Escolar Documentos
Profissional Documentos
Cultura Documentos
INSTITUTO DE INFORMTICA
CURSO DE ESPECIALIZAO EM TECNOLOGIAS, GERNCIA E SEGURANA
DE REDES DE COMPUTADORES
PROJETO DE REDES
www.projetoderedes.com.br
MOISS KOCH
AGRADECIMENTOS
SUMRIO
ASN.1
CBC
DES
HMAC
HTTP
IP
Internet Protocol
ISO
MAC
MIB
NNTP
OID
Object Identifier
PDU
POP3
RMON
SMI
SMTP
SNMP
TCP
UDP
USM
LISTA DE FIGURAS
LISTA DE TABELAS
RESUMO
Esta monografia apresenta uma proposta de soluo de gerenciamento para uma rede
local de computadores, a partir do gerenciamento de contabilizao. Depois de fazer
uma breve reviso dos principais tpicos de gerncia de redes, o trabalho concentra-se
em gerenciamento de contabilizao, descrevendo os princpios desta rea funcional do
gerenciamento e ferramentas. Alm disso, tambm apresenta um estudo de caso com a
utilizao das ferramentas Nagios e Cacti, bem como uma anlise dos resultados
obtidos.
ABSTRACT
11
1 INTRODUO
O universo das redes de computadores ocupa um lugar cada vez mais importante
nesta era de crescente popularizao da Internet. Hoje, parece impossvel conceber um
modelo de negcios que exclua o computador e, por conseqncia, uma rede de
computadores com acesso Internet. Mas alm de existir, uma rede normalmente
compartilha uma srie de recursos, oferece servio de correio e permite que seus
usurios naveguem em pginas Web, entre outros. Como saber se o correio est
funcionando? Como saber quanto de banda os usurios esto consumindo nos perodos
de maior utilizao do enlace com a Internet? Em que horas do dia isso ocorre? E se a
conexo com a Internet cair, quanto tempo o administrador demorar para saber?
Em outras palavras, uma rede precisa, alm de oferecer recursos e servios, ser
tambm rpida e segura e, sobretudo, estar sempre disponvel. Como alcanar esses
objetivos? O gerenciamento de redes vem justamente suprir esta necessidade, ou seja,
fornece os instrumentos para que o administrador da rede consiga manter a rede
funcionando o maior tempo possvel, com o mnimo de interrupes. Com o auxlio do
gerenciamento de redes, o administrador poder, de forma mais adequada, atender as
expectativas dos usurios e satisfazer as necessidades de uma corporao.
Por isso, esta monografia considera esse relevante assunto da Cincia da
Computao, primeiramente por revisar brevemente os principais aspectos do
gerenciamento de redes, tais como sua definio, seu modelo de funcionamento, suas
reas funcionais, sua estrutura e o seu principal protocolo: o SNMP (Simple Network
Management Protocol). Isso ser visto no captulo 2.
Num segundo momento, por abordar com mais detalhes uma rea especfica do
gerenciamento de redes: o gerenciamento de contabilizao. Esse tpico enfocar as
ferramentas de monitorao, com nfase em duas delas: Nagios e Cacti. Isso ser
considerado no captulo 3.
No captulo 4, ser apresentado um estudo de caso com a utilizao das duas
ferramentas j mencionadas. O estudo de caso inclui uma proposta de soluo de
gerenciamento, sua implantao e anlise dos resultados bem como da soluo proposta.
12
Uma rede grande no pode ser bem gerenciada apenas pelo esforo humano.
necessrio o uso de ferramentas a fim de facilitar e automatizar o gerenciamento. Para
suprir tal necessidade foi criado o Simple Network Management Protocol (SNMP). O
SNMP prov um conjunto de padres para gerenciamento de redes, e foi adotado como
padro para gerenciar redes TCP/IP (STALLINGS, 1999) [grifo do autor]. As
principais caractersticas do SNMP sero consideradas na seo 2.4.
2.1 Definio
A essa altura, pertinente a pergunta: o que gerenciamento de redes? Em
(KUROSE, 2006), h uma analogia com outras situaes do mundo real que ilustram
bem o conceito de gerenciamento de redes. Por exemplo, a cabine de um avio tem
vrios instrumentos por meio dos quais o piloto pode monitorar e controlar o
funcionamento da aeronave. Ele pode checar os freios, a altitude e o nvel de
combustvel, entre outros. Assim, o piloto administra o avio, por analisar os dados
obtidos remotamente. Caso algo no esteja de acordo, ele pode fazer ajustes ou tomar
aes corretivas, como mudar a rota de vo. De forma similar, o gerenciamento de redes
consiste em monitorar os recursos da rede, analisar resultados e tomar aes para
corrigir ou antecipar falhas. Em palavras simples, portanto, gerenciamento de redes
significa o conjunto de aes e procedimentos necessrios para manter uma rede sempre
funcionando, de preferncia a contento.
Pensando de forma estruturada, a ISO dividiu o gerenciamento de redes em 5 reas
funcionais: gerenciamento de falhas, gerenciamento de configurao, gerenciamento de
contabilizao, gerenciamento de desempenho e gerenciamento de segurana.
13
14
Agente
2.2.1 Gerente
A estao de gerenciamento serve como uma interface para o gerente humano
(administrador) se comunicar com a rede. A estao de gerenciamento uma plataforma
e deve contemplar pelo menos quatro itens:
15
2.3 MIBs
A estrutura das informaes de gerenciamento (SMI Structure of Management
Information) define o formato geral para a construo de uma MIB. A SMI identifica os
tipos de dados que podem ser usados na MIB e especifica quais os recursos que sero
representados e nomeados (STALLINGS, 1999).
Todos os objetos gerenciados no ambiente SNMP so organizados de modo
hierrquico, em estrutura de rvore. Cada item, ou folha, da rvore representa algum
recurso, atividade ou informao relacionada a um elemento gerenciado. Alm disso,
cada objeto precisa ter um identificador nico (OID Object Identifier). Na prtica,
esse identificador um nmero, que serve tambm como nome para o objeto. O modelo
adotado para a representao dos objetos foi criado pela ISO e baseia-se em um
subconjunto da linguagem ASN.1, conforme ilustrado na figura 2.1:
16
iso (1)
org (3)
dod (6)
internet (1)
directory (1)
mgmt (2)
mib-2 (1)
system (1)
interfaces (2)
at (3)
ip (4)
icmp (5)
tcp (6)
udp (7)
udpInDatagrams (1)
17
2.4 SNMP
O SNMP o protocolo de gerenciamento de redes utilizado na Internet. um
protocolo do nvel de aplicao, que utiliza UDP como protocolo de transporte.
Basicamente, o SNMP pode apenas ler ou alterar o contedo de variveis, que so
instncias de objetos gerenciados. Isso possvel por meio de trs operaes genricas:
Get permite ao gerente consultar informaes dos agentes; essa consulta pode
ser de dois tipos: GetRequest, recupera a primeira informao da lista de informaes de
um objeto ou GetNextRequest, recupera a prxima informao disponvel na lista, a
partir da ltima informao solicitada. Para cada GetRequest ou GetNextRequest
enviado pelo gerente haver uma resposta do agente, um GetResponse.
Set operao de escrita, permite ao gerente alterar valores dos objetos dos
agentes; para cada SetRequest executado pelo gerente, o agente tambm responde com
um GetResponse.
18
Sistema de
Gerenciamento
Sistema
Gerenciado
Recursos
Mensagens
UDP
UDP
Rede
Rede
Enlace
Enlace
Fsico
Fsico
Trap
Resposta
Get
Set
SNMP
Get-Next
Agente SNMP
Trap
Resposta
Set
Get-Next
Get
Gerente SNMP
Comunidade
PDU
19
Interao
Descrio
Solicitao de leitura sobre o contedo dos objetos:
0 GetRequest
Gerente-agente
1 GetNextRequest
Prximo na lista
2 SetRequest
Gerente-agente
3 GetResponse
Agente-gerente
4 Trap
Agente-gerente
Descrio
0 noError
1 tooBig
2 noSuchName
3 badValue
4 readOnly
Compatibilidade SNMP
5 genErr
Erro genrico
Finalmente, a PDU do tipo Trap diferente de todas as outras. Ela enviada por um
agente para notificar um gerente a respeito de um evento significativo. O campo PDU
20
contm, entre outras coisas, o nome da empresa, o endereo IP da origem da trap, bem
como o tipo da trap que est sendo gerada (STALLINGS, 1999).
Descrio
0 coldStart
1 warmStart
2 linkDown
3 linkUp
4 authenticationFailure
Falha na autenticao
2.4.1 SNMPv2
O SNMPv2 apresenta uma srie de melhorias em relao verso inicial, tais como
recuperao de dados mais refinada, maior segurana, suporte a vrios protocolos de
transporte, tratamento de erros mais preciso e novos tipos de PDU.
Da mesma forma como no SNMPv1, as mensagens no SNMPv2 tambm
apresentam a verso do protocolo, a comunidade e uma PDU. Uma novidade nesta
verso, porm, a possibilidade de interao entre dois gerentes. Isso possvel por
meio da nova PDU InformRequest. Quando um gerente envia uma PDU do tipo
InformRequest a outro gerente, recebe como retorno uma PDU do tipo Response. As
outras interaes, gerente-agente e agente-gerente, continuam valendo.
Com relao s PDUs GetRequest e GetNextRequest, so idnticas em ambas as
verses do SNMP, exceto pelo fato de que no SNMPv2 elas no so mais atmicas. Ou
seja, em caso de erro na leitura de uma determinada varivel, a PDU de resposta enviar
um cdigo de erro associado com aquela varivel em particular, os demais objetos tero
seus valores recuperados normalmente.
2.4.1.1 PDU GetBulkRequest
Uma das melhorias mais significativas no SNMPv2 a nova PDU GetBulkRequest.
Seu objetivo minimizar o nmero de troca de mensagens do protocolo na recuperao
de uma grande quantidade de informaes de gerenciamento. Seu princpio de
funcionamento o mesmo da PDU GetNextRequest, recuperar as prximas instncias
dos objetos da MIB. A diferena que com o comando GetBulkRequest pode-se
especificar o nmero de sucessores que sero lidos (STALLINGS, 1999).
Essa PDU tem dois campos que no so encontrados em nenhuma outra: nonrepeaters (que no deve ser repetido) e max-repetitions (nmero mximo de repeties).
O primeiro especifica o nmero de objetos para os quais a consulta dever retornar
apenas um nico sucessor, o prximo, exatamente como na PDU GetNext. O segundo
especifica o nmero de sucessores a serem recuperados para os demais objetos. A figura
2.4 ilustra como eles podem ser configurados:
21
TX(1), TY(1),
TX(2), TY(2),
TX(3), TY(3),
TX(4), TY(4)]
22
Aplicaes
Entidade SNMP
Gerador de
Receptor de
Encaminhador
Comandos
Notificaes
de Procura
Respondedor
de Comandos
Originador de
Notificaes
Outras
SNMP Engine
Despachante
Subsistema de
Processamento
de Mensagens
Subsistema de
Segurana
Subsistema de
Controle de
Acesso
23
Aspecto de
Segurana
Envolvido
SNMPv3
Contempla?
Alterao no Autorizada
de Informaes
Autenticao
SIM
Mecanismo
Mascaramento
Autenticao
SIM
Alterao do Fluxo de
Mensagens
Integridade
SIM
Algoritmo de criptografia
de chave privada DES
(Data
Encryption
Standard)
em modo
CBC
(Cipher
Block
Chaining)
Confidencialidade
SIM
Algoritmo de criptografia
de chave privada DES
(Data
Encryption
em modo
Standard)
CBC
(Cipher
Block
Chaining)
Negao de Servio
Disponibilidade
NO
Anlise de Trfego
Confidencialidade
NO
Revelao de
Informaes
24
3 GERENCIAMENTO DE CONTABILIZAO
25
3.2 Ferramentas
As ferramentas de gerenciamento so o brao direito do administrador de rede. Sem
elas, o administrador seria como um cego andando pelas ruas. Seja um simples
comando ou um sistema especializado, elas auxiliam no diagnstico de erros, resoluo
de problemas, deteco de gargalos, ou seja, permitem que o administrador enxergue
a rede e seus componentes, controlando-os ou interagindo com eles quando necessrio.
Algumas ferramentas mais simples j vm embutidas no sistema operacional na
forma de comandos como ping, netstat e traceroute. Outras esto disponveis na forma
de aplicaes que analisam protocolos, monitoram dispositivos, sistemas e servios e
oferecem recursos que facilitam procedimentos de configurao. Existem ainda
plataformas de gerenciamento, que muitas vezes so sistemas distribudos, compostos
de hardware e software especfico para realizar as atividades de gerenciamento. Esses
sistemas manipulam e organizam dados e os apresentam na forma de grficos, tabelas
ou relatrios.
No importa qual a ferramenta, ela sempre vai focar em uma ou mais das cinco reas
de gerenciamento descritas nas sees 2.1.1 a 2.1.5; relembrando: gerenciamento de
falhas, gerenciamento de configurao, gerenciamento de contabilizao, gerenciamento
de desempenho e gerenciamento de segurana. No caso do gerenciamento de
contabilizao, existem ferramentas que registram dados dos recursos monitorados e
geram grficos de apresentao, alm de oferecerem outros recursos valiosos.
3.2.1 Ferramenta 1 (e.g., Nagios)
O Nagios uma aplicao desenvolvida para monitoramento de rede. Ele pode
monitorar hosts e servios, enviando notificaes de eventos. Ele foi originalmente
desenvolvido para Linux, embora funcione tambm com Unix e com Windows.
Algumas de suas principais caractersticas so:
26
e enviando alertas caso ocorra alguma falha. E o Nagios tambm capaz de notificar o
administrador caso os valores de utilizao de um determinado dispositivo extrapolem
os limites mximos previamente definidos na sua configurao. Por exemplo, caso seja
definido que o espao em disco livre em um servidor no deve ser menor que 10%, um
e-mail de alerta poder ser enviado pelo Nagios caso isso acontea.
Na pgina Web do Nagios possvel verificar todas as informaes sobre os hosts e
servios monitorados, alm da configurao geral do sistema. Quando um servio ou
host fica indisponvel, o Nagios altera o estado e a cor do mesmo, refletindo a
atualizao na pgina Web e emitindo um sinal sonoro. Caso haja alguma manuteno
programada para um equipamento, possvel desabilitar o servio de notificao para o
host correspondente e todos os seus servios. A figura abaixo apresenta uma viso geral
da pgina Web do Nagios.
27
28
4 ESTUDO DE CASO
Estaes:
29
30
usurios ligam para a equipe de suporte avisando que h algo de errado com a rede, ou
os administradores se antecipam e enviam uma mensagem coletiva reportando o
problema, via servio interno de mensagens instantneas, e tomam medidas para
restaurar a rede ao seu estado normal o mais rapidamente possvel. Se o diagnstico for
falha de hardware, um chamado aberto para a empresa de manuteno.
Pelos mesmos motivos, difcil atualmente saber como os recursos da rede esto
sendo consumidos. E, se em alguns casos no difcil, pelo menos trabalhoso. Por
exemplo, o espao livre em disco um fator importante no caso dos servidores. Como o
recurso no monitorado, quase que diariamente um administrador precisa acessar os
servidores e verificar manualmente a quantidade de espao livre em disco. Outro
exemplo, h momentos do dia em que os usurios reclamam de lentido na Internet.
Pode-se estimar, mas no saber exatamente, os nveis de utilizao da banda.
31
32
Como outra parte da soluo, o Cacti apresenta grficos que geram um histrico
preciso do consumo de recursos tais como memria, trfego de interfaces de rede, erros
nas interfaces de rede e outros. O interessante que a ferramenta est configurada para
registrar eventos a cada 5 minutos, resultando em grficos dirios com histrico da
mdia de utilizao calculada de 5 em 5 minutos; grficos semanais, com histrico da
mdia de utilizao calculada de 30 em 30 minutos; grficos mensais, com histrico da
mdia de utilizao calculada de 2 em 2 horas e grficos anuais com histrico da mdia
de utilizao calculada a cada 24 horas. Isso possibilita que os administradores de rede
vislumbrem os momentos de maior utilizao de um determinado recurso, identificando
assim possveis gargalos e planejando com maior segurana a expanso da rede.
33
SAMBA
host_name
Lemuria
use
padrao
service_description
Servico SAMBA
check_command
check_nrpe!check_tcp
34
#-----------------------------Service Dependencies----------------------------#
define servicedependency{
host_name
Lemuria
service_description
Servico SAMBA
dependent_host_name
Lemuria
dependent_service_description Conectividade
execution_failure_criteria
notification_failure_criteria
w,c
}
Figura 4.4: Dependncia entre servio e host para evitar falso-positivo
Como mostra a figura, o host Lemuria executa o servio SAMBA. Se a
conectividade desse servidor estiver comprometida, a mensagem de alerta notificar a
falha na conectividade do servidor e no a parada do servio. Caso contrrio, se o teste
de conectividade do host Lemuria no apresentar problemas e o teste da disponibilidade
do servio SAMBA retornar erro, a sim o alerta notificar problema no servio.
Obviamente, nem tudo perfeito. A soluo de gerenciamento est praticamente
centralizada em uma nica mquina, o que torna sua disponibilidade dependente dela.
Talvez a soluo pudesse ter sido distribuda entre duas mquinas, ficando assim menos
vulnervel, mas um nico servidor foi eleito para a tarefa. Porm, no caso de ambas as
ferramentas, h uma interdependncia de elementos da soluo com todos os servidores.
Explicando: no caso do Nagios, h um agente instalado em cada servidor que precisa
estar ouvindo as chamadas da mquina de monitoramento para coletar os dados
solicitados e repass-los origem. O mesmo acontece no caso do Cacti, que faz
consultas SNMP diretamente ao agente na mquina cliente. Ou seja, h servios que
precisam estar executando nos clientes para que a soluo funcione redonda e
perfeitamente.
35
5 CONCLUSO
36
REFERNCIAS
PROJETO DE REDES
www.projetoderedes.com.br