S.I.

M Sistema Integrado para o Monitoramento de Redes de Computadores

Taciano Balardin de Oliveira1, Henrique Sobroza Pedroso3, Lus Fernando Zaltron3, Gregrio Lopes Ferreira1,3, rico Marcelo Hoff do Amaral 1,2,3 Universidade Luterana do Brasil (ULBRA) Rua Martinho Lutero, s/n - CEP 96500-000, Cachoeira do Sul RS - Brasil Universidade Federal de Santa Maria (PPGI/UFSM) Av. Roraima, 1000, Cidade Universitria CEP 97105-900 RS - Brasil Centro Regional Sul de Pesquisas Espaciais (CRS/INPE-MCT) Av. Roraima, S/N, Campus UFSM CEP 97105-970 RS - Brasil
{tacianobalardin, hsobrozapedroso, lfzaltron , greg.lofe, ericohoffamaral}@gmail.com
3 2 1

Abstract. Aiming to ensure availability and reliability of resources and services in a network environment, management and control becomes critical to success, in order to achieve efficient administration of connected elements. This article presents a study about the integration of tools for monitoring and managing networks, obtaining the implementation of a front end platform, developed for web, which enables the crossing of information between installed softwares. This new application, called S.I.M (Integrated Monitoring System) aims to issue alerts in order to automate and optimize the resolution of identified incidents in the network environment, helping administration. Keywords: Network management, monitoring, information security. Resumo. Visando garantir a disponibilidade e confiabilidade dos recursos e servios em um ambiente de rede, a gerncia e o controle da mesma tornamse pontos crticos de sucesso, para alcanar uma administrao eficiente dos elementos conectados. Este artigo apresenta um estudo sobre a integrao de ferramentas para o monitoramento e gerncia de redes, obtendo como resultado a implementao de um front end multiplataforma, desenvolvido para web, o qual viabiliza o cruzamento das informaes dos softwares instalados. Esta nova aplicao, batizada de S.I.M (Sistema Integrado de Monitoramento) tem por objetivo a emisso de alertas, a fim de automatizar e otimizar a resoluo de incidentes identificados na rede, auxiliando na administrao da rede. Palavras-chave: Gerncia de rede, monitoramento, segurana da informao.

1. Introduo
As redes de computadores atualmente compem o ncleo das comunicaes modernas, deixando assim de ser uma infra-estrutura dispensvel, se tornando mais importante para as organizaes, paralelamente a este crescimento est necessidade de segurana, que transcende o limite da produtividade e da funcionalidade dos sistemas conectados. Enquanto a velocidade e a eficincia em todos os processos de negcios significam uma

vantagem competitiva, a falta de segurana nos meios pode resultar em grandes prejuzos e falta de novas oportunidades de negcios [Nakamura e Geus, 2007]. A segurana da informao uma das reas que mais tem recebido investimentos, superando at mesmo o setor de infra-estrutura fsica. Esta tem como objetivo preservar e manter os dados seguros contra possveis ataques ou invases, identificando possveis pontos de vulnerabilidades a fim de implantar medidas preventivas na rede [Linux Magazine 2010]. Neste contexto, um NOC (Network Operation Center) se apresenta como soluo eficaz para o monitoramento e controle de um ambiente computacionalmente conectado, por centralizar a gerncia da rede em um ponto nico, provendo um centro de programas que a monitoram, informando em tempo real a situao de cada ativo conectado. Existem diversos softwares que auxiliam na deteco de falhas, ataques, anomalias ou que monitoram os ativos, gerando relatrios e alimentando bases de dados com uma variedade de informaes sobre o ambiente de rede, tais como MRTG, Ntop, Nagios, Cacti, Nessus, Snort, entre outros. Quando uma anomalia detectada atravs do NOC, faz-se necessria a verificao da causa deste incidente. Considerando a existncia de diversas ferramentas para gerenciamento de rede e que ao monitor-la necessrio consultar e analisar relatrios gerados por softwares distintos, estas interpretaes acabam tornando-se trabalhosas e, em alguns casos, podem ser utilizadas como artifcio para desviar a ateno do gerente durante algum processo [Correa 1998]. Uma possvel hiptese para auxiliar a tarefa do gerente de rede, seria a criao de uma ferramenta que agrupe as diversas informaes geradas pelas demais em um ambiente integrado. Baseado nisso, o objetivo deste trabalho estudar algumas ferramentas livres utilizadas no monitoramento e controle de ambientes de redes. A partir deste conhecimento, projetar e desenvolver uma soluo hbrida que integre as sadas das ferramentas escolhidas, permitindo desta maneira, uma interao eficiente destas solues e disponibilizando para o administrador da rede uma aplicao centralizada para o gerenciamento de todos os elementos conectados, a fim de automatizar e otimizar a resoluo de incidentes identificados na rede. Este artigo apresenta na seo 2 a fundamentao terica deste trabalho, abordando sobre a gerncia de redes, sua infra-estrutura e as principais ferramentas estudadas. Na seo 3 est descrita a metodologia, contendo a forma como ser desenvolvida a aplicao e explicando seu funcionamento, alm dos resultados parciais sobre o projeto. Na seo 4, esto relatadas as consideraes finais sobre o trabalho e por fim, na seo 5, as referncias.

2. Gerncia de Rede
O gerenciamento de rede est associado ao controle de atividades e ao monitoramento do uso de recursos da rede. De forma simples, as tarefas bsicas da gerncia em redes so: obter informaes da rede, tratar estas informaes possibilitando um diagnstico e encaminhar as solues dos problemas. Para isso, funes de gerncia devem ser

embutidas nos diversos componentes de uma rede, para que possibilitem descobrir, prever e reagir a anomalias [Duarte 1996]. Para uniformizar a gerncia de redes, a ISO (International Organization for Standardization), rgo internacional responsvel por padronizaes, classificou as reas funcionais do gerenciamento de redes em cinco categorias. O gerenciamento de desempenho responsvel por quantificar, medir, informar, analisar e controlar o desempenho de diferentes componentes, em virtude de demandas variveis de trfego e falhas ocasionais na rede. O gerenciamento de falhas tem o objetivo de detectar e reagir s condies de falhas transitrias da rede. A terceira rea composta pela gerncia de configurao que possibilita ao administrador saber quais dispositivos fazem parte do ambiente administrado e quais so suas configuraes de hardware e software. O gerenciamento de contabilizao permite que um gerente especifique, registre e controle o acesso de usurios e dispositivos aos recursos da rede. Por fim, a gerncia de segurana controla o acesso aos ativos de acordo com alguma poltica definida [Kurose e Ross 2006]. Nos itens 2.1 e 2.2 sero abordados os componentes do gerenciamento de redes, bem como caractersticas e objetivos de suas principais ferramentas que foram estudadas para desenvolver este projeto. 2.1 A infraestrutura do gerenciamento de rede O campo do gerenciamento de rede tem sua terminologia especfica para os componentes de uma arquitetura de gerncia. Existem trs componentes principais: uma entidade gerenciadora, os dispositivos gerenciados e um protocolo de gerenciamento de rede. A entidade gerenciadora uma aplicao executada em uma estao central de gerncia da rede e fornece ao seu responsvel informaes que permitem a anlise e identificao de desvio de comportamentos que podem prejudicar o funcionamento do sistema. Um dispositivo gerenciado um ativo de rede que integra um conjunto de objetos gerenciveis constitudos por componentes de hardware e software. Toda informao disponibilizada pelo dispositivo gerenciado organizada em uma base de dados denominada MIB (Management Information Base), que pode ser acessada e modificada pela entidade gerenciadora. O terceiro componente o protocolo de gerenciamento de rede, que executado entre a entidade gerenciadora e o agente de gerenciamento, permitindo que a entidade gerenciadora investigue o estado dos dispositivos gerenciados e, indiretamente, execute aes sobre eles mediante seus agentes [Kurose e Ross 2006]. Para a implementao da soluo proposta neste trabalho adotou-se o protocolo SNMP (Simple Network Management Protocol), sendo este instalado e ativo em cada dispositivo gerenciado. A Figura 1 mostra como se relacionam os trs componentes da arquitetura de gerenciamento de rede.

Figura 1. Principais componentes de uma arquitetura de gerenciamento de rede [Kurose e Ross, 2006]

Para um monitoramento eficaz dos elementos conectados necessrio o controle do fluxo de informaes, o qual pode indiciar a execuo de aplicaes maliciosas que afetam o comportamento da infra-estrutura da rede, como worms, vrus ou at mesmo utilizao de programas P2P (Peer-to-peer). Desta forma, tem-se no monitoramento de trfego uma prtica essencial para a identificao de comportamentos anmalos [Kamienski et al. 2005]. Alm do monitoramento, necessria a utilizao de uma soluo que capture e analise de forma constante os pacotes e informaes que trafegam pela rede, a fim de identificar possveis vulnerabilidades e tentativas no autorizadas de acesso, assim como atividades ilegais. Um IDS (Intrusion Detection System) rene essas caractersticas, tendo a capacidade de detectar atividades suspeitas, imprprias ou de ataques realizados portas legtimas que no podem ser protegidas por um firewall [Nakamura e Geus, 2007]. Por fim, a utilizao de uma ferramenta que fornea dados dos hosts como aplicaes instaladas, em execuo, uptime, entre outras, completam o conjunto de caractersticas necessrias para definir as principais ferramentas de gerncia de rede analisadas neste trabalho. 2.2 Principais Ferramentas As principais ferramentas utilizadas para gerncia e monitoramento de ambientes de redes estudadas neste projeto tm como caractersticas comuns estarem sob licena GPL (Geral Licence Public) e serem utilizveis em sistemas baseados em UNIX. O MRTG (Multi Router Traffic Grapher), uma ferramenta para coleta de dados que gera grficos referentes ao trfego de rede, possibilita o monitoramento do desempenho dos elementos conectados por meio do fluxo de dados de entrada e sada nas portas dos comutadores da rede. Pode ser utilizado na gerncia de desempenho, verificando o trfego dos hosts monitorados e na gerncia de contabilizao onde verificado o tempo de paralisao dos hosts na rede [Correia 2004]. Outra ferramenta adotada para este trabalho a qual tem a finalidade de monitorar o desempenho da rede o Ntop (Network Traffic Probe), este software possui

caractersticas parecidas as do MRTG. Algumas de suas funcionalidades so: listar e ordenar o fluxo de dados de acordo com vrios protocolos, manter estatsticas permanentemente em banco de dados, identificar passivamente informaes sobre os hosts da rede e decodificar protocolos da camada de aplicao, inclusive os encontrados nos softwares tipo P2P [Mann 2009]. A ferramenta Nessus verifica falhas e vulnerabilidades de segurana. No seu modo operacional padro esta ferramenta inicia sua auditoria varrendo portas lgicas do sistema. Aps este processo so executados diversos exploits que atacam servios presentes no sistema na tentativa de encontrar falhas tanto em ambiente UNIX quanto Windows [Miranda 2008]. Para auxiliar na gerncia de segurana tambm so utilizadas ferramentas do tipo IDS (Intrusion Detection System), que trabalham como um alarme contra as intruses. Desta forma possvel realizar a deteco baseada em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento. Este tipo de aplicativo capaz de detectar e alertar os administradores quanto a possveis ataques ou comportamentos anormais no ambiente de rede [Nakamura e Geus 2007]. Ainda em consonncia com Nakamura e Geus, o Snort um sistema IDS baseado em regras, capaz de realizar anlise de trfego em tempo real e registro de pacotes em redes IP. Esta aplicao funciona de acordo com uma srie de funes que, trabalhando de modo integrado, so capazes de detectar, analisar e responder atividades suspeitas, podendo ser aplicados para prevenir de forma eficiente incidentes de segurana. Outra ferramenta no segmento de aplicaes para monitoramento o Nagios, um aplicativo que monitora hosts e servios de rede com o intuito de alertar os administradores sobre possveis problemas. Este software capaz de identificar servios e recursos de forma remota, disponibilizando de forma padro os seguintes recursos: anlise da utilizao do processador, disco, usurios conectados, o estado dos servios que esto rodando localmente, total de processos em execuo, utilizando testes icmp para verificao de seus agentes [Neto e Ucha 2006]. Alm do Nagios, outra ferramenta que possui caractersticas semelhantes com as que ele apresenta o Cacti, que por sua vez utiliza scripts em Bash, Perl, XML para coletar informaes locais ou remotas atravs do SNMP. Seus principais scripts medem a latncia entre os hosts, uso de interfaces de rede, uso do CPU, memria, disco, usurios conectados, etc. [Neto e Ucha 2006]. Com base no estudo destas ferramentas ser feita a proposta para o desenvolvimento do S.I.M (Sistema Integrado de Monitoramento), abrangendo algumas das caractersticas que cada uma dispe, reunindo e comparando suas informaes em um nico ambiente integrado.

3 Proposta de Integrao
Para desenvolver este projeto, as ferramentas escolhidas atendem aos requisitos mnimos de: consentir as exigncias da ISO (International Organization for Standardization), respeitar as reas do gerenciamento de redes (gerenciamento de desempenho, de configurao, de contabilizao, de segurana e de falhas) e principalmente terem a capacidade de integrarem as informaes geradas entre si.

Tabela 1. Comparativo Entre Ferramentas

Software MRTG Ntop Nessus Snort Nagios Cacti Tipo Monitor de Desempenho Monitor de Desempenho Deteco de Falhas Deteco de Intruso Monitor de Rede Monitor de Rede Principais caractersticas Monitora os hosts e gera logs do trfego de rede. Monitora e organiza o trfego de acordo com diversos protocolos. Busca por vulnerabilidades nos hosts da rede. Analisa o trfego de rede em tempo real, capaz de responder a atividades suspeitas no ambiente de rede. Disponibiliza informaes sobre hosts e servios da rede. Disponibiliza informaes sobre hosts e servios da rede.

A Tabela 1 apresenta as ferramentas estudadas e suas principais caractersticas, a partir disto foram escolhidas trs ferramentas para comporem o novo aplicativo proposto: MRTG, Snort e um script em Perl. Este ltimo foi escolhido pelo fato de ser mais simples e objetivo na tarefa de obter informaes sobre os hosts, dispensando a instalao de outra ferramenta para a obteno dos mesmos dados. Para realizar a integrao das ferramentas definidas, todas elas sero instaladas em um ambiente baseado em Linux e geraro relatrios sobre o trfego de rede (MRTG), informaes referentes captura e anlise de pacotes (Snort), alm de informaes sobre os hosts (script Perl). 3.1 Desenvolvimento da aplicao A tecnologia adotada para a implementao do software PHP (PHP Hypertext Processor), pois esta linguagem de programao permite de forma simples e eficiente a integrao dentre o MRTG e Snort. Outra grande vantagem do PHP a facilidade de visualizao e interpretao das informaes geradas pelas aplicaes de monitoramento, alm de possibilitar a disponibilizao das mesmas na WEB.

Figura 2. S.I.M Arquitetura Bsica da Aplicao

Para compreender a forma como est proposta a integrao apresentada na Figura 2, primeiramente deve-se entender, em baixo nvel, como e que informaes cada uma delas fornece sobre o ambiente de rede e principalmente a maneira como cada uma delas armazena os dados de seus relatrios.

Conforme j abordado neste artigo, o MRTG um aplicativo que monitora o desempenho da rede. Durante sua configurao, informado ferramenta o local onde ela gerar os grficos em HTML, o intervalo em que estes grficos sero criados e tambm o endereo dos equipamentos a serem monitorados. Com base nestas informaes, ao ser iniciado, o MRTG passa a gerar um arquivo de log que composto por dados referentes ao trfego de entrada e sada do dispositivo referido. O arquivo de log fica armazenado de acordo com a Figura 3.

Figura 3. Arquivo .log gerado pelo MRTG

Analisando a figura 3, temos um log gerado a cada 5 minutos durante um certo perodo, onde cada linha representa um intervalo de tempo gerado com seu respectivo trfego. A primeira coluna composta por um timestamp UNIX contendo a data em que o log foi gerado; a segunda e terceira colunas so, respectivamente, a quantidade mdia de entrada e sada de dados gerada nos ltimos 5 minutos monitorados pelo MRTG; por fim, a quarta e quinta colunas representam a maior taxa de entrada e a maior taxa de sada de dados no mesmo perodo. A prxima ferramenta a ser utilizada nessa proposta de integrao ser o Snort, ferramenta IDS utilizada no gerenciamento de rede. Sua instalao requer uma base de dados MySQL, a libpcap que uma biblioteca utilizada para captura de pacotes na rede e as regras que sero utilizadas no monitoramento. Assim que instalado, so inseridas e habilitadas s regras da aplicao que serviro para detectar possveis ameaas a rede, alm disso, configurada a forma de sada, local onde so armazenadas as informaes referentes s ameaas detectadas pela ferramenta. Neste projeto ser utilizada a sada via banco de dados MySQL, para isso tambm ser aplicado ao Snort o plugin BASE (Basic Analysis and Security Engine), pois facilitar a integrao com as demais ferramentas devido a melhor organizao dos dados armazenados e a facilidade de conexo do PHP, linguagem de desenvolvimento da nova aplicao, com o MySQL.

Figura 4. Estrutura de uma tabela do Snort

A Figura 4 representa o local onde ficam armazenadas as ocorrncias geradas pelas regras ativas no Snort. A partir dela podem ser obtidas informaes como endereo IP de quem fez a requisio, bem como o de destino, a data e hora (timestamp) em que aconteceu o evento, uma descrio do evento, entre outras. Estes dados sero utilizados na integrao proposta pela nova aplicao. Por sua vez, o script em Perl extrai as informaes de dados do dispositivo gerenciado atravs do servio SNMP. Este servio responsvel pelo gerenciamento e

respostas das requisies de informaes do protocolo de gerenciamento no servidor, que busca os dados na MIB. Para este tipo de requisio o servio de SNMP deve estar instalado e ativo no dispositivo gerenciado de destino. Para aquisio das informaes atravs do script necessrio informar os IPs dos dispositivos gerenciados, sendo acrescido um IP por linha em um arquivo txt. Aps o arquivo ser gerado pelo S.I.M, o mesmo solicita ao Perl que execute o script passando como argumento o nome do arquivo a ser lido. Ao realizar a leitura dos IPs feita as requisies ao servidor SNMP de endereos fsicos de todas as placas de rede, nome do computador, data do sistema, o tempo que o sistema encontra-se ligado, programas instalados e servios que esto rodando. Aps obter as informaes dos objetos gerenciados nos hosts relacionados criado como sada um relatrio para anlise do incidente ocorrido.

Figura 5. Comandos utilizados para obter informaes dos objetos gerenciados

3.2 Funcionamento da aplicao O ponto de partida para o funcionamento da ferramenta que est sendo proposta ser o monitoramento do trfego de rede e a captura de pacotes, conforme a Figura 6.

Figura 6. S.I.M Funcionamento Bsico

Sempre que for percebida alguma anomalia no trfego de banda, o S.I.M buscar informaes mais detalhadas sobre o que est acontecendo atravs do relacionamento das informaes de consumo geradas pelo MRTG com a captura de pacotes do Snort. Com esses dados, ele gera um arquivo tipo txt com a lista de IPs para servir de base execuo do script Perl, que por sua vez buscar as informaes sobre os hosts informados. O S.I.M deve fornecer ao administrador da rede e tambm a equipe de suporte aos usurios um conjunto de informaes relevantes, a fim de auxiliar na soluo de

problemas ou anomalias identificadas no ambiente de rede da organizao. A resposta rpida a esses incidentes est diretamente relacionada ao tempo despendido na deteco dos mesmos, sendo desta forma imprescindvel para a equipe de TI receber informaes rapidamente, diminuindo assim o tempo de resposta no tratamento das causas identificadas. A aplicao apresenta uma soluo simples para a questo da comunicao dos incidentes detectados, primeiramente o S.I.M se encarregar de criar uma base de conhecimentos das anomalias identificadas e juntamente com o armazenamento dos dados, e-mails de alertas sero disparados para o administrador da rede, responsveis pela rea de TI. Por fim, um ticket no service desk ser gerado, descrevendo a anomalia identificada. A Figura 7 mostra de maneira sucinta os procedimentos do S.I.M no momento da percepo de uma anomalia na rede.

Figura 7. S.I.M Envio de Informaes de Anomalias Identificadas na Rede

3.3 Resultados Parciais Este projeto j est em fase de desenvolvimento, at aqui sua estrutura conta com a interao entre o MRTG e o Snort funcional. As informaes geradas pelo S.I.M podero auxiliar o gerente na busca por anomalias na rede, visto que, quando o trfego de rede foge ao padro que o host em questo possui, a ferramenta pesquisa no Snort os alertas que aquele ativo gerou no mesmo espao de tempo em que o trfego foi considerado anormal. As informaes integradas so apresentadas ao administrador de rede (conforme Figura 8), com isso, ele possui maior conhecimento sobre o que e onde esto ocorrendo possveis problemas.

Figura 8. S.I.M Print Screen da Ferramenta

Para obter as informaes apresentadas na Figura 8, diversas regras do Snort foram habilitadas com o objetivo de que gerem alertas com mais frequncia, facilitando a demonstrao e o teste da ferramenta. O sistema apresenta as anomalias dividindo-as em cores, vermelho para as que ainda no foram averiguadas, amarelo para as que esto em anlise e verde para as que j foram analisadas pelo administrador da rede. Ao clicar

no boto info so apresentadas maiores informaes sobre a anomalia em questo, tambm o local onde se informa o status do evento detectado.

4 Consideraes Finais
Segundo Nakamura, no mundo globalizado em que vivemos, onde as informaes atravessam fronteiras com velocidade espantosa, a proteo do conhecimento vital para a sobrevivncia das organizaes, tornando essa necessidade capaz de influenciar diretamente nos negcios. Baseado nesse e em outros aspectos abordados no artigo, este projeto de pesquisa teve o objetivo de realizar uma anlise sobre as principais ferramentas livres utilizadas na gerncia de redes. Aps este levantamento, houve um estudo sobre a capacidade de integrao de algumas ferramentas, para definir o mtodo de funcionamento do novo software proposto. A proposta deste trabalho est sendo gradualmente alcanada, atravs dos resultados obtidos com a implementao e testes do S.I.M (Sistema Integrado de Monitoramento). As sadas geradas por esta ferramenta visam agilizar o processo de deteco dos incidentes em uma rede de computadores, com a disponibilizao de informaes relevantes ao seu administrador. O S.I.M objetiva, com suas atividades em tempo real de monitoramento e captura de pacotes, proporcionar uma reduo no tempo de deteco e resoluo das anomalias em um ambiente conectado e distribudo. Alm disso, a base de conhecimento, implementada a partir do registro de dados sobre os problemas identificados, disponibiliza uma amostragem que poder ser utilizada em trabalhos futuros.

Referncias

CORREA, Claudio (1998). Deteco de Ataques em Redes de Computadores, http://www.das.ufsc.br/gia/pb-p/rel-claudio-00/relatorio.html, Maio. CORREIA, Marcelo (2004), Gerncia de Redes, http://www.ccet.unimontes.br/arquivos/dcc/gilmara/1144.pdf, Maio. DUARTE, Otto M.B. (1996). Gerenciamento de Redes, http://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html#sec1a, Maio. KAMIENSKI, Carlos; SOUZA, Tatiane; FERNANDES, Stenio; SILVESTRE, Guthemberg; SADOK, Djamel (2005). Caracterizando Propriedades Essenciais do Trfego de Redes Atravs de Tcnicas de Amostragem Estatstica, Junho. KUROSE, James F.; ROSS, Keith W. (2006). Redes de Computadores e a Internet Uma Abordagem Top-Down, So Paulo, Edio 3. MANN, Cesar (2009). Anlise Constante, http://ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/referencias/TCC-2009.pdf, Junho. MIRANDA, Rafael J. (2008). Usando e instalando o Nessus no Linux, disponvel em: <http://vivaolinux.com.br/artigo/Usando-e-instalando-o-Nessus-no-Linux, Junho. NAKAMURA, Emilio T.; GEUS, Paulo L. (2007). Segurana de Redes em Ambientes Cooperativos, So Paulo, Edio 1. NETO, Arlindo; UCHA, Joaquim (2006). Ferramentas Livres Para Monitorao de Servidores, http://www.ginux.ufla.br/files/artigo-ArlindoNeto,JoaquimUchoa.pdf, Junho.
http://www.cin.ufpe.br/~cak/publications/sbrc2005_amostragem_estratificada_final.pdf

SEGURANA DE REDES (2010). Linux Magazine, So Paulo, Junho.