Protocolos de Comunicación y Métodos de Monitoreo en NMIS

NMIS (Network Management Information System) emplea una variedad de protocolos estandarizados y métodos para supervisar de forma activa el estado y el rendimiento de dispositivos, servicios y sistemas dentro de una red.

Esta sección describe los principales protocolos utilizados por NMIS, explicando su propósito, mecanismos de funcionamiento, consideraciones de seguridad, y enlaces a recursos oficiales para consulta y configuración detallada.

Descripción:
WMI es la infraestructura de administración de sistemas en Windows que permite acceder a información de hardware y software, así como ejecutar acciones remotas. NMIS utiliza WMI para obtener métricas detalladas de dispositivos Windows, como uso de CPU, memoria, servicios activos, etc.

Funcionamiento en NMIS:
NMIS puede conectarse a hosts Windows a través de WMI para obtener información detallada del sistema. Esto se configura a través de credenciales válidas y puede ser parte de un polling programado.

Seguridad:
WMI puede operar sobre protocolos cifrados como DCOM o WinRM (HTTP/HTTPS), permitiendo comunicación encriptada. Es importante asegurar las credenciales y restringir accesos a través de políticas de firewall y permisos en Windows.

Funcionamiento del Protocolo:

• Usa DCOM (Distributed Component Object Model) o WinRM (Windows Remote Management) para comunicación remota.

• Consulta datos mediante consultas similares a SQL (WQL).
  Seguridad:

• Cifrado:

  • DCOM: Cifrado opcional mediante autenticación a nivel de paquete (Packet Privacy).

  • WinRM: Usa HTTPS/TLS por defecto (puerto 5986).

Fuentes Oficiales:

1. Windows Management Instrumentation - Win32 apps

2. Mantenimiento de la seguridad de WMI - Win32 apps

3. Seguridad de WMI - Win32 apps

4. Security considerations for PowerShell Remoting using WinRM - PowerShell

5. CWE: Vulnerabilidades en DCOM

Descripción:
SNMP es un protocolo estándar de capa de aplicación usado para monitorear y gestionar dispositivos de red como routers, switches, servidores y más. NMIS utiliza SNMP para obtener información de estado y rendimiento de dispositivos que lo soportan.

Funcionamiento en NMIS:
NMIS utiliza SNMPv3 (recomendado) o SNMPv2c para sondear dispositivos y extraer información mediante OIDs. Puede configurarse en el archivo PollingControl.nmis.

Seguridad:
SNMPv3 ofrece autenticación y encriptación, lo cual es recomendado para evitar riesgos de seguridad. SNMPv1/v2c no encriptan datos y deben usarse solo en redes controladas.

Funcionamiento del Protocolo:

• SNMPv1/v2c: Sin cifrado (usa community strings en texto claro).

• SNMPv3: Soporta autenticación (SHA, MD5) y cifrado (AES, DES).
  Seguridad:

• Cifrado: Solo en SNMPv3 (usando USM - User-Based Security Model).

Fuentes Oficiales:

1. IETF RFC 1157: SNMPv1

2. IETF RFC 3414: SNMPv3 Security Model (USM)

3. IETF RFC 3826: AES para SNMPv3

Descripción:
SSH es un protocolo criptográfico que permite acceso seguro a sistemas remotos. NMIS puede utilizar SSH para ejecutar comandos en dispositivos Unix/Linux y obtener información de estado o desempeño.

Funcionamiento en NMIS:
NMIS puede conectarse vía SSH a dispositivos para ejecutar scripts o comandos personalizados. Se utiliza principalmente para monitoreo avanzado o servicios personalizados.

Seguridad:
SSH ofrece comunicación encriptada de extremo a extremo, lo que lo hace seguro cuando se configura correctamente (clave pública/privada, sin contraseñas en texto claro).

Funcionamiento del Protocolo:

• Cifrado de extremo a extremo mediante Tunneling.

• Usa claves públicas/privadas (RSA, ECDSA) para autenticación.
  Seguridad:

• Cifrado: AES-256, ChaCha20.

• Perfect Forward Secrecy (PFS).
  Vulnerabilidades:

• Ataques como SSH brute-force o configuraciones débiles (ej. SSHv1).

Fuentes Oficiales:

1. IETF RFC 4251: Arquitectura SSH

2. IETF RFC 4252: Autenticación SSH

3. IETF RFC 4253: Cifrado SSH

4. OpenSSH: Documentación Oficial

5. NIST: Guía de Configuración SSH

Descripción:
HTTP y HTTPS son protocolos utilizados para transferir datos en la web. NMIS puede monitorear URLs, APIs, o servicios web mediante solicitudes GET/POST para verificar disponibilidad, tiempos de respuesta y contenido.

Funcionamiento en NMIS:
NMIS puede configurar servicios HTTP/HTTPS que realizan peticiones GET a URLs específicas y evalúan el código de estado HTTP, contenido de la página o tiempos de respuesta.

Seguridad:
HTTPS utiliza TLS/SSL para encriptar la comunicación, protegiendo contra sniffing o manipulación. NMIS soporta monitoreo HTTPS con verificación de certificados.

Funcionamiento del protocolo:

• HTTP: Texto claro (puerto 80).

• HTTPS: HTTP sobre TLS/SSL (puerto 443).

• cURL: Cliente para transferir datos via URL.
  Seguridad:

• Cifrado: TLS 1.2/1.3 (AES-GCM, ChaCha20).
  Vulnerabilidades:

• HTTP: Sniffing, inyección de datos.

• HTTPS: Configuraciones débiles (ej. TLS 1.0).

Fuentes Oficiales:

1. IETF RFC 7230: HTTP/1.1

2. IETF RFC 8446: TLS 1.3

3. cURL: Documentación Oficial

4. Mozilla: Guía TLS/SSL

Descripción:
cURL es una herramienta de línea de comandos que permite transferir datos usando múltiples protocolos, incluyendo HTTP, HTTPS, FTP, etc. NMIS puede usar comandos cURL personalizados para realizar peticiones GET o POST a URLs o APIs específicas.

Funcionamiento en NMIS:
NMIS puede ejecutar scripts que usan cURL para monitorear servicios web personalizados, APIs REST, microservicios o endpoints específicos.

Seguridad:
Si se usa HTTPS, cURL puede verificar certificados SSL/TLS para garantizar comunicación segura. Debe evitarse el uso de opciones como -k (inseguro) en entornos de producción.

Documentación Oficial:

• cURL Official Documentation:
  curl - Tutorial

• cURL and Security Best Practices:
  https://curl.se/docs/security.html