Escolar Documentos
Profissional Documentos
Cultura Documentos
Computadores
1
6.3 - Componentes do Modelo de Gerenciamento OSI ........................................................... 52
6.4 - Aspectos das Comunicaes............................................................................................ 53
6.4.2 - Domnios Gerenciais ................................................................................................ 55
6.5 - reas Funcionais no Gerenciamento OSI ....................................................................... 55
6.5.1 - Gerncia de Configurao ........................................................................................ 61
6.5.2 - Gerncia de Desempenho ......................................................................................... 61
6.5.3 - Gerncia de Falhas ................................................................................................... 62
6.5.4 - Gerncia de Contabilidade ....................................................................................... 62
6.5.5 - Gerncia de Segurana ............................................................................................. 64
6.6 - A Plataforma OSIMIS ..................................................................................................... 65
6.6.1 A plataforma OSIMIS e os protocolos CMIP e SNMP ........................................... 68
6.6.2 - Plataforma OSIMIS e orientao a eventos.............................................................. 69
6.6.3 - Sistema Genrico para gerenciamento ..................................................................... 69
6.6.4 - Interfaces para construo de processos gerentes..................................................... 70
Captulo 7 - Distribuio da Gerncia na Rede ........................................................................... 71
7.1 Centros de operao de rede ........................................................................................... 71
7.2 - Modelo Internet ............................................................................................................... 71
7.3 - Modelo OSI ..................................................................................................................... 73
7.4 - Gerncia via Servidores Elsticos ................................................................................... 74
Captulo 8 - Arquitetura de Segurana para Gerncia de Redes.................................................. 76
8.1 - Segurana em Redes de Computadores........................................................................... 76
8.1.1 - Agresses e Falhas ................................................................................................... 77
8.1.2 - Acesso Informao e Capacidade de Processamento ......................................... 77
8.2 Gerncia de Redes e Segurana ......................................................................................... 79
8.2.1 Ameaas sobre Sistemas de Gerncia......................................................................... 80
8.2.2 Requisitos de Proteo................................................................................................ 81
8.3 Arquitetura de Segurana para Gerncia de Redes............................................................ 82
8.3.1 - Algoritmos ................................................................................................................ 85
Captulo 9 - Ferramentas de Gerenciamento de Redes................................................................ 87
9.1 - AT&T - UNMA............................................................................................................... 87
9.2 - DEC - EMA ..................................................................................................................... 87
9.3 - HP Open View................................................................................................................. 88
9.4 SunNet Manager (Sun Microsystems) ............................................................................ 88
9.4.1 - Ferramentas .............................................................................................................. 89
9.5 - Tivoli ............................................................................................................................... 90
9.6 Unicenter TNG ............................................................................................................... 92
Captulo 10 Novos conceitos e abordagens .............................................................................. 94
10.1 - Meta Variveis............................................................................................................... 94
10.2 - Scripting MIB's.............................................................................................................. 95
10.3 - Gerenciamento por Delegao ou Gerentes por rea Semi-Autnomos ...................... 96
10.4 - Vermes - Agentes Migratrios ...................................................................................... 96
10.5 - MTODOS DE ACESSO - PROTOCOLOS................................................................ 97
10.5.1 - Associaes de Longa Durao.............................................................................. 97
10.5.2 - Uso de HTTP como Mtodo de Acesso ................................................................. 97
10.6 - APLICAES DE GERENCIAMENTO..................................................................... 98
Captulo 11 Gerncia Integrada de Redes e Servios ............................................................... 99
11.1 - Conceito de GIRS........................................................................................................ 100
2
11.2 - Requisitos bsicos de gerncia .................................................................................... 100
11.3 - Objetivos Bsicos ........................................................................................................ 101
Referncias Bibliogrficas .................................................................................................. 102
3
Introduo
As redes de computadores foram concebidas, inicialmente, como um meio de
compartilhar dispositivos perifricos tais como impressoras, modems de alta
velocidade, dentre outros, existindo apenas em ambientes acadmicos,
governamentais e em empresas de grande porte. Entretanto, a rpida evoluo das
tecnologias de redes aliada grande reduo de custos dos recursos computacionais,
motivou a proliferao das redes de computadores por todos os segmentos da
sociedade.
medida que essas redes foram crescendo e tornaram-se integradas s
organizaes, o compartilhamento dos dispositivos tomou aspecto secundrio em
comparao s outras vantagens oferecidas. As redes passaram ento a fazer parte
do cotidiano das pessoas como uma ferramenta que oferece recursos e servios que
permitem uma maior interao e um conseqente aumento de produtividade.
Alm disso, ocorreu uma grande mudana nos servios oferecidos, pois alm
do compartilhamento de recursos, novos servios, tais como correio eletrnico,
transferncia de arquivos, Internet, aplicaes multimdia, dentre outras, foram
acrescentadas, aumentando a complexidade das redes. No bastassem esses fatos, o
mundo da interconexo de sistemas de computadores ainda tem que conviver com a
grande heterogeneidade dos padres de redes, sistemas operacionais, equipamentos,
etc.
Considerando este quadro, torna-se cada vez mais necessrio o gerenciamento
do ambiente de redes de computadores para mant-lo funcionando corretamente.
Surge a necessidade de buscar uma maneira consistente de realizar o gerenciamento
de redes para, com isso, manter toda a estrutura da rede funcionando de forma a
atender as necessidades de seus usurios e s expectativas de seus administradores.
O contnuo crescimento em nmero e diversidade de componentes das redes
de computadores tambm tem contribudo para que a atividade de gerenciamento de
rede se torne vez mais imprescindvel. Os benefcios da integrao dos sistemas
computacionais de uma empresa, de natureza e portes diferentes, como forma de
distribuir as tarefas e compartilhar os recursos disponveis, so hoje uma realidade. As
grandes redes corporativas, que so inter-redes formadas pela interconexo de
pequenas redes locais, assumiram um papel fundamental para os negcios das
empresas que delas se utilizam. Por este motivo, estas redes requerem um sistema de
gerenciamento eficiente para que as informaes da corporao estejam sempre
disponveis no local e no momento onde forem requisitadas.
Desde a dcada de 80 vrios grupos tm trabalhado para definir arquiteturas
padronizadas (e abertas) para o gerenciamento de redes heterogneas, ou seja, redes
compostas por equipamentos de diferentes fabricantes. As principais arquiteturas
abertas de gerenciamento de redes so relacionadas s tecnologias TCP/IP e OSI da
ISO e estas so conhecidas mais facilmente pelos nomes dos protocolos de
gerenciamento utilizados: Simple Network Management Protocol - SNMP do TCP/IP e
o Common Management Information Protocol - CMIP de OSI.
Muitos produtos de gerenciamento j foram desenvolvidos obedecendo estes
padres. Por razes histricas, os primeiros produtos seguiram o padro SNMP e at
4
hoje este o protocolo que possui o maior nmero de implementaes. Embora
atualmente existam algumas aplicaes de gerenciamento muito sofisticadas, a
maioria destas aplicaes possibilita apenas o monitoramento dos ns de uma rede e
no possui inteligncia para auxiliar os administradores de rede na execuo de sua
tarefa.
A arquitetura de gerenciamento SNMP, adotada na tecnologia TCP/IP, supe a
existncia de estaes de gerenciamento, onde so executadas as aplicaes de
gerenciamento e os ns gerenciados, que so os elementos da rede (estaes,
roteadores e outros equipamentos de comunicao), que desempenham funes de
comunicao na operao normal da rede, atravs dos chamados protocolos teis.
Estes protocolos so instrumentados para permitir o monitoramento e controle do seu
funcionamento.
Uma parte significativa do processo de gerenciamento baseia-se na aquisio
de informaes sobre a rede, sendo as mais importantes quelas relativas a erros,
falhas e outras condies excepcionais. Tais dados devem ser armazenados em forma
bruta, sendo importante definir os valores aceitveis como limiares de tolerncia que,
quando ultrapassados, determinam uma sinalizao para pedir interveno de um
operador, ou o incio de uma operao corretiva. Tais limites no so necessariamente
absolutos, tais como a taxa de erros num enlace de dados, sendo necessrio dispor
de estatsticas de erros em funo do trfego existente. Um determinado limiar pode
ser aceitvel numa situao de carga leve na rede, mas intolervel numa outra
situao, de carga mais intensa, no qual o nmero de retransmisses faria com que o
trfego total excedesse a capacidade do enlace, afetando seriamente o tempo de
resposta.
5
Captulo 1 - Gerenciamento em Redes de Computadores
6
1.1 Informao Gerencial
7
Um objeto da MIB obtm seu nome da posio em uma estrutura hierrquica na
forma de uma estrutura de dados do tipo rvore. Nesta estrutura as informaes
referentes a objetos da rvore esto nas suas folhas. A principal questo : como
identificar uma folha na rvore da MIB?
Deve-se observar que a estrutura da rvore contm um tronco principal e um
conjunto de galhos. Dessa forma, para chegar a informao referente a um objeto
folha, basta usar pontos para separar cada galho da rvore. Observar tambm que o
n principal da rvore (o tronco) identificado por um ponto (.).
Assim para chegarmos acessar o objeto referente Folha02 da figura seguinte, tem-
se:
.Galho_T1_03.Galho_T2_02.Galho_T3_03.Folha02
8
Um processo dito agente quando parte de uma aplicao distribuda ir executar
as diretivas enviadas pelo processo gerente. Assim, ele passar para o Gerente uma
viso dos objetos sendo gerenciados e refletir o comportamento desses objetos,
emitindo notificaes sobre os mesmos.
O cdigo de um agente constitudo por uma funo de gerenciamento -
contadores, rotinas de teste, temporizadores, etc, que permite o controle e
gerenciamento do objeto gerenciado. J a instrumentao de gerenciamento est
tipicamente associada a uma estrutura particular de gerenciamento, que especifica as
regras empregadas para definir a informao referente a um objeto referenciado,
permitindo, assim, que este possa ser monitorado e gerenciado.
A SMI (Structure Management Information), como chamada esta
instrumentao, anloga linguagem de programao usada para construir
estruturas de dados e permitir operaes que possam ser executadas sobre essas
estruturas. A combinao de uma SMI com um protocolo particular denominada
framework.
9
O foco para as atividades de gerenciamento de rede a organizao e,
aspectos como o atendimento do usurio, se caracterizam como primordial para o
sucesso da estrutura. desejvel que o usurio dos servios de rede tenha um nico
ponto de contato para reportar problemas e mudanas.
Os limites de atuao desta gerncia devem levar em conta a amplitude
desejada pelo modelo implantado na instalao que, alm de operar a rede, deve
envolver tarefas como:
Controle de acesso rede;
Disponibilidade e desempenho;
Documentao de configurao;
Gerncia de mudanas;
Planejamento de capacidade
Auxlio ao usurio;
Gerncia de problemas;
Controle de inventrio.
A nfase relativa atribuda em cada uma dessas categorias por uma instalao
depende do tamanho e complexidade da rede.
10
Captulo 2 - Protocolos de gerenciamento
Os protocolos de gerenciamento tm a funo de garantir a comunicao entre
os recursos de redes homogneas ou no. Com esse requisito satisfeito, operaes
de gerenciamento podem ser realizadas. Vrios produtos tm surgido com a finalidade
de gerenciar a rede, quase que em sua totalidade baseados no padro SNMP e CMIP.
Geralmente estes produtos de gerenciamento de redes incorporam funes grficas
para o operador de centro de controle.
Porm os dois protocolos que mais se desenvolveram foram o CMIP (Common
Management Information Protocol) e o SNMP(Simple Network Management Protocol),
respectivamente, protocolos do modelo OSI (Open System Interconnection) e da
arquitetura TCP/IP.
11
2.2 Protocolo CMOT
12
aplicaes, em geral, incorporam menus e alarmes para facilitar a interao com o
profissional que est gerenciando a rede.
A utilizao do SNMP para gerenciamento de rede na Internet produto de
vrios mitos. Os dois mais crticos e de maior relevncia so: o mito do colapso de
rede e o mito do agente bobo.
A escolha da utilizao de UDP como protocolo de transporte para o SNMP,
aconteceu devido ao fato deste tipo de protocolo no orientado a conexo ter a
habilidade de continuar funcionando quando a rede falha. O mito diz que se fosse
utilizada uma conexo TCP, esta seria desfeita enquanto que o UDP continuaria
funcionando para salvar o dia. S que existe uma diferena bsica entre
gerenciamento de redes em termos de monitorao e gerenciamento de redes em
termos de resoluo de problemas. Hoje em dia, a totalidade do gerenciamento de
redes que vem sendo feito quando a rede no est falhando, e at porque hoje
quando h uma pane de rede devido a problemas fsicos e assim nem o TCP nem
to pouco o UDP iro funcionar. Com este ponto de vista, ns podemos dizer que as
vantagens da utilizao do UDP como protocolo de transporte realmente apenas um
mito, e que o TCP pode ser utilizado como protocolo de transporte para o SNMP e
com vantagens quando se est fazendo monitorao.
Outro ponto importante que os algoritmos criados para prevenir
congestionamento de TCP fizeram com que o uso de mensagens TCP se
comportasse bem melhor para aliviar congestionamentos que mensagens UDP. Alm
disso, esperado que se possa requisitar prioridade ao trfego de gerenciamento de
redes. Com isso, tendo um caminho j estabelecido, pode-se monitorar e controlar a
rede, no importando quo congestionada ela esteja.
Para se fazer resoluo de problema num caso de falha na rede, necessrio
que sejam desenvolvidas ferramentas e tcnicas diferentes das utilizadas hoje para
monitorao e controle. At porque o uso de SNMP para este tipo de tarefa bem
menos eficiente que utilizar ferramentas como ping, nslookup, traceroute e mtrace.
Um outro grande mito criado o do agente bobo. Sempre se ouviu falar que
alguns dispositivos de rede s possuem capacidade de processamento suficiente
apenas para suportar um agente SNMP. Por este motivo, foi criado o conceito de
agente proxy para que dispositivos com pouca capacidade de processamento
pudessem ser gerenciados. Hoje os dispositivos de rede possuem mais capacidade de
processamento e memria que as prprias estaes de gerenciamento de antes. Com
esta evoluo nos dispositivos, alguns deles hoje so capazes de gerenciar a si
prprios se assim se desejar. Com isso, derruba-se este mito de que os agentes tm
que ser simples e bobos, e que s uma estao com maior capacidade de
processamento teria a capacidade de ser gerente.
O esquema dos produtos desenvolvido com o protocolo SNMP um pouco
diferente dos produtos que utilizam o protocolo CMIP. Os fornecedores de produtos
que utilizam o protocolo CMIP pressupem que os fabricantes possuam algum tipo de
gerenciamento em seus equipamentos, portanto estas informaes podem ser
disponibilizadas para um integrador via protocolo CMIP. O conceito de integrador foi
definido em trs nveis: o mais baixo, que contm os agentes e os elementos
gerenciadores, o intermedirio, que consiste em elementos do sistema de
gerenciamento, e finalmente o nvel mais alto, que consiste no integrador dos sistemas
de gerenciamento. Produtos como o NetView da IBM, Accumaster da AT& T, Allink da
13
Nynex e o SunNet Manager da Sun Microsiytems, dentre outros, so exemplos deste
tipo de implementao.
A dificuldade maior para uma aplicao integradora que os fornecedores no
tm as mesmas variveis de gerenciamento e tampouco as mesmas operaes em
seus servidores de objetos. A escolha entre um ou outro protocolo de gerenciamento
deve recair sobre o tipo de rede e dos produtos a ela agregados, sendo que podem
ser mesclados os dois protocolos.
O SNMP e seu Internet Standard Network Management Framework so
adequados a agentes simples e fceis de implementar, enquanto o CMIP e o seu
framework Network Management Forum Release 1.0 so adequados para agentes
com um ou mais servidores de objetos dentro da modalidade cliente-servidor orientado
para objeto, dentre os quais inclui-se o RPC.
O protocolo SNMP define tambm algumas primitivas de gerenciamento:
Primitiva Get - O Get uma primitiva usada pelo gerente para ler algum valor na
MIB. O gerente inicialmente envia uma mensagem de get-request ao agente, tendo
como parmetro a identificao do objeto cujo valor requerido. Essa identificao
pode ser uma seqncia de nomes separados por pontos ou uma seqncia de
nmeros tambm separados por pontos. Essa seqncia de nmeros ou nomes um
espelho da organizao hierrquica da MIB. Em seguida, o agente consulta a MIB e
responde requisio do gerente com a primitiva get-response, levando o valor do
objeto.
Primitiva Set - O Set uma primitiva usada pelo gerente para escrever algum
valor na MIB. Inicialmente, o gerente envia a primitiva de requisio set-request ao
agente, passando como parmetros o identificador do objeto cujo valor ser alterado e
o novo valor que o objeto receber. O identificador dos objetos tem as caractersticas
especificadas na primitiva get. Em seguida, o agente modifica o valor do objeto na MIB
e envia uma mensagem de resposta ao gerente, get-response.
Primitiva Get Next Request - Esta primitiva tem as mesmas caractersticas e faz
as mesmas funes da primitiva get, porm quando o gerente faz uma requisio ao
agente passando como parmetro o identificador de um determinado objeto, ele ir
receber como resposta o valor do objeto sucessor a este. Essa leitura sucessiva segue
o percurso da rvore de identificao da MIB.
Primitiva Trap - Essa primitiva, ao contrrio das anteriores, utilizada pelo agente
para informar ao gerente que algum evento anormal aconteceu. Essa primitiva pode
ser usada a qualquer momento, no precisando de uma requisio do gerente pra ser
usada. Outra diferena com relao as demais primitivas que ela no necessita de
uma resposta.
14
2.4 Protocolo RMON
2.4.1 RMON1
2.4.2 RMON2
15
gerando dois internet drafts: Remote Network Monitoring MIB Version 2 e Remote
Network Monitoring MIB Protocol Identifiers.
Um monitor RMON2 no est limitado a monitorar e decodificar o trfego da
camada de rede. Ele tambm pode ver os protocolos de alto nvel rodando acima da
camada de rede, determinando, assim, que protocolos da camada de aplicao esto
gerando este trfego.
Um gerente necessita, periodicamente, consultar os monitores para obter
informaes. Seria interessante, para efeitos de eficincia, que apenas os dados que
foram alterados desde a ltima consulta fossem retornados. Para possibilitar tal
facilidade, o RMON2 criou o conceito de filtragem de tempo (time filtering),
introduzindo um time stamp em cada linha, que armazena a ltima vez em que esta foi
alterada.
O RMON2 opera no nvel da camada de rede e camadas superiores,
complementando o RMON1, possibilitando coletar informaes estatsticas e monitorar
a comunicao fim-a-fim e o trfego gerado por diferentes tipos de aplicao.
A configurao do gerenciamento RMON2 composta por uma probe que
gerencia o trfego da rede incluindo suas sub-redes. Em cada sub-rede existe uma
mquina que gerencia localmente o trfego desta, tambm funcionando do mesmo
modo que a probe e independente de sua arquitetura. A figura seguinte mostra esta
configurao.
16
Captulo 3 Modelos de Gerenciamento
Os modelos de gerenciamento diferenciam-se nos aspectos organizacionais no
que se refere disposio dos gerentes na rede, bem como no grau da distribuio
das funes de gerncia. Existem dois modelos adotados para gerncia de redes: o
Modelo Internet e o Modelo OSI.
17
Uma codificao de um tipo de objeto simplesmente como instncias daquele
tipo de objeto e so representados usando a sintaxe deste tipo de objeto.
Implicitamente ligado a notao de uma sintaxe de objeto e codificao como o
objeto est representado quando estamos transmitindo em uma rede. Nomes so
usados para identificar objetos gerenciveis e so especificados na sua hierarquia
natural. O conceito de Identificador de Objeto usado para reproduzir esta noo.
Um Identificador de Objeto pode ser usado com outras intenes alm de
nomear tipos de objetos gerenciveis. Por exemplo, cada padro internacional tem um
identificador de objetos designados a eles com a inteno de identificao. Desta
forma, os identificadores de objetos representam um significado para identificar algum
objeto, sem considerar a semntica associada com este objeto (isto , um objeto de
rede, um documento padro, etc).
No padro Internet, os objetos gerenciados so definidos em uma rvore de
registro, equivalente a hierarquia de registro do padro OSI. A MIBII usa o modelo
arquitetura de rvore para organizar todas as suas informaes. Cada parte da
informao da rvore um n rotulado que contm:
Um identificador de objetos (OID): seqncia de nmeros separados por pontos.
Uma descrio textual: descrio o n rotulado.
Um Identificador de Objetos uma seqncia de Inteiros o qual atravessa uma
rvore global. Esta rvore consiste de uma raiz conectada a um nmero de ns
rotulados lado a lado. Cada n pode, deste modo, ter seus prprios filhos os quais so
rotulados. Neste caso, ns podemos assumir este n como uma sub-rvore. Este
processo pode continuar de um nvel arbitrrio ao mais profundo. O Identificador de
Objetos entendido como um controle administrativo de significados designados para
os ns que podem ser delegados quando se atravessa pela rvore. Um rtulo um
par de uma breve descrio textual e um inteiro.
O n raiz no rotulado, mas tem pelo menos trs filhos diretamente abaixo
dele: Um deles administrado pela International Organization for Standardization, cujo
label iso(1); o outro administrado pela International Telegraph and Telephone
Consultative Committee (agora denominado ITU-T), rotulado ccitt(0); e o terceiro
administrado em conjunto pela ISO e CCITT, denominada joint-iso-ccitt(2).
Abaixo do n iso(1), a ISO designou uma sub-rvore para ser usada por outras
organizaes, denominado org(3). Destes ns filhos, dois foram designados para o
National Institutes of Standards and Technology dos EUA. Uma destas sub-rvores foi
transferida pelo NIST para o departamento de defesa dos EUA, denominado dod(6). O
DoD no mostrou como ele gerencia sua prpria sub-rvore de Identificadores de
Objetos. Desta forma, assume-se que o DoD aloca um n para a comunidade Internet,
para ser administrada pela Internet Activities Board (IAB) como se segue:
internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } - Com isso, a sub-
rvore da Internet de Identificadores de Objetos comea com o prefixo: 1.3.6.1.
Agora, vamos especificar a poltica abaixo o qual esta sub-rvore de
Identificadores de Objetos administrada. Inicialmente, quatro ns so apresentados:
directory OBJECT IDENTIFIER ::= { internet 1 }
mgmt OBJECT IDENTIFIER ::= { internet 2 }
experimental OBJECT IDENTIFIER ::= { internet 3 }
private OBJECT IDENTIFIER ::= { internet 4 }
18
Directory - A sub-rvore Directory(1) reservada para o uso do diretrio OSI na
Internet.
Mgmt - A sub-rvore mgmt(2) usada para identificar objetos que esto definidos
em documentos aprovados pela IAB. A administrao da sub-rvore mgmt(2)
delegado pela IAB para a Internet Assigned Numbers Authority. As RFCs que definem
novas verses de modelos Internet de MIBs aprovadas determinado um
identificador de objetos pela Internet Assigned Numbers Authority para identificar os
objetos definidos por aquela RFC.
Por exemplo, a RFC que define o modelo Internet inicial de MIB pode ser
designado como um documento de gerenciamento de nmero 1. Esta RFC pode usar
o identificador de objetos { mgmt 1 } ou 1.3.6.1.2.1 na definio do modelo Internet da
MIB.
A gerao de novas verses do modelo de Internet da MIB um processo
rigoroso, com regras que so usadas quando uma nova verso definida.
Experimental - A sub-rvore experimental(3) usada para identificar objetos
usados por experincias da Internet. A administrao desta sub-rvore delegada
pela IAB para a Internet Assigned Numbers Authority.
Por exemplo, um experimento pode receber o nmero 17 e ter disponvel o
identificador de objetos { experimental 17 } ou 1.3.6.1.3.17 para uso.
Private - A sub-rvore private(4) usada para identificar objetos definidos
unilateralmente. A administrao desta sub-rvore delegada pela IAB para a Internet
Assigned Numbers Authority. Inicialmente, esta sub-rvore tem, no mnimo, um filho:
enterprises OBJECT IDENTIFIER ::= { private 1 }
A sub-rvore enterprises(1) usada, entre outras coisas, para permitir que
provveis faces de subsistemas de redes registrem modelos de seus produtos.
Recebendo uma sub-rvore, a empresa pode, por exemplo, definir novos objetos MIB
na sua sub-rvore. Com isto, fortemente recomendado que a empresa tambm
registre seus subsistemas de rede abaixo desta sub-rvore, de modo a evitar uma
ambigidade no mecanismo de identificao para serem usados pelos protocolos de
gerncia.
Por exemplo, se a empresa Flintstones, Inc. produz subsistemas de rede,
ento ela pode requisitar um n abaixo da sub-rvore enterprises para a Internet
Assigned Numbers Authority. Com isto, um n pode ser numerado dessa forma:
1.3.6.1.4.1.42. A empresa Flintstones, Inc. pode ento registrar sua Rota Fred com
o nome de: 1.3.6.1.4.1.42.1.1.
A figura seguinte mostra como feita a alocao para redes baseadas nos
protocolos TCP/IP, dentro da hierarquia global de rvore.
19
Figura 3 - rvore de alocao para redes baseadas em TCP-IP
20
Figura 4 rvore MIB no modelo Internet
Grupos Informaes
system(1) Sistema referente aos dispositivos da rede
interfaces(2) Interface da rede com o meio fsico
address translation(3) Mapeamento de endereos IP em endereos fsicos
ip(4) Referente ao protocolo IP
icmp(5 ) Referente ao protocolo ICMP
tcp(6) Referente ao protocolo TCP
udp(7) Referente ao protocolo UDP
egp(8) Referente ao protocolo EGP
cmot(9) Referente ao protocolo CMOT
transmission(10) Trata dos meios de transmisso
snmp(11) Referente ao protocolo SNMP
21
3.1.2 - Sintaxe
22
3.1.3 Codificaes
Uma vez que uma instncia de um tipo de objeto tenha sido identificada, seu
valor deve ser transmitido aplicando-se as regras bsicas de codificao da linguagem
ASN.1 na sintaxe deste tipo de objeto.
Gerenciamento de configurao
23
Gerenciamento de falhas
Gerenciamento de segurana
Gerenciamento de desempenho
Gerenciamento de contabilizao
24
Captulo 4 - Objetos Gerenciveis
OBJETO
sysDescr { system 1 }
Acesso leitura
Status obrigatrio
25
reservando um grupo de nmeros para diferentes localizaes. No caso do TCP/IP -
baseado em gerenciamento de rede, o nmero alocado 1.3.6.1.2 e a SMI usa isto
como uma base para definir novos objetos.
Deste modo, definido uma Estrutura de Informao de Gerenciamento (SMI -
Structure Management Information) que especifica o modelo de informao a ser
adotado. Este modelo deve incluir a definio da estrutura da informao de
gerenciamento armazenada em bases de dados destinadas a esse fim, as operaes
que podem ser realizadas sobre a mesma e as notificaes que podem ser emitidas
em decorrncia de alguma operao ou alterao destas informaes. Assim sendo,
pode-se garantir a interoperabilidade entre diferentes sistemas de gerenciamento de
rede onde tais sistemas conseguem ter uma viso comum da informao de
gerenciamento.
A MIB da Internet define os objetos que podem ser gerenciados por cada
camada do protocolo TCP/IP. Estes objetos esto sob a guarda de um agente de
gerenciamento e a comunicao entre este agente e um gerente, localizado na
estao de gerenciamento feita utilizando o protocolo SNMP.
A MIB e o protocolo SNMP utilizam uma restrio do padro ASN.1 do OSI para
a definio dos objetos e dos Protocol Data Units (PDUs). Inicialmente, esta escolha
foi feita para permitir uma compatibilidade com o protocolo CMIP do modelo OSI, mas
este objetivo no existe mais.
Como todos os padres da tecnologia TCP/IP, as definies usadas no
gerenciamento SNMP foram publicadas na srie RFC (Requests For Comments). As
definies originais do protocolo SNMP, bem como dos objetos gerenciados foram
publicados em 1989. Em 1990, foi feita uma reviso da MIB, que passou a se chamar
26
de MIB-II. Em 1993, foi publicado um conjunto de padres novos, chamado SNMPv2,
com alteraes ao protocolo e extenses s definies dos objetos.
A MIB divide os objetos em vrios grupos. A tabela a seguir mostra a MIB-I e os
grupos nela definidos.
Nmero de
Grupo Objetos para:
objetos
System Informaes bsicas do sistema 3
Interfaces Interfaces de rede 22
At Traduo de endereo 3
Ip Software de protocolo IP 33
Icmp Protocolo de estatstica para controle interno de mensagens 26
Tcp Software do Protocolo TCP 17
Udp Software do Protocolo UDP 4
Egp Software do Protocolo EGP 6
Nmero de
Grupo Objetos para:
objetos
System Informaes bsicas do sistema 7
Interfaces Interfaces de rede 23
At Traduo de endereo 3
Ip Software de protocolo IP 38
Icmp Protocolo de estatstica para controle interno de mensagens 26
Tcp Software do Protocolo TCP 19
Udp Software do Protocolo UDP 7
Egp Software do Protocolo EGP 18
Transmiss Transmisso mdia especfica 0
SNMP Aplicaes SNMP 30
27
Hierarquia de Herana - A hierarquia de herana, tambm denominada de
hierarquia de classe, est relacionada s propriedades associadas aos objetos
descritas atravs de seus atributos, comportamento, pacotes condicionais, operaes
e notificaes. Dentro desta hierarquia, define-se, ento, o conceito de classes de
objeto hierarquizadas s quais pertencem objetos com propriedades similares.
Existem, ento, superclasses s quais esto subordinadas subclasses. Uma subclasse
herda todas propriedades de sua superclasse, de maneira irrestrita,
independentemente da necessidade ou no destas propriedades. A estas subclasses
podem ser aglutinadas propriedades adicionais. A superclasse do topo desta
hierarquia chamada de TOPO (Top), da qual todas as outras classes so derivadas.
Dentro desta organizao, as classes mais gerais so definidas prximas ao TOPO.
A figura abaixo apresenta um exemplo de rvore de Classes de Objetos Gerenciados.
28
Todos os objetos gerenciados de uma classe devem possuir o mesmo
comportamento, que define: a semntica dos atributos, operaes e notificaes; a
resposta s operaes de gerenciamento; as circunstncias em que as notificaes
devem ser emitidas; as dependncias entre valores de atributos particulares e os
efeitos dos relacionamentos entre objetos gerenciados. Um pacote condicional uma
coleo de atributos, notificaes, operaes e comportamentos opcionais, que est
totalmente presente ou ausente num objeto gerenciado. Apenas uma instncia de um
pacote condicional pode existir em um objeto gerenciado e a mesma somente pode
ser acessada como parte deste objeto. Deve-se ainda ressalvar o conceito de classes
alomrficas. Uma subclasse dita alomrfica de sua superclasse quando apresenta
comportamento semelhante sua superclasse. Para uma subclasse alomrfica, a
faixa de valores de um atributo herdado deve ser a mesma ou um subconjunto da faixa
de valores definida para o mesmo atributo da sua superclasse alomrfica.
29
Hierarquia de Registro - A hierarquia de registro, por sua vez, usada para
identificar de maneira universal os objetos, independentemente das hierarquias de
heranas e nomeao. Esta hierarquia especificada segundo as regras
estabelecidas pela notao ASN.1 para rvore de registros usada na atribuio de
identificadores a objetos. Cada n desta rvore est associado a uma autoridade de
registro (por exemplo, ISO - International Organization for Standardization e CCITT -
Consultative Commitee for International Telegraph and Telephone) que determina
como so atribudos os seus nmeros. Desta maneira, cada objeto identificado por
uma seqncia de nmeros, cada um correspondente a um n.
30
utilizao de sincronizao atmica pode levar a resultados inesperados, se os
atributos da lista no estiverem sincronizados entre si no objeto.
As seguintes informaes devem estar disponveis para execuo de operaes
orientadas a atributos:
Identificador de atributo;
Filtros;
Listas ordenadas das classes de objetos alomrficas;
Aps a execuo da operao, os seguintes resultados esto disponveis na
fronteira do objeto gerenciado:
Identificador de atributo e valores dos atributos que sofreram operaes;
Indicao de erro para os atributos que no puderam ser submetidos operao.
Os seguintes tipos de erros devem ser identificados:
Identificadores de atributos desconhecidos, isto , no encapsulado dentro do
objeto gerenciado;
Classe de objeto especificada que no parte do conjunto alomrfico do objeto
gerenciado;
Falha geral no processamento da operao.
A operao de gerenciamento sobre um atributo de objeto gerenciado pode
provocar efeitos diretos e/ou indiretos. Os efeitos diretos so definidos pela operao
de gerenciamento Substituio do Valor do Atributo (Replace Attribute Value). Os
efeitos indiretos so resultados de relaes do objeto gerenciado em questo. Como
exemplos de efeitos indiretos pode-se citar:
Modificao de um atributo dentro do mesmo objeto;
Mudana de comportamento do objeto gerenciado;
Alterao de um atributo de um objeto gerenciado relacionado;
Mudana no comportamento de um objeto gerenciado relacionado causado pela
mudana de um ou mais atributos naquele objeto gerenciado.
As operaes orientadas a atributos especificadas nas normas ISO/IEC 10165-
1 so as seguintes:
31
identificadores dos atributos a serem alterados e seus novos valores. Tais informaes
so usadas para determinar como e se tal operao deve ser executada. H indicao
de erro para os atributos cujos valores no puderem ser substitudos, identificando-se
aqueles no substitudos por no serem acessveis para escrita.
32
definio da classe de objeto gerenciado. Os objetos gerenciados so criados e
removidos por meio de operaes de gerenciamento ou como efeito colateral de uma
outra operao.
33
operao DELETE requisita que o objeto gerenciado remova a si mesmo. Esta
operao remove o objeto gerenciado que representa um recurso e implica um efeito
anlogo sobre o prprio recurso.
Quando um objeto gerenciado recebe um pedido de remoo, ele verifica se
outros objetos gerenciados esto contidos nesse objeto. Caso afirmativo, o
comportamento do objeto gerenciado depende da especificao da classe do objeto
gerenciado. O objeto gerenciado pode remover todos os objetos gerenciados nele
contidos para assegurar a integridade do nome, ou pode recusar-se a executar esta
operao de remoo at que todos os objetos gerenciados nele contidos tenham sido
removidos.
Similarmente, quando um objeto gerenciado a ser removido tem relacionamento
com outros objetos gerenciados, as remoes destes objetos podem comprometer a
integridade dos relacionamentos e/ou dos objetos gerenciados relacionados.
Geralmente, objetos gerenciados e seus relacionamentos devem ser removidos de
maneira a assegurar a integridade do sistema gerenciado a cada remoo efetuada.
Se a remoo de um objeto gerenciado resultar na perda da integridade do
relacionamento, ento, o objeto gerenciado pode rejeitar o pedido de remoo ou
iniciar operaes que assegurem que esta integridade seja mantida. A emisso ou no
de uma notificao, como resultado da remoo de um objeto gerenciado, depende da
definio do objeto gerenciado.
Para que seja possvel determinar como e se a operao de DELETE deve ser
executada, devem ser fornecidas informaes referentes lista ordenada das classes
alomrficas e aos filtros associados. No caso de os objetos gerenciados no poderem
ser removidos, retornada uma indicao de erro identificando-se aqueles erros
decorrentes de identificadores de atributos desconhecidos. Como resultado da
operao de remoo de objetos gerenciados, pode ou no ser emitida uma
notificao. Isto depende da definio do objeto gerenciado.
c) ACTION - Essa operao pode ser executada para todas as classes de objetos
gerenciados. A operao ACTION requer que o objeto gerenciado execute a ao
especificada e indique o seu resultado. A ao e a informao opcional associada so
parte da definio de classe do objeto gerenciado.
As seguintes informaes devem estar disponveis para ser possvel determinar
como e se a operao ACTION deve ser executada sobre uma instncia de classe de
objetos gerenciados:
Lista ordenada das classes alomrficas;
Especificao da ao a ser executada;
Identificador da classe de objeto para suportar comportamento alomrfico.
Aps a execuo da ao especificada, so obtidas informaes sobre o seu
resultado e eventuais erros. Neste caso, devem ser identificados erros relativos ao
desconhecida e classe de objeto desconhecida.
34
4.4 - Compiladores de MIBs
Alm da descrio dos objetos gerenciados e suas relaes, uma MIB contm
informaes detalhadas sobre cada objeto, como por exemplo, o tipo de acesso a um
objeto, um valor default razovel para um objeto e um conjunto de valores que um
objeto pode assumir. Estas informaes possuem um valor inestimvel para os
fornecedores de softwares para agentes e gerentes, pois elas permitem que vrios
fornecedores utilizem um mesmo conjunto de informaes de gerenciamento,
obedecendo a um conjunto de caractersticas padro. Alm disso, uma MIB pode ser
compilada por um compilador de MIBs, de forma que as informaes presentes na
MIB estejam disponveis para aplicaes como MIB browsers e graphers. Estas
aplicaes so consideradas aplicaes genricas. So aplicaes simples que obtm
toda a sua capacidade de gerenciamento atravs da anlise de uma MIB, sem
qualquer interveno humana.
Alm de checar a sintaxe de uma MIB, um compilador de MIBs pode gerar
automaticamente as estruturas de dados e o cdigo necessrio para que um agente
implemente uma determinada MIB. Um compilador de MIBs tambm pode fazer com
que as informaes sobre os objetos gerenciados de MIBs proprietrias ou de novas
MIBs que sejam padronizadas estejam disponveis para uma aplicao de
gerenciamento existente.
A entrada para um compilador de MIBs uma coleo de mdulos de MIBs
escritos em um subconjunto de linguagem ASN.1. Estes mdulos contm definies
de objetos gerenciados que correspondem s informaes sobre os dispositivos da
rede que podem ser manipulados atravs do protocolo SNMP. Os compiladores de
MIBs podem gerar vrias representaes das definies dos objetos gerenciados
contidos nas MIBs usadas como entrada. Estas representaes podem ser
processadas mais facilmente pelos agentes e aplicaes de gerenciamento do que a
representao ASN.1. Algumas destas representaes so declaraes de estruturas
de dados em linguagens de programao de alto nvel, como C, que podem ser
compiladas e ligadas em uma aplicao de gerenciamento ou agente. Outras so
arquivos de dados contendo representaes das definies dos objetos gerenciados
que podem ser lidas para a memria por uma aplicao de gerenciamento ou agente
em tempo de execuo. Em alguns casos, o compilador de MIBs gera um cdigo de
sada que auxilia na implementao das MIBs de entrada. Por exemplo, um
compilador de MIBs pode gerar esqueletos de rotinas para a recuperao ou
alterao do valor de um objeto gerenciado, ou rotinas para a gerao de Trap-PDUs
especficas.
A habilidade de reconhecer as descries presentes em uma MIB
mecanicamente muito atraente, principalmente para os fabricantes de aplicaes
genricas, pois estas podem cobrir uma grande variedade de agentes de MIBs. Com
o grande nmero de MIBs padronizadas e MIBs proprietrias disponveis atualmente,
os compiladores de MIBs reduzem o esforo dos fornecedores para manterem suas
aplicaes atualizadas.
Assim, muitos esforos esto concentrados em facilitar a forma pela qual
diversas MIBs possam ser compiladas em cada produto de gerenciamento. Tentativas
35
esto sendo feitas para que mais informaes possam ser reconhecidas
dinamicamente possibilitando que uma aplicao gerencie eficientemente um
dispositivo completamente desconhecido para o fornecedor do produto de
gerenciamento e para o usurio.
Embora os compiladores de MIB j tenham provado sua utilidade, o
gerenciamento de redes inteligente no poder ser alcanado pela simples utilizao
desta tecnologia. Infelizmente, a informao mais importante da MIB, ou seja, o texto
que descreve detalhadamente um objeto, no pode ser compreendido por um
compilador de MIB (com a tecnologia disponvel atualmente). Por exemplo, um
compilador pode ler a descrio de um objeto da MIB-II e aprender que este objeto
um inteiro que pode assumir os valores um e dois, o valor deste objeto pode ser lido e
alterado e a implementao deste objeto obrigatria. Mas somente um ser humano
pode compreender a partir da descrio em linguagem natural do objeto ipForwarding,
que se o valor deste objeto for igual a um ento o sistema descrito por este objeto est
atuando como um gateway, seno o sistema apenas um n da rede. Alm disso,
existem informaes conhecidas por um administrador de rede experiente que no so
descritas em nenhuma MIB, como por exemplo, o fato de que em algumas
circunstncias, pode ser perigoso para um sistema atuar como um gateway.
Para a construo de um sistema de gerenciamento de redes inteligente, as
aplicaes devem conter todo este conhecimento. Como este conhecimento no pode
ser fornecido no formato da MIB, os fornecedores de aplicaes de gerenciamento
devem desenvolver outras formas de incluir estes conhecimentos em suas aplicaes.
Sem esta inteligncia, muitas aplicaes genricas ficam limitadas coleta,
formatao e exibio das informaes de gerenciamento. Estas informaes so
apresentadas para o usurio, que aplica sua inteligncia humana para analis-las.
Esta carga s poder ser retirada das mos do administrador de rede se as aplicaes
se tornarem mais inteligentes.
Sem esta inteligncia ser muito difcil que uma aplicao possa coletar
informaes suficientes de uma MIB desconhecida para gerenciar eficientemente um
dispositivo desconhecido.
36
As informaes orientadas para a aplicao so lidas pela estao de
gerenciamento. Algumas destas informaes podem controlar como a aplicao vai
exibir os dados coletados atravs do protocolo SNMP, enquanto outras informaes
podem ser exibidas para ajudar o usurio a entender o significado destes dados. No
entanto, as aplicaes que utilizam estas novas facilidades no podem ser
consideradas inteligentes, pois no so capazes de fazer recomendaes para o
usurio com base nos dados recebidos atravs do protocolo SNMP. Esta inteligncia,
to desejada pelos gerentes de rede, s poder ser fornecida adequadamente pelas
aplicaes desenvolvidas para uma MIB particular.
Como as MIBs proprietrias multiplicam o nmero de MIBs padro por um fator
de dez, muito difcil para os fabricantes de aplicaes de gerenciamento de rede
suportar todas as MIBs proprietrias. Para estas MIBs, as informaes adicionadas
orientadas para a aplicao so muito importantes.
37
Embora a arquitetura de gerenciamento SNMP tenha possibilitado o
monitoramento dos ns gerenciadores, ela no provocou a produo de aplicaes de
gerenciamento inteligentes. A principal causa desta situao que as informaes
de gerenciamento foram definidas em um nvel muito baixo. Foram produzidas
diversas MIBs contendo vrios objetos gerenciados, mas no foram produzidos
documentos descrevendo como estes objetos podem ser usados no gerenciamento
eficiente de uma rede. O resultado disto que a maioria das aplicaes de
gerenciamento de browsers, que no possuem nenhuma inteligncia. Por outro lado,
alguns dos produtos desenvolvidos nos ltimos anos possuem caractersticas mais
inteligentes e, portanto teis do que estas ferramentas mais simples.
38
Captulo 5 - O protocolo SNMP
O protocolo SNMP (Simple Network Management Protocol) a soluo adotada
na Internet para permitir que gerentes de redes possam localizar e corrigir problemas.
Geralmente, utilizado um processo na mquina do administrador chamado de cliente
(uma workstation ou um gateway, por exemplo) que se conecta a um ou mais
servidores SNMP localizados em mquinas remotas, para executar operaes sobre
os objetos gerenciados (por exemplo, para obter informaes sobre estes objetos).
39
das entidades de uma rede. Na maioria dos casos, usamos as variveis convencionais
para o armazenamento dos objetos de uma MIB, mas em alguns casos, em que a
estrutura interna do TCP/IP no exatamente compatvel com a estrutura de um
objeto de uma MIB, necessrio que o SNMP seja capaz de computar os objetos de
uma MIB a partir das estruturas de dados disponveis (simulao deste conjunto
conceitual de objetos).
Ao receber e enviar mensagens no protocolo SNMP, os nomes dos objetos no
devem ser armazenados na forma textual, e sim na forma numrica definida pela
sintaxe ASN.1, que representa o objeto univocamente, com o objetivo de tornar o
pacote SNMP mais compacto. Quando a forma numrica que representa um objeto
terminar com um zero (como em 1.3.6.1.2.1.4.3.0), representa que o objeto a nica
instncia existente. Por exemplo, o objeto gerencivel
iso.org.dod.internet.mgmt.mib.ip.ipInReceives ser representado na mensagem SNMP
como 1.3.6.1.2.1.4.3.
Para minimizar o espao interno necessrio para representar um objeto, e
considerando que todos os objetos em uma MIB apresentam o mesmo prefixo no seu
nome, podemos retirar o prefixo aps a mensagem chegar na mquina, e recoloc-lo
imediatamente antes de enviar a mensagem para outra mquina. Resumidamente os
principais objetivos do protocolo SNMP so:
Reduzir o custo da construo de um agente que suporte o protocolo;
Reduzir o trfego de mensagens de gerenciamento necessrias para gerenciar os
recursos da rede;
Reduzir o nmero de restries impostas as ferramentas de gerenciamento da
rede, devido ao uso de operaes complexas e pouco flexveis;
Apresentar operaes simples de serem entendidas, sendo facilmente usadas
pelos desenvolvedores de ferramentas de gerenciamento;
Permitir facilmente a introduo de novas caractersticas e novos objetos no
previstos ao se definir o protocolo;
Construir uma arquitetura que seja independente de detalhes relevantes somente a
algumas implementaes particulares.
A verso atual do protocolo SNMP a 2.0 (SNMPv2). A principal diferena
entre esta verso e a anterior a existncia de um mecanismo de comunidade
melhorado, que apresenta uma identificao no ambgua tanto da origem, como do
formato da mensagem SNMPv2, permitindo utilizar mtodos de acesso mais
convencionais aos objetos gerenciados, alm de permitir o uso futuro de protocolos
assimtricos de segurana, com o uso de chaves pblicas.
O SNMP tem como base a tcnica fetch-store, ou seja, todas as suas
operaes previstas so derivadas de operaes bsicas de busca e armazenamento.
Estas operaes so:
get-request - leitura de uma varivel
get-next-request - leitura da prxima varivel
get response - resposta a uma operao de leitura
set request - gravao de um campo varivel
trap - notificao da ocorrncia de um evento
Um gerente interage com um agente de acordo com as regras estabelecidas
pelo framework de gerenciamento. Em geral, o gerenciamento da rede impe
40
overheads significativos, pois cada n apenas produz algumas variveis que sero
lidas e usadas para sua monitorao.
41
tabela. No ser necessrio conhecer o nome do prximo objeto, pois cada comando
GET-NEXT retornar o nome do prximo item da tabela. Executando este processo
sucessivamente at que todos os itens da tabela tenham sido acessados, teremos
varrido toda a tabela.
A implementao de uma estrutura de dados que suporte o comando GET-
NEXT pode ser complicada devido a esta operao poder pular o prximo objeto
simples (na ordem lexicogrfica) devido a existncia de objetos vazios. Como
conseqncia, no se pode usar simplesmente a ordem lexicogrfica presente na
rvore para determinar quais objetos satisfazem a um comando GET-NEXT, devendo
tambm existir um programa que examine os objetos, pule aqueles objetos que
estejam vazios e descubra o primeiro objeto simples pertencente a um objeto no
vazio.
Para o suporte das funes GET, SET e GET-NEXT sobre tabelas, ao contrrio
do que acontece com objetos simples mapeados em memria, necessrio um
software adicional para mapear a tabela numa estrutura interna de dados. No caso das
tabelas MIB, o servidor SNMP deve providenciar algum mecanismo que permita a
cada tabela ter trs funes para implementar as operaes GET, SET e GET-NEXT.
Para o servidor descobrir qual funo deve ser usada, o software que
implementa o servidor deve usar a tabela para escolher a funo correta, atravs do
uso de um ponteiro para uma tabela que conter ponteiros para cada uma das
operaes. As entradas em uma tabela apontam para outras tabelas que no contm
o identificador completo do objeto, mas somente o prefixo deste identificador, porque o
identificador completo do objeto para um item da tabela formado pelo prefixo que
identifica a tabela, mais um sufixo que identifica uma entrada particular na tabela em
que o objeto est armazenado. Uma vez determinado o prefixo correspondente ao
objeto e formado o nome do objeto, a funo de acesso correspondente operao
pedida invocada. No caso das tabelas, a funo de acesso obtm o sufixo do
identificador do objeto, e o usa para selecionar uma das entradas da tabela. Para a
maioria das tabelas, usado o endereo IP para selecionar uma entrada. O endereo
IP codificado no identificador do objeto usando-se a representao decimal com
pontos.
42
mensagem. Uma maneira de evitar este problema construir a mensagem de trs
para frente.
Uma mensagem SNMP deve definir o servidor do qual obtemos ou alteramos os
atributos dos objetos, e que ser responsvel por converter as operaes requisitadas
em operaes sobre as estruturas de dados locais. Aps verificar os campos de uma
mensagem, o servidor deve usar as estruturas internas disponveis para interpretar a
mensagem e enviar a resposta da operao ao cliente que requisitou o pedido. Uma
mensagem constituda por trs partes principais:
A verso do protocolo;
A identificao da comunidade, usada para permitir que um cliente acesse os
objetos gerenciados atravs de um servidor SNMP;
A rea de dados, que dividida em unidades de dados de protocolo (Protocol Data
Units - PDUs). Cada PDU constituda ou por um pedido do cliente, ou por uma
resposta de um pedido (enviada pelo servidor).
O primeiro campo de uma mensagem SNMP um operador seqencial,
seguido por um campo com o tamanho total da mensagem (se este tamanho no for
igual ao do datagrama, ser retornado um cdigo de erro). O prximo campo um
nmero inteiro que identifica a verso do protocolo SNMP, seguido por um campo
usado para a autenticao, indicando a comunidade que o cliente pertence (a
comunidade public permite a qualquer cliente acessar os objetos, no precisando o
servidor verificar se o cliente pode ou no acessar o objeto). O quarto campo contm a
operao que ser executada, devendo ser um GET, SET ou GET- NEXT pois a
operao de TRAP s gerada pelo servidor. O quinto campo usado para o servidor
ter certeza de que o valor deste campo igual ao tamanho da parte da mensagem que
contm os dados. O sexto campo uma identificao para o pedido, e o stimo e o
oitavo campo so flags que indicam erros quando esto setadas (campos de status e
de ndice de erro).
Na definio de uma mensagem, cada uma das PDUs constituda ou por um
dos cinco tipos de PDUs para as operaes ou por uma PDU para a resposta. Na
definio da mensagem SNMP, deve-se ter uma sintaxe individual para cada um das
cinco operaes da PDU. Alguns termos encontrados nas sintaxes das PDUs das
operaes so:
O campo RequestID um inteiro de 4 bytes (usado para identificar as respostas);
Os campos ErrorStatus e ErrorLevel so inteiros de um byte (sendo nulos em um
pedido de um cliente);
O campo VarBindList uma lista de identificadores de objetos na qual o servidor
procura os nomes dos objetos, sendo definida como uma seqncia de pares
contendo os nomes dos objetos (em ASN.1 este par representado como uma
seqncia de dois itens). Na sua forma mais simples (com um objeto) apresenta dois
itens: o nome do objeto e um ponteiro nulo.
43
5.4 - Servidores e Clientes SNMP
Figura 6 - Fluxo de uma mensagem SNMP dentro de um servidor. Os passos 3 e 4 so repetidos para cada
objeto especificado na mensagem (passo com *)
44
ponteiro para uma lista ligada com os nomes de todos os objetos sobre os quais a
operao deve ser aplicada. Aps serem geradas as respostas, estas devem ser
convertidas para que possam ser adicionadas na mensagem de resposta, que ser
enviada ao cliente que solicitou o pedido. As operaes presentes nos pedidos
geralmente so executadas por funes no processo servidor. Na prtica, existem
vrios detalhes que complicam o cdigo do servidor, como o fato de a mensagem
SNMP usar a representao ASN.1 em seus campos. Por isso, o servidor no pode
usar uma estrutura fixa para descrever o formato da mensagem, mas ao invs de usar
uma estrutura no fixa (varivel), o servidor pode percorrer a mensagem, analisar
cada campo como pode, traduzindo cada um dos campos do formato ASN.1 para o
seu formato interno, e traduzindo a resposta para o formato ASN.1 antes de envi-la
ao cliente.
Um cliente SNMP deve construir e enviar o seu pedido ao servidor, esperar pela
resposta de seu pedido, e verificar se a resposta concorda com a resposta do que foi
pedido. Devido ao protocolo UDP no garantir a entrega dos pacotes, o cliente deve
implementar estratgias para time out e retransmisso das mensagens que contm os
pedidos. Um cliente s pode obter ou alterar os atributos de um objeto gerenciado
somente se tiver permisso para acessar o objeto. Esta permisso definida atravs
de uma poltica de acesso. Esta poltica usa o mecanismo de comunidades
(community), em que definimos para cada comunidade, um grupo de objetos e de
operaes que podem ser realizadas sobre estes objetos. Se um cliente no pertencer
a comunidade autorizada para acessar o objeto, ou se no tiver autoridade para
executar a operao sobre o objeto presente em seu pedido, o pedido ser recusado,
e ser retornada uma mensagem de erro ao cliente, informando que ele no tem
direito de acesso ao objeto, ou que ele no pode executar a operao pedida sobre os
atributos do objeto. Este mecanismo permite a definio de relaes administrativas
entre os servidores e os clientes SNMP de uma rede.
5.5 SNMPv2
45
A estrutura de informao de gerenciamento (SMIv2) para o SNMPv2 mais
elaborada, e eliminou ambigidades nas definies dos objetos encontrados nas
especificaes anteriores. Em relao s primitivas foram acrescentados dois novos
PDUs:
get-bulk-request-PDU, que permite que uma grande quantidade de informaes
possa ser transferida do agente para o gerente eficientemente;
inform-request-PDU, que permite a um gerente enviar ou eventualmente solicitar
informaes a outro gerente.
As comunicaes gerente-gerente, como tambm o gerenciamento hierrquico,
foram incorporados ao protocolo com a introduo do novo tipo de mensagem, inform-
request; e com a SNMPv2-M2M MIB, que constituda por dois grupos: um grupo de
alerta e um grupo de eventos.
No aspecto segurana, o SNMPv2 acrescentou ao protocolo novos conceitos e
servios que trouxeram mais segurana ao protocolo. Os conceitos includos foram: o
conceito de viso de MIB definido em termos de sub-rvores, restringindo o acesso a
pores predefinidas da MIB; e o conceito de contexto, que uma coleo de objetos
e seus respectivos agentes, e a especificao dos privilgios envolvidos. Os servios
includos so de integridade, autenticao e confiabilidade dos dados.
46
Captulo 6 - Gerenciamento no modelo OSI
Assim como o protocolo SNMP, a ISO prope como soluo para
gerenciamento de redes o protocolo CMIP (Common Management Information
Protocol), que tambm define em seu escopo os papis de gerente e agente que
trocam informaes sobre os recursos gerenciados e que so armazenados em MIBs.
47
configurao e de contabilidade, usando os recursos de uma rede baseada no modelo
de comunicao OSI.
CMIS - Common Management Information Service, so os servios
prestados na camada de aplicao. So orientados a conexo, necessitando de um
canal virtual para troca de informaes. Permite definir os objetos atravs da seleo
de sub-rvores (scopping), ou atravs do uso de predicados (filtragem). O CMIS
apresenta os seguintes servios s aplicaes de gerenciamento:
GET - Para obter informaes (atributos) de um objeto gerenciado;
SET - Para alterar os atributos de um objeto gerenciado;
ACTION - Para executar um comando sobre um objeto gerenciado;
CREATE - Para criar uma nova instncia de um objeto;
DELETE - Para descartar uma instncia de um objeto (remov-la);
EVENT-REPORT - Para o relato de ocorrncias excepcionais (notificaes sobre
um evento associado a um objeto gerenciado).
Alem das funes apresentadas no protocolo CMIP, o CMIS apresenta
facilidades adicionais que permitem selecionar um conjunto de objetos sobre o qual
pode-se aplicar a mesma operao, e tambm a existncia de respostas mltiplas
para cada requisio (uma para cada objeto gerenciado). So trs facilidades
adicionais:
1. Scopping - permite selecionar um grupo de instncias de objetos gerenciados
sobre o qual ser aplicada uma nica operao;
2. Filtro - d a possibilidade de definir um conjunto de testes que sero aplicados a
um grupo de instncias de um objeto, selecionado por uma operao de scopping
anterior, permitindo formar um grupo menor a partir deste, sobre o qual as
operaes de gerenciamento devem ser aplicadas;
3. Sincronizao permite sincronizar vrias operaes de gerenciamento a serem
aplicadas a instncias de objetos gerenciados, obtidos atravs do uso das
operaes de scopping e de filtragem.
O CMISE (Common Management Information Service Element) implementa os
servios definidos pelo CMIS, executando o protocolo CMIP. correspondente ao
mecanismo SASE (Special Application Service Element) da camada de aplicao, e
utiliza os elementos ACSE (Association Control Service Element) e ROSE (Remote
Operations Service Element) que juntos correspondem ao mecanismo de CASE
(Common Application Service Element) tambm da camada de aplicao.
O protocolo CMIP apresenta uma forma inteligvel comum utilizada para
transferir as informaes de gerenciamento entre as entidades pares na comunicao
de gerenciamento, sendo que uma destas atua como um gerente, enquanto a outra
atua como agente, sendo que as informaes so armazenadas em MIBs descritas
atravs da linguagem ASN.1.
Um framework que utilize o protocolo CMIP tende a usar a modelagem da
orientao a objetos, que encapsula as operaes associadas a uma estrutura de
dados na prpria estrutura. Aqui um agente tem um servidor de objetos gerenciados
que pode executar operaes de gerenciamento nas variveis relacionadas a um n
gerenciado. Se este agente for executado em outra mquina (separadamente ao resto
do cdigo de gerncia), tem-se ento o gerenciamento distribudo de rede.
48
Os servios oferecidos pelo CMISE ao protocolo CMIP podem ser confirmados
ou no confirmados. Os servios oferecidos pelo CMISE e usados pelas aplicaes de
gerenciamento e para o informe de notificaes, so:
M-EVENT-REPORT - Reporta um evento de um objeto gerenciado;
M-GET - Solicita a busca de informaes de gerenciamento;
M-CANCEL-GET - Solicita o cancelamento de um servio M-GET previamente
requisitado e ainda pendente;
M-SET - Solicita a modificao da informao de gerenciamento;
M-ACTION - Solicita a execuo de uma ou mais aes sobre os objetos
gerenciados;
M-CREATE - Solicita a criao de uma instncia de um objeto gerenciado;
M-DELETE - Solicita a remoo de uma ou mais instncias de objetos gerenciados.
49
Figura 7 - Relacionamento Gerente - Agente
50
3. Na Hierarquia de Registro so registradas as definies das classes dos objetos,
os atributos dos objetos, as aes que podem ser aplicadas, as notificaes
geradas e os pacotes, seguindo as regras definidas pela notao ASN.1.
Um problema que este modelo apresenta a existncia de mais complexidade
ao se construir os agentes, mas apesar desta desvantagem, e de os agentes
consumirem mais recursos da rede, o uso da rede otimizado, devido a minimizao
dos pedidos de informao (polling) necessrios para obter dados sobre o objeto
gerenciado, alm de deixar que o gerente realize as tarefas mais especficas.
Devido hierarquia introduzida por este modelo, possvel que um mesmo
processo tenha ao mesmo tempo, a funo de gerente e de agente, sendo chamado
de gerente intermedirio. Assim pode-se distribuir as tarefas entre os gerentes
intermedirios, de forma que cada um seja responsvel por gerenciar um certo
domnio da rede.
51
de Aplicao de Gerenciamento de Sistema (SMAE - System Management Application
Entity). Esta entidade tambm providencia a interface entre as LMEs de um n da
rede com as suas correspondentes no outro n, usando o Protocolo de Informao de
Gerenciamento (CMIP), como pode ser visto na figura seguinte.
52
gerenciamento e das notificaes, sendo que uma entidade tem a funo de um
gerente, solicitando aes de gerenciamento a outra entidade que tem a funo de
agente, executando as operaes e enviando as notificaes emitidas pelos objetos
gerenciados.
53
Elemento de Servio de Controle de Associao (ACSE - Association Control
Service Element);
Elementos de Servio de Aplicao (ASEs - Application Service Elements).
Os servios de comunicao necessrios a uma SMASE podem ser prestados
por um Elemento de Servio de Informao de Gerenciamento Comum (CMISE) ou
por vrios ASEs, como o de Transferncia, Acesso e Gerenciamento de Arquivos
(FTAM - File Transfer, Access and Management), ou pelo Processamento de
Transaes (TP - Transaction Processing). O CMISE define os servios e
procedimentos necessrios para transferir as Unidades de Dados do Protocolo
Comum de Informao de Gerenciamento (CMIPDUs - Commom Management
Information Protocol Data Units) e fornece um meio para a troca de informaes
usadas pelas operaes de gerenciamento. Para us-lo necessrio um Elemento de
Servio de Operaes Remotas (ROSE - Remote Operations Service Element).
54
O conhecimento de gerenciamento compartilhado deve conter, dentre outras
coisas, os seguintes elementos:
O protocolo utilizado;
As funes e unidades funcionais suportadas;
As informaes sobre os objetos gerenciados;
As restries nas funes suportadas, e as relaes entre as funes e os objetos
gerenciados.
55
Figura 11 - Domnios gerenciais
56
referem disponibilidade e operacionalidade de um recurso sob a viso do
gerenciamento. Cada classe de objetos gerenciados tem o seu prprio conjunto de
atributos de estado, que so usados para expressar e controlar os aspectos de
operao dos recursos associados a cada classe. A funo de gerenciamento de
estado deve ser padronizada, pois deve ser comum a um grande nmero de recursos
gerenciados, e expressa os aspectos essenciais que se referem a operacionalidade de
um recurso num dado intervalo de tempo. Tem como objetivo o controle da
disponibilidade geral deste recurso, tornando as informaes sobre esta
disponibilidade visveis, e no caso do recurso estar inoperante, a funo define quais
aes devem ser tomadas para coloc-lo operante.
Devem fornecer definies genricas para permitir a obteno de informaes,
a mudana do estado de um dos objetos, e a emisso de notificaes sobre as
mudanas no estado de um objeto, sempre que decorrerem de alguma operao
realizada no sistema aberto. So definidos dentro do escopo de gerenciamento de
estado, trs fatores que afetam o estado de gerenciamento de um objeto em relao a
disponibilidade do recurso associado a este objeto:
Operacionalidade: Se um dado recurso est ou no instalado, e no caso de
estar instalado, se est ou no em operao;
Utilizao: Se um dado recurso est ou no em uso em um dado instante
de tempo, e se este ou no capaz de aceitar mais outros usurios adicionais;
Administrao: Atravs dos servios de gerenciamento, impe-se a
permisso ou proibio do uso de um dado recurso.
57
Atributos para Representao de Relacionamento (ARR - Attributes for
Representing Relationship) - ISO10164-3 - Um relacionamento um conjunto de
regras que so usadas para descrever como uma operao realizada numa parte de
um sistema aberto poder afetar alguma outra parte deste sistema. Um
relacionamento existe entre dois objetos gerenciados quando uma operao
executada em um deles afeta uma operao executada no outro. Para que este
relacionamento seja reconhecido no modelo OSI, devem ser conhecidas informaes
suficientes de gerenciamento, que permitam ao Usurio do Servio de Informao de
Gerenciamento identificar quais so os objetos gerenciados envolvidos, e quais as
regras que governam as suas interaes.
A partir de modelos e conceitos definidos no padro da ISO, foram definidos os
seguintes atributos de relacionamento: objeto provedor, objeto usurio, atributo par,
primrio, secundrio, identificao da instncia de objeto Backup, identificao da
instncia de objeto Backed-up, membro, proprietrio e grupo de atributos de
relacionamento.
Funo de relatrio de alarme (ARF - Alarm Report Function) - ISO10164-4 - Tem
como objetivo fornecer informaes que permitam ao gerente atuar sobre as
condies operacionais e a qualidade do servio de um sistema gerenciado. Devem
ser definidos critrios para identificar um mal funcionamento no sistema gerenciado,
em funo da ocorrncia de falhas, que permitam avaliar qual o grau de mal
funcionamento do recurso. O nvel de severidade do alarme avaliado em funo do
nvel de degradao que este ir provocar na qualidade do servio oferecido ao
usurio deste sistema, ou pelo estado da capacidade de uso de um determinado
objeto gerenciado.
Podemos ter diversos nveis de severidade de alarme, deste um nvel de alerta
que no provoca nenhuma degradao sobre o servio prestado ao usurio, at um
alarme crtico que diz que o servio no pode mais ser fornecido ao usurio.
Funo de Gerenciamento de Relatrio de Evento (ERMF - Event Report
Management Function) - ISO10164-5 - A funo de gerenciamento de Relatrio de
Evento tem como objetivos:
o Definir um servio para o controle de relatrios de eventos que permita
selecionar quais relatrios devem ser enviados para um sistema de
gerenciamento particular;
o Definir quais devem ser os destinos dos relatrios de eventos gerados;
o Definir um mecanismo de transmisso de relatrios que permita o
controle sobre o repasse destes relatrios;
o Possibilitar que um sistema de gerenciamento externo altere as
condies usadas para emitir os relatrios;
o Definir endereos secundrios (usados para back-up) aos quais
enviamos os relatrios de eventos, caso o endereo primrio no esteja
disponvel.
Funo para o controle de Log (LCF - Log Control Function) - ISO10164-6 - O
objetivo de funo de controle de log (um repositrio de dados que contm registros
com informaes que devem ser preservadas) o de permitir as demais funes de
gerenciamento, preservar informaes sobre os eventos que ocorreram, ou sobre as
operaes executadas nos objetos gerenciados. Uma vez que estas informaes
58
podem mudar, a funo de controle de log deve satisfazer as seguintes
caractersticas:
o O Controle de Log deve ser flexvel para permitir a seleo de quais
registros do log devem ser preservados pelo sistema de gerenciamento;
o Deve permitir que um sistema externo altere os critrios usados na
preservao dos registros;
o Deve permitir a um sistema externo saber se foi alterada alguma
caracterstica de preservao, ou se um registro foi perdido;
o Definir mecanismos para controlar o tempo durante o qual devem ser
realizadas as atividades de preservao das informaes;
o Deve permitir que um sistema externo recupere e elimine os registros em
um log, como tambm criar e eliminar logs.
Funo de Relatrio de Alarme de Segurana (SARF - Security Alarm Reporting
Function) - ISO10164-7- a funo de gerenciamento do sistema pela qual um
usurio do gerenciamento de segurana recebe as notificaes sobre os eventos
relacionados a segurana da rede. Este usurio deve saber quais as operaes que
falharam (miss operations) nos servios e mecanismos de segurana, os atentados
(attacks), e as violaes (breaches) a esta segurana, quando estes atentados foram
detectadas pelos mecanismos de segurana, alm de outros processamentos
relacionados com a segurana do sistema. Deve-se tambm notificar ao usurio a
gravidade das operaes erradas, dos atentados e violaes na segurana do
sistema.
Funo de Registro para Auditoria de Segurana (SATF - Security Audit Trail
Function) - ISO10164-8 - O usurio do gerenciamento de segurana usa esta funo
para gravar todos os eventos potenciais relacionados segurana no seu domnio de
gerenciamento. Estas informaes so gravadas num objeto de log de auditoria de
segurana (security audit log). Atravs de uma comparao com utilizao planejada
do sistema de gerenciamento e a utilizao real gravada neste log, o usurio pode
saber qual o grau de atendimento dos requisitos definidos pela poltica de
segurana.
Uma anlise ou auditoria dos relatrios de alarmes de segurana possibilita que
o usurio detecte desvios no uso das normas da poltica de segurana, e correlacione
estes desvios com os alarmes de segurana de menor severidade, ou com qualquer
outro evento normal, para descobrir quais so os pontos vulnerveis ou quais partes
do mecanismo de segurana que esto funcionando precariamente.
Para a execuo desta auditoria, necessrio que estejam no log todos os
eventos relativos segurana como: as conexes, as desconexes, todos os eventos
relativos utilizao dos mecanismos de segurana, as prprias operaes para
gerenciamento da rede, e a contabilizao da utilizao de cada recurso gerenciado.
O log pode ser local, em que os registros podem ser recuperados por um gerente, ou
remoto, em que enviamos os registros ao gerente sempre que eventos relativos
segurana ocorrem.
Resumidamente, o usurio do gerenciamento de segurana, precisa ter a
capacidade de controle dos mecanismos de auditoria de segurana em relao a sua
operao, e na escolha dos eventos de interesse do sistema que devem ser
auditados, para que seja possvel perceber atentados contra a segurana, ou
problemas ao se concretizar qual deve ser a poltica de segurana a ser adotada.
59
Funo de Registro para Controle de Acesso ou Funo de Controle de Acesso
(OAAC - Objects and Attributes for Access Control) - ISO10164-9 - O modelo de
controle de acesso faz parte do gerenciamento dos mecanismos de segurana
descritos na arquitetura de segurana do modelo OSI. Este controle de acesso aos
objetos envolvidos na gerncia da arquitetura OSI, uma interpretao do modelo
bsico usado pelas aplicaes de gerenciamento. No contexto do gerenciamento da
segurana do sistema, pode permitir ao administrador de um domnio prevenir-se de
acessos no autorizados aos recursos. Para isso, so disponibilizados mecanismos
para controle do acesso, para que somente usurios autorizados possam ter acesso a
um recurso de gerenciamento especfico. Deve-se tambm evitar o envio das
notificaes a destinatrios no-autorizados, impedir o acesso s operaes de
gerenciamento por entidades que no sejam autorizadas, e proteger as informaes
de gerenciamento contra sua divulgao indesejvel.
Funo de Medida de Contabilizao (AMF - Accounting Metering Function) -
ISO10164-10 - Define os mecanismos necessrios para a coleta de informaes sobre
a utilizao dos recursos no ambiente OSIE (Open System Interconnection
Environment), uma representao para que estas informaes sejam armazenadas de
maneira adequada, e associar tarifas as medidas de utilizao de cada um dos
recursos gerenciados. Definem-se objetos de dados e de controle de medida de
contabilizao. Podem-se realizar operaes sobre as instncias destes objetos para
se obter informaes sobre a utilizao de um recurso, iniciar, retomar e suspender as
medidas de contabilizao do uso do recurso, e tambm manter um registro dessa
medida.
Funo de Monitorao de Carga de Trabalho (WMF - Workload Monitoring
Function) - ISO10164-11 - O seu objetivo a avaliao da demanda necessria de um
recurso e a real utilizao de um dado recurso do OSIE, alm da avaliao da
eficincia das atividades de comunicao. Deve incluir as seguintes funes:
o Obteno de informaes estatsticas;
o Manuteno e anlise dos registros do histrico do sistema;
o Determinao do desempenho do sistema sob condies naturais e
artificiais;
o Alterao do modo de operao do sistema, com objetivo de realizar
atividades referentes ao gerenciamento do seu desempenho.
Funo de Gerenciamento de Teste (TMF - Test Management Function) -
ISO10164-12 - Objetiva satisfazer o controle remoto de testes, alm de estabelecer a
estrutura bsica dos testes a serem realizados sobre os recursos gerenciados. A
necessidade de execuo de operaes de teste pode ser necessria em diferentes
reas funcionais.
Um teste uma operao de monitorao de um sistema aberto (ou parte deste
sistema aberto), num ambiente de gerenciamento que permita obter informaes
sobre a funcionalidade e/ou desempenho dos sistemas que so sujeitos aos testes.
O teste necessita da criao de um ambiente de teste, de uma operao de
teste, e finalmente, o retorno ao ambiente normal aps a execuo do teste.
O objetivo de uma operao de teste o de monitorar e controlar um sistema. O
controle inclui atividades como a suspenso, a reinicializao ou o trmino do teste.
Deve-se identificar cada um dos testes univocamente. Pode-se realizar os testes de
60
acordo com uma programao que pode ter tanto testes peridicos, quanto
espordicos. Podem-se combinar testes simples para criarem-se testes complexos.
Em alguns casos, pode ser necessria a execuo de um conjunto de testes
particulares para alguma necessidade especfica, e logo aps o trmino do teste,
devem-se correlacionar os resultados de cada teste, para a formulao do resultado
final.
Funo de Sumarizao (SF - Summarization Function) - ISO10164-13 - Este
funo usada para obter informaes a partir de observaes relativas a mltiplos
objetos gerenciados. Para isso, deve-se incluir os relatrios de eventos, e o
escalonamento das observaes ao se especificar as funes. So definidos mtodos
para a observao e o relato de valores dos atributos dos objetos gerenciados,
determinados mtodos para o relato de estatsticas com base em diversos valores de
atributos, sendo que cada um destes foi observado em um mesmo instante. Os
valores dos atributos e as estatsticas fornecem uma informao sumarizada do
conjunto de objetos gerenciados e seus atributos, em um ou mais intervalos de tempo
distintos. Como conseqncia, as estatsticas so calculadas em funo do conjunto
de objetos gerenciados e no em relao ao tempo.
Em resumo, ela suporta a habilidade para agregar os valores de atributos
observados e/ou disponibilizar informaes estatsticas sobre estes valores de
atributo.
61
O gerenciamento de desempenho um conjunto de funes responsveis pela
manuteno e exame dos registros que contm o histrico dos estados de um
sistema, com o objetivo de serem usados na anlise das tendncias do uso dos
componentes, e para definir um planejamento do sistema atravs do dimensionamento
dos recursos que devem ser alocados para o sistema, com o objetivo de atender aos
requisitos dos usurios deste sistema, para satisfazer a demanda de seus usurios, ou
seja, garantir que no ocorram insuficincias de recursos quando sua utilizao se
aproximar da capacidade total do sistema.
Para atingir estes objetivos, deve-se monitorar taxa de utilizao dos recursos,
a taxa em que estes recursos so pedidos, e a taxa em que os pedidos a um recurso
so rejeitados. Para cada tipo de monitorao, definimos um valor mximo aceitvel
(threshold), um valor de alerta, e um valor em que se remove a situao de alerta.
Definem-se trs modelos para atender aos requisitos de monitorao do uso dos
recursos do sistema:
Modelo de Utilizao: Prov a monitorao do uso instantneo de um recurso;
Modelo de Taxa de Rejeio: Prov a monitorao da rejeio de um pedido de um
servio;
Modelo de Taxa de Pedido de Recursos: Prov a monitorao dos pedidos do uso
de recursos.
62
a taxa de uso destes recursos, para garantir que os dados estejam sempre disponveis
quando forem necessrios ao sistema de gerenciamento, ou durante a fase de coleta,
ou em qualquer outra fase posterior a esta. Deve existir um padro para obteno e
para a representao das informaes de contabilizao, e para permitir a
interoperabilidade entre os servios do protocolo OSI.
A funo de contabilizao deve ser genrica para que cada aplicao trate os
dados coerentemente de acordo com as suas necessidades. Estas funes podem ser
usadas para vrias finalidades como tarifas sobre servios prestados, controle de
consumo dos usurios, etc. implementada atravs de objetos gerenciados especiais
associados contabilizao (a utilizao dos recursos ligados a estes objetos que
representam as caractersticas de um dado recurso monitorado) chamados de
Objetos Contabilizados. Existem dois tipos de objetos:
Objetos de Controle de Medida de Contabilizao;
Objetos de Dados de Medida de Contabilizao.
Os Objetos de Controle de Medida de Contabilizao permitem que o
sistema ao coletar as informaes sobre o uso de um determinado recurso, selecione
quais dados so relevantes, alm de permitir que este sistema defina sobre quais
circunstncias deve ser realizada a coleta. Este controle ir definir quais eventos so
gerados ao se atualizar e notificar as informaes sobre o uso de um recurso.
Apresenta uma viso genrica de gerenciamento, para ser particularizada para a
contabilizao de recursos especficos, alm de usar os pacotes especificados num
controle de medida, para incorporar as funcionalidades necessrias a contabilizao.
Alguns tipos de eventos que podem ocorrer so:
Escalonamento por perodos de tempo;
Aes de controle do prprio sistema de gerenciamento;
Estmulos provenientes da mudana de valores dos atributos.
Os Objetos de Dados de Medida de Contabilizao so usados para
representar um recurso usado por um usurio, contendo informaes como: qual o
usurio do recurso, qual a unidade de medida usada na contabilizao, qual a
quantidade consumida, etc. Estas informaes podem ser obtidas atravs de um GET
para a obter os valores dos atributos dos dados de medida, ou atravs do uso de
parmetros nas notificaes enviadas pela gerncia de contabilizao. Novamente so
definidas apenas propriedades genricas que podem ser especializadas conforme a
necessidade.
Os objetos de dados de medida s podem ser criados se existir uma instncia
de um objeto de controle de medida para control-lo. Um objeto de controle de medida
s pode ser destrudo quando todos os objetos de dados de medida controlados por
este objeto forem tambm destrudos. Uma instncia de um objeto de controle de
medida pode controlar vrias instncias de objetos de dados de medida. Deve-se
sempre ter pelo menos uma instncia do objeto de dados na memria que seja
responsvel por monitorar um objeto contabilizado, para que possamos enviar
solicitaes sobre seu uso.
63
Figura 13 - Relacionamento entre objetos gerenciados
64
aos sistemas que usam este canal se comunicarem de forma segura. Para isso,
definem-se os seguintes servios:
1. Autenticao tanto de entidades pares quanto da origem dos dados
(authentication);
2. Controle de acesso aos recursos da rede (access control);
3. Confidencialidade dos dados (confidenciality);
4. Integridade dos dados (integrity);
5. A no-rejeio ou no-repudiao (non-repudiation);
Os mecanismos a serem adotados dependem do uso de uma poltica de
segurana, que feita pelo uso das Funes de Segurana do Gerenciamento de
Redes OSI. Estas funes tratam do controle dos servios de segurana do modelo
OSI, e dos mecanismos e informaes necessrias para se prestar estes servios.
Ento, os objetivos do gerenciamento de segurana so:
O fornecimento de relatrios de eventos relativos segurana e o fornecimento de
informaes estatsticas;
A manuteno e anlise dos registros de histrico relativos segurana;
A seleo dos parmetros dos servios de segurana;
A alterao, em relao a segurana, do modo de operao do sistema aberto,
pela ativao e desativao dos servios de segurana.
Para que estes objetivos sejam atingidos, devem-se olhar as diferentes polticas
de segurana a serem adotadas no sistema aberto. Todas as entidades que seguem
uma mesma poltica de segurana pertencem ao mesmo domnio de segurana.
Devido ao gerenciamento necessitar distribuir as informaes de gerenciamento de
segurana entre todas as atividades que se relacionam com a segurana, os
protocolos de gerenciamento assim como os canais de comunicao devem ser
protegidos, usando os mecanismos previstos na arquitetura de segurana.
As informaes de gerenciamento de segurana so armazenadas numa MIB
especial que deve dar apoio as trs categorias de atividades de gerenciamento de
segurana existentes. Esta MIB chamada de SMIB (Security Management
Information Base).
65
mais genrica possvel na implementao das facilidades oferecidas pelo modelo OSI
de gerncia. A verso 4.0 permite a fcil integrao entre sistemas (inclusive os
proprietrios) devido aos diferentes modelos e facilidades de gerncia que apresenta.
Nesta verso existe uma aplicao que permite a coexistncia entre os modelos
OSIMIS (CMIS/P) e Internet (SNMPv1). Originalmente, a plataforma foi designada
para usar o ISODE (ISO Development Environment), mas j existem trabalhos para
migr-la para outras interfaces como a XOpen. Os servios e aplicaes que esta
plataforma disponibiliza so:
Implementao completa dos servios CMIS e do protocolo CMIP;
Agente OSI que realiza todas as funes especificadas no modelo de gerncia;
Objetos padres;
Bibliotecas de classes C++ para determinados tipos de atributos, com os
respectivos codificadores e decodificadores para as suas sintaxes;
Uso de um objeto coordenador (coordinator) que gerncia todo o processo de
comunicao do sistema;
Mtodos genricos de interao entre o objeto coordenador e os objetos
gerenciados, atravs dos objetos chamados de fontes de conhecimento (knowledge
sources);
Compilador para a linguagem formal de especificao dos objetos de gerncia OSI
(GDMO - Guidelines for the Definition of Management Objects);
Interface de alto nvel para os desenvolvedores de aplicaes gerentes (RMIB e
SMIB);
Mecanismo de transparncia localizao de agentes, utilizando a implementao
ISODE do servio de diretrio OSI;
Aplicao genrica de passarela (gateways) entre os modelos de gerncia OSI
(CMIS/P) e Internet (SNMPv1).
Este modelo fornece uma implementao completa dos servios e protocolos
comuns do modelo OSI, permitindo ou usar a especificao completa do protocolo, ou
uma verso mais leve deste. Fornece um suporte suplementar para o ISODE, que
permite codificar, decodificar e analisar as cadeias de caracteres na especificao
ASN.1. O OSIMIS oferece uma interface de alto nvel chamada RMIB, que oferece os
seguintes servios aos desenvolvedores:
Estabelecimento e liberao de associaes;
Uso de nomes mais informais ao invs dos identificadores de objetos;
Manipulao transparente de estruturas ASN.1;
Listas de respostas (linked lists);
Interface de alto nvel para os relatrios de eventos;
Tratamento de erros em diferentes nveis.
Na plataforma OSIMIS oferecido suporte para organizar os processos
dirigidos por eventos, para facilitar a integrao com outros mecanismos de
coordenao, como as interfaces grficas dos usurios, que devem tratar dos eventos
que ocorrem. As aplicaes que realizam o papel de gerenciadoras interagem com os
agentes que cuidam de determinados objetos gerenciados, utilizando apenas o ttulo e
as classes dos objetos gerenciados. Isso possvel atravs da transparncia de
localizao que neste caso, tem a funo de identificar para a aplicao, quais so os
agentes que possuem os objetos gerenciados associados a determinados recursos,
66
assim como deve localizar este agente para a aplicao. A transparncia de
localizao realizada atravs do servio de diretrio OSI que armazena as
informaes de forma hierrquica e distribuda, sendo ideal para o armazenamento
das informaes necessrias as aplicaes gerentes, e para a localizao dos
agentes. Para armazenarmos as informaes necessrias as aplicaes gerentes,
usamos o mecanismo DSA/DUA (Directory Service Agent/Directory User Agent) que
permite as aplicaes informarem a sua existncia e os servios que a aplicao
disponibiliza aos seus usurios. Essas aplicaes devem notificar ao DSA/DUA
quando terminarem. Esse mecanismo funciona da seguinte forma: Ao iniciar a
operao, cada agente e cada aplicao gerenciadora se cadastra na rvore de
informao de diretrio (DIT-Directory Information Tree), como mostra o passo S na
figura. Quando a aplicao de gerncia deseja acessar um recurso, ela executa os
seguintes passos: Obter o nome do agente que gerencia a MIB que tem os objetos
que representam o recurso requerido (passo 1); Obter o endereo de apresentao
em que o agente est em execuo (passo 2); Associao com o agente que esta
identificou (passo 3).
67
agentes especficos para a camada de transporte OSI e para a verso OSI da MIB da
camada TCP/IP.
68
6.6.2 - Plataforma OSIMIS e orientao a eventos
69
6.6.4 - Interfaces para construo de processos gerentes
70
Captulo 7 - Distribuio da Gerncia na Rede
Com o crescimento das redes de computadores, em tamanho e complexidade,
sistemas de gerncia baseados em um nico gerente responsveis por todas as
funes de gerenciamento so inapropriados, devido ao volume das informaes que
devem ser tratadas e que podem pertencer a localizaes geograficamente distantes
do gerente.
Desta forma, evidencia-se a necessidade da distribuio da gerncia na rede,
atravs da diviso das responsabilidades gerenciais entre gerentes locais que
controlem domnios distintos e da expanso das funcionalidades dos agentes.
71
elementos de rede. Contudo o gerente sobrecarregado com todas as funes,
gerando grande trfego na rede e degradando o tempo de resposta aos eventos da
rede.
Com intuito de prover a monitorao remota em um ambiente de gerenciamento
Internet, foi definida a MIB RMON (Remote Network Monitoring). Tal MIB permite que
as funes de monitorao sejam realizadas atravs da captura dos pacotes que
transitam por uma sub-rede sem a interferncia constante do gerente. A RMON
composta por nove grupos: Statistics, History, Alarm, Host, HostTopN, Matrix, Filter,
Packet Capture e Event.
1. O grupo Statistics mantm estatsticas das interfaces do agente, por exemplo, o
nmero de colises.
2. History armazena amostras de informaes colhidas no grupo Statistics.
3. O grupo Alarm fornece mecanismos usados para a monitorao de variveis de
gerenciamento do tipo Integer, com valores-limites configurados que podem
disparar eventos ao serem atingidos pelo valor monitorado.
4. O Host contm informaes referentes aos nodos da sub-rede, como o nmero de
pacotes enviados por cada nodo.
5. O grupo HostTopN classifica as informaes obtidas pelo grupo Host, gerando, por
exemplo, os nodos que mais transmitiram pacotes.
6. O Matrix possui informaes referente a comunicao entre dois nodos da sub-
rede.
7. O Filter prov mecanismos de filtros para os pacotes recebidos da sub-rede, que
podem disparar um evento ou um processo de armazenamento de pacotes.
8. Packet Capture armazena informaes dos pacotes recebidos na sub-rede;
9. O Event controla a gerao e notificao dos eventos definidos, por exemplo, um
relativo a um alarme especificado no grupo Alarm.
Com o crescimento da rede Internet, foi proposta uma adaptao do modelo de
gerncia original baseado no protocolo SNMP. Tal proposta, denominada de SNMP
2.0, aumenta as funcionalidades dos agentes, atravs da flexibilizao na gerao de
notificaes assncronas e da capacidade de um processo assumir ambas as
funcionalidades de gerente e agente, permitindo a comunicao entre gerentes de
nveis diferentes. O SNMP 2.0 adiciona dois tipos novos de operaes no protocolo,
GetBulkRequest e InformRequest, que permitem um aumento das funcionalidades dos
agentes e gerentes intermedirios. A GetBulkRequest otimiza a recuperao de um
volume considervel de variveis, principalmente em relao recuperao de
entradas de tabelas. Por exemplo, para a recuperao de 10 entradas de uma tabela
necessrio o envio de 10 operaes GetNextRequest no SNMP original, e com a
verso 2.0, somente um GetBulkRequest suficiente. A InformRequest permite um
gerente enviar de forma assncrona uma notificao de algum evento, sendo anlogo
ao TRAP, contudo um servio confirmado.
Dentro do contexto do SNMP 2.0 foi definida uma MIB, denominada de M2M,
que suporta a distribuio de funes de monitorao entre os gerentes da rede. Tal
monitorao baseada em amostras realizadas em variveis do tipo COUNTER,
GAUGE e TIMETICKS de agentes. Os valores de tais atributos so comparados com
valores-limites configurados, e caso sejam atingidos, um InformRequest ou um TRAP
enviado pelo gerente que implementa a MIB M2M a outro gerente.
72
A MIB especificada a partir dos conceitos de alarme, evento e notificao. O
alarme uma condio configurada que verificada periodicamente. Se um alarme for
detectado, disparado o evento associado, que por sua vez, pode gerar uma
notificao para um gerente especificado. Tal MIB anloga aos grupos Alarm e
Event da RMON.
73
na funo de controle de relatrios, que repassa somente tipos de notificaes
configurados no objeto;
74
converso de protocolo, por exemplo, para o acesso a redes CMIP ou SNMP, e ainda
possibilitar o acesso a outros servidores elsticos, atravs do protocolo de delegao.
No ltimo caso, evidencia-se a capacidade da definio de um gerenciamento
composto por vrios gerentes.
A abordagem via servidor elstico minimiza o trfego na rede, bem como toma
aes de forma mais rpida em relao aos eventos da rede. O servidor elstico
configurado somente para as funes realmente necessrias para cada momento
dentro da poltica de gerenciamento da rede, ao contrrio de agentes OSI ou Internet
que podem permanecer atualizando objetos da MIB que no esto sendo usados.
75
Captulo 8 - Segurana para Gerncia de Redes
Neste captulo apresentado um levantamento dos riscos de segurana
associados a Sistemas de Gerncia de Redes e descreve uma Arquitetura de
Segurana aplicvel a tais sistemas, garantindo a autenticao, integridade e
confiabilidade nas comunicaes entre as entidades de gerncia.
Os Protocolos de Gerncia de Redes e os canais de comunicao que
transportam informao de gerncia so potencialmente vulnerveis a atentados
contra a segurana. Cuidados particulares devem, portanto, ser tomados para
assegurar que tais protocolos e informaes estejam protegidos. A definio de
vulnerabilidade e dos riscos de segurana dos Sistemas de Gerncia e a criao de
ferramentas para tratar estes problemas fazem parte do conjunto de aes
fundamentais para o funcionamento confivel das redes. A especificao de
ferramentas, seu comportamento e seus inter-relacionamentos compem uma
arquitetura de segurana.
76
8.1.1 - Agresses e Falhas
77
srias, como o aumento de custo para usurios legtimos ou, em caso extremo, a
negao de servio para os usurios legtimos, uma vez que a cpu e/ou memria
esto ocupadas realizando tarefas estranhas instalao. Um exemplo tpico de roubo
de tempo de cpu a utilizao de mquinas para decifrar informaes criptografadas
(como arquivos de senhas) para ter acesso a novas informaes: uma agresso
(roubo de ciclos) que alimentar outra agresso (a invaso de outros sistemas).
As agresses referentes informao e capacidade de processamento
podem ser executadas basicamente de trs formas: por escuta ou monitorao da
rede, por invaso ao sistema e por mascaramento. A escuta/monitorao do canal
tarefa simples e mesmo com recursos pouco sofisticados possvel alcanar tal feito.
Exemplos de formas de se conseguir monitorao de redes vo desde o uso de
analisadores de protocolos (recurso caro) at a modificao do software de um
computador comum para atuar como escuta. Existem ainda equipamentos prprios
para escuta (passiva) que se valem de emanaes eletromagnticas dos cabos e
conectores. O comprometimento da segurana de um n intermedirio em redes store-
and-forward ou de gateways e roteadores leva exposio de informaes a terceiros.
Ento, toda informao que circula pelas redes pode ser interceptada e, se medidas
de segurana no tiverem sido adotadas, esta informao se torna no confidencial.
Pouco se pode fazer ao nvel de software para impedir este tipo de agresso. O uso
de criptografia deve ser considerado, pois, apesar de no impedir o ataque, uma
forma de reforar o sigilo das comunicaes.
A invaso de sistemas com o objetivo de ganhar acesso a informaes e a
recursos computacionais uma das agresses mais comuns. As vulnerabilidades
relativas invaso de sistemas podem ser geradas de muitas formas. Por exemplo,
pela no instalao de senhas por parte de usurios ou por falhas de implementao
de softwares. Os riscos associados so os mesmos relacionados para a escuta do
canal e mais a possibilidade de negao de servios para usurios legtimos em
funo dos invasores estarem usufruindo servios de forma no autorizada. Grande
parte desta vulnerabilidade responsabilidade do sistema operacional hospedeiro,
reduzindo a responsabilidade dos mecanismos de segurana das redes. Na verdade,
esta forma de agresso normalmente se transforma ou em escuta ou em
mascaramento depois de concretizada a invaso.
O terceiro item, mascaramento, consiste na tentativa de personificao de uma
terceira entidade em uma comunicao. O objetivo o mesmo que os anteriores:
acesso a informaes ou a recursos computacionais. O mascaramento pode ser
conseguido por invaso simples (como visto acima) ou por meios muito mais
sofisticados como a alterao de pacotes que fluem na rede ou ainda forjando
pacotes. Estando mascarado de uma entidade comunicante legtima da rede, o
software clandestino pode ter acesso s informaes sensveis ou a recursos
importantes e at provocar eventos anonimamente. Fica claro que este tipo de
agresso complexo o que pressupe a necessidade do invasor ser conhecedor
profundo dos protocolos de comunicao utilizados.
78
8.2 Gerncia de Redes e Segurana
79
8.2.1 Ameaas sobre Sistemas de Gerncia
80
Escuta Ativa - A escuta ativa difere da escuta passiva por no apenas coletar
informaes que fluem pela rede, mas tambm por alter-las de alguma forma, seja no
contedo, na seqncia, no tempo ou pela destruio ou criao de mensagens; de
forma a realizar ou induzir aes no autorizadas ou criar condies para aes no
autorizadas ou ainda encobrir atos ilcitos praticados. Duas medidas de proteo se
tornam ento necessrias: autenticao da origem das mensagens e garantia da
integridade das mensagens. Sem estes dois servios a rede continuar aberta a
ataques.
Os Sistemas de Gerncia de Redes esto sujeitos a todas estas ameaas
porque esto baseadas na separao das funes de gerncia com distribuio das
informaes, sendo necessria a comunicao entre entidades de gerncia. Deve-se
ento acrescentar ao Servio de Identificao/Autenticao de entidades a tarefa de
autenticar a origem, a forma e o momento do envio das mensagens. Alm disso, um
Servio de Integridade de mensagens deve ser estabelecido e ser o responsvel pela
garantia de que uma mensagem no sofreu alteraes em seu caminho desde a
origem at o destinatrio, envolvendo as tarefas de evitar alterao de informaes,
re-seqenciamento e a simples destruio.
A autenticao, por sua vez, tambm depende da integridade das mensagens
para algumas tarefas. Por exemplo, de nada adianta validar a origem de uma
mensagem que foi alterada por uma escuta ativa ou se durante uma autenticao de
entidade as mensagens podem ser afetadas de modo a validar uma entidade
mascarada.
81
de diretrio, por exemplo. O uso de criptografia a nica forma de garantir que uma
mensagem que esteja trafegando pela rede e seja interceptada no fornea
informaes valiosas para o agressor. A mensagem poder ser interceptada, mas
dificilmente ser decodificada.
Da mesma forma o acesso a MIB pode ser aberto, pois, se as informaes l
contidas estiverem cifradas, elas no sero teis para invasores, uma vez que estes
no tero tempo hbil para decifr-las antes que ocorram alteraes nas mesmas.
Assim, um grau de segurana adicional conseguido com o uso de criptografia sobre
a MIB. Empregando o conceito de que a MIB somente poder ser acessada por um
nico agente, toda a informao poder ser guardada criptografada com a chave
pblica deste agente. Desta forma, s o mesmo agente pode ter acesso s
informaes geradas ou manipuladas por ele prprio. Para suportar o Servio de
Integridade, duas providncias se fazem necessrias:
Para evitar que uma mensagem alterada seja considerada vlida, a ao a ser
tomada a cifragem de um campo que contenha o checksum de toda a mensagem. A
chave que deve ser utilizada para isto a chave privada do remetente da mensagem
(a chave privada do esquema de chave pblica). Com isto se garante a integridade da
mensagem, pois um agressor no ter como alterar a mensagem, gerar um novo
checksum e criptograf-lo, pois no possuir a chave correta. J o destinatrio pode
verificar a integridade simplesmente usando a chave pblica do remetente para
conferir o checksum calculado com o decifrado. Qualquer alterao da mensagem
imediatamente detectada.
Para evitar o re-sequenciamento, o que deve ser feito a incluso de um campo
que indicar a ordem da seqncia da mensagem. Este campo dever conter um valor
dentro de uma seqncia determinada a cada comunicao entre cada par de
entidades (ou seja, a cada mensagem, o remetente incluir o valor da seqncia e
indicar qual valor dever ser usado na prxima comunicao entre estas duas
entidades). Estes dois campos tambm devem ser criptografados com a chave privada
do remetente.
O Servio de Autenticao deve garantir que a origem das mensagens de
gerenciamento so entidades legtimas para evitar a execues de aes indevidas ou
o acesso a informaes por terceiros. Uma observao providncia referente
alterao de mensagens citada acima pode levar a concluso de que a prpria
integridade oferece meios de aferir a autenticidade das mensagens, uma vez que
somente o interlocutor autntico conhecer sua chave privada e com isto poder gerar
os campos criptografados de acordo com o esperado. A autenticao, ento, est
automaticamente includa no Servio de Integridade.
82
Interface de Segurana. Esta interface atuar como uma clearing house entre cada
par comunicante, impedindo que informaes de gerncia sejam acessadas, alteradas
ao forjadas por entidades no autorizadas.
Os servios diretamente implementados pela Interface de Segurana so:
Servio de Autenticao: garantindo a origem autntica das mensagens;
Servio de Integridade: que impede o processamento de mensagens adulteradas
ou forjadas;
Servio de Confidencialidade de Comunicao: tornando as mensagens no
acessveis por terceiros, enquanto teis;
Servio de Confidencialidade de Acesso: que garante a proteo s
informaes de gerncia mantidas na MIB.
Todos os Servios acima devem estar presentes nas Interfaces de Segurana
dos agentes e dos gerentes componentes do Sistema de Gerncia, exceo do
ltimo, cuja presena somente necessria nas entidades agente, pois diz respeito
apenas a atividades destes. Acessoriamente, so facilmente conseguidos como
efeito-colateral da implantao dos servios acima os seguintes:
Servio de Controle de Acesso: em funo da Confidencialidade de Acesso. Se
apenas o proprietrio da MIB pode compreender os dados l mantidos, o problema
de acesso est resolvido;
Servio de No-Repudio: resultante da implantao do Servio de Autenticao.
Uma vez garantida a origem da mensagem, tambm no h como o remetente negar
a autoria da mesma, pois somente ele poderia gerar uma mensagem com campos
criptografados pela chave privada dele.
Alm dos servios citados, de grande importncia que as Interfaces de
Segurana mantenham registros de ocorrncias em logs para que seja possvel a
realizao de auditorias, como atividade de gerenciamento de segurana.
Interface de Segurana , portanto, uma redoma que encapsula totalmente
cada agente e cada gerente do Sistema de Gerncia, de forma que toda comunicao
entre estas entidades se d somente atravs da Interface. Esta abordagem permite
que a instalao da Interface seja transparente para os agentes e gerentes, ou seja,
nada alterado nos agentes e gerentes para que a Arquitetura de Segurana seja
implantada. As comunicaes entre entidades sempre passaro por filtros (as
Interfaces de Segurana) em cada um dos lados desta comunicao, para verificao
de integridade e autoria e para garantir privacidade. A figura seguinte mostra a
Interface de Segurana.
83
Figura 16 - Interface de Segurana
84
uma chave que utilizada para cifrar todas as informaes antes de armazen-las e
decifrar as informaes quando do acesso. A cifragem das informaes contidas na
MIB pode ser feita com a mesma chave que o agente utiliza para garantir a
privacidade das comunicaes ou com uma chave prpria para a tarefa, podendo ser
inclusive com o uso de uma tcnica de chave secreta, mais eficiente em termos de
tempo para criptografar e decriptografar. Isto porque o acesso a MIB completamente
independente de todo o processo de comunicao entre entidades. Tal mecanismo
permite inclusive que o acesso em si possa ser realizado sem restries, mas uma vez
que as informaes esto criptografadas, no h liberao efetiva das mesmas para
aqueles que no possurem as chaves.
8.3.1 - Algoritmos
85
Figura 18 - Integridade e autenticao no gerente
86
Captulo 9 - Ferramentas de Gerenciamento de Redes
Muitos fabricantes de produtos de redes oferecem tambm produtos especficos
de gerenciamento de redes que se dirigem a necessidades mais detalhadas. Dentre
estes, vale salientar:
87
9.3 - HP Open View
88
A aplicao de gerenciamento central no pacote SunNet Manager (lugar onde
um usurio inicia tarefas de gerenciamento e informaes de gerenciamento so
retornadas) denominada Console. Esta apresenta uma interface grfica suportada
por X-terminais, que permitem mltiplas instncias do Console executarem em uma
nica mquina ao mesmo tempo. Cada instncia do Console reconhecida pelo nome
do usurio que a invoca. O nome do usurio mostrado entre parnteses numa regio
da Console e das janelas de ferramentas do SunNet Manager. Cada instncia da
Console poder trabalhar somente com outras ferramentas que usa o mesmo nome do
usurio. A Console oferece mecanismos para iniciar pedidos de relatrios de dados e
relatrios de eventos.
Relatrios de Dados permitem direcionar Agentes para enviar relatrios de dados
brutos de gerenciamento em uma base peridica.
Relatrios de Eventos mostram como direcionar Agentes para relatar apenas
quando condies especficas so encontradas (isto , quando um evento ocorre).
No SunNet Manager, os atributos de um objeto gerenciado so descritos em
uma poro da MDB chamada o Esquema-Agente. O Agente capaz de responder
aos pedidos do Gerente porque ambos usam a mesma definio de dados para o
objeto gerenciado. Os dados da MDB e qualquer atualizao realizada usando o editor
grfico possibilita constituir uma base de dados dinmica em tempo de execuo, a
qual pode ser salva para a MDB a qualquer momento.
9.4.1 - Ferramentas
O SunNet Manager inclui vrias ferramentas que podem ser invocadas a partir
da Console:
Discover - realiza a busca de elementos de rede e automaticamente cria uma
representao grfica da rede. medida que os elementos de rede vo sendo
encontrados, eles so adicionados base de dados (run-time database).
Result Browser - permite ao usurio examinar e organizar os arquivos de log;
Result Grapher - permite visualizar relatrios de dados e informaes do arquivo
de log.
Existem dois tipos de Agentes no SunNet Manager: aqueles que tm acesso
aos objetos gerenciados e aqueles que acessam os dados indiretamente. A maioria
dos Agentes acompanha esta verso de gerenciamento de objetos a partir das Sun
Workstations onde esto instalados. O segundo tipo de Agente proporciona a
habilidade para gerenciar objetos que no so diretamente acessados. Tais Agentes
so chamados agentes proxy. Agentes proxy so executados em estaes Sun,
chamadas proxy systems, e utilizam protocolo de traduo de mecanismos
dependendo da necessidade de acesso para os objetos gerenciados. O proxy system
pode ser uma estao de trabalho na qual a console do SunNet est sendo executado
em uma outra estao na rede. Por exemplo: o PING Agente proxy tem a funo de
testar o alcance de dispositivos (IP) Internet Protocol traduzindo os pedidos do
Gerente atravs do Echo Requests Internet Control Message Protocol (ICMP).
Agentes proxy permitem ao SunNet Manager estender-se virtualmente dentro de
89
qualquer domnio. O Agente proxy Simple Network Management Protocol (SNMP)
pode gerenciar qualquer dispositivo que suporta SNMP, o protocolo de gerenciamento
padro para o mundo TCP/IP.
O Gerente e Agente comunicam-se atravs da biblioteca Servios
Gerente/Agente, a qual proporciona a infra-estrutura de gerenciamento e trata dos
servios de comunicao. Os processos Gerente e Agente usam a biblioteca Servios
atravs de Application Programming Interfaces (APIs), a qual por sua vez usa o
Remote Procedure Call/External Data Representation (RPC/XDR) capacidade do
SunOS. O Agente e o Gerente no precisam se preocupar com os nveis mais baixos
da rede envolvidos na comunicao entre eles. O processo Agente precisa preocupar-
se apenas com a coleta de dados do objeto gerenciado.
A tabela seguinte descreve os tipos de agentes do SunNet Manager.
Agente Dados
diskinfo informaes so bre o disco
etherif estatsticas da interface Ethernet
hostif estatsticas da interface
hostmem utilizao do memria.
hostperf performance do host
ippath informaes da rota do pacote IP
iproutes tabela e estatsticas da rota IP.
layers estatsticas da camada de protocolo.
lpstat status da impressora.
ping informaes da conexo IP.
rpcnfs estatsticas RPC e NFS.
snmp SNMP (proxy)
sync estatsticas de sincronismo.
traffic analisador do trfego Ethernet.
X25 informao do circuito virtual X.25
9.5 - Tivoli
90
O Tivoli trabalha com o conceito de regies de policiamento (Policy Region) ou
TMR Tivoli Management Region. Uma regio de policiamento abrange um conjunto
de recursos gerenciados, como contas de usurios, estaes de trabalho, roteadores.
Em uma rede podem ser definidas mais de uma regio de policiamento. Cada regio
possui suas prprias polticas de controle de acesso e gerenciamento.
Em uma regio de policiamento existem alguns elementos que ajudam no
gerenciamento como:
TMR server - responsvel por controlar toda regio de policiamento e define as
polticas utilizadas nessa regio;
Managed Node - trabalha como um intermedirio entre as funes do Endpoint e
do Endpoint Gateway. Executa algumas tarefas a pedido do TMR server;
Endpoint Gateway - controla as comunicaes e operaes entre os Endpoints.
Responsvel por enviar aos Endpoints mtodos que permitem aos Endpoints
realizarem as funes de gerenciamento;
Endpoint - agente que executa as operaes de gerenciamento nos recursos
finais.
A figura a seguir mostra a tela principal com os elementos do Tivoli.
91
O ambiente de gerenciamento do Tivoli ou TME (Tivoli Management
Environment) dividido em vrios mdulos, os principais so:
Framework - Mdulo principal do Tivoli. Tem funes bsicas de administrao e
servios de gerenciamento. Facilita no restante das funes de gerenciamento, como
no gerenciamento de sistemas e em notificaes, e na integrao com os outros
mdulos;
User Administration - Permite o gerenciamento de grupos e contas de usurios
em vrios sistemas operacionais que fazem integrao com a plataforma como
Windows, Netware e Unix;
Distributed Monitoring - monitora o status de vrios recursos da rede como
sistemas, aplicaes e processos. Monitora recursos locais ou remotos, alm de
apresentar eventos e alarmes de rede;
Inventory - Tem as funes de manter e procurar informaes sobre o inventrio
do ambiente e sobre hardware e software; monitorar e registrar mudanas de
configurao; disponibilizar as informaes de inventrio para funes de auditoria na
empresa;
Software Distribution - permite a distribuio e instalao de software em
mquinas de uma rede heterognea;
Enterprise Console - aplicao que gerencia eventos baseados em regras.
Podem-se programar eventos a serem alarmados.
Alm desses mdulos de gerenciamento o Tivoli utiliza-se do Netview,
ferramenta tambm desenvolvida pela IBM, para o diagnstico e controle de redes de
comunicao. Seu objetivo era substituir uma gama variada de produtos similares j
existentes. O mais conhecido desses produtos o Network Communication Control
Facility (NCCF) que funciona como uma aplicao Virtual Telecommunication Access
Method (VTAM), fornecendo uma viso do estado da rede atravs de um monitor de
controle e uma base de dados. Outros produtos de controle so o Network Problem
Determination Application (NPDA), que opera na deteco de problemas e o Network
Logical Data Manager (NLDM), que gerencia dados lgicos.
O principal objetivo do NetView foi ento reunir as funcionalidades destes
produtos em um s, melhorando o desempenho e introduzindo novos conceitos no
gerenciamento de redes. Trs componentes so definidos na arquitetura do NetView:
Pontos Focais (focal points), gerentes que realizam as funes de controle integrado;
Pontos de Entrada (entry points), agentes tratados como recursos gerenciados, que
reportam seus dados de gerenciamento via SNA(System Network Protocol) aos pontos
focais; e pontos de servio (services points), destinados a prover gateways traduzindo
protocolos no padres SNA no protocolo (NMVT), o que permite a integrao de
dispositivos no-SNA ao esquema de gerenciamento NetView.
92
viso nica de todos os ambientes. As funes da plataforma Unicenter TNG so
desenvolvidas em uma arquitetura multilinear e orientada a objetos. Infra-estrutura
com repositrio de objetos, escalvel e com tecnologia gerente/agente, opera em
redes heterogneas e distribudas permitindo a integrao de qualquer tipo de sistema
operacional ou servio a um gerenciamento modular, sem limitaes arbitrrias.
A tecnologia de objetos a base para todos os aspectos do CA-Unicenter TNG.
Os repositrios distribudos de objetos so utilizados por todas as suas funes de
gerenciamento, para armazenar informaes sobre os objetos gerenciados, suas
propriedades e seus relacionamentos. Essa ferramenta possui uma interface,
chamada "Interface de Mundo Real 3-D", que exibe uma situao real dos objetos e
capacita o controle e a gerncia de todos os recursos disponveis na rede. Qualquer
subsistema pode definir classes e objetos no repositrio. E todo objeto criado tambm
gerenciado pelo repositrio de objetos o qual constitui um poderoso mecanismo de
abertura para integrao entre funes de gerenciamento em todos os nveis.
93
Captulo 10 Novos conceitos e abordagens
Como tudo evolui, gerenciamento de redes tambm est evoluindo e muitas
coisas que alguns anos atrs eram "verdades" hoje j no so mais. Pontos que eram
considerados importantes e de relevncia j no possuem a mesma importncia de
antes. Assim, antigos conceitos esto sendo revistos, e novos esto surgindo, levando
todos a reavaliar a forma que est sendo feito gerenciamento de redes hoje, e
levantando perspectivas para o futuro.
Durante os anos de vida do SNMP, surgiram vrias e vrias MIB's. Elas formam
uma coleo de dados e valores necessrios para monitorar e controlar dispositivos de
rede que foram levantados por especialistas durante todos estes anos. As MIB's e a
especificao SMI so o mais importante legado do SNMP.
Atravs da utilizao das MIB's, aprendeu-se o valor de definies claras e
concisas, formando o veculo fundamental pelo qual uma estao de gerenciamento
pode aprender sobre os dispositivos que esto sob o seu controle. Apesar desta
importncia, alguns aprimoramentos ainda podem ser feitos s definies das MIB's.
Sero apresentadas duas novas funcionalidades a seguir.
94
10.2 - Scripting MIB's
95
Debug dos Scripts: como scripts tambm so programas, eles tambm podem
apresentar problemas. Espera-se que um script seja simples o suficiente para que no
se precise de uma ferramenta de depurao.
O termo "verme" em redes de computadores foi utilizado por John Brunner para
denominar um programa que se move atravs da rede, indo de computador a
computador e com a capacidade ainda de se reproduzir. Em termos de gerenciamento
de redes, vermes so scripts que se replicam e migram. Eles, como tambm o
gerenciamento por delegao, so derivados do conceito de scripting MIB's.
Os agentes migratrios possuem uma gama de aplicaes muito vasta. Eles
podem ser utilizados para gerenciamento de configurao e de desempenho. Tambm
podem ser utilizados para o transporte de dados no disponveis no ambiente SNMP,
e para manter tais informaes confidenciais.
Podem-se utilizar tais agentes para aprimorar a deteco de falhas e a sua
correo nas aplicaes de gerenciamento SNMP. No caso, por exemplo, de um
dispositivo estar mandando notificao de um problema interno, um agente pode ser
disparado especificamente para aquele dispositivo e para aquele problema. Uma outra
utilizao bastante interessante seria a utilizao destes agentes migratrios como
agentes proxy.
Uma outra utilizao para agentes migratrios, seria a combinao deste
conceito com o de gerenciamento por delegao. Nesta proposta, os subgerentes
monitorariam os dispositivos sob sua responsabilidade atravs de agentes migratrios.
O gerente central poderia determinar que cada subgerente utilizasse um plano de
viagem distinto para se fazer o gerenciamento dos dispositivos sob seu controle.
96
10.5 - MTODOS DE ACESSO - PROTOCOLOS
97
da aplicao. E, finalmente, a integrao com documentao on-line, que pode ser
facilmente produzida.
Como desvantagem temos que uma conexo TCP para se trazer apenas uma
varivel no vale a pena. Outra questo o problema da padronizao das
informaes que devem ser exportadas pelos agentes. O problema que a carga de
como mostrar as informaes ficaria com o agente. Mas, isto seria um problema
apenas para dispositivos mais simples.
Um outro problema apontado que a utilizao do TCP para grandes
transportes de dados no traz tantos ganhos em comparao com a mensagem get-
bulk.
98
Captulo 11 Gerncia Integrada de Redes e Servios
As redes de telecomunicaes podem ser vistas, independente do tipo e dos
equipamentos utilizados, como dividida em trs nveis principais: aplicao, servio e
arquitetura.
99
Baseado nestes fatores tem-se procurado uma soluo para o problema da falta
de integrao entre os sistemas, que possibilite a Gerncia Integrada de Redes e
Servios (GIRS).
100
11.3 - Objetivos Bsicos
101
Referncias Bibliogrficas
[Bierman e Iddon 1996] Bierman, A., e Iddon, R., Remote Network Monitoring MIB
Protocol Identifiers, Internet Draft, Janeiro de 1996.
[Bruins 1996] Bruins, B. Some Experiences with Emerging Management Technologies.
The Simple Times, Volume 4, n3, Julho de 1996.
[Burns e Quinn 1996] Burns, R. e Quinn M. The Cyber Agent Framework. The Simple
Times, Volume 4, n3, Julho de 1996.
[Case et al. 1990] Case, J. D., Fedor, M. S., Schoffstall, M. L., and Davin, C. Simple
Network Management (SNMP), RFC 1157, Maio 1990.
[Case et al. 1993] Case, J. D., McCloghrie, K., Rose, M. T., and Waldbusser, S. An
Introduction to Version 2 of the Internet-Standard Network Management Framework,
RFC 1441, Abril de 1993.
[Goldszmidt e Yemini 1993] Goldszmidt, G. e Yemini, Y. Evaluating Management
Decisions via Delegation. Columbia University, Estados Unidos, Abril de 1993.
[Goldszmidt e Yemini 1995] Goldszmidt, G. e Yemini, Y. Distributed Managemente by
Delegation. Ph.D Tese. Columbia University, Estados Unidos, Junho 1995.
[Goldszmidt 1996] Goldszmidt, G. Distributed Managemente by Delegation. Ph.D Tese.
Columbia University, Estados Unidos, Abril 1996.
[Hunt 1992] Hunt, Craig. TCP/IP Network Administration. OReilly & Associates, Inc.,
1992.
[ISO 1991] Information Technology Open Systems Interconection. Common
Management Information Protocol Specification. Technical Report IS 9596,
International Organization for Standardization, Maio 1991.
[McGloghie and Rose 1991] McCloghrie, K., Rose, M. T. Management Information
Base for Network Management of TCP/IP-based Internets: MIB-II, RFC 1213 Maro
1991.
[Meira 1996] Meira, S. R. L. Novos Paradigmas de Programao na Internet. , 1996.
[Mullaney 1996] Mullaney, P. Overview of a Web-based Agent. The Simple Times,
Volume 4, n3, Julho de 1996.
[Rose and McGloghie 1990] Rose, M. T., McCloghrie, K. Structure and Identification of
Management Information for TCP/IP-based Internets, RFC 1155, Maio de 1990.
[Stallings 1993] Stallings, William. SNMP, SNMPv2, and CMIP - The Practical Guide to
Network-Management Standards. Addison Wesley, 1993
[Stallings 1996] Stallings, William. RMON2 The Next Generation of Remote Netork
Monitoring. Connexions, vol 10, n5, pg. 34-40, Maio de 1996.
[Stevens 1994]. Stevens, W. R. TCP/IP Illustrated, Volume 1 - The Protocols. Addison
Wesley. 1994.
[Stevenson] Stevenson, D. W. Network Management - What it is and what it isnt.
[Tepedino 1996] Tepedino, J. F. HTTP: Hypertext Transfer Protocol. 1996.
[Ucha 1995] Ucha, R. C. Suporte para Monitoramento e Controle de Carga em
Ambientes Distribudos. Dissertao de Mestrado. Departamento de Informtica PUC-
RIO. Rio de Janeiro. 1995.
[Waldbusser 1991] Waldbusser, S., Remote Network Monitoring Management
Information Base, RFC 1271, Novembro de 1991.
102
[Waldbusser 1993] Waldbusser, S., Token Ring Extensions to the Remote Network
Monitoring MIB, RFC 1513, Setembro de 1993.
[Waldbusser 1995] Waldbusser, S., Remote Network Monitoring Management
Information Base, RFC 1757, Fevereiro de 1995.
[Waldbusser 1996] Waldbusser, S., Remote Network Monitoring MIB Version 2,
Internet Draft, Janeiro de 1996.
[Wellens e Auerbach 1996] Wellens, C. e Auerbach, K. Towards Useful Management.
The Simple Times, Volume 4, n3, Julho de 1996.
LAN - Uma introduo completa a Redes Locais - pelos redatores da Lan Magazine.
Rio de Janeiro, RNP, 1994.
Neuman, J. Oliveira, A.; Curso Avanado sobre Gerenciamento de Redes. LAR -
Laboratrio Multiinstitucional de Redes e Sistemas Distribudos - ETFCE - UFC -
UECE. 1995.
Menezes, E.; Gerenciamento de Redes: Estudos de Protocolos. Workshop de
Administrao e Integrao de Sistemas. Departamento de Informtica.
Universidade Federal de Pernambuco. Setembro de 1998.
Gerenciamento de Redes - Uma abordagem de Sistemas Abertos. Makron Books do
Brasil, 1993
Sun Microsystems Business-Sun Connect, SunNet Manager 1.1 - Installation and
Users Guide. 1991, p. 1-6.
AT&T Telecomunications Web Page. URL: http://www.att.nl/
HP Openview Web Page.URL: http://www.openview.hp.com/
STALLINGS, W.; SNMP, SNMPv2 and CMIP The Practical Guide to Network-
Management Standards; Addison Wesley; 1993.
Tutorial sobre SNMP UFRGS - URL:
http://penta.ufrgs.br/gr952/trab1/snmp_snmp.html
Gerenciamento de Redes: Conceitos Bsicos sobre os Protocolos SNMP e CMIP -
URL: http://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html
Intellinet technologies
URL: http://www.intellinet-tech.com/glossary/cmip.html
Definies de Gerncia de Redes
URL: http://penta.ufrgs.br/~guga/gerencia/definicoes.html
Network Management
URL: http://netman.cit.buffalo.edu/Doc/DStevenson/
Network Management for the 90s
URL: http://www.sce.carleton.ca/netmanage/NMfor90s/SimpleNM.html
Yacc labs ltd - Network management
URL: http://www.yacc.co.uk/netman/netman.html
Simple Network management protocol - SNMP URL:
http://penta.ufrgs.br/gr952/trab1/snmp_snmp.html
Roxen Community: RFC 1098 A Simple Network Management Protocol SNMP - URL:
http://www.roxen.com/rfc/rfc1098.html
Remote Monitoring (RMON)
http://www.geocities.com/SiliconValley/Vista/5635/cap5.html
___, TCP/IP Tutorial and Technical Overview, International Technical Support Center
___, NetView 6000 Programmers Guide, IBM
___, NetView 6000 Reference Guide, IBM
103
BRISA, Gerenciamento de Redes - Uma abordagem de Sistemas Abertos, Makron
Books, 1992
Carrilho, J. A, Madeira, E. R. M., Gerncia por Domnios, 12 Simpsio Brasileiro de
Redes de Computadores, Anais vol. II, Curitiba, maio de 1994
Case, J., Fedor, M., Schoffstalll, M. e Davin, J., A Simple Network Management
Protocol (SNMP) (RFC 1157), ,aio de 1009
Commer D. C. , Stevens, D. L., Internetworking with TCP/IP - Design Implementation
and Internals, Volume II, , Prentice Hall Segunda Edio, USA, 1992
Commer, D. C., Internetworking with TCP/IP - Principles, Protocol and Architecture,
Volume I, Prentice Hall Segunda Edio, USA, 1991
Leuca, J. E, Estphall, C, B, Specialski, E. S., Uma Arquitetura de Segurana para
Gerncia de Redes, 12 Simpsio Brasileiro de Redes de Computadores, Anais vol II,
Curitiba, maio de 1994
McCloghrie, K. e Rose, M. T., Management Information Base for Networkk
Management of TCP/IP based Internets (RFC 1156), maio de 1990.
Moutinho, C. M, Stanton. M. A, Aplicaes de Gerenciamento de Redes Inteligentes
12 Simpsio Brasileiro de Redes de Computadores, Anais vol I, Curitiba, maio de
1994
Rocha, M. A, Westphall, C. B Gerncia de Redes de Computadores atravs de novos
Agentes, 12 Simpsio Brasileiro de Redes de Computadores, Anais vol II, Curitiba,
maio de 1994
Stalllings, W., Data and Computer Communications, Macmillan Publishing Co.,
Segunda Edio, USA, 1998.
Tanembaum, A. S., Modern Operationg Systems, Prentice-Hall Inc., USA, 1992.
Weissheimer, C. G, Tarouco L. M. R, Distribuio da Gerncia na Rede, 12
Simpsio Brasileiro de Redes de Computadores, Anais vol I, Curitiba, maio de 1994
104