5. 5.5.5 Sondas.........................................................................83
5.5.5.1 Dashboard...........................................................85
5.5.5.2 Tráfico IN.............................................................86
5.5.5.3 Tráfico OUT..........................................................88
5.5.5.4 IN+OUT...............................................................88
5.6 Alertas.................................................................................88
5.6.1 Configuración..............................................................89
5.6.1.1 Parámetros de configuración..............................90
5.6.1.2 Configuración de sondas.....................................91
5.6.1.3 Configuración de usuarios..................................92
5.6.2 Informes......................................................................93
5.6.3 Snapshot.....................................................................94
5.6.4 Alertas.........................................................................95
5.6.4.1 Dashboard...........................................................98
5.6.4.2 Top.......................................................................99
5.6.4.3 Temporal............................................................101
5.6.4.4 Tiempo Real......................................................103
5.7 BladeControl......................................................................106
5.7.1 Configuración............................................................106
5.7.1.1 Configuración general.......................................106
5.7.1.2 Configuración de los Módulos de Control.........107
5.7.1.3 Configuración de los Switches..........................108
- 4 -
6. 5.7.2 Imágenes...................................................................109
5.7.3 Servicio Virtual..........................................................110
5.7.4 Estado MSB...............................................................112
5.7.5 Estado de los Blades.................................................113
5.7.6 Estado de la Red.......................................................114
5.7.7 Switches....................................................................114
5.7.8 Monitorización...........................................................116
5.7.9 Información...............................................................117
5.7.10 Logs.........................................................................118
5.8 Útil.....................................................................................119
5.8.1 Sistema de Ficheros..................................................120
5.8.2 Supervisión................................................................121
5.8.3 CPU............................................................................122
5.8.4 Carga.........................................................................122
5.8.5 Memoria....................................................................123
5.8.6 Swap..........................................................................123
5.8.7 Procesos....................................................................124
5.8.8 Usuarios....................................................................124
5.8.9 NFS............................................................................124
5.8.10 Globo.......................................................................125
5.8.10.1 Escáner...........................................................125
5.8.10.2 Tareas..............................................................126
- 5 -
7. 6 PUF/FAQ.....................................................................................128
7 Anexo A: Configuración de traps del MM .................................138
8 Anexo B: Creación de los usuarios SNMP en el MM..................140
9 Anexo C: Configuración inicial de la red...................................142
10 Anexo D: Creación de los usuarios SNMP en Switch...............144
11 Anexo E: Actualización del firmware de los Switches Nortel
mediante telnet.............................................................................149
La documentación contenida en este documento puede ser
cambiada sin previo aviso.
Marcas comerciales: redBorder, redBorder SE, redBorder networks
y el logotipo de redBorder son marcas comerciales de redBorder
S.L.
Las demás marcas registradas y nombres comerciales que puedan
utilizarse en este documento se refieren a las empresas que
figuran en las marcas y en los nombres de sus productos.
redBorder S.L. renuncia a cualquier interés sobre la propiedad de
marcas y nombres comerciales que no sean los suyos.
Copyright 2008 redBorder S.L.
www.redboder.net
- 6 -
9. 1 Introducción
El sistema redBorder SE es una solución de aprovisionamiento de
imágenes pensada para su funcionamiento en sistemas críticos de
alto rendimiento sobre chasis en blade.
Permite controlar de manera gráfica, segura y centralizada una
infraestructura desplegada de sistemas centrales de gestión y
servicios a través de una interfaz gráfica multiplataforma
(redConsole).
El producto está pensado para funcionar sobre las distribuciones
más importantes basadas en Linux (SuSE, Red Hat 5.X y Centos
5.X) ofreciendo soporte para las imágenes más comunes (CP
Secure Plataform, Red Hat, Debian, IMSS, IWSS, Zeus, etc.) en
entornos críticos.
1.1 Componentes
redBorder SE consta de los siguientes componentes:
• redConsole.- Entorno gráfico de gestión y configuración
propietario desarrollado en JAVA.
• MSB.- Sistema de gestión y aprovisionamiento de
imágenes configurable a través de redConsole.
• Hardware.- Hardware específico para los requisitos
concretos del proyecto o cliente. Los chasis actualmente
soportados son: IBM BladeCenter E, H y S.
1.2 Modo de funcionamiento
1) El administrador inicia la aplicación gráfica en el ordenador
de administración.
2) La aplicación gráfica se conecta a un MSB remoto de
manera segura mediante el protocolo SSH v2.
- 8 -
10. 3) Una vez autenticada, la aplicación se descarga la base de
datos del terminal y las plantillas asociadas a cada uno de
los módulos configurados.
4) Se generan los elementos gráficos con los datos
almacenados en la base de datos de configuración
descargada.
5) El administrador modifica la configuración del sistema con
la interfaz gráfica, alterando los valores almacenados en la
base de datos local.
6) Uniendo los valores almacenados en la base de datos de
configuración a las plantillas de sistema se generan los
ficheros de configuración necesarios.
7) Se transmiten al MSB mediante la sesión SSH v2 la nueva
base de datos y los nuevos ficheros de configuración.
8) Se reinician en el MSB los servicios necesarios de manera
automática.
Este sistema de funcionamiento presenta las siguientes ventajas:
Los ficheros de configuración de cada MSB se almacenan en el
propio sistema, permitiendo su configuración desde cualquier
equipo que tenga la aplicación redConsole instalada.
Se obtiene una visión de conjunto de la red desplegada, a
diferencia de las soluciones basadas en una interfaz web que
presentan una visión excesivamente local.
No se requiere ningún tipo de servicio o demonio propio en el
sistema, ya que se utiliza el servidor SSH. Manteniendo este
servidor convenientemente actualizado evitamos problemas de
seguridad inherentes al desarrollo de una aplicación nueva.
El sistema funciona de manera fluida incluso cuando se está
accediendo a equipos con escaso caudal de acceso, ya que una
vez descargadas la base de datos y las plantillas, todo el
funcionamiento es en local, en la máquina del administrador.
- 9 -
11. Las empresas autorizadas pueden modificar las plantillas del
sistema para personalizar los ficheros de configuración generados.
El sistema es muy flexible y permite su modificación con rapidez.
No es necesario desarrollar complicados analizadores para cada
aplicación, basta con uno genérico. Se desacopla el desarrollo de la
interfaz gráfica de la integración de la aplicación a controlar
(plantillas), siguiendo el modelo MVC.
1.3 El papel del MSB
La complejidad de las instalaciones actuales requiere de sistemas
autónomos capaces de asegurar la disponibilidad de los servicios a
un nivel adecuado. El papel de administrador debe ser más de
supervisor que de guardián de los sistemas, relegando las tareas
más tediosas y rutinarias de la administración.
En la solución redBorder SE, el MSB intenta cubrir ese papel.
Consiste en un sistema basado en Linux con las herramientas
necesarias para asegurar una alta disponibilidad, gestión de
imágenes y servicios adecuados. Para ello el MSB está duplicado,
instalado por tanto en dos blades, y configurado en modo
activo/pasivo, de manera que si falla el maestro (nodo activo) el
esclavo ocupará su lugar (nodo pasivo).
1.3.1 Servicios
El sistema está compuesto por el chasis y los servidores blades
además de la electrónica de apoyo. Los servidores blades son los
equipos sobre los que correrán las aplicaciones llamadas servicios
(Security Service Blade, SSB) y los nodos de gestión llamados MSB
(Management Service Blade). Cuando un blade es insertado en un
chasis gestionado por la solución redBorder SE, el MSB detecta su
presencia, activando y configurando todos los aspectos necesarios
de la electrónica y los sistemas para que el blade inicie la imagen
necesaria y arranque el servicio configurado para dicho blade en
función de su ubicación (bahía ocupada) y prioridad.
Si un servicio cae por algún motivo, es responsabilidad del MSB la
detección de dicha caída (si está dentro de unos parámetros
- 10 -
12. controlados) para respaldar e iniciar dicho servicio en otro blade
que esté disponible, siempre en función de la configuración de
ubicaciones y prioridades definidas por el administrador.
1.4 Características
A continuación se listan algunas de las características más
importantes. Su sistema no tiene por qué incluirlas todas ya que
dependen del tipo de licencia obtenida:
• Sistema de objetos.- Para facilitar las labores de
administración del equipo, la configuración de los distintos
módulos se realiza utilizando objetos definidos de manera
centralizada. Existen objetos de red, servicios, protocolos y
mensajes ICMP.
• Cortafuegos con control de estado.- Los cortafuegos
dinámicos o con control de estado ofrecen mejores niveles
de seguridad que los cortafuegos estáticos usados hasta
ahora. Mediante la correcta configuración del cortafuegos
podrá proteger el MSB ante accesos no autorizados.
• Gestión del Tráfico.- El MSB puede disponer de tantas
sondas de tráfico como desee. Estas sondas recolectarán
información de tráfico de una interfaz concreta para ser
analizada por el administrador. Se recomienda, al menos,
la monitorización de cada una de interfaces del MSB para
un correcto estudio del mismo.
• Volcado de configuración.- Permite almacenar en un
único fichero la base de datos de configuración del sistema
para clonar otros equipos o como copia de seguridad.
• Logs remotos.- Por defecto el sistema almacena los logs
en local. Si dispone de un servidor compatible syslog,
puede configurar el MSB para que envíe los logs a ese
equipo usando el protocolo UDP/TCP o un túnel SSL.
• Servidor SSH.- El sistema de administración gráfica se
conecta al cortafuegos a través del protocolo de
comunicaciones seguras SSH v2.
- 11 -
13. 1.5 Instalación
redConsole, la aplicación de gestión de redBorder SE, requiere para
su funcionamiento de una máquina virtual JAVA v1.5 o superior
correctamente configurada. Asegúrese de que sea así antes de
proceder.
Para instalar la aplicación tan sólo necesitará ejecutar el programa
'setup.jar', bien haciendo doble clic sobre el archivo (si así lo
permite el sistema operativo), o bien ejecutando el comando:
admin@server $> java -jar setup.jar
Lo primero que aparecerá será la selección del idioma de la
instalación.
A continuación aparecerá el acuerdo de licencia, indispensable
para la instalación del software. Si la acepta, el instalador le pedirá
el directorio donde instalar el programa.
Una vez introducido el directorio, el programa comienza su
instalación. Tras esto, será necesario indicar el grupo de programas
y si se quiere un acceso directo en el escritorio (versión Windows).
Pulsando “Siguiente” se finaliza la instalación.
1.5.1 Creación de accesos directos
Una vez realizado el proceso de instalación de los binarios, podrá
acceder al programa de diversas formas según el sistema
operativo de la máquina cliente.
1.5.2 Microsoft Windows
Podrá acceder a la aplicación redConsole mediante el grupo de
programas que seleccionó en la instalación, el icono de acceso
directo del escritorio (si así lo solicitó) o directamente por línea de
comandos (se verá más adelante).
- 12 -
14. 1.5.3 UNIX/Linux
Debido a la diversidad de escritorios existentes en Unix/Linux se
hace necesario el uso de la línea de comandos para estandarizar la
ejecución. Sin embargo ciertos escritorios, como gnome o kde,
facilitan la creación de entradas en los menús de aplicaciones o la
creación de iconos de enlace directo en el escritorio, haciendo su
ejecución semejante al entorno Windows de Microsoft. Queda en
manos del administrador de la máquina cliente realizar tales
entradas.
Para el inicio de la aplicación deberá ejecutar en el directorio de
instalación del programa el siguiente comando:
admin@server $> java -jar redborder.jar
1.5.4 MacOS X
La ejecución de la aplicación en este sistema no es diferente de la
de cualquier sistema Unix.
- 13 -
15. 2 Instalación del MSB
El MSB es el elemento clave del sistema de redBorder SE. Es quien
proporcionará las imágenes al resto de blades y quien monitorizará
el buen funcionamiento del chasis.
El sistema base en el que está instalado es compatible Red Hat®
Enterprise Linux 5 (RHEL5 o CentOS5). Sobre dicho sistema se
instalarán una serie de paquetes que aseguren el buen
funcionamiento de redBorder SE.
El proceso de instalación se debe realizar en dos fases principales:
• Instalación del sistema base y los paquetes mínimos
necesarios.
• Instalación de redBorder SE y su configuración.
Los requisitos para una correcta instalación de redBorder SE son
los siguientes:
• bash
• perl
• net-snmp, net-snmp-libs, net-snmp-utils
• pcre
• freetype
• libart_lgpl
• gnutls
• postgresql, postgresql-server
• xinetd
• tftp-server
- 14 -
16. • dhcp
• nfs-utils-lib, nfs-utils
• portmap
• libpcap
• ntp
• rrdtool
• drbd
• heartbeat
Todos estos paquetes son instalados automáticamente con el DVD
de instalación.
2.1 Pasos de instalación
La instalación de redBorder SE implica la configuración previa de
varios elementos del chasis:
• Configuración inicial del Módulo de Gestión (MM/AMM)
• Configuración inicial de los switches
• Instalación de redBorder SE
Si el chasis está correctamente instalado, antes de proceder a la
instalación del sistema operativo y del software de redBorder SE,
hay que realizar los siguientes pasos:
• Configuración de los módulos de gestión.
• Direccionamiento IP.
• Verificación del firmware mínimo necesario.
• Configuración del servicio SNMP.
- 15 -
17. • Configuración de los módulos de E/S.
• Direccionamiento IP
• Verificación del firmware mínimo necesario.
• Configuración del servicio SNMP.
Para que la comunicación interna entre los MSB sea correcta,
deberá configurar los switch para permitir el tráfico de la VLAN de
gestión entre los puertos involucrados en dicha comunicación. Por
ejemplo, tomando como VLAN interna la 10 en los blades 1 y 2:
/* Configuration dump taken 1:07:03 Sun Jan 1, 2000
/* Version 1.2.4, Base MAC address XX:XX:XX:XX:XX:XX
/c/port INT1
pvid 10
tagpvid ena
/c/port INT2
pvid 10
tagpvid ena
/c/l2/vlan 10
ena
name "VLAN 10"
def INT1 INT2
/c/l2/stg 1/clear
/c/l2/stg 1/add 1 10
/
script end /*
Para más detalles, será necesario que el lector consulte el Anexo A
"Configuración de traps del MM", Anexo B "Creación de usuarios
SNMP en el MM", Anexo C "Configuración inicial de la red" y Anexo
D "Creación de los usuarios SNMP en el switch".
- 16 -
18. Es necesario igualmente permitir que los puertos externos de los
switches puedan ser configurados vía SNMP: I/O Module Tasks →
Admin/Power/Restart → Select Module → External Ports → Enabled.
Una vez hechas estas modificaciones, si el chasis sobre el que está
trabajando es un IBM con un módulo de gestión avanzado (AMM),
será necesario guardar la configuración en la memoria del mismo
mediante el menú MM Control → Configuration Mgmt → Save
Configuration to Chassis:
La instalación del sistema redBorder SE sobre un sistema basado
en blades se puede realizar 'in situ' mediante la consola directa del
- 17 -
19. sistema de gestión o vía KVM virtual, habitual en los distintos
fabricantes. Por ejemplo, el sistema BladeCenter de IBM:
En sistemas Dell, por ejemplo, se usa la interfaz
iDrac, que lanza una consola virtual basada en java
parecida al applet de la consola de IBM.
Será necesario para la instalación indicar en el blade que el inicio
del sistema será por CD/DVD. Para ello se deberá configurar bien
en la BIOS del propio blade o bien vía el módulo de gestión del
chasis (MM/AMM en IBM o CMC en Dell por ejemplo).
Cuando se empiece a leer el CD/DVD, lo primero que nos saldrá en
la consola es la pantalla del instalador de Red Hat/CentOS (Sistema
base del MSB):
- 18 -
20. El sistema por defecto inicia el instalador en modo texto, el más
adecuado ya que el sistema operativo del MSB no necesita de
modo gráfico alguno. Basta, pues, con pulsar la tecla <ENTER>.
A partir de aquí la instalación es la de una distribución Red
Hat/CentOS normal en la que se han omitido aquellos pasos que no
son necesarios. Simplemente tendremos que: elegir el idioma, el
teclado, y la clave de root. No es necesario modificar más
parámetros para una instalación básica.
- 19 -
21. A continuación se muestran una serie de capturas de pantalla de la
instalación:
- 20 -
23. Una vez se haya completado la instalación, reiniciamos el MSB tal y
como se especifica en el instalador. Con esto hemos completado la
primera fase de la instalación: “Instalación del sistema base y los
paquetes mínimos necesarios”.
Tras el reinicio, deberá hacer login en el sistema introduciendo
'root' como nombre de usuario, y la clave que eligió en el momento
de la instalación.
En este momento, y al ser la primera vez que se inicia el sistema,
se invocará automáticamente el script de configuración del
sistema redBorder SE, comenzando con la aceptación de la
licencia:
Tras aceptar la licencia, se pararán algunos servicios que necesitan
ser reconfigurados y se pedirá si quiere que se busque alguna
configuración MSB existente. Esto será muy útil cuando lo que se
haya instalado sea el MSB de respaldo (el esclavo). Si el MSB es el
maestro, deberá decir que no. Es importante indicar que no se
debe ejecutar desde una sesión ssh, puesto que uno de los
servicios a reconfigurar es el de red.
La siguiente pantalla le pide si desea activar o desactivar el
soporte de los módulos de alertas y tráfico (explicados más
adelante). Normalmente son módulos no incluidos en las licencias
básicas y su activación sólo será útil si y sólo si ha adquirido las
licencias necesarias.
- 22 -
24. La siguiente pantalla presenta los parámetros de configuración de
la red externa, con valores por defecto. Dichos parámetros
representan los valores de red accesibles desde el exterior del
chasis necesarios para la gestión del sistema redBorder SE.
Lo mismo ocurre en la siguiente pantalla, salvo que se refiere a
valores de la red interna del chasis. El sistema redBorder SE
reservará un rango de direcciones IP internas para el servicio DHCP
necesario para el arranque vía PXE de los blades SSB.
- 23 -
25. A continuación deberá indicar los valores de servidores DNS, NTP
así como las interfaces de red (esto último mediante su dirección
MAC).
Deberá comprobar que el orden en que el sistema operativo ha
mapeado las interfaces de red es el correcto, es decir,
correspondan con el orden detectado por el módulo de gestión. En
el caso de IBM será por ejemplo:
Siguiendo con el ejemplo, la configuración del bonding quedaría
como sigue:
• bond0 eth0 -> 00:1a:64:33:19:34
eth1 -> 00:1a:64:33:19:36
• bond1 eth2 -> 00:0e:1e:00:1b:24
eth3 -> 00:0e:1e:00:1b:25
- 24 -
26. La siguiente pantalla presenta el tamaño por defecto seleccionado
para la partición dedicada al sistema DRBD, en unidades de PE
(extensiones físicas, cada extensión equivale a 32Mbytes).
Asimismo, Se presenta una clave precompartida por defecto para
el sistema DRBD, que el administrador puede usar o modificar si lo
desea. Cuando se realice la instalación en el segundo MSB la clave
la obtendrá automáticamente si decide activar la búsqueda de
configuraciones de MSB existentes, por lo que no es necesario
recordarla de una instalación a otra.
Se pedirá confirmación de la configuración creada.
- 25 -
27. Tras confirmar la creación del volumen lógico, se procederá
finalmente a la creación de la partición drbd y configuración de
todos los servicios involucrados en el sistema redBorder SE.
Nota: hay que asegurarse que la clave elegida en las
instalaciones de los dos MSB para la partición
compartida es la misma, ya que si no se indica lo
contrario la clave se genera aleatoriamente.
Finalmente se le pedirá confirmación para que el MSB actual se le
considere como maestro. Tras esto será necesario reiniciar.
- 26 -
28. Tras el reinicio, ya tiene su sistema redBorder SE totalmente
operativo y listo para aprovisionar imágenes una vez las tenga
creadas y configuradas.
Elementos a chequear para verificar el estado de la instalación:
• Ver si está levantado el servidor de DRBD. Nos debe
aparecer algo como lo siguiente:
[msb01]# /etc/init.d/drbd status
drbd driver loaded OK; device status:
version: 8.0.11 (api:86/proto:86)
GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by
buildsvn@c5-i386-build, 2008-02-13 19:40:55
m:res cs st ds p mounted fstype
0:shared WFConnection Primary/Unknown UpToDate/UpToDate C
/opt/rb/shared ext3
En la parte que dice UpToDate/Unknown significa que el nodo en el
que se ha ejecutado el drbd está actualizado y que el otro extremo
es desconocido. Esto es lógico si aún no hemos instalado el MSB de
respaldo.
• Verificar si heartbeat está iniciado:
[msb01]# /etc/init.d/heartbeat status
- 27 -
29. heartbeat OK [pid 320 et al] is running on msb01 [msb01]...
Evidentemente el PID puede variar de unas instalación a otra.
• Verificar los servicios virtuales levantados por heartbeat:
[msb01]# crm_mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable
console mode
============
Last updated: Mon Jul 14 13:31:16 2008
Current DC: msb02 (22222222-2222-2222-2222-222222222222)
2 Nodes configured.
1 Resources configured.
============
Node: msb01 (11111111-1111-1111-1111-111111111111): online
Node: msb02 (22222222-2222-2222-2222-222222222222): offline
Resource Group: grp_drbd
rsc_drbd (heartbeat:drbddisk): Started msb01
rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01
rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01
rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01
rsc_fw (lsb:eneo_fw): Started msb01
rsc_nfs (lsb:nfs): Started msb01
rsc_nfslock (lsb:nfslock): Started msb01
rsc_apache (lsb:httpd): Started msb01
rsc_xinetd (lsb:xinetd): Started msb01
rsc_dhcp (lsb:dhcpd): Started msb01
rsc_snmptrapd (lsb:snmptrapd): Started msb01
rsc_rb_provd (lsb:rb_provd): Started msb01
rsc_rb_stats (lsb:rb_stats): Started msb01
rsc_collectd (lsb:collectd): Started msb01
rsc_prelude-lml (lsb:prelude-lml): Started msb01
rsc_nprobe (lsb:nprobe): Started msb01
rsc_flow-capture (lsb:flow-capture): Started msb01
rsc_pgsql (heartbeat::ocf:pgsql): Started msb01
rsc_prelude-manager (lsb:prelude-manager):Started msb01
Con esto vemos que todos los servicios han sido levantados en el
msb01.
Una vez instalado el MSB01 debemos conectarnos con la ayuda de
redConsole para empezar a configurar nuestros chasis. Aunque
- 28 -
30. puede proceder con la instalación del MSB02, como se hacía en
versiones anteriores, si configura adecuadamente el MSB01
automáticamente se clonará el MSB02 formando el cluster de
MSBs.
Si el cluster está bien montado debemos obtener la siguiente
salida:
[msb01]# /etc/init.d/drbd status
drbd driver loaded OK; device status:
version: 8.0.11 (api:86/proto:86)
GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by
buildsvn@c5-i386-build, 2008-02-13 19:40:55
m:res cs st ds p mounted fstype
0:shared Connected Primary/Secondary UpToDate/UpToDate
C /opt/rb/shared ext3
Lo cual significa que ambos extremos están actualizados.
[msb01]# crm_mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable
console mode
============
Last updated: Mon Jul 14 13:31:16 2008
Current DC: msb02 (22222222-2222-2222-2222-222222222222)
2 Nodes configured.
1 Resources configured.
============
Node: msb01 (11111111-1111-1111-1111-111111111111): online
Node: msb02 (22222222-2222-2222-2222-222222222222): online
Resource Group: grp_drbd
rsc_drbd (heartbeat:drbddisk): Started msb01
rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01
rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01
rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01
rsc_fw (lsb:eneo_fw): Started msb01
rsc_nfs (lsb:nfs): Started msb01
rsc_nfslock (lsb:nfslock): Started msb01
rsc_apache (lsb:httpd): Started msb01
- 29 -
31. rsc_xinetd (lsb:xinetd): Started msb01
rsc_dhcp (lsb:dhcpd): Started msb01
rsc_snmptrapd (lsb:snmptrapd): Started msb01
rsc_rb_provd (lsb:rb_provd): Started msb01
rsc_rb_stats (lsb:rb_stats): Started msb01
rsc_collectd (lsb:collectd): Started msb01
rsc_prelude-lml (lsb:prelude-lml): Started msb01
rsc_nprobe (lsb:nprobe): Started msb01
rsc_flow-capture (lsb:flow-capture): Started msb01
rsc_pgsql (heartbeat::ocf:pgsql): Started msb01
rsc_prelude-manager (lsb:prelude-manager):Started msb01
Esta salida significa que ambos nodos están activos en el cluster.
- 30 -
32. 3 Ventana Principal
redConsole es un entorno de administración centralizado para una
red desplegada de MSBs. Desde la ventana principal controlamos
todos los sistemas de manera agrupada.
Para lanzar la aplicación pulsaremos sobre el icono creado durante
el proceso de instalación tal y como se detalla en capítulos
anteriores.
La primera vez que se ejecuta redConsole, preguntará el idioma
por defecto de la aplicación, pudiéndose cambiar posteriormente a
través del menú Herramientas.
Después se muestra la ventana principal desde donde se
configuran las carpetas (agrupaciones de MSBs) y los MSBs a
administrar.
La ventana principal se compone de tres partes claramente
diferenciadas:
• Barra de Menú.- Recoge toda las funciones asociadas a la
ventana principal.
• Barra de Herramientas.- Incluye las funciones más
comunes.
• Árbol de Terminales.- En este cuadro se incluyen todos
los terminales que se desean configurar a través de la
aplicación redConsole en forma de árbol. Para mantener de
una forma estructurada los terminales se han considerado
tres niveles de organización:
• Primer Nivel (nivel de carpeta).- Especificamos un
grupo en el cual podremos insertar terminales. De esta
manera podemos ubicar los terminales en base a
alguna característica común (cliente, provincia, tipo de
hardware, tipo de contrato).
• Segundo Nivel (nivel de terminal).- Es el nivel
donde debemos introducir los terminales. Los
- 31 -
33. terminales no pueden estar en cualquier lado sino que
deben situarse en algún grupo o carpeta.
• Tercer Nivel (nivel de módulo).- Cada uno de los
terminales dispone de una serie de módulos (Sistema,
Objetos, Blade Control, etc). Este nivel sólo aparecerá
cuando nos conectemos con algún MSB.
3.1 Creación de Terminales
Cada terminal tiene una serie de opciones en común:
• Nombre del Terminal.- Se corresponde con el nombre
que le daremos al terminal para reconocerlo fácilmente.
• Puerto.- Como ya se ha comentado, la aplicación
redConsole interactúa con el terminal a través del
protocolo seguro SSH v2. Es por tanto en este punto donde
indicamos en qué puerto escucha el servidor SSH instalado
en redBorder SE. El puerto se puede variar pero por
defecto se toma el estándar (puerto 22).
• Dominio / IP.- En este cuadro especificamos la dirección IP
donde se encuentra el terminal. La dirección puede ser una
única dirección IP o un nombre de dominio, en cuyo caso la
interfaz resolverá el nombre de dominio introducido.
Podemos crear distintos MSBs/terminales cada uno con unas
características concretas. Para añadir un elemento basta con usar
el menú “Edición/Añadir”:
• Carpeta.- Son meramente organizativas, nos permiten
agrupar cualquier tipo de terminal.
• MSB.- Terminal para configurar. Este es el terminal más
importante.
• Colector.- Los colectores recogen toda la información
referente al consumo de ancho de banda en la red y nos
muestran información útil y legible en forma de gráficos.
- 32 -
34. • Alertas.- El MSB almacena todos los eventos ocurridos en
el mismo en una base de datos. A través de este terminal
podrá visualizar dichas alertas de una forma gráfica y
sencilla.
• Espejo.- Esta es una forma especial de terminal que
permite la configuración en espejo de varios MSB del
mismo tipo.
• MSB Virtual.- Es igual que el MSB en espejo pero en este
caso se permite sobreescritura de objetos con el fin de
lograr configuraciones más complejas.
Se pueden crear tantas carpetas y MSB como sean necesarias
(siempre y cuando la licencia lo permita). Es decir, podríamos
agrupar varios MSBs en una misma carpeta para representar su
pertenencia a una misma organización, provincia, tipo de
hardware, etc.
De esta manera logramos un control centralizado a través de
redConsole de todos los MSB contratados de una forma flexible y
ordenada.
3.2 Funciones
Una vez comprendidas las partes de las que se compone la
ventana principal veremos qué funciones podemos realizar. Existen
cuatro medios de actuación:
• Barra de Menú.- Situada en la parte superior de la
ventana.
• Barra de Herramientas.- Situada justo debajo de la
barra de menú.
• Menú Popup.- Menú contextual que aparece si pulsamos
el botón derecho del ratón sobre el árbol de terminales.
• Teclas de acceso rápido.- Que permiten una interacción
rápida con algunas funciones.
- 33 -
35. Como norma general, cualquier acción a realizar en cualquier
ventana, está recogida en el menú pero, para facilitar la
interacción con el usuario, se hace uso del resto de medios de
acción. El manual se centra en explicar todas las funciones del
menú y comentar cuáles de estas funciones se han considerado
como de uso común incluyéndose así en la barra de herramientas,
menú popup o teclas de acceso rápido.
3.2.1 Menú Archivo
• Salir.- Cierra y termina la aplicación redConsole. En caso
de tener algún terminal abierto cerrará las sesiones
establecidas con todos ellos antes de salir. Como cualquier
otra aplicación de entorno de escritorio podemos
igualmente cerrar la aplicación pulsando Alt+F4 o pulsando
con el ratón sobre el botón de “Cerrar ventana”.
3.2.2 Menú Edición
Se encarga de las funciones de edición de la parte principal de la
ventana, es decir, el árbol de terminales.
• Añadir.- Podemos añadir cualquier tipo de nodo en nuestro
árbol de MSBs. Para añadir ciertos terminales, se puede
hacer uso de la barra de herramientas.
• Eliminar.- Se encarga de la eliminación de los MSB del
árbol. Es importante notar que la eliminación de un
terminal no implica nada sobre su configuración real, sino
que simplemente elimina la referencia del terminal en
redConsole sin actuar sobre la máquina en remoto.
Siempre podrá volver a añadir el terminal y acceder a su
configuración si lo requiere. Existen dos posibilidades:
• Eliminar Actual.- Eliminará el nodo que tengamos
seleccionado. En caso de seleccionar una carpeta
eliminará todos los terminales de esa carpeta. Como
en cualquier explorador de ficheros, también podemos
eliminar el nodo seleccionado mediante la tecla
'suprimir'.
- 34 -
36. • Eliminar Todos.- Eliminará todos los nodos del árbol.
Como antes, siempre pedirá conformidad puesto que el
cambio es irreversible.
3.2.3 Menú Ver
Recogemos las funciones de visualización y edición de las
propiedades de cualquier nodo del árbol.
• Propiedades.- Función que permite modificar los
parámetros de un MSB (nombre, puerto y dirección) o
cambiar el nombre de un grupo de terminales (carpeta).
Para ello tendremos, previamente, que seleccionar el nodo
en cuestión. También podemos acceder a esta función a
través de la barra de herramientas o el menú popup o
mediante la tecla de acceso rápido F2.
3.2.4 Menú Herramientas
En este menú se recogen todas la funciones avanzadas asociadas
a un terminal, por tanto deberemos de tener seleccionado un
terminal sobre el que actuar.
• Conectar.- Se procede a la conexión con el terminal
mediante el protocolo SSH con la dirección y puerto
indicado en las propiedades del terminal. Ésta es quizás la
acción mas común de todas y por ello se incluye en la
barra de menú, en el menú popup e incluso haciendo doble
clic con el ratón sobre el terminal con el que queremos
conectar.
• Cargar Configuración Salvada.- Igualmente
conectaremos con el terminal pero esta vez cargaremos
ciertos datos de una configuración almacenada localmente.
Igualmente esta acción puede ser ejecutada a través del
popup.
• Ver Configuración Salvada.- A través de redConsole
podemos guardar configuraciones de nuestros terminales y
es a través de este menú como se pueden visualizar dichas
configuraciones en modo 'offline'.
- 35 -
37. • Puntos de restauración.- Cada vez que nos conectamos
con el terminal o cambiamos la configuración del mismo se
guarda de forma local una copia de seguridad o punto de
restauración. Por defecto se guardan hasta 30 puntos de
restauración diferentes. Esto nos permite visualizar, cargar
o comparar configuraciones anteriores a la actual lo que
facilita enormemente la administración del terminal.
• Cargar configuración.- Dos tipos: de Conexión anterior y
de Transmisión anterior.
• Conexión anterior.- Cada vez que conectamos con el
terminal se hace una copia de seguridad de los datos,
que por tanto recogen la configuración antes de
cualquier modificación que pudiera realizarse durante
la nueva conexión. Sólo se hará backup de la última
conexión, de tal manera que si vuelve a conectar con
el terminal perderá la copia de seguridad antigua, ya
que será reemplazada por otra nueva.
• Transmisión anterior.- Como ya sabemos, para hacer
efectiva una configuración de un terminal, debemos
transmitir dicha configuración. Es justo antes de este
momento cuando redConsole realiza otra copia de
seguridad antes de hacer efectiva la nueva
configuración. El momento en que se realiza cada
conexión y la durabilidad de las mismas se
comprenderá mucho mejor mediante el siguiente
diagrama.
- 36 -
38. Supongamos primero que redConsole dispone de una configuración
inicial que llamaremos conf1:
Momento
Configuración almacenada
redConsole
(activa)
Última
Conexión
Última
Transmisión
Inicio de la Aplicación conf1 - -
Conexión al Terminal conf1 conf1 -
Modificación de datos conf1 conf1 -
Transmisión de datos conf2 conf1 conf1
Modificación de datos conf2 conf1 conf1
Transmisión de datos conf3 conf1 conf2
Desconexión conf3 conf1 conf2
Podemos observar que las copias de seguridad sólo se efectúan en
la conexión y en la transmisión pudiendo recuperar datos
anteriores en caso de que lo deseemos. Como ya veremos también
es posible guardar la configuración en cualquier momento de
forma local y recuperarla a través del menú “Herramientas/Cargar
configuración local”.
• Licencia.- Este menú recoge las funciones básicas
relativas a la licencia del terminal:
• Importar Licencia.- Importa una licencia para el
terminal seleccionado a partir de un fichero.
- 37 -
39. • Ver licencia.- Muestra el tipo de licencia instalada en
el terminal.
• Obtener parámetros de la licencia.- Cuando no se
dispone de una licencia para el terminal seleccionado
debemos obtener una determinada información del
mismo con el fin de que se pueda generar una licencia.
Esta función muestra los parámetros necesarios para la
generación de una licencia válida para dicho terminal.
• Actualizar el terminal.- Actualiza el o los terminales
seleccionados.
• Reiniciar equipo.- Reiniciará el o los terminales
seleccionados.
• Cambiar contraseña.- Para configurar un terminal es
necesario conocer su contraseña. Mediante este menú
podemos cambiar la contraseña del terminal. Nota: la
contraseña por defecto es “marte”.
• Cambiar el Idioma.- Para cambiar el idioma de la
aplicación.
• SSH.- Menú asociado al protocolo de comunicación SSH:
• Terminal SSH.- Abre una ventana que nos permitirá
conectarnos por SSH con cualquier terminal. En caso
de tener un terminal seleccionado intentará conectar
con el mismo.
• Importar clave RSA.- Existen dos modos de
autenticación con el terminal mediante SSH: password
y clave RSA. Esta opción nos permite importar una
clave RSA del terminal con el que conectar. Nota: el
primer modo probado es siempre mediante clave RSA.
• Exportar clave RSA.- Permite copiar la clave RSA del
terminal seleccionado para copiarla en otro destino.
• Limpiar firmas RSA conocidas.- Cada vez que
redConsole abre una conexión con un terminal guarda
una firma digital única que identifica a dicho terminal.
- 38 -
40. Esto nos permite evitar ataques de suplantación de IP.
Mediante esta función eliminamos todas las firmas de
todos los terminales conocidos.
• Editor de claves RSA conocidos.- Esta opción nos
permite la edición individual de cada una de las llaves
RSA.
• Incluir imagen en los informes en PDF.- Selección de la
imagen a incluir en la creación de informes PDF.
• Borrar imagen de los informes PDF.- Elimina la
imagen almacenada para la creación de informes PDF.
• Configurar Proxy HTTP.- Es posible que para que
redConsole pueda conectarse con internet necesite de la
utilización de un proxy. Mediante esta opción podemos
indicar la ip del proxy, nombre de usuario y contraseña si
fuera necesario. redConsole se conecta al exterior por web
para dos funciones:
• Actualizar redConsole.
• Mostrar las noticias RSS de la aplicación.
• Noticias RSS antiguas.- Muestra las noticias RSS
antiguas o ya leídas de redConsole.
• Tips.- Muestra el clásico diálogo de sugerencias de la
aplicación.
3.2.5 Menú Ayuda
Existen tres funciones:
• Actualizar redConsole.- Permite la actualización de la
aplicación. Para ello es necesario disponer de un usuario y
contraseña. Póngase en contacto con su proveedor si no
dispone de unos valores válidos.
• Contenidos.- Abre el navegador mostrando el manual de
redConsole en PDF.
- 39 -
41. • Acerca de .- Típico menú de ayuda en el que encontrará
información de la versión y la empresa desarrolladora de la
aplicación.
3.3 Noticias
redConsole tiene un sistema de noticias integrado (usando
tecnología RSS) que aparece en la parte inferior de la ventana en
forma de líneas anaranjadas. Hay tres tipos de noticias
diferenciables por su respectivo icono:
• Noticias normales
• Actualizaciones
• Seguridad
Puede necesitar configurar el proxy en el menú “Herramientas”
para poder conectarse al servidor de noticias.
- 40 -
42. 4 Ventana de Terminal
Nuestro objetivo es la configuración y gestión de un terminal de
forma remota. Para ello debemos conectar con cualquiera de los
terminales que dispongamos en la ventana principal obteniendo
así la ventana de terminal. Dicha ventana no es más que un reflejo
de la base de datos asociada al terminal conectado, presentándose
de una forma más cómoda y fácil de manejar.
Las comunicaciones llevadas a cabo con el terminal se realizan
mediante el protocolo de comunicaciones seguro SSH v2. La sesión
es iniciada en el momento de conexión con el terminal y no
termina hasta que no se cierra la ventana de terminal. Mientras se
disponga la ventana de terminal abierta existirá un medio de
comunicación establecido entre la aplicación y dicho terminal.
Para hacer notar cuándo la sesión SSH está abierta o mostrar qué
terminales tiene conectados, en el icono del terminal se mostrará
encendido un led verde simulando la conexión. En el caso de que
intentemos conectar con el terminal nuevamente, simplemente
mostrará la ventana de terminal asociada a la conexión anterior. Si
quisiéramos realmente volver a conectar deberíamos primero
desconectar del terminal, cerrando la ventana de terminal, para así
poder conectar nuevamente.
En esta ventana se configuran los módulos correspondientes a
cada terminal, los módulos serán tratados independientemente en
apartados posteriores. No es objetivo de este capítulo explicar
ahora cada uno de ellos sino explicar las características comunes.
4.1 Manejo
Para mostrar la configuración de cada uno de los módulos
debemos previamente seleccionar dicho módulo. Se puede realizar
a través de:
• Menú Módulo de la Barra de menú del Terminal.
• Haciendo click sobre los iconos de los diferentes módulos
en la Ventana principal.
- 41 -
43. Sólo se mostrarán los módulos que tenga instalado del terminal o
permita la licencia instalada en el mismo. La detección de qué
módulos tiene activados cada terminal se realiza en el periodo de
conexión, por lo que es posible disponer de varios terminales
contratados teniendo cada uno distintas funcionalidades. La
aplicación mostrará y configurará aquello que tenga contratado
cada terminal.
Cuando conectamos con varios terminales dispondremos de
ventanas y conexiones independientes entre todas ellas. Para
detectar con qué terminal está asociado una de las ventanas de
terminales disponible se muestra en la parte superior de la misma
la información del terminal conectado con el siguiente formato:
nombre – dirección - puerto ( grupo ) “Módulo
Activo”
De esta forma logramos un sistema de configuración centralizado
con el que podemos configurar y gestionar cualquier terminal
independientemente de su localización, estructura o
funcionalidades contratadas.
En este apartado veremos qué podemos realizar a través de la
Ventana de Terminal. Todas estas características son comunes a
todos los módulos activos en el terminal.
4.1.1 Menú Archivo
• Guardar Configuración.- Esta función tomará la
configuración de todos los módulos y la guardará en un
fichero especial. Previamente se verificará que la
configuración que se pretende guardar es coherente y no
tiene errores. Una vez verificados los módulos se
preguntará al usuario dónde desea guardar la
configuración. Los ficheros de configuración de redConsole
tendrán la extensión ".mgc" que será añadida
automáticamente en caso de no especificarla. Para volver a
una configuración salvada deberá de elegir la opción de
“Cargar configuración Local” en el Menú Herramientas de
la ventana principal seleccionando una de las
configuraciones salvadas previamente.
- 42 -
44. • Guardar Informe HTML.- Crea y guarda un informe
general (con los módulos que se hubieran indicado en la
opción "Propiedades del informe") en formato HTML.
• Guardar Informe PDF.- Similar al anterior, pero en un
documento PDF.
• Guardar Pantalla PDF.- Crea un informe PDF que se
presenta en la pantalla actual.
• Propiedades del informe.- Permite seleccionar los
módulos de los que se realizarán los informes.
• Salir.- Cerrará la Ventana de Terminal finalizando con la
sesión SSH que tenía abierta.
4.1.2 Menú Módulo
A través de este menú podemos cambiar de un módulo a otro para
mostrar su configuración. Sólo se mostrarán los módulos que tiene
activos en el terminal.
4.1.3 Menú Transmitir
Este función se encarga de la transmisión de la configuración
presente en la Ventana de Terminal al terminal conectado. Al igual
que en el caso de Guardar Configuración en el menú Archivo, antes
se realizará una comprobación de los datos detectando posibles
errores. Una vez transmitida la configuración se reiniciarán los
servicios implicados de forma automática y transparente al
usuario.
Para mantener una consistencia en los datos, en determinadas
circunstancias es necesario transmitir todos los módulos o,
excepcionalmente, reiniciar la máquina. En estos casos, antes de
realizar cualquier transmisión, se le preguntará al usuario si desea
continuar.
Todas las funciones de este menú están asociadas a la transmisión
de la configuración al otro extremo pero de diferentes maneras:
- 43 -
45. • Transmitir Actual.- Transmite el módulo que tenga
seleccionado en la Ventana de Terminal. El módulo Objetos
siempre se transmitirá puesto que es un elemento base.
• Transmitir Todos.- Transmite todos los módulos activos
en el terminal.
• Selección.- Transmitirá sólo aquellos módulos que tenga
seleccionados. Seleccionando este menú se abre un
desplegable en el que se muestran todos los módulos
activos mediante un selector. Se transmitirán todos
aquellos módulos que tengan dicho selector habilitado una
vez pulsando el “Transmitir” del desplegable del menú
“Selección”. Como puede observar el menú de Objetos
siempre esta seleccionado y no se puede modificar.
En caso de existir algún cliente conectado previamente, las
opciones anteriores no aparecerán habilitadas en el menú
Transmitir. Será necesario marcar primero la opción “Desbloquear”
para poder acceder a ellas. Esto se utiliza como mecanismo de
seguridad, para avisarnos de la existencia de otros clientes
conectados.
4.1.4 Menú Herramientas
• Reiniciar equipo.- Reinicia el terminal de forma remota.
Evidentemente perderá la sesión SSH, luego tendrá que
volver a conectar con el terminal si desea realizar más
cambios.
• Apagar equipo.- Apaga el terminal de forma remota.
• Comprobar estado.- Comprueba el estado del módulo
que se indique. En algunos casos da información que
puede ser útil para la monitorización del servicio.
• Ver modificaciones en la base de datos.- Muestra las
modificaciones de la base de datos desde el momento de
la conexión o desde la última transmisión (si es que se
hizo)
- 44 -
46. • Buscar.- Función que nos permite buscar un texto dentro
de redConsole en todos los módulos asociados al terminal.
Se muestra un diálogo en el que nos permite seleccionar
los módulos en los que se realizarán la operaciones de
búsqueda. Mediante la tecla de acceso rápido Ctrl+F
podemos acceder a esta función.
• Tips.- Muestra sugerencias acerca de redConsole pero en
este caso asociados al terminal conectado.
4.1.5 Menú Asociado al Módulo Activo
Este menú sólo esta disponible para ciertos módulos que lo
requieran. Recoge funciones asociadas al módulo en cuestión y por
ello serán tratadas en apartados posteriores.
- 45 -
47. 5 Módulos principales
Los módulos principales son los incluidos en un terminal estándar,
aunque no siempre todos están activos ya que éstos dependen
tanto del hardware como de la licencia que se esté usando.
5.1 Sistema
El módulo de Sistema recoge toda la parte de configuración de la
máquina en sí. Constituye, junto con el módulo de Objetos, uno de
los módulos base del cual dependen el resto de módulos.
Debemos tener en cuenta que una modificación inadecuada en
este módulo podría suponer la pérdida de contacto con la máquina,
de ahí su importancia. Es por esta razón por la que debe prestar
especial cuidado a la hora de modificar ciertos parámetros.
El módulo de Sistema se divide en 5 partes:
• Resúmen.- Muestra un resúmen del estado del MSB
conectado.
• Sistema.- Parámetros básicos de sistema.
• SSH.- Configuración del servidor SSH del terminal usado
por redConsole para comunicarse con el MSB.
• Logs.- Visor de logs del MSB conectado.
• Estado.- Creación de informes básicos en HTML del estado
de la máquina.
5.1.1 Resúmen
Esta pantalla muestra un resúmen del estado del MSB conectado.
A modo de ejemplo tenemos:
- 46 -
48. Se divide en tres partes claramente diferenciadas:
• Estado del chasis.- Estado de los blades del chasis
controlado por el MSB.
• Estado del MSB.- Estado de la CPU y carga del MSB
conectado.
• Tabla de propiedades.- En esta tabla se recogen los
siguientes campos:
• Nombre del terminal.
• Usuarios conectados.
• Tiempo local del MSB.
• Uptime. Tiempo que lleva encendida la máquina y
la carga de la misma en modo texto.
• Versión del software de redBorder instalada en el
MSB.
• Validez de la licencia instalada en el MSB.
- 47 -
49. • Número de MSBs que forman el cluster.
• Estado de la partición DRBD del cluster.
5.1.2 Sistema
Este apartado se encarga de los siguientes parámetros:
• Nombre del Sistema.- Nombre interno del MSB.
• Fecha actual del Sistema.
• Hora de conexión.- Hora de conexión con el MSB.
• E-Mail del Administrador.- Se especifica el correo del
administrador al que se le enviarán alertas si es necesario.
• E-Mail de respuesta.- Se especifica el correo origen con
el que se enviarán los mensajes. Cuando el administrador
reciba una notificación via email conocerá el MSB al que
hace referencia gracias a este campo.
• Servidor SMTP (relay).- Servidor SMTP usado para
enviar cualquier correo de administración.
• Puerto.- Puerto de escucha del servidor SMTP
• Requiere autenticación.- Esta opción debe estar
marcada sólo si el servidor SMTP configurado requiere
autenticación.
• Usuario.- Nombre de usuario usado para la autenticación
con el servidor SMTP.
• Contraseña.- Contraseña utilizada para la autenticación
con el servidor SMTP.
- 48 -
50. 5.1.3 SSH
El servidor SSH es una de las bases del sistema de configuración.
Todas las comunicaciones que se efectúan entre redConsole y el
MSB se hacen a través del protocolo de comunicaciones seguro
SSHv2.
Una modificación inadecuada del servidor SSH podría suponer la
pérdida de la conexión con el terminal para futuras sesiones.
- 49 -
51. Los parámetros configurables son:
• Puerto de escucha.- Es el puerto donde escuchará el
servidor SSH. Por defecto será el puerto 22. Al tratarse de
un puerto (servicio) se mostrará, como es lógico, la lista de
objetos servicio que tenga definido.
• Habilitar acceso por contraseña.- Si esta marcado, se
permitirá el acceso por contraseña y por clave RSA. En
caso de estar desmarcado sólo se permitirá el acceso por
clave RSA.
Aunque redBorder SE puede ser configurado desde cualquier
equipo de la red, es recomendable que el servidor SSH sólo
escuche en la interfaz de gestión y cortarlo para otras interfaces.
Este es el modo más seguro puesto que evita posible conexiones
SSH desde el exterior. Para ello, deberá realizar las acciones
adecuadas en el módulo de Cortafuegos.
Debemos tener en cuenta también el puerto de escucha del
servidor SSH. La modificación del puerto implicará una
modificación en las propiedades del terminal para conexiones
futuras.
Para reforzar la seguridad, es posible usar claves RSA/DSA para la
autenticación. Lo más seguro es crear claves RSA/DSA únicas para
cada administrador en caso de ser varios los administradores del
equipo, y desactivar el acceso por contraseña.
El servidor SSH también puede ser usado para una administración
a bajo nivel sólo disponible para usuarios avanzados.
5.1.4 Logs
Si los logs generados se guardan en el mismo equipo podemos
visualizarlos desde este panel. Para ello, debemos seleccionar
previamente el fichero de logs que deseamos visualizar. Tenemos
dos posibilidades:
• Analizar Log.- Muestra en el cuadro de texto inferior las
últimas líneas del fichero de logs.
- 50 -
52. • Guardar Log.- Descarga el fichero completo para
guardarlo en la máquina donde se ejecuta redConsole y lo
muestra en el cuadro de texto para su visualización.
Podemos usar esta opción para visualizar partes del fichero
más antiguas o para hacer una copia de seguridad del
mismo.
5.1.5 Estado
Esta pestaña permite crear un pequeño informe en HTML de varios
aspectos relacionados con el sistema.
- 51 -
53. Se puede elegir entre distintos temas:
• Información General.- Muestra información como la
fecha del sistema, el tiempo que lleva encendido y el
número de usuarios conectados.
• Información de Sistema.- Muestra el número de
procesos y el porcentaje de ocupación de la CPU.
• Información de Memoria.- Muestra información sobre la
memoria RAM, la memoria de intercambio y las particiones
que se encuentren en el sistema.
• Información de Red.- Muestra el número de reglas
iptables, las conexiones TCP y UDP y la tabla de rutas
estáticas así como las interfaces.
- 52 -
54. 5.2 Objetos
El módulo de Objetos es una de las bases de redConsole puesto
que de él dependen el resto de módulos. Cuando un administrador
quiere configurar un dispositivo avanzado necesita gestionar
múltiples direcciones de red, subredes, puertos de servicios,
protocolos... Muchos de estos datos son comunes a varios o a
todos los servicios.
Por ejemplo, si el sistema de red que pretende configurar el
administrador contiene una subred correspondiente a la red local
(ej. 192.168.100.0/24) tendrá que utilizar dicha subred en todos los
servicios que dependan de la misma (ej. Cortafuegos). El
mantenimiento de dicha subred de forma manual sería complicado
y tedioso si consideramos una dependencia múltiple del mismo.
Cualquier modificación de dicha subred implicaría una modificación
de todos los ficheros de configuración de los que depende lo cual
puede resultar complicado y en ciertos casos prácticamente
inviable.
Esta es la razón principal por la que existe el módulo de Objetos.
En un único punto de la aplicación se definen esas subredes,
direcciones IP, puertos y mensajes ICMP, que de forma genérica se
tratarán como objetos por el resto de componentes. Los otros
módulos utilizarán dichos objetos como si de una base de datos se
tratara, y de esta manera cualquier modificación en el valor
almacenado en el objeto de la red local sólo implicaría la
modificación del objeto de red en el módulo de Objetos, no siendo
necesaria la alteración en el resto de módulos que lo utilicen.
Con todo esto, se puede observar la importancia de dicho módulo
para el resto de módulos. Siempre debe de haber una coherencia
entre los datos de este módulo y el resto, y por ello siempre se
transmite al terminal al hacer cualquier cambio en la
configuración.
Cada uno de estos objetos definidos en este módulo tendrá un
nombre para hacer referencia a los mismos en cualquier otro
módulo. Este nombre es totalmente configurable por el usuario
según sus necesidades.
- 53 -
55. ¿Qué objetos podemos usar? Todo aquello que sea susceptible de
ser usado en cualquier otro módulo, se considerará un objeto. Para
esta versión se han considerado los siguientes objetos:
• Elementos de red.- Se corresponde con cualquier
dirección de red, ya sea una dirección IP simple (ej.
192.168.100.1), una dirección de subred
(192.168.100.0/24) o una lista de ambas. También es
posible utilizar un nombre de máquina para que la interfaz
realice una consulta DNS y escriba por nosotros el valor de
su IP. Es importante resaltar que NO se almacena el
nombre de la máquina, sólo su dirección IP.
• Servicios.- Para identificar un servicio IP debemos indicar
el número de puerto que utiliza. Por ejemplo, el puerto por
defecto del servicio SSH es el 22. De fábrica se especifican
la gran mayoría de puertos de los principales servicios,
pero puede necesitar crear objetos nuevos. También
podemos especificar rangos de puertos para aquellos
servicios que los usen.
- 54 -
56. • Protocolos.- Existen multitud de protocolos de red que
pueden ser usados, por ejemplo TCP y UDP. Este objeto
hará referencia al identificador de cada protocolo.
• Mensajes ICMP.- En el protocolo ICMP existen multitud de
tipos de mensajes, por ejemplo, el mensaje de “echo” y
“echo reply” (ping). Este tipo de objetos guardará el
identificador del mensaje ICMP.
• MAC.- Lista de direcciones MAC que queremos controlar de
manera personalizada.
- 55 -
57. • Marcas.- índices usados en los módulos de tráfico y
cortafuegos.
• Grupos.- Aquí se pueden definir grupos que engloben a
distintos objetos.
Independientemente de la naturaleza del objeto redConsole, cada
uno dispone de un nombre al que haremos referencia cuando
queramos usarlo. Evidentemente, en función del tipo de objeto que
sea, podremos usarlo en un lugar u otro. Para ello se hará uso de
desplegables en los que se muestren todos los objetos del tipo en
cuestión.
En todos los cuadros donde se requiera de un objeto, se mostrarán
de forma automática sólo los que tengan sentido según el
contexto.
Debido a su importancia en el resto de módulos existen ciertas
limitaciones:
• Un objeto no se podrá eliminar cuando esté en uso. Sólo
cuando se libere al objeto de dichos usos, podrá ser
eliminado.
• La modificación de un objeto que esté en uso implicará la
transmisión de todos los módulos.
Con todo esto, el módulo Objetos se divide en varias partes
(pestañas), que se corresponden con los tipos de objetos que se
pueden crear.
El uso de este tipo de tabla es común al resto de la aplicación. Es
por esta razón por la que se explicará la funcionalidad de esta
tabla para luego detallar los aspectos particulares de cada tabla en
otros módulos.
- 56 -
58. 5.2.1 Tabla Principal
La tabla principal se compone de “barra de herramientas” y “tabla
de datos”.
5.2.1.1 Barra de Herramientas
En la parte superior se dispone de una barra de herramientas con
las funciones principales:
• Añadir.- Añadirá una fila al final de la tabla.
• Insertar.- Insertará una fila encima de la fila seleccionada.
En caso de no tener seleccionada ninguna fila la insertará
al principio.
• Editar.- Tomará la fila seleccionada para su edición.
También se edita haciendo doble clic con el ratón sobre la
fila seleccionada.
• Eliminar.- Se eliminarán aquellas filas seleccionadas
solicitando, por seguridad, una confirmación del usuario.
En caso de que exista un error y ciertas filas no hayan
podido ser eliminadas se mostrará mediante un diálogo de
error. Para eliminar una fila puede hacer uso de la tecla
Suprimir del teclado.
• Subir.- Subirá la fila seleccionada una posición hacia
arriba. Existen diferentes tablas en las que la posición de
las filas es importante, luego esta función nos podría valer
para organizar la tabla según nuestras necesidades. Existe
un acceso directo a esta función mediante la combinación
Alt+Up (flecha hacia arriba del cursor). Como ya veremos
esta combinación se puede usar en otros sitios en los que
tenga sentido subir o bajar (por ejemplo en el árbol del
QoS).
• Bajar.- Al igual que podemos subir una fila mediante esta
función bajaremos la fila de posición. Igualmente podemos
hacer uso del acceso directo Alt+Down (flecha hacia abajo
del cursor).
- 57 -
59. 5.2.1.2 Tabla de Datos
Es el lugar donde se mostrará la información contenida en la tabla
ordenada por columnas y filas. Para facilitar la visualización de la
tabla se alterna, entre dos colores, el color de las distintas filas.
Como cualquier otra tabla dispone de dos partes: cabecera (donde
se muestra una información resumida del contenido) y cuerpo
(donde se presentan los datos).
Existen ciertas tablas que son sensibles a ser organizadas por
orden alfabético a nivel de columna. Tipos de ordenaciones:
• Definida por el usuario.- El usuario define su propia
ordenación según sus necesidades pudiendo subir o bajar
las filas con las funciones que vimos anteriormente.
• Ordenación ascendente.- Si hacemos clic con el ratón
sobre la columna de la tabla que queremos ordenar
modificará, de forma automática, el orden para que sea
ascendente. Podemos ver que se está aplicando este tipo
de ordenación observando la forma de la cabecera de la
columna ya que aparece con un triángulo justo al lado del
nombre indicando el orden ascendente.
• Ordenación descendente.- En caso en el que estemos
en orden ascendente y hagamos clic nuevamente sobre la
misma columna, el triángulo que aparecerá será un
triángulo invertido, denotando el orden descendente de la
misma.
El orden por defecto es el primero, en el que no se muestra ningún
triángulo en la cabecera. Como ya sabemos, para pasar de un
estado a otro basta con hacer clic sobre la cabecera en cuestión
formando un ciclo. Pasamos de orden definido por el usuario a
orden ascendente, y haciendo clic, de orden ascendente a
descendente, y si hacemos clic nuevamente, de orden
descendente al definido por el usuario, repitiendo así el ciclo.
Podemos incluso ordenar más de una columna a la vez
manteniendo pulsada la tecla ”Ctrl” mientras hacemos clic sobre
las cabeceras de las columnas que queramos ordenar.
- 58 -
60. Un uso común para la ordenación puede ser la de buscar una fila
determinada. La ordenación alfabética o numérica según el caso,
puede simplificar las tareas de búsqueda en tablas extensas. Para
tal fin, también puede hacerse uso de las teclas de acceso rápido.
Cuando se tenga seleccionada una celda (fila+columna), pulsando
cualquier tecla imprimible del teclado buscará la siguiente fila que
comience por dicha letra en la columna seleccionada. Para
sucesivas búsquedas basta con pulsar la tecla F3.
Relativo a la ordenación, en el caso en que tenga la tabla
ordenada, ya sea de forma ascendente o descendente, si sube o
baja una fila de posición, lo hará de manera relativa al orden
definido por el usuario.
También, en el caso de que la tabla esté ordenada, e inserte o
añada una fila, como parece lógico, la fila se colocará en el lugar
que le corresponda según la ordenación seleccionada.
Para facilitar la adición o edición de filas a la tabla se dispone de
un diálogo asociado a la misma. Este diálogo es diferente en
función de para qué se utilice en la tabla ya que aun teniendo
todas la tablas de este tipo una estructura similar, los datos que
contienen pueden ser totalmente diferentes. A medida que veamos
cada uno de los módulos en los que nos encontremos con tablas de
este tipo, se irán viendo las limitaciones de cada diálogo según
corresponda.
Puede crear puntos de retorno en las tablas
mediante la combinación de teclas Ctrl+F2. Para
volver a dicho punto de retorno basta con pulsar la
tecla de acceso rápido F2.
Existen ciertas filas que son consideradas como de
sistema que no pueden ser eliminadas o editadas
(al menos en parte). Estas filas sirven para mantener
una coherencia de los datos y las aplicaciones.
- 59 -
61. 5.2.2 Elementos de red
La multitud de direcciones IP y subredes a utilizar hace necesario
definirlos como un objeto de red. Éste es quizás, el objeto más
usado en el resto de módulos debido a su importancia. Estos
objetos de red almacenarán bajo un mismo nombre varios tipos de
datos:
• Dirección IP.- Dirección de un equipo. Ej: 192.168.100.2
• Subred.- Dirección de una subred. Ej: 192.168.100.0/24
• Múltiples direcciones IP o Subredes.- Usados para
definir entornos más complejos según la necesidad del
administrador. Ej: 192.168.100.0/24,192.168.100.2
En este panel se especifican todos los objetos de red para el
terminal conectado. Por defecto aparecen dos objetos de red que
son:
• internet.- Se corresponde con la subred global 0.0.0.0/0
• localhost.- Se corresponde a la dirección reflexiva
127.0.0.1, es decir hace referencia a la propia máquina.
Para insertar o editar objetos de red hacemos uso de las funciones
de la tabla principal que vimos previamente. El diálogo es como
sigue:
Debemos indicar:
• Nombre.- Nombre único entre objetos de red, que será
usado para hacer referencia al objeto.
• Subred.- Tabla en la que se indican tantas direcciones IP o
de subred como sean necesarias.
Para añadir una dirección a la lista basta con introducir la dirección
en el cuadro que se indica y pulsar “Añadir” incluyéndose al final
de la lista.
Podemos añadir:
- 60 -
62. • Dirección IP.- Una dirección IP simple en el formato
habitual. Ej: 192.168.100.2.
• Dirección de Subred.- Una dirección de red con el
formato IP/Máscara. Ej: 192.168.100.0/24. Es posible que
no especifique una dirección de subred correcta, por
ejemplo: 192.168.100.200/25 en cuyo caso se calculará, de
forma automática, la dirección de red correcta con esa
máscara (192.168.100.128/25).
• Dominio.- Puede especificar cualquier nombre de dominio
de tal manera que redConsole resolverá la IP(s) que le
corresponda. redConsole debe ser capaz de resolverlo de
forma local o haciendo la petición a la red si lo requiere. En
caso de que no pueda resolver el nombre de dominio dará
un mensaje de error. Es importante notar que una vez
resuelta la IP, el valor que se usará será siempre el de la
dirección IP resuelta y nunca el del dominio. Esto es así ya
que el resto de módulos no trabajan con nombres de
dominio sino con direcciones IP.
El uso de los objetos de red con direcciones de subred o con
múltiples direcciones IP está limitado. Existen ciertos puntos en los
que se espera una dirección de red simple como puede ser la
dirección de escucha del proxy. No tendría sentido que un servicio
escuche en una dirección de subred o en múltiples direcciones IP.
¿Qué pasaría si un objeto de red que tuviera una
dirección IP simple pasara a una dirección de
subred? En todos aquellos puntos en los que
aparezca dicho objeto y se esperara una dirección
de red simple contendría datos erróneos. Es por esta
razón por la que, para mantener un sistema más
simple y estable, se limita justamente la acción
errónea. Es decir, en el caso en el que un objeto de
red con una IP (objeto de red simple) esté siendo
usado, no se podrá pasar a dirección de subred o
dirección de red múltiple (objeto de red complejo).
- 61 -
63. 5.2.3 Servicios
Cualquier servicio de red queda definido por dos parámetros:
dirección IP de acceso y puerto de escucha del servidor. La
dirección de acceso se incluye en los objetos de red y el puerto en
los objetos de servicio.
Existen en la actualidad multitud de servicios. En la configuración
de fábrica se definen los puertos por defecto de los servicios
típicos de Internet. Estos objetos se consideran objetos de sistema
y por ello no se podrán eliminar o editar. También es posible definir
nuevos servicios sin más que indicar el número de puerto al que
hace referencia.
Existen servicios más complejos que no usan un puerto simple sino
un rango de puertos. Se pueden igualmente definir rangos de
puertos para ser usados en los objetos de red. Los rangos quedan
definidos mediante el siguiente formato (ambos puertos inclusive):
puerto_inicial:puerto_final
Como cualquier otro objeto se debe especificar un nombre para
poder usarlo en el resto de módulos. Igualmente se recomienda el
uso de un nombre acorde al servicio que se pretende definir para
facilitar su interpretación. Una vez definido el objeto podemos
usarlo en el resto de módulos sin más que seleccionar el servicio
apropiado según nuestras necesidades.
Como ocurre con los objetos de red el uso de los objetos de
servicio está limitado. Existen ciertos puntos en los que no es
posible usar objetos definidos como un rango de puertos. Por
ejemplo, el puerto de escucha del servidor SSH no tiene sentido
que sea un rango de puertos. Al igual que ocurría en el caso
anterior la aplicación redConsole sólo mostrará los objetos que
tengan sentido según el lugar donde lo utilice, por tanto el
administrador no se tendrá que preocupar de si puede o no usar un
objeto en un determinado lugar.
- 62 -
64. Por la misma razón que en los objetos de red, una vez definido un
objeto de servicio de tipo simple (un solo puerto) que esté siendo
usado no podrá cambiarlo a objeto de servicio complejo (con rango
de puertos).
5.2.4 Protocolos
En Internet existen multitud de protocolos siendo quizás los más
usados los protocolos TCP, UDP e ICMP. Todos los protocolos
disponen de un identificador de protocolos estándar siendo, por
ejemplo, 6 para el protocolo TCP, 17 para UDP y 1 para ICMP.
En la configuración de fábrica se definen todos los identificadores
estándar de protocolos aunque existe la posibilidad de añadir
nuevos protocolos introduciendo su identificador.
5.2.5 ICMP
Para el protocolo ICMP existen multitud de tipos de mensajes. Cada
uno de ellos dispone de un identificador único que le diferencia del
resto. El objeto ICMP guardará el identificador del mensaje ICMP.
De esta manera no tendremos que recordar el valor numérico
asociado al mensaje ICMP sino un nombre que indica el tipo de
mensaje.
Al igual que en el resto de objetos, se definen una serie de objetos
ICMP por defecto en la configuración de fábrica con los mensajes
ICMP más importantes. Estos objetos son considerados de sistema
y no se podrán eliminar o editar.
5.2.6 MAC
Permite definir objetos asociados a direcciones MAC para así poder
controlarlas de manera personalizada.
5.2.7 Grupos
Sirve para definir agrupaciones de distintos objetos.
- 63 -
65. 5.3 Cortafuegos
Este módulo está incluido en el sistema base y es el encargado de
controlar todas las comunicaciones que atraviesan el MSB.
La interfaz gráfica debe separar la red, al menos, en dos partes:
una parte confiable (red interna) y otra parte no confiable (red
externa). Es deber del administrador decidir qué partes de la red
son confiables y qué partes no, y realizar las conexiones físicas
adecuadas con la máquina.
El cortafuegos, al controlar las comunicaciones en las que
interviene la interfaz redConsole, puede suponer un punto
peligroso para el sistema de configuración. En caso de no definir
correctamente las reglas podría provocar que redConsole no
pudiera comunicarse con el equipo. Es por esta razón por la que
este módulo debe ser tratado cuidadosamente.
Por defecto, en la configuración de fábrica, se permiten todas las
comunicaciones. Es tarea “PRIORITARIA” del administrador ajustar
la configuración a sus necesidades para mantener una seguridad
adecuada de su red.
El módulo de Cortafuegos se divide en 4 partes claramente
diferenciadas por pestañas:
• Configuración.- Panel general de configuración del
cortafuegos.
• Reglas de Filtrado.- Definición del árbol de reglas del
cortafuegos.
• Lista Blanca.- Conjunto de direcciones IP, redes o
servicios que serán siempre aceptados por el cortafuegos.
• Lista Negra.- Conjunto de direcciones IP, redes o servicios
que serán siempre denegados por el cortafuegos.
La mayoría de estos paneles tienen una estructura muy similar a la
de los paneles del módulo Objetos.
- 64 -
66. Antes de proceder a la explicación detallada de cada una de las
partes del cortafuegos es necesario disponer de una serie de
conocimientos básicos:
• Cortafuegos con control de estado.- El cortafuegos
realiza un control de todas las conexiones que lo
atraviesan. Cuando se inicia una comunicación que
controla el cortafuegos se recorren las reglas del mismo
hasta que una haga coincidencia. En caso de cumplirse, se
realizará la acción indicada en la regla. Si el paquete es
aceptado se guarda su estado en una tabla conocida como
“Tabla de control de estado del cortafuegos”. Cuando el
paquete llega a su destino y éste responde, la conexión de
la tabla anterior se pasa a estado asegurado.
Subsiguientes paquetes no tienen que atravesar de nuevo
todo el árbol de reglas del cortafuegos sino que existe una
primera regla que dice algo así: “si la conexión ya está
asegurada en la tabla de control de estado el paquete se
acepta directamente”. Esto tiene dos implicaciones:
• Mejora de rendimiento.- La gran mayoría de
paquetes hacen coincidencia en la primera regla del
cortafuegos por tanto se mejora enormemente la
eficiencia del mismo.
• No es necesario reescribir el camino de vuelta.-
Las reglas del cortafuegos se deben escribir pensando
en quién origina la comunicación ya que las respuestas
quedan implícitas.
• Iptables.- Es el nombre de la herramienta de espacio de
usuario mediante la cual el administrador puede definir
políticas de filtrado del tráfico que circula por la red.
El cortafuegos está basado en netfilter (subsistema
de cortafuegos) e iptables (herramienta de
configuración del espacio de usuario).
- 65 -
67. 5.3.1 Configuración
El panel de Configuración es el encargado de todos los aspectos
generales del cortafuegos. De su configuración dependerán el
resto de paneles del mismo:
• Activar/Desactivar.- Podrá activar o desactivar el
cortafuegos activando o desactivando dicha casilla. En
caso de estar desactivado, el cortafuegos dejará pasar
todo el tráfico.
• Listas Blancas/Negras antes del control de estado.-
Los usuarios, redes o servicios que estén incluidos en la
lista negra serán rechazados al igual que los usuarios que
estén en la lista blanca serán siempre aceptados. ¿Dónde
se ponen dichas reglas?, ¿antes o después del control de
estado?.
• Después del control de estado.- Si un usuario es
incluido en la lista negra pero el usuario ya inició
sesión antes de dicha acción todos sus paquetes (los
de las conexiones que permanezcan abiertas) no
atravesarán las reglas del cortafuegos sino que serán
inmediatamente aceptados en la primera regla de
control de estado.
• Antes.- Si se ponen antes, todas las comunicaciones
atravesarán dichas reglas antes de llegar a la regla del
control de estado. Por tanto si un usuario es incluido en
la lista negra será denegado en todo caso. Por contra
empeoramos la eficiencia del cortafuegos ya que los
paquetes tienen que atravesar más reglas de media.
• Política por defecto.- En caso de no hacer coincidencia
con ninguna regla en el cortafuegos, se aplicará esta
política. Existen dos posibles valores:
• ACCEPT.- El paquete es aceptado.
• DROP.- El paquete se desecha silenciosamente y por
tanto no llega a su destino (no se envía una respuesta
negativa al emisor).
- 66 -
68. Por defecto toma el valor ACCEPT pero debe cambiarlo una
vez haya definido correctamente el cortafuegos. La política de
seguridad más adecuada es: “Todo se rechaza excepto lo que yo
acepto”.
• Tasa máxima de generación de Logs.- En caso de que
una regla haga coincidencia y tenga indicado hacer log,
escribirá en disco como máximo a la tasa indicada, por
defecto, 10 logs/segundo. Esto previene ataques por
desbordamiento de logs.
5.3.2 Reglas de Filtrado
Este panel es uno de los paneles principales del cortafuegos. Aquí
el administrador define el conjunto de reglas que serán aplicadas
en el cortafuegos.
Las reglas serán recorridas una a una hasta que haga coincidencia,
aplicándose la acción elegida. En caso de no haber coincidencia en
ninguna regla se tomará la acción por defecto definida en el panel
de Configuración.
Una de las novedades del cortafuegos es la posibilidad de definir
un árbol multinivel de reglas que mejoran la eficiencia del mismo.
Se pueden definir los siguientes campos:
• Acción.- Si la regla hace coincidencia en todos sus campos
se ejecutará la acción indicada en este campo. Existen 6
tipos de acciones:
• ACCEPT.- El paquete es aceptado.
• DROP.- El paquete es silenciado o ignorado sin dar
respuesta al emisor.
• REJECT.- Rechaza el paquete enviando una respuesta
de rechazo al emisor, mediante un mensaje ICMP.
• CONTINUE.- No hace nada con el paquete. Sigue a la
siguiente regla que corresponda. Esto sirve para crear
excepciones a reglas más globales o para hacer logs
sin realizar ninguna acción en ese punto.
- 67 -
69. • RETURN.- Vuelve a la regla padre de la cual proviene.
• Interfaz de entrada (IN).- Interfaz por la que entra el
paquete.
• Interfaz de salida (OUT).- Interfaz por la que sale el
paquete.
• Origen.- IP origen del paquete.
• Destino.- IP destino del paquete.
• Protocolo.-
• Puerto Origen.-
• Puerto Destino.-
Campos avanzados:
• MAC Origen.-
• Límite de Conexiones.- Si el número es menor o igual al
indicado la regla hará coincidencia (al menos este campo).
• Política IPSEC.- El tráfico proviene de una conexión VPN
(cifrado).
• LOG.- En caso de estar habilitado la regla hará log si hace
coincidencia con el paquete. Puede indicar un texto
descriptivo para reconocer fácilmente el log.
• Configuración de la Hora.- Definición del intervalo de
tiempo en que hará coincidencia la regla. Por defecto, no
hay limitación de tiempo.
• Comentarios.- El administrador puede incluir un
comentario asociado a la regla. Este texto no será tenido
en cuenta en la compilación de la regla.
Es importante notar que todos los campos son opcionales. En caso
de no indicarse cualquiera de los campos se tomará la opción más
general. Por ejemplo, si no se especifica la interfaz de entrada, se
tomará cualquiera interfaz de entrada.
- 68 -
70. Una peculiaridad de este cortafuegos es la definición de las reglas
en forma de árbol. Para ello tenemos dos tipos de regla:
• Regla Padre.- Regla que contiene reglas dentro. Las
reglas dentro de las de un padre se llaman reglas hija.
• Regla Hija.- Regla que cuelga de una regla padre. Las
reglas hijas pueden ser a su vez reglas padre o reglas hoja
(que no contienen reglas hija). Ejemplo:
Regla 1 (nivel 1)
Regla 2 (nivel 2)
Regla 3 (nivel 2)
Regla 4 (nivel 3)
Regla 5 (nivel 3)
Regla 6 (nivel 2)
• Reglas Padre: 1, 3
• Reglas Hoja: 2, 4, 5, 6
• Reglas Hija:
• Regla 2, 3, 4, 5 y 6 del padre 1
• Regla 4 y 5 del padre 3
La forma de proceder es la siguiente:
• El cortafuegos atraviesa las reglas de forma lineal (una
detrás de otra).
• Si se trata de una regla hoja:
• En caso de hacer coincidencia con el paquete aplica la
acción de la regla.
• Si no hace coincidencia, continúa por la siguiente regla
del mismo nivel.
- 69 -
71. • Si se trata de una regla padre:
• En caso de hacer coincidencia con el paquete en
cuestión recorrerá sus reglas hijas.
• Si no hace coincidencia continúa por la siguiente regla
del mismo nivel.
• Se aplicará la acción de la regla padre sólo si no hace
coincidencia con ninguna de sus reglas hijas.
Ejemplo 1:
ACCION IN OUT Origen Destino
DROP WAN
ACCEPT servidor1
ACCEPT servidor2
Supongamos los siguientes casos:
• Paquete que proviene de la LAN del servidor 1:
• El cortafuegos analiza la primera regla y detecta que
no hace coincidencia puesto que no proviene por la
WAN. Como es una regla padre no se mete dentro y
continuará por las reglas que sean.
• Paquete que proviene de la WAN hacia el servidor 2:
• El cortafuegos analiza igualmente la primera regla
(padre) y en este caso, sí hace coincidencia. Por tanto
nos metemos dentro de la regla padre.
• El cortafuegos comprueba la segunda regla y vemos
que no hace coincidencia luego continua por la
siguiente.
- 70 -
72. • El cortafuegos comprueba la tercera regla y sí hace
coincidencia. El paquete es aceptado.
• Paquete que proviene de la WAN hacia el servidor X:
• El cortafuegos analiza igualmente la primera regla
(padre) y sí hace coincidencia. Por tanto nos metemos
dentro de la regla padre.
• El cortafuegos comprueba la segunda regla y vemos
que no hace coincidencia luego continua por la
siguiente.
• El cortafuegos comprueba la tercera regla y vemos que
no hace coincidencia luego continua por la siguiente.
• Al no haber más reglas hijas, se aplica la política de la
regla padre. El paquete es rechazado.
Con todo esto, el bloque de reglas anterior se debe interpretar
como sigue:
• “Se rechazan todas las comunicaciones que provengan de
la WAN excepto las que vayan hacia el servidor 1 y hacia el
servidor 2”.
• También es importante notar que en las reglas hijas ya no
es necesario indicar la interfaz de entrada porque queda
implícito de su regla padre. Si no se cumple la regla padre
nunca entrará en los hijos.
• Igualmente este cortafuegos se puede comportar como un
cortafuegos estándar lineal. Las reglas serían las
siguientes:
Ejemplo 1:
ACCION IN OUT Origen Destino
ACCEPT WAN servidor1
- 71 -
73. ACCEPT WAN servidor2
DROP WAN
Como se puede observar el efecto es el mismo pero:
• Si la interfaz de entrada es la LAN atravesamos tres reglas
mientras que en el otro escenario sólo con una pasamos al
siguiente bloque de reglas.
• Más difícil de mantener. Si por lo que sea queremos
cambiar la interfaz de entrada tenemos que modificar tres
reglas mientras que con el otro escenario sólo debemos
modificar una.
Ejemplo 2:
ACCION IN OUT Origen Destino
ACCEPT WAN
DROP servidor1
DROP servidor2
Este ejemplo es el mismo que el anterior pero se ha cambiado la
política:
• “Se aceptan todas las comunicaciones que provengan de la
WAN excepto las que vayan hacia el servidor 1 y hacia el
servidor 2 que serán rechazadas”
Por tanto, con esta estructura en árbol conseguimos los siguiente
aspectos:
• Eficiencia.- Por término medio se atraviesan muchas
menos reglas que si fuera totalmente lineal.
• Flexibilidad.- El propio administrador puede definir su
árbol de reglas en función de sus necesidades y su tráfico
- 72 -
74. sin ninguna limitación. Aunque puede definir tantas reglas
padres como estime oportuno, no es recomendable poner
más de 4 o 5 niveles puesto que aun ganando en eficiencia
también el sistema es más complejo.
• Simplicidad.- No se tiene que reescribir campos evidentes
en muchas reglas. Por ejemplo: la interfaz de entrada en
las reglas hijas. Esto hace que sea más fácil su
mantenimiento.
Una vez comprendido el esquema de árbol propuesto se explicarán
nuevamente las acciones CONTINUE y RETURN que vimos en un
principio:
• CONTINUE.- En caso de que la regla haga coincidencia
continuará por la siguiente regla que corresponda. ¿Para
qué vale esta regla? Tiene dos usos principales en:
• Regla hoja con log activado.- Se hace log pero no toma
parte en la acción a ejecutar (se tomará más adelante).
• Regla padre.- La política CONTINUE hará que continúe
por las siguientes reglas en caso de que no haya
ningún hijo que haga coincidencia.
• RETURN.- Si hay coincidencia con la regla, volverá al
padre del cual proviene sin necesidad de continuar por las
reglas hijas.
5.3.3 Listas Blancas
En este panel se definen las direcciones IP, subredes, servicios o
conjuntos de ellos que serán aceptados por el servidor. Tanto las
listas blancas como las listas negras son independientes del árbol
de reglas de filtrado definido.
- 73 -
75. Si queremos que una subred siempre sea aceptada, sólo tenemos
que incluirlo en la lista blanca. De esta manera no nos tenemos
que preocupar en qué parte del árbol de reglas colocarlo.
5.3.4 Listas Negras
Este panel es exactamente igual al anterior en aspecto pero
justamente lo contrario en funcionalidad. Se definen las
direcciones IP, subredes, servicios o conjuntos de ellos que serán
automáticamente rechazados en el cortafuegos.
5.3.5 Funciones de Menú
El menú del módulo Cortafuegos se divide en:
• Información:
• Ver últimos logs.- Muestra los últimos logs del
cortafuegos.
• Traza Iptables.- Muestra la traza interna de reglas del
cortafuegos. Muestra las reglas iptables compiladas en
el cortafuegos a bajo nivel.
• Limpiar reglas del cortafuegos.- Borra todas las reglas
del cortafuegos y pone la política ACCEPT por defecto.
- 74 -
76. 5.4 Tráfico
La correcta gestión y monitorización del ancho de banda disponible
en los enlaces se ha convertido en una prioridad fundamental para
muchas empresas.
El terminal incorpora una sonda NetFlow que envía la información
requerida a un colector. Dado que este estándar es muy popular,
existen múltiples colectores en el mercado, tanto libres como
comerciales.
5.4.1 Netflow
Este es el único panel del módulo Tráfico para la versión blade y se
encarga de la configuración de la sonda Netflow integrada en el
MSB. Como cualquier otra sonda, Netflow recolecta datos de la red
que enviará a un colector.
Puede encontrar abundante información sobre NetFlow en la
página de Cisco (http://www.cisco.com/warp/public/732/Tech/nmp/
netflow/). Igualmente, puede encontrar información sobre nprobe,
la sonda utilizada, en http://www.ntop.org/nProbe.html.
Se considera flujo al conjunto de paquetes que tienen la misma
dirección IP, puertos de origen y de destino, así como protocolo. La
información de los flujos es emitida cada cierto tiempo por la
sonda, y es en la configuración de ésta cuando podemos definir
cuándo emite esos flujos. Se ha de buscar un equilibrio entre un
alto número de flujos emitido (pocos paquetes por flujo, menor
latencia, mayor sobrecarga de la red, mayor consumo de CPU,
menor consumo de RAM) o un bajo número de flujos (muchos
paquetes por flujo, mayor latencia, menor sobrecarga de la red,
menor consumo de CPU, mayor consumo de RAM). Incluso en el
caso de la descarga de un fichero grande, la sonda emitirá varios
flujos relativos a dicha conexión.
A través de este panel configuramos la sonda nprobe integrada en
el terminal. El panel se divide en dos partes claramente
diferenciadas.
- 75 -
77. 5.4.2 Sonda
Tenemos que especificar cómo la sonda Netflow ha de tratar los
datos. Se pueden configurar las siguientes propiedades:
• Activar/Desactivar.- La sonda Netflow se puede
desactivar haciendo que no se analice el tráfico y por tanto
no se envíe información al colector. Esto haría que se
consumieran menos recursos de CPU.
• Tiempo máximo de vida de los flujos (segundos).-
Especifica el tiempo máximo que se esperará para emitir
un flujo. Valor de fábrica 120 segundos.
• Tiempo máximo de inactividad de los flujos
(segundos).- Especifica el tiempo máximo que puede
estar un flujo sin cambiar. Si se alcanza este valor el flujo
es emitido. Valor de fábrica 30 segundos.
• Tiempo de verificación de flujos expirados
(segundos).- Especifica cada cuánto tiempo se verifica el
punto anterior. Valor de fábrica 30 segundos.
• Tamaño mínimo de flujo TCP (bytes).- Especifica el
tamaño mínimo que debe tener un flujo TCP para ser
emitido. Valor opcional. En caso de no indicarse se tomará
un tamaño mínimo ilimitado.
• Número mínimo de flujos por paquete (flujos).-
Número mínimo de flujos que debe tener un paquete antes
de ser emitido, excepto si ha expirado. Valor de fábrica 30
flujos.
• Retardo entre flujos (segundos).- Algunos colectores
son incapaces de recoger todos los flujos que le manda la
sonda. Mediante este parámetro introducimos un retardo
artificial. Valor por defecto 0 segundos.
• Activar/Desactivar LOGS.- Si habilitado, la sonda netflow
generará logs del sistema con los resultados del análisis.
• Numero de Hilos.- Número de hilos lanzados para el
análisis de tráfico.
- 76 -
78. 5.4.3 Colector
En este apartado debemos indicar el número de sondas instaladas
en el terminal. Podemos crear tantas sondas como interfaces
disponga. Los campos son los siguientes:
• Interfaz.- Interfaz de análisis
• Colector Netflow.- Ip donde está escuchando nuestro
colector netflow.
• Puerto del Colector.- Puerto donde escucha el servidor
(por defecto 2055).
• Comentarios.-
5.5 Colector
El módulo Colector es el encargado de gestionar los flujos netflow
de las sondas configuradas. Una sonda es el terminal encargado de
monitorizar una determinada red con el fin de estudiar la
información de tráfico de la misma.
La sonda recopila información de la red de análisis enviando de
forma periódica paquetes netflow al terminal de tipo colector.
- 77 -
79. El terminal colector es el encargado de recibir los paquetes de
información netflow de cada una de las sondas para ser
almacenada en una base de datos común. redConsole se
encargará de hacer un estudio de dicha base de datos de una
forma análoga al análisis de eventos del módulo de Alertas.
Es importante, por tanto, tener clara la diferencia entre sonda y
colector. En un escenario habitual tendremos muchas sondas por
un único colector. Debido a la configuración cliente-servidor, un
colector puede ser a su vez sonda.
El módulo Colector se encarga de extraer la información de la base
de datos del colector y presentar unas estadísticas de tráfico de
cada una de las sondas que tiene configurada. Esto permite al
administrador tener información completa y detallada del tipo de
tráfico que circula por las sondas.
Al igual que el resto de módulos, el módulo Colector se subdivide
en pestañas que explicaremos a continuación.
5.5.1 Configuración
Para poder configurar el módulo Colector hay que entrar como
administrador y una vez registrado aparecerá un primer panel de
configuración que a su vez se subdivide en 3 subpaneles.
- 78 -
80. 5.5.1.1 Parámetros de configuración
Aquí se configuran los parámetros más generales del módulo
Colector:
• Activar/Desactivar.- Para activar o desactivar el módulo
Colector.
• Contraseña del administrador.- Es la contraseña del
administrador (usuario: eneo) de la base de datos. El
administrador es capaz de ver información de tráfico de
todas las sondas configuradas.
• Puerto de escucha de los flujos.- Es el puerto por el
cual el servidor va a recibir los paquetes netflow
provenientes de todas las sondas. Valor por defecto 2055.
• Localización de la base de datos.- Dirección donde se
encuentra el servidor de base de datos (PostgreSQL) que
almacena la información de los datos de tráfico de las
sondas.
• Puerto de escucha de la base de datos.- Por defecto
es el 5432 (PostgreSQL).
• Tamaño máximo del fichero temporal de flujos.- Por
defecto es 5 Mbytes.
• Nivel de logs.- Nivel de detalle de los ficheros de logs del
colector.
5.5.1.2 Configuración de sondas
A través de este panel se dan de alta las sondas aceptadas por el
colector. Una vez dadas de alta, se creará en la base de datos un
conjunto de tablas asociadas a la sonda que guardarán la
información del tráfico de dicha sonda.
Los parámetros necesarios son:
• Nombre de la sonda.- Nombre con el que se hará
referencia a la sonda en el resto del módulo. Una vez
creada la sonda, no puede modificarse su nombre.
- 79 -
81. • IP de la sonda.- El colector recibirá los paquetes netflow
de la ip configurada. Es la forma que tiene el colector de
discriminar entre sondas.
• Redes zona IN.- Redes locales que tenemos en el área
local de análisis. Esta información es necesaria para
detectar el sentido de la comunicación de la sonda
configurada.
• Redes zona OUT.- Redes externas a la sonda. En el panel
de tráfico de la sonda, que veremos más adelante, existe
una pestaña en la que se analiza el tráfico hacia cada una
de las redes externas definidas en esta columna.
• Máximo ancho de banda IN.- Es el máximo ancho de
banda del flujo de entrada. Esta información sólo tiene
carácter estadístico y no afecta para nada al
funcionamiento de la sonda.
• Máximo ancho de banda OUT.- Es el máximo ancho de
banda del flujo de salida.
• Comentarios.- Una pequeña descripción sobre la sonda.
Si pulsamos con el botón derecho del ratón sobre una sonda y
seleccionamos “Conectar”, veremos la información de tráfico de la
sonda seleccionada.
5.5.1.3 Configuración de usuarios
En un escenario con muchas sondas es posible la creación de
múltiples usuarios para una selectiva monitorización del colector.
La información de tráfico de las sondas supone un claro control de
la red y del uso de cada uno de los usuarios de la sonda de estudio.
Es por ello por lo que se pueden definir nuevos usuarios de acceso
a la base de datos pudiendo limitar las sondas a las que tiene
acceso dicho usuario.
Los datos necesarios para la creación de un usuario son:
• Nombre del usuario.
- 80 -
82. • Contraseña del usuario.
• Sondas a las que tienen acceso.
• Comentarios.
5.5.2 Informes
Es una herramienta para la generación periódica de informes
avanzados. Es el panel análogo al de Alertas pero en vez de
realizar un informe asociado a los eventos de las sondas, el
informe estará asociado al tráfico.
Para configurar los informes avanzados nos situamos en la pestaña
de Informes y añadimos un nuevo elemento.
Los parámetros que se pueden configurar son los siguientes:
• Sonda.- Sonda de la cual se quiere extraer el informe.
• Frecuencia.- El sistema generará informes de estudio de
tráfico de las sondas seleccionadas con la frecuencia
- 81 -
83. indicada. Podemos elegir entre 12 horas, 1 día, 2 días, 3
días, 4 días, 5 días, 6 días, 7 días.
• Nivel de detalle.- El nivel 1 representa el mínimo nivel de
detalle y el nivel 4 el máximo.
• Email.- Escribimos la dirección de correo donde llegará el
informe avanzado.
• Configuración del servidor FTP.- Para el caso de que se
active el envío por FTP. Se pondría la dirección del servidor
FTP, el usuario, la contraseña y la ruta remota del servidor
FTP donde se almacenará el informe.
5.5.3 Alertas
En este panel podemos escribir reglas de control de tráfico y
notificación de eventos. Si la regla se cumple se generará un
evento que será recogido por el sistema de gestión de eventos del
módulo alertas. De forma opcional dicha notificación también
puede hacerse por email.
Tenemos los siguientes parámetros:
• Sonda.- Sonda de la que se quiere chequear sus datos de
tráfico.
- 82 -