UMA PROPOSTA DE SISTEMA INTEGRADO PARA A …ferramentas é composto pelo nessusd, também o daemon...

UMA PROPOSTA DE SISTEMA

INTEGRADO PARA A GERENCIA DA

SEGURANÇA EM REDES DE

COMPUTADORES NAS

ORGANIZAÇÕES - ESTUDO E

IMPLEMENTAÇÃO

Taciano Balardin de Oliveira

(Universidade Federal de Santa Maria)

Henrique Sobroza Pedroso


Roseclea Duarte Medina


Érico Marcelo Hoff do Amaral

(Instituto Federal Sul-rio-grandense / Universidade Federal de Santa

Maria)

Resumo Visando garantir a disponibilidade e confiabilidade dos recursos e

serviços em um ambiente de rede, a gerência e o controle da mesma

tornam-se pontos críticos de sucesso, para alcançar uma

administração eficiente dos elementos conectados. EEste artigo

apresenta um estudo sobre a integração de ferramentas para o

monitoramento e gerência de redes, obtendo como resultado a

implementação de um front-end multiplataforma, desenvolvido para

web, o qual viabiliza o cruzamento das informações dos softwares

instalados. Esta nova aplicação, batizada de S.I.M (Sistema Integrado

de Monitoramento) tem por objetivo a emissão de alertas, a fim de

automatizar e otimizar a resolução de incidentes identificados na rede,

auxiliando na administração da rede.

Palavras-chaves: Gerência de rede, monitoramento, segurança da

informação

12 e 13 de agosto de 2011

ISSN 1984-9354

VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011

2

1. Introdução

O rápido desenvolvimento da tecnologia da informação (TI) e de ambientes informatizados

altamente conectados provocou profundas alterações no panorama organizacional das

empresas. Atualmente, a TI se tornou um recurso crítico no que concerne à concretização de

negócios e tomada de decisões, servindo como uma ferramenta de apoio indispensável. Neste

contexto as redes de computadores compõem o núcleo das comunicações modernas, deixando

assim de ser uma infraestrutura dispensável para a continuidade e evolução do negocio.

Identificando esta situação percebe-se a inegável importância da segurança da informação e

dos sistemas de redes, assim como de todos os potenciais controles e processos necessários

para sustentar as operações da organização, transcendendo o limite da produtividade e da

funcionalidade dos sistemas conectados. Enquanto a velocidade e a eficiência em todos os

processos de negócios significam uma vantagem competitiva, nota-se que a falta de segurança

nos meios pode resultar em grandes prejuízos e falta de novas oportunidades de negócios

[NAKAMURA e GEUS, 2007].

A segurança da informação em ambientes de rede, devido a sua importância, é uma

das áreas que mais tem recebido investimentos no âmbito das organizações, superando até

mesmo o setor de infraestrutura física. Sendo assim é imprescindível a necessidade de se

manter um sistema de segurança, que permita um nível maior de controle e maturidade dos

processos de TI, garantindo a continuidade do negócio. Um ambiente de rede seguro tem

como objetivo preservar e manter os dados contra possíveis ataques ou invasões, identificando

possíveis pontos de vulnerabilidades a fim de implantar medidas preventivas [Linux

Magazine, 2010].

Sabendo que, para uma postura de segurança proativa, as organizações deveriam

vetorizar seus esforços para o monitoramento de todos os eventos de rede, partindo da coleta

de dados até o seu devido tratamento e, determinando o desempenho dos processos e

agendamento de tarefas futuras. Para a realização destas atividades um NOC (Network

Operation Center) se apresenta como solução eficaz, por centralizar a gerência da rede em um


3

ponto único, provendo um centro de programas que a monitoram, informando em tempo real

a situação de cada ativo conectado. Quando uma anomalia em um ambiente conectado é

detectada, através de aplicações sem as funcionalidades de um NOC, faz-se necessária a

verificação da causa deste incidente por meio da consulta e analise de relatórios gerados por

softwares distintos, estas interpretações acabam tornando-se trabalhosas e, em alguns casos,

podem ser utilizadas como artifício para desviar a atenção do gerente durante algum processo

[CORREA, 1998].

Baseado no exposto, o objetivo deste trabalho é estudar algumas ferramentas livres

utilizadas no monitoramento e controle de ambientes de redes e, a partir deste conhecimento,

projetar e desenvolver um NOC, uma solução híbrida que integre as saídas das ferramentas,

permitindo desta maneira, uma interação eficiente destas soluções, disponibilizando para o

administrador da rede uma aplicação centralizada para o gerenciamento de todos os

elementos, a fim de automatizar e otimizar a resolução de incidentes identificados na rede.

Este artigo esta estruturado da maneira que segue: na seção 2 a fundamentação teórica

deste trabalho, abordando sobre a gerência de redes, sua infra-estrutura e as principais

ferramentas estudadas; a seção 3 descreve a metodologia, contendo a forma como foi

desenvolvida a aplicação e explicando seu funcionamento; na seção 4 é apresentado o

ambiente laboratório, onde ferramenta foi aplicada, sua forma de instalação e os resultados

atingidos com sua implantação; e por fim, na seção 5 constam as considerações finais sobre o

trabalho.

2. Gerência de Rede

O gerenciamento de rede está associado ao controle de atividades e ao monitoramento do uso

de recursos da rede. De forma simples, as tarefas básicas da gerência em redes são: obter

informações da rede, tratar estas informações possibilitando um diagnóstico e encaminhar as

soluções dos problemas. Para isso, funções de gerência devem ser embutidas nos diversos

componentes de uma rede, para que possibilitem descobrir, prever e reagir a anomalias

[DUARTE, 1996].

Para uniformizar a gerência de redes, a ISO (International Organization for

Standardization), órgão internacional responsável por padronizações, classificou as áreas

funcionais do gerenciamento de redes em cinco categorias. O gerenciamento de desempenho é


4

responsável por quantificar, medir, informar, analisar e controlar o desempenho de diferentes

componentes, em virtude de demandas variáveis de tráfego e falhas ocasionais na rede. O

gerenciamento de falhas tem o objetivo de detectar e reagir às condições de falhas transitórias

da rede. A terceira área é composta pela gerência de configuração que possibilita ao

administrador saber quais dispositivos fazem parte do ambiente administrado e quais são suas

configurações de hardware e software. O gerenciamento de contabilização permite que um

gerente especifique, registre e controle o acesso de usuários e dispositivos aos recursos da

rede. Por fim, a gerência de segurança controla o acesso aos ativos de acordo com alguma

política definida [KUROSE e ROSS, 2006].

Nos itens 2.1 e 2.2 serão abordados os componentes do gerenciamento de redes, bem

como características e objetivos de suas principais ferramentas que foram estudadas para

desenvolver este projeto.

2.1 A infraestrutura do gerenciamento de rede

O campo do gerenciamento de rede tem sua terminologia específica para os componentes de

uma arquitetura de gerência. Existem três componentes principais: uma entidade

gerenciadora, os dispositivos gerenciados e um protocolo de gerenciamento de rede.

A entidade gerenciadora é uma aplicação executada em uma estação central de

gerência da rede e fornece ao seu responsável informações que permitem a análise e

identificação de desvio de comportamentos que podem prejudicar o funcionamento do

sistema.

Um dispositivo gerenciado é um ativo de rede que integra um conjunto de objetos

gerenciáveis constituídos por componentes de hardware e software. Toda informação

disponibilizada pelo dispositivo gerenciado é organizada em uma base de dados denominada

MIB (Management Information Base), que pode ser acessada e modificada pela entidade

gerenciadora.

O terceiro componente é o protocolo de gerenciamento de rede, que é executado entre

a entidade gerenciadora e o agente de gerenciamento, permitindo que a entidade gerenciadora

investigue o estado dos dispositivos gerenciados e, indiretamente, execute ações sobre eles

mediante seus agentes [KUROSE e ROSS, 2006]. Para a implementação da solução proposta

neste trabalho adotou-se o protocolo SNMP (Simple Network Management Protocol), sendo

este instalado e ativo em cada dispositivo gerenciado.


5

A Figura 1 mostra como se relacionam os três componentes da arquitetura de

gerenciamento de rede.

Figura 1. Principais componentes de uma arquitetura de gerenciamento de rede

[KUROSE e ROSS, 2006]

Para um monitoramento eficaz dos elementos conectados é necessário o controle do

fluxo de informações, o qual pode indiciar a execução de aplicações maliciosas que afetam o

comportamento da infra-estrutura da rede, como worms, vírus ou até mesmo utilização de

programas P2P (Peer-to-peer). Desta forma, tem-se no monitoramento de tráfego uma prática

essencial para a identificação de comportamentos anômalos [KAMIENSKI et al. 2005].

Além do monitoramento, é necessária a utilização de uma solução que capture e

analise de forma constante os pacotes e informações que trafegam pela rede, a fim de

identificar possíveis vulnerabilidades e tentativas não autorizadas de acesso, assim como

atividades ilegais. Um IDS (Intrusion Detection System) reúne essas características, tendo a

capacidade de detectar atividades suspeitas, impróprias ou de ataques realizados à portas

legítimas que não podem ser protegidas por um firewall [NAKAMURA e GEUS, 2007].

Por fim, a utilização de uma ferramenta que forneça dados dos hosts como aplicações

instaladas, em execução, uptime, entre outras, completam o conjunto de características

necessárias para definir as principais ferramentas de gerência de rede analisadas neste

trabalho.

2.2 Principais Ferramentas

As principais ferramentas utilizadas para gerência e monitoramento de ambientes de redes

estudadas neste projeto têm como características comuns estarem sob licença GPL (Geral


6

Licence Public) – software livre – e serem utilizáveis em sistemas operacionais baseados em

UNIX.

O MRTG (Multi Router Traffic Grapher), uma ferramenta para coleta de dados que

gera gráficos referentes ao tráfego de rede, possibilita o monitoramento do desempenho dos

elementos conectados por meio do fluxo de dados de entrada e saída nas portas dos

comutadores da rede. Pode ser utilizado na gerência de desempenho, verificando o tráfego dos

hosts monitorados e na gerência de contabilização onde é verificado o tempo de paralisação

dos hosts na rede [CORREIA, 2004].

Além disso, outras características importantes do MRTG são: leitura via SNMP ou

através de scripts que retornem um formato padronizado, coleta de dados a cada 5 minutos

por padrão (podendo ser modificado), envia aviso por e-mail ao administrador caso algum

gráfico atinja determinado valor pré-estabelecido [BAZZI et al. 2007].

Outra ferramenta com funções voltadas ao monitoramento de desempenho é o Ntop

(Network Traffic Probe), este software possui características parecidas as do MRTG.

Algumas de suas funcionalidades são: listar e ordenar o fluxo de dados de acordo com vários

protocolos, manter estatísticas permanentemente em banco de dados, identificar passivamente

informações sobre os hosts da rede (sistema operacional, endereço de e-mail do usuário da

estação) e decodificar protocolos da camada de aplicação, inclusive os encontrados nos

softwares tipo P2P [MANN, 2009].

A ferramenta Nessus verifica falhas e vulnerabilidades de segurança, seu conjunto de

ferramentas é composto pelo nessusd, também o daemon Nessus, que realiza a varredura do

sistema alvo, e Nessus, o cliente, disponível nos modos gráfico e texto, que mostra o avanço

dos testes e o resultado das auditorias aplicadas. No seu modo operacional padrão esta

ferramenta inicia sua auditoria varrendo portas lógicas do sistema, este processo é seguido da

utilização de diversos exploits que atacam serviços presentes no sistema na tentativa de

encontrar falhas tanto em ambiente UNIX quanto Windows [MIRANDA, 2008].

Para auxiliar na gerência de segurança também são utilizadas ferramentas do tipo IDS

(Intrusion Detection System), que trabalham como um alarme contra as intrusões. Desta forma

é possível realizar a detecção baseada em algum tipo de conhecimento, como assinaturas de

ataques, ou em desvios de comportamento. Este tipo de aplicativo é capaz de detectar e alertar

os administradores quanto a possíveis ataques ou comportamentos anormais no ambiente de

rede [NAKAMURA e GEUS, 2007].


7

Ainda em consonância com Nakamura e Geus, o Snort é um sistema IDS baseado em

regras, capaz de realizar análise de tráfego em tempo real e registro de pacotes em redes IP.

Esta aplicação funciona de acordo com uma série de funções que, trabalhando de modo

integrado, são capazes de detectar, analisar e responder à atividades suspeitas, podendo ser

aplicados para prevenir de forma eficiente incidentes de segurança.

Outra ferramenta no segmento de aplicações para monitoramento é o Nagios, um

aplicativo que monitora hosts e serviços de rede com o intuito de alertar os administradores

sobre possíveis problemas. Este software é capaz de identificar serviços e recursos de forma

remota, disponibilizando de forma padrão os seguintes recursos: análise da utilização do

processador, disco, usuários conectados, o estado dos serviços que estão rodando localmente,

total de processos em execução, utilizando testes icmp para verificação de seus agentes

[NETO e UCHÔA, 2006].

Além do Nagios, outra ferramenta que possui características semelhantes com as que

ele apresenta é o Cacti, que por sua vez utiliza-se de scripts em Bash, Perl, XML, dentre

outros para colher dados localmente ou remotamente através do SNMP e do RRDTool (pacote

de ferramentas para gerar e interpretar informações em arquivos de dados) gera arquivos com

dados e gráficos informativos referentes aos componentes da rede. Seus principais scripts

medem a latência entre os hosts, uso de interfaces de rede, uso do CPU, memória, disco,

usuários conectados, etc. [NETO e UCHÔA, 2006].

Com base no estudo destas ferramentas será feita a proposta para o desenvolvimento

do S.I.M (Sistema Integrado de Monitoramento), abrangendo algumas das características que

cada uma dispõe, reunindo e comparando suas informações em um único ambiente integrado.

3. Integração das Ferramentas

Para desenvolver este projeto, as ferramentas escolhidas atendem aos requisitos mínimos de:

consentir as exigências da ISO (International Organization for Standardization), respeitar as

áreas do gerenciamento de redes (gerenciamento de desempenho, de configuração, de

contabilização, de segurança e de falhas) e principalmente terem a capacidade de integrarem

as informações geradas entre si.

Tabela 1. Comparativo Entre Ferramentas

Software Tipo Principais características

MRTG Monitor de Desempenho Monitora os hosts e gera logs do tráfego de rede.

Ntop Monitor de Desempenho Monitora e organiza o tráfego de acordo com diversos


8

protocolos.

Nessus Detecção de Falhas Busca por vulnerabilidades nos hosts da rede.

Snort Detecção de Intrusão Analisa o tráfego de rede em tempo real, capaz de

responder a atividades suspeitas no ambiente de rede.

Nagios Monitor de Rede Disponibiliza informações sobre hosts e serviços da rede.

Cacti Monitor de Rede Disponibiliza informações sobre hosts e serviços da rede.

A Tabela 1 apresenta as ferramentas estudadas e suas principais características, a partir

deste estudo inicial sobre o funcionamento de cada uma delas foram escolhidas três

ferramentas para comporem o novo aplicativo proposto: inicialmente eram MRTG, Snort e

um script Perl desenvolvido para buscar informações dos hosts. Durante a implementação do

projeto houve a necessidade da utilização de uma ferramenta que disponibilizasse um método

mais prático de monitorar o desempenho da rede do que o utilizado pelo MRTG. Baseado

nisso, foi realizada uma alteração na escolha da ferramenta que realiza esta tarefa,

substituindo o MRTG pelo Ntop. Por sua vez, o script Perl, foi escolhido pelo fato de ser mais

simples e objetivo na tarefa de obter informações sobre os hosts, dispensando a instalação de

outra ferramenta (Nagios ou Cacti) para a obtenção dos mesmos dados, tais como: nome da

máquina, programas instalados, programas em execução, entre outros.

Para desenvolver a integração das ferramentas definidas, todas foram instaladas em

um ambiente baseado em Linux para gerar relatórios sobre o tráfego de rede (Ntop),

informações referentes à captura e análise de pacotes (Snort), além de informações sobre os

hosts (script Perl).

3.1 Desenvolvimento da aplicação

A tecnologia adotada para a implementação do software foi o PHP (PHP Hypertext

Processor), pois esta linguagem de programação permite de forma simples e eficiente a

integração dentre o Ntop e Snort. Outra vantagem do PHP é a facilidade de visualização e

interpretação das informações geradas pelas aplicações de monitoramento, além de

possibilitar a disponibilização das mesmas na web, sendo necessário ter apenas um navegador

de internet para acessar as informações geradas pela ferramenta.

Para compreender a forma como foi realizada a integração, apresentada abaixo através

da Figura 2, primeiramente deve-se entender, em baixo nível, como e quais informações cada

uma delas fornece sobre o ambiente de rede e principalmente a maneira como cada uma delas

armazena os dados de seus relatórios.


9

Figura 2. S.I.M – Arquitetura básica da aplicação

Conforme já abordado neste artigo, o Ntop é um aplicativo que monitora o

desempenho da rede. Depois de instalado, não possui arquivos de configuração editáveis,

apenas configurações realizadas através de sua interface web. Ao ser iniciado, por padrão,

roda como daemon, ou seja, um processo executado em background, sem um terminal

controlador.

O Ntop disponibiliza uma maneira de solicitar informações sobre os hosts através de

uma funcionalidade chamada Data Dump, através dela é possível requisitar tais informações

via comando “wget” do PHP e o retorno é em forma de um array contendo informações sobre

os hosts. Um exemplo de arquivo retornado através deste comando está apresentado na Figura

3.

Figura 3. Comando e arquivo gerado via Data Dump no Ntop

De acordo com a Figura 3, o Ntop retorna via Data Dump um array com dados sobre

os hosts presentes na rede. Este array possui informações como: nome do host na rede,

pacotes enviados e recebidos organizados pelos protocolos configurados na execução da


10

ferramenta. Essas informações geradas pelo Ntop são utilizadas pela ferramenta para auxiliar

na identificação de comportamentos anômalos no ambiente de rede.

Outra ferramenta integrada ao S.I.M foi o Snort, uma ferramenta do tipo IDS utilizada

no gerenciamento de rede. Sua instalação requer uma base de dados MySQL, a “libpcap” que

é uma biblioteca utilizada para captura de pacotes na rede, além das regras que são utilizadas

no monitoramento.

Assim que instalado, são inseridas e habilitadas às regras da aplicação que servem para

detectar possíveis ameaças a rede, além disso, é configurada a forma de “saída”, local onde

são armazenadas as informações referentes às ameaças detectadas pela ferramenta. No

desenvolvimento deste trabalho foi utilizada a saída via banco de dados MySQL, para isso

também foi aplicado ao Snort o plugin BASE (Basic Analysis and Security Engine), pois

facilita a integração com as demais ferramentas devido à melhor organização dos dados

armazenados e a facilidade de conexão do PHP, linguagem de desenvolvimento da aplicação,

com o MySQL.

Figura 4. Estrutura de uma tabela do Snort

A Figura 4 representa o local onde ficam armazenadas as ocorrências geradas pelas

regras ativas no Snort. A partir dela podem ser obtidas informações como endereço IP de

quem fez a requisição, bem como o de destino, à data e hora (timestamp) em que aconteceu o

evento, uma descrição do evento, entre outras. Estes dados são utilizados na integração que a

ferramenta desenvolvida realiza.

Por sua vez, o script em Perl (Figura 5) extrai as informações de dados do dispositivo

gerenciado através do serviço SNMP. Este serviço é responsável pelo gerenciamento e

respostas das requisições de informações do protocolo de gerenciamento no servidor, que

busca os dados na MIB. Para este tipo de requisição o serviço de SNMP deve estar instalado e

ativo no dispositivo gerenciado de destino.


11

Figura 5. Comandos utilizados para obter as informações dos objetos gerenciados

Para aquisição das informações através do script é necessário informar o IP do

dispositivo gerenciado como parâmetro na chamada do arquivo Perl. Ao realizar a leitura do

IP é feita a requisição no servidor SNMP do endereço físico de todas as placas de rede, nome

do computador, data do sistema, o tempo que o sistema encontra-se ligado, programas

instalados e serviços que estão rodando.

Após obter as informações dos objetos gerenciados do host envolvido, as mesmas são

armazenadas no banco de dados e relacionadas com o incidente. Estes dados são integrados as

demais informações identificadas pelo S.I.M para aquela anomalia.

Figura 6. Exemplo de um dos dados gerados pelo script Perl (Processos em Execução)

3.2 Funcionamento da aplicação

O ponto de partida para o funcionamento da ferramenta integrada é o monitoramento do

tráfego de rede realizado pelo Ntop e a captura de pacotes do Snort. A baseline (média de

tráfego) do host é definida pelo Data Dump do Ntop, sempre que for percebida alguma

anomalia no tráfego de banda, o S.I.M buscará informações mais detalhadas sobre o que está

acontecendo através do relacionamento das informações de consumo geradas pelo Ntop com a

captura de pacotes do Snort. A aplicação também funciona a partir dos alertas gerados pelo

Snort, realizando a busca pelo tráfego de rede do ativo envolvido na anomalia no momento

em que ela foi detectada pelo mesmo.


12

Com os dados gerados a partir do monitoramento realizado pelo Ntop e Snort, a

ferramenta chama a execução do script Perl, passando como parâmetro os dados do host

envolvido na anomalia, que por sua vez requisita as informações via SNMP e alimenta o

banco de dados com informações referentes ao host.

Por fim, todas as informações sobre a anomalia identificada são unificadas e

armazenadas na base de dados da ferramenta, além disso, e-mails de alertas são disparados

para avisar ao gestor sobre a ocorrência do comportamento anômalo. Tal funcionamento pode

ser visto através do esquema apresentado na Figura 7.

Figura 7. S.I.M – Funcionamento

Por ser uma ferramenta de monitoramento, o S.I.M tem a capacidade de funcionar com

autonomia e em tempo integral, desde que atenda a algumas premissas: Ntop, Snort, Perl e

servidor web devem estar em execução e funcionando corretamente. Para atender a esta

necessidade, quando instalada, a ferramenta utiliza um programa do Unix chamado “crontab”,

que edita o arquivo onde são especificados os comandos a serem executados, a hora e dia de

execução, funcionando como uma agenda de tarefas a serem realizadas a cada período de

tempo pré-estabelecido.

3.3 Interface Visual

Para que o administrador da rede possa verificar todas as anomalias identificadas pelo S.I.M

foi desenvolvida uma interface visual que disponibiliza um meio de acesso a essas

informações.


13

Figura 8. S.I.M – Print screen da interface

Esta funcionalidade foi viabilizada através de uma interface web desenvolvida com

PHP, HTML, JavaScript e CSS, também utiliza técnicas de Ajax (Asynchronous Javascript

And XML), para deixar a ferramenta mais interativa por meio de solicitações assíncronas de

informações na tela onde são listadas as anomalias identificadas pela ferramenta.

O sistema ainda apresenta as anomalias dividindo-as em cores de fundo diferenciadas

para facilitar a identificação, vermelho para as que ainda não foram averiguadas, amarelo para

as que estão em análise e verde para as que já foram analisadas pelo administrador da rede.

Cada anomalia recebe um link que ao ser clicado leva o administrador para uma

página que apresenta todas as informações capturadas pelo S.I.M referentes ao evento em

questão, como pode ser visto através da Figura 9.


14

Figura 9. Informações detalhadas sobre a anomalia

Nesta mesma tela, ainda é possível alterar a situação da anomalia entre “Não

Verificado”, “Em Andamento” ou “Verificado” para que haja um controle sobre a

averiguação dos eventos detectados pela ferramenta. No campo descrição, pode ser informado

quais ações foram tomadas para correção do possível problema, estas informações também

são armazenadas na base de dados da ferramenta para consultas posteriores.

3.4 Implantação da Ferramenta

A aplicação apresenta uma solução simples para a questão da comunicação dos incidentes

detectados, primeiramente o S.I.M se encarrega de criar uma base de conhecimentos das

anomalias identificadas e juntamente com o armazenamento dos dados, e-mails de alertas são

disparados para o administrador da rede, responsáveis pela área de TI.

A ferramenta desenvolvida fornece ao administrador da rede e também a equipe de

suporte aos usuários um conjunto de informações relevantes, a fim de auxiliar na solução de

problemas ou anomalias identificadas no ambiente de rede da organização. A resposta rápida

a esses incidentes está diretamente relacionada ao tempo despendido na detecção dos mesmos,

sendo desta forma imprescindível para a equipe de TI receber informações rapidamente,

diminuindo assim o tempo de resposta no tratamento das causas identificadas.


15

Com a visualização integrada proporcionada pelo S.I.M. tem-se um grande impacto

sobre a gerência da rede, pois com estas informações o gerente pode tomar decisões mais

concisas, tendo em vista que esta ferramenta facilita a análise do possível incidente de rede.

Outra vantagem da análise através da ferramenta central é a redução do número de possíveis

falsos positivos gerados pela análise de um software isolado, problemas de sincronismo de

horários entre os servidores ou mesmo erro de interpretação do gerente ao utilizar multi telas

para comparação.

4. Resultados e Discussões

As informações geradas pelo S.I.M visam identificar problemas e gerenciar uma rede

conectada e distribuída, de forma resumida, quando o tráfego de algum ativo desta rede foge

ao padrão que possui, a ferramenta pesquisa no Snort os alertas que aquele ativo gerou no

mesmo espaço de tempo em que o tráfego foi considerado anormal, sempre cruzando todas as

informações geradas pelo Snort com as do Ntop e vice-versa.

Os resultados obtidos através do desenvolvimento e implantação do sistema integrado

estão apresentados em três partes, primeiramente, nos itens 4.1 e 4.2 serão abordados,

respectivamente, o ambiente onde a ferramenta foi instalada e a forma como esta ferramenta

foi aplicada a este meio. No item 4.3 é apresentado o resultado obtido a partir da implantação

da ferramenta, e de que forma as informações geradas pela ferramenta podem auxiliar os

responsáveis pela rede.

4.1 Ambiente de Teste

O sistema de monitoramento desenvolvido neste trabalho foi aplicado e testado na rede do

Centro Regional Sul do Instituto Nacional de Pesquisas Espaciais (CRS/INPE) que é

composto pelo Centro Regional Sul de Pesquisas Espaciais (CRS) e o Observatório Espacial

Sul (OES). Estas unidades desenvolvem projetos de pesquisa, como por exemplo, o Programa

Antártico Brasileiro (PAN), o desenvolvimento de nano-satélite (NanoSat) e rastreamento de

satélites, o CREACTALC, filiada à ONU, o centro do programa de ensino à distância (EAD)

da Universidade Federal de Santa Maria e Grupo de Modelagem Atmosférica de Santa Maria

(GruMA).

Para atender as necessidades de todos os pesquisadores e servidores do CRS, sua

estrutura é composta por um sistema de cabeamento estruturado que permite alcançar alto

desempenho sustentado e imune a mudança de tecnologia, onde os meios de transmissão

integram infra-estrutura única de fluxo de dados, interconectando a rede de telecomunicações


16

com diferentes tipos de aplicações, tais como: servidores, impressoras, VoIP e uma central

telefônica SIP, integrando as centrais telefônicas instaladas em Santa Maria, São Martinho da

Serra, São José dos Campos e a Universidade Federal de Santa Maria.

O CRS possui um sistema de cabeamento estruturado categoria 6 certificado, definido

pela norma ANSI EIA/TIA-568-B-2.1, que oferece alta performance para a distribuição

horizontal, permitindo o suporte para aplicações como voz tradicional (telefone analógico ou

digital), VoIP, Ethernet (10Base-T), Fast Ethernet (100Base-TX) e Gigabit Ethernet a 4 pares

(1000Base-T). Este sistema foi implantado para proporcionar infra-estrutura capaz de suprir

as próximas gerações de tecnologias em redes de telecomunicações. Os equipamentos estão

distribuídos em duas salas de equipamentos e dois armários de telecomunicações que são

interligados com o backbone de fibra óptica monomodo com taxa de transmissão de

10/100/1000 Mb/s. Os cabos utilizados são os de par trançado não blindado (sigla UTP do

inglês Unshielded Twisted Pair).

No que diz respeito a equipamentos de rede, o CRS utiliza uma solução Extreme

Networks, com 2 equipamentos Alpine, modelo 3808 no backbone, 14 switches Summit200-

48 e um Summit300-48, como equipamentos de borda. O Summit300-48 é responsável pelo

gerenciamento da rede sem fio (wireless), que é constituída por 8 estações Altitude, que

atendem todo perímetro do Centro. Toda essa estrutura é utilizada diariamente por

aproximadamente 500 usuários entre colaboradores e pesquisadores.

4.2 Instalação da ferramenta

Para ser aplicada à rede do CRS/INPE foi criado um arquivo de ajuda no qual serviu de

auxílio à equipe de TI do Instituto que realizou a instalação da ferramenta de acordo com os

passos descritos abaixo:

1. Copie o diretório do SIM para a pasta do seu servidor web. (Ex: /var/www/).

2. Abra o gerenciador do MySQL, cria uma base de dados chamada "sim" e dentro dela

execute os comandos do arquivo “sim.sql” para criar a tabela de alertas.

3. Edite o arquivo config.php localizado dentro da pasta SIM alterando as configurações,

conforme a Figura 10.


17

Figura 10. Instruções para configuração do S.I.M

4. Dê permissão de escrita no diretório do S.I.M, através do comando “chmod 777

/var/www/SIM/”;

5. Teste a ferramenta através do link: “http://localhost/SIM/cron.php” se não apresentar

nenhuma mensagem de erro a instalação foi concluída com sucesso;

6. Abra o terminal e digite "crontab -e" para adicionar a tarefa que fará com que a ferramenta

rode automaticamente através do comando:

“* * * * wget http://localhost/SIM/cron.php”;

7. Inicie o Snort, o Ntop e visualize as informações capturadas pela ferramenta através do

link “http://localhost/SIM/”.

4.3 Resultado da Implantação

Com o acesso do gerente da rede, via interface visual da ferramenta (conforme visto na Figura

8 e na Figura 9), é possível analisar as anomalias identificadas pela aplicação através de

diversas informações que ela provê, como: a média de throughput (taxa de transferência) em

Kb/s, tanto de entrada quanto de saída do ativo envolvido na anomalia; o throughput de

entrada e saída no momento em que o evento foi detectado; o nome do host na rede, seu

endereço de IP e o MAC Address; a data e hora, o alerta gerado pelo Snort e também o alerta

gerado pelo script Perl no momento da ocorrência.

Outras informações que podem ser vistas pela interface da ferramenta são as que

demonstram como a aplicação está configurada para atuar na rede, através da apresentação do

range de IP’s que a ferramenta monitora, assim como os hosts que estão ativos no momento

atual, também identifica se o Snort e o Ntop estão em execução no servidor.

Os dados gerados pelo script Perl sobre quais programas estavam em execução no

momento em que o ativo teve o comportamento anômalo, juntamente do alerta gerado pelo

Snort e das informações de tráfego geradas pelo Ntop, compõem um conjunto de informações


18

úteis que servem como facilitadores e norteiam a busca do administrador da rede pela causa

da anomalia.

Com isso, os resultados da aplicação atendem as expectativas iniciais do trabalho que

eram baseadas no estudo das principais ferramentas livres utilizadas na gerência de rede e a

partir disto desenvolver um software que integre as saídas dessas ferramentas em um

ambiente único com o intuito de facilitar e conseqüentemente agilizar o trabalho da equipe de

suporte à rede.

5. Considerações Finais

Segundo Nakamura, no mundo globalizado em que vivemos, onde as informações atravessam

fronteiras com velocidade espantosa, à proteção do conhecimento é vital para a sobrevivência

das organizações, tornando essa necessidade capaz de influenciar diretamente nos negócios.

Baseado nesse e em outros aspectos abordados no artigo, este projeto de pesquisa teve

o objetivo de realizar uma análise sobre as principais ferramentas livres utilizadas na gerência

de redes. Após este levantamento, houve um estudo sobre a capacidade de integração de

algumas ferramentas para que pudesse ser definido o método de funcionamento do novo

software de integração.

O S.I.M, com suas atividades em tempo real de monitoramento e captura de pacotes,

proporciona uma redução no tempo de detecção e resolução das anomalias em um ambiente

conectado e distribuído. As saídas geradas por esta ferramenta agilizam o processo de

detecção dos incidentes em uma rede de computadores, com a disponibilização de

informações relevantes ao seu administrador. Também mantém um histórico dos ativos que

pode servir para identificar falhas ocorridas em algum equipamento. Além disso, com a

implantação da ferramenta é possível criar relatórios que justifiquem ampliações e melhorias

na rede, visando à disponibilidade do meio a todos os pesquisadores e laboratórios.

Os resultados obtidos com a aplicação da ferramenta no CRS/INPE demonstram que é

possível agilizar o processo de detecção de anomalias em um ambiente computacionalmente

conectado, através da sinergia e do cruzamento de informações relevantes sobre o

funcionamento da rede e da disponibilização destas aos administradores do ambiente.

5.1 Trabalhos Futuros

Para dar continuidade ao desenvolvimento e aprimoramento da ferramenta existem

algumas possibilidades para trabalhos futuros, tais como: a partir da base de dados,

implementada pelo registro de informações sobre os problemas identificados, aplicar um


19

estudo estatístico que identifique e classifique os problemas na rede; implantar novos scripts

que agreguem novas áreas da gerência à ferramenta; integrar a ferramenta ao portal do

CRS/INPE; aplicar conhecimentos em IHC para aperfeiçoamentos na interface da ferramenta;

criar um sistema de raciocínio baseado em casos para que a partir do momento em que um

problema reincidente ocorra na rede o sistema já apresente sua possível solução.

6. Referências

BAZZI, Cláudio; LAMB, Juliano; MICHEL, Neylor; TEIXEIRA, Marcos; SCALABRIN,

Leandro. Monitoramento de Redes WAN com MRTG, disponível em:

. Acessado

em 27 de maio de 2010.

CORREA, Claudio. Detecção de Ataques em Redes de Computadores, disponível em:

. Acessado em 10 de maio

de 2010.

CORREIA, Marcelo F., Gerência de Redes, disponível em:

. Acessado em 25 de maio

de 2010.

DUARTE, Otto M.B.. Gerenciamento de Redes, disponível em:

. Acessado em 27 de maio de

2010.

KAMIENSKI, Carlos; SOUZA, Tatiane; FERNANDES, Stenio; SILVESTRE Guthemberg;

SADOK Djamel. Caracterizando Propriedades Essenciais do Tráfego de Redes

Através de Técnicas de Amostragem Estatística, disponível em:

.

Acessado em 28 de maio de 2010. SBRC 2005.

KUROSE, James F.; ROSS, Keith W.. Redes de Computadores e a Internet Uma

Abordagem Top-Down, São Paulo, Edição 3, p. 571-588, 2006.

MANN, Cesar. Análise Constante, disponível em:

. Acessado em 03 de junho de 2010.

MIRANDA, Rafael J.. Usando e instalando o Nessus no Linux, disponível em:

. Acessado em

06 de junho de 2010.

NAKAMURA, Emilio T.; GEUS, Paulo L.. Segurança de Redes em Ambientes

Cooperativos, São Paulo, Edição 1, 2007.

NETO, Arlindo; UCHÔA, Joaquim. Ferramentas Livres Para Monitoração de Servidores,

disponível em: .

Acessado em 07 de junho de 2010.

SEGURANÇA DE REDES. Linux Magazine, São Paulo, Jun. 2010.
http://professor.swai.com.br/scalabrin/artigos/monitoramentoderedewan1.pdfhttp://www.das.ufsc.br/gia/pb-p/rel-claudio-00/relatorio.htmlhttp://www.ccet.unimontes.br/arquivos/dcc/gilmara/1144.pdfhttp://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html#sec1ahttp://www.cin.ufpe.br/~cak/publications/sbrc2005_amostragem_estratificada_final.pdfhttp://www.ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/referencias/TCC-2009.pdfhttp://www.ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/referencias/TCC-2009.pdfhttp://vivaolinux.com.br/artigo/Usando-e-instalando-o-Nessus-no-Linuxhttp://www.ginux.ufla.br/files/artigo-ArlindoNeto,JoaquimUchoa.pdf

UMA PROPOSTA DE SISTEMA INTEGRADO PARA A …ferramentas é composto pelo nessusd, também o daemon...

Documents

Transcript of UMA PROPOSTA DE SISTEMA INTEGRADO PARA A …ferramentas é composto pelo nessusd, também o daemon...