Comunidad Funcionalidades Tecnología

Monitorización de entornos aislados: Sync server

junio 27, 2017

Monitorización de entornos aislados: Sync server

This post is also available in : Inglés

Monitorización de entornos aislados: Sync server

Con el crecimiento de la globalización, es frecuente que todas las empresas tengan repartidos sus recursos informáticos por todo el mundo. Quizá tengas tus sucursales en distintas localizaciones geográficas, disfrutes de recursos cloud subcontratados o puede que hayas optado por usar servicios HelpDesk de diferentes países. Pandora FMS no se queda atrás y continúa evolucionando para cubrir cualquier necesidad. Hoy hablamos de una de las nuevas funcionalidades de la versión 7 “Next Generation” de Pandora FMS: el sync server.

Esta característica surge de la necesidad de monitorizar entornos aislados, con restricciones de seguridad, desde los que no es posible ninguna conexión saliente, por lo que la comunicación es iniciada desde una red exterior. Este matiz es importante ya que de tratarse de redes diferentes pero con comunicación bidireccional abierta, podría utilizarse un satellite server o modo proxy normal sin ningún problema.

Definición

El sistema sync server consiste en un despliegue del entorno de monitorización a redes aisladas, que no pueden comunicarse con el servidor principal de Pandora FMS, ni con la base de datos MySQL.

Esta funcionalidad permite desplegar agentes de software y ejecutar chequeos de red en redes remotas aisladas del servidor central de Pandora FMS. Se instala un punto de conexión que servirá para que el servidor central de Pandora FMS recoja la información de la red remota, y será la única vía de comunicación, permaneciendo la red totalmente aislada sin tener que iniciar comunicaciones hacia el exterior.

monitorizacion en entornos aislados

Puedes tener dos datacenters en diferentes países, uno en tus oficinas oficiales de Europa y otro en Asia. Pero ambos entornos se encuentran securizados y, dada la cantidad de ataques que se producen, no queremos que puedan iniciarse comunicaciones desde Asia hacia tu servidor de Pandora FMS europeo. Como el servidor de monitorización es un punto crítico con acceso a información sensible, vamos a usar esta funcionalidad para que todas las comunicaciones sean iniciadas desde nuestro servidor de Pandora europeo.

Otra posibilidad es mantener la monitorización de una DMZ, asegurándonos de que no van a producirse conexiones desde esa red a nuestra red interna. Esto podemos hacerlo aumentando la seguridad, impidiendo ataques tales como el envenenamiento de la red o el man in the middle.

Esta nueva forma de extender la monitorización, sin importar la localización y consiguiendo la securización de los entornos, ofrece una nueva y potente posibilidad de escalado de la monitorización.

La monitorización de las redes remotas puede realizarse de forma mixta, en combinación con el servidor satélite y los modos proxy y broker de los agentes de Pandora FMS. Todo esto gracias al sync server y a su combinación con otras funcionalidades, asegurando que ningún diseño de arquitectura se resista, por lo que no quedará ni un solo equipo sin monitorizar.

monitorizacion en entornos aislados

El esquema superior muestra un ejemplo de un entorno distribuido que podríamos monitorizar combinando algunas de las funcionalidades de Pandora FMS. Las posibilidades de adaptación a diferentes topologías son prácticamente ilimitadas.

Funcionamiento

En la red remota se instalará como punto de comunicación un servidor de Tentacle, que también recibirá la información recogida por los agentes software instalados en los equipos de su red. Es posible instalar en el mismo punto un servidor satélite (satellite server) que ejecute chequeos remotos contra cualquier dispositivo de su red.

Toda la información podrá ser transferida al servidor central de Pandora FMS a través de este punto de comunicación, cuando el servidor de Pandora FMS inicie una conexión y recupere la información recogida desde la última vez.

La peculiaridad del funcionamiento de sync server, en diferenciación con el satellite server o proxy de Tentacle, es que las comunicaciones siempre son iniciadas por el servidor de Pandora FMS, no permitiendo comunicaciones salientes, ni el envío de paquetes desde la red remota hacia su exterior.

Configuración

Antes de entrar en la configuración, debemos asegurarnos de que tanto nuestro servidor central de Pandora FMS como el Tentacle server que instalemos en la red remota están al menos en la versión 7.

Una vez que nos hemos asegurado de que las versiones son buenas, podemos proceder a configurar los componentes.

En el servidor de Pandora FMS debemos modificar el fichero pandora_server.conf con los siguientes parámetros:

syncserver 1
sync_address
sync_port

Y en el script de arranque de nuestro Tentacle server remoto únicamente añadir los dos parámetros “-I –o”, de este modo:

TENTACLE_EXT:OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -I -o"

El entorno con sync server también soporta comunicaciones seguras con SSL; para configurarlo hay que añadir algunos parámetros adicionales a los mismos ficheros ya mencionados.

En pandora_server.conf:

sync_ca /home/cacert.pem
sync_cert /home/tentaclecert.pem
sync_key /home/tentaclekey.pem

En el script de arranque de tentacle tentacle_serverd (en una única línea):

TENTACLE_EXT_OPTS="-i.*\.conf:conf;.*\.md5:md5;.*\.zip:collections -e /home/tentaclecert.pem -k /home/tentaclekey.pem -f /home/cacert.pem"


    Written by:



    One comment
    Leave a comment

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.