Escolar Documentos
Profissional Documentos
Cultura Documentos
1.
Introduo
2. Fundamentao Terica
Dentre as diversas tecnologias de monitoramento de redes, trs se destacam:
SNMP[14], Sniffer e Netflow. A seguir, possvel observar uma viso geral destas
ferramentas e entender melhor o funcionamento do Netflow.
2.1.
SNMP
A primeira tecnologia de monitoramento e a mais simples o uso do protocolo
Netflow:http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html
SNMP. O protocolo SNMP, por sua ampla aceitao entre os principais fornecedores de
dispositivos de rede e por implementar as polticas de gerenciamento de redes definido
pelo modelo TCP/IP, tornou muito comum seu uso.
O SNMP, por ser um padro mais antigo, j vem embutido em vrios
dispositivos como roteadores ADSL, switches e dispositivos de redes em geral[9]. O
SNMP tambm pode ser instalado em sistemas operacionais. Por ser um padro mais
tradicional, o SNMP o protocolo mais utilizado para monitoramento, pois fcil de
ser configurado, requer pouca largura de banda e pouca carga de CPU. Para estudos
iniciais de monitoramento, recomenda-se o uso de SNMP. Existem ferramentas open
source que integram o monitoramento com SNMP; entre elas, pode-se mencionar o
MRTG2 que bem simples de se configurar e o Nagios 3 , que possibilita configurar
muitas funes teis, sendo um forte aliado ao gerente de rede.
O SNMP um sistema de monitoramento baseado em trs fatores: Aplicaes
Agente, Aplicaes Gerente e um esquema de comunicao predefinidos nas bases de
informaes gerenciais(MIB). As aplicaes agentes ficam instaladas nos ativos das
redes que se pretende monitorar. A aplicao gerente executada em um servidor, que,
por sua vez, coleta todos os dados dos ativos configurados com a aplicao agente.
Dessa forma, os administradores acessam os grficos e tabelas atravs de uma interface
para aplicao gerente e assim so conhecidas as atividades que ocorrem na rede[12].
De acordo com [1], a leitura de informao de trfego baseada no SNMP est
implementada na extrao dos dados armazenada nas MIB dos agentes dos dispositivos
de rede. A informao do fluxo que pode ser extrada pelo SNMP inclui: bytes de
entrada, bytes de sada, pacotes de sada e assim por diante. A tecnologia de
monitoramento do trfego baseada no SNMP mais fcil e conveniente de se utilizar.
Suas desvantagens esto na preciso ao obter os dados, alm de ser pobre sobre as
informaes da rede, principalmente as informaes extradas da camada de rede e da
camada de transporte dos equipamentos. Isso comprovado em [3] ao mencionar que
informaes teis como: origem e destino de endereo IP de um dado e sua respectiva
porta TCP/UDP est disponvel no Netflow, porm, no possvel obter esses dados ao
trabalhar com SNMP.
Em um outro contexto que tambm evidencia esses pontos fracos do SNMP est
na soluo proposta por [2], que menciona o protocolo SNMP em no gerar dados
precisos em conexes fim a fim.
Dependendo da situao de monitoramento, conforme discutido em [3], o SNMP
pode ser usado como uma alternativa ao Netflow, desde que o administrador de TI tenha
a certeza que as informaes bsicas como pacotes/seg, bytes/seg sejam suficientes.
Essas razes justificam o fato do SNMP no ter sido usado como implantao,
pois se buscava uma tecnologia de monitoramento que produzisse informaes mais
precisa sobre o trfego da rede.
2.2.
Sniffers
2
3
4
5
obter os trfegos da rede no qual vai ser usado em um sistema de quota de acesso
Internet baseado na prioridade.
Em uma situao diferente, est uma soluo de IDS[4], em que o Netflow
utilizado como base para o sistema de coleta de informao. Nossa proposta e o IDS so
muito similares na sequncia de processamento de dados. Ambos trabalham com coleta
de dados via Netflow e a posterior anlise. A diferena que o IDS trabalha com
algoritmos para detectar padres de anomalias ou trfego suspeito j automatizado.
Enquanto o nosso trabalho j faz uma abordagem ao dar uma coleo de dados bem
detalhados do trfego para o gerente de TI ver o panorama da rede.
As verses 5 e 9 do protocolo Netflow so as mais populares [10]. O Neflow
verso 9 um mtodo flexvel e extensvel para registrar os dados de desempenho da
rede. a base de um novo padro IETF 6 conhecido como IPFIX 7 ou verso 10 do
Netflow.
O Netflow foi a tecnologia utilizada para caracterizao do trfego no nosso
trabalho, devido a uma srie de fatores vantajosos, como facilidade de trabalhar com
grande volume de dados e conseguir monitorar o trfego por endereos IP especficos.
Em nosso experimento, usamos a verso 9 do protocolo que disponibiliza a
ferramenta nProbe. Diante de tantas vantagens, o Netflow foi escolhido como a base
para a observao do trfego. Seus dados gerados se mostram eficientes para montar a
base de monitoramento.
3. Metodologia
Diante das razes mencionadas, ficou em evidncia que o Netflow um protocolo
muito utilizado para soluo de uma variedade de problemas relacionados ao
monitoramento de redes. O Netflow atende aos objetivos propostos em nosso trabalho.
Como j foi definido o mtodo de captura de dados referente ao trfego, o passo
seguinte foi selecionar o sistema de coleta para anlise e processamento dessas
informaes. Ento, avaliando os critrios de licena livre, facilidade na instalao e
configurao e a exposio da maior quantidade de informaes possveis, o Ntop foi a
ferramenta escolhida.
3.1. A infraestrutura Netflow
O Netflow surgiu como um projeto desenvolvido para os roteadores da Cisco.
Com o passar do tempo, ele se tornou eficiente para a captura de informaes que
podem mencionar o uso da largura de banda passante em um roteador. Sua consolidao
no mercado chamou a ateno do IETF para us-lo como padro para todos os outros
roteadores nascendo assim o IPFIX.
A infraestrutura Netflow define uma forma simples e escalvel de amostragem
de fluxos de dados trafegando por dispositivos de rede como roteadores e switches. Essa
infraestrutura est baseada na noo de fluxo e permite a medio, identificao e
anlise dos trfegos em uma rede de computadores[7].
Um fluxo definido como uma sequncia unidirecional de pacotes trafegando de
um ponto a outro na rede. Os pontos fonte e destino de um fluxo so identificados pelos
6
7
gerado pelas sondas nProbe. Embora dentro de sua estrutura seja capaz de apresentar
vrios tipos de relatrios, ela no permite a utilizao de consultas arbitrrias denidas
pelo administrador de redes no mtodo desenvolvido em [11], mas chega muito prximo
a isso, uma vez que o tempo de atualizao da tela do browser pode ser reduzido.
Desde o seu desenvolvimento, o Ntop um aplicativo voltado para Linux,
porm, com o passar o tempo, houve a necessidade de criar uma verso para Windows.
Assim, nas duas plataformas, esse aplicativo capaz de mostrar a utilizao da rede
detalhada dando a opo de exibir a utilizao do trfego por host, protocolo entre
outras informaes. A interface web dessa ferramenta capaz de gerar grficos, o que
facilita a interpretao das estatsticas de uso. O desenvolvedor dessa ferramenta dispe
de uma variedade de verses melhoradas da que foi utilizada em nosso trabalho. Porm,
a verso baixada contm muitos recursos, o que foi suficiente para realizar a
implantao.
O Ntop no possui em sua configurao um arquivo separado, logo se for
necessrio utilizar alguma configurao diferente dos valores padres, ser necessrio
passar argumentos via linha de comando ou criar um pequeno script que faa isso.
A utilizao desse programa bastante simples, basta iniciar o Ntop e em
seguida acessar o endereo http://<ip-do-servidor>:3000 no seu navegador. Na primeira
vez em que executado, solicitado uma senha de administrador, que poder ser
utilizada depois para configurar alguns parmetros via interface web.
4. Implantao
O ambiente de implementao uma rede local de uma instituio de ensino que
dispe de um nico link para Internet de 1Gbps e uma rede local de 100 Mbps. A rede
local est formada por trs sub-redes usando a tcnica do IP Aliases.
IP Aliase uma tcnica de criao de placas virtuais para facilitar comunicaes
com outras sub-redes. Assim a partir de placa fsica, pode-se multiplic-las em vrias
placas virtuais. Em Linux, a linha de comando:
ifconfig ethX:Y <IP> netmask <mscara> up.
Sendo os parmetros:
X: o numero da interface fsica;
Y: o nmero da interface virtual;
IP: IP da sub-rede;
mscara: a mscara da sub-rede.
Dessa forma, aplicando esse comando, foi possvel obter as seguintes sub-redes:
Etapa 01: Definio do gateway, que um roteador que funciona como sada de
rede, como o local estratgico para a instalao da sonda nProbe, que far a coleta das
estatsticas do fluxo. O gateway nico da rede centraliza todo trfego de dados das trs
sub-redes, seja entre elas ou com a Internet. Esse fator em comum faz do gateway o
local estratgico de toda a captura das informaes necessrias para serem avaliadas e
estudadas.
Etapa 02: Configurao do coletor Ntop em uma mquina virtual. Essa estrutura
de separar o coletor da mquina que a sonda foi instalada para manter a simulao de
um ambiente de coleta onde os roteadores e coletores ficam em equipamentos
diferentes. Essa estratgia exibida na Figura 2, em um meio simplificado de mostrar a
transposio dos dados coletados.
teste
no
site
do
desenvolvedor:
arquivo:
Aps esse comando, a sonda Netflow est instalada e pronta para ser executada.
O passo seguinte foi informar onde est localizada a ferramenta de coleta dos
datagramas Netflow atravs do comando:
#nprobe -V 9 -i eth0 <ip:porta> > /dev/null &
O retorno da execuo desse comando o seguinte: o argumento -V 9 informa
que vai capturar os pacotes e vai exportar os datagramas na verso 9 do protocolo
Netflow. Isso deve ser mencionado, j que a verso 5 a padro. O argumento -i eth0
diz qual a interface da rede que os pacotes vo ser capturados. No argumento
<ip:porta:>, o administrador de TI deve informar o endereo de rede e a porta que ser
definida no coletor. Os comandos seguintes informam que a sada deve ser suprimida e
rodar em background.
Esse mesmo comando foi colocado em um script de inicializao. Caso haja
algum erro no comando, o processo deve ser morto. Cada comando digitado gera um
novo processo.
Essa ferramenta foi instalada em um servidor gateway que roda um Debian 6.0
Squeeze kernel 2.6.32-5-amd64, CPU Phennom II X4 B95 3.0 GHz Quard-Core; 8GB
de memria RAM e Placa de Rede Broadcom NetXtreme Gigabit Ethernet.
4.2. Preparao do Coletor
A mquina virtual executa um Linux Debian 6.0 kernel 2.6.32-5-686. A verso do
Ntop que foi utilizada a 4.99.3 (32 bit).
O processo de instalao, configurao e execuo do Ntop muito simples no
Debian 6. Precisamos apenas executar os seguintes comandos. No precisa de
configurao adicional j que ele no vai atuar como uma sonda.
#apt-get install ntop
#/etc/init.d/ntop start
Aps esses comandos, o passo seguinte coloc-los no modo coletor. Por
padro, a porta de escuta para receber os datagramas Netflow a 2055.
Para acessar, via browser, o Ntop, preciso que seja informado endereo e porta
do servidor. Por default, a porta que roda o Ntop a 3000. Logo, segue o modelo que
deve ser digitado: <IP do servidor> :3000.
Depois s navegar nos menus: Menu Plugin Netflow View/Configure:
alterar ou criar uma nova interface para o dispositivo Netflow.
Na opo Local Collector UDP Port, definir o nmero da porta. O administrador
de TI deve ser coerente com o nmero dessa porta, ela deve ser igual definida via
ferramenta nProbe.
Aps definido isso, s preciso desativar e , em seguida, reativar novamente o
processo Netflow, posto que a coleta das estatsticas j estar funcionando. Isso pode ser
feito atravs do prprio browser do Ntop.
Para ver os dados coletados, preciso que a interface configurada anteriormente
seja selecionada. Isso pode ser feito via Admin Switch NIC <interface
configurada>.
A verso do Ntop trabalhada que no fizer acesso a banco de dados e ficar tudo
5.
Resultados
ambos.
RRDTool que o acrnimo para Round Robin Databases Tool. uma interface para gerao de grfico
em ciclo, bastante utilizado nas ferramentas de monitoramento de rede.
A sonda nProbe uma ferramenta comercial. A verso que foi obtida para
realizao do nosso trabalho mais restrita e foi configurada para se trabalhar nos
protocolos da camada de rede ICMP e os de transporte UDP e TCP, que suficiente para
cumprir nossa meta. Porm, a ferramenta mostra que possui caracterstica para se
trabalhar com configuraes avanadas para enxergar os protocolos como IPSec, IGMP,
OSPF, porm, em outra verso da ferramenta e em outro modelo de configurao.
A figura 06 mostra o quanto a rede social facebook muito solicitada ocupando
mais de 70% do link. O Ntop deixa claro para o gerente de rede o que mais trafega na
internet, que, dependendo da poltica de acesso, pode ser bloqueado.
5.3 Os hosts da LAN que mais consomem largura de banda
Por outro lado, mas dentro do mesmo contexto, possvel classificar os hosts
locais por consumo e mostrar a lista dos maiores consumidores. Assim, a Figura 7,
mostra a viso panormica da rede, considerando-se os protocolos da camada de
aplicao.
A quantidade de protocolo da camada de aplicao muito extensa em uma rede
que est em atividade. possvel que sejam configurados os protocolos de aplicaes a
serem visualizados conforme a necessidade do administrador de rede. A ferramenta
Ntop j traz pr-configurado os protocolos mais comuns. Assim, mostrada uma
classificao dos hosts da rede local pela quantidade de dados trafegados, tanto na
entrada com na sada. Essa ferramenta se destaca por mostrar uma grande variedade de
informaes, deixando, a cargo do administrador da rede, as informaes mais
necessrias que devam ser exibidas.
6. Consideraes Finais
Essas ferramentas mostram as facilidades de se trabalhar com redes diante de
tantas informaes sobre o status dela. Assim, o Gerente de TI tem dados suficientes
que permitem fazer uma boa configurao do firewall e bloquear temporariamente
aqueles sites ou host da rede interna usados em excesso.
Focalizando o uso de uma ferramenta de cdigo aberto, unido ao uso de uma boa
tecnologia de monitoramento como o Netflow, a estratificao de dados tornou-se
possvel e eficiente. Esse nosso trabalho demonstrou uma pequena parte da ferramenta
Ntop e nProbe, porm, essas ferramentas do a possibilidade de configuraes mais
elaboradas e podem ser divulgadas em trabalhos futuros. possvel tambm melhorias e
colaborao no uso dessas ferramentas, bem como a divulgao de sua importncia no
ambiente corporativo de pequenas empresas e instituies pblicas em geral. claro
que essa ferramenta no resolve tudo, mas ela em pleno funcionamento e bem
configurada permite ao administrador de TI ter uma boa viso de consumo da rede.
A importncia complementar entre um equipamento que dispe do protocolo
Netflow e outro que mantm um servio de coleta dos datagramas gerados pelo
Netflow, no nosso caso, o Ntop, mostrou-se essencial para encontrar excesso de uso do
link, definio de top lists do usurio que mais usam a rede, sites mais acessados e
principalmente a contabilizao de dados que trafegam nas portas bem conhecidas.
As ferramentas Ntop e nProbe foram utilizadas, em suas funes bsicas, de
forma simplificada tanto na instalao quanto na configurao, mostrando o essencial
para o desenvolvimento do nosso trabalho. Porm, enftico que as ferramentas tm um
grande potencial para ser posto em prtica como na criao de interface com filtros
separando o trfego interno do externo com a utilizao dos parmetros disponveis para
o nProbe, em conjunto com o modo de exibio do Ntop.
7. Referncias
[1] Song, G. The Study and Design of Network Traffic Monitoring Based on Socket
[2] Weiwei, Z., Jian, G., Wenjie, G., Shaomin, C. Netflow - Based Network Traffic
Monitoring
[3] Nieuwelaar, M., Hunt, R. (2004). Real-time carrier network trafc measurement,
visualisation and topology modelling. Elsevier
[4] Bin, L., Chuang, L., Jian, Q., Jianping, H., Ungsunan, P.(2008). A NetFlow based
flow analysis and monitoring system. Elsevier in enterprise networks
[5] McCanne, S., Leres, C. Jacobson, V.(1994) libpcap, Lawrence Berkeley National
Labs
[6] Maron, A. K., Pinheiro, A. B. Network Top: Uma Ferramenta Automatizada para
Anlise e Gerenciamento de Redes.
[7] Rosa, D.M.,Pereira, E. D. V., Granville, L .Z., Almeida, M. J. B. e Tarouco, L. M. R.
Uma Soluo Baseada em Web Services para o Gerenciamento de Coletores NetFlow
Distribudos
[8] Deri, L., Suin, S. (1999). Ntop: beyond ping and traceroute, in: Proceedings of
DSOM '99, Zurich, Switzerland, October.
[9] Moura, G. C. M. Monitoramento de Redes utilizando Netflow e Software Livre:
estudo de caso no POP-GO
[10] Li, B., Springer, J., Bebis, G. e Gunes, M. H.(2013). A survey of network flow
applications. Elsevier.
[11]Gomes, C.L., Junior, E.P.D., Hara, C.S,.M., Monitoramento de Trfego de
Backbones Baseado em Sistemas Gerenciadores de Streams de Dados -UFPR.
[12] Domingos, T. Pereira, S. Reis, D. Silva, C. Barrre, E.(2005) Gerenciamento de
uma rede atravs do Protocolo SNMP
[13]Lin, T.C., Sun, Y.S., Chang, S.C., Chu, S.I., Chou, Y.T., Li, M.W.(2004)
Management of abusive and unfair Internet access by quota-based priority control.
Elsevier
[14]Karing, A., Prottipo de um sistema de monitoramento de desempenho de redes de
comutadores baseado no protocolo SNMPv3. Trabalho de Concluso de Curso.
[15]Deri, L.(2003). nProbe: an Open Source NetFlow Probe for Gigabit Networks,
Proceedings of Terena TNC, Zagreb, May 200