S.I.

M - Uma aplicao para o Monitoramento Integrado de

Redes de Computadores
Taciano Balardin de Oliveira
1
, Henrique Sobroza Pedroso
2
, rico Marcelo Hoff do
Amaral
1,2,3

1
Universidade Luterana do Brasil (ULBRA)
Rua Martinho Lutero, s/n - CEP 96500-000, Cachoeira do Sul RS - Brasil
2
Universidade Federal de Santa Maria (PPGI/UFSM)
Av. Roraima, 1000, Cidade Universitria CEP 97105-900 RS - Brasil
3
Centro Regional Sul de Pesquisas Espaciais (CRS/INPE-MCT)
Av. Roraima, S/N, Campus UFSM CEP 97105-970 RS - Brasil
{tacianobalardin, hsobrozapedroso, ericohoffamaral}@gmail.com
Resumo. Um NOC (Network Operation Center) uma soluo eficaz para o
monitoramento e controle de ambientes computacionalmente conectados, por
centralizar a gerncia da rede em um ponto nico, provendo um centro de
programas que a monitoram, disponibilizando informaes sobre cada ativo
conectado. Este artigo apresenta um estudo sobre ferramentas para
monitoramento e gerncia de rede, alm da implementao de um front end
multiplataforma, desenvolvido para a web, que viabiliza o cruzamento de
dados obtido por um conjunto de softwares de gerncia instalados. Esta nova
aplicao, batizada de S.I.M (Sistema Integrado de Monitoramento) tem por
objetivo a emisso de alertas, a fim de automatizar e otimizar a resoluo de
incidentes identificados em uma rede de computadores, auxiliando em sua
administrao.
Palavras-chave: Gerncia de rede, monitoramento, segurana da informao.
1. Introduo
A segurana da informao e de sistemas conectados tem recebido investimentos,
superando at mesmo o setor de infra-estrutura fsica. Esta necessidade de segurana
visa preservar e manter os dados seguros contra possveis ataques ou invases,
identificando possveis pontos de vulnerabilidades, a fim de implantar medidas
preventivas de salva-guarda das informaes em um ambiente de rede. Quando uma
anomalia detectada atravs do NOC (Network Operation Center), faz-se necessria a
verificao da causa deste incidente. Considerando a existncia de diversas ferramentas
para gerenciamento de rede e que, ao monitor-la, necessrio consultar e analisar
relatrios gerados por softwares distintos, estas interpretaes acabam tornando-se
trabalhosas e, em alguns casos, podem ser utilizadas como artifcio para desviar a
ateno do gerente durante algum processo [CORREA, 1998].
Uma possvel hiptese para auxiliar a tarefa do gerente de rede, seria a criao
de uma ferramenta que agrupe as diversas informaes geradas pelas demais em um

ambiente integrado. Baseado nisso, o objetivo deste trabalho desenvolver um estudo
sobre as principais ferramentas livres utilizadas para o monitoramento e controle de
ambientes de redes. A partir deste conhecimento, projetar e desenvolver uma soluo
hbrida que integre as sadas destas ferramentas permitindo desta maneira, uma
interao eficiente destas solues e disponibilizando para o administrador da rede uma
aplicao centralizada para o gerenciamento de todos os elementos conectados.
Este artigo apresenta na seo 2 a fundamentao terica deste estudo,
abordando a rea de gerncia de redes, infra-estrutura de gerncia e as principais
ferramentas open source utilizadas para este fim. Na seo 3 est descrita a metodologia
deste trabalho, apresentando como ser desenvolvida a aplicao proposta, explicando
seu funcionamento e discutindo alguns resultados parciais deste projeto. Na seo 4,
esto relatadas as consideraes finais sobre o trabalho e por fim, na seo 5, as
referncias.
2. Gerncia de Rede
O gerenciamento de rede est associado ao controle de atividades e ao monitoramento
do uso de recursos. As tarefas bsicas da gerncia em redes so: obter informaes da
rede, tratar estas informaes possibilitando um diagnstico e encaminhar as solues
dos problemas. Para isso, funes de gerncia devem ser embutidas nos diversos
componentes de uma rede, para que possibilitem descobrir, prever e reagir a anomalias
[DUARTE, 1996].
Para uniformizar a gerncia de redes, a ISO (International Organization for
Standardization), rgo internacional responsvel por padronizaes, classificou as
reas funcionais do gerenciamento de redes em cinco categorias. O gerenciamento de
desempenho responsvel por quantificar, medir, informar, analisar e controlar o
desempenho de diferentes componentes, em virtude de demandas variveis de trfego e
falhas ocasionais na rede. O gerenciamento de falhas tem o objetivo de detectar e reagir
s condies de falhas transitrias da rede. A terceira rea composta pela gerncia de
configurao que possibilita ao administrador saber quais dispositivos fazem parte do
ambiente administrado e quais so suas configuraes de hardware e software. O
gerenciamento de contabilizao permite que um gerente especifique, registre e controle
o acesso de usurios e dispositivos aos recursos da rede. Por fim, a gerncia de
segurana controla o acesso aos ativos de acordo com alguma poltica definida
[KUROSE e ROSS, 2006].
Nos itens 2.1 e 2.2 sero abordados os componentes do gerenciamento de redes,
bem como caractersticas e objetivos de suas principais ferramentas que foram
estudadas para desenvolver este projeto.
2.1 A infra-estrutura do gerenciamento de rede
O campo do gerenciamento de rede tem sua terminologia especfica para os
componentes de uma arquitetura de gerncia. Existem trs componentes principais: uma
entidade gerenciadora a qual se caracteriza por uma aplicao executada em uma
estao central de gerncia da rede e fornece ao seu responsvel informaes que
permitem a anlise e identificao de desvio de comportamentos que podem prejudicar
o funcionamento do sistema; os dispositivos gerenciados ativos de rede que integram
um conjunto de objetos gerenciveis constitudos por componentes de hardware e

software. Toda informao disponibilizada pelo dispositivo gerenciado organizada em
uma base de dados denominada MIB (Management Information Base), que pode ser
acessada e modificada pela entidade gerenciadora; e um protocolo de gerenciamento de
rede que executado entre a entidade gerenciadora e o agente de gerenciamento,
permitindo que a entidade gerenciadora investigue o estado dos dispositivos
gerenciados e, indiretamente, execute aes sobre eles mediante seus agentes [KUROSE
e ROSS, 2006]. Para a implementao da soluo proposta neste trabalho adotou-se o
protocolo SNMP (Simple Network Management Protocol), sendo este instalado e ativo
em cada dispositivo gerenciado.
Para um monitoramento eficaz dos elementos conectados necessrio o
controle do fluxo de informaes, o qual pode indiciar a execuo de aplicaes
maliciosas que afetam o comportamento da infra-estrutura da rede, como worms, vrus
ou at mesmo utilizao de programas P2P (Peer-to-peer). Desta forma, tem-se no
monitoramento de trfego uma prtica essencial para a identificao de comportamentos
anmalos [KAMIENSKI et al. 2005].
Alm do monitoramento, necessria a utilizao de uma soluo que capture e
analise de forma constante os pacotes e informaes que trafegam pela rede, a fim de
identificar possveis vulnerabilidades e tentativas no autorizadas de acesso, assim
como atividades ilegais. Um IDS (Intrusion Detection System) rene essas
caractersticas, tendo a capacidade de detectar atividades suspeitas, imprprias ou de
ataques realizados portas legtimas que no podem ser protegidas por um firewall
[NAKAMURA e GEUS, 2007]. Por fim, a utilizao de uma ferramenta que fornea
dados dos hosts como aplicaes instaladas, em execuo, uptime, entre outras,
completam o conjunto de caractersticas necessrias para definir as principais
ferramentas de gerncia de rede analisadas neste trabalho.
2.2 Principais Ferramentas
As principais ferramentas utilizadas para gerncia e monitoramento de ambientes de
redes estudadas neste projeto tm como caractersticas comuns estarem sob licena GPL
(General Public Licence) e serem utilizveis em sistemas baseados em Linux.
O MRTG (Multi Router Traffic Grapher), uma ferramenta para coleta de dados
que gera grficos referentes ao trfego de rede, possibilita o monitoramento do
desempenho dos elementos conectados por meio do fluxo de dados de entrada e sada
nas portas dos comutadores da rede. Pode ser utilizado na gerncia de desempenho,
verificando o trfego dos hosts monitorados e na gerncia de contabilizao onde
verificado o tempo de paralisao dos hosts na rede [CORREIA, 2004]. Outra
ferramenta adotada para este trabalho a qual tem a finalidade de monitorar o
desempenho da rede o Ntop (Network Traffic Probe). Algumas de suas
funcionalidades so: listar e ordenar o fluxo de dados de acordo com vrios protocolos,
manter estatsticas permanentemente em banco de dados, identificar passivamente
informaes sobre os hosts da rede e decodificar protocolos da camada de aplicao,
inclusive os encontrados nos softwares tipo P2P [MANN, 2009].
Para auxiliar na gerncia de segurana tambm so utilizadas ferramentas do
tipo IDS (Intrusion Detection System), que trabalham como um alarme contra as
intruses. Desta forma possvel realizar a deteco baseada em algum tipo de
conhecimento, como assinaturas de ataques, ou em desvios de comportamento. Este tipo

de aplicativo capaz de detectar e alertar os administradores quanto a possveis ataques
ou comportamentos anormais no ambiente de rede [NAKAMURA e GEUS, 2007].
Ainda em consonncia com os autores citados o Snort um sistema IDS baseado em
regras, capaz de realizar anlise de trfego em tempo real e registro de pacotes em redes
IP. Esta aplicao funciona de acordo com uma srie de funes que, trabalhando de
modo integrado, so capazes de detectar, analisar e responder atividades suspeitas,
podendo ser aplicados para prevenir de forma eficiente incidentes de segurana.
Outra ferramenta no segmento de aplicaes para monitoramento o Nagios, um
aplicativo que monitora hosts e servios de rede com o intuito de alertar os
administradores sobre possveis problemas. Este software capaz de identificar servios
e recursos de forma remota. Alm do Nagios, outra ferramenta que possui
caractersticas semelhantes com as que ele apresenta o Cacti, que por sua vez utiliza
scripts em Bash, Perl, XML para coletar informaes locais ou remotas atravs do
SNMP. Seus principais scripts medem a latncia entre os hosts, uso de interfaces de
rede, uso do CPU, memria, disco, usurios conectados, etc. [NETO e UCHA, 2006].
Com base no estudo destas ferramentas ser feita a proposta para o
desenvolvimento do S.I.M (Sistema Integrado de Monitoramento), abrangendo algumas
das caractersticas que cada uma dispe, reunindo e comparando suas informaes em
um nico ambiente integrado.
3. Proposta de Integrao
Para o desenvolvimento deste projeto, as ferramentas escolhidas atendem aos requisitos
mnimos de: consentir as exigncias da ISO (International Organization for
Standardization), respeitar as reas do gerenciamento de redes (gerenciamento de
desempenho, de configurao, de contabilizao, de segurana e de falhas) e
principalmente terem a capacidade de integrarem as informaes geradas entre si.
Tabela 1. Comparativo entre Ferramentas
Software Tipo Principais caractersticas
MRTG Monitor de Desempenho Monitora os hosts e gera logs do trfego de rede.
Ntop Monitor de Desempenho Monitora o trfego de acordo com diversos protocolos.
Snort Deteco de Intruso Detecta e responde a atividades suspeitas na rede.
Nagios Monitor de Rede Disponibiliza informaes sobre hosts e servios da rede.
Cacti Monitor de Rede Disponibiliza informaes sobre hosts e servios da rede.
A Tabela 1 apresenta as ferramentas estudadas e suas principais caractersticas, a
partir disto foram escolhidas trs ferramentas para comporem o novo aplicativo
proposto: Ntop, Snort e um script em Perl. Este ltimo foi escolhido pelo fato de ser
mais simples e objetivo na tarefa de obter informaes sobre os hosts, dispensando a
instalao de outra ferramenta para a obteno dos mesmos dados. Para realizar a
integrao das ferramentas definidas, elas sero instaladas em um ambiente baseado em
Linux e geraro relatrios, como o trfego de rede (Ntop), informaes referentes
captura, anlise de pacotes (Snort) e alm de informaes sobre os hosts (script Perl).
Fundamentado nisso, foram escolhidas trs ferramentas para comporem o novo
aplicativo proposto: Ntop, Snort e um script em Perl. Este ltimo foi escolhido pelo fato
de ser mais simples e objetivo na tarefa de obter informaes sobre os hosts,
dispensando a instalao de outra ferramenta para a obteno dos mesmos dados. Para

realizar a integrao das ferramentas definidas, todas elas sero instaladas em um
ambiente baseado em Linux e geraro relatrios sobre o trfego de rede (Ntop),
informaes referentes captura e anlise de pacotes (Snort), alm de informaes
sobre os hosts (script Perl).
3.1 Desenvolvimento da aplicao
A tecnologia adotada para a implementao do software PHP (PHP Hypertext
Processor), pois esta linguagem de programao permite de forma simples e eficiente a
integrao dentre o Ntop e Snort. Outra grande vantagem do PHP a facilidade de
visualizao e interpretao das informaes geradas pelas aplicaes de
monitoramento, alm de possibilitar a disponibilizao das mesmas na WEB.

Figura 1. S.I.M Arquitetura bsica da aplicao
Para compreender a forma como est proposta a integrao apresentada na
Figura 1, primeiramente deve-se entender, em baixo nvel, como e que informaes
cada uma delas fornece sobre o ambiente de rede e principalmente a maneira como cada
uma delas armazena os dados de seus relatrios.
O Ntop apresenta algumas caractersticas pontuais, como o fato de que aps
instalado, suas configuraes s podem ser realizadas atravs da interface web. Ao ser
iniciado, por padro, roda como daemon, disponibilizando um mtodo de consulta as
informaes sobre os hosts na rede, por meio de uma funcionalidade chamada Data
Dump, atravs da qual possvel requisitar dados via comando wget do PHP. Atravs
deste comando, o Ntop retorna um array com dados sobre os hosts presentes na rede.
Este array possui informaes como: nome do host na rede, pacotes enviados e
recebidos organizados pelos protocolos configurados na execuo da ferramenta, entre
outras. Essas informaes sero utilizados para identificar comportamentos anmalos
no ambiente de rede. Um exemplo de retorno do Ntop est apresentado na Figura 2,
presente na pgina seguinte. Assim o Ntop retorna via Data Dump um array com dados
sobre os hosts presentes na rede. Este array possui informaes como: nome do host na
rede, pacotes enviados e recebidos organizados pelos protocolos configurados na
execuo da ferramenta. Essas informaes sero utilizados para identificar
comportamentos anmalos no ambiente de rede.
A prxima ferramenta a ser utilizada nessa proposta de integrao ser o Snort,
ferramenta IDS utilizada no gerenciamento de rede. Sua instalao requer uma base de
dados MySQL, a libpcap que uma biblioteca utilizada para captura de pacotes na rede
e as regras que sero utilizadas no monitoramento.
Assim que instalado, so inseridas e habilitadas s regras da aplicao que
serviro para detectar possveis ameaas a rede, alm disso, configurada a forma de

sada, local onde so armazenadas as informaes referentes s ameaas detectadas
pela ferramenta. Neste projeto ser utilizada a sada via banco de dados MySQL, para
isso tambm ser aplicado ao Snort o plugin BASE (Basic Analysis and Security
Engine), pois facilitar a integrao com as demais ferramentas devido a melhor
organizao dos dados armazenados e a facilidade de conexo do PHP, linguagem de
desenvolvimento da nova aplicao, com o MySQL.
Figura 2. Dados retornados via Ntop

Figura 3. Estrutura de uma tabela do Snort
A Figura 3 representa o local onde ficam armazenadas as ocorrncias geradas
pelas regras ativas no Snort. A partir dela podem ser obtidas informaes como
endereo IP de quem fez a requisio, bem como o de destino, a data e hora (timestamp)
em que aconteceu o evento, uma descrio do evento, entre outras. Estes dados sero
utilizados na integrao proposta pela nova aplicao.
Por sua vez, o script em Perl extrai as informaes de dados do dispositivo
gerenciado atravs do servio SNMP. Este servio responsvel pelo gerenciamento e
respostas das requisies de informaes do protocolo de gerenciamento no servidor,
que busca os dados na MIB. Para este tipo de requisio o servio de SNMP deve estar
instalado e ativo no dispositivo gerenciado de destino.

Figura 4. Comandos utilizados para obter informaes via SNMP
3.2 Funcionamento da aplicao
O ponto de partida para o funcionamento da ferramenta que est sendo proposta ser o
monitoramento do trfego de rede e a captura de pacotes do Snort, conforme a Figura 5.

Figura 5. S.I.M Funcionamento Bsico da Aplicao

A baseline gerada pelo Ntop via Data Dump, que a define de acordo com a mdia
de trfego do host. Sempre que for percebida alguma anomalia no trfego do ativo
monitorado, o S.I.M buscar informaes mais detalhadas sobre o que est acontecendo
atravs do relacionamento das informaes de consumo geradas pelo Ntop com a
captura de pacotes do Snort. Em seguida, enviado o IP do host envolvido na anomalia
como parmetro para a chamada de execuo do script Perl, que por sua vez buscar as
informaes como nome da mquina, MAC da interface de rede, uptime e processos em
execuo, gerando um arquivo .txt que interpretado pelo S.I.M. Por fim, todas as
informaes referentes ao incidente so armazenadas na base de dados da ferramenta.
O S.I.M deve fornecer ao administrador da rede e tambm a equipe de suporte
aos usurios um conjunto de informaes relevantes, a fim de auxiliar na soluo de
problemas ou anomalias identificadas no ambiente de rede. A resposta rpida a esses
incidentes est diretamente relacionada ao tempo despendido na deteco dos mesmos,
sendo desta forma imprescindvel para a equipe de TI receber informaes rapidamente,
diminuindo assim o tempo de resposta no tratamento das causas identificadas.
A aplicao apresenta uma soluo simples para a questo da comunicao dos
incidentes detectados: primeiramente o S.I.M se encarregar de criar uma base das
anomalias identificadas e juntamente com o armazenamento dos dados, e-mails de
alertas sero disparados para o administrador da rede e responsveis pela rea de TI. Por
fim, o administrador da rede acessa o sistema e visualiza todas as informaes
referentes aos incidentes detectados, podendo informar a medida adotada em cada caso,
para que, a partir dessas informaes, possa ser criada uma base de conhecimentos
sobre as anomalias da rede para ser utilizada futuramente.
3.3 Resultados Parciais
Este projeto j est em fase de desenvolvimento, at aqui sua estrutura conta com a
interao entre o Ntop, Snort e script Perl funcional, operando de forma automtica via
crontab. As informaes geradas pelo S.I.M podero auxiliar o gerente na busca por
anomalias na rede, visto que, quando o trfego de rede foge ao padro que o host em
questo possui, a ferramenta pesquisa no Snort os alertas que aquele ativo gerou no
mesmo espao de tempo em que o trfego foi considerado anormal. As informaes
integradas so apresentadas ao administrador de rede, com isso, ele possui maior
conhecimento sobre o que e onde esto ocorrendo possveis problemas.
Com a visualizao integrada proporcionada pelo S.I.M. tem-se um grande
impacto sobre a gerncia da rede, pois com estas informaes o gerente pode tomar
decises mais concisas, tendo em vista que esta ferramenta facilita a anlise do possvel
incidente de rede. Outra vantagem da anlise atravs da ferramenta central a reduo
do nmero de possveis falsos positivos gerados pela anlise de um software isolado,
problemas de sincronismo de horrios entre os servidores ou mesmo erro de
interpretao do gerente ao utilizar multi telas para comparao.
Na Figura 6 apresentado a tela principal do S.I.M, mostrando as anomalias
identificadas, o range de IPs que a ferramenta est configurada para trabalhar e tambm
uma lista com os hosts ativos na rede. O sistema apresenta as anomalias dividindo-as
em cores, vermelho para as que ainda no foram averiguadas, amarelo para as que esto
em anlise e verde para as que j foram analisadas pelo administrador da rede. Ao clicar
na anomalia so apresentadas maiores informaes sobre as mesmas.


Figura 6. S.I.M Print screen da ferramenta
4. Consideraes Finais
Os objetivos deste projeto esto sendo gradualmente alcanados, atravs dos resultados
obtidos com a implementao e testes do S.I.M. Tais resultados demonstram que
possvel agilizar o processo de deteco de anomalias em uma rede de computadores,
atravs da sinergia e do cruzamento de informaes relevantes sobre o funcionamento
da rede, e da disponibilizao destas aos administradores do ambiente. O S.I.M
proporciona, com suas atividades de monitoramento do fluxo da rede, captura de
pacotes e da interseco destas informaes, uma reduo no tempo de deteco e
tratamento das anomalias em um ambiente conectado e distribudo. Alm disso, a base
de conhecimento, implementada a partir do registro de dados sobre os problemas
identificados, disponibiliza uma amostragem que poder ser utilizada em trabalhos
futuros.
5. Referncias
CORREA, Claudio (1998). Deteco de Ataques em Redes de Computadores,
http://www.das.ufsc.br/gia/pb-p/rel-claudio-00/relatorio.html, Maio.
CORREIA, Marcelo (2004), Gerncia de Redes,
http://www.ccet.unimontes.br/arquivos/dcc/gilmara/1144.pdf, Maio.
DUARTE, Otto M.B. (1996). Gerenciamento de Redes,
http://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html#sec1a, Maio.
KAMIENSKI, Carlos; SOUZA, Tatiane; FERNANDES, Stenio; SILVESTRE,
Guthemberg; SADOK, Djamel. Caracterizando Propriedades Essenciais do Trfego
de Redes Atravs de Tcnicas de Amostragem Estatstica, SBRC 2005.
KUROSE, James F.; ROSS, Keith W. (2006). Redes de Computadores e a Internet
Uma Abordagem Top-Down, So Paulo, Edio 3.
MANN, Cesar (2009). Anlise Constante,
http://ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/referencias/TCC-2009.pdf,
Junho.
NAKAMURA, Emilio T.; GEUS, Paulo L. (2007). Segurana de Redes em Ambientes
Cooperativos, So Paulo, Edio 1.
NETO, Arlindo; UCHA, Joaquim (2006). Ferramentas Livres Para Monitorao de
Servidores, http://www.ginux.ufla.br/files/artigo-ArlindoNeto,JoaquimUchoa.pdf,
Junho.