Você está na página 1de 10

DarkStat para BrazilFW

NDICE

ndice O que o DarkStat DarkStat e a inicializao do sistema DarkStat e a finalizao do sistema Tela Principal do DarkStat Gerenciar monitoramento configurados para o DarkStat Recarregar monitoramentos ativos do DarkStat Gerenciando monitoramentos Elementos da tela Visualizando um monitoramento Ativando/Desativando/Excluindo um monitoramento Criando um novo monitoramento Editando um filtro para um monitoramento existente Editando um monitoramento existente Recarregando monitoramentos ativos

Pgina 1 Pgina 2 Pgina 2 Pgina 2 Pgina 3 Pgina 3 Pgina 3 Pgina 4 Pgina 4 Pgina 5 Pgina 7 Pgina 7 Pgina 9 Pgina 10 Pgina 10

DarkStat para BrazilFW

Pgina 1

O que o DarkStat
DarkStat um utilitrio de monitoramento de rede baseado na biblioteca pcap. O DarkS tat executa o monitoramento baseando-se em uma interface de rede previamente selecionada e, opcionalmente, filtros. Uma vez ativo um monitoramento do DarkS tat, capturado o trfego de rede e com os dados capturados so gerados grficos e relatrios sobre utilizao de banda. Com o DarkS tat possvel ter estatsticas de acesso de cada host na rede, podendo-se inclusive saber a quantidade de dados enviados e recebidos por cada porta e protocolo em cada host da rede. O DarkS tat permiti a utilizao de filtros para a captura de trfego. Tais filtros devem ser defenidos aps a criao do monitoramento. Por padro o addon DarkS tat para BrazilFW j vem com um monitoramento ativo, sendo ele sem filtros, e configurado para a interface eth0. Mais adiante veremos as telas e opes para gerenciamento e edio de monitoramentos e seus respectivos filtros, entre outras...

DarkStat e a inicializao do sistema


Quando o BrazilFW carregado, um script se encarrega de confirmar as configuraes para o DarkStat. Esse script verifica se existem monitoramentos configurados e quais destes esto configurados como ativo. Caso sejam encontrados monitoramentos configurados como ativos o script de inicializao verifica se estes foram configurados como monitoramentos contnuos, verifica se existem dados salvos anteriormente pelo monitoramento em questo, importa os dados existentes referentes ao monitoramento e carrega o monitoramento. Uma vez carregado o monitoramento, suas informaes poderam ser vistas em tempo real atravs de um browser/navegador web.

DarkStat e a finalizao do sistema


Quando o BrazilFW desligado ou reiniciado, executado um script para o desligamento correto do DarkStat. Esse script encarrega-se de finalizar corretamente todos os monitoramentos do DarkS tat que estiverem ativos no momento.

DarkStat para BrazilFW

Pgina 2

Tela principal do DarkStat


Na tela principal do DarkStat (figura 1) encontramos dois links, os quais sero explicados a seguir.

Figura 1 Tela principal do DarkStat Gerenciar monitoramento configurados para o DarkStat Esse link nos leva a tela de gerenciamento dos monitoramentos do DarkStat. Onde podemos criar novos monitoramentos, excluir/editar/ativar/desativar monitoramentos existentes e editar filtros para serem aplicados aos monitoramentos existentes. Recarregar monitoramentos ativos do DarkStat Esse link executa as rotinas de finalizao e inicializao dos monitoramentos configurados como ativos. Tambm pode ser utilizado para aplicar alteraes que tenham sido efetuadas em monitoramentos criados/configurados.

DarkStat para BrazilFW

Pgina 3

Gerenciando monitoramentos
Como vimos na explicao anterior, o link Gerenciar monitoramentos configurados para o DarkStat nos leva a tela de gerncia dos monitoramentos. Uma vez nesta tela, poderemos efetuar aes de gerncia dos monitoramentos, porm, para isso precisamos conhecer a tela de gerncia dos monitoramentos (figura 2). Elementos da tela Aes que podem ser realizadas para cada monitoramento. Observe que as opes variam de uma linha para outra. Isso ocorre por que os monitoramentos possuem caractersticas e valores diferentes (por exemplo, Editar Filtro s ser exibido para monitoramentos que foram criados com um tipo de filtro selecionado).

Informaes dos monitoramentos configurados.

Esse link nos leva tela de cadastro/ criao de um novo monitoramento.

Esse link nos leva de volta a tela principal do DarkStat.

Figura 2 Tela de Gerncia de Monitoramentos do DarkStat.

DarkStat para BrazilFW

Pgina 4

Visualizando um monitoramento Uma vez na tela de gerncia de monitoramentos, basta clicar no link Visualizar, localizado na coluna Aes na linha referente ao monitoramento que se deseja visualizar. Ao clicarmos no link citado, abriremos uma nova janela (ou aba) do/no navegador web. Nessa nova janela/aba ser exibido o relatrio do monitoramento que selecionamos. A tela do relatrio de monitoramento atualizada em tempo real (opcional) e conta com com alguns elementos que sero mostrados a seguir (figura 3):

Link homepage Nos leva a homepage do projeto original.

Link hosts Exibe uma tabela com a listagem de hosts e informaes referentes ao trfego de cada um desses hosts. Link graphs Exibe a tela dos grficos (essa que estamos vendo na figura).

Boto On/Off Habilita/Desabilita a atualizao em tempo real dos grficos exibidos na tela.

Boto Reload Graphs Recarrega os grficos (atualiza os dados)

Figura 3 Tela de relatrio de um monitoramento do DarkStat.

DarkStat para BrazilFW

Pgina 5

Veremos a seguir mais detalhes da tela de visualizao, mais especificamente, da tabela com a listagem de hosts e informaes referentes aos mesmo. A figura abaixo (figura 4) mostra a tabela com a listagem de hosts e as informaes dos mesmos que foram capturadas no monitoramento.

Figura 4 Tabela de Hosts e suas informaes capturadas pelo monitoramento. Nessa tabela, basta que cliquemos no IP referente ao host para visualizarmos outra tela com detalhes das conexes efetuadas pelo host selecionado (figura 5). Nessa tela temos informaes de quantidade de banda I/ O por cada porta TCP/ UDP, tendo na parte inferior da tela uma pequena tabela mostrando o total de conexes e banda I/O por protocolo (tcp, udp, icmp, egmp, etc...).

Figura 5 Tela de detalhes do host selecionado.

DarkStat para BrazilFW

Pgina 6

Ativando/Desativando/Excluindo um monitoramento As funes de Ativar, Desativar, Excluir, Editar e Editar Filtro encontram-se na coluna Aes da tabela de monitoramentos do DarkStat (tela de gerncia de monitoramentos do DarkStat). S uas funes so auto-explicativas, no necessitando assim que entremos em mais detalhes para todas. Criando um novo monitoramento Na tela de gerncia dos monitoramentos (vide Figura 2) encontramos o link Criar Novo Monitoramento, o qual nos leva a uma tela na qual devemos preencher/ selecionar algumas opes para o novo monitoramento. Cada monitoramento s pode ser efetuado baseando-se em uma interface de rede (ethX, athX, wlanX, brX), por isso temos a opo com DarkS tat de criar vrios monitoramentos, inclusive para a mesma interface (por exemplo, poderemos criar um monitoramento para eth0 que somente capture pacotes referentes a um IP em especifico e depois criarmos outro monitoramento tambm para eth0 capturando todos os pacotes referentes a porta 21). Abaixo veremos, na figura 6, a tela de configurao/criao de um novo monitoramento:

Figura 6 Tela de cadastro/criao de novo monitoramento. Repare que temos 9 campos para preencher/selecionar. A seguir veremos, com um pouco mais de detalhes, cada um desses campos e qual sua funo no monitoramento:

DarkStat para BrazilFW

Pgina 7

Ativar Nesse campo definimos se o monitoramento estar ativo ou no. Caso deixemos o monitoramento ativo, o mesmo j entrar em funcionamento ao acabarmos de cadastr-lo. Interface Nesse campo selecionamos qual a interface de rede que ser monitorada pelo novo monitoramento. As opes variam de servidor para servidor (so preenchidas com base no hardware detectado no servidor). Promscuos Mode Nesse campo devemos especificar se o monitoramento utilizar o modo promiscuo para a captura de dados. Para maiores informaes sobre promscuos mode, por favor, efetue pesquisas na internet. Resolver Nomes Nesse campo devemos informar se o monitoramento far utilizao do servidor DNS para resolver os nomes dos host capturados no monitoramento. Essa opo exige mais memria do sistema. Em caso de servidores com pouca memria a recomendao no ativar a resoluo de nomes. Exibir MACs Nesse campo devemos informar se o monitoramento ir capturar os endereos MAC de cada IP/ Host capturado. Essa opo exige mais memria do sistema. Em caso de servidores com pouca memria a recomendao no ativar a exibio de MACs. Porta para visualizao Nesse campo devemos especificar qual a porta que ser utilizada para a visualizao do relatrio do monitoramento. No devemos especificar portas que estejam em uso. Procure verificar quais servios esto ativos no seu servidor e que portas esses servios utilizam para que no haja problemas de conflitos de portas. Acesso Remoto Nesse campo devemos especificar se o acesso ao relatrio do monitoramento (via browser/navegador web) ser realizado apenas atravs da rede local (endereo IP principal do servidor) ou se tambm poder ser efetuado atravs da internet (acess-lo atravs do IP externo seguido da porta configurada, por exemplo, HTTP://189.128.74.23:667). Monitoramento Contnuo Nesse campo devemos especificar se o monitoramento ser reiniciado de onde parou ou do zero. Por exemplo, ativamos um monitoramento no dia 23/ 01/ 2010, porm, no dia 25/ 01/ 2010 tivemos que reiniciar o servidor. Ao reiniciar o servidor o monitoramento ser reiniciado. Esse campo serve para especificar se esse monitoramento continuar de onde ele parou ou se os grficos e estatsticas iniciaro do zero novamente. Filtro Nesse campo devemos especificar se utilizaremos filtros ou no no monitoramento. Caso optemos por utilizar filtros, devemos selecionar que tipo de filtro utilizaremos. O filtro somente ser definido aps o cadastro do monitoramento. Temos duas opes de filtros: S imples e Avanado. O filtro S imples editado utilizando uma espcie de assistente e realmente simples. O filtro Avanado j mais complexo, por que no conta com um assistente. No filtro Avanado, o filtro construdo baseando-se nos filtros do TCPDUMP, o que exige um certo grau de conhecimento. Mais adiante, nesse tutorial, iremos ver em detalhes a criao de filtros Depois de termos preenchido TODOS os campos do formulrio, basta clicar no boto Enviar para concluirmos o cadastro do novo monitoramento.

DarkStat para BrazilFW

Pgina 8

Editando um filtro para um monitoramento existente Aps criarmos/cadastrarmos um novo monitoramento, caso tenhamos selecionado algum tipo de filtro para o monitoramento (S imples ou Avanado), poderemos editar o filtro para o monitoramento. Para tal devemos clicar no link Editar Filtro (coluna Aes, linha referente ao monitoramento desejado). Ao clicarmos nesse link, iremos para a tela de edio do Filtro. Contamos no DarkS tat, com dois tipos de Filtro: Filtro S imples e Filtro Avanado. Cada um possui uma tela especifica para sua edio, como veremos a seguir nas figuras 7 e 8: Aqui devemos selecionar um item para ser filtrado (Nome de Host, IP, Rede ou porta).

Aqui devemos selecionar como o filtro atuar. Filtrando por origem, destino ou ambos.

Aqui devemos definir um valor para o campo anterior (por exemplo, se selecionamos IP, devemos inserir um endereo IP).

Figura 7 Tela de edio de Filtro Simples

Esse link aponta para um manual de filtros do TCPDUMP (em ingls). Aqui devemos digitar/construir um filtro baseado em filtros do TCPDUMP.

Figura 8 Tela de edio de Filtro Avanado.

DarkStat para BrazilFW

Pgina 9

Editando um monitoramento existente A edio de monitoramentos existentes consiste em clicar-se no link Editar (coluna Aes, linha referente ao monitoramento desejado). Isso ir levar-nos a tela de edio de monitoramento. Essa tela idntica a tela de cadastro/ criao de um novo monitoramento, portanto, no entraremos em detalhes sobre ela. Qualquer dvida, basta consultar o captulo Criando um Novo Monitoramento (pgina 7).

Recarregando monitoramentos ativos


utilizado para encerrar e reiniciar os monitoramentos ativos do DarkStat. Pode ser utilizada tambm para aplicar alteraes realizadas em filtros e/ou monitoramentos existentes. Basta ir Tela Principal do DarkS tat e clicar no link Recarregar Monitoramentos Ativos do DarkStat. A tela mostrada a seguir (figura 9) exibe as estatsticas de encerramento e reinicio dos monitoramentos ativos.

Figura 9 Tela de Recarga de monitoramentos ativos do DarkStat. Caso, na tela exibida na figura 9, seja exibida alguma mensagem de falha (Falha!), recomendado que se execute novamente a Recarga dos monitoramentos ativos. Caso a mensagem persista, deve-se reiniciar o servidor.

Amigos, espero ter ajudado com esse pequeno Tutorial. Qualquer dvida, por favor, postar em WWW.brazilfw.com.br (provavelmente existir o tpico sobre o DarkS tat em AddonFactory).

DarkStat para BrazilFW

Pgina 10