Sad1112 ut04-p01-a01

403 views

Published on

PANDORA FMS

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
403
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sad1112 ut04-p01-a01

  1. 1. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS UT 04. Pandora FMS1.- INTRODUCCIÓN PANDORA FMSPandora es una aplicación de monitorización que se encarga de vigilar cualquiertipo de sistema y/o aplicación. Nos permite conocer el estado de cualquier elementode nuestros sistemas. Es decir se encarga de vigilar nuestro hardware, software,nuestras aplicaciones y nuestro sistema operativo.Nos permite detectar si una interfaz de red se ha caído. También nos puede enviarun mensaje en el momento que falle cualquier sistema o aplicación.Es una herramienta que se ajusta a nuestros sistemas y necesidades. El motivo porel que se ajusta a nuestras necesidades, es porque ha sido diseñado para serabierto, modular, multiplataforma y fácil de personalizar.Dicha aplicación se diseño para los administradores de sistemas, pero puedeadaptarse a todo tipo de entornos de software o hardware.1.1- ¿Qué no es Pandora FMS?Pandora no es una herramienta de análisis. Aunque permite recolectar dichainformación, pero no está ni diseñada ni pensada para ser eficiente recogiendodicha información y procesarla correctamente.También recoge los logs de los eventos pero tampoco es su función principal ypuede dar lugar a errores si la información de los mismos es muy grande.Tampoco es un sistema que se encargue de detectar o prevenir las posiblesintrusiones. Pero nos permite informarnos sobre equipos caídos o puertos abiertos ycerrados.Tampoco es un sistema de monitorización a tiempo real o de monitorización deentornos críticos.Para terminar si pandora no se usa para lo que fue creada pueden producirsecomportamientos extraños, sobre todo si se carga de forma excesiva la base dedatos.1.2- ¿Qué nos permite realizar pandora?Pandora FMS es una herramienta de monitorización que aparte de indicarnos si unparámetro está bien o mal; nos permite cuantificar su estado es decir bien, mal oun valor intermedio. A su vez también permite almacenar un valor sea numérico oalfanumérico durante meses si es necesario.A su vez también nos permite medir rendimientos, y comparar valores entrediferentes sistemas y permite establecer alertas sobre umbrales.Pandora trabaja sobre una base de datos, lo cual no permite generar informes,estadísticas, niveles de adecuación de servicio y medir cualquier elemento que nosproporcione o devuelva un dato (Sistemas Operativos, aplicaciones y sistemas deÀngel Arriasol i Sabartés Página 1 de 42 A/A: Víctor Fustero
  2. 2. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMShardware, tales como cortafuegos, proxies, bases de datos servidores web, vpn,routers, switch, acceso remoto a servidores…)Todo esto integrado en una arquitectura abierta y distribuida, se puedeimplementar sobre cualquier sistema operativo (Windows (7, 2000, XP, 2008,2003), y Linux).Nos permite no solo nos permite obtener información mediante agentes, sino quemediante SNMP y pruebas de red (TCP, ICMP) puede monitorizar cualquier sistemade hardware con conectividad TCP/IP (Balanceadores de carga, routers, switches,impresoras, …).Pandora nos permite monitorizar cualquier proceso o sistema siempre y cuando uncomando devuelva un valor, y/o como cualquier valor que se encuentre dentro deun registro de texto del sistema operativo (fichero de registro).2.- ARQUITECTURA DE PANDORA FMSEsquema de la arquitectura global de Pandora FMS:Pandora es modular y descentralizada, la parte más vital es donde se almacenatodo en la base de datos (MYSQL).Pandora consta de diversos elementos: Los que se encargan de recoger y procesarlos datos de los servidores. Los servidores introducen dichos datos en la base dedatos. Y la consola se encarga de mostrar dichos datos.Los Agentes Software son aplicaciones que corren en los sistemas y recolectan lainformación para enviarla a los servidores.Existen distintos tipos de servidores, en el siguiente apartado nombraremosalgunos de ellos.Àngel Arriasol i Sabartés Página 2 de 42 A/A: Víctor Fustero
  3. 3. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS2.1- Servidores de Pandora FMSSe encargan de realizar las comprobaciones existentes, es decir ellos verifican ycambian el estado de las mismas en función de los resultados que obtienen.También se encargan de disparar las alertas que se establezcan para controlar elestado de los datos.Los servidores siempre están funcionando y verifican si algún elemento tiene algúnproblema, y si este está definido como alerta. Si está definida ejecuta la opcióndefinida en la alarma (enviar un mensaje, un correo electrónico o activar un script).Ahora realizaremos una breve descripción de los servidores especializados dePandora.2.1.1- Servidor de datosSe encargan de procesar la información enviada por los agentes de Software.Dichos agentes envían los datos XML al servidor a través de diferentes medios deenvió (FTP, SSH). El servidor se encarga de verificar de forma periódica si haynuevos ficheros de datos esperando a ser procesados.El servidor de datos igual que el resto de servidores accede a la base de datos dePandora.La base de datos la comporte con el servidor Web, y almacena los paquetes dedatos procesados.El servidor se ejecuta como un demonio o un servicio, y se encarga de procesar lospaquetes almacenados en su sistema de ficheros.El servidor de datos solo trabaja con los datos que provienen de los agentes desoftware y no realiza ningún tipo de comprobación remota de los mismos.2.1.2- Servidor de redEl servidor de red se encarga de ejecutar tareas de monitorización remota a travésde la red realizando pruebas ICMP (pings, tiempos de latencia de la red), peticionesTCP y peticiones SMTP.En el momento que asignamos un agente a un servidor lo estamos asignando a unservidor de red y no a un servidor de datos.Es importante que las máquinas que ejecutan los servidores de red puedan ver lared para poder ejecutar las tareas de monitorización de red asignadas.Hay que comprobar que al realizar los pings a un sistema de red determinado elservidor de red pueda llegar a dicha red.Por ejemplo, si creamos un módulo para hacer una comprobación de ping a192.168.10.1 y hemos asignado dicho agente o módulo a un servidor de la red192.168.20.0/24 sin acceso a la red 192.3168.10.0/24 siempre nos devolverá quela red esta desconectada, ya que no puede acceder a ella.Àngel Arriasol i Sabartés Página 3 de 42 A/A: Víctor Fustero
  4. 4. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS2.1.3- Servidor de SNMP (también conocida como Consola de TrapsSNMP)El servidor SNMP usa el demonio estándar del sistema de obtención de traps(SNMPTRADP). Este demonio o servicio recibe traps SNMP y el servidor SNMP dePandora los procesa y los guarda en la base de datos.En el momento que procesa y analiza los datos también puede lanzar las alertasasignadas a dicha consola de Pandora.2.1.4- Servidor de WMIEl servidor WMI es un estándar de Microsoft para obtener información del sistemaoperativo y de las aplicaciones de entorno de Microsoft Windows.Pandora posee un servidor dedicado para realizar llamadas nativas WMI de formacentralizada. De esta forma se pueden recoger datos de sistemas Windows deforma remota sin usar ningún agente.2.1.5- Servidor de reconocimientoEl servidor de reconocimiento se usa para explorar regularmente la red y detectasnuevos sistemas en funcionamiento.Al usar aplicaciones de sistema como nmap, xprobe y traceroute dicho servidor nospermite identificar sistemas por su Sistema Operativo, en función de los puertosque tenga abiertos y establecer la topología de red en función de los sistemas queya conoce.2.1.6- Servidor de complementos (Plugins)El servidor de complementos se encarga de realizar comprobaciones complejas deusuario desarrolladas en cualquier lenguaje e integrarlos en la interfaz gráfica dePandora. A su vez se encarga de gestionarlos de forma centralizada. Permitiendo aun usuario avanzado definir sus propias pruebas complejas (desarrolladas por elmismo) e integrarlas en la aplicación. Para que puedan usarse de forma cómoda ycentralizada desde Pandora.2.1.7- Servidor de predicciónEl servidor de predicción es un componente de Inteligencia Artificial queimplementa de forma estadística una previsión de datos en la base de datospasados y que nos va a permitir predecir los valores de un dato en un intervalo detiempo que oscila entre 10 y 15 minutos.Y de esta forma conocer si un dato en el momento actual es anómalo, es decir noes correcto, respecto al historial.Àngel Arriasol i Sabartés Página 4 de 42 A/A: Víctor Fustero
  5. 5. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS3.- Consola web de Pandora FMSEs la interfaz de usuario para Pandora FMS. Es la consola de administración yoperaciones que permite a usuarios distintos, con diferentes privilegios podercontrolar el estado de los agentes (equipos). Ver la información de los mismos,estadísticas, generar gráficos y tablas de datos; y a su vez gestionar incidenciascon el sistema integrado que posee.Pandora FMS también nos permite generar informes y definir la forma centralizadade nuevos módulos, agentes, alertas y crear otros usuarios y perfiles para lamisma.La consola Web puede ejecutarse en múltiples servidores o múltiples equipos esdecir la podemos ejecutar (tener) tantas consolas web como queramos.4.- Base de datos de Pandora FMSPandora FMS usa una base de datos MySQL, es una base de datos asíncrona contodos los datos recibidos por la misma.Realiza una unión o cohesión temporal de todos los datos que recibe y realiza unanormalización de dichos datos de las diferentes fuentes de origen.Cada módulo de datos de un agente (equipo) distinto genera una entrada de datospara cada paquete. Es decir que un sistema real de producción puede teneralrededor de diez millones de datos.Dichos datos serán gestionados de forma automática por Pandora FMS. Se llevará acabo un mantenimiento periódico y automático de la base de datos permitiendo quePandora FMS no requiera de ningún tipo de administración de base de datos, niningún proceso manual asistido por un administrador o un operador en su defecto.Àngel Arriasol i Sabartés Página 5 de 42 A/A: Víctor Fustero
  6. 6. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSDicho proceso lo realiza mediante una limpieza periódica de los datos una vezpasada una fecha. Por defecto 90 días.También realiza una compactación de los datos que tienen más de un númerodeterminado de días de antigüedad. Por defedcto 30 días.5.- Agentes Software de Pandora FMSAl referirnos a un agente Pandora FMS podemos distinguir entre 3 formas deobtener los datos: - Agente. - Agente de Software o Aplicaciones de Software, Pandora FMS Agente (dicho agente corre en una máquina o equipo). - Agente Físico o de Hardware.5.1- AgenteEl agente de Pandora FMS es simplemente un elemento organizativo que se creacon la consola Web de Pandora FMS. El cual está asociado a un grupo de módulos oelementos individuales de monitorización.También permite que dicho agente pueda tener de forma opcional asociadas una omás direcciones IP.5.2- Agente SoftwareEl agente de Software es el agente que se instala en una máquina o equipo remoto.El cual es completamente diferente al del servidor o al de la consola Web dePandora FMS.El agente de Software permite obtener la información local del equipo donde seestá ejecutando dicho agente, mediante comandos internos obtiene información delsistema.Recolección de datos en Pandora FMSÀngel Arriasol i Sabartés Página 6 de 42 A/A: Víctor Fustero
  7. 7. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSLa forma de obtener dichos datos es partir de scripts, que sean hechos a partir desubmodulos que obtienen una parte de información cada uno de ellos.Cada agente se encarga de obtener partes de información. Una vez obtenidasdichas partes se organizan en un único paquete, el cual se almacena en un únicoarchivo. Dicho archivo se llamará paquete de datos.Para copiar el paquete de datos del agente al servidor se realiza un proceso decopia de forma regular o Sincrona. Es decir pasado un tiempo determinado, el cualse ha definido en el agente. Dicho tiempo puede ser modificado para que no sellene la base de datos con información innecesaria o para no sobre cargar la red, esdecir para que no sea perjudicial para el rendimiento del sistema.El intervalo de tiempo por defecto son 300 segundos, es decir cinco minutos.No se recomiendan valores inferiores a 100 segundos ya que pueden afectar alrendimiento del sistema local o anfitrión a demás de cargar excesivamente la basede datos y el sistema de proceso central.Debemos recordar que Pandora FMS no es un sistema a tiempo real, sino unsistema de monitorización general de aplicaciones y sistemas en entornos en loscuales la criticidad no es en tiempo real.Aunque no sea a tiempo real Pandora FMS se puede adaptar en entornos en loscuales el tiempo de respuesta oscile entre 3 y 5 segundos.Las transferencias de los paquetes se realizan a través del protocolo Tentacle,aunque también se pueden realizar vía SHH o FTP.Tanto SSH como Tentacle pueden hacer que un proceso sea totalmente seguro, yaque se encargan de cifrar todos los datos asegurando la confidencialidad, integridady autenticación de las conexiones entre el agente y el servidor.A su vez también se pueden realizar transferencias mediante FTP o cualquier otrosistema de transferencia de ficheros.Para pandora FMS por defecto se usará Tentacle por la seguridad que ofrece dichosistema, y por la facilidad para el usuario y por las múltiples opciones que posee.Los agentes usados por Pandora FMS se pensaron para su ejecución en el agentedesde el cual obtienen los datos. A pesar de que los agentes pueden obtenerinformación de equipos accesibles desde el anfitrión donde están instaladas. A estose le llama Agente Satélite.Se dispone de la posibilidad de configurar un equipo para que tenga varios agentesPandora FMS de forma simultánea (No es un caso habitual). Esto ocurre cuandotenemos un agente de Software y un agente Satélite.El agente de Software monitoriza el equipo en el cual se ejecuta; mientras que losagentes Satélites que tenga instalados pueden ser varios.Se encargan en este caso de monotorizar sistemas remotos, a través de Telnet,SNMP u otros comandos que sean propietarios.Àngel Arriasol i Sabartés Página 7 de 42 A/A: Víctor Fustero
  8. 8. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS5.3- Agente físicoPandora FMS posee un agente físico montado sobre un router Asus y un autómataArduino.Este equipo junto con los sensores conectados consigue monitorizar las siguientescaracterísticas ambientales: - Humedad. - Temperatura. - Luz ambiental. - Presencia.Dichos sensores se pueden calibrar fácilmente al ser electrónicos, y los valores delos mismos también son de fácil procesamiento para Pandora FMS.El hecho de que el sensor sea un Router que posee características inalámbricas nosabre un mundo de posibilidades para este tipo de sensores. Algunos ya presentesen las CPD de empresas españolas. UT 04. Práctica 1. Pandora FMS1. OBJETIVOS:• Investigar y aprender sobre Pandora FMS.2. PASOS POR HACER:1.- Realizar la instalación del servidor pandora, de un agente y de la consolapandora (al realizar la instalación aparece por defecto el usuario root, le pondremosuna contraseña, pero para entrar en la consola deberemos entrar con el usuarioadmin y con contraseña pandora) en un equipo Linux, y instalar otro agente en unequipo con un sistema operativo de Windows (Por ejemplo Window XP).Comprobarque dichos equipos se comunican entre sí. Una vez realizados dichos pasos deberámostrar nuestro mapa de red desde la consola de pandora y la configuración dedichos equipos.Nota:Los puntos deb se pueden descargar del siguiente enlace:http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Debian_Ubuntu/El Agente Windows se puede descargar del siguiente enlace:http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Pandora%20FMS%20Windows%20Agent%20v4.0.1-Setup.exe/downloadÀngel Arriasol i Sabartés Página 8 de 42 A/A: Víctor Fustero
  9. 9. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS2.- Configura una monitorización remota de red ICMP para el agente equipoasi.Deberemos comprobar si dicha dirección IP responde o no. También deberemosrealizar una comprobación de la latencia.3.- Configura una monitorización remota de red TCP para el agente equipoasi.Deberemos comprobar el estado de los servidores web y smtp.4.- Conectar remotamente desde la máquina donde se encuentra el servidorpandora, a la máquina donde solo está instalado un agente pandora (nuestroWindows XP). Para realizar dicho proceso deberán utilizar el ultravnc que ya vieneinstalado por defecto en la consola de Pandora.3. POSIBLES PASOS A INVESTIGAR:1.- Integrar los eventos de seguridad de Patriot NG dentro de Pandora, tambiéndebes crear una plantilla de alerta de los eventos relacionados con Patriot NG.2.- Monitoriza un equipo Windows de forma remota, sin agentes y a través delservidor WMI de pandora desde otro agente Windows. Para ello deberán crear otroagente llamado equipoasi2.3.- Realiza la instalación de pandora desde una ISO en lugar de realizarla con lospuntos deb del ejercicio 1.4.- Recuerda que en el ejercicio 1 hemos puesto como usuario con todos losprivilegios al usuario root pero no podemos acceder a la consola de pandora y sicon el usuario admin. Comprueba que con el usuario root no podemos acceder a laconsola y explica porque si podemos acceder con el usuario admin.4. VALORACIÓN PERSONAL5. BIBLIOGRAFÍA Y RECURSOS2. PASOS POR HACER:1.- Realizar la instalación del servidor pandora, de un agente y de laconsola pandora (al realizar la instalación aparece por defecto el usuarioroot, le pondremos una contraseña, pero para entrar en la consoladeberemos entrar con el usuario admin y con contraseña pandora) en unequipo Linux, y instalar otro agente en un equipo con un sistema operativode Windows (Por ejemplo Window XP).Comprobar que dichos equipos secomunican entre sí. Una vez realizados dichos pasos deberá mostrarnuestro mapa de red desde la consola de pandora y la configuración dedichos equipos.Nota:Àngel Arriasol i Sabartés Página 9 de 42 A/A: Víctor Fustero
  10. 10. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSLos puntos deb se pueden descargar del siguiente enlace:http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Debian_Ubuntu/El Agente Windows se puede descargar del siguiente enlace:http://sourceforge.net/projects/pandora/files/Pandora%20FMS%204.0.1/Pandora%20FMS%20Windows%20Agent%20v4.0.1-Setup.exe/downloadInstalación del servidor pandora, de la consola pandora y del agente en Ubuntu,primero descargamos dichos paquetes.Realizamos la instalación del servidor pandora.A continuación instalamos el agente.Hecho lo anterior instalamos la consola.Àngel Arriasol i Sabartés Página 10 de 42 A/A: Víctor Fustero
  11. 11. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSÀngel Arriasol i Sabartés Página 11 de 42 A/A: Víctor Fustero
  12. 12. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSY entramos en la consola de pandora.Instalación agente pandora en Windows xp.A continuación le indicamos la ruta donde queremos instalar pandora.Àngel Arriasol i Sabartés Página 12 de 42 A/A: Víctor Fustero
  13. 13. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSNos pregunta el nombre del agente le dejamos el agente que viene por defecto.A continuación indicamos la dirección ip del servidor pandora:Una vez iniciado el Agente en nuestro Windows comprobamos que desde el servidorde pandora tenemos conexión con el equipoasi.Àngel Arriasol i Sabartés Página 13 de 42 A/A: Víctor Fustero
  14. 14. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSHecho esto desde el equipoasi comprobamos que tenemos conexión con el servidorde pandora.Desde la consola de pandora comprobamos nuestro mapa de red donde deberánaparecernos el srvpandora y el equipoasi.Para ello pulsamos en ver agentes y en Mapa de red. Una vez situados en Mapa dered pulsamos en opciones del Mapa.Pulsamos en la opción actualizar.Y más abajo nos aparecerá nuestro mapa de red, indicándonos que tenemos dosequipos conectados a nuestra red.Àngel Arriasol i Sabartés Página 14 de 42 A/A: Víctor Fustero
  15. 15. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSAhora pulsaremos sobre el agente equipoasi y comprobaremos su configuraciónAhora haremos lo mismo sobre srvpandora.Àngel Arriasol i Sabartés Página 15 de 42 A/A: Víctor Fustero
  16. 16. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS2.- Configura una monitorización remota de red ICMP para el agenteequipoasi. Deberemos comprobar si dicha dirección IP responde o no.También deberemos realizar una comprobación de la latencia.Para empezar nos dirigimos al agente equipoasi y pulsamos sobre la opciónmódulos.Àngel Arriasol i Sabartés Página 16 de 42 A/A: Víctor Fustero
  17. 17. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSA continuación seleccionamos Crear un nuevo módulo de servidor de red.En usando el componente del módulo seleccionamos network Management y hostAlive y Remote ICMP networagent y pulsamos el botón crear.Y comprobamos que se ha creado el módulo, la advertencia significa que todavía nose ha recibido ningún dato del módulo.La latencia se refiere al tiempo en milisegundos que tarda en responder la direcciónIP del agente Windows a la petición básica de ICMP.Nos volvemos a dirigir agente equipoasi y pulsamos sobre la opción módulos.A continuación volvemos a seleccionar Crear un nuevo módulo de servidor de red.En usando el componente del módulo seleccionamos network Management y hostLatency y Remote ICMP networkagent(latency) y pulsamos el botón crear.Àngel Arriasol i Sabartés Página 17 de 42 A/A: Víctor Fustero
  18. 18. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSY comprobamos que se ha creado el módulo.En Gestionar agentes pulsamos sobre equipoasi y sobre Host AliveY comprobamos que si que se realizan las conexiones.Ahora pulsaremos sobre Host Latency para saber cuánto tiempo tarda en responderel agente.Àngel Arriasol i Sabartés Página 18 de 42 A/A: Víctor Fustero
  19. 19. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS3.- Configura una monitorización remota de red TCP para el agenteequipoasi. Deberemos comprobar el estado de los servidores web y smtp.Para empezar nos dirigimos al agente equipoasi y pulsamos sobre la opciónmódulos.A continuación seleccionamos Crear un nuevo módulo de servidor de red.Primero crearemos el módulo para el servidor web, en el cual indicaremos que seun módulo de red y que chequee el servidor http (puerto 80) y que sea del tipoRemote TCP network agent, boolean data.Bien en Enviar TCP indicaremos GET /http/1.0/^M^M (^M significa retorno decarro).En Recibir TCP indicaremos http/1.1 200 OK (Para comprobar que la conexión escorrecta).Àngel Arriasol i Sabartés Página 19 de 42 A/A: Víctor Fustero
  20. 20. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSPulsamos el botón crear y comprobamos que el módulo se ha creadocorrectamente.En Gestionar agentes pulsamos sobre equipoasi y sobre Check http Server.Àngel Arriasol i Sabartés Página 20 de 42 A/A: Víctor Fustero
  21. 21. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSPodemos comprobar el gráfico (de momento todavía no ha recibido ningún dato).Después de haber instalado apache y comprobar que no apunta a la dirección localde la máquina (127.0.0.1), y haber reiniciado y apagado apache en nuestro clientesigue sin producirse ningún “cambio”. En principio nuestro gráfico debería habercambiado.Y también los datos generados, comprobando las conexiones (En conexiones losdatos también deberían haber cargado, en principio parece que está todo bien en elcliente pero no envía los datos a pandora.Àngel Arriasol i Sabartés Página 21 de 42 A/A: Víctor Fustero
  22. 22. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSNos volvemos a dirigir al agente equipoasi y pulsamos sobre la opción módulos.A continuación seleccionamos Crear un nuevo módulo de servidor de red.Crearemos el módulo para el servidor smpt, en el cual indicaremos que se unmódulo de red y que chequee el servidor smtp (puerto 25) y que sea del tipoRemote TCP network agent, boolean data.Àngel Arriasol i Sabartés Página 22 de 42 A/A: Víctor Fustero
  23. 23. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSPulsamos el botón crear y comprobamos que el módulo se ha creadocorrectamente.En Gestionar agentes pulsamos sobre equipoasi y sobre Check smtp Server.Àngel Arriasol i Sabartés Página 23 de 42 A/A: Víctor Fustero
  24. 24. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSPodemos comprobar el gráfico.Y también los datos generados, comprobando la conexión.4.- Conectar remotamente desde la máquina donde se encuentra elservidor pandora, a la máquina donde solo está instalado un agentepandora (nuestro Windows XP). Para realizar dicho proceso deberánutilizar el ultravnc que ya viene instalado por defecto en la consola dePandora.Para empezar instalaremos el ultravnc server en nuestro equipo Windows XP.Àngel Arriasol i Sabartés Página 24 de 42 A/A: Víctor Fustero
  25. 25. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSPara empezar pondremos nuestro UltraVncServer en Inicio>Programas>Inicio paraque se ejecute siempre que iniciemos el equipo y de esta forma siempre nos seráposible conectar con el agente desde la consola de pandora.De esta forma siempre nos aparecerá activado al iniciar el equipo.Una vez hecho esto nos dirigimos al equipo donde tenemos instalado nuestroservidor pandora y la consola y accederemos de forma remota a nuestro agente.Nos dirigimos a Ver agentes>vista táctica.Pulsamos sobre el nombre del agente, en nuestro caso equipoasi, apareciendo lasiguiente pantalla sobre la cual pulsaremos sobre el botón del VNC.Àngel Arriasol i Sabartés Página 25 de 42 A/A: Víctor Fustero
  26. 26. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSHecho esto nos pide la contraseña introducida el ultravnc del cliente y pulsamosOK.Y comprobamos que ya controlamos de forma remota el agente equipoasi.En el agente Windows comprobamos que el icono del ultravnc server ha cambiadode color de verde a amarillo. Esto indica que el agente Windows XP se ha conectadocon la consola de pandora.Àngel Arriasol i Sabartés Página 26 de 42 A/A: Víctor Fustero
  27. 27. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS3. POSIBLES PASOS A INVESTIGAR:1.- Integrar los eventos de seguridad de Patriot NG dentro de Pandora,también debes crear una plantilla de alerta de los eventos relacionados conPatriot NG.Primero procedemos a instalar Patriot NG en nuestro agente Windows.Debemos recordar que Patriot es una aplicación que se encarga de la detección deintrusos la cual permite modificar las claves del registro, crear nuevos usuarios,defensa TCP/IP entre otras opciones. Dichos eventos quedan registrados en el visorde eventos de Windows.A continuación nos dirigimos al fichero de configuración pandora_agent.conf ycreamos un módulo para capturar los eventos de PatriotNG en los agentesWindows.A su vez crearemos otro módulo para verificar que PatriotNG se está ejecutando ynadie lo ha parado.Àngel Arriasol i Sabartés Página 27 de 42 A/A: Víctor Fustero
  28. 28. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSEn el control de eventos comprobamos que nos aparece un evento con el módulocreado anteriormente.Pulsaremos el botón visualizar para ver dicho evento.Hecho lo anterior configuraremos una plantilla de alerta par cuando nos llegue unevento. Dicha plantilla saltará en la recepción del evento.Àngel Arriasol i Sabartés Página 28 de 42 A/A: Víctor Fustero
  29. 29. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSConfiguramos la alerta para que nos avise, y comprobamos que se ha creado laalerta.En el agente equipoasi nos aparece en General un nuevo evento patriotNG:Àngel Arriasol i Sabartés Página 29 de 42 A/A: Víctor Fustero
  30. 30. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSPulsamos sobre él y comprobamos los avisos recibidos.2.- Monitoriza un equipo Windows de forma remota, sin agentes y a travésdel servidor WMI de pandora desde otro agente Windows. Para ellodeberán crear otro agente llamado equipoasi2.Una vez creado el agente equipoasi2, desde la consola de pandora comprobamosnuestro mapa de red donde deberán aparecernos el srvpandora, el equipoasi y elequipoasi2.Para ello pulsamos en ver agentes y en Mapa de red. Una vez situados en Mapa dered pulsamos en opciones del Mapa.Pulsamos en la opción actualizar.Àngel Arriasol i Sabartés Página 30 de 42 A/A: Víctor Fustero
  31. 31. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSY más abajo nos aparecerá nuestro mapa de red, indicándonos que tenemos tresequipos conectados a nuestra red.Ahora nos dirigimos a /etc/pandora/pandora_server.conf para activar el servicio demonitorización por WMI.A continuación nos dirigimos al agente equipoasi2 y seleccionamos la opción nuevomódulo de red y pulsamos el botón crear.Àngel Arriasol i Sabartés Página 31 de 42 A/A: Víctor Fustero
  32. 32. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSHecho esto nos descargamos en el equipoasi la WMI para Windows.En el agente equipoasi en administración de equipos en Control WMI en la pestañaseguridad el usuario administrador tiene que tener chequeada la opción Llamadaremota habilitada para poder conectarse con el agente equipoasi2.Bien hecho esto procedemos a conectarnos con equipoasi2 (192.168.200.164).Àngel Arriasol i Sabartés Página 32 de 42 A/A: Víctor Fustero
  33. 33. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSRealizamos las siguientes consultas las cuales nos proporcionan información delagente equipoasi2 sin tener que entrar en la consola de pandora, por ejemplo:Muestra el tamaño de la unidad C:Muestra el sistema operativo usado y su número de serie:Muestra el rendimiento de la memoria física y virtual del equipo:Muestra los bytes escritos por segundo en el sistema:3.- Realiza la instalación de pandora desde una ISO en lugar de realizarlacon los puntos deb del ejercicio 1.Para empezar el proceso de instalación primero seleccionamos la ISO de pandora.Àngel Arriasol i Sabartés Página 33 de 42 A/A: Víctor Fustero
  34. 34. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSA continuación seleccionamos Pandora FMS 4.0.1 OpenSource.A continuación nos pide que aceptemos la licencia GPL y pulsamos next.A continuación elegimos la zona horaria y pulsamos next. Hecho esto nos pide lacreación de un usuario.Hecho lo anterior muestra una pantalla resumen de la instalación si estamos deacuerdo pulsaremos aceptar.Àngel Arriasol i Sabartés Página 34 de 42 A/A: Víctor Fustero
  35. 35. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSY empezará el proceso de instalación.Por último nos pide que reiniciemos y retiremos la imagen iso del cd.Comprobamos que se configura de forma automática.Àngel Arriasol i Sabartés Página 35 de 42 A/A: Víctor Fustero
  36. 36. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSHecho esto nos pide el nombre de máquina.Hecho lo anterior, después de haber configurado la ip de la máquina y seleccionadala tarjeta de red se inicia el sistema.Con esto hemos visto como configurar e instalar pandora de forma “gráfica” sinnecesidad de usar los puntos deb del ejercicio 1.Bien para conectarnos al servidor arrancaremos otro equipo (Ya que nuestra iso nodispone de entorno gráfico) que este en el mismo rango de red y entraremos a laconsola.En nuestro caso http://192.168.200.166/pandora_console.Para realizar la conexión usaremos el equipo equipoasi.Y comprobamos que funciona correctamente, en este caso nos conectaríamosdesde otro equipo para usar la consola y el funcionamiento sería el mismo.Àngel Arriasol i Sabartés Página 36 de 42 A/A: Víctor Fustero
  37. 37. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS4.- Recuerda que en el ejercicio 1 hemos puesto como usuario con todoslos privilegios al usuario root pero no podemos acceder a la consola depandora y si con el usuario admin. Comprueba que con el usuario root nopodemos acceder a la consola y explica porque si podemos acceder con elusuario admin.Comprobamos que con el usuario root no podemos acceder a la consola.A continuación entraremos en el servidor mysql con el usuario root y en la basedatos pandora.Hecho lo anterior realizamos un show tables;Àngel Arriasol i Sabartés Página 37 de 42 A/A: Víctor Fustero
  38. 38. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSA continuación realizamos un select sobre la tabla tusuario y comprobamos que elusuario root no está en la tabla tusuario y por tanto no puede entrar en la consolade pandora. Sólo puede entrar el usuario admin. Si quisiéramos que se pudieraentrar con el usuario root deberíamos insertarlo en dicha tabla.Ahora cambiamos de base de datos, entraremos en la base de datos mysql.Hecho lo anterior realizamos un show tables;Àngel Arriasol i Sabartés Página 38 de 42 A/A: Víctor Fustero
  39. 39. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMSA continuación realizamos un select sobre la tabla user y comprobamos que elusuario root si está en dicha tabla, pero como hemos comentado anteriormente noestá en la tabla de usuarios de la base de datos de pandora.4. VALORACIÓN PERSONALLa verdad es que la aplicación de pandora es muy interesante, te permiteprácticamente monitorizar casi cualquier cosa de un equipo (agente) cliente,también de permite incluir módulos nuevos. Me hubiera gustado probarla con laedición Enterprise (mucho más amplia). Me ha permitido aprender cosas nuevascomprobar relativamente su funcionamiento que es muy amplio. Y es ampliamenterecomendable para un uso empresarial. La verdad es que me ha gustado, aunqueal principio la escogí por el nombre …5. BIBLIOGRAFÍA Y RECURSOS (en bibliografía se incluyen lamayoría de enlaces consultados tanto para realizar el temacomo la práctica del mismo).Àngel Arriasol i Sabartés Página 39 de 42 A/A: Víctor Fustero
  40. 40. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMShttp://pandorafms.org/index.php?sec=project&sec2=documentation&lng=eshttp://es.wikipedia.org/wiki/Pandora_FMShttp://openideas.info/wiki/index.php?title=Pandora_3.0:Documentation_es:GestionRemotahttp://openideas.info/wiki/index.php?title=Pandora_3.0:Documentation_es:Extensiones_Consolahttp://openideas.info/wiki/index.php?title=Pandora_3.0:Documentation_es:Extensiones_Consola#VNC_Consolehttp://pandorafms.com/index.php?sec=pandora&lng=eshttp://dev.mysql.com/downloads/mysql/http://www.slideshare.net/sestebans/laboratorio-monitoreo-con-pandora-fms-20http://www.abartiateam.com/pandora-monitorizacionhttp://www.securitybydefault.com/2010/11/pandora-fms-y-patriot-ng.htmlhttp://www.badenas.com/?p=154Àngel Arriasol i Sabartés Página 40 de 42 A/A: Víctor Fustero
  41. 41. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS6. REALIZA EL SIGUIENTE CUESTIONARIO.1.- ¿Qué es Pandora? a. Una herramienta de análisis. b. Se encarga de recoger los datos de los eventos. c. Detectar o prevenir las posibles intrusiones. d. Una herramienta de monitorización que se encarga de vigilar cualquier tipo de sistema y/o aplicación.2.- ¿Qué permite realizar Pandora? a. Permite medir rendimientos, y comparar valores entre diferentes sistemas y permite establecer alertas sobre umbrales. b. Permite medir rendimientos, y comparar valores entre diferentes sistemas y no permite establecer alertas sobre umbrales. c. Se encarga de detectar o prevenir las posibles intrusiones. d. Ninguna de las anteriores.3.- ¿Sobre qué base de datos trabaja Pandora? a. Mysql b. Oracle c. SqlServer d. Ninguna de las anteriores.4.- Tipos de servidores de Pandora. a. Servidor de datos, servidor de red, servidor SNMP, Servidor de predicción, servidor de reconocimiento. b. Servidor de datos, servidor de red, servidor de SNMP, servidor de reconocimiento, servidor de complementos, servidor de predicción. c. Servidor de datos, servidor de red, Servidor SNMP, servidor de predicción. d. Servidor de datos, servidor de red, servidor SNMP, Servidor de predicción, servidor de complementos.5.- Funciones del servidor de datos. a. La base de datos la comparte con el servidor web, y almacena los paquetes de datos procesados. b. Se encarga de procesar la información enviada por los agentes de software. c. El servidor de datos igual que el resto de servidores accede a la base de datos de pandora. d. Todas las respuestas anteriores son correctas.6.- Funciones del servidor de red. a. Se encarga de procesar la información enviada por los agentes de software. b. En el momento que asignamos un agente a un servidor lo estamos asignando a un servidor de datos y no a un servidor de red. c. En el momento que asignamos un agente a un servidor lo estamos asignando a un servidor de red y no a un servidor de datos. d. Todas las respuestas anteriores son incorrectas.Àngel Arriasol i Sabartés Página 41 de 42 A/A: Víctor Fustero
  42. 42. Administración de Sistemas Informáticos en Red Seguridad y alta Disponibilidad UT 04.Trabajo de Investigación. Pandora FMS7.- ¿Cómo gestiona Pandora la base de datos? a. Los datos se gestionan de forma manual para realizar un mantenimiento periódico. Requiere la administración de bases de datos. b. Los datos se gestionan de forma automática para realizar un mantenimiento periódico. No requiere la administración de bases de datos. c. Todos los procesos de la base de datos hay que hacerlos manualmente. d. Las respuestas a y c son correctas.8.- ¿Qué es un agente de software? a. Permite obtener información del resto de equipos integrados dentro de Pandora. b. El agente de software es el agente que se instala en una máquina o equipo remoto. c. No permite obtener la información local del equipo donde se esta ejecutando dicho agente. d. Todas las respuestas anteriores son incorrectas.9.- ¿Qué permite monitorizar un agente físico? a. Humedad b. Temperatura c. Luz ambiental d. Todas las respuestas anteriores son correctas.10.- ¿Qué es el servidor de predicción? a. Es un componente del servidor de red. b. No es un componente de inteligencia artificial. c. Es un componente de inteligencia artificial. d. Todas las respuestas anteriores son incorrectas.Se publica el material en slideshare.net (SAD1112-UT04-P01-A01).Àngel Arriasol i Sabartés Página 42 de 42 A/A: Víctor Fustero

×