Redes de Computadores Taciano Balardin de Oliveira 1 , Henrique Sobroza Pedroso 2 , rico Marcelo Hoff do Amaral 1,2,3
1 Universidade Luterana do Brasil (ULBRA) Rua Martinho Lutero, s/n - CEP 96500-000, Cachoeira do Sul RS - Brasil 2 Universidade Federal de Santa Maria (PPGI/UFSM) Av. Roraima, 1000, Cidade Universitria CEP 97105-900 RS - Brasil 3 Centro Regional Sul de Pesquisas Espaciais (CRS/INPE-MCT) Av. Roraima, S/N, Campus UFSM CEP 97105-970 RS - Brasil {tacianobalardin, hsobrozapedroso, ericohoffamaral}@gmail.com Resumo. Um NOC (Network Operation Center) uma soluo eficaz para o monitoramento e controle de ambientes computacionalmente conectados, por centralizar a gerncia da rede em um ponto nico, provendo um centro de programas que a monitoram, disponibilizando informaes sobre cada ativo conectado. Este artigo apresenta um estudo sobre ferramentas para monitoramento e gerncia de rede, alm da implementao de um front end multiplataforma, desenvolvido para a web, que viabiliza o cruzamento de dados obtido por um conjunto de softwares de gerncia instalados. Esta nova aplicao, batizada de S.I.M (Sistema Integrado de Monitoramento) tem por objetivo a emisso de alertas, a fim de automatizar e otimizar a resoluo de incidentes identificados em uma rede de computadores, auxiliando em sua administrao. Palavras-chave: Gerncia de rede, monitoramento, segurana da informao. 1. Introduo A segurana da informao e de sistemas conectados tem recebido investimentos, superando at mesmo o setor de infra-estrutura fsica. Esta necessidade de segurana visa preservar e manter os dados seguros contra possveis ataques ou invases, identificando possveis pontos de vulnerabilidades, a fim de implantar medidas preventivas de salva-guarda das informaes em um ambiente de rede. Quando uma anomalia detectada atravs do NOC (Network Operation Center), faz-se necessria a verificao da causa deste incidente. Considerando a existncia de diversas ferramentas para gerenciamento de rede e que, ao monitor-la, necessrio consultar e analisar relatrios gerados por softwares distintos, estas interpretaes acabam tornando-se trabalhosas e, em alguns casos, podem ser utilizadas como artifcio para desviar a ateno do gerente durante algum processo [CORREA, 1998]. Uma possvel hiptese para auxiliar a tarefa do gerente de rede, seria a criao de uma ferramenta que agrupe as diversas informaes geradas pelas demais em um
ambiente integrado. Baseado nisso, o objetivo deste trabalho desenvolver um estudo sobre as principais ferramentas livres utilizadas para o monitoramento e controle de ambientes de redes. A partir deste conhecimento, projetar e desenvolver uma soluo hbrida que integre as sadas destas ferramentas permitindo desta maneira, uma interao eficiente destas solues e disponibilizando para o administrador da rede uma aplicao centralizada para o gerenciamento de todos os elementos conectados. Este artigo apresenta na seo 2 a fundamentao terica deste estudo, abordando a rea de gerncia de redes, infra-estrutura de gerncia e as principais ferramentas open source utilizadas para este fim. Na seo 3 est descrita a metodologia deste trabalho, apresentando como ser desenvolvida a aplicao proposta, explicando seu funcionamento e discutindo alguns resultados parciais deste projeto. Na seo 4, esto relatadas as consideraes finais sobre o trabalho e por fim, na seo 5, as referncias. 2. Gerncia de Rede O gerenciamento de rede est associado ao controle de atividades e ao monitoramento do uso de recursos. As tarefas bsicas da gerncia em redes so: obter informaes da rede, tratar estas informaes possibilitando um diagnstico e encaminhar as solues dos problemas. Para isso, funes de gerncia devem ser embutidas nos diversos componentes de uma rede, para que possibilitem descobrir, prever e reagir a anomalias [DUARTE, 1996]. Para uniformizar a gerncia de redes, a ISO (International Organization for Standardization), rgo internacional responsvel por padronizaes, classificou as reas funcionais do gerenciamento de redes em cinco categorias. O gerenciamento de desempenho responsvel por quantificar, medir, informar, analisar e controlar o desempenho de diferentes componentes, em virtude de demandas variveis de trfego e falhas ocasionais na rede. O gerenciamento de falhas tem o objetivo de detectar e reagir s condies de falhas transitrias da rede. A terceira rea composta pela gerncia de configurao que possibilita ao administrador saber quais dispositivos fazem parte do ambiente administrado e quais so suas configuraes de hardware e software. O gerenciamento de contabilizao permite que um gerente especifique, registre e controle o acesso de usurios e dispositivos aos recursos da rede. Por fim, a gerncia de segurana controla o acesso aos ativos de acordo com alguma poltica definida [KUROSE e ROSS, 2006]. Nos itens 2.1 e 2.2 sero abordados os componentes do gerenciamento de redes, bem como caractersticas e objetivos de suas principais ferramentas que foram estudadas para desenvolver este projeto. 2.1 A infra-estrutura do gerenciamento de rede O campo do gerenciamento de rede tem sua terminologia especfica para os componentes de uma arquitetura de gerncia. Existem trs componentes principais: uma entidade gerenciadora a qual se caracteriza por uma aplicao executada em uma estao central de gerncia da rede e fornece ao seu responsvel informaes que permitem a anlise e identificao de desvio de comportamentos que podem prejudicar o funcionamento do sistema; os dispositivos gerenciados ativos de rede que integram um conjunto de objetos gerenciveis constitudos por componentes de hardware e
software. Toda informao disponibilizada pelo dispositivo gerenciado organizada em uma base de dados denominada MIB (Management Information Base), que pode ser acessada e modificada pela entidade gerenciadora; e um protocolo de gerenciamento de rede que executado entre a entidade gerenciadora e o agente de gerenciamento, permitindo que a entidade gerenciadora investigue o estado dos dispositivos gerenciados e, indiretamente, execute aes sobre eles mediante seus agentes [KUROSE e ROSS, 2006]. Para a implementao da soluo proposta neste trabalho adotou-se o protocolo SNMP (Simple Network Management Protocol), sendo este instalado e ativo em cada dispositivo gerenciado. Para um monitoramento eficaz dos elementos conectados necessrio o controle do fluxo de informaes, o qual pode indiciar a execuo de aplicaes maliciosas que afetam o comportamento da infra-estrutura da rede, como worms, vrus ou at mesmo utilizao de programas P2P (Peer-to-peer). Desta forma, tem-se no monitoramento de trfego uma prtica essencial para a identificao de comportamentos anmalos [KAMIENSKI et al. 2005]. Alm do monitoramento, necessria a utilizao de uma soluo que capture e analise de forma constante os pacotes e informaes que trafegam pela rede, a fim de identificar possveis vulnerabilidades e tentativas no autorizadas de acesso, assim como atividades ilegais. Um IDS (Intrusion Detection System) rene essas caractersticas, tendo a capacidade de detectar atividades suspeitas, imprprias ou de ataques realizados portas legtimas que no podem ser protegidas por um firewall [NAKAMURA e GEUS, 2007]. Por fim, a utilizao de uma ferramenta que fornea dados dos hosts como aplicaes instaladas, em execuo, uptime, entre outras, completam o conjunto de caractersticas necessrias para definir as principais ferramentas de gerncia de rede analisadas neste trabalho. 2.2 Principais Ferramentas As principais ferramentas utilizadas para gerncia e monitoramento de ambientes de redes estudadas neste projeto tm como caractersticas comuns estarem sob licena GPL (General Public Licence) e serem utilizveis em sistemas baseados em Linux. O MRTG (Multi Router Traffic Grapher), uma ferramenta para coleta de dados que gera grficos referentes ao trfego de rede, possibilita o monitoramento do desempenho dos elementos conectados por meio do fluxo de dados de entrada e sada nas portas dos comutadores da rede. Pode ser utilizado na gerncia de desempenho, verificando o trfego dos hosts monitorados e na gerncia de contabilizao onde verificado o tempo de paralisao dos hosts na rede [CORREIA, 2004]. Outra ferramenta adotada para este trabalho a qual tem a finalidade de monitorar o desempenho da rede o Ntop (Network Traffic Probe). Algumas de suas funcionalidades so: listar e ordenar o fluxo de dados de acordo com vrios protocolos, manter estatsticas permanentemente em banco de dados, identificar passivamente informaes sobre os hosts da rede e decodificar protocolos da camada de aplicao, inclusive os encontrados nos softwares tipo P2P [MANN, 2009]. Para auxiliar na gerncia de segurana tambm so utilizadas ferramentas do tipo IDS (Intrusion Detection System), que trabalham como um alarme contra as intruses. Desta forma possvel realizar a deteco baseada em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento. Este tipo
de aplicativo capaz de detectar e alertar os administradores quanto a possveis ataques ou comportamentos anormais no ambiente de rede [NAKAMURA e GEUS, 2007]. Ainda em consonncia com os autores citados o Snort um sistema IDS baseado em regras, capaz de realizar anlise de trfego em tempo real e registro de pacotes em redes IP. Esta aplicao funciona de acordo com uma srie de funes que, trabalhando de modo integrado, so capazes de detectar, analisar e responder atividades suspeitas, podendo ser aplicados para prevenir de forma eficiente incidentes de segurana. Outra ferramenta no segmento de aplicaes para monitoramento o Nagios, um aplicativo que monitora hosts e servios de rede com o intuito de alertar os administradores sobre possveis problemas. Este software capaz de identificar servios e recursos de forma remota. Alm do Nagios, outra ferramenta que possui caractersticas semelhantes com as que ele apresenta o Cacti, que por sua vez utiliza scripts em Bash, Perl, XML para coletar informaes locais ou remotas atravs do SNMP. Seus principais scripts medem a latncia entre os hosts, uso de interfaces de rede, uso do CPU, memria, disco, usurios conectados, etc. [NETO e UCHA, 2006]. Com base no estudo destas ferramentas ser feita a proposta para o desenvolvimento do S.I.M (Sistema Integrado de Monitoramento), abrangendo algumas das caractersticas que cada uma dispe, reunindo e comparando suas informaes em um nico ambiente integrado. 3. Proposta de Integrao Para o desenvolvimento deste projeto, as ferramentas escolhidas atendem aos requisitos mnimos de: consentir as exigncias da ISO (International Organization for Standardization), respeitar as reas do gerenciamento de redes (gerenciamento de desempenho, de configurao, de contabilizao, de segurana e de falhas) e principalmente terem a capacidade de integrarem as informaes geradas entre si. Tabela 1. Comparativo entre Ferramentas Software Tipo Principais caractersticas MRTG Monitor de Desempenho Monitora os hosts e gera logs do trfego de rede. Ntop Monitor de Desempenho Monitora o trfego de acordo com diversos protocolos. Snort Deteco de Intruso Detecta e responde a atividades suspeitas na rede. Nagios Monitor de Rede Disponibiliza informaes sobre hosts e servios da rede. Cacti Monitor de Rede Disponibiliza informaes sobre hosts e servios da rede. A Tabela 1 apresenta as ferramentas estudadas e suas principais caractersticas, a partir disto foram escolhidas trs ferramentas para comporem o novo aplicativo proposto: Ntop, Snort e um script em Perl. Este ltimo foi escolhido pelo fato de ser mais simples e objetivo na tarefa de obter informaes sobre os hosts, dispensando a instalao de outra ferramenta para a obteno dos mesmos dados. Para realizar a integrao das ferramentas definidas, elas sero instaladas em um ambiente baseado em Linux e geraro relatrios, como o trfego de rede (Ntop), informaes referentes captura, anlise de pacotes (Snort) e alm de informaes sobre os hosts (script Perl). Fundamentado nisso, foram escolhidas trs ferramentas para comporem o novo aplicativo proposto: Ntop, Snort e um script em Perl. Este ltimo foi escolhido pelo fato de ser mais simples e objetivo na tarefa de obter informaes sobre os hosts, dispensando a instalao de outra ferramenta para a obteno dos mesmos dados. Para
realizar a integrao das ferramentas definidas, todas elas sero instaladas em um ambiente baseado em Linux e geraro relatrios sobre o trfego de rede (Ntop), informaes referentes captura e anlise de pacotes (Snort), alm de informaes sobre os hosts (script Perl). 3.1 Desenvolvimento da aplicao A tecnologia adotada para a implementao do software PHP (PHP Hypertext Processor), pois esta linguagem de programao permite de forma simples e eficiente a integrao dentre o Ntop e Snort. Outra grande vantagem do PHP a facilidade de visualizao e interpretao das informaes geradas pelas aplicaes de monitoramento, alm de possibilitar a disponibilizao das mesmas na WEB.
Figura 1. S.I.M Arquitetura bsica da aplicao Para compreender a forma como est proposta a integrao apresentada na Figura 1, primeiramente deve-se entender, em baixo nvel, como e que informaes cada uma delas fornece sobre o ambiente de rede e principalmente a maneira como cada uma delas armazena os dados de seus relatrios. O Ntop apresenta algumas caractersticas pontuais, como o fato de que aps instalado, suas configuraes s podem ser realizadas atravs da interface web. Ao ser iniciado, por padro, roda como daemon, disponibilizando um mtodo de consulta as informaes sobre os hosts na rede, por meio de uma funcionalidade chamada Data Dump, atravs da qual possvel requisitar dados via comando wget do PHP. Atravs deste comando, o Ntop retorna um array com dados sobre os hosts presentes na rede. Este array possui informaes como: nome do host na rede, pacotes enviados e recebidos organizados pelos protocolos configurados na execuo da ferramenta, entre outras. Essas informaes sero utilizados para identificar comportamentos anmalos no ambiente de rede. Um exemplo de retorno do Ntop est apresentado na Figura 2, presente na pgina seguinte. Assim o Ntop retorna via Data Dump um array com dados sobre os hosts presentes na rede. Este array possui informaes como: nome do host na rede, pacotes enviados e recebidos organizados pelos protocolos configurados na execuo da ferramenta. Essas informaes sero utilizados para identificar comportamentos anmalos no ambiente de rede. A prxima ferramenta a ser utilizada nessa proposta de integrao ser o Snort, ferramenta IDS utilizada no gerenciamento de rede. Sua instalao requer uma base de dados MySQL, a libpcap que uma biblioteca utilizada para captura de pacotes na rede e as regras que sero utilizadas no monitoramento. Assim que instalado, so inseridas e habilitadas s regras da aplicao que serviro para detectar possveis ameaas a rede, alm disso, configurada a forma de
sada, local onde so armazenadas as informaes referentes s ameaas detectadas pela ferramenta. Neste projeto ser utilizada a sada via banco de dados MySQL, para isso tambm ser aplicado ao Snort o plugin BASE (Basic Analysis and Security Engine), pois facilitar a integrao com as demais ferramentas devido a melhor organizao dos dados armazenados e a facilidade de conexo do PHP, linguagem de desenvolvimento da nova aplicao, com o MySQL. Figura 2. Dados retornados via Ntop
Figura 3. Estrutura de uma tabela do Snort A Figura 3 representa o local onde ficam armazenadas as ocorrncias geradas pelas regras ativas no Snort. A partir dela podem ser obtidas informaes como endereo IP de quem fez a requisio, bem como o de destino, a data e hora (timestamp) em que aconteceu o evento, uma descrio do evento, entre outras. Estes dados sero utilizados na integrao proposta pela nova aplicao. Por sua vez, o script em Perl extrai as informaes de dados do dispositivo gerenciado atravs do servio SNMP. Este servio responsvel pelo gerenciamento e respostas das requisies de informaes do protocolo de gerenciamento no servidor, que busca os dados na MIB. Para este tipo de requisio o servio de SNMP deve estar instalado e ativo no dispositivo gerenciado de destino.
Figura 4. Comandos utilizados para obter informaes via SNMP 3.2 Funcionamento da aplicao O ponto de partida para o funcionamento da ferramenta que est sendo proposta ser o monitoramento do trfego de rede e a captura de pacotes do Snort, conforme a Figura 5.
Figura 5. S.I.M Funcionamento Bsico da Aplicao
A baseline gerada pelo Ntop via Data Dump, que a define de acordo com a mdia de trfego do host. Sempre que for percebida alguma anomalia no trfego do ativo monitorado, o S.I.M buscar informaes mais detalhadas sobre o que est acontecendo atravs do relacionamento das informaes de consumo geradas pelo Ntop com a captura de pacotes do Snort. Em seguida, enviado o IP do host envolvido na anomalia como parmetro para a chamada de execuo do script Perl, que por sua vez buscar as informaes como nome da mquina, MAC da interface de rede, uptime e processos em execuo, gerando um arquivo .txt que interpretado pelo S.I.M. Por fim, todas as informaes referentes ao incidente so armazenadas na base de dados da ferramenta. O S.I.M deve fornecer ao administrador da rede e tambm a equipe de suporte aos usurios um conjunto de informaes relevantes, a fim de auxiliar na soluo de problemas ou anomalias identificadas no ambiente de rede. A resposta rpida a esses incidentes est diretamente relacionada ao tempo despendido na deteco dos mesmos, sendo desta forma imprescindvel para a equipe de TI receber informaes rapidamente, diminuindo assim o tempo de resposta no tratamento das causas identificadas. A aplicao apresenta uma soluo simples para a questo da comunicao dos incidentes detectados: primeiramente o S.I.M se encarregar de criar uma base das anomalias identificadas e juntamente com o armazenamento dos dados, e-mails de alertas sero disparados para o administrador da rede e responsveis pela rea de TI. Por fim, o administrador da rede acessa o sistema e visualiza todas as informaes referentes aos incidentes detectados, podendo informar a medida adotada em cada caso, para que, a partir dessas informaes, possa ser criada uma base de conhecimentos sobre as anomalias da rede para ser utilizada futuramente. 3.3 Resultados Parciais Este projeto j est em fase de desenvolvimento, at aqui sua estrutura conta com a interao entre o Ntop, Snort e script Perl funcional, operando de forma automtica via crontab. As informaes geradas pelo S.I.M podero auxiliar o gerente na busca por anomalias na rede, visto que, quando o trfego de rede foge ao padro que o host em questo possui, a ferramenta pesquisa no Snort os alertas que aquele ativo gerou no mesmo espao de tempo em que o trfego foi considerado anormal. As informaes integradas so apresentadas ao administrador de rede, com isso, ele possui maior conhecimento sobre o que e onde esto ocorrendo possveis problemas. Com a visualizao integrada proporcionada pelo S.I.M. tem-se um grande impacto sobre a gerncia da rede, pois com estas informaes o gerente pode tomar decises mais concisas, tendo em vista que esta ferramenta facilita a anlise do possvel incidente de rede. Outra vantagem da anlise atravs da ferramenta central a reduo do nmero de possveis falsos positivos gerados pela anlise de um software isolado, problemas de sincronismo de horrios entre os servidores ou mesmo erro de interpretao do gerente ao utilizar multi telas para comparao. Na Figura 6 apresentado a tela principal do S.I.M, mostrando as anomalias identificadas, o range de IPs que a ferramenta est configurada para trabalhar e tambm uma lista com os hosts ativos na rede. O sistema apresenta as anomalias dividindo-as em cores, vermelho para as que ainda no foram averiguadas, amarelo para as que esto em anlise e verde para as que j foram analisadas pelo administrador da rede. Ao clicar na anomalia so apresentadas maiores informaes sobre as mesmas.
Figura 6. S.I.M Print screen da ferramenta 4. Consideraes Finais Os objetivos deste projeto esto sendo gradualmente alcanados, atravs dos resultados obtidos com a implementao e testes do S.I.M. Tais resultados demonstram que possvel agilizar o processo de deteco de anomalias em uma rede de computadores, atravs da sinergia e do cruzamento de informaes relevantes sobre o funcionamento da rede, e da disponibilizao destas aos administradores do ambiente. O S.I.M proporciona, com suas atividades de monitoramento do fluxo da rede, captura de pacotes e da interseco destas informaes, uma reduo no tempo de deteco e tratamento das anomalias em um ambiente conectado e distribudo. Alm disso, a base de conhecimento, implementada a partir do registro de dados sobre os problemas identificados, disponibiliza uma amostragem que poder ser utilizada em trabalhos futuros. 5. Referncias CORREA, Claudio (1998). Deteco de Ataques em Redes de Computadores, http://www.das.ufsc.br/gia/pb-p/rel-claudio-00/relatorio.html, Maio. CORREIA, Marcelo (2004), Gerncia de Redes, http://www.ccet.unimontes.br/arquivos/dcc/gilmara/1144.pdf, Maio. DUARTE, Otto M.B. (1996). Gerenciamento de Redes, http://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html#sec1a, Maio. KAMIENSKI, Carlos; SOUZA, Tatiane; FERNANDES, Stenio; SILVESTRE, Guthemberg; SADOK, Djamel. Caracterizando Propriedades Essenciais do Trfego de Redes Atravs de Tcnicas de Amostragem Estatstica, SBRC 2005. KUROSE, James F.; ROSS, Keith W. (2006). Redes de Computadores e a Internet Uma Abordagem Top-Down, So Paulo, Edio 3. MANN, Cesar (2009). Anlise Constante, http://ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/referencias/TCC-2009.pdf, Junho. NAKAMURA, Emilio T.; GEUS, Paulo L. (2007). Segurana de Redes em Ambientes Cooperativos, So Paulo, Edio 1. NETO, Arlindo; UCHA, Joaquim (2006). Ferramentas Livres Para Monitorao de Servidores, http://www.ginux.ufla.br/files/artigo-ArlindoNeto,JoaquimUchoa.pdf, Junho.