Instalación de sensores (redes)


No es para nada trivial determinar el lugar exacto en el que se deben colocar estos componentes (desde dónde recoger la información). Los más sencillos de colocar son los sensores basados en aplicación, generalmente instalados en aquellas partes del programa donde se ofrecen servicios de depuración y generación de ficheros de registro. Pero la situación es mucho más dif´?cil para las otras dos variantes. Cuando consideramos la instalación de sensores basados en equipo, la gran variedad de sistemas operativos existentes y las distintas facilidades ofrecidas por cada uno de ellos, supone un serio problema. Además, no suele ser simple determinar qué parte de la información generada por el núcleo de un sistema operativo debería ser relevante a la hora de analizar.
En el caso de sistemas Unix, existe la propuesta del Libro naranja (ya comentado en este mismo módulo), en el que se muestran veintitrés puntos de interés donde debería analizarse información.
En el caso de sensores basados en red, la utilización de redes segmentadas mediante conmutadores de red supone un gran inconveniente en cuanto a escoger el lugar correcto en el que se deben colocar estos sensores.
Una topología en estrella consigue que los paquetes vayan encaminados únicamente entre las dos partes de una comunicación, por lo que ser´?a necesario colocar el sensor en un punto en el que fuera capaz de analizar cualquier intercambio de información.
Una primera opción ser´?a colocar el sensor sobre el enlace donde se unen todos los equipos de la red. Esta opción podría suponer la necesidad de analizar una cantidad de datos tan elevada que el sensor acabaría perdiendo información.
La otra opción ser´?a la colocación del sensor entre el enlace de red que separa el interior y el exterior, como si se tratara de un sistema de prevención perimetral adicional.
Una variante de estas dos opciones sería la utilización del puerto de intervención (tap port) que ofrecen muchos conmutadores. Se trata de un puerto especial que refleja todo el tráfico que pasa a través del equipo. Desgraciadamente, este puerto podría fácilmente sobrecargar la capacidad de análisis de los sensores si la cantidad de tráfico es muy elevada. Además, el ancho de banda interno del dispositivo es suficiente para tratar con todos los puertos activos a la vez, pero si el tráfico analizado comienza a crecer, es posible que se supere la capacidad de intervención del puerto, con la correspondiente pérdida de paquetes que ello comportaría.

Califica este Artículo
0 / 5 (0 votos)

Categoría: Conectividad y Redes.




Deja un comentario