UMA PROPOSTA DE SISTEMA INTEGRADO PARA A GERENCIA … · INTEGRADO PARA A GERENCIA DA SEGURANÇA EM...
-
Upload
truongkiet -
Category
Documents
-
view
216 -
download
0
Transcript of UMA PROPOSTA DE SISTEMA INTEGRADO PARA A GERENCIA … · INTEGRADO PARA A GERENCIA DA SEGURANÇA EM...
UMA PROPOSTA DE SISTEMA
INTEGRADO PARA A GERENCIA DA
SEGURANÇA EM REDES DE
COMPUTADORES NAS
ORGANIZAÇÕES - ESTUDO E
IMPLEMENTAÇÃO
Taciano Balardin de Oliveira
(Universidade Federal de Santa Maria)
Henrique Sobroza Pedroso
(Universidade Federal de Santa Maria)
Roseclea Duarte Medina
(Universidade Federal de Santa Maria)
Érico Marcelo Hoff do Amaral
(Instituto Federal Sul-rio-grandense / Universidade Federal de Santa
Maria)
Resumo Visando garantir a disponibilidade e confiabilidade dos recursos e
serviços em um ambiente de rede, a gerência e o controle da mesma
tornam-se pontos críticos de sucesso, para alcançar uma
administração eficiente dos elementos conectados. EEste artigo
apresenta um estudo sobre a integração de ferramentas para o
monitoramento e gerência de redes, obtendo como resultado a
implementação de um front-end multiplataforma, desenvolvido para
web, o qual viabiliza o cruzamento das informações dos softwares
instalados. Esta nova aplicação, batizada de S.I.M (Sistema Integrado
de Monitoramento) tem por objetivo a emissão de alertas, a fim de
automatizar e otimizar a resolução de incidentes identificados na rede,
auxiliando na administração da rede.
Palavras-chaves: Gerência de rede, monitoramento, segurança da
informação
12 e 13 de agosto de 2011
ISSN 1984-9354
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
2
1. Introdução
O rápido desenvolvimento da tecnologia da informação (TI) e de ambientes informatizados
altamente conectados provocou profundas alterações no panorama organizacional das
empresas. Atualmente, a TI se tornou um recurso crítico no que concerne à concretização de
negócios e tomada de decisões, servindo como uma ferramenta de apoio indispensável. Neste
contexto as redes de computadores compõem o núcleo das comunicações modernas, deixando
assim de ser uma infraestrutura dispensável para a continuidade e evolução do negocio.
Identificando esta situação percebe-se a inegável importância da segurança da informação e
dos sistemas de redes, assim como de todos os potenciais controles e processos necessários
para sustentar as operações da organização, transcendendo o limite da produtividade e da
funcionalidade dos sistemas conectados. Enquanto a velocidade e a eficiência em todos os
processos de negócios significam uma vantagem competitiva, nota-se que a falta de segurança
nos meios pode resultar em grandes prejuízos e falta de novas oportunidades de negócios
[NAKAMURA e GEUS, 2007].
A segurança da informação em ambientes de rede, devido a sua importância, é uma
das áreas que mais tem recebido investimentos no âmbito das organizações, superando até
mesmo o setor de infraestrutura física. Sendo assim é imprescindível a necessidade de se
manter um sistema de segurança, que permita um nível maior de controle e maturidade dos
processos de TI, garantindo a continuidade do negócio. Um ambiente de rede seguro tem
como objetivo preservar e manter os dados contra possíveis ataques ou invasões, identificando
possíveis pontos de vulnerabilidades a fim de implantar medidas preventivas [Linux
Magazine, 2010].
Sabendo que, para uma postura de segurança proativa, as organizações deveriam
vetorizar seus esforços para o monitoramento de todos os eventos de rede, partindo da coleta
de dados até o seu devido tratamento e, determinando o desempenho dos processos e
agendamento de tarefas futuras. Para a realização destas atividades um NOC (Network
Operation Center) se apresenta como solução eficaz, por centralizar a gerência da rede em um
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
3
ponto único, provendo um centro de programas que a monitoram, informando em tempo real
a situação de cada ativo conectado. Quando uma anomalia em um ambiente conectado é
detectada, através de aplicações sem as funcionalidades de um NOC, faz-se necessária a
verificação da causa deste incidente por meio da consulta e analise de relatórios gerados por
softwares distintos, estas interpretações acabam tornando-se trabalhosas e, em alguns casos,
podem ser utilizadas como artifício para desviar a atenção do gerente durante algum processo
[CORREA, 1998].
Baseado no exposto, o objetivo deste trabalho é estudar algumas ferramentas livres
utilizadas no monitoramento e controle de ambientes de redes e, a partir deste conhecimento,
projetar e desenvolver um NOC, uma solução híbrida que integre as saídas das ferramentas,
permitindo desta maneira, uma interação eficiente destas soluções, disponibilizando para o
administrador da rede uma aplicação centralizada para o gerenciamento de todos os
elementos, a fim de automatizar e otimizar a resolução de incidentes identificados na rede.
Este artigo esta estruturado da maneira que segue: na seção 2 a fundamentação teórica
deste trabalho, abordando sobre a gerência de redes, sua infra-estrutura e as principais
ferramentas estudadas; a seção 3 descreve a metodologia, contendo a forma como foi
desenvolvida a aplicação e explicando seu funcionamento; na seção 4 é apresentado o
ambiente laboratório, onde ferramenta foi aplicada, sua forma de instalação e os resultados
atingidos com sua implantação; e por fim, na seção 5 constam as considerações finais sobre o
trabalho.
2. Gerência de Rede
O gerenciamento de rede está associado ao controle de atividades e ao monitoramento do uso
de recursos da rede. De forma simples, as tarefas básicas da gerência em redes são: obter
informações da rede, tratar estas informações possibilitando um diagnóstico e encaminhar as
soluções dos problemas. Para isso, funções de gerência devem ser embutidas nos diversos
componentes de uma rede, para que possibilitem descobrir, prever e reagir a anomalias
[DUARTE, 1996].
Para uniformizar a gerência de redes, a ISO (International Organization for
Standardization), órgão internacional responsável por padronizações, classificou as áreas
funcionais do gerenciamento de redes em cinco categorias. O gerenciamento de desempenho é
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
4
responsável por quantificar, medir, informar, analisar e controlar o desempenho de diferentes
componentes, em virtude de demandas variáveis de tráfego e falhas ocasionais na rede. O
gerenciamento de falhas tem o objetivo de detectar e reagir às condições de falhas transitórias
da rede. A terceira área é composta pela gerência de configuração que possibilita ao
administrador saber quais dispositivos fazem parte do ambiente administrado e quais são suas
configurações de hardware e software. O gerenciamento de contabilização permite que um
gerente especifique, registre e controle o acesso de usuários e dispositivos aos recursos da
rede. Por fim, a gerência de segurança controla o acesso aos ativos de acordo com alguma
política definida [KUROSE e ROSS, 2006].
Nos itens 2.1 e 2.2 serão abordados os componentes do gerenciamento de redes, bem
como características e objetivos de suas principais ferramentas que foram estudadas para
desenvolver este projeto.
2.1 A infraestrutura do gerenciamento de rede
O campo do gerenciamento de rede tem sua terminologia específica para os componentes de
uma arquitetura de gerência. Existem três componentes principais: uma entidade
gerenciadora, os dispositivos gerenciados e um protocolo de gerenciamento de rede.
A entidade gerenciadora é uma aplicação executada em uma estação central de
gerência da rede e fornece ao seu responsável informações que permitem a análise e
identificação de desvio de comportamentos que podem prejudicar o funcionamento do
sistema.
Um dispositivo gerenciado é um ativo de rede que integra um conjunto de objetos
gerenciáveis constituídos por componentes de hardware e software. Toda informação
disponibilizada pelo dispositivo gerenciado é organizada em uma base de dados denominada
MIB (Management Information Base), que pode ser acessada e modificada pela entidade
gerenciadora.
O terceiro componente é o protocolo de gerenciamento de rede, que é executado entre
a entidade gerenciadora e o agente de gerenciamento, permitindo que a entidade gerenciadora
investigue o estado dos dispositivos gerenciados e, indiretamente, execute ações sobre eles
mediante seus agentes [KUROSE e ROSS, 2006]. Para a implementação da solução proposta
neste trabalho adotou-se o protocolo SNMP (Simple Network Management Protocol), sendo
este instalado e ativo em cada dispositivo gerenciado.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
5
A Figura 1 mostra como se relacionam os três componentes da arquitetura de
gerenciamento de rede.
Figura 1. Principais componentes de uma arquitetura de gerenciamento de rede
[KUROSE e ROSS, 2006]
Para um monitoramento eficaz dos elementos conectados é necessário o controle do
fluxo de informações, o qual pode indiciar a execução de aplicações maliciosas que afetam o
comportamento da infra-estrutura da rede, como worms, vírus ou até mesmo utilização de
programas P2P (Peer-to-peer). Desta forma, tem-se no monitoramento de tráfego uma prática
essencial para a identificação de comportamentos anômalos [KAMIENSKI et al. 2005].
Além do monitoramento, é necessária a utilização de uma solução que capture e
analise de forma constante os pacotes e informações que trafegam pela rede, a fim de
identificar possíveis vulnerabilidades e tentativas não autorizadas de acesso, assim como
atividades ilegais. Um IDS (Intrusion Detection System) reúne essas características, tendo a
capacidade de detectar atividades suspeitas, impróprias ou de ataques realizados à portas
legítimas que não podem ser protegidas por um firewall [NAKAMURA e GEUS, 2007].
Por fim, a utilização de uma ferramenta que forneça dados dos hosts como aplicações
instaladas, em execução, uptime, entre outras, completam o conjunto de características
necessárias para definir as principais ferramentas de gerência de rede analisadas neste
trabalho.
2.2 Principais Ferramentas
As principais ferramentas utilizadas para gerência e monitoramento de ambientes de redes
estudadas neste projeto têm como características comuns estarem sob licença GPL (Geral
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
6
Licence Public) – software livre – e serem utilizáveis em sistemas operacionais baseados em
UNIX.
O MRTG (Multi Router Traffic Grapher), uma ferramenta para coleta de dados que
gera gráficos referentes ao tráfego de rede, possibilita o monitoramento do desempenho dos
elementos conectados por meio do fluxo de dados de entrada e saída nas portas dos
comutadores da rede. Pode ser utilizado na gerência de desempenho, verificando o tráfego dos
hosts monitorados e na gerência de contabilização onde é verificado o tempo de paralisação
dos hosts na rede [CORREIA, 2004].
Além disso, outras características importantes do MRTG são: leitura via SNMP ou
através de scripts que retornem um formato padronizado, coleta de dados a cada 5 minutos
por padrão (podendo ser modificado), envia aviso por e-mail ao administrador caso algum
gráfico atinja determinado valor pré-estabelecido [BAZZI et al. 2007].
Outra ferramenta com funções voltadas ao monitoramento de desempenho é o Ntop
(Network Traffic Probe), este software possui características parecidas as do MRTG.
Algumas de suas funcionalidades são: listar e ordenar o fluxo de dados de acordo com vários
protocolos, manter estatísticas permanentemente em banco de dados, identificar passivamente
informações sobre os hosts da rede (sistema operacional, endereço de e-mail do usuário da
estação) e decodificar protocolos da camada de aplicação, inclusive os encontrados nos
softwares tipo P2P [MANN, 2009].
A ferramenta Nessus verifica falhas e vulnerabilidades de segurança, seu conjunto de
ferramentas é composto pelo nessusd, também o daemon Nessus, que realiza a varredura do
sistema alvo, e Nessus, o cliente, disponível nos modos gráfico e texto, que mostra o avanço
dos testes e o resultado das auditorias aplicadas. No seu modo operacional padrão esta
ferramenta inicia sua auditoria varrendo portas lógicas do sistema, este processo é seguido da
utilização de diversos exploits que atacam serviços presentes no sistema na tentativa de
encontrar falhas tanto em ambiente UNIX quanto Windows [MIRANDA, 2008].
Para auxiliar na gerência de segurança também são utilizadas ferramentas do tipo IDS
(Intrusion Detection System), que trabalham como um alarme contra as intrusões. Desta forma
é possível realizar a detecção baseada em algum tipo de conhecimento, como assinaturas de
ataques, ou em desvios de comportamento. Este tipo de aplicativo é capaz de detectar e alertar
os administradores quanto a possíveis ataques ou comportamentos anormais no ambiente de
rede [NAKAMURA e GEUS, 2007].
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
7
Ainda em consonância com Nakamura e Geus, o Snort é um sistema IDS baseado em
regras, capaz de realizar análise de tráfego em tempo real e registro de pacotes em redes IP.
Esta aplicação funciona de acordo com uma série de funções que, trabalhando de modo
integrado, são capazes de detectar, analisar e responder à atividades suspeitas, podendo ser
aplicados para prevenir de forma eficiente incidentes de segurança.
Outra ferramenta no segmento de aplicações para monitoramento é o Nagios, um
aplicativo que monitora hosts e serviços de rede com o intuito de alertar os administradores
sobre possíveis problemas. Este software é capaz de identificar serviços e recursos de forma
remota, disponibilizando de forma padrão os seguintes recursos: análise da utilização do
processador, disco, usuários conectados, o estado dos serviços que estão rodando localmente,
total de processos em execução, utilizando testes icmp para verificação de seus agentes
[NETO e UCHÔA, 2006].
Além do Nagios, outra ferramenta que possui características semelhantes com as que
ele apresenta é o Cacti, que por sua vez utiliza-se de scripts em Bash, Perl, XML, dentre
outros para colher dados localmente ou remotamente através do SNMP e do RRDTool (pacote
de ferramentas para gerar e interpretar informações em arquivos de dados) gera arquivos com
dados e gráficos informativos referentes aos componentes da rede. Seus principais scripts
medem a latência entre os hosts, uso de interfaces de rede, uso do CPU, memória, disco,
usuários conectados, etc. [NETO e UCHÔA, 2006].
Com base no estudo destas ferramentas será feita a proposta para o desenvolvimento
do S.I.M (Sistema Integrado de Monitoramento), abrangendo algumas das características que
cada uma dispõe, reunindo e comparando suas informações em um único ambiente integrado.
3. Integração das Ferramentas
Para desenvolver este projeto, as ferramentas escolhidas atendem aos requisitos mínimos de:
consentir as exigências da ISO (International Organization for Standardization), respeitar as
áreas do gerenciamento de redes (gerenciamento de desempenho, de configuração, de
contabilização, de segurança e de falhas) e principalmente terem a capacidade de integrarem
as informações geradas entre si.
Tabela 1. Comparativo Entre Ferramentas
Software Tipo Principais características
MRTG Monitor de Desempenho Monitora os hosts e gera logs do tráfego de rede.
Ntop Monitor de Desempenho Monitora e organiza o tráfego de acordo com diversos
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
8
protocolos.
Nessus Detecção de Falhas Busca por vulnerabilidades nos hosts da rede.
Snort Detecção de Intrusão Analisa o tráfego de rede em tempo real, capaz de
responder a atividades suspeitas no ambiente de rede.
Nagios Monitor de Rede Disponibiliza informações sobre hosts e serviços da rede.
Cacti Monitor de Rede Disponibiliza informações sobre hosts e serviços da rede.
A Tabela 1 apresenta as ferramentas estudadas e suas principais características, a partir
deste estudo inicial sobre o funcionamento de cada uma delas foram escolhidas três
ferramentas para comporem o novo aplicativo proposto: inicialmente eram MRTG, Snort e
um script Perl desenvolvido para buscar informações dos hosts. Durante a implementação do
projeto houve a necessidade da utilização de uma ferramenta que disponibilizasse um método
mais prático de monitorar o desempenho da rede do que o utilizado pelo MRTG. Baseado
nisso, foi realizada uma alteração na escolha da ferramenta que realiza esta tarefa,
substituindo o MRTG pelo Ntop. Por sua vez, o script Perl, foi escolhido pelo fato de ser mais
simples e objetivo na tarefa de obter informações sobre os hosts, dispensando a instalação de
outra ferramenta (Nagios ou Cacti) para a obtenção dos mesmos dados, tais como: nome da
máquina, programas instalados, programas em execução, entre outros.
Para desenvolver a integração das ferramentas definidas, todas foram instaladas em
um ambiente baseado em Linux para gerar relatórios sobre o tráfego de rede (Ntop),
informações referentes à captura e análise de pacotes (Snort), além de informações sobre os
hosts (script Perl).
3.1 Desenvolvimento da aplicação
A tecnologia adotada para a implementação do software foi o PHP (PHP Hypertext
Processor), pois esta linguagem de programação permite de forma simples e eficiente a
integração dentre o Ntop e Snort. Outra vantagem do PHP é a facilidade de visualização e
interpretação das informações geradas pelas aplicações de monitoramento, além de
possibilitar a disponibilização das mesmas na web, sendo necessário ter apenas um navegador
de internet para acessar as informações geradas pela ferramenta.
Para compreender a forma como foi realizada a integração, apresentada abaixo através
da Figura 2, primeiramente deve-se entender, em baixo nível, como e quais informações cada
uma delas fornece sobre o ambiente de rede e principalmente a maneira como cada uma delas
armazena os dados de seus relatórios.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
9
Figura 2. S.I.M – Arquitetura básica da aplicação
Conforme já abordado neste artigo, o Ntop é um aplicativo que monitora o
desempenho da rede. Depois de instalado, não possui arquivos de configuração editáveis,
apenas configurações realizadas através de sua interface web. Ao ser iniciado, por padrão,
roda como daemon, ou seja, um processo executado em background, sem um terminal
controlador.
O Ntop disponibiliza uma maneira de solicitar informações sobre os hosts através de
uma funcionalidade chamada Data Dump, através dela é possível requisitar tais informações
via comando “wget” do PHP e o retorno é em forma de um array contendo informações sobre
os hosts. Um exemplo de arquivo retornado através deste comando está apresentado na Figura
3.
Figura 3. Comando e arquivo gerado via Data Dump no Ntop
De acordo com a Figura 3, o Ntop retorna via Data Dump um array com dados sobre
os hosts presentes na rede. Este array possui informações como: nome do host na rede,
pacotes enviados e recebidos organizados pelos protocolos configurados na execução da
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
10
ferramenta. Essas informações geradas pelo Ntop são utilizadas pela ferramenta para auxiliar
na identificação de comportamentos anômalos no ambiente de rede.
Outra ferramenta integrada ao S.I.M foi o Snort, uma ferramenta do tipo IDS utilizada
no gerenciamento de rede. Sua instalação requer uma base de dados MySQL, a “libpcap” que
é uma biblioteca utilizada para captura de pacotes na rede, além das regras que são utilizadas
no monitoramento.
Assim que instalado, são inseridas e habilitadas às regras da aplicação que servem para
detectar possíveis ameaças a rede, além disso, é configurada a forma de “saída”, local onde
são armazenadas as informações referentes às ameaças detectadas pela ferramenta. No
desenvolvimento deste trabalho foi utilizada a saída via banco de dados MySQL, para isso
também foi aplicado ao Snort o plugin BASE (Basic Analysis and Security Engine), pois
facilita a integração com as demais ferramentas devido à melhor organização dos dados
armazenados e a facilidade de conexão do PHP, linguagem de desenvolvimento da aplicação,
com o MySQL.
Figura 4. Estrutura de uma tabela do Snort
A Figura 4 representa o local onde ficam armazenadas as ocorrências geradas pelas
regras ativas no Snort. A partir dela podem ser obtidas informações como endereço IP de
quem fez a requisição, bem como o de destino, à data e hora (timestamp) em que aconteceu o
evento, uma descrição do evento, entre outras. Estes dados são utilizados na integração que a
ferramenta desenvolvida realiza.
Por sua vez, o script em Perl (Figura 5) extrai as informações de dados do dispositivo
gerenciado através do serviço SNMP. Este serviço é responsável pelo gerenciamento e
respostas das requisições de informações do protocolo de gerenciamento no servidor, que
busca os dados na MIB. Para este tipo de requisição o serviço de SNMP deve estar instalado e
ativo no dispositivo gerenciado de destino.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
11
Figura 5. Comandos utilizados para obter as informações dos objetos gerenciados
Para aquisição das informações através do script é necessário informar o IP do
dispositivo gerenciado como parâmetro na chamada do arquivo Perl. Ao realizar a leitura do
IP é feita a requisição no servidor SNMP do endereço físico de todas as placas de rede, nome
do computador, data do sistema, o tempo que o sistema encontra-se ligado, programas
instalados e serviços que estão rodando.
Após obter as informações dos objetos gerenciados do host envolvido, as mesmas são
armazenadas no banco de dados e relacionadas com o incidente. Estes dados são integrados as
demais informações identificadas pelo S.I.M para aquela anomalia.
Figura 6. Exemplo de um dos dados gerados pelo script Perl (Processos em Execução)
3.2 Funcionamento da aplicação
O ponto de partida para o funcionamento da ferramenta integrada é o monitoramento do
tráfego de rede realizado pelo Ntop e a captura de pacotes do Snort. A baseline (média de
tráfego) do host é definida pelo Data Dump do Ntop, sempre que for percebida alguma
anomalia no tráfego de banda, o S.I.M buscará informações mais detalhadas sobre o que está
acontecendo através do relacionamento das informações de consumo geradas pelo Ntop com a
captura de pacotes do Snort. A aplicação também funciona a partir dos alertas gerados pelo
Snort, realizando a busca pelo tráfego de rede do ativo envolvido na anomalia no momento
em que ela foi detectada pelo mesmo.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
12
Com os dados gerados a partir do monitoramento realizado pelo Ntop e Snort, a
ferramenta chama a execução do script Perl, passando como parâmetro os dados do host
envolvido na anomalia, que por sua vez requisita as informações via SNMP e alimenta o
banco de dados com informações referentes ao host.
Por fim, todas as informações sobre a anomalia identificada são unificadas e
armazenadas na base de dados da ferramenta, além disso, e-mails de alertas são disparados
para avisar ao gestor sobre a ocorrência do comportamento anômalo. Tal funcionamento pode
ser visto através do esquema apresentado na Figura 7.
Figura 7. S.I.M – Funcionamento
Por ser uma ferramenta de monitoramento, o S.I.M tem a capacidade de funcionar com
autonomia e em tempo integral, desde que atenda a algumas premissas: Ntop, Snort, Perl e
servidor web devem estar em execução e funcionando corretamente. Para atender a esta
necessidade, quando instalada, a ferramenta utiliza um programa do Unix chamado “crontab”,
que edita o arquivo onde são especificados os comandos a serem executados, a hora e dia de
execução, funcionando como uma agenda de tarefas a serem realizadas a cada período de
tempo pré-estabelecido.
3.3 Interface Visual
Para que o administrador da rede possa verificar todas as anomalias identificadas pelo S.I.M
foi desenvolvida uma interface visual que disponibiliza um meio de acesso a essas
informações.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
13
Figura 8. S.I.M – Print screen da interface
Esta funcionalidade foi viabilizada através de uma interface web desenvolvida com
PHP, HTML, JavaScript e CSS, também utiliza técnicas de Ajax (Asynchronous Javascript
And XML), para deixar a ferramenta mais interativa por meio de solicitações assíncronas de
informações na tela onde são listadas as anomalias identificadas pela ferramenta.
O sistema ainda apresenta as anomalias dividindo-as em cores de fundo diferenciadas
para facilitar a identificação, vermelho para as que ainda não foram averiguadas, amarelo para
as que estão em análise e verde para as que já foram analisadas pelo administrador da rede.
Cada anomalia recebe um link que ao ser clicado leva o administrador para uma
página que apresenta todas as informações capturadas pelo S.I.M referentes ao evento em
questão, como pode ser visto através da Figura 9.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
14
Figura 9. Informações detalhadas sobre a anomalia
Nesta mesma tela, ainda é possível alterar a situação da anomalia entre “Não
Verificado”, “Em Andamento” ou “Verificado” para que haja um controle sobre a
averiguação dos eventos detectados pela ferramenta. No campo descrição, pode ser informado
quais ações foram tomadas para correção do possível problema, estas informações também
são armazenadas na base de dados da ferramenta para consultas posteriores.
3.4 Implantação da Ferramenta
A aplicação apresenta uma solução simples para a questão da comunicação dos incidentes
detectados, primeiramente o S.I.M se encarrega de criar uma base de conhecimentos das
anomalias identificadas e juntamente com o armazenamento dos dados, e-mails de alertas são
disparados para o administrador da rede, responsáveis pela área de TI.
A ferramenta desenvolvida fornece ao administrador da rede e também a equipe de
suporte aos usuários um conjunto de informações relevantes, a fim de auxiliar na solução de
problemas ou anomalias identificadas no ambiente de rede da organização. A resposta rápida
a esses incidentes está diretamente relacionada ao tempo despendido na detecção dos mesmos,
sendo desta forma imprescindível para a equipe de TI receber informações rapidamente,
diminuindo assim o tempo de resposta no tratamento das causas identificadas.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
15
Com a visualização integrada proporcionada pelo S.I.M. tem-se um grande impacto
sobre a gerência da rede, pois com estas informações o gerente pode tomar decisões mais
concisas, tendo em vista que esta ferramenta facilita a análise do possível incidente de rede.
Outra vantagem da análise através da ferramenta central é a redução do número de possíveis
falsos positivos gerados pela análise de um software isolado, problemas de sincronismo de
horários entre os servidores ou mesmo erro de interpretação do gerente ao utilizar multi telas
para comparação.
4. Resultados e Discussões
As informações geradas pelo S.I.M visam identificar problemas e gerenciar uma rede
conectada e distribuída, de forma resumida, quando o tráfego de algum ativo desta rede foge
ao padrão que possui, a ferramenta pesquisa no Snort os alertas que aquele ativo gerou no
mesmo espaço de tempo em que o tráfego foi considerado anormal, sempre cruzando todas as
informações geradas pelo Snort com as do Ntop e vice-versa.
Os resultados obtidos através do desenvolvimento e implantação do sistema integrado
estão apresentados em três partes, primeiramente, nos itens 4.1 e 4.2 serão abordados,
respectivamente, o ambiente onde a ferramenta foi instalada e a forma como esta ferramenta
foi aplicada a este meio. No item 4.3 é apresentado o resultado obtido a partir da implantação
da ferramenta, e de que forma as informações geradas pela ferramenta podem auxiliar os
responsáveis pela rede.
4.1 Ambiente de Teste
O sistema de monitoramento desenvolvido neste trabalho foi aplicado e testado na rede do
Centro Regional Sul do Instituto Nacional de Pesquisas Espaciais (CRS/INPE) que é
composto pelo Centro Regional Sul de Pesquisas Espaciais (CRS) e o Observatório Espacial
Sul (OES). Estas unidades desenvolvem projetos de pesquisa, como por exemplo, o Programa
Antártico Brasileiro (PAN), o desenvolvimento de nano-satélite (NanoSat) e rastreamento de
satélites, o CREACTALC, filiada à ONU, o centro do programa de ensino à distância (EAD)
da Universidade Federal de Santa Maria e Grupo de Modelagem Atmosférica de Santa Maria
(GruMA).
Para atender as necessidades de todos os pesquisadores e servidores do CRS, sua
estrutura é composta por um sistema de cabeamento estruturado que permite alcançar alto
desempenho sustentado e imune a mudança de tecnologia, onde os meios de transmissão
integram infra-estrutura única de fluxo de dados, interconectando a rede de telecomunicações
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
16
com diferentes tipos de aplicações, tais como: servidores, impressoras, VoIP e uma central
telefônica SIP, integrando as centrais telefônicas instaladas em Santa Maria, São Martinho da
Serra, São José dos Campos e a Universidade Federal de Santa Maria.
O CRS possui um sistema de cabeamento estruturado categoria 6 certificado, definido
pela norma ANSI EIA/TIA-568-B-2.1, que oferece alta performance para a distribuição
horizontal, permitindo o suporte para aplicações como voz tradicional (telefone analógico ou
digital), VoIP, Ethernet (10Base-T), Fast Ethernet (100Base-TX) e Gigabit Ethernet a 4 pares
(1000Base-T). Este sistema foi implantado para proporcionar infra-estrutura capaz de suprir
as próximas gerações de tecnologias em redes de telecomunicações. Os equipamentos estão
distribuídos em duas salas de equipamentos e dois armários de telecomunicações que são
interligados com o backbone de fibra óptica monomodo com taxa de transmissão de
10/100/1000 Mb/s. Os cabos utilizados são os de par trançado não blindado (sigla UTP do
inglês Unshielded Twisted Pair).
No que diz respeito a equipamentos de rede, o CRS utiliza uma solução Extreme
Networks, com 2 equipamentos Alpine, modelo 3808 no backbone, 14 switches Summit200-
48 e um Summit300-48, como equipamentos de borda. O Summit300-48 é responsável pelo
gerenciamento da rede sem fio (wireless), que é constituída por 8 estações Altitude, que
atendem todo perímetro do Centro. Toda essa estrutura é utilizada diariamente por
aproximadamente 500 usuários entre colaboradores e pesquisadores.
4.2 Instalação da ferramenta
Para ser aplicada à rede do CRS/INPE foi criado um arquivo de ajuda no qual serviu de
auxílio à equipe de TI do Instituto que realizou a instalação da ferramenta de acordo com os
passos descritos abaixo:
1. Copie o diretório do SIM para a pasta do seu servidor web. (Ex: /var/www/).
2. Abra o gerenciador do MySQL, cria uma base de dados chamada "sim" e dentro dela
execute os comandos do arquivo “sim.sql” para criar a tabela de alertas.
3. Edite o arquivo config.php localizado dentro da pasta SIM alterando as configurações,
conforme a Figura 10.
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
17
Figura 10. Instruções para configuração do S.I.M
4. Dê permissão de escrita no diretório do S.I.M, através do comando “chmod 777
/var/www/SIM/”;
5. Teste a ferramenta através do link: “http://localhost/SIM/cron.php” se não apresentar
nenhuma mensagem de erro a instalação foi concluída com sucesso;
6. Abra o terminal e digite "crontab -e" para adicionar a tarefa que fará com que a ferramenta
rode automaticamente através do comando:
“* * * * wget http://localhost/SIM/cron.php”;
7. Inicie o Snort, o Ntop e visualize as informações capturadas pela ferramenta através do
link “http://localhost/SIM/”.
4.3 Resultado da Implantação
Com o acesso do gerente da rede, via interface visual da ferramenta (conforme visto na Figura
8 e na Figura 9), é possível analisar as anomalias identificadas pela aplicação através de
diversas informações que ela provê, como: a média de throughput (taxa de transferência) em
Kb/s, tanto de entrada quanto de saída do ativo envolvido na anomalia; o throughput de
entrada e saída no momento em que o evento foi detectado; o nome do host na rede, seu
endereço de IP e o MAC Address; a data e hora, o alerta gerado pelo Snort e também o alerta
gerado pelo script Perl no momento da ocorrência.
Outras informações que podem ser vistas pela interface da ferramenta são as que
demonstram como a aplicação está configurada para atuar na rede, através da apresentação do
range de IP’s que a ferramenta monitora, assim como os hosts que estão ativos no momento
atual, também identifica se o Snort e o Ntop estão em execução no servidor.
Os dados gerados pelo script Perl sobre quais programas estavam em execução no
momento em que o ativo teve o comportamento anômalo, juntamente do alerta gerado pelo
Snort e das informações de tráfego geradas pelo Ntop, compõem um conjunto de informações
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
18
úteis que servem como facilitadores e norteiam a busca do administrador da rede pela causa
da anomalia.
Com isso, os resultados da aplicação atendem as expectativas iniciais do trabalho que
eram baseadas no estudo das principais ferramentas livres utilizadas na gerência de rede e a
partir disto desenvolver um software que integre as saídas dessas ferramentas em um
ambiente único com o intuito de facilitar e conseqüentemente agilizar o trabalho da equipe de
suporte à rede.
5. Considerações Finais
Segundo Nakamura, no mundo globalizado em que vivemos, onde as informações atravessam
fronteiras com velocidade espantosa, à proteção do conhecimento é vital para a sobrevivência
das organizações, tornando essa necessidade capaz de influenciar diretamente nos negócios.
Baseado nesse e em outros aspectos abordados no artigo, este projeto de pesquisa teve
o objetivo de realizar uma análise sobre as principais ferramentas livres utilizadas na gerência
de redes. Após este levantamento, houve um estudo sobre a capacidade de integração de
algumas ferramentas para que pudesse ser definido o método de funcionamento do novo
software de integração.
O S.I.M, com suas atividades em tempo real de monitoramento e captura de pacotes,
proporciona uma redução no tempo de detecção e resolução das anomalias em um ambiente
conectado e distribuído. As saídas geradas por esta ferramenta agilizam o processo de
detecção dos incidentes em uma rede de computadores, com a disponibilização de
informações relevantes ao seu administrador. Também mantém um histórico dos ativos que
pode servir para identificar falhas ocorridas em algum equipamento. Além disso, com a
implantação da ferramenta é possível criar relatórios que justifiquem ampliações e melhorias
na rede, visando à disponibilidade do meio a todos os pesquisadores e laboratórios.
Os resultados obtidos com a aplicação da ferramenta no CRS/INPE demonstram que é
possível agilizar o processo de detecção de anomalias em um ambiente computacionalmente
conectado, através da sinergia e do cruzamento de informações relevantes sobre o
funcionamento da rede e da disponibilização destas aos administradores do ambiente.
5.1 Trabalhos Futuros
Para dar continuidade ao desenvolvimento e aprimoramento da ferramenta existem
algumas possibilidades para trabalhos futuros, tais como: a partir da base de dados,
implementada pelo registro de informações sobre os problemas identificados, aplicar um
VII CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 12 e 13 de agosto de 2011
19
estudo estatístico que identifique e classifique os problemas na rede; implantar novos scripts
que agreguem novas áreas da gerência à ferramenta; integrar a ferramenta ao portal do
CRS/INPE; aplicar conhecimentos em IHC para aperfeiçoamentos na interface da ferramenta;
criar um sistema de raciocínio baseado em casos para que a partir do momento em que um
problema reincidente ocorra na rede o sistema já apresente sua possível solução.
6. Referências
BAZZI, Cláudio; LAMB, Juliano; MICHEL, Neylor; TEIXEIRA, Marcos; SCALABRIN,
Leandro. Monitoramento de Redes WAN com MRTG, disponível em:
<http://professor.swai.com.br/scalabrin/artigos/monitoramentoderedewan1.pdf>. Acessado
em 27 de maio de 2010.
CORREA, Claudio. Detecção de Ataques em Redes de Computadores, disponível em:
<http://www.das.ufsc.br/gia/pb-p/rel-claudio-00/relatorio.html>. Acessado em 10 de maio
de 2010.
CORREIA, Marcelo F., Gerência de Redes, disponível em:
<http://www.ccet.unimontes.br/arquivos/dcc/gilmara/1144.pdf>. Acessado em 25 de maio
de 2010.
DUARTE, Otto M.B.. Gerenciamento de Redes, disponível em:
<http://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html#sec1a>. Acessado em 27 de maio de
2010.
KAMIENSKI, Carlos; SOUZA, Tatiane; FERNANDES, Stenio; SILVESTRE Guthemberg;
SADOK Djamel. Caracterizando Propriedades Essenciais do Tráfego de Redes
Através de Técnicas de Amostragem Estatística, disponível em:
<http://www.cin.ufpe.br/~cak/publications/sbrc2005_amostragem_estratificada_final.pdf>.
Acessado em 28 de maio de 2010. SBRC 2005.
KUROSE, James F.; ROSS, Keith W.. Redes de Computadores e a Internet Uma
Abordagem Top-Down, São Paulo, Edição 3, p. 571-588, 2006.
MANN, Cesar. Análise Constante, disponível em:
<http://www.ppgia.pucpr.br/~jamhour/Download/pub/RSS/MTC/referencias/TCC-
2009.pdf>. Acessado em 03 de junho de 2010.
MIRANDA, Rafael J.. Usando e instalando o Nessus no Linux, disponível em:
<http://vivaolinux.com.br/artigo/Usando-e-instalando-o-Nessus-no-Linux>. Acessado em
06 de junho de 2010.
NAKAMURA, Emilio T.; GEUS, Paulo L.. Segurança de Redes em Ambientes
Cooperativos, São Paulo, Edição 1, 2007.
NETO, Arlindo; UCHÔA, Joaquim. Ferramentas Livres Para Monitoração de Servidores,
disponível em: <http://www.ginux.ufla.br/files/artigo-ArlindoNeto,JoaquimUchoa.pdf>.
Acessado em 07 de junho de 2010.
SEGURANÇA DE REDES. Linux Magazine, São Paulo, Jun. 2010.