfica, segura y centralizada una infraestructura desplegada de sistemas centrales de gestión y servicios a través de una interfaz gráfica multiplataforma (redConsole). El producto está pensado para funcionar sobre las distribuciones más importantes basadas en Linux (SuSE, Red Hat 5.X y Centos 5.X) ofreciendo soporte para las imágenes más comunes (CP Secure Plataform, Red Hat, Debian, IMSS, IWSS, Zeus, etc.) en entornos críticos. 1.1 Componentes redBorder SE consta de los siguientes componentes: • redConsole.- Entorno gráfico de gestión y configuración propietario desarrollado en JAVA. • MSB.- Sistema de gestión y aprovisionamiento de imágenes configurable a través de redConsole. • Hardware.- Hardware específico para los requisitos concretos del proyecto o cliente. Los chasis actualmente soportados son: IBM BladeCenter E, H y S. 1.2 Modo de funcionamiento 1) El administrador inicia la aplicación gráfica en el ordenador de administración. 2) La aplicación gráfica se conecta a un MSB remoto de manera segura mediante el protocolo SSH v2. - 8 -
  • 9. 3) Una vez autenticada, la aplicación se descarga la base de datos del terminal y las plantillas asociadas a cada uno de los módulos configurados. 4) Se generan los elementos gráficos con los datos almacenados en la base de datos de configuración descargada. 5) El administrador modifica la configuración del sistema con la interfaz gráfica, alterando los valores almacenados en la base de datos local. 6) Uniendo los valores almacenados en la base de datos de configuración a las plantillas de sistema se generan los ficheros de configuración necesarios. 7) Se transmiten al MSB mediante la sesión SSH v2 la nueva base de datos y los nuevos ficheros de configuración. 8) Se reinician en el MSB los servicios necesarios de manera automática. Este sistema de funcionamiento presenta las siguientes ventajas: Los ficheros de configuración de cada MSB se almacenan en el propio sistema, permitiendo su configuración desde cualquier equipo que tenga la aplicación redConsole instalada. Se obtiene una visión de conjunto de la red desplegada, a diferencia de las soluciones basadas en una interfaz web que presentan una visión excesivamente local. No se requiere ningún tipo de servicio o demonio propio en el sistema, ya que se utiliza el servidor SSH. Manteniendo este servidor convenientemente actualizado evitamos problemas de seguridad inherentes al desarrollo de una aplicación nueva. El sistema funciona de manera fluida incluso cuando se está accediendo a equipos con escaso caudal de acceso, ya que una vez descargadas la base de datos y las plantillas, todo el funcionamiento es en local, en la máquina del administrador. - 9 -
  • 10. Las empresas autorizadas pueden modificar las plantillas del sistema para personalizar los ficheros de configuración generados. El sistema es muy flexible y permite su modificación con rapidez. No es necesario desarrollar complicados analizadores para cada aplicación, basta con uno genérico. Se desacopla el desarrollo de la interfaz gráfica de la integración de la aplicación a controlar (plantillas), siguiendo el modelo MVC. 1.3 El papel del MSB La complejidad de las instalaciones actuales requiere de sistemas autónomos capaces de asegurar la disponibilidad de los servicios a un nivel adecuado. El papel de administrador debe ser más de supervisor que de guardián de los sistemas, relegando las tareas más tediosas y rutinarias de la administración. En la solución redBorder SE, el MSB intenta cubrir ese papel. Consiste en un sistema basado en Linux con las herramientas necesarias para asegurar una alta disponibilidad, gestión de imágenes y servicios adecuados. Para ello el MSB está duplicado, instalado por tanto en dos blades, y configurado en modo activo/pasivo, de manera que si falla el maestro (nodo activo) el esclavo ocupará su lugar (nodo pasivo). 1.3.1 Servicios El sistema está compuesto por el chasis y los servidores blades además de la electrónica de apoyo. Los servidores blades son los equipos sobre los que correrán las aplicaciones llamadas servicios (Security Service Blade, SSB) y los nodos de gestión llamados MSB (Management Service Blade). Cuando un blade es insertado en un chasis gestionado por la solución redBorder SE, el MSB detecta su presencia, activando y configurando todos los aspectos necesarios de la electrónica y los sistemas para que el blade inicie la imagen necesaria y arranque el servicio configurado para dicho blade en función de su ubicación (bahía ocupada) y prioridad. Si un servicio cae por algún motivo, es responsabilidad del MSB la detección de dicha caída (si está dentro de unos parámetros - 10 -
  • 11. controlados) para respaldar e iniciar dicho servicio en otro blade que esté disponible, siempre en función de la configuración de ubicaciones y prioridades definidas por el administrador. 1.4 Características A continuación se listan algunas de las características más importantes. Su sistema no tiene por qué incluirlas todas ya que dependen del tipo de licencia obtenida: • Sistema de objetos.- Para facilitar las labores de administración del equipo, la configuración de los distintos módulos se realiza utilizando objetos definidos de manera centralizada. Existen objetos de red, servicios, protocolos y mensajes ICMP. • Cortafuegos con control de estado.- Los cortafuegos dinámicos o con control de estado ofrecen mejores niveles de seguridad que los cortafuegos estáticos usados hasta ahora. Mediante la correcta configuración del cortafuegos podrá proteger el MSB ante accesos no autorizados. • Gestión del Tráfico.- El MSB puede disponer de tantas sondas de tráfico como desee. Estas sondas recolectarán información de tráfico de una interfaz concreta para ser analizada por el administrador. Se recomienda, al menos, la monitorización de cada una de interfaces del MSB para un correcto estudio del mismo. • Volcado de configuración.- Permite almacenar en un único fichero la base de datos de configuración del sistema para clonar otros equipos o como copia de seguridad. • Logs remotos.- Por defecto el sistema almacena los logs en local. Si dispone de un servidor compatible syslog, puede configurar el MSB para que envíe los logs a ese equipo usando el protocolo UDP/TCP o un túnel SSL. • Servidor SSH.- El sistema de administración gráfica se conecta al cortafuegos a través del protocolo de comunicaciones seguras SSH v2. - 11 -
  • 12. 1.5 Instalación redConsole, la aplicación de gestión de redBorder SE, requiere para su funcionamiento de una máquina virtual JAVA v1.5 o superior correctamente configurada. Asegúrese de que sea así antes de proceder. Para instalar la aplicación tan sólo necesitará ejecutar el programa 'setup.jar', bien haciendo doble clic sobre el archivo (si así lo permite el sistema operativo), o bien ejecutando el comando: admin@server $> java -jar setup.jar Lo primero que aparecerá será la selección del idioma de la instalación. A continuación aparecerá el acuerdo de licencia, indispensable para la instalación del software. Si la acepta, el instalador le pedirá el directorio donde instalar el programa. Una vez introducido el directorio, el programa comienza su instalación. Tras esto, será necesario indicar el grupo de programas y si se quiere un acceso directo en el escritorio (versión Windows). Pulsando “Siguiente” se finaliza la instalación. 1.5.1 Creación de accesos directos Una vez realizado el proceso de instalación de los binarios, podrá acceder al programa de diversas formas según el sistema operativo de la máquina cliente. 1.5.2 Microsoft Windows Podrá acceder a la aplicación redConsole mediante el grupo de programas que seleccionó en la instalación, el icono de acceso directo del escritorio (si así lo solicitó) o directamente por línea de comandos (se verá más adelante). - 12 -
  • 13. 1.5.3 UNIX/Linux Debido a la diversidad de escritorios existentes en Unix/Linux se hace necesario el uso de la línea de comandos para estandarizar la ejecución. Sin embargo ciertos escritorios, como gnome o kde, facilitan la creación de entradas en los menús de aplicaciones o la creación de iconos de enlace directo en el escritorio, haciendo su ejecución semejante al entorno Windows de Microsoft. Queda en manos del administrador de la máquina cliente realizar tales entradas. Para el inicio de la aplicación deberá ejecutar en el directorio de instalación del programa el siguiente comando: admin@server $> java -jar redborder.jar 1.5.4 MacOS X La ejecución de la aplicación en este sistema no es diferente de la de cualquier sistema Unix. - 13 -
  • 14. 2 Instalación del MSB El MSB es el elemento clave del sistema de redBorder SE. Es quien proporcionará las imágenes al resto de blades y quien monitorizará el buen funcionamiento del chasis. El sistema base en el que está instalado es compatible Red Hat® Enterprise Linux 5 (RHEL5 o CentOS5). Sobre dicho sistema se instalarán una serie de paquetes que aseguren el buen funcionamiento de redBorder SE. El proceso de instalación se debe realizar en dos fases principales: • Instalación del sistema base y los paquetes mínimos necesarios. • Instalación de redBorder SE y su configuración. Los requisitos para una correcta instalación de redBorder SE son los siguientes: • bash • perl • net-snmp, net-snmp-libs, net-snmp-utils • pcre • freetype • libart_lgpl • gnutls • postgresql, postgresql-server • xinetd • tftp-server - 14 -
  • 15. • dhcp • nfs-utils-lib, nfs-utils • portmap • libpcap • ntp • rrdtool • drbd • heartbeat Todos estos paquetes son instalados automáticamente con el DVD de instalación. 2.1 Pasos de instalación La instalación de redBorder SE implica la configuración previa de varios elementos del chasis: • Configuración inicial del Módulo de Gestión (MM/AMM) • Configuración inicial de los switches • Instalación de redBorder SE Si el chasis está correctamente instalado, antes de proceder a la instalación del sistema operativo y del software de redBorder SE, hay que realizar los siguientes pasos: • Configuración de los módulos de gestión. • Direccionamiento IP. • Verificación del firmware mínimo necesario. • Configuración del servicio SNMP. - 15 -
  • 16. • Configuración de los módulos de E/S. • Direccionamiento IP • Verificación del firmware mínimo necesario. • Configuración del servicio SNMP. Para que la comunicación interna entre los MSB sea correcta, deberá configurar los switch para permitir el tráfico de la VLAN de gestión entre los puertos involucrados en dicha comunicación. Por ejemplo, tomando como VLAN interna la 10 en los blades 1 y 2: /* Configuration dump taken 1:07:03 Sun Jan 1, 2000 /* Version 1.2.4, Base MAC address XX:XX:XX:XX:XX:XX /c/port INT1 pvid 10 tagpvid ena /c/port INT2 pvid 10 tagpvid ena /c/l2/vlan 10 ena name "VLAN 10" def INT1 INT2 /c/l2/stg 1/clear /c/l2/stg 1/add 1 10 / script end /* Para más detalles, será necesario que el lector consulte el Anexo A "Configuración de traps del MM", Anexo B "Creación de usuarios SNMP en el MM", Anexo C "Configuración inicial de la red" y Anexo D "Creación de los usuarios SNMP en el switch". - 16 -
  • 17. Es necesario igualmente permitir que los puertos externos de los switches puedan ser configurados vía SNMP: I/O Module Tasks → Admin/Power/Restart → Select Module → External Ports → Enabled. Una vez hechas estas modificaciones, si el chasis sobre el que está trabajando es un IBM con un módulo de gestión avanzado (AMM), será necesario guardar la configuración en la memoria del mismo mediante el menú MM Control → Configuration Mgmt → Save Configuration to Chassis: La instalación del sistema redBorder SE sobre un sistema basado en blades se puede realizar 'in situ' mediante la consola directa del - 17 -
  • 18. sistema de gestión o vía KVM virtual, habitual en los distintos fabricantes. Por ejemplo, el sistema BladeCenter de IBM: En sistemas Dell, por ejemplo, se usa la interfaz iDrac, que lanza una consola virtual basada en java parecida al applet de la consola de IBM. Será necesario para la instalación indicar en el blade que el inicio del sistema será por CD/DVD. Para ello se deberá configurar bien en la BIOS del propio blade o bien vía el módulo de gestión del chasis (MM/AMM en IBM o CMC en Dell por ejemplo). Cuando se empiece a leer el CD/DVD, lo primero que nos saldrá en la consola es la pantalla del instalador de Red Hat/CentOS (Sistema base del MSB): - 18 -
  • 19. El sistema por defecto inicia el instalador en modo texto, el más adecuado ya que el sistema operativo del MSB no necesita de modo gráfico alguno. Basta, pues, con pulsar la tecla <ENTER>. A partir de aquí la instalación es la de una distribución Red Hat/CentOS normal en la que se han omitido aquellos pasos que no son necesarios. Simplemente tendremos que: elegir el idioma, el teclado, y la clave de root. No es necesario modificar más parámetros para una instalación básica. - 19 -
  • 20. A continuación se muestran una serie de capturas de pantalla de la instalación: - 20 -
  • 21. - 21 -
  • 22. Una vez se haya completado la instalación, reiniciamos el MSB tal y como se especifica en el instalador. Con esto hemos completado la primera fase de la instalación: “Instalación del sistema base y los paquetes mínimos necesarios”. Tras el reinicio, deberá hacer login en el sistema introduciendo 'root' como nombre de usuario, y la clave que eligió en el momento de la instalación. En este momento, y al ser la primera vez que se inicia el sistema, se invocará automáticamente el script de configuración del sistema redBorder SE, comenzando con la aceptación de la licencia: Tras aceptar la licencia, se pararán algunos servicios que necesitan ser reconfigurados y se pedirá si quiere que se busque alguna configuración MSB existente. Esto será muy útil cuando lo que se haya instalado sea el MSB de respaldo (el esclavo). Si el MSB es el maestro, deberá decir que no. Es importante indicar que no se debe ejecutar desde una sesión ssh, puesto que uno de los servicios a reconfigurar es el de red. La siguiente pantalla le pide si desea activar o desactivar el soporte de los módulos de alertas y tráfico (explicados más adelante). Normalmente son módulos no incluidos en las licencias básicas y su activación sólo será útil si y sólo si ha adquirido las licencias necesarias. - 22 -
  • 23. La siguiente pantalla presenta los parámetros de configuración de la red externa, con valores por defecto. Dichos parámetros representan los valores de red accesibles desde el exterior del chasis necesarios para la gestión del sistema redBorder SE. Lo mismo ocurre en la siguiente pantalla, salvo que se refiere a valores de la red interna del chasis. El sistema redBorder SE reservará un rango de direcciones IP internas para el servicio DHCP necesario para el arranque vía PXE de los blades SSB. - 23 -
  • 24. A continuación deberá indicar los valores de servidores DNS, NTP así como las interfaces de red (esto último mediante su dirección MAC). Deberá comprobar que el orden en que el sistema operativo ha mapeado las interfaces de red es el correcto, es decir, correspondan con el orden detectado por el módulo de gestión. En el caso de IBM será por ejemplo: Siguiendo con el ejemplo, la configuración del bonding quedaría como sigue: • bond0 eth0 -> 00:1a:64:33:19:34 eth1 -> 00:1a:64:33:19:36 • bond1 eth2 -> 00:0e:1e:00:1b:24 eth3 -> 00:0e:1e:00:1b:25 - 24 -
  • 25. La siguiente pantalla presenta el tamaño por defecto seleccionado para la partición dedicada al sistema DRBD, en unidades de PE (extensiones físicas, cada extensión equivale a 32Mbytes). Asimismo, Se presenta una clave precompartida por defecto para el sistema DRBD, que el administrador puede usar o modificar si lo desea. Cuando se realice la instalación en el segundo MSB la clave la obtendrá automáticamente si decide activar la búsqueda de configuraciones de MSB existentes, por lo que no es necesario recordarla de una instalación a otra. Se pedirá confirmación de la configuración creada. - 25 -
  • 26. Tras confirmar la creación del volumen lógico, se procederá finalmente a la creación de la partición drbd y configuración de todos los servicios involucrados en el sistema redBorder SE. Nota: hay que asegurarse que la clave elegida en las instalaciones de los dos MSB para la partición compartida es la misma, ya que si no se indica lo contrario la clave se genera aleatoriamente. Finalmente se le pedirá confirmación para que el MSB actual se le considere como maestro. Tras esto será necesario reiniciar. - 26 -
  • 27. Tras el reinicio, ya tiene su sistema redBorder SE totalmente operativo y listo para aprovisionar imágenes una vez las tenga creadas y configuradas. Elementos a chequear para verificar el estado de la instalación: • Ver si está levantado el servidor de DRBD. Nos debe aparecer algo como lo siguiente: [msb01]# /etc/init.d/drbd status drbd driver loaded OK; device status: version: 8.0.11 (api:86/proto:86) GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by buildsvn@c5-i386-build, 2008-02-13 19:40:55 m:res cs st ds p mounted fstype 0:shared WFConnection Primary/Unknown UpToDate/UpToDate C /opt/rb/shared ext3 En la parte que dice UpToDate/Unknown significa que el nodo en el que se ha ejecutado el drbd está actualizado y que el otro extremo es desconocido. Esto es lógico si aún no hemos instalado el MSB de respaldo. • Verificar si heartbeat está iniciado: [msb01]# /etc/init.d/heartbeat status - 27 -
  • 28. heartbeat OK [pid 320 et al] is running on msb01 [msb01]... Evidentemente el PID puede variar de unas instalación a otra. • Verificar los servicios virtuales levantados por heartbeat: [msb01]# crm_mon Defaulting to one-shot mode You need to have curses available at compile time to enable console mode ============ Last updated: Mon Jul 14 13:31:16 2008 Current DC: msb02 (22222222-2222-2222-2222-222222222222) 2 Nodes configured. 1 Resources configured. ============ Node: msb01 (11111111-1111-1111-1111-111111111111): online Node: msb02 (22222222-2222-2222-2222-222222222222): offline Resource Group: grp_drbd rsc_drbd (heartbeat:drbddisk): Started msb01 rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01 rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01 rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01 rsc_fw (lsb:eneo_fw): Started msb01 rsc_nfs (lsb:nfs): Started msb01 rsc_nfslock (lsb:nfslock): Started msb01 rsc_apache (lsb:httpd): Started msb01 rsc_xinetd (lsb:xinetd): Started msb01 rsc_dhcp (lsb:dhcpd): Started msb01 rsc_snmptrapd (lsb:snmptrapd): Started msb01 rsc_rb_provd (lsb:rb_provd): Started msb01 rsc_rb_stats (lsb:rb_stats): Started msb01 rsc_collectd (lsb:collectd): Started msb01 rsc_prelude-lml (lsb:prelude-lml): Started msb01 rsc_nprobe (lsb:nprobe): Started msb01 rsc_flow-capture (lsb:flow-capture): Started msb01 rsc_pgsql (heartbeat::ocf:pgsql): Started msb01 rsc_prelude-manager (lsb:prelude-manager):Started msb01 Con esto vemos que todos los servicios han sido levantados en el msb01. Una vez instalado el MSB01 debemos conectarnos con la ayuda de redConsole para empezar a configurar nuestros chasis. Aunque - 28 -
  • 29. puede proceder con la instalación del MSB02, como se hacía en versiones anteriores, si configura adecuadamente el MSB01 automáticamente se clonará el MSB02 formando el cluster de MSBs. Si el cluster está bien montado debemos obtener la siguiente salida: [msb01]# /etc/init.d/drbd status drbd driver loaded OK; device status: version: 8.0.11 (api:86/proto:86) GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by buildsvn@c5-i386-build, 2008-02-13 19:40:55 m:res cs st ds p mounted fstype 0:shared Connected Primary/Secondary UpToDate/UpToDate C /opt/rb/shared ext3 Lo cual significa que ambos extremos están actualizados. [msb01]# crm_mon Defaulting to one-shot mode You need to have curses available at compile time to enable console mode ============ Last updated: Mon Jul 14 13:31:16 2008 Current DC: msb02 (22222222-2222-2222-2222-222222222222) 2 Nodes configured. 1 Resources configured. ============ Node: msb01 (11111111-1111-1111-1111-111111111111): online Node: msb02 (22222222-2222-2222-2222-222222222222): online Resource Group: grp_drbd rsc_drbd (heartbeat:drbddisk): Started msb01 rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01 rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01 rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01 rsc_fw (lsb:eneo_fw): Started msb01 rsc_nfs (lsb:nfs): Started msb01 rsc_nfslock (lsb:nfslock): Started msb01 rsc_apache (lsb:httpd): Started msb01 - 29 -
  • 30. rsc_xinetd (lsb:xinetd): Started msb01 rsc_dhcp (lsb:dhcpd): Started msb01 rsc_snmptrapd (lsb:snmptrapd): Started msb01 rsc_rb_provd (lsb:rb_provd): Started msb01 rsc_rb_stats (lsb:rb_stats): Started msb01 rsc_collectd (lsb:collectd): Started msb01 rsc_prelude-lml (lsb:prelude-lml): Started msb01 rsc_nprobe (lsb:nprobe): Started msb01 rsc_flow-capture (lsb:flow-capture): Started msb01 rsc_pgsql (heartbeat::ocf:pgsql): Started msb01 rsc_prelude-manager (lsb:prelude-manager):Started msb01 Esta salida significa que ambos nodos están activos en el cluster. - 30 -
  • 31. 3 Ventana Principal redConsole es un entorno de administración centralizado para una red desplegada de MSBs. Desde la ventana principal controlamos todos los sistemas de manera agrupada. Para lanzar la aplicación pulsaremos sobre el icono creado durante el proceso de instalación tal y como se detalla en capítulos anteriores. La primera vez que se ejecuta redConsole, preguntará el idioma por defecto de la aplicación, pudiéndose cambiar posteriormente a través del menú Herramientas. Después se muestra la ventana principal desde donde se configuran las carpetas (agrupaciones de MSBs) y los MSBs a administrar. La ventana principal se compone de tres partes claramente diferenciadas: • Barra de Menú.- Recoge toda las funciones asociadas a la ventana principal. • Barra de Herramientas.- Incluye las funciones más comunes. • Árbol de Terminales.- En este cuadro se incluyen todos los terminales que se desean configurar a través de la aplicación redConsole en forma de árbol. Para mantener de una forma estructurada los terminales se han considerado tres niveles de organización: • Primer Nivel (nivel de carpeta).- Especificamos un grupo en el cual podremos insertar terminales. De esta manera podemos ubicar los terminales en base a alguna característica común (cliente, provincia, tipo de hardware, tipo de contrato). • Segundo Nivel (nivel de terminal).- Es el nivel donde debemos introducir los terminales. Los - 31 -
  • 32. terminales no pueden estar en cualquier lado sino que deben situarse en algún grupo o carpeta. • Tercer Nivel (nivel de módulo).- Cada uno de los terminales dispone de una serie de módulos (Sistema, Objetos, Blade Control, etc). Este nivel sólo aparecerá cuando nos conectemos con algún MSB. 3.1 Creación de Terminales Cada terminal tiene una serie de opciones en común: • Nombre del Terminal.- Se corresponde con el nombre que le daremos al terminal para reconocerlo fácilmente. • Puerto.- Como ya se ha comentado, la aplicación redConsole interactúa con el terminal a través del protocolo seguro SSH v2. Es por tanto en este punto donde indicamos en qué puerto escucha el servidor SSH instalado en redBorder SE. El puerto se puede variar pero por defecto se toma el estándar (puerto 22). • Dominio / IP.- En este cuadro especificamos la dirección IP donde se encuentra el terminal. La dirección puede ser una única dirección IP o un nombre de dominio, en cuyo caso la interfaz resolverá el nombre de dominio introducido. Podemos crear distintos MSBs/terminales cada uno con unas características concretas. Para añadir un elemento basta con usar el menú “Edición/Añadir”: • Carpeta.- Son meramente organizativas, nos permiten agrupar cualquier tipo de terminal. • MSB.- Terminal para configurar. Este es el terminal más importante. • Colector.- Los colectores recogen toda la información referente al consumo de ancho de banda en la red y nos muestran información útil y legible en forma de gráficos. - 32 -
  • 33. • Alertas.- El MSB almacena todos los eventos ocurridos en el mismo en una base de datos. A través de este terminal podrá visualizar dichas alertas de una forma gráfica y sencilla. • Espejo.- Esta es una forma especial de terminal que permite la configuración en espejo de varios MSB del mismo tipo. • MSB Virtual.- Es igual que el MSB en espejo pero en este caso se permite sobreescritura de objetos con el fin de lograr configuraciones más complejas. Se pueden crear tantas carpetas y MSB como sean necesarias (siempre y cuando la licencia lo permita). Es decir, podríamos agrupar varios MSBs en una misma carpeta para representar su pertenencia a una misma organización, provincia, tipo de hardware, etc. De esta manera logramos un control centralizado a través de redConsole de todos los MSB contratados de una forma flexible y ordenada. 3.2 Funciones Una vez comprendidas las partes de las que se compone la ventana principal veremos qué funciones podemos realizar. Existen cuatro medios de actuación: • Barra de Menú.- Situada en la parte superior de la ventana. • Barra de Herramientas.- Situada justo debajo de la barra de menú. • Menú Popup.- Menú contextual que aparece si pulsamos el botón derecho del ratón sobre el árbol de terminales. • Teclas de acceso rápido.- Que permiten una interacción rápida con algunas funciones. - 33 -
  • 34. Como norma general, cualquier acción a realizar en cualquier ventana, está recogida en el menú pero, para facilitar la interacción con el usuario, se hace uso del resto de medios de acción. El manual se centra en explicar todas las funciones del menú y comentar cuáles de estas funciones se han considerado como de uso común incluyéndose así en la barra de herramientas, menú popup o teclas de acceso rápido. 3.2.1 Menú Archivo • Salir.- Cierra y termina la aplicación redConsole. En caso de tener algún terminal abierto cerrará las sesiones establecidas con todos ellos antes de salir. Como cualquier otra aplicación de entorno de escritorio podemos igualmente cerrar la aplicación pulsando Alt+F4 o pulsando con el ratón sobre el botón de “Cerrar ventana”. 3.2.2 Menú Edición Se encarga de las funciones de edición de la parte principal de la ventana, es decir, el árbol de terminales. • Añadir.- Podemos añadir cualquier tipo de nodo en nuestro árbol de MSBs. Para añadir ciertos terminales, se puede hacer uso de la barra de herramientas. • Eliminar.- Se encarga de la eliminación de los MSB del árbol. Es importante notar que la eliminación de un terminal no implica nada sobre su configuración real, sino que simplemente elimina la referencia del terminal en redConsole sin actuar sobre la máquina en remoto. Siempre podrá volver a añadir el terminal y acceder a su configuración si lo requiere. Existen dos posibilidades: • Eliminar Actual.- Eliminará el nodo que tengamos seleccionado. En caso de seleccionar una carpeta eliminará todos los terminales de esa carpeta. Como en cualquier explorador de ficheros, también podemos eliminar el nodo seleccionado mediante la tecla 'suprimir'. - 34 -
  • 35. • Eliminar Todos.- Eliminará todos los nodos del árbol. Como antes, siempre pedirá conformidad puesto que el cambio es irreversible. 3.2.3 Menú Ver Recogemos las funciones de visualización y edición de las propiedades de cualquier nodo del árbol. • Propiedades.- Función que permite modificar los parámetros de un MSB (nombre, puerto y dirección) o cambiar el nombre de un grupo de terminales (carpeta). Para ello tendremos, previamente, que seleccionar el nodo en cuestión. También podemos acceder a esta función a través de la barra de herramientas o el menú popup o mediante la tecla de acceso rápido F2. 3.2.4 Menú Herramientas En este menú se recogen todas la funciones avanzadas asociadas a un terminal, por tanto deberemos de tener seleccionado un terminal sobre el que actuar. • Conectar.- Se procede a la conexión con el terminal mediante el protocolo SSH con la dirección y puerto indicado en las propiedades del terminal. Ésta es quizás la acción mas común de todas y por ello se incluye en la barra de menú, en el menú popup e incluso haciendo doble clic con el ratón sobre el terminal con el que queremos conectar. • Cargar Configuración Salvada.- Igualmente conectaremos con el terminal pero esta vez cargaremos ciertos datos de una configuración almacenada localmente. Igualmente esta acción puede ser ejecutada a través del popup. • Ver Configuración Salvada.- A través de redConsole podemos guardar configuraciones de nuestros terminales y es a través de este menú como se pueden visualizar dichas configuraciones en modo 'offline'. - 35 -
  • 36. • Puntos de restauración.- Cada vez que nos conectamos con el terminal o cambiamos la configuración del mismo se guarda de forma local una copia de seguridad o punto de restauración. Por defecto se guardan hasta 30 puntos de restauración diferentes. Esto nos permite visualizar, cargar o comparar configuraciones anteriores a la actual lo que facilita enormemente la administración del terminal. • Cargar configuración.- Dos tipos: de Conexión anterior y de Transmisión anterior. • Conexión anterior.- Cada vez que conectamos con el terminal se hace una copia de seguridad de los datos, que por tanto recogen la configuración antes de cualquier modificación que pudiera realizarse durante la nueva conexión. Sólo se hará backup de la última conexión, de tal manera que si vuelve a conectar con el terminal perderá la copia de seguridad antigua, ya que será reemplazada por otra nueva. • Transmisión anterior.- Como ya sabemos, para hacer efectiva una configuración de un terminal, debemos transmitir dicha configuración. Es justo antes de este momento cuando redConsole realiza otra copia de seguridad antes de hacer efectiva la nueva configuración. El momento en que se realiza cada conexión y la durabilidad de las mismas se comprenderá mucho mejor mediante el siguiente diagrama. - 36 -
  • 37. Supongamos primero que redConsole dispone de una configuración inicial que llamaremos conf1: Momento Configuración almacenada redConsole (activa) Última Conexión Última Transmisión Inicio de la Aplicación conf1 - - Conexión al Terminal conf1 conf1 - Modificación de datos conf1 conf1 - Transmisión de datos conf2 conf1 conf1 Modificación de datos conf2 conf1 conf1 Transmisión de datos conf3 conf1 conf2 Desconexión conf3 conf1 conf2 Podemos observar que las copias de seguridad sólo se efectúan en la conexión y en la transmisión pudiendo recuperar datos anteriores en caso de que lo deseemos. Como ya veremos también es posible guardar la configuración en cualquier momento de forma local y recuperarla a través del menú “Herramientas/Cargar configuración local”. • Licencia.- Este menú recoge las funciones básicas relativas a la licencia del terminal: • Importar Licencia.- Importa una licencia para el terminal seleccionado a partir de un fichero. - 37 -
  • 38. • Ver licencia.- Muestra el tipo de licencia instalada en el terminal. • Obtener parámetros de la licencia.- Cuando no se dispone de una licencia para el terminal seleccionado debemos obtener una determinada información del mismo con el fin de que se pueda generar una licencia. Esta función muestra los parámetros necesarios para la generación de una licencia válida para dicho terminal. • Actualizar el terminal.- Actualiza el o los terminales seleccionados. • Reiniciar equipo.- Reiniciará el o los terminales seleccionados. • Cambiar contraseña.- Para configurar un terminal es necesario conocer su contraseña. Mediante este menú podemos cambiar la contraseña del terminal. Nota: la contraseña por defecto es “marte”. • Cambiar el Idioma.- Para cambiar el idioma de la aplicación. • SSH.- Menú asociado al protocolo de comunicación SSH: • Terminal SSH.- Abre una ventana que nos permitirá conectarnos por SSH con cualquier terminal. En caso de tener un terminal seleccionado intentará conectar con el mismo. • Importar clave RSA.- Existen dos modos de autenticación con el terminal mediante SSH: password y clave RSA. Esta opción nos permite importar una clave RSA del terminal con el que conectar. Nota: el primer modo probado es siempre mediante clave RSA. • Exportar clave RSA.- Permite copiar la clave RSA del terminal seleccionado para copiarla en otro destino. • Limpiar firmas RSA conocidas.- Cada vez que redConsole abre una conexión con un terminal guarda una firma digital única que identifica a dicho terminal. - 38 -
  • 39. Esto nos permite evitar ataques de suplantación de IP. Mediante esta función eliminamos todas las firmas de todos los terminales conocidos. • Editor de claves RSA conocidos.- Esta opción nos permite la edición individual de cada una de las llaves RSA. • Incluir imagen en los informes en PDF.- Selección de la imagen a incluir en la creación de informes PDF. • Borrar imagen de los informes PDF.- Elimina la imagen almacenada para la creación de informes PDF. • Configurar Proxy HTTP.- Es posible que para que redConsole pueda conectarse con internet necesite de la utilización de un proxy. Mediante esta opción podemos indicar la ip del proxy, nombre de usuario y contraseña si fuera necesario. redConsole se conecta al exterior por web para dos funciones: • Actualizar redConsole. • Mostrar las noticias RSS de la aplicación. • Noticias RSS antiguas.- Muestra las noticias RSS antiguas o ya leídas de redConsole. • Tips.- Muestra el clásico diálogo de sugerencias de la aplicación. 3.2.5 Menú Ayuda Existen tres funciones: • Actualizar redConsole.- Permite la actualización de la aplicación. Para ello es necesario disponer de un usuario y contraseña. Póngase en contacto con su proveedor si no dispone de unos valores válidos. • Contenidos.- Abre el navegador mostrando el manual de redConsole en PDF. - 39 -
  • 40. • Acerca de .- Típico menú de ayuda en el que encontrará información de la versión y la empresa desarrolladora de la aplicación. 3.3 Noticias redConsole tiene un sistema de noticias integrado (usando tecnología RSS) que aparece en la parte inferior de la ventana en forma de líneas anaranjadas. Hay tres tipos de noticias diferenciables por su respectivo icono: • Noticias normales • Actualizaciones • Seguridad Puede necesitar configurar el proxy en el menú “Herramientas” para poder conectarse al servidor de noticias. - 40 -
  • 41. 4 Ventana de Terminal Nuestro objetivo es la configuración y gestión de un terminal de forma remota. Para ello debemos conectar con cualquiera de los terminales que dispongamos en la ventana principal obteniendo así la ventana de terminal. Dicha ventana no es más que un reflejo de la base de datos asociada al terminal conectado, presentándose de una forma más cómoda y fácil de manejar. Las comunicaciones llevadas a cabo con el terminal se realizan mediante el protocolo de comunicaciones seguro SSH v2. La sesión es iniciada en el momento de conexión con el terminal y no termina hasta que no se cierra la ventana de terminal. Mientras se disponga la ventana de terminal abierta existirá un medio de comunicación establecido entre la aplicación y dicho terminal. Para hacer notar cuándo la sesión SSH está abierta o mostrar qué terminales tiene conectados, en el icono del terminal se mostrará encendido un led verde simulando la conexión. En el caso de que intentemos conectar con el terminal nuevamente, simplemente mostrará la ventana de terminal asociada a la conexión anterior. Si quisiéramos realmente volver a conectar deberíamos primero desconectar del terminal, cerrando la ventana de terminal, para así poder conectar nuevamente. En esta ventana se configuran los módulos correspondientes a cada terminal, los módulos serán tratados independientemente en apartados posteriores. No es objetivo de este capítulo explicar ahora cada uno de ellos sino explicar las características comunes. 4.1 Manejo Para mostrar la configuración de cada uno de los módulos debemos previamente seleccionar dicho módulo. Se puede realizar a través de: • Menú Módulo de la Barra de menú del Terminal. • Haciendo click sobre los iconos de los diferentes módulos en la Ventana principal. - 41 -
  • 42. Sólo se mostrarán los módulos que tenga instalado del terminal o permita la licencia instalada en el mismo. La detección de qué módulos tiene activados cada terminal se realiza en el periodo de conexión, por lo que es posible disponer de varios terminales contratados teniendo cada uno distintas funcionalidades. La aplicación mostrará y configurará aquello que tenga contratado cada terminal. Cuando conectamos con varios terminales dispondremos de ventanas y conexiones independientes entre todas ellas. Para detectar con qué terminal está asociado una de las ventanas de terminales disponible se muestra en la parte superior de la misma la información del terminal conectado con el siguiente formato: nombre – dirección - puerto ( grupo ) “Módulo Activo” De esta forma logramos un sistema de configuración centralizado con el que podemos configurar y gestionar cualquier terminal independientemente de su localización, estructura o funcionalidades contratadas. En este apartado veremos qué podemos realizar a través de la Ventana de Terminal. Todas estas características son comunes a todos los módulos activos en el terminal. 4.1.1 Menú Archivo • Guardar Configuración.- Esta función tomará la configuración de todos los módulos y la guardará en un fichero especial. Previamente se verificará que la configuración que se pretende guardar es coherente y no tiene errores. Una vez verificados los módulos se preguntará al usuario dónde desea guardar la configuración. Los ficheros de configuración de redConsole tendrán la extensión ".mgc" que será añadida automáticamente en caso de no especificarla. Para volver a una configuración salvada deberá de elegir la opción de “Cargar configuración Local” en el Menú Herramientas de la ventana principal seleccionando una de las configuraciones salvadas previamente. - 42 -
  • 43. • Guardar Informe HTML.- Crea y guarda un informe general (con los módulos que se hubieran indicado en la opción "Propiedades del informe") en formato HTML. • Guardar Informe PDF.- Similar al anterior, pero en un documento PDF. • Guardar Pantalla PDF.- Crea un informe PDF que se presenta en la pantalla actual. • Propiedades del informe.- Permite seleccionar los módulos de los que se realizarán los informes. • Salir.- Cerrará la Ventana de Terminal finalizando con la sesión SSH que tenía abierta. 4.1.2 Menú Módulo A través de este menú podemos cambiar de un módulo a otro para mostrar su configuración. Sólo se mostrarán los módulos que tiene activos en el terminal. 4.1.3 Menú Transmitir Este función se encarga de la transmisión de la configuración presente en la Ventana de Terminal al terminal conectado. Al igual que en el caso de Guardar Configuración en el menú Archivo, antes se realizará una comprobación de los datos detectando posibles errores. Una vez transmitida la configuración se reiniciarán los servicios implicados de forma automática y transparente al usuario. Para mantener una consistencia en los datos, en determinadas circunstancias es necesario transmitir todos los módulos o, excepcionalmente, reiniciar la máquina. En estos casos, antes de realizar cualquier transmisión, se le preguntará al usuario si desea continuar. Todas las funciones de este menú están asociadas a la transmisión de la configuración al otro extremo pero de diferentes maneras: - 43 -
  • 44. • Transmitir Actual.- Transmite el módulo que tenga seleccionado en la Ventana de Terminal. El módulo Objetos siempre se transmitirá puesto que es un elemento base. • Transmitir Todos.- Transmite todos los módulos activos en el terminal. • Selección.- Transmitirá sólo aquellos módulos que tenga seleccionados. Seleccionando este menú se abre un desplegable en el que se muestran todos los módulos activos mediante un selector. Se transmitirán todos aquellos módulos que tengan dicho selector habilitado una vez pulsando el “Transmitir” del desplegable del menú “Selección”. Como puede observar el menú de Objetos siempre esta seleccionado y no se puede modificar. En caso de existir algún cliente conectado previamente, las opciones anteriores no aparecerán habilitadas en el menú Transmitir. Será necesario marcar primero la opción “Desbloquear” para poder acceder a ellas. Esto se utiliza como mecanismo de seguridad, para avisarnos de la existencia de otros clientes conectados. 4.1.4 Menú Herramientas • Reiniciar equipo.- Reinicia el terminal de forma remota. Evidentemente perderá la sesión SSH, luego tendrá que volver a conectar con el terminal si desea realizar más cambios. • Apagar equipo.- Apaga el terminal de forma remota. • Comprobar estado.- Comprueba el estado del módulo que se indique. En algunos casos da información que puede ser útil para la monitorización del servicio. • Ver modificaciones en la base de datos.- Muestra las modificaciones de la base de datos desde el momento de la conexión o desde la última transmisión (si es que se hizo) - 44 -
  • 45. • Buscar.- Función que nos permite buscar un texto dentro de redConsole en todos los módulos asociados al terminal. Se muestra un diálogo en el que nos permite seleccionar los módulos en los que se realizarán la operaciones de búsqueda. Mediante la tecla de acceso rápido Ctrl+F podemos acceder a esta función. • Tips.- Muestra sugerencias acerca de redConsole pero en este caso asociados al terminal conectado. 4.1.5 Menú Asociado al Módulo Activo Este menú sólo esta disponible para ciertos módulos que lo requieran. Recoge funciones asociadas al módulo en cuestión y por ello serán tratadas en apartados posteriores. - 45 -
  • 46. 5 Módulos principales Los módulos principales son los incluidos en un terminal estándar, aunque no siempre todos están activos ya que éstos dependen tanto del hardware como de la licencia que se esté usando. 5.1 Sistema El módulo de Sistema recoge toda la parte de configuración de la máquina en sí. Constituye, junto con el módulo de Objetos, uno de los módulos base del cual dependen el resto de módulos. Debemos tener en cuenta que una modificación inadecuada en este módulo podría suponer la pérdida de contacto con la máquina, de ahí su importancia. Es por esta razón por la que debe prestar especial cuidado a la hora de modificar ciertos parámetros. El módulo de Sistema se divide en 5 partes: • Resúmen.- Muestra un resúmen del estado del MSB conectado. • Sistema.- Parámetros básicos de sistema. • SSH.- Configuración del servidor SSH del terminal usado por redConsole para comunicarse con el MSB. • Logs.- Visor de logs del MSB conectado. • Estado.- Creación de informes básicos en HTML del estado de la máquina. 5.1.1 Resúmen Esta pantalla muestra un resúmen del estado del MSB conectado. A modo de ejemplo tenemos: - 46 -
  • 47. Se divide en tres partes claramente diferenciadas: • Estado del chasis.- Estado de los blades del chasis controlado por el MSB. • Estado del MSB.- Estado de la CPU y carga del MSB conectado. • Tabla de propiedades.- En esta tabla se recogen los siguientes campos: • Nombre del terminal. • Usuarios conectados. • Tiempo local del MSB. • Uptime. Tiempo que lleva encendida la máquina y la carga de la misma en modo texto. • Versión del software de redBorder instalada en el MSB. • Validez de la licencia instalada en el MSB. - 47 -
  • 48. • Número de MSBs que forman el cluster. • Estado de la partición DRBD del cluster. 5.1.2 Sistema Este apartado se encarga de los siguientes parámetros: • Nombre del Sistema.- Nombre interno del MSB. • Fecha actual del Sistema. • Hora de conexión.- Hora de conexión con el MSB. • E-Mail del Administrador.- Se especifica el correo del administrador al que se le enviarán alertas si es necesario. • E-Mail de respuesta.- Se especifica el correo origen con el que se enviarán los mensajes. Cuando el administrador reciba una notificación via email conocerá el MSB al que hace referencia gracias a este campo. • Servidor SMTP (relay).- Servidor SMTP usado para enviar cualquier correo de administración. • Puerto.- Puerto de escucha del servidor SMTP • Requiere autenticación.- Esta opción debe estar marcada sólo si el servidor SMTP configurado requiere autenticación. • Usuario.- Nombre de usuario usado para la autenticación con el servidor SMTP. • Contraseña.- Contraseña utilizada para la autenticación con el servidor SMTP. - 48 -
  • 49. 5.1.3 SSH El servidor SSH es una de las bases del sistema de configuración. Todas las comunicaciones que se efectúan entre redConsole y el MSB se hacen a través del protocolo de comunicaciones seguro SSHv2. Una modificación inadecuada del servidor SSH podría suponer la pérdida de la conexión con el terminal para futuras sesiones. - 49 -
  • 50. Los parámetros configurables son: • Puerto de escucha.- Es el puerto donde escuchará el servidor SSH. Por defecto será el puerto 22. Al tratarse de un puerto (servicio) se mostrará, como es lógico, la lista de objetos servicio que tenga definido. • Habilitar acceso por contraseña.- Si esta marcado, se permitirá el acceso por contraseña y por clave RSA. En caso de estar desmarcado sólo se permitirá el acceso por clave RSA. Aunque redBorder SE puede ser configurado desde cualquier equipo de la red, es recomendable que el servidor SSH sólo escuche en la interfaz de gestión y cortarlo para otras interfaces. Este es el modo más seguro puesto que evita posible conexiones SSH desde el exterior. Para ello, deberá realizar las acciones adecuadas en el módulo de Cortafuegos. Debemos tener en cuenta también el puerto de escucha del servidor SSH. La modificación del puerto implicará una modificación en las propiedades del terminal para conexiones futuras. Para reforzar la seguridad, es posible usar claves RSA/DSA para la autenticación. Lo más seguro es crear claves RSA/DSA únicas para cada administrador en caso de ser varios los administradores del equipo, y desactivar el acceso por contraseña. El servidor SSH también puede ser usado para una administración a bajo nivel sólo disponible para usuarios avanzados. 5.1.4 Logs Si los logs generados se guardan en el mismo equipo podemos visualizarlos desde este panel. Para ello, debemos seleccionar previamente el fichero de logs que deseamos visualizar. Tenemos dos posibilidades: • Analizar Log.- Muestra en el cuadro de texto inferior las últimas líneas del fichero de logs. - 50 -
  • 51. • Guardar Log.- Descarga el fichero completo para guardarlo en la máquina donde se ejecuta redConsole y lo muestra en el cuadro de texto para su visualización. Podemos usar esta opción para visualizar partes del fichero más antiguas o para hacer una copia de seguridad del mismo. 5.1.5 Estado Esta pestaña permite crear un pequeño informe en HTML de varios aspectos relacionados con el sistema. - 51 -
  • 52. Se puede elegir entre distintos temas: • Información General.- Muestra información como la fecha del sistema, el tiempo que lleva encendido y el número de usuarios conectados. • Información de Sistema.- Muestra el número de procesos y el porcentaje de ocupación de la CPU. • Información de Memoria.- Muestra información sobre la memoria RAM, la memoria de intercambio y las particiones que se encuentren en el sistema. • Información de Red.- Muestra el número de reglas iptables, las conexiones TCP y UDP y la tabla de rutas estáticas así como las interfaces. - 52 -
  • 53. 5.2 Objetos El módulo de Objetos es una de las bases de redConsole puesto que de él dependen el resto de módulos. Cuando un administrador quiere configurar un dispositivo avanzado necesita gestionar múltiples direcciones de red, subredes, puertos de servicios, protocolos... Muchos de estos datos son comunes a varios o a todos los servicios. Por ejemplo, si el sistema de red que pretende configurar el administrador contiene una subred correspondiente a la red local (ej. 192.168.100.0/24) tendrá que utilizar dicha subred en todos los servicios que dependan de la misma (ej. Cortafuegos). El mantenimiento de dicha subred de forma manual sería complicado y tedioso si consideramos una dependencia múltiple del mismo. Cualquier modificación de dicha subred implicaría una modificación de todos los ficheros de configuración de los que depende lo cual puede resultar complicado y en ciertos casos prácticamente inviable. Esta es la razón principal por la que existe el módulo de Objetos. En un único punto de la aplicación se definen esas subredes, direcciones IP, puertos y mensajes ICMP, que de forma genérica se tratarán como objetos por el resto de componentes. Los otros módulos utilizarán dichos objetos como si de una base de datos se tratara, y de esta manera cualquier modificación en el valor almacenado en el objeto de la red local sólo implicaría la modificación del objeto de red en el módulo de Objetos, no siendo necesaria la alteración en el resto de módulos que lo utilicen. Con todo esto, se puede observar la importancia de dicho módulo para el resto de módulos. Siempre debe de haber una coherencia entre los datos de este módulo y el resto, y por ello siempre se transmite al terminal al hacer cualquier cambio en la configuración. Cada uno de estos objetos definidos en este módulo tendrá un nombre para hacer referencia a los mismos en cualquier otro módulo. Este nombre es totalmente configurable por el usuario según sus necesidades. - 53 -
  • 54. ¿Qué objetos podemos usar? Todo aquello que sea susceptible de ser usado en cualquier otro módulo, se considerará un objeto. Para esta versión se han considerado los siguientes objetos: • Elementos de red.- Se corresponde con cualquier dirección de red, ya sea una dirección IP simple (ej. 192.168.100.1), una dirección de subred (192.168.100.0/24) o una lista de ambas. También es posible utilizar un nombre de máquina para que la interfaz realice una consulta DNS y escriba por nosotros el valor de su IP. Es importante resaltar que NO se almacena el nombre de la máquina, sólo su dirección IP. • Servicios.- Para identificar un servicio IP debemos indicar el número de puerto que utiliza. Por ejemplo, el puerto por defecto del servicio SSH es el 22. De fábrica se especifican la gran mayoría de puertos de los principales servicios, pero puede necesitar crear objetos nuevos. También podemos especificar rangos de puertos para aquellos servicios que los usen. - 54 -
  • 55. • Protocolos.- Existen multitud de protocolos de red que pueden ser usados, por ejemplo TCP y UDP. Este objeto hará referencia al identificador de cada protocolo. • Mensajes ICMP.- En el protocolo ICMP existen multitud de tipos de mensajes, por ejemplo, el mensaje de “echo” y “echo reply” (ping). Este tipo de objetos guardará el identificador del mensaje ICMP. • MAC.- Lista de direcciones MAC que queremos controlar de manera personalizada. - 55 -
  • 56. • Marcas.- índices usados en los módulos de tráfico y cortafuegos. • Grupos.- Aquí se pueden definir grupos que engloben a distintos objetos. Independientemente de la naturaleza del objeto redConsole, cada uno dispone de un nombre al que haremos referencia cuando queramos usarlo. Evidentemente, en función del tipo de objeto que sea, podremos usarlo en un lugar u otro. Para ello se hará uso de desplegables en los que se muestren todos los objetos del tipo en cuestión. En todos los cuadros donde se requiera de un objeto, se mostrarán de forma automática sólo los que tengan sentido según el contexto. Debido a su importancia en el resto de módulos existen ciertas limitaciones: • Un objeto no se podrá eliminar cuando esté en uso. Sólo cuando se libere al objeto de dichos usos, podrá ser eliminado. • La modificación de un objeto que esté en uso implicará la transmisión de todos los módulos. Con todo esto, el módulo Objetos se divide en varias partes (pestañas), que se corresponden con los tipos de objetos que se pueden crear. El uso de este tipo de tabla es común al resto de la aplicación. Es por esta razón por la que se explicará la funcionalidad de esta tabla para luego detallar los aspectos particulares de cada tabla en otros módulos. - 56 -
  • 57. 5.2.1 Tabla Principal La tabla principal se compone de “barra de herramientas” y “tabla de datos”. 5.2.1.1 Barra de Herramientas En la parte superior se dispone de una barra de herramientas con las funciones principales: • Añadir.- Añadirá una fila al final de la tabla. • Insertar.- Insertará una fila encima de la fila seleccionada. En caso de no tener seleccionada ninguna fila la insertará al principio. • Editar.- Tomará la fila seleccionada para su edición. También se edita haciendo doble clic con el ratón sobre la fila seleccionada. • Eliminar.- Se eliminarán aquellas filas seleccionadas solicitando, por seguridad, una confirmación del usuario. En caso de que exista un error y ciertas filas no hayan podido ser eliminadas se mostrará mediante un diálogo de error. Para eliminar una fila puede hacer uso de la tecla Suprimir del teclado. • Subir.- Subirá la fila seleccionada una posición hacia arriba. Existen diferentes tablas en las que la posición de las filas es importante, luego esta función nos podría valer para organizar la tabla según nuestras necesidades. Existe un acceso directo a esta función mediante la combinación Alt+Up (flecha hacia arriba del cursor). Como ya veremos esta combinación se puede usar en otros sitios en los que tenga sentido subir o bajar (por ejemplo en el árbol del QoS). • Bajar.- Al igual que podemos subir una fila mediante esta función bajaremos la fila de posición. Igualmente podemos hacer uso del acceso directo Alt+Down (flecha hacia abajo del cursor). - 57 -
  • 58. 5.2.1.2 Tabla de Datos Es el lugar donde se mostrará la información contenida en la tabla ordenada por columnas y filas. Para facilitar la visualización de la tabla se alterna, entre dos colores, el color de las distintas filas. Como cualquier otra tabla dispone de dos partes: cabecera (donde se muestra una información resumida del contenido) y cuerpo (donde se presentan los datos). Existen ciertas tablas que son sensibles a ser organizadas por orden alfabético a nivel de columna. Tipos de ordenaciones: • Definida por el usuario.- El usuario define su propia ordenación según sus necesidades pudiendo subir o bajar las filas con las funciones que vimos anteriormente. • Ordenación ascendente.- Si hacemos clic con el ratón sobre la columna de la tabla que queremos ordenar modificará, de forma automática, el orden para que sea ascendente. Podemos ver que se está aplicando este tipo de ordenación observando la forma de la cabecera de la columna ya que aparece con un triángulo justo al lado del nombre indicando el orden ascendente. • Ordenación descendente.- En caso en el que estemos en orden ascendente y hagamos clic nuevamente sobre la misma columna, el triángulo que aparecerá será un triángulo invertido, denotando el orden descendente de la misma. El orden por defecto es el primero, en el que no se muestra ningún triángulo en la cabecera. Como ya sabemos, para pasar de un estado a otro basta con hacer clic sobre la cabecera en cuestión formando un ciclo. Pasamos de orden definido por el usuario a orden ascendente, y haciendo clic, de orden ascendente a descendente, y si hacemos clic nuevamente, de orden descendente al definido por el usuario, repitiendo así el ciclo. Podemos incluso ordenar más de una columna a la vez manteniendo pulsada la tecla ”Ctrl” mientras hacemos clic sobre las cabeceras de las columnas que queramos ordenar. - 58 -
  • 59. Un uso común para la ordenación puede ser la de buscar una fila determinada. La ordenación alfabética o numérica según el caso, puede simplificar las tareas de búsqueda en tablas extensas. Para tal fin, también puede hacerse uso de las teclas de acceso rápido. Cuando se tenga seleccionada una celda (fila+columna), pulsando cualquier tecla imprimible del teclado buscará la siguiente fila que comience por dicha letra en la columna seleccionada. Para sucesivas búsquedas basta con pulsar la tecla F3. Relativo a la ordenación, en el caso en que tenga la tabla ordenada, ya sea de forma ascendente o descendente, si sube o baja una fila de posición, lo hará de manera relativa al orden definido por el usuario. También, en el caso de que la tabla esté ordenada, e inserte o añada una fila, como parece lógico, la fila se colocará en el lugar que le corresponda según la ordenación seleccionada. Para facilitar la adición o edición de filas a la tabla se dispone de un diálogo asociado a la misma. Este diálogo es diferente en función de para qué se utilice en la tabla ya que aun teniendo todas la tablas de este tipo una estructura similar, los datos que contienen pueden ser totalmente diferentes. A medida que veamos cada uno de los módulos en los que nos encontremos con tablas de este tipo, se irán viendo las limitaciones de cada diálogo según corresponda. Puede crear puntos de retorno en las tablas mediante la combinación de teclas Ctrl+F2. Para volver a dicho punto de retorno basta con pulsar la tecla de acceso rápido F2. Existen ciertas filas que son consideradas como de sistema que no pueden ser eliminadas o editadas (al menos en parte). Estas filas sirven para mantener una coherencia de los datos y las aplicaciones. - 59 -
  • 60. 5.2.2 Elementos de red La multitud de direcciones IP y subredes a utilizar hace necesario definirlos como un objeto de red. Éste es quizás, el objeto más usado en el resto de módulos debido a su importancia. Estos objetos de red almacenarán bajo un mismo nombre varios tipos de datos: • Dirección IP.- Dirección de un equipo. Ej: 192.168.100.2 • Subred.- Dirección de una subred. Ej: 192.168.100.0/24 • Múltiples direcciones IP o Subredes.- Usados para definir entornos más complejos según la necesidad del administrador. Ej: 192.168.100.0/24,192.168.100.2 En este panel se especifican todos los objetos de red para el terminal conectado. Por defecto aparecen dos objetos de red que son: • internet.- Se corresponde con la subred global 0.0.0.0/0 • localhost.- Se corresponde a la dirección reflexiva 127.0.0.1, es decir hace referencia a la propia máquina. Para insertar o editar objetos de red hacemos uso de las funciones de la tabla principal que vimos previamente. El diálogo es como sigue: Debemos indicar: • Nombre.- Nombre único entre objetos de red, que será usado para hacer referencia al objeto. • Subred.- Tabla en la que se indican tantas direcciones IP o de subred como sean necesarias. Para añadir una dirección a la lista basta con introducir la dirección en el cuadro que se indica y pulsar “Añadir” incluyéndose al final de la lista. Podemos añadir: - 60 -
  • 61. • Dirección IP.- Una dirección IP simple en el formato habitual. Ej: 192.168.100.2. • Dirección de Subred.- Una dirección de red con el formato IP/Máscara. Ej: 192.168.100.0/24. Es posible que no especifique una dirección de subred correcta, por ejemplo: 192.168.100.200/25 en cuyo caso se calculará, de forma automática, la dirección de red correcta con esa máscara (192.168.100.128/25). • Dominio.- Puede especificar cualquier nombre de dominio de tal manera que redConsole resolverá la IP(s) que le corresponda. redConsole debe ser capaz de resolverlo de forma local o haciendo la petición a la red si lo requiere. En caso de que no pueda resolver el nombre de dominio dará un mensaje de error. Es importante notar que una vez resuelta la IP, el valor que se usará será siempre el de la dirección IP resuelta y nunca el del dominio. Esto es así ya que el resto de módulos no trabajan con nombres de dominio sino con direcciones IP. El uso de los objetos de red con direcciones de subred o con múltiples direcciones IP está limitado. Existen ciertos puntos en los que se espera una dirección de red simple como puede ser la dirección de escucha del proxy. No tendría sentido que un servicio escuche en una dirección de subred o en múltiples direcciones IP. ¿Qué pasaría si un objeto de red que tuviera una dirección IP simple pasara a una dirección de subred? En todos aquellos puntos en los que aparezca dicho objeto y se esperara una dirección de red simple contendría datos erróneos. Es por esta razón por la que, para mantener un sistema más simple y estable, se limita justamente la acción errónea. Es decir, en el caso en el que un objeto de red con una IP (objeto de red simple) esté siendo usado, no se podrá pasar a dirección de subred o dirección de red múltiple (objeto de red complejo). - 61 -
  • 62. 5.2.3 Servicios Cualquier servicio de red queda definido por dos parámetros: dirección IP de acceso y puerto de escucha del servidor. La dirección de acceso se incluye en los objetos de red y el puerto en los objetos de servicio. Existen en la actualidad multitud de servicios. En la configuración de fábrica se definen los puertos por defecto de los servicios típicos de Internet. Estos objetos se consideran objetos de sistema y por ello no se podrán eliminar o editar. También es posible definir nuevos servicios sin más que indicar el número de puerto al que hace referencia. Existen servicios más complejos que no usan un puerto simple sino un rango de puertos. Se pueden igualmente definir rangos de puertos para ser usados en los objetos de red. Los rangos quedan definidos mediante el siguiente formato (ambos puertos inclusive): puerto_inicial:puerto_final Como cualquier otro objeto se debe especificar un nombre para poder usarlo en el resto de módulos. Igualmente se recomienda el uso de un nombre acorde al servicio que se pretende definir para facilitar su interpretación. Una vez definido el objeto podemos usarlo en el resto de módulos sin más que seleccionar el servicio apropiado según nuestras necesidades. Como ocurre con los objetos de red el uso de los objetos de servicio está limitado. Existen ciertos puntos en los que no es posible usar objetos definidos como un rango de puertos. Por ejemplo, el puerto de escucha del servidor SSH no tiene sentido que sea un rango de puertos. Al igual que ocurría en el caso anterior la aplicación redConsole sólo mostrará los objetos que tengan sentido según el lugar donde lo utilice, por tanto el administrador no se tendrá que preocupar de si puede o no usar un objeto en un determinado lugar. - 62 -
  • 63. Por la misma razón que en los objetos de red, una vez definido un objeto de servicio de tipo simple (un solo puerto) que esté siendo usado no podrá cambiarlo a objeto de servicio complejo (con rango de puertos). 5.2.4 Protocolos En Internet existen multitud de protocolos siendo quizás los más usados los protocolos TCP, UDP e ICMP. Todos los protocolos disponen de un identificador de protocolos estándar siendo, por ejemplo, 6 para el protocolo TCP, 17 para UDP y 1 para ICMP. En la configuración de fábrica se definen todos los identificadores estándar de protocolos aunque existe la posibilidad de añadir nuevos protocolos introduciendo su identificador. 5.2.5 ICMP Para el protocolo ICMP existen multitud de tipos de mensajes. Cada uno de ellos dispone de un identificador único que le diferencia del resto. El objeto ICMP guardará el identificador del mensaje ICMP. De esta manera no tendremos que recordar el valor numérico asociado al mensaje ICMP sino un nombre que indica el tipo de mensaje. Al igual que en el resto de objetos, se definen una serie de objetos ICMP por defecto en la configuración de fábrica con los mensajes ICMP más importantes. Estos objetos son considerados de sistema y no se podrán eliminar o editar. 5.2.6 MAC Permite definir objetos asociados a direcciones MAC para así poder controlarlas de manera personalizada. 5.2.7 Grupos Sirve para definir agrupaciones de distintos objetos. - 63 -
  • 64. 5.3 Cortafuegos Este módulo está incluido en el sistema base y es el encargado de controlar todas las comunicaciones que atraviesan el MSB. La interfaz gráfica debe separar la red, al menos, en dos partes: una parte confiable (red interna) y otra parte no confiable (red externa). Es deber del administrador decidir qué partes de la red son confiables y qué partes no, y realizar las conexiones físicas adecuadas con la máquina. El cortafuegos, al controlar las comunicaciones en las que interviene la interfaz redConsole, puede suponer un punto peligroso para el sistema de configuración. En caso de no definir correctamente las reglas podría provocar que redConsole no pudiera comunicarse con el equipo. Es por esta razón por la que este módulo debe ser tratado cuidadosamente. Por defecto, en la configuración de fábrica, se permiten todas las comunicaciones. Es tarea “PRIORITARIA” del administrador ajustar la configuración a sus necesidades para mantener una seguridad adecuada de su red. El módulo de Cortafuegos se divide en 4 partes claramente diferenciadas por pestañas: • Configuración.- Panel general de configuración del cortafuegos. • Reglas de Filtrado.- Definición del árbol de reglas del cortafuegos. • Lista Blanca.- Conjunto de direcciones IP, redes o servicios que serán siempre aceptados por el cortafuegos. • Lista Negra.- Conjunto de direcciones IP, redes o servicios que serán siempre denegados por el cortafuegos. La mayoría de estos paneles tienen una estructura muy similar a la de los paneles del módulo Objetos. - 64 -
  • 65. Antes de proceder a la explicación detallada de cada una de las partes del cortafuegos es necesario disponer de una serie de conocimientos básicos: • Cortafuegos con control de estado.- El cortafuegos realiza un control de todas las conexiones que lo atraviesan. Cuando se inicia una comunicación que controla el cortafuegos se recorren las reglas del mismo hasta que una haga coincidencia. En caso de cumplirse, se realizará la acción indicada en la regla. Si el paquete es aceptado se guarda su estado en una tabla conocida como “Tabla de control de estado del cortafuegos”. Cuando el paquete llega a su destino y éste responde, la conexión de la tabla anterior se pasa a estado asegurado. Subsiguientes paquetes no tienen que atravesar de nuevo todo el árbol de reglas del cortafuegos sino que existe una primera regla que dice algo así: “si la conexión ya está asegurada en la tabla de control de estado el paquete se acepta directamente”. Esto tiene dos implicaciones: • Mejora de rendimiento.- La gran mayoría de paquetes hacen coincidencia en la primera regla del cortafuegos por tanto se mejora enormemente la eficiencia del mismo. • No es necesario reescribir el camino de vuelta.- Las reglas del cortafuegos se deben escribir pensando en quién origina la comunicación ya que las respuestas quedan implícitas. • Iptables.- Es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El cortafuegos está basado en netfilter (subsistema de cortafuegos) e iptables (herramienta de configuración del espacio de usuario). - 65 -
  • 66. 5.3.1 Configuración El panel de Configuración es el encargado de todos los aspectos generales del cortafuegos. De su configuración dependerán el resto de paneles del mismo: • Activar/Desactivar.- Podrá activar o desactivar el cortafuegos activando o desactivando dicha casilla. En caso de estar desactivado, el cortafuegos dejará pasar todo el tráfico. • Listas Blancas/Negras antes del control de estado.- Los usuarios, redes o servicios que estén incluidos en la lista negra serán rechazados al igual que los usuarios que estén en la lista blanca serán siempre aceptados. ¿Dónde se ponen dichas reglas?, ¿antes o después del control de estado?. • Después del control de estado.- Si un usuario es incluido en la lista negra pero el usuario ya inició sesión antes de dicha acción todos sus paquetes (los de las conexiones que permanezcan abiertas) no atravesarán las reglas del cortafuegos sino que serán inmediatamente aceptados en la primera regla de control de estado. • Antes.- Si se ponen antes, todas las comunicaciones atravesarán dichas reglas antes de llegar a la regla del control de estado. Por tanto si un usuario es incluido en la lista negra será denegado en todo caso. Por contra empeoramos la eficiencia del cortafuegos ya que los paquetes tienen que atravesar más reglas de media. • Política por defecto.- En caso de no hacer coincidencia con ninguna regla en el cortafuegos, se aplicará esta política. Existen dos posibles valores: • ACCEPT.- El paquete es aceptado. • DROP.- El paquete se desecha silenciosamente y por tanto no llega a su destino (no se envía una respuesta negativa al emisor). - 66 -
  • 67. Por defecto toma el valor ACCEPT pero debe cambiarlo una vez haya definido correctamente el cortafuegos. La política de seguridad más adecuada es: “Todo se rechaza excepto lo que yo acepto”. • Tasa máxima de generación de Logs.- En caso de que una regla haga coincidencia y tenga indicado hacer log, escribirá en disco como máximo a la tasa indicada, por defecto, 10 logs/segundo. Esto previene ataques por desbordamiento de logs. 5.3.2 Reglas de Filtrado Este panel es uno de los paneles principales del cortafuegos. Aquí el administrador define el conjunto de reglas que serán aplicadas en el cortafuegos. Las reglas serán recorridas una a una hasta que haga coincidencia, aplicándose la acción elegida. En caso de no haber coincidencia en ninguna regla se tomará la acción por defecto definida en el panel de Configuración. Una de las novedades del cortafuegos es la posibilidad de definir un árbol multinivel de reglas que mejoran la eficiencia del mismo. Se pueden definir los siguientes campos: • Acción.- Si la regla hace coincidencia en todos sus campos se ejecutará la acción indicada en este campo. Existen 6 tipos de acciones: • ACCEPT.- El paquete es aceptado. • DROP.- El paquete es silenciado o ignorado sin dar respuesta al emisor. • REJECT.- Rechaza el paquete enviando una respuesta de rechazo al emisor, mediante un mensaje ICMP. • CONTINUE.- No hace nada con el paquete. Sigue a la siguiente regla que corresponda. Esto sirve para crear excepciones a reglas más globales o para hacer logs sin realizar ninguna acción en ese punto. - 67 -
  • 68. • RETURN.- Vuelve a la regla padre de la cual proviene. • Interfaz de entrada (IN).- Interfaz por la que entra el paquete. • Interfaz de salida (OUT).- Interfaz por la que sale el paquete. • Origen.- IP origen del paquete. • Destino.- IP destino del paquete. • Protocolo.- • Puerto Origen.- • Puerto Destino.- Campos avanzados: • MAC Origen.- • Límite de Conexiones.- Si el número es menor o igual al indicado la regla hará coincidencia (al menos este campo). • Política IPSEC.- El tráfico proviene de una conexión VPN (cifrado). • LOG.- En caso de estar habilitado la regla hará log si hace coincidencia con el paquete. Puede indicar un texto descriptivo para reconocer fácilmente el log. • Configuración de la Hora.- Definición del intervalo de tiempo en que hará coincidencia la regla. Por defecto, no hay limitación de tiempo. • Comentarios.- El administrador puede incluir un comentario asociado a la regla. Este texto no será tenido en cuenta en la compilación de la regla. Es importante notar que todos los campos son opcionales. En caso de no indicarse cualquiera de los campos se tomará la opción más general. Por ejemplo, si no se especifica la interfaz de entrada, se tomará cualquiera interfaz de entrada. - 68 -
  • 69. Una peculiaridad de este cortafuegos es la definición de las reglas en forma de árbol. Para ello tenemos dos tipos de regla: • Regla Padre.- Regla que contiene reglas dentro. Las reglas dentro de las de un padre se llaman reglas hija. • Regla Hija.- Regla que cuelga de una regla padre. Las reglas hijas pueden ser a su vez reglas padre o reglas hoja (que no contienen reglas hija). Ejemplo: Regla 1 (nivel 1) Regla 2 (nivel 2) Regla 3 (nivel 2) Regla 4 (nivel 3) Regla 5 (nivel 3) Regla 6 (nivel 2) • Reglas Padre: 1, 3 • Reglas Hoja: 2, 4, 5, 6 • Reglas Hija: • Regla 2, 3, 4, 5 y 6 del padre 1 • Regla 4 y 5 del padre 3 La forma de proceder es la siguiente: • El cortafuegos atraviesa las reglas de forma lineal (una detrás de otra). • Si se trata de una regla hoja: • En caso de hacer coincidencia con el paquete aplica la acción de la regla. • Si no hace coincidencia, continúa por la siguiente regla del mismo nivel. - 69 -
  • 70. • Si se trata de una regla padre: • En caso de hacer coincidencia con el paquete en cuestión recorrerá sus reglas hijas. • Si no hace coincidencia continúa por la siguiente regla del mismo nivel. • Se aplicará la acción de la regla padre sólo si no hace coincidencia con ninguna de sus reglas hijas. Ejemplo 1: ACCION IN OUT Origen Destino DROP WAN ACCEPT servidor1 ACCEPT servidor2 Supongamos los siguientes casos: • Paquete que proviene de la LAN del servidor 1: • El cortafuegos analiza la primera regla y detecta que no hace coincidencia puesto que no proviene por la WAN. Como es una regla padre no se mete dentro y continuará por las reglas que sean. • Paquete que proviene de la WAN hacia el servidor 2: • El cortafuegos analiza igualmente la primera regla (padre) y en este caso, sí hace coincidencia. Por tanto nos metemos dentro de la regla padre. • El cortafuegos comprueba la segunda regla y vemos que no hace coincidencia luego continua por la siguiente. - 70 -
  • 71. • El cortafuegos comprueba la tercera regla y sí hace coincidencia. El paquete es aceptado. • Paquete que proviene de la WAN hacia el servidor X: • El cortafuegos analiza igualmente la primera regla (padre) y sí hace coincidencia. Por tanto nos metemos dentro de la regla padre. • El cortafuegos comprueba la segunda regla y vemos que no hace coincidencia luego continua por la siguiente. • El cortafuegos comprueba la tercera regla y vemos que no hace coincidencia luego continua por la siguiente. • Al no haber más reglas hijas, se aplica la política de la regla padre. El paquete es rechazado. Con todo esto, el bloque de reglas anterior se debe interpretar como sigue: • “Se rechazan todas las comunicaciones que provengan de la WAN excepto las que vayan hacia el servidor 1 y hacia el servidor 2”. • También es importante notar que en las reglas hijas ya no es necesario indicar la interfaz de entrada porque queda implícito de su regla padre. Si no se cumple la regla padre nunca entrará en los hijos. • Igualmente este cortafuegos se puede comportar como un cortafuegos estándar lineal. Las reglas serían las siguientes: Ejemplo 1: ACCION IN OUT Origen Destino ACCEPT WAN servidor1 - 71 -
  • 72. ACCEPT WAN servidor2 DROP WAN Como se puede observar el efecto es el mismo pero: • Si la interfaz de entrada es la LAN atravesamos tres reglas mientras que en el otro escenario sólo con una pasamos al siguiente bloque de reglas. • Más difícil de mantener. Si por lo que sea queremos cambiar la interfaz de entrada tenemos que modificar tres reglas mientras que con el otro escenario sólo debemos modificar una. Ejemplo 2: ACCION IN OUT Origen Destino ACCEPT WAN DROP servidor1 DROP servidor2 Este ejemplo es el mismo que el anterior pero se ha cambiado la política: • “Se aceptan todas las comunicaciones que provengan de la WAN excepto las que vayan hacia el servidor 1 y hacia el servidor 2 que serán rechazadas” Por tanto, con esta estructura en árbol conseguimos los siguiente aspectos: • Eficiencia.- Por término medio se atraviesan muchas menos reglas que si fuera totalmente lineal. • Flexibilidad.- El propio administrador puede definir su árbol de reglas en función de sus necesidades y su tráfico - 72 -
  • 73. sin ninguna limitación. Aunque puede definir tantas reglas padres como estime oportuno, no es recomendable poner más de 4 o 5 niveles puesto que aun ganando en eficiencia también el sistema es más complejo. • Simplicidad.- No se tiene que reescribir campos evidentes en muchas reglas. Por ejemplo: la interfaz de entrada en las reglas hijas. Esto hace que sea más fácil su mantenimiento. Una vez comprendido el esquema de árbol propuesto se explicarán nuevamente las acciones CONTINUE y RETURN que vimos en un principio: • CONTINUE.- En caso de que la regla haga coincidencia continuará por la siguiente regla que corresponda. ¿Para qué vale esta regla? Tiene dos usos principales en: • Regla hoja con log activado.- Se hace log pero no toma parte en la acción a ejecutar (se tomará más adelante). • Regla padre.- La política CONTINUE hará que continúe por las siguientes reglas en caso de que no haya ningún hijo que haga coincidencia. • RETURN.- Si hay coincidencia con la regla, volverá al padre del cual proviene sin necesidad de continuar por las reglas hijas. 5.3.3 Listas Blancas En este panel se definen las direcciones IP, subredes, servicios o conjuntos de ellos que serán aceptados por el servidor. Tanto las listas blancas como las listas negras son independientes del árbol de reglas de filtrado definido. - 73 -
  • 74. Si queremos que una subred siempre sea aceptada, sólo tenemos que incluirlo en la lista blanca. De esta manera no nos tenemos que preocupar en qué parte del árbol de reglas colocarlo. 5.3.4 Listas Negras Este panel es exactamente igual al anterior en aspecto pero justamente lo contrario en funcionalidad. Se definen las direcciones IP, subredes, servicios o conjuntos de ellos que serán automáticamente rechazados en el cortafuegos. 5.3.5 Funciones de Menú El menú del módulo Cortafuegos se divide en: • Información: • Ver últimos logs.- Muestra los últimos logs del cortafuegos. • Traza Iptables.- Muestra la traza interna de reglas del cortafuegos. Muestra las reglas iptables compiladas en el cortafuegos a bajo nivel. • Limpiar reglas del cortafuegos.- Borra todas las reglas del cortafuegos y pone la política ACCEPT por defecto. - 74 -
  • 75. 5.4 Tráfico La correcta gestión y monitorización del ancho de banda disponible en los enlaces se ha convertido en una prioridad fundamental para muchas empresas. El terminal incorpora una sonda NetFlow que envía la información requerida a un colector. Dado que este estándar es muy popular, existen múltiples colectores en el mercado, tanto libres como comerciales. 5.4.1 Netflow Este es el único panel del módulo Tráfico para la versión blade y se encarga de la configuración de la sonda Netflow integrada en el MSB. Como cualquier otra sonda, Netflow recolecta datos de la red que enviará a un colector. Puede encontrar abundante información sobre NetFlow en la página de Cisco (http://www.cisco.com/warp/public/732/Tech/nmp/ netflow/). Igualmente, puede encontrar información sobre nprobe, la sonda utilizada, en http://www.ntop.org/nProbe.html. Se considera flujo al conjunto de paquetes que tienen la misma dirección IP, puertos de origen y de destino, así como protocolo. La información de los flujos es emitida cada cierto tiempo por la sonda, y es en la configuración de ésta cuando podemos definir cuándo emite esos flujos. Se ha de buscar un equilibrio entre un alto número de flujos emitido (pocos paquetes por flujo, menor latencia, mayor sobrecarga de la red, mayor consumo de CPU, menor consumo de RAM) o un bajo número de flujos (muchos paquetes por flujo, mayor latencia, menor sobrecarga de la red, menor consumo de CPU, mayor consumo de RAM). Incluso en el caso de la descarga de un fichero grande, la sonda emitirá varios flujos relativos a dicha conexión. A través de este panel configuramos la sonda nprobe integrada en el terminal. El panel se divide en dos partes claramente diferenciadas. - 75 -
  • 76. 5.4.2 Sonda Tenemos que especificar cómo la sonda Netflow ha de tratar los datos. Se pueden configurar las siguientes propiedades: • Activar/Desactivar.- La sonda Netflow se puede desactivar haciendo que no se analice el tráfico y por tanto no se envíe información al colector. Esto haría que se consumieran menos recursos de CPU. • Tiempo máximo de vida de los flujos (segundos).- Especifica el tiempo máximo que se esperará para emitir un flujo. Valor de fábrica 120 segundos. • Tiempo máximo de inactividad de los flujos (segundos).- Especifica el tiempo máximo que puede estar un flujo sin cambiar. Si se alcanza este valor el flujo es emitido. Valor de fábrica 30 segundos. • Tiempo de verificación de flujos expirados (segundos).- Especifica cada cuánto tiempo se verifica el punto anterior. Valor de fábrica 30 segundos. • Tamaño mínimo de flujo TCP (bytes).- Especifica el tamaño mínimo que debe tener un flujo TCP para ser emitido. Valor opcional. En caso de no indicarse se tomará un tamaño mínimo ilimitado. • Número mínimo de flujos por paquete (flujos).- Número mínimo de flujos que debe tener un paquete antes de ser emitido, excepto si ha expirado. Valor de fábrica 30 flujos. • Retardo entre flujos (segundos).- Algunos colectores son incapaces de recoger todos los flujos que le manda la sonda. Mediante este parámetro introducimos un retardo artificial. Valor por defecto 0 segundos. • Activar/Desactivar LOGS.- Si habilitado, la sonda netflow generará logs del sistema con los resultados del análisis. • Numero de Hilos.- Número de hilos lanzados para el análisis de tráfico. - 76 -
  • 77. 5.4.3 Colector En este apartado debemos indicar el número de sondas instaladas en el terminal. Podemos crear tantas sondas como interfaces disponga. Los campos son los siguientes: • Interfaz.- Interfaz de análisis • Colector Netflow.- Ip donde está escuchando nuestro colector netflow. • Puerto del Colector.- Puerto donde escucha el servidor (por defecto 2055). • Comentarios.- 5.5 Colector El módulo Colector es el encargado de gestionar los flujos netflow de las sondas configuradas. Una sonda es el terminal encargado de monitorizar una determinada red con el fin de estudiar la información de tráfico de la misma. La sonda recopila información de la red de análisis enviando de forma periódica paquetes netflow al terminal de tipo colector. - 77 -
  • 78. El terminal colector es el encargado de recibir los paquetes de información netflow de cada una de las sondas para ser almacenada en una base de datos común. redConsole se encargará de hacer un estudio de dicha base de datos de una forma análoga al análisis de eventos del módulo de Alertas. Es importante, por tanto, tener clara la diferencia entre sonda y colector. En un escenario habitual tendremos muchas sondas por un único colector. Debido a la configuración cliente-servidor, un colector puede ser a su vez sonda. El módulo Colector se encarga de extraer la información de la base de datos del colector y presentar unas estadísticas de tráfico de cada una de las sondas que tiene configurada. Esto permite al administrador tener información completa y detallada del tipo de tráfico que circula por las sondas. Al igual que el resto de módulos, el módulo Colector se subdivide en pestañas que explicaremos a continuación. 5.5.1 Configuración Para poder configurar el módulo Colector hay que entrar como administrador y una vez registrado aparecerá un primer panel de configuración que a su vez se subdivide en 3 subpaneles. - 78 -
  • 79. 5.5.1.1 Parámetros de configuración Aquí se configuran los parámetros más generales del módulo Colector: • Activar/Desactivar.- Para activar o desactivar el módulo Colector. • Contraseña del administrador.- Es la contraseña del administrador (usuario: eneo) de la base de datos. El administrador es capaz de ver información de tráfico de todas las sondas configuradas. • Puerto de escucha de los flujos.- Es el puerto por el cual el servidor va a recibir los paquetes netflow provenientes de todas las sondas. Valor por defecto 2055. • Localización de la base de datos.- Dirección donde se encuentra el servidor de base de datos (PostgreSQL) que almacena la información de los datos de tráfico de las sondas. • Puerto de escucha de la base de datos.- Por defecto es el 5432 (PostgreSQL). • Tamaño máximo del fichero temporal de flujos.- Por defecto es 5 Mbytes. • Nivel de logs.- Nivel de detalle de los ficheros de logs del colector. 5.5.1.2 Configuración de sondas A través de este panel se dan de alta las sondas aceptadas por el colector. Una vez dadas de alta, se creará en la base de datos un conjunto de tablas asociadas a la sonda que guardarán la información del tráfico de dicha sonda. Los parámetros necesarios son: • Nombre de la sonda.- Nombre con el que se hará referencia a la sonda en el resto del módulo. Una vez creada la sonda, no puede modificarse su nombre. - 79 -
  • 80. • IP de la sonda.- El colector recibirá los paquetes netflow de la ip configurada. Es la forma que tiene el colector de discriminar entre sondas. • Redes zona IN.- Redes locales que tenemos en el área local de análisis. Esta información es necesaria para detectar el sentido de la comunicación de la sonda configurada. • Redes zona OUT.- Redes externas a la sonda. En el panel de tráfico de la sonda, que veremos más adelante, existe una pestaña en la que se analiza el tráfico hacia cada una de las redes externas definidas en esta columna. • Máximo ancho de banda IN.- Es el máximo ancho de banda del flujo de entrada. Esta información sólo tiene carácter estadístico y no afecta para nada al funcionamiento de la sonda. • Máximo ancho de banda OUT.- Es el máximo ancho de banda del flujo de salida. • Comentarios.- Una pequeña descripción sobre la sonda. Si pulsamos con el botón derecho del ratón sobre una sonda y seleccionamos “Conectar”, veremos la información de tráfico de la sonda seleccionada. 5.5.1.3 Configuración de usuarios En un escenario con muchas sondas es posible la creación de múltiples usuarios para una selectiva monitorización del colector. La información de tráfico de las sondas supone un claro control de la red y del uso de cada uno de los usuarios de la sonda de estudio. Es por ello por lo que se pueden definir nuevos usuarios de acceso a la base de datos pudiendo limitar las sondas a las que tiene acceso dicho usuario. Los datos necesarios para la creación de un usuario son: • Nombre del usuario. - 80 -
  • 81. • Contraseña del usuario. • Sondas a las que tienen acceso. • Comentarios. 5.5.2 Informes Es una herramienta para la generación periódica de informes avanzados. Es el panel análogo al de Alertas pero en vez de realizar un informe asociado a los eventos de las sondas, el informe estará asociado al tráfico. Para configurar los informes avanzados nos situamos en la pestaña de Informes y añadimos un nuevo elemento. Los parámetros que se pueden configurar son los siguientes: • Sonda.- Sonda de la cual se quiere extraer el informe. • Frecuencia.- El sistema generará informes de estudio de tráfico de las sondas seleccionadas con la frecuencia - 81 -
  • 82. indicada. Podemos elegir entre 12 horas, 1 día, 2 días, 3 días, 4 días, 5 días, 6 días, 7 días. • Nivel de detalle.- El nivel 1 representa el mínimo nivel de detalle y el nivel 4 el máximo. • Email.- Escribimos la dirección de correo donde llegará el informe avanzado. • Configuración del servidor FTP.- Para el caso de que se active el envío por FTP. Se pondría la dirección del servidor FTP, el usuario, la contraseña y la ruta remota del servidor FTP donde se almacenará el informe. 5.5.3 Alertas En este panel podemos escribir reglas de control de tráfico y notificación de eventos. Si la regla se cumple se generará un evento que será recogido por el sistema de gestión de eventos del módulo alertas. De forma opcional dicha notificación también puede hacerse por email. Tenemos los siguientes parámetros: • Sonda.- Sonda de la que se quiere chequear sus datos de tráfico. - 82 -
  • 83. • Enviar notificación por email.- Activa el envío de un correo al administrador indicando el origen de la alerta. • Importancia.- Gravedad de la alerta. Puede ser low, medium, high o info. • Mínimo BW.- Indica el umbral mínimo de ancho de banda en Kbps. • Máximo BW.- Indica el umbral máximo de ancho de banda en Kbps. Una regla se cumplirá si excede de los límites indicados en la propia regla, tanto en el límite superior como inferior. • Intervalo de Tiempo: • Inicio.- Hora del día a la que se comienza a chequear el ancho de banda. • Fin.- Hora del día a la que se deja de chequear el ancho de banda. • Filtro: • Dirección.- Indica si la dirección del flujo de datos es entrante (IN) o saliente (OUT), si no se indica nada se toma la suma de los dos. • Servicio.- Tipo de servicio. • Red.- Equipo del cual se quiere medir el ancho de banda. 5.5.4 Snapshot En esta pestaña podemos realizar copias de seguridad de la base de datos de tráfico pudiendo volver a un punto de restauración anterior. Hace una “foto” de la base de datos en un momento determinado, es decir, actúa como un sistema de backup de nuestra base de datos. - 83 -
  • 84. Este panel es exactamente igual al del módulo Alertas pero en vez de ser una base de datos de eventos de cada una de las sondas, es una base de datos de tráfico de cada una de las sondas. Ir al apartado correspondiente para más detalle. 5.5.5 Sondas Para acceder a la información específica de alguna de las sondas la seleccionamos previamente en el subpanel “Configuración sondas” del panel principal de Configuración, y marcamos en la opción de “Conectar” con el botón derecho del ratón, de esta forma se nos mostrará un nuevo panel para esa sonda en concreto. No sólo el administrador tiene acceso a este panel sino cualquier usuario registrado que tenga permiso para leer la información de la sonda. En este panel podemos ver todas las estadísticas de tráfico de la sonda. Al igual que en el módulo de Alertas, este panel se divide en dos partes principales: • Cuadro de mando.- Es una barra de herramientas • Panel de estadísticas de alertas.- Existen diferentes tipos de paneles de alertas como ya veremos más adelante: DashBoard, Top, Trafico IN, Trafico OUT, Tráfico IN+OUT. • Ventana de tiempo de análisis.- Los posibles valores que se pueden elegir son los siguientes: 1 hora, 3 horas, 8 - 84 -
  • 85. horas, 12 horas, 24 horas, desde 8 AM, 1 semana, 1 mes y 1 año. • Actualizar .- Refresca los valores de la base de datos. • Auto.- Actualiza automáticamente los valores de la base de datos, o bien se puede dejar en modo manual para que se actualice sólo cuando pulsemos el botón “Actualizar”. • Filtro.- Aquí podemos configurar un filtro más complejo. Los parámetros que podemos filtrar son los siguientes: • Tabla donde se quiere leer los datos de la base de datos, puede ser diaria, semanal, mensual y anual. • Fecha inicial. • Fecha final. • Origen de los flujos de datos. • Destino de los flujos de datos. • Protocolo. • Puerto Origen de los flujos de datos. - 85 -
  • 86. • Puerto Destino de los flujos de datos. Los filtros se pueden guardar en un fichero por si se pretende aplicar en otro momento. • Anular Filtros.- Elimina todos los filtros aplicados a las estadísticas. • Anular Último Filtro.- Elimina el último filtro de la cascada de filtros aplicados a las estadísticas. • Tiempo.- Si está activado, en las estadísticas de tiempo aparecerá una columna más denominada “% de tiempo”. Dicha columna representa el porcentaje de tiempo en que la fila en cuestión aparece en la ventana seleccionada. Por ejemplo: trafico web -> 80%. Esto indicará que el tráfico web ha estado utilizándose el 80% del tiempo de la ventana seleccionada. • Selector.- que nos lleva a diferentes paneles. Tenemos los siguientes paneles de tráfico: DashBoard, Tráfico IN, Tráfico OUT, Tráfico IN+OUT. Veamos en detalle cada uno de los paneles de Tráfico. 5.5.5.1 Dashboard Este panel muestra, a modo de resumen, las tablas más importantes de tráfico de la sonda seleccionada: • Tráfico IN: • Top Aplicación. • Top Ip Origen. • Top Ip Destino. • Tráfico OUT • Top Aplicación • Top Ip Origen. - 86 -
  • 87. • Top Ip Destino. 5.5.5.2 Tráfico IN Consideramos como trafico 'IN' aquel que entra a la red de usuarios de la sonda. Este panel muestra información de todo el tráfico entrante a la red interna de la sonda. Esta subdividido en dos partes: • Gráfica Temporal. • Paneles Estadísticos. En el módulo de Alertas existe un panel similar a este pero representando información diferente. Los datos de tráfico son agrupados en función de las siguientes categorías: - 87 -
  • 88. • Aplicación.- • Ip Origen.- • Ip Destino.- • Conversación.- Consideramos una conversación a una misma comunicación cliente servidor, es decir: misma ip origen, misma ip destino, misma puerto origen y mismo puerto destino. • Protocolo.- • Red local.- En este panel aparecerán las redes locales definidas para la sonda. • Redes Externas.- En este panel aparecerán las redes externas definidas para la sonda. 5.5.5.3 Tráfico OUT Este panel es análogo al anterior pero representa información de tráfico saliente de la sonda. Con esto, el concepto del panel es el - 88 -
  • 89. mismo luego remitimos al lector al apartado anterior para más detalles. Simplemente existe una salvedad: lo que es IP origen para trafico IN será IP destino en tráfico OUT y viceversa. 5.5.5.4 IN+OUT Es semejante a los paneles anteriores IN o OUT pero con la diferencia que los datos que muestra son la suma del tráfico entrante y el tráfico saliente. Es decir, muestra el flujo total independientemente de la dirección del tráfico. 5.6 Alertas El módulo de Alertas es una plataforma que gestiona todos los eventos de todas nuestras máquinas de una forma fácil y eficiente. Es el encargado de recibir los eventos de los dispositivos y almacenarlos en una base de datos para su estudio y análisis. A cada módulo software que sea capaz de emitir un tipo de mensaje al detectar un evento lo llamaremos “sensor”. En la actualidad existen multitud de tipos de sensores: • sensores del cortafuegos • sensores de autenticación • sensores del kernel • sensores IDS • otros Cada sensor podrá detectar una gran variedad de tipos de eventos que dependerán del tipo de sensor. Por ejemplo: • sensores del cortafuegos: paquete aceptado, rechazado, silenciado, ... - 89 -
  • 90. • sensores de autenticación: login correcto, contraseña inválida, usuario incorrecto, ... • sensores del IDS: virus eicar, aplicación p2p, msn, escaneo de puertos, ataque DoS, ... • sensores del control del ancho de banda: servidor sin tráfico, enlace caído, ... • ... Ante este escenario heterogéneo tanto de hardware, sistema operativo, software y sintaxis de los mensajes que emiten los sensores, los problemas fundamentales que resuelve esta plataforma de gestión de eventos de seguridad son los siguientes: • Normalización del formato de los mensajes de los distintos sensores. • Almacenamiento de los mensajes normalizados en una base de datos común y centralizada. • Consulta, modificación y clasificación de los mensajes. • Generación de estadísticas y filtrado de los datos. • Generación de informes detallados. 5.6.1 Configuración Para entrar en la configuración del módulo de Alertas tenemos que registrarnos como administrador. A través de este panel definimos los parámetros generales del módulo de Alertas teniendo las siguientes partes: - 90 -
  • 91. 5.6.1.1 Parámetros de configuración • Activar/Desactivar.- Activar el módulo de Alertas. • Contraseña del administrador.- Contraseña del administrador de la base de datos donde se guarda la información de las alertas. • Puerto de escucha de los flujos.- Puerto por donde se recibirán los mensajes IDMEF. Por defecto es el puerto 4690 • Localización de la base de datos.- Dirección IP donde se encuentra la base de datos. Por defecto es la IP 127.0.0.1 o localhost (IP local) • Puerto de escucha de la base de datos.- Puerto donde escucha el servidor de base de datos, que en nuestro caso es un servidor PostgreSQL (puerto por defecto 5432). • Nivel de logs.- Indica el nivel de detalle de información de depuración que escribirá el módulo de Alertas. • Mantener detalles de las alertas.- Existirá un demonio que eliminará la información más detallada de las alertas tras el periodo de tiempo que se le indique. - 91 -
  • 92. 5.6.1.2 Configuración de sondas En esta sección definiremos las sondas que emitirán alertas a nuestro módulo. Para que el colector acepte los eventos de un terminal o sonda ha debido de ser previamente registrado en este panel. Dicha asociación se efectúa a través de certificado digital y de forma cifrada con el fin de garantizar la protección de los eventos en su viaje al colector. A través de este panel se simplifica la interacción anterior entre sonda y colector. Pondremos en contacto a las dos máquinas involucradas con el fin de que intercambien los certificados para establecer una asociación correcta. Los pasos serán los siguientes: 1) redConsole se conecta al servidor por SSH y ejecuta un demonio esperando una solicitud del cliente en un puerto determinado (por defecto 5553) 2) redConsole se conectará al cliente por SSH: 3) Crea certificado digital válido 4) Se conecta con el servidor al puerto de escucha anterior (5553) con el fin de establecer la asociación. 5) Una vez se han comunicado cliente y servidor, se intercambian certificados y se establece la asociación con la sonda. 6) Termina demonio del servidor. 7) Cierra conexión con el cliente. Los datos necesarios son los siguientes: • Nombre.- Nombre de la sonda con la que será reconocida en el resto del módulo. Dicho nombre debe ser único y no puede coincidir con el nombre reservado all (sonda especial que engloba a todas). - 92 -
  • 93. • Tipo de servicio.- Indica el analizador de eventos de alertas. En nuestro caso podemos elegir entre prelude-lml, snort, assetscan, prelude-manager. • IP del servidor.- IP en la que el servidor escuchará al cliente, generalmente es la IP del servidor de alertas. • Puerto.- Puerto de escucha del servidor. Por defecto 5553. • Intervalo de chequeo.- El servidor se encarga de comprobar si la sonda está activa o se ha caído mediante mensajes periódicos (heartbeat). Valor por defecto 600 segundos. • IP de la sonda.- IP de la sonda que envía mensajes IDMEF. redConsole se conectará a dicha IP para generar los certificados y establecer la asociación con el servidor. • Puerto de escucha del servidor SSH.- Puerto de escucha del servidor SSH que permite la configuración del colector de alertas. • Contraseña del cliente.- 5.6.1.3 Configuración de usuarios En este panel se definen los usuarios que van a tener acceso a las sondas configuradas en el panel anterior: • Nombre del usuario. • Contraseña del usuario.- Contraseña de acceso del usuario a la base de datos. • Sondas a la que tiene acceso el usuario.- El usuario creado sólo podrá ver la información de alertas de las sondas configuradas en esta columna. • Descripción. - 93 -
  • 94. 5.6.2 Informes A través de este panel se puede programar la generación de informes avanzados de forma periódica. Dichos informes pueden ser enviados por email o ser almacenados en un servidor FTP remoto. Para configurar los informes avanzados nos situamos en la pestaña de Informes y añadimos un nuevo elemento. Los parámetros que se pueden configurar son los siguientes: • Frecuencia.- Se generará el informe avanzado con la frecuencia seleccionada. Podemos elegir entre 3 horas, 6 horas, 12 horas, 1 día, 2 días, 3 días y 4 días. • Nivel de detalle.- Podemos seleccionar la información que puede aparecer en los informes. Las opciones que tenemos son: detalle temporal, sonda, gravedad, sensor, clasificación, IP origen, IP destino, aplicación y protocolo. • Email.- Escribimos la dirección de correo donde llegará el informe avanzado. Si se deja en blanco no se utilizará este mecanismo de envío. • Configuración del servidor FTP.- Para el caso de que se active el envío por FTP. Se deberá indicar la dirección del servidor FTP, el usuario, la contraseña y la ruta remota del servidor FTP remoto donde se almacenará el informe. - 94 -
  • 95. 5.6.3 Snapshot En esta pestaña podemos realizar copias de seguridad de la base de datos de alertas pudiendo volver a un punto de restauración anterior. Hace una “foto” de la base de datos en un momento determinado, es decir, actúa como un sistema de backup de nuestra base de datos. En el primer panel podemos encontrar los botones de configuración y en el segundo los puntos de restauración que se han hecho hasta el momento. Vamos a comentar cada uno de los botones del cuadro de mando: • Actualizar.- Actualiza los puntos de restauración del sistema. • Crear.- Nos permite la creación de un nuevo punto de restauración, el nombre se pone de forma automática de la siguiente forma eneo_alert-(instante de creación).gz. Como podemos apreciar las copias de seguridad se comprimen en el servidor para que ocupen el mínimo espacio posible. • Descargar.- Nos permite descargar la copia de seguridad en el equipo del administrador. - 95 -
  • 96. • Eliminar.- Eliminaría el punto de restauración seleccionado. • Restaurar.- Permite volver a un punto de restauración seleccionado. No es aconsejable hacer dos restauraciones muy consecutivas, sino dejar un tiempo aproximado de 5 minutos entre puntos de restauración para que el sistema de backup pueda ejecutar los scripts necesarios con suficiente tiempo. Podemos crear tantas copias de seguridad como queramos siempre considerando la limitación del espacio en disco duro. 5.6.4 Alertas Es la única pestaña a la que todos los usuarios tienen acceso, no sólo el administrador. En esta sección podemos ver todas las estadísticas de las alertas recibidas por cada uno de los sensores configurados. El panel se subdivide, en un primer nivel, en dos partes principales: • Cuadro de mando.- Barra de herramientas. • Panel de estadísticas de alertas.- Existen diferentes tipos de paneles de alertas como ya veremos más adelante: DashBoard, Top, Temporal y Tiempo Real. - 96 -
  • 97. La barra de herramientas de la parte superior se subdivide en: • Ventana de tiempo.- Podemos elegir entre: 5 min, 15 mins, 30 mins, 1 hora, 2 horas, 3 horas, 5 horas, 12 horas, 1 día, 2 días, 5 días, 1 semana, 1 mes y 3 meses. • Actualizar.- Refresca la información de las estadísticas. • Auto.- Si está activado, actualizará las estadísticas de forma automática. • Filtro.- En ciertos casos necesitamos filtrar la información solicitada de una forma precisa. Se puede filtrar por los siguientes parámetros usando las variables lógicas AND, OR, AND NOT y OR NOT: • Fecha de inicio.- Con precisión de minutos. • Fecha de fin.- Con precisión de minutos. • Gravedad.- Se puede elegir entre low, medium, info y high. Destacar que la opción info no identifica ningún - 97 -
  • 98. tipo de gravedad sino que la alerta muestra información del evento. • Sonda.- Aquí aparecerán las sondas que hayamos definido en la pestaña de administración. • Sensor.- El sensor que lo detectó. Una sonda puede tener varios sensores. • Tipo de mensaje.- Identifica el tipo de alerta (clasificación). Un sensor puede detectar distintos tipos de eventos. • Puerto destino.- Puerto destino al que va dirigido el evento (aplicación). • IP origen.- IP origen que generó el evento. • IP destino.- IP destino que generó el evento. • Protocolo.- Protocolo involucrado en el evento. • Anular filtros.- Anula todos los filtros que se hayan aplicado. • Anular último filtro.- Anula el último filtro de la cascada. Un selector donde podemos cambiar entre los distintos paneles de estadísticas de alertas. Tenemos las siguientes opciones: • DashBoard.- Es un panel de resumen donde se muestran las estadísticas más generales del sistema de alertas. • Top.- Es un panel donde se muestran estadísticas desglosadas por grupos tales como terminal, sensor, clasificación, aplicación, IP origen, IP destino, protocolo.. • Temporal.- En este panel se agrupan las alertas de 3 formas distintas: • IP origen/IP destino. • Clasificación/IP destino. • Clasificación/IP origen. - 98 -
  • 99. • Tiempo real.- Panel donde se van mostrando las alertas que van llegando en tiempo real. Vamos a explicar más detenidamente cada una de las vistas. 5.6.4.1 Dashboard Se subdivide en dos subpaneles: • Panel de control.- Donde se muestran las 4 tartas estadísticas más importantes: • Top Gravedad • Top Terminal • Top Clasificación • Top Aplicación • Tiempo real.- Muestra información de las alertas que van llegando en tiempo real. Destacar que este panel es el mismo que el panel de tiempo real que explicaremos más adelante. - 99 -
  • 100. 5.6.4.2 Top Es el panel más completo que podemos encontrar en el módulo de Alertas. Está dividido en dos partes: Parte superior: • Gráfica Temporal.- Muestra cómo han sido recibidas las alertas en una gráfica de tiempo. Parte inferior: • Estadísticas.- Muestra información detallada de las estadísticas de las alertas recibidas para cada una de las agrupaciones consideradas. Todas las alertas son agrupadas en diferentes categorías: • Gravedad.- Cada alerta es catalogada con una prioridad. En este modo se muestran las alertas clasificadas por gravedad. Existen cuatro tipos de gravedad: • low.- Evento de gravedad baja. • medium.- Evento de gravedad media. • high.- Evento de gravedad alta. - 100 -
  • 101. • info.- Evento sin gravedad. • Terminal.- Se considera como terminal el equipo del cual se reciben eventos. Dicho equipo ha debido de ser previamente registrado por el administrador. • Sensor.- Cada terminal dispone de una serie de sensores que son los que detectan los eventos. Como ya vimos existen diferentes tipos de sensores para diferentes tipos de eventos: sensor del cortafuegos, del IDS, de autenticación. A través de este panel se muestran las alertas agrupadas por sensor. • Clasificación.- Cada uno de los sensores es capaz de detectar multitud de tipos de eventos. Una 'clasificación' es cada uno de los tipos de eventos detectados por un sensor. • Aplicación.- El evento puede estar asociado a una aplicación concreta. Por ejemplo eventos detectados por el sensor de autenticación de ssh cuya clasificación es 'Admin login failed' está asociado al puerto de escucha del servidor ssh (por defecto 22). No todos los tipos de eventos están asociados a una aplicación, considerándose en su caso, el puerto 0 (sin_registro). • IP origen.- Las alertas son agrupadas por la IP origen del evento. De esta manera todos los eventos generados por un mismo equipo son vistos de forma conjunta a través de este panel. • IP destino.- Es igual que el anterior pero considerando la IP destino. Por ejemplo, un evento detectado por el sensor del IDS para escaneos de puerto: en este caso la IP origen del evento será quien origina el escaneo y la IP destino, el equipo escaneado. • Protocolo.- Igualmente los eventos pueden estar asociados a un protocolo concreto. Por ejemplo: 'Admin login failed' del sensor de autenticación está asociado al protocolo tcp. Al igual que ocurre con la aplicación, es posible que un evento no esté asociado a ningún protocolo considerándose en su caso el protocolo 0. - 101 -
  • 102. En el panel de estadísticas existen cuatro elementos: • Tarta principal.- Tarta que compara las cinco primeras filas de la tabla inferior o las filas que tengamos seleccionadas. • Tabla de alertas.- Representa información de las alertas agrupadas por la categoría en elegida. • Visible/Total.- Representa de forma visual una comparación entre las alertas visibles de la tabla y el resto. Esta comparación depende del tamaño de la tabla y de la posición de la barra de desplazamiento de la misma. • Selección/Total.- Representa una comparación entre las alertas seleccionadas de la tabla de alertas con el total de alertas. Si no tiene seleccionada ninguna fila o sólo ha seleccionado una, se tomarán las cinco primeras de la tabla. 5.6.4.3 Temporal A través de este panel vemos realmente las alertas que ha recibido el analizador de eventos. Hasta ahora sólo se ha visto información estadística sin hacer consideración al log completo. Para simplificar la visibilidad de la alertas, éstas pueden ser agrupadas en función de tres criterios: • IP origen/IP destino.- Las alertas de una misma IP origen y misma IP destino son agrupadas. • Clasificación/IP destino.- Las alertas con misma clasificación e IP destino son igualmente agrupadas. • Clasificación/IP origen.- En este caso las alertas son agrupadas para una misma clasificación e IP origen. El panel Temporal se subdivide en dos partes principales: • Gráfica Temporal.- Muestra el número de alertas en el tiempo. - 102 -
  • 103. • Tabla de alertas.- Representa las alertas recibidas por el analizador en la ventana de tiempo considerada. El contenido de dicha tabla dependerá del tipo de agrupación elegido y del filtro arrastrado de paneles anteriores. Las columnas de dicha tabla representan: • Tipo de mensaje.- Clasificación del evento. • Máxima gravedad.- Representa la máxima gravedad del grupo de mensajes contenidos en la fila en cuestión. • IP origen.- Ip del usuario que origina el evento. • IP destino.- Ip de destino del evento. • Sensor.- Sensor que ha detectado el evento. • Sonda.- Ip de la sonda que ha detectado el evento. • Fecha de inicio.- • Fecha de fin.- A medida que se hace doble clic sobre una fila se irá expandiendo el grupo de alertas. - 103 -
  • 104. 5.6.4.4 Tiempo Real En este panel se muestra una tabla con la información de las alertas que van llegando al analizador de alertas en tiempo real. La información que se muestra en la tabla no está agrupada. • Tipo de mensaje • Gravedad • Completado • IP origen • IP destino • Sonda • Fecha de llegada • Id.- identificador de la alerta dentro de la base de datos. Para una información más detallada de una alerta basta con hacer doble clic sobre dicha alerta. La información, que se mostrará en un diálogo, es la siguiente: - 104 -
  • 105. • Sonda: • Nombre • Dirección • Fechas: • Fecha de creación • Fecha de detección • Fecha de análisis • Tipo de mensaje: • Impacto: • Id. alerta • Descripción • Gravedad • Tipo • Completado - 105 -
  • 106. • Origen: • Dirección • Puerto • Nombre de servicio, etc. • Destino: • Dirección • Puerto • Nombre de servicio, etc. • Analizador: • Id. analizador • Nombre • Modelo • Versión • Clase • Fabricante • Tipo S.O. • Versión S.O. • Datos adicionales • Mensaje recibido de • Mensaje original - 106 -
  • 107. 5.7 BladeControl El módulo BladeControl es el módulo, dentro de la interfaz de redConsole, encargado de la configuración y monitorización de todos los parámetros relacionados con el control de servidores blades. A través de este módulo podemos: • Configurar qué servicios que serán ejecutados en cada uno de los blades. Esto es lo que se conoce como “provisioning” • Configurar la red (802.11q) y otros parámetros fundamentales de cada uno de los servicios. • Configuración de los switches del chasis. • Monitorización del estado del chasis. A continuación se explican cada una de las pestañas que conforman este módulo. 5.7.1 Configuración A través de este panel podemos realizar la configuración del chasis al que estamos conectados (Ej. Módulos de gestión, Switches, etc). - 107 -
  • 108. Esta pestaña se subdivide en los siguientes apartados: 5.7.1.1 Configuración general En este subpanel configuramos los parámetros generales del sistema de blades. Estos parámetros son: • Activar/Desactivar.- Aquí podemos activar o desactivar el módulo completo del control de Blades. • Monitorización del agente.- Si se activa esta casilla, el sistema de aprovisionamiento se encargará de monitorizar el perfecto funcionamiento del agente que está instalado en cada uno de los blades. En el caso de que no funcione el agente se reiniciará el blade porque se considerará caído. • Contador de fallos en el agente.- Número de fallos permitidos por el agente. Si el agente del blade falla, de forma consecutiva, este número de veces considerará el blade con problemas y lo reiniciará. • Puerto de escucha del agente.- Puerto donde escucha el agente. - 108 -
  • 109. • Red interna.- Red usada para la comunicación entre los MSB y cada uno de los blades. Esta red es definida en tiempo de instalación y no es editable a través de redConsole. A no ser que utilice estructuras multichasis es recomendable que dicha red interna (y la VLAN asociada) no salga del chasis. • Nivel de logs.- Aquí podemos configurar la cantidad de logs que mostrará el sistema de blades. Podemos poner un nivel “sin logs”, “bajo”, “medio” y “alto”. • Nivel de emails.- Existen cuatro opciones: “Sin emails”, Bajo, Medio y Alto. El administrador será notificado via email anta fallo o cambios del sistema en función del nivel elegido. 5.7.1.2 Configuración de los Módulos de Control En este subpanel definimos los módulos de control (MM/AMM) de los chasis gestionados por el MSB. Configuraciones con más de un MM o AMM se conocen como configuraciones multichasis. Se configuran los siguientes parámetros: • Nombre del MM/AMM.- • Tipo o modelo.- Modelo del chasis, Ej. IBM BladeCenter E. • Tipo.- Debemos elegir el tipo de módulo de control. Actualemnte se soportan dos tipos: • MM.- Management Module (IBM). Dicho tipo está soportado sólo por el BladeCenter E. • AMM.- Advanced Management Module (IBM). Este módulo es soportado por los BladeCenter E, S y H. • IP de gestión.- IP del Módulo de Control. Debe espeficar un módulo de control por chasis configurado por el MSB conectado.En caso de disponer de multiples MM en un mismo chasis deberemos de elegir la IP virtual. - 109 -
  • 110. • Tipo de conexión.- Debemos especificar el tipo de conexión con el Módulo de Control. Actualmente existe un único tipo soportado: SNMP. Las opciones de configuración de dicho tipo son las siguientes: • Versión SNMP.- Versión del protocolo SNMP que vamos a utilizar para conectarnos al MM. Actualmente se soportan las versiones 1, 2c y 3. • Usuario SNMP.- Usuario o comunidad SNMP. • Autenticación.- Tipo de autenticación SNMP, se soporta noAuth, MD5 y SHA. • Encriptación.- Tipo de encriptación SNMP, se soporta noEncrypt y DES. 5.7.1.3 Configuración de los Switches En este subpanel definimos los switches que están conectados al chasis. El dialogo dependerá del tipo de chasis al que esté conectado el switch a configurar. Por ejemplo para un switch conectado a un Blade Center E, el diálogo será como sigue: - 110 -
  • 111. • • Esquema de switches del chasis.- En función del chasis elegido el esquema variará con el fin de facilitar la configuración del administrador. • Modelo del switch.- Tenemos las siguientes opciones: • BNT_10G • BNT_10G_Uplink • BNT_1G_L2L3. • IP de gestión del switch.- IP del Switch. Dicha IP ha debido ser configurada en la página web del MM/AMM. • Bond.- Bond al que pertenece dicho switch. En función de la localización del switch debemos indicar un bond u otro. - 111 -
  • 112. • Tipo de conexión.- Debemos especificar el tipo de conexión con el switch configurado. Actualmente existe un único tipo soportado: SNMP. Las opciones de configuración de dicho tipo son las siguientes: • Versión SNMP.- Versión del protocolo SNMP que vamos a utilizar para conectarnos al Switch. Actualmente se soportan las versiones 1, 2c y 3. • Usuario SNMP.- Usuario o comunidad SNMP. • Autenticación.- Tipo de autenticación SNMP, se soporta noAuth, MD5 y SHA. • Encriptación.- Tipo de encriptación SNMP, se soporta noEncrypt y DES. 5.7.2 Imágenes En esta pestaña definimos las imágenes que se podrán instalar en los blades. En la parte superior aparece una tarta gráfica que indica el uso en disco de las imágenes instaladas. En la parte inferior aparecen todas las imágenes en una tabla. En el siguiente ejemplo se muestra que existen tres tipos de imágenes instaladas en el MSB. - 112 -
  • 113. Podemos hacer las siguientes operaciones: • Añadir.- Añade una imagen desde un fichero local.Necesario paquete RPM poporcionado por redBorder. • Descargar.- Solicita la descarga, al equipo local, de la imagen seleccionada. • Editar.- Muestra la propiedades de la imagen. • Eliminar.- Elimina la imagen seleccionada del equipo remoto. 5.7.3 Servicio Virtual En este panel configuramos los servicios virtuales que van a proporcionar el sistema de aprovisionamiento de imágenes. En el primer subpanel se definen cada uno de los servicios. Los servicios deben estar identificados unívocamente por el nombre, por tanto no pueden existir dos servicios virtuales con el mismo nombre. Tenemos los siguientes campos: • Nombre.- Nombre del servicio virtual. Este nombre ha de ser único puesto que identifica de forma unívoca el servicio virtual creado. • Imagen.- El servicio virtual creado tomará como base la imagen seleccionada. Dicha imagen ha de ser alguna de las imágenes disponibles en la pestaña anterior. • Distribución de los Blades.- Una novedad en este sistema es el algoritmo de distribución de blades. Está basado en un mecanismo de prioridades, de tal forma que el servicio con más prioridad en un blade será ejecutado. • Comentarios. • IP de Gestión.- En el momento del arranque el servicio virtual tomará dicha IP para comunicarse con el MSB a través de la red interna. En caso de no especificar ninguna IP, se tomará una libre por DHCP. - 113 -
  • 114. • Pasarela.- Puerta de enlace predeterminada del servicio virtual creado. • Subred.- Definimos tantas VLAN como se deseen para la imagen seleccionada. • HD.- Uso del disco del servicio virtual. Existen cuatro posibilidades: • Sin disco.- El servicio no usará el disco del blade si dispusiera de él. • Disco Local.- El servicio virtual hará uso del disco del blade si dispusiera de él. • ISCIS.- Montará un disco externo por ISCSI. • NFS.- Montará un disco externo por NFS. • Comandos al inicio.- Los comandos insertados en esta columna serán ejecutados en el inicio de la máquina. Esto nos puede valer, por ejemplo, para levantar determinados servicios en el arranque. • Conexión NFS por TCP.- Si tenemos habilitada esta opción nos indicará que la conexión NFS con el servidor MSB se hará mediante el protocolo TCP. En caso de estar deshabilitada utilizará un protocolo no orientado a conexión, es decir UDP. En el subpanel inferior se muestran los servicios virtuales y las prioridades definidas. En el caso de que un blade esté definido en más de un slot, éste se ejecutará en aquel donde sea más prioritario. En el caso de que caiga el servidor pasará a ejecutarse en el siguiente blade más prioritario y así sucesivamente. En este panel inferior podemos indicar que un blade no será tenido en cuenta en el sistema de aprovisionamiento de imágenes. Esto es lo que se conoce como “stand alone”. En este caso es responsabilidad del administrador configurar los switches porque dicho blade está fuera del dominio redBorder SE. A continuación se muestran varios ejemplo de configuración: - 114 -
  • 115. • Ejemplo1.- En este ejemplo se configuran dos imágenes de tipo splatsmp-r70 asignando cada una de las imágenes al blade 1 y 2 respectivamente. En este caso no existen otros blades asignados a dichas imágenes y por tanto nunca serán ejecutados en otros blades. • Ejemplo 2.- Este es un ejemplo más complejo en el que se han creado una imagen más denominada fw2. En este caso el blade 14 es disputado por dos servicios: fw1 y fw2. Por defecto fw1 se ejecutará en el blade 2 y el servicio fw2 se ejecutará en el blade 4. En caso de haber fallos en alguno de estos blades tienen un blade de backup (blade 14) en el que pueden ser ejecutados. Si ambos servicios fallan, como se puede observar por la tabla de prioridades, el servicio que realmente tomará el blade 14 será el fw1. Por otro lado el blade 10 esta en modo “stan alone” y por consiguiente no será gestionado ni modificado por redBorder. - 115 -
  • 116. 5.7.4 Estado MSB Este panel nos informa del estado general de los MSB así como de su conexión con el MM. Si existiese algún fallo lo indicaría marcándolo en color rojo. Los valores sobre los que informa son: • Estado del msb01 • Estado del msb02 • Conexión con el MM • Interfaz maestra del bond0 • Interfaz maestra del bond1 • Estado de la conexión DRBD • Estado del DRBD Por ejemplo tenemos: - 116 -
  • 117. 5.7.5 Estado de los Blades En esta pestaña se muestra una representación teórica de los blades y otra real. - 117 -
  • 118. El primer subpanel hace referencia a la representación teórica que deberían tener los blades con la configuración definida por el administrador. Aquí podemos hacer simulaciones de caídas de blades y ver cómo actuaría el sistema. Este panel es muy útil cuando se tiene una matriz de prioridades compleja. En el segundo subpanel se muestra una representación real de los blades. Es el estado actual en que se encuentran todos los blades (el servicio que está ejecutando, si está apagado o encendido, si está en modo standby, si existe el blade, etc). Si todo funciona correctamente, entonces el subpanel de arriba debe coincidir con el subpanel inferior. 5.7.6 Estado de la Red En este panel se muestra una representación esquemática de la configuración de red que poseen los blades. Podemos observar la relación existente entre servicios virtuales, vlanes existentes y puertos externos por los que son accesibles dichas vlanes. - 118 -
  • 119. 5.7.7 Switches En este panel podemos realizar la configuración de los switches definidos en la pestaña inicial. - 119 -
  • 120. Está dividido en cuatro subpaneles: • Configuración general.- Tenemos las siguientes opciones asociadas al chasis indicado: • Configuración de los Puertos.- Si está deshabilitada, no se configurarán en ningún momento los puertos externos del switch. • Alta disponibilidad de los switches.- Si está habilitada, se configurarán los switches del mismo bond de tal forma que funcionen en alta disponibilidad. Si caen los puertos externos del switch maestro, el control pasará automáticamente, a través del failover, al switch esclavo que se convertirá en el nuevo switch maestro. • Configuración de ACL.- Si está habilitado se permitirá la configuración de ACL para los switches del chasis seleccionado. • Mostrar configuración de los puertos internos.- Si habilitado, se mostrarán en la tabla inferior la configuración de los puertos internos a modo informativo. En ningún caso se pueden configurar los puertos internos a través de esta pestaña puesto que las vlanes de los puertos internos dependerá de la imágen que se esté ejecutando en dicho blade. • Modo STP.- Existen 4 modos posibles: • STP • RSTP • Uplink Fast • MSTP - 120 -
  • 121. • Representación del chasis.- En funcion del tipo de MM/AMM configurado se representará una imagen u otra que indique los módulos de entrada/salida disponibles en dicho chasis. • Selector de bond.- Indica el bond que queremos visualizar. • Configuración de los puertos del switch.- En esta tabla se representa la configuración del bond seleccionado para el chasis configurado. De esta tabla sólo podemos editar los puertos externos y configurar las vlanes acorde a nuestras necesidades. Los parámetros del puerto externo que podemos modificar son: • Des/habilitar puerto.- Aquí podemos abrir o cerrar el puerto del switch. Nota: Si se tiene un puerto habilitado habrá que asegurarse que existe un cable conectado ya que, en caso contrario, si se tiene la alta disponibilidad activada, el sistema supone que el cable no funciona correctamente o se ha caído y se activa por tanto el failover. • Nombre.- Nombre del puerto. • VLAN.- VLANs que estarán definidas en ese puerto externo. • Tag.- Si está activado, indica que el puerto soportará tráfico etiquetado. • PVID.- Si se inserta una VLAN, esto significa que el tráfico sin etiquetar se supondrá que viene por esa VLAN. Es la VLAN predeterminada. • STP.- Si habilitado el puerto soportará el tráfico STP. • Port Fast.- Si habilitado se activará la opción de “Port Fast” en el puerto externo. - 121 -
  • 122. • Autonegociación.- Si habilitado, se permitirá la autonegociación de dicho puerto externo. • Control de flujo.- Existen varios modos soportados: • TxOnly • RxOnly • Both • None • Duplex.- Existen varios modos soportados: • Full Duplex. • Half Duplex. • Auto • Velocidad.- • ACL.- Listas de control del acceso configuradas para dicho puerto. El dialogo mostrador para configurar los puertos externos es como el siguiente: - 122 -
  • 123. 5.7.8 Logs En este panel se muestra información de los logs de los módulos del chasis (MM/AMM y switches). Esta información es consultada por SNMP, por tanto es necesario haber definido anteriormente la conexión SNMP en el panel principal. Este panel de logs está dividido en 2 subpaneles. El primero muestra información estadísticas de los logs y el segundo, todos los eventos asociados a un dispositivo. Para borrar los logs del módulo pulsamos botón derecho y ejecutamos “Eliminar logs”. Se muestran, a modo de ejemplo, los logs del módulo de control y de los switches controlador por el MSB: - 123 -
  • 124. - 124 -
  • 125. 5.8 Útil El módulo Útil es un módulo especial formado por herramientas simples cuyo objetivo es facilitar al usuario la tarea de administración del sistema. Por ejemplo, podemos encontrar herramientas útiles: • Escaneo de una red. • Supervisar el correcto funcionamiento de los programas y servicios que conforman el sistema. • Localización geográfica aproximada de una IP. • Monitorización de la CPU, memoria, red, usuarios, procesos, etc. • Información sobre el sistema de ficheros. • Generación de alertas. A continuación vamos a describir más detenidamente cada una de las herramientas que nos proporciona el módulo Útil. 5.8.1 Sistema de Ficheros Podemos observar que está dividido en dos paneles: el primero muestra información del sistema de ficheros con tartas estadísticas; el segundo panel muestra una tabla del sistema de ficheros. La tarta de la izquierda muestra el porcentaje de espacio en disco duro de cada sistema de ficheros. La tarta de la derecha muestra el porcentaje de espacio disponible de la partición seleccionada. La tabla del panel inferior nos muestra información del estado del sistema de ficheros. La información que nos presenta es: • Sistema de fichero.- Dispositivo del sistema (partición). • Tamaño.- Tamaño total de cada partición del sistema de ficheros. - 125 -
  • 126. • Usado.- Espacio utilizado por la partición. • Disponible.- El espacio disponible en disco de cada partición del sistema de ficheros. • Usado %.- Porcentaje de utilización. • Montado en ....- Nos indica dónde está montada la partición. 5.8.2 Supervisión A través de este panel iniciamos una serie de chequeos de todo el sistema. redConsole realiza los siguientes test: • Test de Aplicación.- Comprueba que el proceso esté operativo y funcionando. • Test TCP.- Comprueba que las aplicaciones TCP son accesibles. Por ejemplo: acceso a la base de datos o el acceso al servidor SMTP configurado en el sistema. La tabla está formada por las siguientes columnas: - 126 -
  • 127. • Módulo.- Indica el módulo donde se usa el programa o servicio. • Nombre del servicio.- Puede ser un programa o un servicio. • Descripción.- Descripción del servicio o programa. • Control.- Existen determinados servicios críticos del sistema que son siempre supervisados. Si uno de estos servicios, por la razón que sea, cae, el programa que los supervisa lo volverá a levantar. Esto asegurará el servicio ante determinados fallos de software. • Estado.- Indica el modo de funcionamiento del programa o servicio. Puede tener los siguientes valores dependiendo de si es un programa o un servicio: • Programa.- Puede estar parado o ejecutándose. • Servicio.- Puede estar cerrado o abierto. Cuando el sistema detecta que el funcionamiento de un programa o un servicio es incorrecto pone la fila de color rojo. Si aparece de color azul nos indica que el programa no está instalado en el sistema lo cual indicará que la máquina no tiene actualizado el firmware. - 127 -
  • 128. 5.8.3 CPU Este panel nos permite monitorizar en un gráfico cartesiano el porcentaje de carga de CPU con respecto al tiempo. 5.8.4 Carga En esta pestaña se da información de la carga diaria y semanal. 5.8.5 Memoria En esta pestaña se da información de la memoria del sistema diaria y semanal. - 128 -
  • 129. 5.8.6 Swap En esta pestaña podemos ver las estadísticas de la memoria de intercambio (swap) en un día y en una semana. 5.8.7 Procesos En esta pestaña se da información de los procesos en ejecución diarios y semanal. - 129 -
  • 130. 5.8.8 Usuarios Este panel nos muestra dos gráficas cartesianas, la primera de ellas da información sobre el número de usuarios conectados con el sistema por SSH con respecto al tiempo de un día. La segunda gráfica ofrece información semanal del número de usuarios. 5.8.9 NFS Podemos encontrar información del tráfico NFS del MSB. Una gráfica diaria y otra semanal. - 130 -
  • 131. 5.8.10 Globo Esta herramienta nos permite localizar una IP en una posición geográfica aproximada. El botón “Limpiar” quita todas las IP localizadas anteriormente. 5.8.10.1 Escáner Este panel nos permite escanear los puertos TCP de un ordenador. Existen dos tipos de escaneos: - 131 -
  • 132. • Escaneo rápido.- Se realiza un escaneo TCP de los 1024 primeros puertos. • Escaneo normal.- Escaneo de todos los puertos TCP. Importante: La ejecución de varios escaneos activos puede saturar la red. 5.8.10.2 Tareas Es una herramienta de administración de tareas para trabajo en grupo. Permite al administrador crear notas y asignar tareas a los administradores del MSB. Todos los administradores, cuando conectan con el terminal, pueden ver la lista de tareas pendientes asociadas al mismo. - 132 -
  • 133. Para crear una tarea son necesarios los siguientes parámetros: - 133 -
  • 134. 6 PUF/FAQ • ¿Dónde puedo conseguir información más detallada de los pasos que realiza el sistema? Puede obtenerla en los Logs que genera redBorder SE. Estos logs se encuentra en "redborder/redborder.log". Para evitar el crecimiento indefinido de dichos logs se produce una rotación de logs a "redborder/redborder.log.old". Estos ficheros guardan una traza de lo que se realiza mediante redConsole para detectar posibles errores en la aplicación o de configuración del usuario. • ¿Podemos usar la configuración salvada de un terminal para configurar otro terminal? Sí, pero cuando conectamos con el segundo terminal con la configuración del primero tendremos que cambiar algunos parámetros, como por ejemplo la IP. De hecho, éste es el modo de replicar la configuración de dos equipos en alta disponibilidad o crear configuraciones de base. • ¿Qué pasa si los terminales tienen diferentes módulos activos, podré usar la configuración salvada de otro terminal? Sí. El funcionamiento depende del terminal en el que se haya salvado la configuración. Supongamos que tenemos igualmente dos terminales 1 y 2, y que el terminal 1 dispone de 5 módulos activos y el terminal 2 dispone de 4 (comunes con los anteriores). Si tomamos la configuración salvada del terminal 1 para el terminal 2, no habrá problema puesto que no se tendrá en cuenta la configuración del modulo huérfano. Si tomamos la configuración salvada del terminal 2 para usarla en el terminal 1 tampoco habría problema, pero para el módulo huérfano se tomarán las opciones por defecto. Cualquier caso es aceptable, pero siempre es recomendable hacer la copia de seguridad del que incluye mayor numero de módulos para que no exista pérdida de información. • Si estamos configurando un terminal y aplicamos una regla de cortafuegos que cierra el tráfico SSH - 134 -
  • 135. ¿por qué puedo seguir transmitiendo con la ventana de terminal abierta? Debemos recordar que la sesión SSH se abre en el momento de conexión y no se cierra hasta que no se cierra la ventana de terminal. Por tanto la conexión ya estaba iniciada y es por ello por lo que no pierde el contacto con el terminal aún indicándole que corte las comunicaciones por SSH. • ¿Que hago si tengo error de comunicación cuando transmito los ficheros de configuración? Es posible que la sesión SSH se haya perdido teniendo que conectar de nuevo con el terminal. Si el error persiste es posible que haya dejado la máquina en un estado inaccesible. Debe revisar los logs de redConsole para detectar anomalías. • ¿Puedo usar redConsole desde dos estaciones de trabajo? Sí. La configuración de cada equipo es local al mismo, accediéndose a la misma información desde cualquier lugar. En la actualidad no se implementan mecanismos de bloqueo entre diferentes administradores. • ¿Qué pasa si desde dos puntos se conectan a la vez al mismo terminal? No pasa nada puesto que se accede a la base de datos en modo lectura y después se trabaja de forma local con los mismos. En caso de transmitir la configuración se tomará aquella que se transmita en último lugar. • ¿Por qué no puedo eliminar un objeto redConsole si está siendo usado en otras tablas? Un objeto constituye una base muy importante del sistema de configuración. Eliminar un objeto significaría eliminar todas las dependencias del mismo, lo cual puede suponer dejar el sistema en un estado inestable. Para eliminar un objeto deberá eliminar previamente todas las referencias del mismo. Una parte importante asociada a la integridad del sistema es justamente el - 135 -
  • 136. mantenimiento de estos usos de los objetos realizándose de forma totalmente transparente al usuario. • ¿Por qué no puedo pasar de un objeto de red simple a otro más complejo si está siendo usado? Existen ciertos puntos en los que se espera una IP única en vez de una dirección de subred. Si modificamos el tipo de objeto de red de simple a complejo podrían aparecer errores. Controlar si ese objeto está siendo usado o no en cuadros en los que se espera sólo una IP única complicaría demasiado el sistema. Uno de los principios de la seguridad es la simplicidad, que mejora el mantenimiento y la estabilidad. Es por esta razón por la que si un objeto de red es simple y esta siendo usado, no se podrá cambiar a un objeto de red complejo (subred o múltiple). • Aparentemente la configuración de los dos MSB es correcta y hay comunicación entre ellos, entonces ¿por qué el drbd de un sistema y de otro no sincronizan? Posiblemente las contraseñas que se dieron en la instalación no coincidan, por lo que no consiguen autenticarse mutuamente, impidiendo la consiguiente sincronización. Compruebe que las contraseña sean las correctas en el fichero /etc/drbd.conf (shared- secret). Si éste es el caso, para corregir la configuración será necesario volver a ejecutar el script de instalación rb_install.sh. • Al iniciar el MSB, una de las interfaces bond (o las dos) no se ha levantado adecuadamente. ¿A qué es debido? Si al iniciar el MSB te indica que no ha podido levantar algún bond es posible que se deba a que no ha configurado adecuadamente las direcciones MAC de las tarjetas de red del MSB en el instalador de redBorder SE. Verifique las MAC con el módulo de gestión y vuelva a llamar al instalador rb_install.sh para cambiar la configuración. • Al ejecutar el script rb_install.sh el servicio heartbeat no termina de pararse. - 136 -
  • 137. Si al ejecutar el instalador de redBorder (rb_install.sh) no es capaz de parar heartbeat, debe abrir otra terminal y matar el proceso con el siguiente comando: killall heartbeat • ¿Por no me responde el MSB a las peticiones PING que le hago desde la red externa? Por defecto, los MSB configuran reglas de cortafuegos básicas que impiden cualquier acceso desde el exterior exceptuando el acceso al servicio SSH. • ¿Es necesario definir la VLAN interna, por ejemplo, en los nodos de checkpoint a través de redConsole? No. La VLAN interna es de gestión y se configura automáticamente en el inicio del sistema, independientemente de la configuración de red del sistema aprovisionado. • ¿Dónde puedo conseguir documentación del sistema creado en mi MSB? Puede conseguir documentación en /opt/rb/misc/doc/readme.txt donde se detalla cada uno de los ficheros incluidos en el sistema. • ¿Cómo puedo modificar las políticas del cortafuegos en modo slave? Las políticas en modo “slave” están en el fichero /opt/rb/etc/eneo_firewall/eneofw.ipt.default siguiendo la notación básica de iptables-save. • ¿Cómo saber qué están bien mapeadas las interfaces en el MSB? Ejecutamos los siguientes comandos en el MSB: cat /proc/net/bonding/bond0 | grep "Permanent HW addr: " | awk {'print$4'} - 137 -
  • 138. cat /proc/net/bonding/bond1 | grep "Permanent HW addr: " | awk {'print$4'} Y ver que el orden se corresponde con el que indica la web del MM. Sección: System Status → Hardware VPD # BladeCenter Server Mac Addresses • ¿Cómo verificar el correcto funcionamiento de los switches del chasis? Para ello seguimos los siguientes pasos: 1) Nos conectamos via redConsole. Vemos los logs del switch en la pestaña de “Logs” dentro del módulo Blade Control. En caso de que no podamos visualizar los logs de los - 138 -
  • 139. switches, en la pestaña de “Configuración” buscamos si existe alguna anomalía en los switches. - MM Connection: Verifica si se tiene acceso desde el MSB al MM. - Switch Connection: Verifica si se tiene acceso desde el MSB a los swicthes. - Health: Verifica en los logs del MM el estado del switch. - Power: Verifica si el switch está encendido. - Open session: Verifica la apertura de una sesión SNMP con el switch con los datos especificados en el configurador. - MIB: Verificación del modelo de swicth. - Configuration: Comprueba que la contraseña es correcta. - Access: Chequea si el usuario SNMP tiene privilegios de lectura. - Write: Chequea si el usuario SNMP tiene privilegios de escritura. - Firmware: Indica si la versión del firmware es correcto. 2) Si tenemos problemas a la hora de conectarnos a la Interfaz gráfica de redBorder probamos con la web de gestión del switch o mediante telnet. Podemos comprobar que la configuración del switch es correcta (vlan, pvid, trunk, stp, etc). - 139 -
  • 140. 3) También podemos chequear el estado del switch desde la interfaz web del MM. • ¿Cómo verificar el correcto funcionamiento del módulo de gestión (MM)? Para verificar el estado del MM seguimos los siguientes pasos: 1) Si tenemos conexión a la GUI de redBorder, nos vamos a la pestaña “Logs” en el módulo de Blade Control, en ella podemos ver los logs del MM. En la pestaña de configuración podemos chequear el MM para verificar si está correctamente configurado. - 140 -
  • 141. Los parámetros verificados son: - MM Connectivity: Verifica la conexión con el MM. - Open session: Verifica la apertura de una sesión SNMP con el switch con los datos especificados en el configurador. - MIB: Verificación del modelo de MM. Existen dos tipos de modelos aceptados: MM y AMM. - Configuration: Comprueba que la contraseña es correcta. - Access: Chequea si el usuario SNMP tiene privilegios de lectura. - Writting: Chequea si el usuario SNMP tiene privilegios de escritura. - Traps: Verifica si la configuración de TRAPs del MM es correcta 2) Si tenemos problemas al conectarnos a la GUI de redBorder nos conectamos a la interfaz web de gestión del MM. Te informará de todo los parámetros básicos y necesarios para el correcto funcionamiento (IP, configuración SNMP, etc). - 141 -
  • 142. • ¿Cómo verificar el correcto funcionamiento del MSB? Hay que distinguir entre dos situaciones, con acceso vía redConsole y con acceso vía ssh al MSB. 1) Verificamos el servicio encargado de la alta disponibilidad de los MSB. Acceso GUI: Nos vamos a la pestaña “Estado MSB” dentro del módulo Blade Control y verificamos el subpanel inferior. Acceso SSH: Ejecutamos el comando: crm_mon 2) Verificamos el servicio DRBD encargado de sincronizar los dos nodos MSB. Acceso GUI: Nos vamos a la misma pestaña “Estado MSB” y en el subpanel superior nos da información del estado del DRBD. Acceso SSH: Ejecutamos el comando: cat /proc/drbd 3) Miramos los logs del MSB. Acceso GUI: Nos vamos al módulo Sistema, pestaña “Logs” y analizamos los logs. Accesso SSH: Ejecutamos el comando: tail -f /var/log/messages Si no disponemos de acceso GUI ni SSH nos conectamos a través del KVM. - 142 -
  • 143. 7 Anexo A: Configuración de traps del MM • Abrimos el navegador y nos conectamos con la ip del MM • Dentro de la sección “MM Control” seleccionamos la opción de “Alerts” • Creamos un recipiente de alertas en cualquier hueco libre con las siguientes opciones: Es importante que desmarque la opción “Receive critical alerts only” tal como viene en la figura. El aspecto es como sigue: - 143 -
  • 144. • Seleccionamos la opción “Network Protocols” y añadimos la IP virtual de los MSB como servidor de traps tal como se indica en la figura siguiente. Es importante que el nombre de la comunidad debe ser “public” - 144 -
  • 145. 8 Anexo B: Creación de los usuarios SNMP en el MM • Abrimos el navegador y nos conectamos con la IP del MM • Dentro de la sección “MM Control” seleccionamos la opción de “Login Profiles” • Creamos un usuario con los siguientes valores: Es importante que el role de este usuario debe ser el de Supervisor y debe tener acceso a todas las partes del chasis. • Configuramos SNMPv3 del usuario (al final de la página anterior) con los siguientes valores: - 145 -
  • 146. • Al final el panel “Login Profiles” debe quedar como sigue: - 146 -
  • 147. 9 Anexo C: Configuración inicial de la red Es necesario configurar la red de los nodos de control en los switches. Esto hay que hacerlo de forma manual y en la instalación inicial del nodo de control. La forma de proceder va a ser la siguiente: • Nos conectamos a la web del switch. Por defecto: • Usuario: admin • Password: admin. • Nos vamos el modo “Configure” de las pestañas superiores. • Hacemos click en la carpeta de Nortel Layer2-3 GbE Switch Module o del swicth en cuestión. • Vamos a la sección de Switch Ports. - 147 -
  • 148. • Configuramos en el puerto correspondiente al nodo de control las VLANs necesarias para las comunicaciones tanto internas como externas. Recordar que el PVID debe ser configurado para la VLAN interna. En nuestro caso los nodos de control son los puertos INT1 e INT2 y la VLAN interna es la 144. • Vamos a la sección “Layer 2” - Virtual LANs • Debemos crear al menos: • VLAN externa para la gestión de los MSB (ejemplo 143) • VLAN interna para la comunicación interna de los blades (ejemplo 144) - 148 -
  • 149. 10 Anexo D: Creación de los usuarios SNMP en Switch Lo más común va a ser la utilización de usuarios SNMPv3 por sus ventajas en cuanto a seguridad ya que las comunicaciones van cifradas y autenticadas. Para la creación de un usuario SNMPv3 en los Switches BNT (Blade Networks) lo que vamos a hacer es utilizar el usuario por defecto adminmd5. Al cual vamos a cambiar las contraseñas de autenticación y de cifrado. Nos conectamos por telnet al switch (por ejemplo 192.168.100.31) siendo el password por defecto 'admin'. #telnet 192.168.100.31 Trying 192.168.100.31... Connected to 192.168.100.31. Escape character is '^]'. Nortel Layer2-3 GbE Switch Module(Copper). Enter password: System Information at 7:14:26 Thu Jan 1, 2070 Time zone: No timezone configured Nortel Layer2-3 GbE Switch Module(Copper) Switch has been up for 0 days, 7 hours, 14 minutes and 26 seconds. Last boot: (power cycle) MAC Address: 00:18:b1:a3:6e:00 Management IP Address (if 128): 192.168.100.31 Software Version 1.4.2.0 (FLASH image1), active configuration. PCBA Part Number: 317857-C FAB Number: EL4542089 Serial Number: YK502032C642 Manufacturing Date: 0811 Hardware Revision: 1 Board Revision: 2 - 149 -
  • 150. PLD Firmware Version: 1.0 Temperature Sensor 1 (Warning): 40.0 C (Warn at 77.0 C/Recover at 72.0 C) Temperature Sensor 2 (Shutdown): 39.5 C (Warn at 90.0 C/Recover at 80.0 C) Switch is in I/O Module Bay 1 ----------------------------------------------------- ------------- Note: The current running configuration includes changes that have NOT been saved to FLASH. Use "diff flash" to see them and "save" to make them permanent. ----------------------------------------------------- ------------- ----------------------------------------------------- ------- [Main Menu] Jan 1 7:14:27 192.168.100.31 NOTICE mgmt: admin(admin) login from host 192.168.100.5 info - Information Menu stats - Statistics Menu cfg - Configuration Menu oper - Operations Command Menu boot - Boot Options Menu maint - Maintenance Menu diff - Show pending config changes [global command] apply - Apply pending config changes [global command] save - Save updated config to FLASH [global command] revert - Revert pending or applied changes [global command] - 150 -
  • 151. exit - Exit [global command, always available] >> Main# Ejecutamos: cfg/sys/ssnmp/snmpv3/ Nos aparecerá el siguiente menú: ----------------------------------------------------- ------- [SNMPv3 Menu] usm - usmUser Table Menu view - vacmViewTreeFamily Table Menu access - vacmAccess Table Menu group - vacmSecurityToGroup Table Menu comm - community Table Menu taddr - targetAddr Table Menu tparam - targetParams Table Menu notify - notify Table Menu v1v2 - Enable/disable V1/V2 access cur - Display current SNMPv3 configuration Configuramos el usuario 1 (por defecto adminmd5) mediante el siguiente comando: usm 1 Nos aparecerá el siguiente menú: - 151 -
  • 152. ----------------------------------------------------- ------- [SNMPv3 usmUser 1 Menu] name - Set USM user name auth - Set authentication protocol authpw - Set authentication password priv - Set privacy protocol privpw - Set privacy password del - Delete usmUser entry cur - Display current usmUser configuration Cambiamos la contraseña de autenticación mediante el siguiente comando: authpw Nos solicitará el password de nuevo la validación del usuario admin (password por defecto 'admin') y si es correcto nos solocitará la nueva contraseña de autenticación SNMP. El menu es como sigue: Changing authentication password; validation required: Enter current admin password: Enter new authentication password (max 32 characters): Re-enter new authentication password: New authentication password accepted. Cambiamos la contraseña de cifrado mediante el siguiente comando: privpw - 152 -
  • 153. Igualmente nos pide la contraseña del usuario admin para proceder a cambiar la contraseña de cifrado. El aspecto es como sigue: Changing privacy password; validation required: Enter current admin password: Enter new privacy password (max 32 characters): Re-enter new privacy password: New privacy password accepted. - 153 -
  • 154. 11 Anexo E: Actualización del firmware de los Switches BNT (BladeNetworks) mediante telnet En este anexo se va a explicar la actualización del firmware del Switch BNT L2/L3 Copper. Esta actualización es un tanto especial debido a que se tiene que hacer en dos pasos. Hay que pasar por una versión de firmware intermedia antes de pasar a la final. Se explica esta actualización por que es una de las más complejas que nos podemos encontrar. En el ejemplo se va a pasar de una versión instalada 1.0 a una intermedia 1.2.5.1 y por último a una versión final 1.4.2. Es aconsejable informarse de los cambios que existen entre firmwares y de las implicaciones que pueden existir al actualizar el firmware de los switches. A continuación presentamos todos los pasos: • Nos conectamos por telnet al switch 192.168.143.8 telnet 192.168.143.8 • El switch permite cargar dos imágenes OS distintas además de la imagen boot. Para saber cual es la imagen boot activa ejecutamos /boot/cur En este ejemplo la imagen activa vamos a suponer que es la imagen 2 (image2). Es importante saber cual es la imagen activa para no sobreescribirla con el nuevo firmware. • Procedemos a actualizar la image1 que es la que no esta activa. /boot/gtimg 1 IP El 1 indica la imagen que no está activa. Ponemos la IP del equipo donde se encuentra ese nuevo - 154 -
  • 155. firmware (por ejemplo la virtual del MSB). En el MSB podemos conseguir las últimas versiones del firmware de los switches BNT en las carpeta /opt/rb/shared/pxe/firmware/. Existen varias carpetas para cada tipo de switch soportado y para cada tipo de MM. • Una vez insertado el comando anterior nos piden que insertemos el nombre del fichero dentro del servidor TFTP que está instalado en el nodo de control. En nuestro caso, al tratarse de un switch de BNT L2L3 debemos indicar: /firmware/BNT_1G_L2L3/GbESM-AOS-1.2.5.1_OS.img • Si se tratara del switch 10G de Nortel deberíamos haber indicado /firmware/BNT_10G/GbESM-10G-AOS- 1.0.3.0_OS.img • Pulsamos enter cuando nos pidan el nombre de usuario ya que estamos utilizando TFTP. Y por ultimo confirmamos la operación sin autenticación. • Reiniciamos el swicth. /boot/reset • Nos conectamos por telnet una vez que se haya reiniciado el switch. • Ya tenemos la máquina con el nuevo firmware subido. Pero no está activo, seguimos teniendo la imagen 2 activa. Para activarlo ejecutamos el siguiente comando y le indicamos la imagen 1. /boot/image • Reiniciamos nuevamente el switch /boot/reset - 155 -
  • 156. • Nos conectamos por telnet una vez que se haya reiniciado el switch. telnet 192.168.143.8 • Ahora vamos a actualizar la imagen boot y para ello ejecutamos el siguiente comando. /boot/gtimg boot IP Nota.- Ponemos la IP del equipo que tenga un servidor TFPT con los firmwares de los switches, por ejemplo el MSB. • Una vez ejecutado nos pide el nombre del fichero. Insertamos lo siguiente. /firmware/BNT_1G_L2L3/GbESM-AOS-1.2.5.1_Boot.img • Pulsamos enter cuando nos pida un nombre de usuario. • Reiniciamos el switch /boot/reset • Nos conectamos nuevamente por telnet una vez que se haya reiniciado el switch. • Ya tenemos instalada la versión de firmware 1.2.5.1 en el switch, para actualizar a la última 1.4.2 nos volvemos a conectar por telnet al switch. telnet 192.168.143.8 • Para saber las imágenes que tienen activas el switch ejecutamos /boot/cur - 156 -
  • 157. • En este ejemplo ahora tenemos la imagen activa image1. Procedemos a actualizar la image2 que es la que no está activa. Ejecutamos /boot/gtimg 2 IP Nota.- IP del servidor TFTP con las imágenes de firmwares. • Nos pide que insertemos el nombre del fichero dentro del servidor TFTP. /firmware/BNT_1G_L2L3/GbESM-AOS-1.4.2.0_OS.img • Confirmamos la operación pulsando enter. • Reiniciamos la máquina. /boot/reset • Nos conectamos de nuevo por telnet. telnet 192.168.143.8 • Ya tenemos la máquina con el nuevo firmware subido. Para activarlo ejecutamos lo siguiente. /boot/image • Reiniciamos nuevamente la máquina. /boot/reset • Nos conectamos por telnet telnet 192.168.143.8 • Ahora vamos a actualizar la imagen del boot para ello ejecutamos el siguiente comando. - 157 -
  • 158. /boot/gtimg boot IP Nota.- La IP es la del servidor TFTP. • Insertamos el nombre del fichero boot. /firmware/BNT_1G_L2L3/GbESM-AOS-1.4.2.0_Boot.img • Reiniciamos la máquina. /boot/reset - 158 -

×