sistema de correlação de eventos e notificações
Contents
1. O switch da Cisco foi configurado com endere o IP de gest o 10 0 32 100 atrav s da Vlan 1 que a Vlan de gest o nativa do switch lt swtichl gt interface VLAN1 description gestao nativa switchl ij ackelicass 1070 32 L100 255 255 255 0 no ip directed broadcast O switch da Nortel foi configurado com endere o IP de gest o 10 1 33 100 encapsulado pela Vlan 1 que a gest o nativa do equipamento A configura o deste Switch n o em modo de comando mas sim em forma de menus por esse motivo n o foi apresentado neste documento a sua configura o 114 4 3 MODELO DO SCEN O Sistema de Correla o de Eventos e Notifica es SCEN constitu do por quatro m dulos e Correlador em Perl SEC e Daemon em PHP faz as querys NMSISdb e Daemon Net SNMP snmptrapd e Daemon em Perl que recebe as traps do Net SNMP Este tipo de configura o do sistema permite analisar tanto eventos recebidos do NMSIS via polling como eventos directamente da rede via Net SNMP O sistema SCEN est instalado na m quina Servidor Ubuntu 10 0 32 71 junto com o NMSIS O SCEN tem v rios daemons a correr em background que permitem fazer a comunica o entre as bases de dados do NMSIS e o SCEN Este tipo de comunica o feito por interm dio de querys s tabelas que tem informa o de estado dos elementos de rede e dos servi os de rede O SCEN atrav s do daemon script PHP verifica e extrai2. 135 Por fim se a Gateway estiver inacess vel por alguma raz o teremos um nico evento a reportar falha no servi o Y do servidor devido a Gateway isolada Todos os eventos recebidos no sistema via query ser o concentrados num s e nico evento de sa da do sistema Este o objectivo principal deste sistema de correla o poderemos ter in meros eventos de query seja de servi o ou de estado dos elementos mas teremos no final sa da do correlador uma nica causa resumida e ra z principal de todos os eventos imagine se v rios eventos de entrada devido falha de um Switch ou de um Router Gateway da rede 5 5 ESTUDO DA CORRELA O TEMPORAL DO SCEN Nos cap tulos anteriores foi abordado a quest o da rela o entre eventos com base no tempo No caso de correla o causal existe uma s rie de eventos identificados pelo tipo de elemento de rede e o seu estado no instante em que deu entrada no sistema SCEN Para que se fa a uso da correla o temporal para al m da identifica o do tipo de elemento de rede e o seu estado preciso informa o adicional acerca do instante temporal em que ocorreu Esta rela o para ser feita durante o hist rico dos eventos com uma amostragem temporal dos instantes de ocorr ncia Para alcan ar este fim foi elaborado um conjunto de procedimentos para serem integrados este tipo de correla es temporais entre os eventos no sistema SCEN No caso de eventos
3. comportamento que se desvia do normal e esperado 122 Este desvio pode ter in meras raz es falhas de hardware ou software erros humanos erros de desenho de rede ou uma 67 combina o de v rias falhas Eventos podem ser nativos ou compostos s o nativos se forem gerados internamente ou corresponderem a uma altera o do estado do objecto porque s o directamente observ veis Por outro lado podem ser compostos e n o s o directamente observ veis e n o podem ser detectados por hardware ou software porque o objecto onde os eventos ocorrem n o monitorizado ou o evento n o reportado Por exemplo uma falha de uma liga o de um router pode n o ser directamente reportada A ocorr ncia de um evento n o observ vel estabelecida atrav s de um padr o de ocorr ncia de outros eventos ao qual o evento n o observ vel est correlacionado Por exemplo a falha de uma liga o de um router pode ser inferida atrav s da falha at um servidor e um cliente ligado ao router Outros eventos no qual o evento n o observ vel est correlacionado podem eles pr prios n o serem observ veis tamb m 122 3 5 CORRELA O DE EVENTOS A correla o de eventos trabalha sobre o principio de estabelecer uma rela o entre eventos de rede determinado evento a correlaciona uma serie de eventos al a2 ak de forma que a gt fal a2 ak se al a2 ak entrarem numa rela o entre todos e c
4. Sas 10 0 32 72 24 Em EE Ubunto Servicos 10 1 33 1 24 Figura 17 Esquema da rede de Teste na sala F507 A rede constitu da pelos seguintes elementos Router Cisco C2621 Switch da Rede 1 10 0 32 100 Cisco Catalyst 2900 de 24 Portos Switch da Rede 2 10 1 33 100 Nortel Bay Stack de 24 Portos Servido Debian 10 0 32 72 NMSIS Servidor Ubuntu 10 0 32 71 NMSIS SCEN Servidor Ubuntu 10 1 33 1 Servi o http 113 Foram configuradas duas redes distintas de classe C 256 2 254 endere os para o efeito a rede 1 foi criada com o endere o 10 0 32 24 0 24 e a rede 2 com o endere o 10 1 33 0 24 O router tem duas interfaces do tipo Fast Ethernet F0 0 e FO 1 ao qual foi atribu do esses endere os de rede e respectivas m scaras O endere o IP criado em cada uma dessas interfaces ser o endere o de entrada e sa da Default Gateway de cada rede A rede 10 0 32 0 e o endere o de rede da default gateway 10 0 32 250 s o os mesmos da rede real que actualmente s o utilizados no departamento DEE Assim n o foi preciso alterar os endere os IP da m quina Debian NMSIS e da m quina Ubunto SCEN lt router gt interface Ethernet0 0 description Rede 1 10 0 32 0 ro adere ss OMS ng 255 255 9 no ip directed broadcast no cdp enable l interface Seriall 0 1 description Rede 2 10 1 33 0 ipaddress IO ISS 255 255 54 5550 no ip directed broadcast
5. Support for 2048 MAC addresses IEEE 802 1d Spanning Tree Protocol support 4 Mb shared memory architecture Cisco Group Management Protocol CGMP to limit the flooding of multicast traffic to predefined ports Port security to prevent unauthorized access to the network Broadcast storm control to prevent performance degradation from broadcast storms Embedded RMON four groups e Management 194 o Embedded World Wide Web interface for most management tasks o Cisco IOS command line interface CLI via the console port or Telnet o CiscoView device management application e Redundancy o Connection for optional Cisco 600W AC redundant power system RPS as a backup 195 Anexo N Caracteristicas t cnicas do router C2600 Release Notes for Cisco IOS Release 12 0 Software Feature Packs Cisco 2600 Series 196 Anexo O Guia gen rico da cisco de como configurar traps em linha de comando CLI Cisco IOS SNMP Traps Supported and How to Configure Them Document ID 13506 Hist rico e 2 de Novembro de 2010 Vers o 1 0 mailto 1920550Oisep ipp pt e 5 de Novembro de 2010 Vers o 1 0a mailto 1920550 isep ipp pt e 6 de Dezembro de 2010 Vers o 1 0b mailto 1920550 isep ipp pt Id MEEC TESE SCEN docx v1 0b Date 5 11 2010 198
6. o o Python e o ficheiro de configura o o snmptrapd conf O update das tabelas depende dos traphandler e os eventos s o colocados normalment no eventg 2 6 5 CONSIDERA ES FINAIS SOBRE A FERRAMENTA DE GEST O NMSIS Foi feita uma an lise mais exaustiva s tabelas da base de dados do NMSIS como se conjugam e relacionam Foram estudados os princ pios de funcionamento das ferramentas de estado que fazem o front end na monitoriza o de eventos Uma das primeiras quest es que surgiram na abordagem ao sistema NMSIS para poder ser integrado com um motor de correla o era saber se o sistema de correla o iria actuar como um front end desta solu o ou um seria um sistema de recolha de eventos provenientes do NMSIS Ou seja se este sistema comunicaria directamente com os agentes dos equipamentos de rede A conclus o foi obvia seria invi vel integrar o m dulo de correla o como um front end visto que repetiria as mesmas fun es de gest o SNMP desempenhadas pelo NMSIS O NMSIS em si j tem todas as funcionalidades para funcionar como front end e como back end assim do ponto de vista funcional ser muito mais coerente gerir todos os recursos da rede e respectivos eventos de uma forma mais global com o NMSIS a gerar todos os H eventos de rede para serem analisados entrada do novo sistema A un ca forma seria 61 receber eventos atrav s de notifica es traps directamente dos elementos de rede
7. o adicionada porque existe uma serie de rela es com outras tabelas 144 Tabelas que mant m uma rela o com a netbox e A tabela netboxinfo que o local onde se grava informa o adicional da netbox e A tabela device cont m informa o de todos os dispositivos f sicos da rede ao contr rio da netbox esta tabela tem como foco principal a box f sica dos dispositivos como por exemplo o serial number e A tabela module define os m dulos que s o partes da tabela netbox e da coluna category s o os portos e dispositivos com serial number e A tabela mem que descreve a mem ria e nvram da netbox a tabela room que define locais t cnicos tais como sala de servidores ou sala rede etc e A tabela location que define grupos de room tais como campus DEG DEE etc e A tabela org que define a organiza o e A tabela cat que define categorias da netbox tais como GW SW SRV OTHER e A tabela subcat que define subcategorias dentro da categoria e A tabela netboxcategory que pode estar em v rias subcategorias essa rela o definida aqui A tabela type que define o tipo de netbox e a tabela vendor que define os fabricantes Podemos constatar isso mesmo no esquema da figura 5 53 Tabelas relacionadas com netbox Figura 5 Rela es entre v rias tabelas e a netbox da NMSISdb II Tabelas de topologia dos routers conjugadas Existe uma serie de rela es entre v ria
8. o termina type SingleWith2Thresholds ptype RegExp pattern ALARME TRAP Host S Net S S estado INTERMITENTE desc alarme trap 1 2 host 3 5 estado instavel action write SEC NMSIS t Host 1 Net 2 3 MAJOR LIGACAO INSTAVEL window 40 thresh 2 desc2 alarme trap 1 2 Host 3 5 novamente estavel action2 write SEC NMSIS t Host 1 Net 2 3 NORMAL ESTAVEL window2 7200 thresh2 0 4 Regra A regra SingleWithThreshold usada para contar o n mero de eventos com match correspond ncia dentro de uma janela temporal Se o numero de match exceder o treshold a action 1 ac o executada Se o numero de eventos com matching fi exceder o treshold dentro da janela a janela slides ou seja o tempo de come o para a janela de correla o movido para a segunda ocorrencia de matching pattern Este processo repete se at ao tempo da janela expirar sem nenhum novo evento com matching Se 2 pattern geradas internamente CISCO Host xxx xxx xxx xxx x state INTERMITENTE forem detectadas durante um periodo de 40 min escreve num ficheiro de log ou pipe um alarme com o seguinte contexto com data e hora interna do SEC Host xxx xxx xxx xxx x state major unstable Se ap s o ultimo alerta de major unstable n o existir mais nenhum matching com evento interno CISCO Host xxx xxx xxx xxx x state INTERMITENTE durante um periodo de 2 horas escreve num ficheiro de log ou pipe um alarme com o seguinte contexto com data
9. servicemon conf em linguagem de programa o Python Esta ferramenta monitoriza as netboxes usa os handlers implementados na rede tipo de servi o para lidar com o n mero crescente de servi os na rede Permite v rios tipos de servi o actualmente suporta ssh http imap pop3 smtp samba rpc dns and dc Tem depend ncia de ter as tabelas service e serviceproperty 60 prenchidas com dados Isto prenchido pelo Edit Database quando o admnistrador NMSIS regista os servi os que pretende monitorizar Faz update da tabela eventg com eventos servicemon Esta aplica o executa uma rotina que verifica cada servi o a cada sessenta segundos Tem v rios timeouts para os diferentes tipos de servi o e variam entre cinco e dez segundos Se o servi o n o responde tr s vezes numa linha o servicemon declara o servi o em baixo HI Ferramenta snmptrapd The SNMP trap daemon A ferramenta snmptrapd tal como as anteriores tamb m um daemon s que n o faz polling Fica escuta no porto 162 do protocolo UDP espera de receber notifica es traps Quando snmptrapd recebe uma trap p e toda a informa o num formato chamado de notifica o objecto trap object e envia o objecto para todos os traphandler que est o configurados na opc o traphandlers do snmptrapd conf Fica depois ao crit rio do traphandler decidir se quer processar a trap ou quer discart la A linguagem de programa
10. mais descritivo link up trap link down trap Keepalive failed Keepalive failed e Keepalive OK Query de servi o e Query Servi o IP Servi o Y Estado y evento 0 e Query Servi o IP Servi o Y Estado n evento 1 Query Elemento Rede Servidor SRV e Query 0 IP SalalD a Estado y CONECTADO Elemento Porto o evento 2 e Query 0 IP A SalalD a Estado n CONECTADO Elemento Porto o evento 3 Query Elemento Rede Switch SW e Query 0 IP SalalD a Estado y CONECTADO Elemento p Porto q evento 4 e Query 0 IP SalalD a Estado n CONECTADO Elemento p Porto q evento 5 Query Elemento Rede Gateway GW e Query 0 IP SalalD a Estado y evento 6 e Query 0 IP SalalD a Estado n evento 7 131 Trap Elemento Rede Switch e Trap IP a Interface n Estado link up trap evento 8 e Trap IP a Interface n Estado link down trap evento 9 Trap Elemento Rede Gateway e Trap IP a Interface n Estado Keepalive OK evento 10 e Trap IP a Interface n Estado Keepalive failed evento 11 Cada um destes eventos tem uma identifica o 0 11 cada ocorr ncia de determinado evento tem uma causalidade Considerando o esquema da figura 17 Esquema da rede de Teste na sala F507 dependendo das falhas f sicas aplicadas a cada um dos segmentos de rede podemos assumir determinados factos e pressupostos Nesse sentido foi constru do um mapa de causalidade na figura 22 Este mapa em
11. ANEXO K ALGORITMO DE TESTE COM 11 REGRAS E JUN O DE CORRELA O TEMPORAL E CAUSAL sunnin i n iiA AAAS EAA 188 ANEXO L CONFIGURA O DO SWITCH NORTEL MANUAL DO UTILIZADOR USING THE BAYSTACK 450 10 100 1000 SERIES SWITCH COM O CAP TULOS DO MANUAL 1 12 1 17 3 15 3 17 3 59 3 61 OU P GINAS DO MANUAL 44 49 175 177 219 221 eneen 191 ANEXO M CARACTERISTICAS T CNICAS DO SWITCH CATALYST C2900 SERIEM 194 ANEXO N CARACTERISTICAS T CNICAS DO ROUTER C2600 RELEASE NOTES FOR CISCO IOS RELEASE 12 0 SOFTWARE FEATURE PACKS CISCO 2600 SERIES 196 ANEXO O GUIA GEN RICO DA CISCO DE COMO CONFIGURAR TRAPS EM LINHA DE COMANDO CLI CISCO IOS SNMP TRAPS SUPPORTED AND HOW TO CONFIGURE THEM DOCUMENT ID 13506 scccssssrcscssrcsscsersssserssscscssresecsesscesensssesessnssassesscesensosscsenesessesscesesssssscssnesesseseees 197 HISTORICO asas iso ECN E e 198 XV ndice de Figuras Figural Perspectiva hist rica das tecnologias em redes de gest o ID33l eeeeeeeseeseeereeeeeee 38 Figura2 Sistema de Gest o de Rede Arquitectura Geral 42 Figura3 Opera es entre gestor e agentes eee era cenaneraneran a 44 Figura4 Arquitectura do NMSIS ou eee eesesseeeseeeseecssecesecssecssecsseesseeeseesseeeseeseaeseseeeaeeeaaeenaes 50 Figura5 Rela es entre v rias tabelas e a netbox da NMSlSdb ii 54 Figura6 Tabelas de topologia conjugadas dos Router e
12. Actuando directamente na 90 informa o em vez dos pr prios administradores e desta forma libertando os para tarefas mais importantes 157 Caracter sticas e Funcionalidades Especificas Suporta Correla o Ferramenta Open Source M todo de pesquisa Pattern Matching com express es regulares e excep es com a segunda express o regular Utiliza um sistema de regras Faz filtragem de eventos Faz supress o de eventos Faz compress o de eventos Faz contagem de eventos Usa contextos colec o de mensagens em vez de linha nica Correla o causal Correla o temporal Executa ac es Modelo de execu o por rule based reasoning Inspec o de diagn stico e rastreio de problemas Envia notifica es de mail e notifica es para a consola A entrada s o os ficheiros de log dos sistemas Unix syslog Capacidade de alerta em tempo real Flex vel e de f cil utiliza o Faz o shifting de ficheiro de logs Regras din micas podem mudar as ac es associadas as mensagem recebidas M ltiplas reac es numa simples linha com correspond ncia Boa Documenta o Boa portabilidade Requisitos de Sistema e licenciamento O LogSurfer corre em todas as plataformas 159 BSD FreeBSD NetBSD OpenBSD Apple Mac OS X POSIX Linux BSD UNIX like OSes HP UX IBM AIX Linux SGI IRIX Solaris O licensiamento do c digo fonte do LogSurfer de acordo com os termos do General Public License GNU publicado pe
13. In Proc LISA 2001 December 2001 T Oetiker MRTG Multi Router Traffic Grapher In Proc 12th Conference on Large Installation System Administration LISA XII Boston December 1998 J Sch onw alder Evolution of Open Source SNMP Tools University of Osnabr uck Germany In Proc LISA 2002 April 29 A Chourmouziadis and G Pavlou Web Services Monitoring An Initial Case Study on the Tools In Network Operations and Management Symposium 2008 NOMS 2008 IEEE7 11 April 2008 Page s 827 830 J Clark S DeRose XML Path Language v 1 0 W3C recommendation November 1999 A Berglund S Boag et al XML Path Language v 2 0 W3C recommendation January 2007 A Chourmouziadis et al Efficient Information Retrieval in Network Management Using Web Services DSOM 2006 Dublin Ireland H Asgari et ak Scalable monitoring support for resource management and service assurance IEEE Network Vol 18 Iss 6 2004 pp 6 18 CADENUS http wwwcadenus fokus fraunhofer de ENTHRONE http www enthrone org 2nd phase 1 9 2006 A Pras T Drevers R van de Meent D Quartel Comparing the Performance of SNMP and Web Services Based Management Network and Service Management IEEE Transactions on Volume 1 Issue 2 Dec 2004 Page s 72 82 162 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 J Sch onw
14. Keepalive failed 2010 07 26 20 44 41 0 0 0 0 via UDP OsOic3Z2 250126563 TRAP SNMP ah community public SNMPv2 SMI enterprises 9 1 209 Link Down Trap 0 Uptime 1 day GAJE IE TA AE DEE Eege ee INTEGER 2 sl bh MirBr int bes cr A SIERING FastEthernet0 1 IF MIB ifType 2 INTEGER ethernetCsmacd 6 SNMPv2 SMigwenterer ses Goes e120 He RING best Carries ZOMO OP 2 66 2 0 cA Sit OleOle OF OL GVA ULE OR ORSZe TEEN KE community public SNMPv2 SMI enterprises 9 1 209 Link Up Trap 0 Uptime 1 day 6 29 23 78 IF MIB ifIndex 2 INTEGER 2 IF MIB ifDescr 2 STRING FastEthernet0 1 IF MIB ifType 2 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 2 STRING Keepalive OK d d d s d d d s d dt d d STRING s w s STRING s Keepalive failed d d d s dt d d s d dt d d STRING s w s STRING s Lost Carrier desc ALARME TRAP 1 2 Host 3 Net 4 5 estado Keepalive failed desc ALARME TRAP 1 2 Host 3 Net 4 5 estado Lost Carrier pattern2 s 3 STRING s 5 s STRING s Keepalive OK 177 Anexo F Script PHP de query ao NMSIS Neste anexo est os quatro tipos de querys ao NMSIS e gera 4quatro tipos de eventos de sa da lt php while true ScstrNF host 10 0 32 72 user NMSIS dbname manage password t44otypecS2y echo String de liga ao gt SestrNE if SthisNF g
15. Ou seja a informa o que circula nessas vias de comunica o s o notifica es geradas instant neamente pelos activos de rede 5 2 TIPOS DE EVENTOS DE POOLING VIA QUERY AO NMSISDB Os eventos do tipo query s o obtidos atrav s do cruzamento de par metros de in meras tabelas do NMSISdb Base Dados do NMSIS atrav s de um script em linguagem PHP que faz quatro tipos de query s v rias tabelas da base de dados Dos quatro tipos de eventos de sa da do script da base de dados NMSIS Um dos eventos relativo ao tipo de Servi o Query Servi o O segundo relativo informa o dos elementos de rede do tipo Servidor Query SRV O terceiro relativo informa o dos elementos de rede do tipo Switch Query SW Por fim o quarto relativo informa o dos elementos de rede do tipo Gateway Query GW A conjuga o das v rias tabelas merece por isso uma aten o especial j que a base de sucesso deste modelo de eventos Podemos come ar a apresentar os quatro tipos de eventos 124 via query base de dados NMSIS e que s o posteriormente entregues ao motor de correla o 5 2 1 QUERY SERVI O A query de eventos do tipo Servi o Query Servi o feita atrav s de duas tabelas a tabela netbox e service Da tabela netbox apenas se pretende obter o IP da m quina onde est o servi o e concatenar essa informa o com o resto da informa o contida na tabela serv
16. Permite que os eventos adicionados aos contextos sejam vis veis no exterior para processamento externo 104 e event Gera um novo evento de entrada que se pode fazer correspond ncia be matched com outras regras e reset Cancela a opera o de correla o de eventos Ao combinar v rias regras com listas de ac es apropriadas e com contextos podemos definir esquemas de correla o maiores e mais complexos 3 21 1 EXEMPLO DE UM PROCESSO DE CRIA O DE UMA REGRA Vamos ver um processo de cria o de uma regra com apenas um pequeno e muito simples exemplo de configura o utilizando o SEC O SEC usa um arquivo de configura o e utiliza sua entrada os dados de um ficheiro de texto ou de uma entrada normalizada como uma file stream mais conhecido como pipe ou ficheiro do tipo fifo Ir ser feito uma demonstra o de algumas etapas a seguir sempre que se quer configurar uma regra Para isso foi criado um exemplo t pico de uma regra Come a se por criar um ficheiro de texto por exemplo SCEN 01 conf e copia se para l o seguinte texto Exemplo de um ficheiro de configura o do SEC SCEN 01 conf Exemplo SCEN 01 conf Reconhecer um padr o e fazer log type Single 1 ptype RegExp 2 pattern fools NS 3 desc S0 4 action logonly x5 Este exemplo ilustra 0 seguinte 1 Single o tipo de regra O SEC inclui diversos tipos de regras que s o teis na correl
17. Platform Independent Event Correlation Tool for Network Management Proceedings of the 2002 IEEE IFIP Network Operations and Management Symposium pp Risto Vaarandi SEC a Lightweight Event Correlation Tool Proceedings of the 2002 IEEE Workshop on IP Operations and Management pp 111 115 2002 164 75 76 77 78 79 80 81 89 90 91 G Jakobson M Weissman L Brenner C Lafond C Matheus GRACE Building Next Generation Event Correlation Services Proceedings of the 7th Network perations and Management Symposium pp 701 714 April 2000 Stuart Staniford James A Hoagland Joseph A McAlerney Practical utomated Detection of Stealthy Portscans in press to appear in the Journal of Computer Security Silicon Defense 513 2nd Street Eureka CA 95501 USA 1999 S Staniford Chen et al GrIDS A Graph Based Intrusion Detection System for Large Networks Proceedings of the 19th National Information Systems Security Conference pp 361 370 October 1996 Martin Roesch Snort Lightweight Intrusion Detection for Networks Proceedings of USENIX 13th System Administration Conference pp 229 238 November 1999 Stephen E Hansen and E Todd Atkins Automated System Monitoring and Notification With Swatch Proceedings of USENIX 7th System Administration Conference pp 145 152 November 1993 Wolfgang Ley and Uwe Ellerman logsurfer 1 and logsurfer conf 4 manu
18. Poder o ser compostos se n o s o directamente observ veis Algumas das caracter sticas mais importantes da correla o de eventos e falhas s o a detec o e isolamento de falhas que uma das fun es mais importantes para descoberta da causa mais prov vel que est na raiz do problema A filtragem e supress o de eventos outra caracter stica muito importante que o sistema deve possuir deve reportar apenas alarmes prim rios tais como o estado de switchs ou routers ri s1 enquanto suprime os eventos secund rios e pot ncialmente numerosos de falhas do tipo falha na conex o etc Outra caracter stica n o menos importante o ajuste de performance que quando se consegue isolar eficientemente a raiz do problema que provoca as falhas Posteriormente foi discutido em pormenor o assunto da correla o causal este tipo de rela o pode se considerar como a mais simples que pode existir entre os eventos A correla o causal e filtragem a resposta para chegar raiz do problema Determinado 108 669 99 a evento a causa do evento ou seja a a Posto este tipo de rela o pode se desenhar gr ficos em forma de um esqueleto ou rvore de causa efeito Estes gr ficos ilustram de uma forma directa e n o c clica a representa o de eventos atrav s dos n s e a representa o das rela es de causalidade entre os n s atrav s das setas tamb m conceptualmente mais f cil def
19. atravessa a liga o onde o sensor est localizado 82 Pode se usar esta informa o para cortar falsos positivos para ajustar os sensores e para encontrar anomalias no tr fego Existe um formato espec fico para populares estes campos e uma das caracter sticas a rela o com outros sensores Se por exemplo um sensor antes e depois do proxy Se se vir um alerta no sistema IDS depois do proxy e queremos o endere o da fonte real preciso referenciar o sensor antes do proxy 3 14 HP OPENVIEW ECS O HP OpenView Event Correlation Services h e ECS uma tecnologia avan ada de correla o d i HP OPENVIEW motores de correla o actuais O ECS totalmente integrado com o de eventos que fornece um dos mais inteligentes n gestor de rede Network Node Manager NNM para correlacionar eventos de rede e opera es HP OpenView E tamb m para correlacionar eventos que v m de diferentes camadas tais como rede sistemas aplica es bases de dados e Internet Este produto d aos seus clientes uma forma de resolver muitos dos seus problemas Quando um problema ocorre o n gestor de rede e de opera o filtrar os eventos e ir correlacionar esses eventos e reportar aos administradores a real causa do problema 130 O modelo ECS um produto bastante poderoso com capacidades de criar regras espec ficas para correla o de eventos que podem ser usados numa rede com n gestor de rede e de opera o O tip
20. como uma tor o no cabo ou outro tipo de anomalia que pode causar distor es que induzem a uma taxa elevada de erros Para que a rede em caso de falha fique operacional o mais r pido poss vel torna se imperativo seguir os seguintes passos no processo de gest o de falhas Detectar a falha Isolar a falha Restaurar o servi o Identificar as causas do problema Resolver o problema b A gest o de desempenho de uma rede a monitoriza o das actividades de rede e o controlo dos recursos atrav s de ajustes e altera es de configura o Algumas das quest es relativas gest o de desempenho s o e O n vel de capacidade de utiliza o e A quantidade de tr fego se tr fego excessivo e Seo throughput foi reduzido para n veis aceit veis 47 e Seo tempo de resposta est aumentar c A gest o de configura o est relacionada com as tarefas de manuten o adi o e actualiza o dos componentes e do estado dos componentes durante a opera o de rede A gest o de configura o engloba tamb m a topologia de rede o mapeamento da rede e inclui ainda o planeamento e o projecto de rede Ao n vel dos servi os estes devem ter dispon veis os seguintes par metros tempo de resposta taxa de rejei o e disponibilidade d A gest o de contabiliza o permite que o administrador determine se um utilizador ou grupo de utilizadores est o abusar dos seus privil gios de acesso se os
21. e tornou se uma norma de internet em 1990 Internet standard 2 A primeira vers o da linguagem de defini o de dados Structure of Management Information version I SMIv1 foi tamb m publicada em 1990 3 e uma vers o mais formal em 1991 4 5 Tanto SMIv1 como SNMPvl foram rapidamente 40 adoptadas pelos fabricantes de dispositivos de redes e de software de gest o de redes Actualmente est fortemente disseminado e suportado por quase todos os dispositivos de rede existentes no mercado 2 3 1 MODELO DE GESTAO SNMP O SNMP um protocolo de gest o definido ao n vel de aplica o utilizado para obter informa es de v rios servidores SNMP na forma de agentes espalhados pela rede com uso da pilha protocolar TCP IP Para enviar e receber mensagens atrav s da rede os dados s o obtidos atrav s de requisi es poll de um gestor de rede para um ou mais agentes atrav s dos servi os do protocolo de transporte User Datagram Protocol UDP O SNMP permite o acompanhamento simples e f cil do estado da rede em tempo real podendo ser utilizado para gerir diferentes tipos de sistemas 112 113 115 116 O SNMP o nome do protocolo no qual s o trocadas as informa es de gest o entre a MIB e a aplica o de gest o como tamb m o nome do modelo de gest o O modelo de gest o SNMP dividido em v rias entidades e O Gestor Plataforma de Gest o de Redes Aplica o e O Agente Dispositivo
22. o nome para a aproxima o A1 A2 E1 1 0 E22 0 1 FE3 0 1 Figura 13 Matriz de correla o de um sistema code base reasoning A matriz de correla o consiste em eventos e ac es A exist ncia do valor 1 numa coluna demonstra a necessidade do evento correspondente ocorrer antes do curso da ac o representado pela coluna Por exemplo a ac o Al s pode ocorrer ap s o evento El ter ocorrido ou seja existe o valor de 1 na c lula Al El A ac o A2 s pode ocorrer ap s o evento E2 e E3 ter ocorrido ou seja existe o valor de 1 nas c lulas A2 E2 e A3 E3 A ocorr ncia de E2 e E3 independentes n o faz disparar a ac o correspondente 75 apenas a ocorr ncia em conjunto Este tipo de matrizes e code books fornecem ganhos significativos 163 3 9 5 STATE TRANSTION BASE Os sistemas com aproxima o do tipo State Transtion base fazem uso de tr s componentes token state e arc 163 Os arcos ligam diferentes estados e agem como se fossem um caminho para o token permitindo que se movam entre os estados Quando um token entra em determinado estado uma ac o executada Essa ac o pode ser para notificar o operador de um poss vel problema O movimento do token accionado pela chegada de eventos Se a estrutura for especializada num tipo espec fico de eventos e ac es necess rio construir gr ficos de transi o separados para cada tipo de
23. o por rule based reasoning Inspec o de diagn stico e rastreio de problemas Envia notifica es de mail e notifica es para a consola A entrada s o 92 os ficheiros de log dos sistemas Unix syslog ou qualquer outro tipo Capacidade de alerta em tempo real Boa Documenta o Boa portabilidade Requisitos de Sistema e licenciamento se Os requisitos para correr o SEC possuir apenas algumas depend ncias instaladas no sistema operativo Unix tais como o m dulo Perl No caso das ltimas vers es do SO Ubuntu este j vem inclu do no pacote de instala o O licensiamento e distribui o do c digo fonte do SEC segundo os termos do GNU da General Public License GNU 53 Observa es Gerais O SEC uma ferramenta de correla o de eventos desenvolvida com o prop sito de ser independente da plataforma em que opera O Perl corre praticamente em todos os sistemas e tornou se uma norma integrante de muitos sistemas operativos 91 As aplica es escritas em Perl trabalham quase t o r pido como os programas escritos em C O SEC n o precisa de muito espa o em disco o seu tamanho ronda os 160KB e a sua configura o gravada em ficheiros de texto que apenas necessitam de mais uns Kilobytes Como todo escrito em Perl pode ser usado instant neamente logo ap s a sua distribui o ser desempacotada n o precisa de prepara es adicionais tais como compila o e ligar s fontes linking the sou
24. s o tempo da janela Se a pattern do evento A recebida seguido de outra pattern evento B dentro de 40 segundos com o mesmo valor da vari vel 1 que o valor da primeira vari vel da primeira pattern escrito sa da num ficheiro de log ou pipe com data e hora interna do SCEN Falha no servi o 3 devido quebra na liga o entre Servidor 2 e Switch 5 Porto 6 tamb m criado um novo evento interno elemento 1 ip 2 switch 5 porto 6 e passado as outras regras 141 Se a 2 pattern n o for recebida dentro de 40 segundos escrito num ficheiro de log ou pipe Falha no servi o 3 do servidor 2 e criado um novo evento interno servi o 3 servidor 2 que passado s outras regras Para o mesmo objectivo podemos utilizar um outro tipo de regra Pair na figura 25 podemos visualizar essa regra Este esquema tal como o outro faz um conjunto de ac es propostas na alinea a e b relativamente figura 23 Os eventos de entrada est o com setas a tracejado Os eventos de sa da que representam as ac es do SCEN est o com setas a sombreado e com setas comuns A elipse representa opera o de correla o de eventos As estrelas comuns representam o pipe de sa da externa dos eventos e a tracejado a sa da de eventos internos no sistema quot N o gt Window 40 segundos amp queen Ac o amp Evento 1 dese Figura 25 Algoritmo com uma regra Pair p
25. writable first if is_writable filename if Shandle fopen filename a echo Cannot open file filename n exit if fwrite Shandle somecontent FALSE echo Cannot write to file filename n exit echo in Success wrote S somecontent to file filename An fclose handle else echo The file filename is not writable usleep 30000000 30000000 us 30 s P 181 Anexo G Script Perl para escrita no pipe do SEC Neste anexo um script em Perl que l os dados vindos do daemon Net SNMP snmptrapd que ve coloca cada trap numa nica linha para ser feito o matching pelo correlador Examplo S3 4 pl Script para ler e escrever dados num pipe fifo use IO Handle S 1 Sfilenamel trap txt Sfilename2 sec txt open LOGIN lt Sfilenamel or die login open LOGOUT gt Sfilename2 or die logout SI LOGOUT gt autoflush 1 print orare of SIA modal readingRS filename nu Salarm undef while 1 while lt LOGIN gt chomp my line _ se leet EE prine TOGOU Veils Sakeman SLE Sakene Salarm line else Salarm line Drung WO2 Bearna ne 182 Anexo H P gina WEB de leitura dos eventos de sa da do SCEN Neste anexo mostra uma p gina HTML com um script em PHP que l os dados vindos da pipe ou de um ficheiro de texto de sa da do SCEN e coloca linha a linha as men
26. 158 REFER NCIAS DOCUMENT AIS ccscssssssssssessesssssssssscsscssnssscsssssuscsnssscsacesncesessscsusssnssscsescsucesscsscsnceaneeseeees 161 NEXO A ALGORITMO ESTUDO COM 2 REGRAS DE CORRELA O CAUSAL DE EVENTOS ECOLHIDOS DO NEI KE 171 A R ANEXO B ALGORITMO FINAL COM 3 REGRAS DE CORRELA O CAUSAL DE EVENTOS DISTRIKT KE 173 A NEXO C ALGORITMO DE 4 REGRAS DE CORRELA O TEMPORAL DE EVENTOS RECOLHIDOS DO SNMPTRADPD cccsssssssssssssessssessssssesscssssessessssessessssessessssessessssessessesessassesessesensesees 174 xiv ANEXO D EXEMPLO DE PATTERN DE MATCHING EM V RIOS EVENTOS VIA QUERY AO NMSIS RECORRENDO AS EXPRESS ES REGULARES ssssssssssscssssssscssscssscssecssccasscanecsnecssecsseeaes 176 ANEXO E EXEMPLOS DE PATTERN DE MATCHING DE V RIAS TRAPS RECORRENDO AS EXPRESS ES REGULARES geegent enable 177 ANEXO F SCRIPT PHP DE QUERY AO NMSIS scssssssssssssssessessesessersesessessesessessesessessesessessesessens 178 ANEXO G SCRIPT PERL PARA ESCRITA NO PIPE DO SEC cscssssssssssssessessesessersesesserseseesees 182 ANEXO H PAGINA WEB DE LEITURA DOS EVENTOS DE SA DA DO SCEN eneen 183 ANEXO I ALGORITMO DE TESTE COM 6 REGRAS E JUN O DE CORRELA O TEMPORAL E CAUSAL cosa esne cosa esne seta cen cata as ne ata ae a acessa ataca N 184 ANEXO J ALGORITMO DE TESTE COM 7 REGRAS E JUN O DE CORRELA O TEMPORAL E CAUSAL seca EON seta cent sata as REREN S ERER A iS 186
27. 45 Gera o de programas que modelizam o conhecimento ou alguma especialidade humana 46 Plataforma de desenvolvimento e produ o para sistema de regras e ou objectos 47 Facil de integrar com outras linguagens C Java FORTRAN and ADA 48 Facil de extender pelo utilizador atrav s de uso de v rios procolos bem definidos 49 Verifica o e valida o de inconsistencias e erros 50 Sensor Agente M ltiplos daemons em m ltiplas interfaces de rede 51 Consola de gest o e Sensor Agents para Linux BSD NIX Windows 52 Encripat o SSL entre o sistema de gest o e os sensores agentes 53 Desenvolvimento Interactivo com editores e janelas MacOS Windows X Window 54 Orientado para interface gr fica em java orientado ao utilizador 55 Mecanismos de visualiza o e de an lise dos dados 56 Sa da em Web HTML 57 Boa portabilidade entre sistemas 58 Boa Documenta o Como se pode constatar o n mero de caracter sticas neste tipo de ferramentas bastante elevado muitas destas caracter sticas s o importantes para o trabalho que se pretende fazer outras s o menos importantes umas s o mais espec ficas e outras mais gen ricas Destas nove ferramentas que permitem a correla o de eventos Snort SnortSnarf SnortCenter HP OPenView ECS CLIPS IMPACT Swatch LogSurfer e SEC ser feito o levantamento e escolha das suas caracter sticas mais importantes e que prete
28. 8 gt 2 3 6 Tamb m se pode concluir que 8 gt 1 2 3 6 j que o evento 8 causa o evento 1 transitivamente atrav s de 2 Por outro lado n o queremos concluir que o evento 8 correlaciona o conjunto 2 3 6 7 j que o evento 7 n o poder ser causado pelo evento 8 Outra coisa que n o se pretende definir que 8 correlaciona o conjunto 3 6 embora 8 seja a causa de ambos os 70 eventos 3 e 6 ser incorrecto concluir a presen a de 8 como a causa Uma vez que de facto o evento 8 ocorreu em seguida ter amos tamb m de ter visto o evento 2 que no entanto n o relatado no conjunto Certo tipo de eventos podem ser n o observ veis como tal n o exige necessariamente a presen a expl cita de todas as consequ ncias provocadas por um evento no conjunto de eventos relatados Por exemplo 8 gt 1 3 6 uma vez que mesmo que o evento 2 n o esteja presente no conjunto de eventos relatados podemos inferir a sua ocorr ncia atrav s da notifica o do evento 1 Definir uma rela o de correla o entre eventos nem sempre simples por essa raz o ser demonstrado mais a frente os exemplos reais propostos para mat ria de estudo deste trabalho Figura 11 Exemplo de uma rvore ou gr fico de causalidade 122 3 7 CORRELA O TEMPORAL E FILTRAGEM Podemos estabelecer correla es mais ricas entre ev
29. Compact Disk Cisco Discovery Protocol Computer Emergency Response Team Common Gateway Interface Common Information Model xxiii CLI CMIP CMU COPS PR CORBA CPU DBMS DBSM DEG DEG DHCP DiffServ DMI DNS DTMF EGP EIGRP FAT FCAPS FIFO FMP Command Line Interface Common Management Information Protocol Carnegie Mellon University Common Open Policy Service for Provisioning Common Object Request Broquer Arquitecture Communications Processor Unit DataBase Management System DataBase Synchronization Module Departamento de Engenharia Electrot cnica Departamento de Engenharia Geot cnica Dynamic Host Configuration Protocol Differentiated Services Desktop Management Interface Domain Name System Desktop Management Task Force Exterior Gateway Protocol Enhanced Interior Gateway Routing Protocol File Allocation Table Fault Configuration Accounting Performance Security First In First Out Fault Management Platform xxiv FOG FSF FTP GESM GNU GRED GUID HFS HFSC HP HPFS HTB HTC HTTP HTTPD HTTPS IBM ICMP IDE IDM Free Open Source Ghost Free Software Foundation File Transfer Protocol Firewall Group Equipment Synchronization Module General Public License Generic Random Early Drop Globaly Unicode Identifier Hierarchical FileSystem Hierarchical Fair Service Curve Hewlett
30. DO NMSIS COMO SE CONJUGAM Importa agora conhecer a base de dados manage conhecida por NMSISd que faz a gest o de eventos de todo o sistema Esta base de dados bastante extensa A sua tabela principal a netbox para quem concebeu a NMSISdb esta tabela o cora o do sistema 144 Tabela 1 Tabela netbox netboxid primary key ip IP address of the netbox roomid room the box is placed in deviceid the device this is foreign key to device typeid sysobjectid of the box sysname name of the box based on fully qualified dns name with fall back to IP address catid category of the box GW SW SRV etc subcat DEPRECATED check before delete orgid organization that manages the box ro snmp read community TW snmp write community prefixed prefix the netbox is on up whether the box is up and running as seen from pping snmp_version version of the snmp agent 1 or 2 snmp_agent DEPRECATED check before delete Was used by a server collection module once upsince the timestamp when the box was last booted Data is taken from mibII system uptime uptodate whether gDD has done OID classification discovered timestamp when the box was first discovered by NMSIS 52 I Tabela netbox Conjugada com outras tabelas A tabela netbox a mais central de todo o sistema cont m informa o de todos os dispositivos IP que o NMSIS gere Quando se adiciona informa o na tabela existe rela es entre a informa
31. Elemento de Rede Software e O Protocolo SNMP e A Informa o de Gest o MIB Todos os elementos de rede precisam de operar convenientemente para que a rede ofere a OS servi os para os quais foi projectada Estes elementos devem possuir um software especial o agente para permitir a sua gest o remota de alarmes O agente permite a monitoriza o e o controle de um elemento de rede por uma ou mais plataformas de gest o e responde aos seus pedidos O gestor comunica directamente com os agentes dos dispositivos atrav s do protocolo de gest o 2 3 2 TIPOS DE COMUNICA O ENTRE GESTOR E AGENTE comunica o entre o gestor e os agentes dos dispositivos pode ser de duas formas 41 e Polling pedido requisi o um processo em que o gestor analisa continuamente os seus agentes para obter informa o poll O gestor toma a iniciativa da comunica o e requisita situa o do estado actual ao agente status e Traping notifica o Processo no qual o agente toma a iniciativa de enviar ao gestor a situa o do estado actual de determinados eventos anormais que surgem no momento na forma de uma notifica o trap Agente A Agente A Servidor Ger ncia Agente A So E impressora Protocolo Agente A Protocolo Agente A pai u Agente A a a Esta o de trabalho Figura2 Sistema de Gest o de Rede Arquitectura Geral O protocolo
32. Estado y Thu Sep 16 17 28 37 2010 Falha no servi o http do servidor 10 1 33 1 Notifica o WEB Notifica o email O Figura 30 Simula o da resposta do sistema ao Teste 1 5 10 3 TESTE 2 Se f r cortado o segmento de rede tro o 1 entre a m quina 10 1 33 1 e o porto 1 do Switch 10 1 33 100 O sistema analisa os quatro tipos de eventos via query e responde com um novo evento de sa da que pode ser visualizado na p gina WEB ou por notifica o de mail para o operador a informar que o servi o falhou devido a corte na liga o entre a m quina que tem o servi o e o respectivo porto do switch onde est ligado 150 Query Servi o IP 10 1 31 1 TipoServi o http Estado n Query SRV IP 10 1 33 1 SalalD F507 Estado n CONECTADO Elemento 10 1 33 100 Porto BayStack 450 24T 1 Query SW IP 10 1 33 100 SalalD F507 Estado y CONECTADO Elemento 10 0 32 250 Porto FastEthernet0 1 Query GW IP 10 0 32 250 SalalD F507 Estado y Thu Sep 16 17 32 02 2010 Falha no servi o http devido a quebra na liga ao entre Servidor 10 1 33 1 e Switch 10 1 33 100 Porto BayStack 450 24T 1 Notifica o WEB amp Notifica o email Q Figura 31 Simula o da resposta do sistema ao Teste 2 5 10 4 TESTE 3 Se f r cortado o segmento de rede tro o 2 entre o switch 10 1 33 100 e o porto FO 1 da gateway 10 0 32 250 O sistema analisa os quatro tipos de eventos via query e
33. IP 10 1 33 100 SalalD F507 Estado n CONECTADO Elemento 10 0 32 250 Porto FastEthernet0 1 Query GW IP 10 0 32 250 SalalD F507 Estado n Thu Sep 16 17 44 33 2010 Falha no servi o http do Servidor 10 0 33 1 devido ao Gateway 10 0 32 250 isolado da rede Notifica o WEB N3 Notifica o email Figura 33 Simula o da resposta do sistema ao Teste 4 5 11 PERFORMANCE DA INFRA ESTRUTURA Um dos estudos de grande import ncia que se pode submeter a um novo sistema s o os que fazem an lise da performance do sistema ou seja a resposta do sistema aos v rios tipos de entradas V rios aspectos podem influenciar a performance do sistema SCEN Y Tipo de plataforma de hardware Y Tamanho do conjunto de regras Y Complexidade das express es regulares em Perl 152 v Tipo de ac es do SEC v A Velocidade dos dados na entrada do sistema SCEN v Carga de processamento no CPU Y Tipo de sistema de armazenamento Backend base de dados ou equivalente v Congestionamento da Rede Todos estes aspectos limitam a capacidade de resposta do sistema SCEN Podia ter sido feito o estudo ao throughput do sistema SCEN atrav s de medidas de percentagem detec o das falhas veracidade das causas das falhas inferidas capacidade de compress o e de supress o das falhas Como este trabalho feito em ambiente de teste e como apenas se pretende ver o sucesso dos obectivos atingidos ou seja se o sistema capa
34. Management Standards Addison Wesley 1993 116 Stallings William SNMP SNMPv2 and RMON 1 and 2 1999 117 Claudionor N Coelho Jr Ger nciamento de Redes de Telecomunica es e de Computadores Departamento de Ci ncia da Computa o UFMG 1999 118 http www simpleweb org 119 Cisco Simple Network Management Protocol Internet Technologies Handbook http www cisco com en US docs internetworking technology handbook SNMP htm 120 Beethovem Zanella Dias Nilton Alves Jr Protocolo de Gerenciamento SNMP 2002 121 Jeff Parker FCAPS TMN amp ITIL Three Key Ingredients to Effective IT Managment OpenWater Solutions LLC May 6 2006 122 A Conceptual Framework for Network Management Event Correlation and Filtering Systems Masum Hasan Binay Sugla Ramesh Viswanathan Bell Laboratories Lucent Technologies 101 Crawfords Corner Road 1999 123 Risto Vaarandi Platform Independent Tool for Local Event Correlation Acta Cybernetica 15 2002 124 Mika Klemettinen Heikki Mannila Pirjo Ronkainen Hannu Klemettinen M A Knowledge Discovery Methodology for Telecommunication Network Alarm Databases PhD thesis University of Helsinki Finland 1999 125 Dilmar Malheiros Meira A Model for Alarm Correlation in Telecommunication Networks PhD Thesis Federal University of Minas Gerais Brazil November 1997 126 FREEMAN Roger L Telecommunication System Engineering 4 ed John Wiley amp Sons I
35. Nas t cnicas de correla o de eventos sempre necess rio ter algumas premissas que servem de base ao racioc nio e que permitem chegar a determinado tipo de conclus es dado que os sistemas s conseguem processar e aferir problemas com determinada complexidade A correla o de eventos pode ser obtida atrav s de v rios tipos de aproxima es ou mesmo atrav s da sua combina o O autor 160 fala da compara o destas t cnicas em termos de manuten o modeliza o robustez e performance do sistema de correla o Algumas dessas t cnicas mais conhecidas para correla o de eventos s o e Rule based reasoning RBR e Model based reasoning MBR e Case based reasoning CBR e Code base codebook correlation CC e State Transtion base STB e Probabilistic Finite State Machine PFSM e Network Element Dependency Graph NEDG e Hybrid approach 73 3 9 1 RULE BASED REASONING Os sistemas do tipo Rule based reasoning dependem da colec o de regras para permitir fazer as suas decis es Cada uma das regras definida com uma s rie de condi es que devem ser satisfeitas antes de determinada acc o acontecer Se forem satisfeitas todas as condi es numa regra ent o a respectiva ac o ter lugar O sistema que faz a verifica o conhecido como motor de infer ncia A sec o de mem ria utilizada para salvar informa o enquanto os processos verifica o ocorrem conhecida como mem ria de
36. Network Management System with Imaging Support NMSIS foi criado para dar resposta s necessidades de gest o de uma LAN O NMSIS uma aplica o de gest o e monitoriza o de redes inform ticas que resulta da integra o das ferramentas Network Administration Visualized NAV Free Open Source Ghost FOG e Bandwidth Traffic Control BWTC representadona figura 4 Entre outras val ncias no ramo de gest o de redes o NMSIS cont m na sua estrutura outras fun es desenpenhadas por ferramentas de instala o de software em computadores remotos atrav s da rede denominada de gest o de imagens de software Esta fun o realizada atrav s da ferramenta FOG O NMSIS posu uma outra ferramenta de controlo de tr fego chamado BWTC O BWTC molda o fluxo de tr fego do servidor de imagens para v rios clientes de acordo com a taxa de utiliza o da rede Entre as diversas val ncias de gest o do NMSIS destacam se uma interface Web de gest o com delega o de tarefas para diferentes gestores a localiza o de equipamento na rede o invent rio da rede gr ficos de performance para os equipamentos de rede ferramentas de apoio manuten o a monitoriza o de equipamento por exemplo switches routers servidores etc a monitoriza o de servi os por exemplo o servi o de p ginas de internet o servi o de mail etc envio de alertas por correio electr nico quando ocorrem eventos gest o de imagens de software entr
37. Packard High Performance File System Hierarchical Token Bucket High Tech Computer Corporation Hypertext Transfer Protocol Hypertext Transfer Protocol Daemon Hypertext Transfer Protocol over Secure Socket Layer International Business Machines Corporation Internet Control Message Protocol Integrated Drive Electronics Identity Drives Manter XXV IETF IGRP IntServ IP IPP ISEP ISO ISODE ITU LAN LDAP LLDP LVM MAC MAN MBR MBR MIB MIBv1 MIBv2 MIBv3 Internet Engineering Task Force Interior Gateway Routing Protocol Integrated Services Internet Protocol Instituto Polit cnico do Porto Instituto Superior de Engenharia do Porto International Organization of Standardization ISO Development Environment International Telecommunication Union Local Area Network Lightweight Directory Access Protocol Link Layer Discovery Protocol Logical Volume Management Media Access Control Metropolitan Area Network Master Boot Record Model based reasoning Management Information Base Management Information Base version 1 Management Information Base version 2 Management Information Base version 3 xxvi MIT MRTG MTA MUA NAT NEDG NMSIS NFS NIDS NMS NMSIS NNM NNTP NTFS NTNU OEMF OID OSI OSPF OSSIM PC Massachusetts Institute of Technology Multi Router Traffic Grapher Mail Transport Agen
38. SEC As regras seguintes s o suportadas pelo SEC none logonly write shellcmd pipe spawn create set delete add report event e reset Por fim foi descrito a performance da aplica o SEC sendo esta uma ferramenta com ndices de exig ncia em termos de velocidade de CPU muito baixos e que facilmente corre em plataformas antigas O SEC corresponde muito bem mesmo quando existem centenas de opera es de correla o de eventos e contextos simult neamente activados e guardados na mem ria activa de trabalho O programa SEC consome menos de 5 MB de mem ria na maioria das arquitecturas face a quantidade de eventos que consegue processar 110 4 INTEGRA O DO SISTEMA DE CORRELA O DE EVENTOS E NOTIFICA ES SCEN COM O SISTEMA NMSIS 4 1 INTRODU O AO SCEN Depois da necessidade de estudo do sistema NMSIS e ap s a escolha da ferramenta SEC que vai acrescentar um novo motor de infer ncia ao sistema Torna se necess rio descrever todo o ambiente de desenvolvimento que vai permitir instrumentar e dotar o sistema de gest o NMSIS com um novo bloco de correla o de eventos que n o existia no passado A introdu o do um novo Sistema de Correla o de Eventos e Notifica es SCEN descrito no modelo da figura 15 O sistema SCEN juntamente com o NMSIS faz parte de um sistema integrado de gest o e correla o de eventos 111 SCEN NMSIS Figura 15 Ocorr ncia de quebras em v rios segmentos d
39. SISTEMAS DE GEST O DE REDES 2 1 INTRODU O AOS SISTEMAS DE GEST O DE REDES A medida que as redes crescem em escala e extens o os seus recursos e aplica es tornam se cada vez mais indispens veis para as organiza es que as utilizam As redes de computadores devem ser geridas com a finalidade de oferecer um servi o de qualidade aos seus utilizadores Esta gest o envolve a monitoriza o dos recursos distribu dos das redes Na sua ess ncia a gest o de redes procura sempre assegurar que os sistemas de informa o dispon veis nas redes estejam sempre operacionais a todo o momento A gest o de redes de computadores por si s um assunto complexo As redes tornam se maiores em extens o mais complexas na tecnologia e heterog neas v rias plataformas de hardware e software distintas o que faz com que as fun es de gest o sejam em si de grande complexidade Como a gest o n o pode ser realizado somente pelo esfor o humano a complexidade da gest o de redes imp e o uso de solu es automatizadas Para a gest o os equipamentos t m uma base de dados de informa o de gest o mantida por um Agente de gest o qual as aplica es de gest o acedem atrav s de um protocolo 37 de gest o de redes 40 114 126 Os tr s mais conhecidos protocolos de gest o de redes que actualmente existem com vers es standard a n vel internacional s o e Common Management Information Protocol CMIP da co
40. Security identifier Servidor de Imagens Servidor FOG Suse Linux Enterprise Server Message Block Specific Managment Functional Areas Structure of Management Information Structure of Management Information version 2 Short Message Service Simple Mail Transfer Protocol Servidor NMSIS Simple Network Management Protocol Simple Network Management Protocol version 1 Simple Network Management Protocol version 2 Simple Network Management Protocol version 3 Structure of Policy Provisioning Information Structured Query Language Secure Shell Secure Sockets Layer State Transtion Graphs Servidor Web Transmission Control Protocol xxix TCPAP TELNET TFTP TKIP TMN UCD UDP UFS UML UNDI UUID VLAN WAN Web WIM WSDL XML Transmission Control Protocol Internet Protocol Telecommunication Network Trivial File Transfer Protocol Temporal Key Integrity Protocol Telecommunications Management Network University of California at Davis User Datagram Protocol Unix FileSystem Unified Modeling Language Universal Network Device Interface Universal Unicode Identifier Virtual LAN Wide Area Network World Wide Web Wired for Management Framework Web Services Description Language Extensible Markup Language XXX 1 INTRODU O Os avan os tecnol gicos exercem hoje um grande impacto na sociedade A informa o tem se tornado cada vez mais uma
41. Ser presentado na figura 23 a estrutura em esqueleto do estudo da rede de teste com o mapa de causalidade dos eventos de rede inferidos por correla o Falha no servi o do servidor liga o do Switch Falha no Switch Falha na liga o da Gateway Falha na Gateway Figura 23 Mapa em rvore da rela o de correla o de causalidade das querys e traps Novos eventos de rede s o inferidos por correla o entre estes eventos Recorrendo observa o das rela es entre os eventos e respectiva forma o de novos eventos podemos chegar ao objectivo proposto por este trabalho que Qual a raiz da causa do problema para esta pergunta segundo o modelo proposto pelo algoritmo 134 podemos ter a resposta A figura 23 traduz a rela o de causalidade da figura 22 com a representa o dos efeitos e as causas que s o inferidas atrav s da correla o entre eventos e cria o de novos eventos de acordo com as seguintes condi es a Se existir uma quebra no servi o evento 1 e n o existir uma quebra no elemento de rede servidor evento 2 ent o cria evento falha no servi o Y do servidor Se existir uma quebra no servi o evento 1 e existir uma quebra no elemento de rede servidor evento 3 e n o existir uma quebra no elemento de rede switch evento 4 ent o cria evento falha no servi o Y do servidor devido a quebra na liga o entre servid
42. Switches 0 0 0 cee eeeeeeeeseeereeereeeeeenees 56 Figura7 Tabelas de eventos e alertas conjugadas entre si 58 Figura8 Ferramenta Status do NMSIS e reeeeereeeraera cena nerneran a 59 ae RN Kell e e EE 62 Figura 10 Gr fico de propaga o das falhas 90 rea 70 Figura 11 Exemplo de uma rvore ou gr fico de causalidade 122 71 Figura 12 Exemplo de uma regra para um sistema rule based reasontng 74 Figura 13 Matriz de correla o de um sistema code base reasoning eeeeeeeeeereeereeereeeneeenees 75 Figura 14 Estrutura de um gr fico de transi o 162 0 eee rea 76 Figura 15 Ocorr ncia de quebras em v rios segmentos de rede 0 0 eee eeeeseeseecneeceeecnseeeneens 112 Figura 16 Ocorr ncia de quebras em v rios segmentos de rede 0 0 eee eseeseeeneecneeeeseenneenaeees 112 Figura 17 Esquema da rede de Teste na sala P 113 Figura 18 Arquitectura do prot tipo SCEN eee ereeereenacenanena 116 Figura 19 Cruzamento das tabelas para cria o de evento do tipo query Query SW 118 Figura 20 SCEN recebe eventos via pooling da DB e traps dos elementos de rede 127 122 Figura 21 Arquitectura do prot tipo SCEN erre ereeereenarenanana 124 Figura 22 Mapa em rvore da rela o de correla o de causalidade das querys e traps e o conjunto das duas EE 132 Figura 23 Mapa em rvore da rela o de correla o de causal
43. a descoberta da raiz da causa dos problemas observados Essa descoberta deve ser correcta e verdadeira ou seja o mais aproximado da causa real das falhas subjacentes Para o efeito foi criado um servi o HTTP a correr numa m quina 10 1 33 1 identificada na figura 29 Este servi o ser monitorizado ao mesmo tempo que ser condicionado atrav s da execu o de um conjunto de ac es que visam a interrup o do servi o atrav s de cortes fisicos em v rios segmentos de rede O algoritmo composto por regras tem a fun o de notificar o operador de sistema com o m nimo de informa o o mais verdadeiro e cred vel quanto poss vel cateway end ER mom E eve x Ge E 10 133 124 ZIY ZE OOL 10 133 024 vi Figura 29 Planta de testes 149 5 10 2 TESTE 1 Se f r desactivado o servi o na m quina 10 1 33 1 O sistema analisa sua entrada os quatro tipos de eventos via query Correlaciona todos os eventos e responde com um novo evento de sa da de forma a ser visualizado na p gina WEB ou por notifica o de mail para o operador a informar que o servi o falhou Query Servi o IP 10 1 31 1 TipoServi o http Estado n Query SRV IP 10 1 33 1 SalalD F507 Estado y CONECTADO Elemento 10 1 33 100 Porto BayStack 450 24T 1 Query SW IP 10 1 33 100 SalalD F507 Estado y CONECTADO Elemento 10 0 32 250 Porto FastEthernet0 1 Query GW IP 10 0 32 250 SalalD F507
44. com a mesma informa o esquema da direita gt Se existir um a quebra no servi o evento 1 ent o a sua causa pode estar relacionada com o evento de falha no servidor evento 3 ou n o evento 2 gt Se existir uma quebra no elemento de rede servidor evento 3 ent o pode estar relacionada com falha no switch evento 5 ou n o evento 4 ou 9 gt Se existir uma quebra no elemento de rede switch evento 5 ent o pode estar relacionada com falha na gateway evento 7 ou n o evento 6 ou 11 A partir desta an lise foi desenvolvido um algoritmo de correla o entre os eventos observados Ap s recep o destes eventos entrada o motor de correla o com base no algoritmo proposto correlaciona os e inferindo lhes uma causa para o tipo de efeitos processados Os efeitos s o os eventos analisados na rvore e a causa adv m de outros eventos As causas tamb m podem ser inferidas atrav s da cria o de novos eventos este um dos pressupostos do prot tipo de algoritmo que se pretende criar neste trabalho 133 Os novos eventos criados s o do tipo alarmes que surgem de falhas de servi os falha na conex o ao servi o falhas nos elementos servidor gateway ou switch e o evento falha na conex o ao Servidor Gateway Switch podem ser atribu das a falhas nos interfaces das gateways falha na liga o da Gateway e falhas nos interfaces dos switchs falha na liga o do Switch
45. de componente no sensor da rede Ap s a implementa o completa o sistema muito similar ao model based reasoning a quando da cria o de um modelo embora n o de todo o sistema simplesmente as poss veis interac es entre componentes ml A A Figura 14 Estrutura de um gr fico de transi o 162 3 9 1 PROBABILISTIC FINITE STATE MACHINE A aproxima o de correla o de eventos proposta nos modelos do autor 164 em que cada falha usa a Probabilistic Finite State Machine PFSM Esta aproxima o tem a particularidade de manipular sequ ncias de eventos com ru do e utiliza teoria probabil stica para selecionar o PFSM correcto na sequ ncia de falhas de entrada O processo de constru o do PFSM para cada falha um processo de auto aprendizagem que usa a teoria probabil stica E a associa o de informa es de falha para o PFSM podem ser obtidas atrav s de outros sistemas ou redes especializados Esse algoritmo n o assume qualquer conhecimento da estrutura de rede e pode reconhecer automaticamente o tempo padr o de alarmes associados a uma determinada falha 76 3 9 2 NETWORK ELEMENT DEPENDENCY GRAPH In meras aproxima es de correla o s o constru das com base em Network Element Dependency Graph NEDG 165 166 Estas aproxima es base de gr ficos de depend ncia de elementos de rede s o usados para modelizar a depend ncia funcional entre os elementos na rede de gest o de objectos Este t
46. de correla o ter como fun o analisar os eventos gerados pelo daemon e remetido sua entrada 95 Tabela 3 Caracter sticas e funcionalidades genericas de uma ferramenta de correla o de eventos SC E E S n 5 5 2 DI ID Caracteristicas Funcionais 2 2 2 2 a rm Di 2 5 D ZS E ef a I 1 Suporta Correla o D D D e e e 2 Suporta Correla o limitada 3 Ferramenta Open Source e e e M e 4 Ferramenta com c digo de uso fechado ao publico 5 Ferramenta comercial e 6 M todo de pesquisa Pattern Matching 7 Modelo de execu o por rule based reasoning 8 Modelo de execu o por model based reasoning 9 Modelo de execu o por infer ncia 10 Utiliza um sistema de regras H H H D D e e D D 11 Cria regras pessoais e modifica as regras existentes M 12 Regras din micas podem mudar as ac es associadas as mensagem recebidas 13 Permite testar as regras definidas em simulate mode 14 Suporta Templates de regras para configura o de m ltiplos sensores 15 M todo de pesquisa Pattern Matching com express es regulares H 16 M todo de pesquisa Pattern Matching e excep es com a segunda express o regular 17 Faz filtragem de eventos H 18 Faz supress o de eventos M M M M 19 Faz compress o de eventos M M M 20 Faz cont
47. de gest o SNMP define as mensagens usadas entre o gestor e os agentes para trocar informa o Permite opera es de monitoriza o Read e opera es de controlo Write Esta forma de obten o de valores de um objecto e suas varia es bem como de altera o de um valor de um objecto com base na utiliza o de um n mero muito limitado de opera es torna este protocolo muito simples est vel flex vel e de f cil implementa o 2 3 3 INFORMA O DE GEST O SNMP O SNMP suporta v rios tipos de opera es e para cada uma delas existe um Protocol Data Unit PDU especificado no SNMP 119 120 das quais destacamos as mais importantes 42 GetRequest A opera o GET utilizada para ler o valor da vari vel o gestor solicita que o agente obtenha o valor da vari vel opera o Read GetNextRequest A opera o de GET NEXT utilizada para ler o valor da pr xima vari vel o gestor fornece o nome de uma vari vel e o cliente obt m o valor e o nome da pr xima vari vel tamb m utilizado para obter valores e nomes de vari veis de uma tabela de tamanho desconhecido O gestor vai procurar interactivamente sequ ncias de informa o opera o Read SetRequest A opera o SET utilizada para alterar o valor da vari vel o gestor solicita que o agente fa a uma altera o no valor da vari vel opera o Write Trap O agente notifica sem ter sido solicitado o valor de uma vari vel ao ge
48. es executada Ambas as janelas de correla o de eventos s o do tipo Sliding Window quer dizer que o tempo de inicio de uma janela move se para o tempo da pr xima janela se o tempo t da primeira correspond ncia expirar 103 Suppress Faz correspond ncia ao evento de entrada e suprime o Calendar Executa uma lista de ac es a uma determinada hora especifica 3 21 3 TIPOS DE AC ES SUPORTADAS PELO SEC As ac es do SEC n o foram desenvolvidas apenas para gerar eventos de sa da mas sim para fazer as regras interagir umas com as outras Para guardar e gerir eventos internos e para ligar sistemas externos o SEC suporta v rios tipos de regras 74 das quais se destacam none N o faz nenhuma ac o logonly Faz log de uma mensagem write Escreve a linha para um ficheiro ou para um pipe shellemd Executa um programa ou script externo pipe Executa um programa ou script externo e o resultados realimentado sua entrada spawn Executa um programa ou script externo e que fornece o SEC com eventos de entrada adicionais ex correr tail f num ficheiro e iniciar um subdeamon do SEC para correla o de eventos etc create Cria um contexto e um conjunto de par metros opcionais tais como tempo de vida set Define os par metros de um contexto com novos valores delete Apaga um contexto add Associa um evento com um contexto report
49. fam lia agrade o o apoio sempre manifestado A minha esposa S nia Leite da Silva pela sua permanente compreens o e forte motiva o em todos os momentos desta jornada Para os meus dois filhos Bernardo e Mafalda uma palavra de desculpa pela minha aus ncia em v rios momentos das suas vidas minha m e sempre com uma palavra amiga muito envolvida nas etapas que percorri e sempre muito orgulhosa em tudo o que fa o Por ltimo a agrade o a todos os meus amigos que para n o me esquecer de ningu m ficar o no anonimato Resumo As redes actuais com um crescimento de eventos nos sistemas de gest o cada vez mais sofisticado um dos grandes ojectivos para o futuro condensarem uma grande quantidade desses eventos num pequeno n mero de eventos mas mais significativo para o relat rio de falhas Esta necessidade pr tica pode ser realizada recorrendo a mecanismos de correla o de eventos A correla o de eventos uma rea de intensa investiga o na comunidade cient fica e industrial Neste contexto surgiu o desejo de realizar um projecto no mbito da correla o de eventos em redes com gest o e monitoriza o na infra estrutura SNMP O objectivo do trabalho realizado foi a defini o e cria o de uma infra estrutura de software com capacidade de correlacionar autonomamente e de forma inteligente os eventos recebidos a partir de sistemas inform ticos A ideia para a cria o desta infra estrutura nasce da difi
50. ferramenta Open Source a fazer monitoriza o de ficheiros de log uma ferramenta base de regras e bastante popular O Swatch monitoriza os dados dos ficheiros de log atrav s da leitura de cada mensagem de evento atrav s do append em cada linha para o ficheiro de log 152 Compara essas linhas com as regras onde a parte condicional de cada regra uma express o regular as regras est o depositadas num ficheiro de configura o em formato de texto Se a express o regular de 89 uma certa regra corresponder mensagem do evento em determinada linha o Swatch executa a parte da ac o da regra 153 As ac es includem envio de mails executar programas externos escrever notifica es para o sistema de consola O Swatch tem op es para ignorar eventos repetidos com determinado treshold num dado intervalo de tempo O Swatch foi concebido para monitorizar um grande n mero de eventos em redes com grande quantidade de servidores e plataformas de trabalho 79 Mesmo quando os sistemas Unix s o capazes de fazer logging de muita variedade de informa o acerca do estado do sistema Muitas das vezes s o os locais mais escondidos do sistema Unix que s o atacados por intrus es bem sucedidas por estes n o serem monitorizados regularmente e por serem pass veis de ser apagados ou modificados O Swatch foi criado por parte dos autores com os seguintes objectivos 79 a configura o de um programa que demorasse pouco
51. foram com informa o 156 muito espec fica sobre os sistemas monitorizados No que toca ao m dulo adoptado embora existissem outras aprocxima es considerei este modelo o mais gen rico e completo poss vel e com uma resposta muito capaz e eficaz Penso ter se reunido as condi es necess rias para responder s quest es levantadas pelos meus orientadores e que serviram de alicerces de base conceptual deste trabalho Pergunta essas que deixo aqui referenciadas Como correlacinar uma grande quantidade de eventos que podem surgir no sistema NMSIS quando na verdade apenas uma falha pode ser a causa do problema A solu o foi a integra o de uma ferramenta com capacidade de correla o que responde de forma eficaz quest o levantada Ficou por fazer o desenvolvimento e adapta o da resposta do SCEN no ambiente gr fico do sistema legacy NMSIS para fazer a interface com o operador No entanto foi atingido o objectivo do operador receber os eventos de sa da do SCEN de uma forma visualmente amig vel e limpa Esse objectivo foi concretizado atrav s da visualiza o de uma p gina WEB do SCEN e via mensagens de mail para o operador do sistema 6 3 CONSIDERA ES FINAIS No panor ma actual as principais dificuldades que os operadores de plataformas de gest o de alarmes se prendem a grande quantidade de informa o que muitas vezes tem ao seu dispor N o exactamente a informa o t cnica que explica c
52. interfaces de rede Consola de gest o e Sensor Agents para Linux BSD NIX Windows N o permite alerta em tempo real Tem boa Documenta o Boa portabilidade Requisitos de sistema e licenciamento Os requisitos para correr o SnortSnart s o semelhantes aos do Snort A consola de gest o Webserver apache PHP compilado com with mysql MySQL URL command line tool com suport SSL O agente Sensor Sensor Agent remoto ou na consola de gest o Snort Perl 5 O licensiamento do c digo fonte do SnortCenter licenciado segundo os termos do General Public License GNU e publicado pela Free Software Foundation Observa es Gerais O SnortCenter faz a gest o dos sensores remotos com base num ambiente Web seguindo o m todo cliente servidor A fun o de filtragem de eventos no SnortCenter r pida e eficiente O ponto chave lembrar que todos os sensores partilham o mesmo ficheiro local rules A forma como se controla quais os sensores que s o afectados pelo filtro atrav s da opc o SENSOR SCOPE Com o SnortCenter e um sistema IDS como o Snort e com um ambiente que usa Network Address Translation NAT poss vel atrav s de correla o de eventos entre o sistema IDS antes e depois da firewall tirar o endere o real da fonte que fez a tentativa de entrar em determinada rede Os sensores t m um conjunto de caracter sticas o prop sito destas caracter sticas documentar e entender o tr fego que
53. ncia da regra pattern SRV sIP s 1 sSalaID s w sEstado sn s Elemento s d sPor to s Este padr es pattern procuram textualmente todos os caracteres atribuindo vari veis aos valores imediatamente a seguir ao caracter que vem na string do evento Estes valores s o as vari veis do sistema em Perl Um esquema de trabalho contendo regras do SCEN 6699 descrito na figura 24 Este esquema faz um conjunto de ac es relativo s al neas a e b propostas na figura 23 Os eventos de entrada est o com setas a tracejado Os eventos de sa da que representam as ac es do SCEN est o com setas a sombreado e com setas comuns A elipse representa opera o de correla o de eventos As estrelas comuns representam os pipes de sa da externa dos eventos e a tracejado a sa da de eventos internos no sistema 139 yor N o gt Window 40 segundos A engt Ac o amp Evento 1 a y dag Sich Figura 24 Algoritmo com uma regra PairWith Window para correla o de eventos de servi o e de Elemento Rede O SCEN utiliza um ficheiro de configura o que contem regras e que tem como entrada um pipe Para executar o ficheiro de configura o abre se um terminal de consola e executa se a seguinte linha de comando com indica o de qual o pipe de entrada onde o SCEN ferramenta SEC vai processar os dados sec conf ficheiro conf input directorio da pipe pipe A regra seguin
54. o processadas pelo SCEN atrav s de correspond ncia padr o e recorrendo s express es regulares utilizadas na linguagem Perl Essa correspond ncia padr o est a sombreado para melhor ser distinguida Bold Os campos dos eventos via trap ser o processados por ordem de entrada no sistema e ir ser feita a sua rela o de correla o temporal 137 Um dos algoritmos utilizados para correla o temporal tem como objectivo principal diminuir o n mero de eventos que s o lan ados para o operador do sistema e de certa forma facilitar a sua compreens o do que est acontecer na rede a cada instante 5 6 PERL EXPRESS ES REGULARES As Express es Regulares 96 97 98 s o padr es de procura definidos para caracteres e cadeias de caracteres strings Express es regulares s o escritas numa linguagem formal que pode ser interpretada por um processador de express o regular que um programa de an lise sint ctica ou que examina o texto e identifica as partes que casam com a especifica o dada Com a ajuda destes padr es pode se pesquisar e processar o conte do das vari veis Para tarefas de Common Gateway Interface CGI as express es regulares s o de import ncia vital As componentes de fluxo de dados de um evento que s o enviadas para o motor de correla o do SCEN atrav s da sua ferramenta SEC podem ser identificadas atrav s do uso de express es regulares As express es regulares constitue
55. query de Swich Query SW com selec o de quatro tabelas netbox arp gwportprefix e gwport Figura 19 Cruzamento das tabelas para cria o de evento do tipo query Query SW Exemplo de evento de sa da Query SW IP arp ip SalaID netbox catid Estado netbox up CONECTADO Elemento arp sysname Porto gwport interface Colocando agora o valor das vari veis no evento de sa da Query SW Et SS 00 SakatD ES 00 Estado mn CONECEADO Elemento 10 0 32 250 Porto FastEthernet0 1 Podemos verificar e confirmar neste evento de sa da que o SW com o IP 10 1 33 100 da sala F507 est com o estado em baixo n ou seja est inacess vel e est ligado ao elemento de rede com o IP 10 0 32 250 no porto FastEthernet0 1 desse elemento Com este tipo de eventos criados sa da do script poss vel recriar um modelo topol gico das liga es entre todos os elementos de rede No pr ximo cap tulo ser novamente abordada esta quest o na cria o dos eventos via quer 4 5 IMPLEMENTA O DO DAEMON NET SNMP O pacote de c digo fonte aberto Net SNMP uma implementa o e um conjunto de aplica es licenciados como Software Livre que operam com o protocolo Simple Network Management Protocol SNMP cujo objectivo principal a configura o e a monitoriza o de dispositivos 52 Dentro deste pacote para al m de termos programas que possibilitam a configura o do agente do sistema como o snm
56. responde com um novo evento de sa da que pode ser visualizado na p gina WEB ou por notifica o de mail para o operador a informar que o servi o falhou devido a corte na liga o entre o switch e o respectivo porto da gateway onde est ligado Query Servi o IP 10 1 31 1 TipoServi o http Estado n Query SRV IP 10 1 33 1 SalalD F507 Estado n CONECTADO Elemento 10 1 33 100 Porto BayStack 450 24T 1 Query SW IP 10 1 33 100 SalalD F507 Estado n CONECTADO Elemento 10 0 32 250 Porto FastEthernet0 1 Query GW IP 10 0 32 250 SalalD F507 Estado y Thu Sep 16 17 38 16 2010 Falha no servi o http do Servidor 10 1 33 1 devido a quebra na liga ao entre Switch 10 1 33 100 e Gateway 10 0 32 250 Porto FastEthernet0 1 Notifica o WEB Notifica o email Figura 32 Simula o da resposta do sistema ao Teste 3 151 5 10 5 TESTE 4 Se f r cortado o segmento de rede tro o 3 entre o switch 10 0 32 100 e porto FO 0 da gateway 10 0 32 250 O sistema analisa os quatro tipos de eventos via query e responde com um novo evento de sa da que pode ser visualizado na p gina WEB ou por notifica o de mail para o operador a informar que o servi o falhou devido a falta de acessibilidade ao gateway Router Gateway isolado Query Servi o IP 10 1 31 1 TipoServi o http Estado n Query SRV IP 10 1 33 1 SalalD F507 Estado n CONECTADO Elemento 10 1 33 100 Porto BayStack 450 24T 1 Query SW
57. tempo m nimo e quando os objectos pass veis de monitoriza o e relacionados com as falhas de rede podem ser ajustados de forma efectiva As rela es entre eventos usados para correla o e filtragem podem ser classificados como sendo causais ou temporais 122 Ser visto nos pr ximos cap tulos estas duas formas de correla o e iremos ilustr las com exemplos as rela es que podem ser combinadas em conjunto para acompreens o da correla o de eventos 3 6 CORRELA O CAUSAL E FILTRAGEM A rela o mais simples entre eventos que pode ser considerada a rela o causa efeito ou de causalidade A maioria das fontes de alarme das redes s o as falhas f sicas que ocorrem nos elementos de rede Estas falhas podem ter uma rela o de causalidade ou n o isto podem ser independentes As rela es de causalidade entre as falhas podem ser representadas por um gr fico figura 10 de propaga o de falhas Todas as falhas que n o est o directamente exibidas por alarmes podem ser reconhecidas correlacionando m ltiplos alarmes Por exemplo a correla o dos alarmes a2 e a3 correla o c2 permite que um possa fazer a decis o de diagn stico que a raiz da causa destes alarmes a falha f4 No entanto a exist ncia das duas correla es cl e c2 leva ao reconhecimento da falha f2 como a raiz causal das falhas Uma falha pode ser causada pela presen a de apenas uma ou v ria
58. toda a informa o relevante que est guardada no NMSIS A informa o de estado dos elementos activos e dos servi os de rede que o NMSIS controla via polling est concentrada num pequeno n mero de tabelas o mesmo j n o se passa se quizermos ter acesso tipologia de rede O NMSIS n o disp e de uma tabela que concentre informa o de estado dos elementos em simult neo com a topologia de rede ou seja ter informa o do estado do elemento e informa o dos elementos aos quais est ligado O NMSIS tem forma de saber os elementos que est o ligados a um determinado Switch ou os elementos que est o ligados a um determinado Router mas n o concentra essa informa o num pequeno n mero de tabelas essa informa o encontra se dispersa A sua plataforma WEB disponibiliza esses dados visualmente ao utilizador mas essa informa o est distribu da por diversas tabelas segundo um modelo pr prio Cabe ao SCEN juntar toda essa informa ao na forma de um mapa topol gico de rede juntando a informa o de estado dos elementos e servi os Essa tarefa proposta atrav s de um daemon programado em linguagem PHP especificamente concebido para este trabalho que corre em 115 background e faz a manipula o das tabelas e materializa os eventos com informa o de estado e topologia da rede Por outro lado o SCEN est preparado para receber e entregar ao seu motor de infer ncia eventos provenientes directamente da rede atr
59. up desc2 ALARME TRAP Host 3 Net 4 5 estado INTERMITENTE action2 event St Sa window 20 type SingleWithSuppress continue TakeNext ptype RegExp pattern ALARME TRAP S NS Host S Net S NS estado DOWN desc EVENTO TRAP SUPRIME estado DOWN action reset 1 Ss window 20 type Pair ptype RegExp pattern ALARME TRAP S S Host S Net NS NS estado DOWN desc alarme trap 1 2 host 3 net 4 5 estado down action event s write SEC NMSIS t host 3 net 4 5 MAJOR DOWN ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 alarme trap host 3 5 state up action2 write SEC NMSIS t host 3 net 4 5 NORMAL UP window 86400 type Pair ptype RegExp pattern alarme trap S S host S net S S estado down desc EVENTO TRAP Elemento 3 da rede 4 5 DOWN VERIFICA EVENTO NMSIS netbox action write SEC_NMSIS t s continue2 TakeNext ptype2 RegExp pattern2 ElementoID s d sCategoria s wt sIP s 4 d sSalaID s wt sEstado sn desc2 ALARME NMSIS netbox Elemento 1 Cat 2 Sala 5 3 n amp o acessivel devido falha no elemento 3 interface 5 identificado action2 write SEC NMSIS St Sa window 40 KR type SingleWith2Thresholds ptype RegExp pattern ALARME TRAP Host S Net S S estado INTERMITENTE desc alarme trap 1 2 host 3 5 estado instavel action write SEC NMSIS t host 1 net 2 3 MAJOR LIGA O INSTAVEL window 40 thr
60. utilizados neste projecto foi tentar generalizar a informa o que passada dos n veis baixos para os n veis altos e a especializa o da informa o no sentido contr rio dos n veis mais altos para os mais baixos Em ambas as duas tarefas de processamento de informa o podem ser feitos atrav s de mecanismos de correla o de eventos Por exemplo durante a generaliza o um conjunto padr o de eventos pode ser substitu do por correla o ou um evento pode ser substitu do pela sua superclasse O sistema de correla o do IMPACT Event Correlation Engine foi desenvolvido atrav s da utiliza o da ferramenta CLIPS 3 17 SWATCH O Swatch Simple watchdog um programa que pode ajudar na an lise de ficheiros de log fornecendo notifica o imediata se as entradas de log correspondem a derterminada express o regular ou para rever ficheiros de log procura de dados desconhecidos Foi desenvolvido em linguagem Perl por Stephen Hansen e Todd Atkins em 1993 79 O Swatch um dos programas de pesquisa mais eficientes e tradicionais tem muitos adeptos 88 que o utilizam como programa de pesquisa e an lise de logs O Swatch utiliza um arquivo de ficheiros onde dever o constar as regras de leitura e de classifica o dos ficheiros de log Recorrendo ao uso de express es regulares em Perl compat veis com as do padr o grep o Swatch l o arquivo de ficheiros de log utilizando essas regras classificando e executand
61. 3 129 241 26201 OTHER nett y 10 240 20 19 5 Catalyst 3SOS GL nett y i 6 Mem s 12005 WC17 10 240 24 11 WLAN CISCOAJRAR 1210 nett e Mer 12 XGA 192416195 EDGE hpb WA x 5 0653 129241 86 EDGE nett y KI 5 0750 122241 84 EDGE ne 1 e 407 31 7A 761 AS E VW HI AL Figura9 Tollbox report Toda essa informa o poderia ser disponibilizada na forma de um ficheiro de log com todos os eventos produzidos a cada instante O NMSIS n o tem esse tipo de aproxima o que pudesse reportar todos os eventos de rede relacionados com a gest o de todos os activos de rede Tem sim um sistema de eventos e alertas internos que reportam falhas intrinsecas do pr prio sistema Tal como um sistema Unix ou qualquer dispositivo de rede como um Router ou Switch essa op o de varrimento de logfiles seria interessante no contexto deste trabalho mas tal n o foi possivel 62 O objectivo deste trabalho n o se prende com an lise dos eventos internos do NMSIS mas sim com os eventos externos ou seja os elementos de rede por ele geridos Foram ponderadas v rias formas de como obter a informa o dos eventos do NMSIS Uma das formas possiveis foi criar um script daemon que pudesse ler as tabelas do NMSIS e pudesse ele pr prio fazer essa fun o de criar uma esp cie de ficheiro de log contendo toda a informa o de estado dos objectos elementos de rede a cada momento Esse trablho ser exemplificado mais a frente Posto isto agora possivel trab
62. A SalaID a Estado u CONECTADO Elemento p Porto q Ka Query 6 IP A SalaID a Estado wp As notifica es traps t m tamb m vari veis que interessam ser processadas Os eventos que s o recebidos via trap s o do tipo Trap IP a Interface n Estado n Algumas destas vari veis seja dos eventos via query seja dos eventos via trap mudam a cada instante no tempo representando v rios valores A tabela 11 representa quais os valores que podem assumir essas vari veis bem como a origem de onde prov m Tabela 11 Descri o dos valores que podem ser atribu dos s vari veis S IP A netbox ip XXX XXX XXX XXX TO E E gt Servi o Y service handler http ftp etc a Estado T service up y n 130 Vamos analisar cada um dos valores que pode ser atribu do s vari veis para formar um conjunto de eventos que interessam ser processados e relacionadas as suas interac es Para isso preciso ter uma amostra dos tipos de eventos que o sistema SCEN pode ter sua entrada Os estados y e n representam respectivamente o sucesso ou insucesso do pooling feito pela ferramenta NMSIS aos elementos de rede e tamb m a determinados servi os Se o 660 99 pooling n o falhar o estado da vari vel ser y se falhar o estado ser n Nas traps o valor percept vel para as saber distinguir O mesmo se passa com eventos de notifica o em que o estado de determinado elemento
63. A sua complexidade e tamanho fazem destas ferramentas quase imposs veis de trabalhar em pequenas redes e em pequenas tarefas de correla o de eventos especialmente em n s de rede com capacidade de hardware limitada ex an lise e correla o de logfiles numa plataforma com pouco disco mem ria e fraco processamento do CPU Como estes sistemas s o na sua maioria comerciais acabam por ser platform dependent e s o uma boa raz o para sua exclus o no mbito deste trabalho O CLIPS 89 que um sistema para especialistas num ambiente de cria o base de regras rule based expert systems tem muito sucesso quando usado para construir sistemas com correla o de eventos 75 90 Mas como n o uma ferramenta espec fica para correla o de eventos o CLIPS n o o tipo de ferramenta que se pretende ver integrado e implementado no sistema que se pretende criar no mbito deste trabalho As fun es de gest o de seguran a e detec o de intrus es 76 77 podem ser da responsabilidade de ferramentas como o Snort juntamente integrado com o SnortSnarf ou com o SnortCenter 78 que aplicam contagem de eventos para detectar portscans hakers a fazer snifering das portas abertas etc Entre outras caracteristicas t m t cnicas de correla o de eventos tais como administra o de sistemas com an lise de registo de eventos logfile analysis Embora sejam ferramentas muito teis em sistemas IDS n o s o o tipo de fer
64. Event Correlator viv oy Knowledge Base Figura 20 SCEN recebe eventos via pooling da DB e traps dos elementos de rede 127 122 5 EVENTOS E SISTEMA DE REGRAS E ACCOES DE CORRELACAO 5 1 INTRODU O AOS TIPOS DE EVENTOS DO SCEN Como j foi comentado o SCEN tem duas formas de comunicar com o exterior uma delas por interm dio de um daemon especialmente concebido neste projecto e que faz querys ao NMSIS A outra forma atrav s de dois daemons um criado para este projecto e o outro programado para serem parte integrante do sistema Estes ltimos recebem as traps directamente dos elementos de rede A figura 21 mostra os dois tipos de comunica o do SCEN via query e via trap 123 Figura 21 Arquitectura do prot tipo SCEN A informa o que circula nas vias de comunica o s o eventos Quando o SCEN por interm dio dos seus daemons faz querys as bases de dados do NMSIS os eventos recebidos e entregues ao motor de infer ncia s o considerados eventos do tipo Query Ou seja o SCEN n o faz o polling aos elementos de rede esse trabalho de front end cabe s ferramentas internas e espec ficas do NMSIS O SCEN procura e trabalha a informa o guardada na base de dados do NMSIS Quando o SCEN por interm dio dos seus daemons recebe e trabalha a informa o contida nas traps enviadas pelos activos de rede Switchs Routers esses eventos de rede s o considerados eventos do tipo traps
65. INTEGER 25 IF MIB ifDescr 25 STRING FastEthernet0 24 IF MIB ifType 25 INTEGER ethernetCsmacd 6 SNMPv2 SME centerprises 9 2 2 1 1 20 25 STRING up Traps do switch Nortel Baystack Down Interface em baixo 2010 09 01 01 12 10 10 1 33 100 via UDP 10 1 33 100 161 TRAP SNMP vl community public SNMPv2 SMI enterprises 45 3 35 1 Link Down Trap 0 Uptime 32 days 1 39 37 99 IF MIB ifIndex 1 INTEGER 1 Up Interface em cima 2010 09 01 01 12 15 10 1 33 100 via UDP 10 1 33 100 161 TRAP SNMP vl community public SNMPv2 SMI enterprises 45 3 35 1 Link Up Trap 0 Uptime 32 days EE IF MIB ifIndex 1 INTEGER 1 Traps do router Cisco C2600 Down Interface em baixo 2010 09 01 01 46 24 0 0 0 0 via UDP 10 0 32 250 1464 TRAP SNMP vl community public SNMPv2 SMI enterprises 9 1 209 Link Down Trap 0 Uptime 5 days 3 00 10 39 IF MIB ifIndex 1 INTEGER 1 IF MIB ifDescr 1 STRING FastEthernet0 0 RE MIB ifType 1 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 1 STRING Lost Carrier Up Interface em cima 2010 09 01 01 46 34 0 0 0 0 via UDP 10 0 32 250 1464 TRAP SNMP vl community public SNMPv2 SMI enterprises 9 1 209 Link Up Trap 0 Uptime 5 days EE IF MIB ifIndex 1 INTEGER 1 IF MIB ifDescr 1 STRING FastEthernet0 0 IF MIB ifType 1 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 1 STRING Keepalive OK As amostras s
66. MSIS t host 1 net 2 3 NORMAL ESTAVEL window2 60 thresh2 0 type Pair ptype RegExp pattern ElementoID s d sCategoria s wt sIP s d sSalaID s w t sEstado sn desc ALARME NMSIS netbox ElementoID 1 Cat 2 IP 3 SalaID 4 Elemento de rede 3 n o acessivel action write SEC_NMSIS t s continue2 TakeNext ptype2 RegExp pattern2 s 1 ServicgoID s d sActivoTimeout s wt sServiceType s wt sE stado sn 184 desc2 ALARME NMSIS service devido falha no elemento 3 action2 write SEC NMSIS t Ss window 20 Servi oID 1 ServiceType 3 Quebra servi o nm type Single ptype RegExp pattern ElementoID s d sServicoID s d sActivoTimeout s w sService Type s wt sEstado sn desc ALARME NMSIS service ElementoID 1 Servi oID 2 ServiceType 4 Quebra servi o action write SEC NMSIS t Ss 185 Anexo J Algoritmo de teste com 7 regras e jun o de correla o temporal e causal Neste anexo est o sete regras do ficheiro de configura o com um algoritmo de correla o causal e temporal de eventos recolhidos do NMSIS e via Net SNMP snmptrap type PairWithWindow ptype RegExp pattern d d dt s Adri d d As d dt d d STRING s w s STRING s d own desc ALARME TRAP 1 2 Host 3 Net 4 5 estado DOWN action event s continue2 TakeNext ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s
67. N desc alarme trap 1 2 host 3 net 4 port 5 estado down action event s write SEC_NMSIS t Host 3 Net 4 Port 5 MAJOR DOWN ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 alarme trap host 3 5 state up action2 write SEC NMSIS t Host 3 Net 4 Port 5 NORMAL UP window 8 6400 type Pair ptype RegExp pattern alarme trap S S host S net S port S estado down desc EVENTO TRAP Elemento 3 da rede 4 port 5 DOWN VERIFICA EVENTO NMSIS netbox e action write SEC NMSIS t Ss continue2 TakeNext ptype2 RegExp pattern2 ElementoID s dt sCategoria s wt sIP s 4 d sSalaID s wt sEstado sn desc2 ALARME NMSIS netbox Elemento 1 Cat 2 Sala 5 3 n amp o acessivel devido falha no elemento 3 porto 5 identificado action2 write SEC_NMSIS t s window 8 6400 type SingleWith2Thresholds ptype RegExp pattern ALARME TRAP Host S Net S S estado INTERMITENTE desc alarme trap 1 2 host 3 Port 5 estado instavel action write SEC NMSIS t Host 1 Net 2 Port 3 MAJOR LIGACAO INSTAVEL 189 window 40 thresh 2 desc2 alarme trap 1 2 Host 3 5 novamente estavel action2 write SEC NMSIS t Host 1 Net 2 Port 3 NORMAL ESTAVEL window2 60 thresh2 0 Correla o com DB NMSIS netbox e service type Pair ptype RegExp pattern ElementoID s d sCategoria s wt sIP s d sSalaID s w t sEstado sn desc ALARME NMSIS netbox El
68. SISTEMA DE CORRELA O DE EVENTOS E NOTIFICA ES SCEN Carlos Alexandre Correia Leite da Silva Mestrado em Engenharia Electrot cnica e de Computadores rea de Especializa o de Telecomunica es Departamento de Engenharia Electrot cnica Instituto Superior de Engenharia do Porto 2010 Este relat rio satisfaz parcialmente os requisitos que constam da Ficha de Disciplina de Tese Disserta o do 2 ano do Mestrado em Engenharia Electrot cnica e de Computadores Candidato Carlos Alexandre Correia Leite da Silva N 1920550 1920550 isep ipp pt Orienta o cient fica Prof Doutor Jorge Botelho Costa Mamede jbm isep ipp pt Co orienta o cient fica Eng H lder Vieira Mendes hvm isep ipp pt Mestrado em Engenharia Electrot cnica e de Computadores rea de Especializa o de Telecomunica es Departamento de Engenharia Electrot cnica Instituto Superior de Engenharia do Porto 6 de Dezembro de 2010 Agradecimentos Gostaria de aproveitar este espa o para agradecer a todos aqueles que de alguma forma directa ou indirecta contribu ram para o desenvolvimento deste trabalho Que foi a n vel de conhecimento uma experi ncia bastante motivadora e muito enriquecedora Ao Prof Doutor Jorge Botelho Costa Mamede meu Orientador cient fico e ao Eng H lder Vieira Mendes meu co orientador e supervisor por todo o apoio cient fico e pedag gico e pelo rumo sustentado e tra ado desde o inicio minha
69. Structure of Policy Provisioning Information SPPD RFC 3159 Cisco Systems Nortel Networks Intel Allegro Networks PFN August 2001 J Sch onw alder and F Strau Next Generation Structure of Management Information for the Internet In Proc 10th IFIP IEEEWorkshop on Distributed 161 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Systems Operations and Management pages 93 106 Springer Verlag October 1999 J Sch onw alder and A M uller Reverse Engineering Internet MIB In Proc 7th IFIP IEEE International Symposium on Integrated Network Management Seattle May 2001 W Yeong SNMP Query Language Technical Report 90 03 31 1 Performance Systems International March 1990 A V Aho B W Kernighan and P J Weinberger The AWK Programming Language Addison Wesley 1988 J K Ousterhout Tcl and the Tk Toolkit Addison Wesley April 1994 J Sch onw alder and H Langend orfer Tcl Extensions for Network Management Applications In Proc 3rd Tcl Tk Workshop pages 279 288 Toronto July 1995 J Sch onw alder Married with Tcl In Proc 1st European Tcl Tk User Meeting Hamburg June 2000 M T Rose and K McCloghrie How to Manage Your Network Using SNMP Prentice Hall 1995 L Wall T Christiansen and J Orwant Programming Perl O Reilly 3 edition July 2000 J Sch onw alder Specific Simple Network Management Tools
70. Um cen rio que foi proposto neste trabalho o caso t pico de interfaces que est o intermitentes ao longo do tempo ou seja o seu estado oscila no tempo entre o estado down e estado up Para esse efeito foi criado um conjunto de regras que fazem basicamente o seguinte Se em qualquer momento no tempo f r criado instant neamente um evento de falha de interface de um elemento estado passa a down e se depois o mesmo interface do 144 mesmo elemento de rede passar para o estado up dentro de um espa o temporal criado uma rela o de correla o temporal entre os dois eventos A esta rela o ser inferido por correla o temporal um novo evento interno no sistema com a informa o de interface INTERMITENTE Se o interface ficar com estado down mais do que determinado tempo e n o surgir o estado up ent o gerado para a sa da do sistema e para o operador um alarme tipo MAJOR DOWN se este evento entretanto ficar com estado up ent o o operador receber o alarme NORMAL UP Se por outra via o evento interno INTERMITENTE acontecer mais do que certo n mero de vezes no tempo accionado o treshold Contagem inferido uma nova rela o de correla o temporal interna no sistema que termina com a cria o de um outro evento de sa da do sistema a informar o operador que o interface em causa est a provocar MAJOR Liga o Inst vel ou seja surgire
71. a o de eventos Esta regra do tipo Single 2 RegExp Regular Expressions um tipo de padr o de correspond ncia ou SubStr para correspond ncia em simples cadeias de caracteres 105 3 foo st S o padr o actual neste caso um padr o de express o regular do perl falaremos mais a frente Este padr o corresponde palavra foo seguido por um ou mais espa os seguidos de um ou mais caracteres de n o espa o tais como bar grok ou 1 443z Para este tipo de correspond ncia utilizando express es regulares foi estudado as express es regulares tais como as de Nicholas Clarks 96 entre outras 97 98 4 desc uma defini o de vari vel para a descri o do padr o de amostragem Neste caso 0 que uma vari vel numerada do perl definida para guardar todo o padr o de amostragem reconhecido ou correspondido 5 action uma instru o que descreve a ac o executada quando o padr o reconhecido Neste caso a a o logonly simplesmente grava o padr o de amostragem para o ficheiro de log se o ficheiro f r indicado na linha de comando sen o f r grava para o ficheiro de sa da escolhido por defeito Poderiamos ter dado uma ac o para escrever em determinado ficheiro a data e hora interna do SEC e escrever uma mensagem ex action write out txt t 0 escrito com sucesso Depois de gravado o ficheiro SCEN 01 conf executado o seguinte commando sec conf SCEN 01 co
72. a a rede de teste um caso de estudo com um algoritmo de correla o temporal que permite a filtrar suprimir e generalizar eventos que podem inundar uma rede com muita informa o Para ambos foi apresentada a resposta do sistema aos est mulos dos eventos A preocupa o principal em ambos os algoritmos foi procurar uma forma de remeter a resposta do sistema para o essencial Na segunda parte s o apresentadas e descritas de form pr tica as regras aplicadas e forma como as ac es das regras respondem em situa es reais na rede de estudo criada para o 34 efeito Foram estudadas as express es regulares em Perl que s o aplicadas nas regras os princ pios funcionais das regras e as vari veis internas Foram descritos dois tipos de regras PairWith Window e Pair para obter o mesmo fim Em cada uma das regras foi descrito o seu modo operandus e as suas diferen as Foi apresentado um algoritmo final de correla o causal constitu do por 3 regras do tipo PairWith Window e um algoritmo final de correla o temporal com 4 regras do tipo PairWithWindow Pair Single With2Thresholds e SingleWithSuppress Por fim fez se a exposi o da resposta do sistema sa da e a forma como apresentada as notifica es do sistema sa da tanto via mail como p gina WEB Finalmente tiram se as principais conclus es do trabalho apresentado e as propostas para desenvolvimentos futuros 35 36 2
73. aap vasi tats saeuesciva E E N ANR Nn 31 1 1 CONTEXTUALIZACAO E 32 1 2 OBJECTIVOS EE 32 1 3 ORGANIZA O DO RELATORIO a e e raa oar a e A Nn a p 33 2 SISTEMAS DE GEST O DE REDES ccccscssssssssssssssssssessessssessessssesssssssesscssssessesssscsssssssssscsnssesssenees 37 2 1 INTRODU O AOS SISTEMAS DE GEST O DE REDER 37 2 2 EVOLU O DOS PROTOCOLOS DE GEST O DE REDES sssssssseessereesseteettetssetetsstreteretesereessrreessreeee 38 2 3 PROTOCOLO DE GEST O DE REDES SNMP cssccccsssececssececeessececseseeceeueeecsesuececseceeeessaeeecnenaeees 40 2 4 BASE DE INFORMA O DE GEST O MIR 45 2 5 FERRAMENTAS DE GEST O SNMP sie cereeereeereeeereenneeeee nene rece neareeaaaearenanasecanaeesa 46 2 6 INMISISS E 49 2 7 RESUMO DO CAPITULO os ses sndcsddostbescesds dd secedidetccsts Bd oi co dale ae B is ont ab ceia da died 63 3 INTRODU O A FERRAMENTAS COM CORRELA O DE ALARMES eeccceseerseeeese 65 3 1 INTRODU O CORRELA O DE EVENTOS ccsscesscsssesseessecssccssecsesccecsesesscesscascaecsecsaecsaecsaecsaeees 65 3 2 CONCEITO DE CORRELA O noren n e animacao EOEEEEE EEN 65 3 3 UTILIZA O DA CORRELA O NOS EVENTOS DE REIDEN 66 3 4 EVENTOS E FALHAS soviet dA eh E Ma ee EN eed oeh S 67 3 5 CORRELA O DE EVENTOS eerk enee ESAI EE ERENER AAAA ETE Oa Ea o ESE 68 3 6 CORRELA O CAUSAL E FILTRAGEM scccsssssecesssececessaececaneecessaececsnsaeeesseeecsesaececseeeeeesseeeese
74. agem de eventos M M 21 Faz agrega o de eventos 22 Faz generaliza o de eventos H 23 Faz especializa o de eventos 24 Temo conceito de contextos NM 25 Correla o causal 26 Correla o temporal e D e e 27 Permite correla o de eventos em tempo real H H 28 Permite propaga o de eventos em tempo real 29 Definem se circuitos de correla o para o processamento de eventos 30 Correla es simples atrav s da interliga o das primitivas de um n 31 Tecnicas de feedback dos dados do circuito de correla o 32 Executa ac es conceito de ac o e de reac o 33 M ltiplas ac es numa simples linha com correspond ncia 34 Envia notifica es de mail H H H 35 Envia notifica es de alerta por socket Unix ou por mensagens Winpopup Windows 36 An lise de Protocolos 37 A entrada s o os ficheiros de log dos sistemas Unix syslog 38 Entrada s o os ficheiros de alerta do Snort no direct rio log ou a base de dados do Snort 96 39 Aentrada pode ser qualquer tipo de ficheiro ou aplica o 40 Capacidade de alerta em tempo real 41 Utiliza armazenamento de eventos em ficheiros logs 42 Faz shifting de ficheiros de logs 43 Dedica se as tarefas de manut n o da rede 44 Inspec o de diagn stico e rastreio de problemas
75. al pages unpublished see http www cert dfn de eng logsurf Matt Bing and Carl Erickson Extending UNIX System Logging with SHARP Proceedings of USENIX 14th System Administration Conference pp 101 108 December 2000 Hewlett Packard Company Event Correlation Services Designer s Guide HP document J1095 90304 1998 SMARTS http www smarts com NerveCenter http www open com htm nervecenter htm SOC Security Operations Center http www mainroad pt Blade SmartEvent Software http www checkpoint com softwareblades smartevent html Hawk Network Defense Enterprise Event Correlation amp Heuristic Trend Analysis for Unified Information Security http www hawkdefense com Shane O Donnell Network Management Open Source Solutions to Proprietary Problems Proceedings of the 28th SIGUCCS Conference on User Services pp 208 217 October 2000 CLIPS http clipsrules sourceforge net G Jakobson and M Weissman Real time telecommunication network management Extending event correlation with temporal constraints Proceedings of the 4th International Symposium on Integrated Network Management pp 290 301 May 1995 Peter Wainwright et al Professional Perl Programming Birmingham UK Wrox Press Ltd 2001 165 92 Hugh R Casey The Simple Event Monitor A Tool for Network Management MSc thesis University of Colorado 2002 93 Jim Brown Working with SEC the Simple Event Correlato
76. alder Overview of the 2002 IAB Network Management Workshop May 2003 IETF RFC 3535 J Sch onw alder A Pras and J P Martin Flatin On the future of Internet management technologies IEEE Communications Magazine vol 41 no 10 pp 90 97 October 2003 Homepage of the XML Protocol WG http www w3 org 2000 xp Group Homepage of the Web Services Description WG http www w3 org 2002 ws desc Homepage of the IRTF Network Management Research Group NMRG http www ibr cs tu bs de projects J van Sloten A Pras and M van Sinderen On the standardisation of Web service management operations in Proceedings of 10th Open European Summer School School and IFIP WG 6 3 Workshop EUNICE 2004 June 2004 pp 143 150 Paula Viana Modelo TCP IP e Modelo TCP IP Encapsulamento INGRE IPv4 v2 2 2005 Cisco Systems Understanding TCP IP Appendix A Posted Sat Sep 28 PDT 2002 Paulo Pereira Jorge Sousa Pedro Teixeira Paulo Pinto Plataforma Din mica de Gest o de redes Instituto Superior T cnico INESC Faculdade de Ci ncias e Tecnologia Universidade Nova de Lisboa publicado nas Actas da 1 Confer ncia Nacional de Redes de Computadores CRC 98 Kraig Meyer Mike Erlinger Joe Betser Carl Sunshine German Goldszmidt Yechiam Yemini Decentralizing Control and Intelligence in Network Management Proceedings 4th International Symposium on Integrated Network Manageme
77. alhar toda esta informa o para poder colectar os eventos que interessam usar entrada do novo sistema SCEN O novo motor de correla o ter como fun o analisar todos estes eventos gerados por esse daemon 2 7 RESUMO DO CAP TULO Ap s um estudo introdut rio aos protocolos normalizados a n vel internacional tais como o SNMP da comunidade IETF o CMIP da comunidade ISO o TMN da comunidade ITU e o ILMI da comunidade ATM Forum Foi estudado o contexto hist rico de como apareceram Com o prop sito de interligar v rias redes heterog neas a n vel nacional e internacional e conceber um modelo que descrevesse um conjunto de aspectos condi es gerais para desenvolvimento de protocolos espec ficos de rede Um dos muitos protocolos na camada de aplica o e de grande interesse para o mbito de estudo desta Tese o SNMP O protocolo SNMP foi definido no final dos anos 80 para fazer o endere amento de gest o de redes internet A arquitectura SNMP introduz algumas entidades os gestores SNMP os agentes SNMP o protocolo SNMP e a informa o de gest o MIB O gestor comunica directamente com os agentes dos elementos de rede atrav s do protocolo de gest o de duas formas distintas de comunica o via polling e via traping Existem v rias opera es que s o feitas entre gestor e o agente das quais apenas citamos as mais importantes e que fazia parte do SNMPvl GetRequest GetNextRequest SetRequest Trap Os agentes SNMP po
78. aplicado em diversos dom nios como ambientes com in meras avarias de rede e de performance de intrus o e detec o de monitoriza o e an lise de ficheiros de log Foi tamb m utilizado para investiga o acad mica 92 3 22 RESUMO DO CAPITULO Neste cap tulo come amos por referir que o conceito de correla o de eventos pode ser definido pelo coeficiente de correla o que indica a for a e a direc o da relac o linear entre duas vari veis aleat rias Foram abordados as permissas da correla o de eventos ou seja diagnosticar a raiz do problema que causa falhas para isso preciso recorrer a t cnicas e m todos de filtragem de eventos que inundam a rede correlacionando os num pequeno n mero ou um nico evento conceptual Para que garantir a efic ssia do sistema este dever ser correcto acertar com alta probabilidade na raiz da causa do problema e dever ser ideal o sistema deve inferir um pequeno n mero de ra zes das causas que podem explicar todos os eventos detectados Foram abordadas quest es a respeito dos eventos e falhas os eventos est o associados a um objecto no qual eles ocorrem O objecto uma entidade com determinado estado modelizado como uma colec o de par metros cujos valores podem mudar com o tempo A falha um evento que est associado a um estado anormal da rede Eventos podem ser nativos ou compostos s o nativos se forem gerados internamente e s o directamente observ veis
79. ar eventos de redes diferentes E geralmente usada para correla o de alto n vel Esta abordagem adopta diferentes t cnicas de correla o para diferentes n veis de correla o Conclu do o estudo dos diferentes m todos para inferir rela es entre eventos Os tipos de opera es que podem ser realizadas durante o processo de correla o de eventos E as t cnicas que servem de base ao racioc nio durante os processos de correla o de eventos Posto isto poss vel entrar no estudo das ferramentas de correla o de eventos que actualmente existem no mercado ou em regime de c digo fonte aberto 77 3 10 FERRAMENTAS COM CORRELA O DE ALARMES A correla o de eventos tornou se uma das t cnicas mais importantes nas redes de gest o O seu principal objectivo permitir a redu o de eventos de rede para um menor n mero e mais significativo no conjunto de mensagens de alarmes que podem ser manipulados por um operador numa janela temporal mais conveniente Neste contexto ser feito uma pesquisa a um leque alargado de ferramentas que tem como principal objectivo o processamento e correla o de eventos Neste sentido a orienta o deste trabalho de Tese de Mestrado ser na procura e estudo de ferramentas de c digo fonte aberto segundo os termos do Free Software Foundation FSF e mais especificamente ferramentas do sistema operacional General Public License GNU Ou seja software completamente livre e gr ti
80. ara correla o de eventos de servi o e de Elemento Rede 142 Breve explica o da regra Pair A regra Pair trata de 2 patterns 2 ac es e uma janela de tempo dentro da mesma regra utiliza uma janela temporal que activada ap s a primeira ocorr ncia do evento A Se o evento B ocorre dentro da janela os eventos A e B s o considerados correlacionados e o matching considerado regra inteira Se n o a opera o de correla o para o par A e B termina A action 1 ac o executada de imediato quando feito o matching do evento A e a action 2 ac o executada quando feito o matching do evento B na mesma janela temporal Faz matching pattern do evento A se f r recebida escreve num ficheiro de log ou pipe um alarme com o seguinte texto com data e hora interna do SCEN Falha no servi o 3 do servidor 2 gerado imediatamente e um evento interno servi o 3 servidor 2 e passado s outras regras Se a 2 pattern n o for recebida dentro de 40 segundos n o faz mais nenhuma ac o Quanto menor a janela temporal melhor poss vel afinar a granularidade ou seja a quantidade de vezes que o link cai dependendo desse n mero poss vel depois mexer nos tresholds de contagem para definir quando se deve parar a compress o e supress o e poder inicializar um processo de generaliza o dos eventos Posto isto mais f cil compreender como funcionam as
81. are do sistema que est ser monitorizado Quando um 74 evento ocorre o modelo de software procura o rasto do evento para tr s at a sua fonte para determinar a causa 163 Quando a causa determinada o sistema reage de acordo com as suas defini es 3 9 3 CASE BASED REASONING A aproxima o case base reasoning de todas as op es dispon veis a mais complexa para correla o de eventos 161 Este m todo faz uso do armazenamento de experi ncias passadas que modifica para safisfazer a situa o currente Num sistema de case based cada evento que chega avaliado a informa o extra da durante este processo de avalia o usada para recuperar experi ncia relacionadas Estas experi ncias s o depois modificadas para satisfazer a nova situa o descrita no evento Uma vez a situa o tratada toda a informa o referente armazenada como experi ncia para uso futuro Com algoritmos correctos o m todo de racioc nio case based pode aprender como responder eficazmente a situa es no seu ambiente 161 3 9 4 CODE BASE CORRELATION Na aproxima o code based reasoning para correla o de eventos as regras para responder a um evento s o representadas numa matriz Para matrizes extremamente grandes algoritmos de compress o podem ser aplicados para produzir uma vers o compacta com tamanho de armazenamento e tempos de pesquisa reduzidos A miniaturizada matriz resultante conhecida por code da
82. ase de dados do Snort para criar os ficheiros de sa da em HTML A consola Snortsnarf console n o permite a visualiza o de alertas em tempo real 145 A utiliza o do SnortSnarf facilita bastante a visualiza o dos alertas por produzir uma boa interface onde o administrador pode utilizando recursos de browsers comuns navegar pelos alertas e mais rapidamente identificar problemas mais graves Possui algumas op es tais como a d lt diret rio gt especifica o direct rio onde ser o gerados os arquivos HTML esse diret rio deve estar num caminho dentro do diret rio base do servidor web para poder ser acedido atrav s de um browser comum b Idir lt URL gt d a possibilidade de criar hiperlinks nas p ginas geradas para os arquivos com o conte do dos pacotes capturados Essa op o especifica a Uniform Resource Locator URL para o diret rio onde est o contidos os registos c rulebase lt arquivo de regras gt Especifica o arquivo de regras que usado pelo Snort Muito til para incluir nas p ginas geradas links para descri es dos ataques detectados Uma desvantagem a utiliza o adicional de recursos dos sistemas onde est o os sensores e o defasamento na visualiza o dos alertas principalmente em janelas de alto tr fego Em experi ncias realizadas chegou se a conclus o que sua utiliza o deve ser associada a outros m todos de visualiza o tradicionais exame manual dos registos aconselhando
83. aso o postfix que v m por defeito com o ubunto O postfix o agente que tem a tarefa mais pesada de enviar o mail aos outros MTAs Para configurar o postfix para usar o servidor de SMPT do ISP preciso alterar a configura o do postfix no direct rio etc postfix main cf e definir a seguinte configura o depois fazer reload ao execut vel postfix sudo etc init d postfix restart relayhost isp smtp server domain name 2 Posto isto poss vel enviar mensagens de mail ao utilizador local e ou utilizadores remotos Pode se enviar uma mensagem do tipo echo corpo da mensagem mailx s subject mail destino echo Wiat SEa be 2 Ehe Ono medine eer Serko mog Co Sewe Moema mailx s Evento SCEN NMSIS root localhost Com o sistema de regras do SCEN poss vel atrav s da ac o pipe fazer exactamente a mesma opera o do comando Unix anterior da seguinte forma action pipe t Falha no servi o 2 do servidor 1 mailk s Evento SCEN NMSIS root localhost 148 5 10 SIMULA O DE TESTES E RESULTADOS 5 10 1 DEFINI O DO TIPO DE TESTES Os testes consistiram em validar a consist ncia do sistema montado na percep o e relev ncia que d a determinada sequ ncia de eventos que levam falha de um servi o E analisado a forma como o sistema se comporta face a essas entradas e se age em conformidade O objectivo principal nesta s rie de testes e simula es
84. ated Network Management Santa Barbara California USA Chapman amp Hall pp 266 277 1995 107 Kenneth R Sheers HP OpenView Event Correlation Services Hewlett Packard Journal October 1996 108 D Ohsie A Mayer S Klinger and S Yemini Event modeling MODEL language in Proceedings of the Fifth IFIP IEEE International Symposium on Integrated Network Management pp 625 637 1997 Ubuntu manuals http manpages ubuntu com Snmptrapd conf http manpages ubuntu com manpages dapper man8 snmptrapd 8 h 109 M Hasan B Sugla and R Viswanathan A Conceptual Framework for Network Management Event Correlation and Filtering Systems in Proc 6th IF P IEEE International Symposium on Integrated Network Management IM 1999 Boston MA USA May 1999 pp 233 246 110 Networking Academy OSI Model Cisco ICND1 ICND2 Cisco Public 2007 166 111 H lder Vieira Mendes Gest o e Monitoriza o de uma rede Departamental Um caso de Estudo Departamento de Engenharia Electrot cnica Instituto Superior de Engenharia do Porto 2008 112 Jo o Neves SNMPv1 The Simple Network Management Protocol version 1 Faculdade de Engenharia do Porto 2006 113 Jo o Neves SNMPv2 A Evolu o do SNMP Faculdade de Engenharia do Porto 2006 114 Jo o Neves Gest o de Redes Faculdade de Engenharia do Porto 2006 115 Stallings William SNMP SNMPv2 and CMIP The Practical Guide to Network
85. atrav s de um motor de infer ncia Utiliza a chamada mem ria de execu o que serve para salvar informa o durante o per odo de execu o dos processos de verifica o Quando se pretende criar determinadas regras no SEC algumas quest es podem ser levantadas do tipo quais as regras que queremos utilizar e implementar Na altura de implementa o de um novo processo no SEC podemos escolher v rios tipos de regras que est o actualmente dispon veis em termos de configura o O SEC suporta v rias formas de compress o supress o filtragem contagem rela o causal e temporal e opera es de clustering Ao combinar v rias regras podemos obter in meras variantes de todas as opera es de correla o de eventos 123 O ficheiro de configura o do SEC consiste numa serie de defini es de regras as defini es s o feitas 101 por linha com o espa o em branco e espa o de TAB usados como separadores de campo Todas as defini es das regras t m as seguintes partes e Tipo de regra Rule Type Single SingleWithScript SingleWithSuppress Pair PairWithWindow SingleWithThreshold SingleWith2Thresholds Suppress e Calendar e Comportamento depois da Correspond ncia Especifica se a procura de correspond ncia matching deve continuar ou n o depois de encontrado a correspond ncia entre a regra corrente e a linha de entrada Uma das strings TakeNext e DontCont deve ser especificada com
86. av s da configura o pr via dos elementos de rede Swich Router para a capacidade de gerarem traps As traps s o recolhidas e trabalhadas pelo daemon snmptrapd Net SNMP e s o guardadas num ficheiro de log ou numa file stream Depois de enviadas para esse ficheiro existe um outro daemon programado em linguagem Perl a correr em background com a fun o de colocar toda a informa o das traps leg vel e capaz de ser verificada pelo correlador Este sistema constitu do pela ferramenta de correla o e os tr s daemons de comunica o s o a arquitectura do SCEN figura 18 Figura 18 Arquitectura do prot tipo SCEN O SCEN tem dois tipos de eventos de entrada e Eventos de poolling via daemon PHP querys ao NMSISdb e Eventos de notifica o traps via daemon Net SNMP e daemon em Perl H Para receber as notifica es dos elementos de rede procedeu se programa o e configura o de tr s m dulos Passaremos sua descri o 116 4 4 SCRIPT DE LEITURA DO NMSISDB VIA QUERY DAEMON PHP Este script programado em linguagem Hypertext Preprocessor PHP funciona como um daemon que faz quatro tipos de querys Query Servi o Query SRV Query SW Query GW base de dados NMSISdb Cada uma dessas querys seleciona e cruza v rios tipos de tabelas com informa o do servi o dos elementos box e tabelas conjugadas de routers e switchs ver descri o do NMSIS O objectivo principal deste script a poss
87. bem definidos Desenvolvimento interactivo com base em texto com editor integrado e interfaces com menus com editores e janelas MacOS Windows 95 98 NT X Window Verifica o e valida o de inconsistencias e erros an lise sem ntica das regras e dos valores das slots e dos argumentos das fun es Boa portabilidade entre sistemas Boa documenta o Requisitos de Sistema e licenciamento d O CLIPS permite operar com v rios sistemas Windows 95 98 NT MacOS X Unix As c pias do CLIPS os execut veis a documenta o e c digo fonte podem ser acedidos atrav s do projecto dispon vel em SourceForge e s o sujeitas ao acordo de licensiamento Observa es Gerais O CLIPS um ambiente para programa o de sistemas com base no conhecimento humano como por exemplo sistemas especializados Pode ser utilizado num conjunto com linguagem de programa o ou utilizado separadamente O sistema CLIPS foi desenvolvido para facilitar a gera o de programas que modelizam o conhecimento ou alguma especializa o humana 131 Existem tr s maneiras de representar conhecimento no CLIPS a Regras b Deffunctions e fun es gen ricas c Programa o orientada a objectos poss vel desenvolver programas apenas com a utiliza o de regras objectos ou uma combina o dos dois Regras e objectos formam um sistema integrado j que regras podem ser utilizadas para o casamento de padr es em factos e objectos O CLIPS uma fe
88. carga de CPU utiliza o de mem ria tr fego nas intersec es de rede entre outros pode ser feita de forma permanente E caso se atinja determinados valores de threshold s o lan ados alarmes por mail ou SMS Com o NMSIS igualmente poss vel monitorizar o estado de operacionalidade dos servidores computadores activos de rede e respectivos servi os HTTP POP SMTP SMB etc impressoras de rede entre outros 51 2 6 1 MONITORIZA O DE EVENTOS E NOTIFICA ES DO NMSIS Para o desenvolvimento deste trabalho interessa nos focar nos eventos de falhas de rede mais do que em qualquer das outras caracter sticas que o sistema possui Para podermos saber quais os eventos de falhas de rede que s o gerados pelas ferramentas do NMSIS e como poderemos colect los no sistema de correla o preciso entender como todas as tabelas da base de dados NMSIS se conjugam para podermos trabalhar esses eventos 2 6 2 BASE DE DADOS A base de dados principal 111 a manage e cont m a informa o de topologia da rede tabelas para o sistema de eventos e alertas para o sistema de mensagem etc A base de dados de perfis tem informa o dos utilizadores e seus perfis A base de dados Arnold tem informa o das portas dos switches que est o bloqueadas pela ferramenta de front end do Arnold A base de dados logger uma pequena base de dados para o Cisco syslog analyzer 2 6 3 TABELAS PRINCIPAIS
89. configurados para o efeito O NMSIS centra toda a sua arquitectura de software em bases de dados relacion veais para armazenamento de informa o O estado de todos os activos de rede feito atrav s da informa o guardadas em v rias tabelas essa informa o depois disponibilizada como mostra a figura 9 onde poderemos visualizar v rios activos pelo seu endere o de rede e o respectivo estado actual na coluna up al m de outras informa es NMSIS Network Administration Visualized Home gt Report gt Devices in Operatior Preferences Toolbox Userinfo Logout jodal Report Advanced Searct Devices in Operation gt gt 1000 of 119 IP address Cat Orm Up smod eswp sgwp sprefixes Mem snmp Software 102402211 EDGE vet 27 d F053 10 240 20 15 y nett y 1 2 7 POS 129 241 67 EOGE ett 2 Si 75 EOS17 10 240 20 12 d nett y 1 28 Mem 89 12X37 SE1 129241353 EDGE 524 nett y i E 75 FS 17 12924126200 muer Ge d 1292410119 CG is00172 nett y 2 b 3 Mem 81 12X4jvaz 129241 149195 EDGE Sw ig nett 7 3 sa J 25 129 241 1785 EDGE P34 nt y 1 2 ai 216 12924161214 OTHER nit y 1 s 10 240 207 5 catalyo13524 XL nett y i Mer 65 12KSWC1I7 1292411493 EDGE hpZEZEA nett 1 26 71 0731 10 240 2018 hp26508 nett y U Si 7 00 74 129 241 12132 EDGE hp26264 nett y 2 2 75 07 SO 129 241 26 203 THER nett 10 240 20 16 Sw catalyst3524 XL nett Y U KI Mem 7 1205 WCI7 10240208 sv NDGA nett r U 2 2 4085
90. culdade que surge na constante configura o e adapta o dos par metros de an lise dos actuais sistemas por isso apresentado uma plataforma de valor acrescentado que permite auxiliar os respons veis pela gest o de infra estruturas de sistemas inform ticos Para melhorar a sua efic cia na resolu o dos problemas dos seus sistemas e redes atrav s da observa o de um subconjunto de eventos que relevante na globalidade de eventos recebidos Para tal foram estudadas outras solu es v rias ferramentas comerciais de fonte de c digo aberto e foram estudadas as suas caracter sticas e os seus modelos Foi posteriormente desenvolvido um novo modelo adaptado com base numa ferramenta escolhida e que contempla a interac o de v rios elementos de monitoriza o de rede Estes elementos criam a capacidade de observar mudan as de estado dos servi os definidos e corrrelacionar as referidas altera es com os eventos que v o sendo obtidos dos sistemas A infra estrutura de monitoriza o proposta visa assim permitir a avalia o da relev ncia dos eventos recebidos a partir de sistemas de pooling ou de notifica o e da inferir a import ncia dos eventos deixando de ser necess rio ao administrador da plataforma de gest o ou ao administrador de sistema ter esse trabalho Para validar o modelo foi implementado um laborat rio virtual onde foram criados os elementos constituintes do modelo proposto e foram feitas simula es co
91. da sala Gravidade Acess vel ou n o acess vel y n Entrada SELECT netbox catid netbox ip netbox roomid netbox up FROM netbox WHERE netbox catid GW Exemplo de evento de sa da Query Cw TE 0 S275 0 Sakata ES 00 Estado N 5 3 TIPOS DE EVENTOS DE TRAPS VIA DAEMON NET SNMP Como foi demonstrado nos cap tulos anteriores as notifica es traps que s o enviadas pelos equipamentos activos de rede s o recolhidas pelo deamon snmptrapd do Net SNMP que ser encarregue de fazer o log dessas traps num pipe ficheiro tipo fifo 128 Exemplo de um trap de um switch 2010 09 00 Ole 2eea 0 0232 10043080 EE 110 032 EE TRAP SNME vis community public SNMPv2 SMI enterprises 9 1 217 Link Down Trap 0 Uptime 32 days 7 47 32 86 IF MIB ifIndex 25 INTEGER 25IF MIB ifDescr 25 STRING FastEthernet0 24 IF MIB ifType 25 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 25 STRING down As traps tem in mera informa o toda esta informa o passa por um m dulo que corre em linguagem Perl com a tarefa de processar todas as linhas de informa o de cada uma das traps recebidas do snmptrapd e colocar cada trap numa nica linha para a correspond ncia padr o executada pelo motor de infer ncia do SEC que faz o varrimento linha a linha durante o tempo de execu o De toda esta informa o a que interessa realmente utilizar a seguinte Tabela 10 De
92. dem ser qualificados em dois padr es distintos que diferem entre si pela forma como s o implementadas as funcionalidades do protocolo SNMP e pelo modo como s o feitas as interac es com os dispositivos geridos agente extens vel e agente estendido A troca de informa o entre as plataformas de gest o gestor e os agentes feita por interm dio da 63 MIB que corresponde ao conjunto de informa es de gest o dispon veis no agente e define os dados nas opera es do protocolo de gest o Como o mbito de estudo deste trabalho de Tese a introdu o de um novo m dulo com um Sistema Correla o de Eventos e Notifica es SCEN num sistema de gest o de alarmes com protocolo SNMP No caso espec fico deste trabalho o enquadramento da ferramenta de gest o SNMP ser na ferramenta que j est em produ o no departamento DEE e DEG chamada NMSIS O SCEN vai servir para instrumentar e dotar este sistema de gest o NMSIS com um bloco de correla o de eventos que n o existia Por isso foi feita a an lise pormenorizada ao sistema NMSIS com o objectivo de criar um sistema integrado de gest o e correla o de eventos Foram estudadas as suas caracter sticas e funcionalidades mais importantes Foi estudado a constitui o da base de dados NMSISdb as tabelas mais importantes as suas rela es e o modo com se conjugam Por fim foram estudadas as v rias ferramentas de estado do NMSIS Status Monitor Service Monitor
93. didos e um dos mais difundidos neste tipo de ambiente O agente utiliza a MIB para manipular obter alterar informa es do dispositivo com ordens vindas do gestor via SNMP 2 4 BASE DE INFORMA O DE GEST O MIB O protocolo SNMP est mundialmente disseminado pelas redes actuais e usado em todo o tipo de aplica es que envolve gest o de redes entre v rias tarefas o SNMP serve para o seguinte tipo de fun es a monitorizar b controlar dispositivos de rede c colectar estat sticas d gerir configura es e medir performance f activar os sistemas de seguran a etc A Management Information Base MIB uma forma de troca de informa o entre as plataformas de gest o Gestor e os agentes nos dispositivos atrav s do protocolo SNMP As MIBs s o uma das mais importantes e vis veis interfaces de gest o para os dispositivos de rede 113 115 116 A MIB corresponde ao conjunto de informa es de gest o dispon veis no agente e define os dados referenciados nas opera es do protocolo de gest o durante a comunica o entre o gestor e o agente Por outras palavras o conjunto de todos os objectos SNMP colectivamente conhecido como a MIB um arquivo codificado de forma que o gestor saiba quais as informa es que podem ser solicitadas ao agente e as informa es de notifica o traps que poder o ser enviados pelo agente Todos os objectos acedidos pelo SNMP devem ter nomes nicos definidos e atrib
94. do num servidor 1GHz PIII O teste decorreu com dura o de 17 5 dias 1523599 segundos na sua configura o o SEC tinha 57 regras com uma m dia de 47 5 eventos de entrada por segundo 9 2 dos 72390360 eventos de entrada houve total correspond ncia e foram correlacionados todos os eventos Durante esta experi ncia o SEC consumiu 4 7 do tempo de CPU 73 74 O autor do SEC recebeu in meros pedidos de informa o de v rias empresas das quais destacam se as seguintes tabela 5 Tabela 5 Resultados do survey de utilizadores do SEC 107 Type of the Location Description of the How SEC is applied Advantages of SEC over other company managed network event correlation systems Banking card Europe 30 servers routers and Event correlation engine for NMS and Straightforward easy and authorization firewalls IDS logfile monitoring and system transparent configuration and rule center monitoring An important application definition system of SEC is fraud detection Technology US 600 nodes across US Gather and correlate service issues Power and control in the amount based and UK from Cisco CSS content switches you choose marketing agency Financial US 6000 workstations 400 Used as a central event correlation More flexible and customizable institution servers 350 switches engine for HP OpenView NNM Also than other event correlation 250 routers distributed used for central monitori
95. dos os eventos que est o a decorrer em tempo real e tamb m atrav s de notifica o via mail caso se justifique 5 9 1 NOTIFICA O VIA WEB O SCEN permite monitorizar em tempo real todas as mensagens de sa da do sistema tanto num ficheiro de texto como numa p gina WEB Ap s o SCEN executar uma ac o de escrita num ficheiro de sa da que pode ser do tipo file stream ou de log poss vel retirar 146 essas mensagens de sa da e redirecion las para uma p gina HyperText Markup Language HTML mais amiga do utilizador Essa p gina permite colectar todas as mensagens de sa da do sistema Foi instalado um servidor HyperText Transfer Protocol HTTP chamado apache2 No directorio raiz do apache2 foi criado uma p gina com um script em PHP que abre o ficheiro de sa da do sistema l todo o texto linha a linha e visualiza o em formato HTML A p gina faz um refresh autom tico a cada 5 segundos como ilustra a figura 28 3 Applications Places System ot Tue Nov 2 5 05 PM SCEN Mozilla Firefox casilva File Edit View History Bookmarks Tools Help 4 6 ff Te http ocalhostica php Mv A Es Most Visited Getting Started E3Latest Headlines v e SCEN E How to Take a Screenshot in o db v SCEN EM ACCAO A Data e Hora currente sao 5 05 PM Tuesday November 2 2010 Informacao de saida Eventos de saida Tue Nov 2 17 04 43 2010 Falha no servico http do Servidor 10 1 33 1 devido a
96. e com a defini o do que consta em cada linha da tabela Por fim poss vel inserir na rvore da MIB informa o sobre as traps que podem ser enviadas pelo agente ao gestor de modo que o gestor possa interpretar as notifica es que ele recebe Concluindo a defini o dos objectos da MIB feita com um esquema de nomes do Abstract Syntax Notation One ASN 1 o qual atribui a cada objecto um prefixo longo que garante a unicidade do nome a cada nome atribu do um n mero inteiro O SNMP n o especifica conjuntos de vari veis e a defini o de objectos independente do protocolo de comunica o permitindo desta forma criar novos conjuntos de vari veis MIB definidos como norma standards para novos dispositivos ou novos protocolos Por esta raz o foram criados muitos conjuntos de vari veis MIB que correspondem a protocolos como UDP IP ou ARP assim como vari veis MIB para hardware de rede como Ethernet FDDI ou para dispositivos tais como routers switches ou impressoras 2 5 FERRAMENTAS DE GEST O SNMP O objectivo da gest o de redes garantir que os utilizadores tenham acesso aos servi os de que necessitam e com a qualidade esperada Por isso a gest o de redes vocacionada de forma a garantir a sua pr pria disponibilidade b reduzir os custos operacionais c aumentar a flexibilidade de opera o e integra o das redes d permitir facilidades de uso e garantir caracter sticas de seguran a Por iss
97. e hora interna do SEC Host xxx xxx xxx xxx x state normal state 175 Anexo D Exemplo de pattern de matching em v rios eventos via query ao NMSIS recorrendo as express es regulares Neste anexo est o exemplos dos quatro tipos de querys e as respectivas express es regulares respons veis pela sua correspond ncia Query Servi o Query Evento do NMSIS Query Servico IP 10 1 33 1 TipoServico http Estado n IP s d sTipoServico s w t sEstado sn Query Servidor Quen yess Ree alm ORS Mertes e ho OFA Estados 10 0 32 100 Porto FastEthernet0 8 y CONECTADO Query SRW wes WO cia sisyaal ker Porto ME Eege EG wil F507 Estado y CONECTADO Elemento Elemento 10 1 33 100 SRV sSIP s d dt d d AsSalaID s Nw sEstado sn s Elemento s d sPorto s Query Switch Query onre 101 55 400 Calatbo Mao Estado yo CONECTADO 10 0 32 250 Porto FastEthernet0 1 Query SW IPs 10 0 32 100 SalalDbo F507 Estado y CONECTADO 10 0 32 250 Porto FastEthernet0 0 SW sIP s d d sPorto s d d d sSalaID s w sEstado Si Query Gateway WEI En oO 32 2150 a EOE SEa O GW sIP s d 176 d d d AsSalaID s Nw sEstado Elemento Elemento sn s Elemento s sn Anexo E Exemplos de pattern de matching de v rias traps recorrendo as express es regulares Neste anexo est o v rios
98. e identifica o e resolu o de problemas Como apan gio da Engenharia grandes problemas requerem solu es simples Existem in meros trabalhos de investiga o que podem ser encontrados onde se abordam estas quest es no sentido de criar e melhorar os processos que levem a uma eficaz gest o de recursos e de sistemas Esta disserta o mais um desses trabalhos e mais um exerc cio nesse sentido 6 4 TRABALHO FUTURO Partindo do princ pio que Nenhuma obra nasce acabada existem sempre melhoramentos a fazer alguns deles podem ser discutidos neste cap tulo 6 4 1 DESENVOLVIMENTO DE UM AMBIENTE GR FICO Na ptica da interface gr fica do sistema e com o prop sito de criar um ambiente user friendly com o operador do sistema legacy NMSIS faltou integrar a sa da do sistema SCEN na interface gr fica nativa do NMSIS Embora a resposta do sistema SCEN seja visualizado numa p gina WEB concebida para o efeito ficou por fazer a interface de sa da do sistema de correla o SCEN no ambiente NMSIS 6 4 2 SISTEMA DISTRIBUIDO Dotar o sistema com capacidade de distribui o com v rios processos activos a correr em simult neo Ou seja v rios ficheiros de configura o a trabalhar autonomamente podendo estabelecer liga es atrav s de eventos externos ou contextos O sistema pode interagir com outros sistemas e scripts activando v rias ac es com comandos de shell que podem ser utilizados nas mais d
99. e muitas outras 111 Este sistema forma um universo constitu do por v rias aplica es Vamos come ar por focar o estudo na frac o integrante do NMSIS que respons vel pelas fun es de pooling aos elementos de rede e de que forma essa informa o armazenada pelo sistema A base de dados do NMSIS NMSISdb tem como principal fun o o armazenamento de todos os par metros de rede Foi elaborado um estudo ao sistema integrante do NMSIS respons vel pela monitoriza o e gest o de rede descrito na figura 4 168 com o nome de NAV 49 NMSIS Figura 4 Arquitectura do NMSIS Caracter sticas e Funcionalidades Especificas e Suporta SNMP e Invent rio dos elementos da rede vers o de software local tipo etc e Monitoriza o de servi os de rede servi os WEB MAIL Bases Dados Rede e Monitoriza o dos recursos do computador Carga de processamento utiliza o de disco etc e Acesso remoto via SSL ou SSH e Processo de escalonamento dos problemas na notifica o e Administra o de seguran a e acessos ferramenta de gest o e Monitorizar e medi o tr fego nas liga es de rede com gera o de alertas e Notifica es por E MAIL SMS e outras definidas pelo utilizador e Interface com utilizador via WEB e Base de dados que guarda informa o de rede 50 e Informa o da topologia de rede interconex o entre elementos autom tica e Tem monitoriza
100. e rede 4 2 PLANTA DE TESTE NO LABORATORIO DE REDES F507 Para an lise da integra o da nova ferramenta Sistema Correla o Eventos e Notifica es SCEN no sistema NMSIS foi criado uma nova rede em ambiente de teste para que seja poss vel simular todos os eventos de entrada no sistema sem ambiguidades e limpos de mensagens de sistemas externos A tipologia desta rede em forma de rvore como demonstra a figura 16 assim poss vel simular quebras em qualquer segmento da rede e analisar a resposta do sistema s v rias situa es impostas Com este prot tipo de rede de testes poss vel analisar o tipo de resposta que o sistema d aos v rios tipos de eventos de entrada Figura 16 Ocorr ncia de quebras em v rios segmentos de rede 112 Para o efeito foi criada uma nova rede constitu da por tr s Servidores dois Switchs e um Router Este tipo de cen rio tem uma configura o que representa os principais elementos de uma rede real O exemplo da figura 17 apresenta uma estrutura em rvore com duas redes distintas ou seja dois dom nios de broadcast em layer 3 camada de rede cada liga o do router Gateway aos Switch considerado um segmento de rede distinto Neste contexto existem ao todo cinco segmentos de rede onde poder o ser infligidos quebras f sicas para simula o de eventos Rede 1 Rede 2 GATEWAY om EN a e 400 ER 100M YTO COOL Co ki
101. e snmptrapd as suas caracteristicas e principais fun es 64 3 INTRODU O A FERRAMENTAS COM CORRELA O DE ALARMES 3 1 INTRODU O CORRELA O DE EVENTOS Ap s a conclus o do cap tulo anterior com o estudo do modelo de organiza o das bases de dados e respectivas ferramentas espec ficas do sistema NMSIS Surge neste cap tulo a necessidade de conhecer o estado da arte actual dos princ pios que regem a correla o de eventos 3 2 CONCEITO DE CORRELA O Em teoria da probabilidade e estat stica a correla o tamb m chamada de coeficiente de correla o indica a for a e a direc o do relacionamento linear entre duas vari veis aleat rias No uso estat stico geral a correla o ou co rela o refere se medida da 65 rela o entre duas vari veis embora correla o n o implique causalidade No sentido geral existem v rios coeficientes que medem o grau de correla o adaptados natureza dos dados Interessa neste trabalho fazer um estudo introdut rio correla o de eventos no que consistem e como podem ser exequ veis na pr tica 3 3 UTILIZA O DA CORRELA O NOS EVENTOS DE REDE A correla o de eventos a funcionalidade chave de um sistema de gest o de redes que permite filtrar os eventos redundantes e artificiais de modo a determinar a raiz que causa as falhas de uma rede Um sistema de correla o normalmente combina modelos de correla o causais e tempora
102. e texto que podem ser criados e modificados com qualquer tipo de editor de texto Cada ficheiro de configura o cont m uma ou mais regras e outros conjuntos de regras de outros ficheiros podem ser aplicados l gicamente em paralelo O SEC al m de permitir a condi o de correspond ncia matching do evento permite fazer a respectiva ac o a esse acontecimento ou seja a regras definem uma lista espec fica de ac es que podem ser desencadeadas ap s a correspond ncia opcionalmente o SEC tem a capacidade de gerar express es booleanas chamadas de contexto Os contextos do SEC representam a confirma o que o SEC aprendeu durante todo o processo de correla o de eventos Cada contexto tem o seu pr prio tempo de vida finito ou infinito e permitem activar ou desactivar regras din micamente durante o tempo de execu o Os contextos s o uma das caracter sticas mais poderosas do SEC A no o de contexto pode ser de dif cil reconhecimento mental j que eles s o inst ncias l gicas de dados e agem quase como vari veis Perl brotando exist ncia medida que s o criados A sua principal caracter stica a forma como interagem com as regras durante a sua exist ncia l gica poss vel desenvolver cen rios bastante complexos e confusos de correla o de eventos ao combinar a correspond ncia da amostra padr o pattern matching com contextos e cria o e manipula o de regras 93 O SEC conceptualm
103. ecneaeeeeneaaees 118 4 6 SCRIPT PERL DE INPUT DE TRAPS VIA NET SNMP ccssscecseseceseeececeeaeeecesseececsseeeeseaeeeeneeeeeess 120 5 EVENTOS E SISTEMA DE REGRAS E AC ES DE CORRELACAO enee 123 5 1 INTRODU O AOS TIPOS DE EVENTOS DO SCEN ccccccessssceceeeeeeceeeeeeesseeeecnesaececseeeecessneeeeneaaees 123 5 2 TIPOS DE EVENTOS DE POOLING VIA QUERY AO NMSISDB cccssccecseseceeseseeceenseeessuseecesssesecsenaees 124 5 3 TIPOS DE EVENTOS DE TRAPS VIA DAEMON NET SNMP 0 c0c scceesesceceesececseceeeessseeeeseaeeeeneneees 128 5 4 ESTUDO DA CORRELA O DE CAUSALIDADE DO SCENE 129 5 5 ESTUDO DA CORRELA O TEMPORAL DO SCENE 136 5 6 PERL EXPRESS ES REGULARES cccsssseceessececssscececsceecsesaesecseseecesseeecsesaeeecseceeeesaeeecsesaeeeeneaaees 138 5 7 APLICA O DE REGRAS DE CORRELA O CAUSAL AOS EVENTO 138 5 8 APLICA O DE REGRAS DE CORRELA O TEMPORAL AOS EVENTOS cssscsssceeseceeeeeeseeeseeeeeseeenee 144 5 9 RESPOSTA DO SISTEMA Sala 146 5 10 SIMULACAO DE TESTES E RESULTADOS vinea eaoaai eaan esns areka e asero 149 5 11 PERFORMANCE DA INFRA ESTRUTURA ccccccccccssecsssceesseceeeceesseceeeeeesseceeeeesaeceeesesaeenes 152 6 CONCLUS ES a a RENDER RNP eg 155 6 1 CONGLUSOES GERAIS EE 155 6 2 DIFICULDADES E DESAFIOS ENEE EEN ENEE 156 6 3 CONSIDERA ES ANA O desist A BAR es ead E r oa Rees 157 6 4 TRABALHO FUTURO rE EE tthe oiled bevel th A taht Ae ER ates
104. eis regras do ficheiro de configura o com um algoritmo de correla o causal e temporal de eventos recolhidos do NMSIS e via Net SNMP snmptrap type PairWithWindow ptype RegExp pattern d d dt s Adri d d As d dt d d STRING s w s STRING s d own desc ALARME TRAP 1 2 Host 3 Net 4 5 estado DOWN action event s continue2 TakeNext ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 ALARME TRAP Host 3 Net 4 5 estado INTERMITENTE action2 event St Sa window 20 type SingleWithSuppress continue TakeNext ptype RegExp pattern ALARME TRAP S NS Host S Net S NS estado DOWN desc EVENTO TRAP SUPRIME estado DOWN action reset 1 Ss window 20 type Pair ptype RegExp pattern ALARME TRAP S S Host S Net S NS estadoDOWN desc alarme trap 1 2 host 3 net 4 5 estado down action event s write SEC NMSIS t host 3 net 4 5 MAJOR DOWN ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 alarme trap host 3 5 state up action2 write SEC NMSIS t host 3 net 4 5 NORMAL UP window 86400 type SingleWith2Thresholds ptype RegExp pattern ALARME TRAP Host S Net S S estado INTERMITENTE desc alarme trap 1 2 host 3 5 estado instavel action write SEC NMSIS t host 1 net 2 3 MAJOR LIGA O INSTAVEL window 40 thresh 2 desc2 alarme trap 1 2 Host 3 5 novamente estavel action2 write SEC N
105. ementoID 1 Cat 2 IP 3 SalaID 4 Elemento de rede 3 n o acessivel action write SEC NMSIS t Ss continue2 TakeNext ptype2 RegExp pattern2 s 1 ServicoID s d sActivoTimeout s wt sServiceType s w sE stado sn desc2 ALARME NMSIS service devido falha no elemento 3 action2 write SEC NMSIS t Ss window 20 Servi oID 1 ServiceType 3 Quebra servi o nm 190 Anexo L Configura o do Switch Nortel manual do utilizador Using the BayStack 450 10 100 1000 Series Switch com o cap tulos do manual 1 12 1 17 3 15 3 17 3 59 3 61 ou p ginas do manual 44 49 175 177 219 221 Caracteristicas gerais do BayStack 450 BayStack 450 switches provide wire speed switching that allows high performance low cost connections to full duplex and half duplex 10 100 1000 Mb s Ethernet local area networks LANs o High speed forwarding rate Up to 3 million packets per second peak o Store and forward switch Full performance forwarding at full line speed using a 2 56 Gigabit second switch fabric o Learning rate 3 million addresses per second peak o Address database size 16 000 entries at line rate 32 000 entries without flooding o Fail safe stacking Provides uninterrupted connectivity for up to eight units with up to 224 ports stacked together as one managed unit requires one optional BayStack 400 ST1 Cascade Module kit per stacked unit See your Nortel Networks sales representat
106. emon criado neste trabalho em linguagem PHP respons vel pela cria o dos quatro tipos de querys feitas base de dados NMSISdb descrito o daemon em linguagem Perl criado no mbito do trabalho e respons vel pelo tratamento dos dados recebidos do Net SNMP Foram descritas as configura es na implementa o do snmptrapd para processamento das traps via UDP e tamb m foi tamb m explicado a configura o nos activos de rede para execu o das traps No cap tulo 5 pode se dividir em duas partes Na primeira parte come a se por apresentar os eventos propriamente ditos que s o processados pelo sistema Tipos de eventos via query s o quatro tipos distintos e os eventos do tipo via trap Depois estuda se as correla es de causalidade Foram atribu dos s mbolos s vari veis dos quatro tipos de querys e foi referido qual as tabelas de origem Foi feito um quadro com as tabelas usadas e como foram cruzadas essas tabelas pelo c digo daemon concebido para o efeito neste projecto e respons vel pelas querys feitas base de dados Foi criado para a rede de teste um caso de estudo com um algoritmo de causa efeito atrav s de um mapa de causalidade em rvore Depois de devidamente comprovado foram inferidas por correla o causal quais as causas para os tipos de eventos recebidos e com o algoritmo foram criados novos eventos que filtram e condensam a informa o no que realmente importante Paralelamente foi tamb m elaborado par
107. ente concebido para utilizar regras model base reasoning 3 20 ESTUDO E CONCLUS ES SOBRE AS FERRAMENTAS ABORDADAS Depois do estudo de nove ferramentas de correla o de eventos Snort SnortSnarf SnortCenter HP OPenView ECS CLIPS IMPACT Swatch LogSurfer e SEC Foi elaborado uma tabela tabela 3 que permite visualizar as caracter sticas espec ficas de cada uma ferramenta e tamb m fazer uma an lise das principais diferen as 94 O objectivo deste trabalho an lise dos eventos de rede geridos pelo NMSIS tal como o estado dos elementos de rede e dos servi os Foram ponderadas v rias formas de como obter a informa o dos eventos do NMSIS ap s o estudo do NMSIS chegou se conclus o que n o poss vel fazer a an lise dos eventos internos do NMSIS do tipo eventos de log do sistema mas sim a informa o do estado dos dispositivos de rede Para atingir esse fim uma das formas possiveis foi criar um script de ra z daemon que pudesse fazer querys as tabelas do NMSIS e pudesse ele pr prio ter a condi o de criar um ficheiro do tipo log contendo toda a informa o do estado dos objectos elementos de rede e servi os que se pretende monitorizar Estas tarefas executadas pelo novo script a correrr como um daemon vai ser exemplificado mais a frente Com este daemon poss vel colectar toda a informa o de interesse do NMSIS e disponibilizar os eventos entrada do novo sistema SCEN O novo motor
108. ento Sto sysname Porto to_port n Let s make sure the file exists and is writable first if is writable filename if Shandle fopen Sfilename a echo Cannot open file filename n exit if fwrite Shandle somecontent FALSE echo Cannot write to file filename n exit echo n Success wrote somecontent to file filename An fclose Shandle else echo The file filename is not writable ScstrNF host 10 0 32 72 user NMSIS dbname manage password t44otypecS2y echo String ce ligaca i MP SestrnNEs if SthisNF gt dbh_dbcon pg connect cstrNF EE EE XE Database errora N e EE print lt p gt gettext Could not connect to the manage database The database server could be down or the logininfo could be corrupt in the database configuration file exit 0 else print n gettext Criou ligacao a Base de Dados MANAGE do NMSIS Mn Squery SELECT netbox catid netbox ip netbox roomid netbox up FROM netbox WHERE netbox catid WG Wise 180 Sresultado pg query query while row pg fetch array Sresultado NULL PGSQL ASSOC Scatid Srow catid Sip Srow ip Sroomid Srow roomid Swa Srov Ao echo Query Scatid IP Sip SalaID Sroomid Estado Sup n filename test txt Ssomecontent Query Scatid IP Sip SalaID Sroomid Estado up n Let s make sure the file exists and is
109. entos com base num determinado instante temporal da sua ocorr ncia Para isso preciso definir rela es temporais entre os eventos Alguns exemplos de rela es temporais s o a Evento seguido de outro evento b Primeiro evento desde o recente evento 71 c Evento seguido de evento dentro de uma janela temporal de t ou n o o evento n o foi observado no intervalo de tempo 7 Conceptualmente os eventos causais anteriormente descritos s o obtidos atrav s da interpreta o dos eventos como se de proposi es que tem os valores de forma booleana em verdadeiro ou falso 1 ou 0 se tratassem indicando a sua ocorr ncia 122 Para representar a rela o temporal entre eventos preciso definir a interpreta o dos eventos para incluir informa o acerca do instante temporal a que cada evento ocorreu O tempo pode ser definido como um conjunto de t com uma ordem linear Podemos interpretar um evento como sendo fun o do tempo t com os estados fverdadeiro falso e com instantes de ocorr ncia definidos pelos argumentos instantes temporais no qual ele verdadeiro 3 8 CLASSIFICA O DAS OPERA ES DE CORRELA O Existem v rios tipos de opera es que podem ser executadas nos eventos durante o processo de correla o V rios autores abordaram esse tema 90 Error Reference source not found 125 estas opera es podem ser classificadas da seguinte forma 123 e Compress o Substitui repetidos eve
110. erior possa escrever os seus dados num standard input ou atrav s de uma API O SEC n o uma ferramenta IDS tal como o Snort SnortSnart SnortCenter utilizada exclusivamente para seguran a uma ferramenta mais gen rica com capacidades de inferir um n vel bastante elevado na complexidade das rela es entre os eventos de entrada correla o uma ferramenta aberta ao exterior e como tal n o tem qualquer tipo de encargos de todas as outras ferramentas a mais completa e gen rica no mbito das suas capacidades N o foi escolhida exclusivamenta pela quantidade de caracter sticas que se pretendiam ver implementadas no novo sistema de correla o foi escolhida porque de todas as caraceristicas disponibilizadas pelas ferramentas deu se especial import ncia s ferramentas e Com a capacidade de an lise verifica o e rastreio de informa o em file streams ou ficheiros e As que tenham um motor de infer ncia capaz de realizar a verifica o de informa o de poder processar rela es causais e temporais entre eventos e reagir quando esses eventos acontecem e As que possuam a capacidade de suportar todas a funcionalidades de filtragem e supress o de informa o repetitiva a capacidade de fazer generaliza o e especializa o dos eventos e As que Incorporem um sistema de regras que trabalhe essencialmente com condi es e respectiva resposta em fun o do valor de entrada este tipo de aproxima
111. ern XXXX XX XX XK XK XK XXX XXX XXX XXX STRING x STRING up dentro de 20 segundos considerado DOWN e criado um novo evento interno CISCO xxxx xx xx xx xx xx Host xxX xXxxx xxx xxx x state DOWN e passado s outras regras com data e hora da trap de origem type SingleWithSuppress continue TakeNext ptype RegExp pattern ALARME TRAP S S Host S Net S NS estado DOWN desc EVENTO_ TRAP SUPRIME estado DOWN action reset 1 s window 60 2 Regra A regra SingleWithSuppress contem uma pattern eventos que fa am matching s o suprimidos A primeira vez que o evento visto fica alerta e ignora esse mesmo evento durante uma intervalo de tempo Faz matching a pattern gerada internamente CISCO xxxx xx xx xx xx xx Host XXX XXX xxx xxx x State DOWN e permite que esta mensagem seja processada apenas 1 vez em 60 segundos Cancela qualquer evento de opera o de correla o que tenha esta pattern durante 60 segundos antes de passar a proxima regra 1 2 a 3 regra regras de 0 N Cancelling the correlation operation with key NCS eeng 2 I TASKS RESIS see see ee e Een E SCENES down type Pair ptype RegExp 174 pattern ALARME TRAP S S Host S Net NS NS estado DOWN desc alarme trap 1 2 host 3 net 4 5 estado down action event s write SEC_NMSIS t Host 3 Net 4 5 MAJOR DOWN ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 alarme trap host 3 5 sta
112. ers o interm dia SNMPv2c Mais detalhes em documentos que definem as v rias vers es de SNMP pode ser encontrada no 1 A figura 1 mostra que o SNMP teve muitos competidores A norma TMN definida pelo ITU para gerir redes de telecomunica es estava at certo ponto bem alinhada nas especifica es de forma muito pr xima com o CMIP definido pelo ISO Em 2002 o ITU estava mais empenhado em rumar em direc o ao Common Object Request Broquer Arquitecture CORBA como um middleware de comunica o A organiza o Distributed Management Task Force DMTF formalmente conhecida como Desktop Management Task Force DMTF desenvolveu o Desktop Management Interface DMI at 1998 Desde a que o DMTF globalmente conhecido pelo seu As especifica es do SNMPv3 fornecem grande capacidade de autentica o mas pouca privacidade trabalho feito para suportar AES em vez de DES 39 trabalho em Common Information Model CIM A Figura 1 mostra a norma Lightweight Directory Access Protocol LDAP porque o LDAP foi proposto como uma parte da iniciativa do Directory Enabled Networks DEN No in cio 2000 mais uns competidores vieram de dentro do pr prio IETF tais como Common Open Policy Service for Provisioning COPS PR 10 e o associado na linguagem de defini o de dados Structure of Policy Provisioning Information SPPD 11 Em resumo os protocolos de gest o de redes dividem se em 3 grandes linhas gen ricas de orienta o o p
113. esh 2 desc2 alarme trap 1 2 Host 3 5 novamente estavel action2 write SEC NMSIS t host 1 net 2 3 NORMAL ESTAVEL window2 60 186 thresh2 0 type Pair ptype RegExp pattern ElementoID s d sCategoria s wt sIP s d sSalaID s w t sEstado sn desc ALARME NMSIS netbox ElementoID 1 Cat 2 IP 3 SalaID 4 Elemento de rede 3 n o acessivel action write SEC NMSIS t Ss continue2 TakeNext ptype2 RegExp pattern2 s 1 ServicoID s d sActivoTimeout s wt sServiceType s w sE stado sn desc2 ALARME NMSIS service Servi oID 1 ServiceType 3 Quebra servi o devido falha no elemento 3 action2 write SEC NMSIS t Ss window 20 type Single ptype RegExp pattern ElementoID s d sServicoID s d sActivoTimeout s w sService Type s wt sEstado sn desc ALARME NMSIS service ElementoID 1 ServicoID 2 ServiceType 4 Quebra servi o action write SEC NMSIS 187 Anexo K Algoritmo de teste com 11 regras e jun o de correla o temporal e causal Neste anexo est o onze regras do ficheiro de configura o com um algoritmo de correla o causal e temporal de eventos recolhidos do NMSIS e via Net SNMP snmptrap traps Cisco SW com correla o de intermit ncia e correla o com DB NMSIS netbox express o regular d d dt s dt d d As d dt d d STRING s w s STRING s d own type PairWi
114. estudados os modelos de correla o com premissas que servem de base ao racioc nio para ser possivel inferir determinado tipo de conclus es Depois s o estudadas nove ferramentas de correla o de eventos de fonte aberta comerciais e outras S o estudadas os seus modelos de funcionamento as sua cracteristicas gen ricas e caracteristicas espec fias vantagens e disvantagens Mais tarde faz se um estudo comparativo e por fim escolhe se a ferramenta ideal para o sistema Depois de escolhida a ferramenta estudada em pormenor Essa ferramenta de c digo aberto e dispon vel tem a designa o de SEC estudado e apresentado o SEC referindo as funcionalidades o seu modelo de opera o os tipos de regras as ac es permitidas e a performance da ferramenta 33 No cap tulo 4 apresenta se uma rede de teste montada no Laborat rio de Rede e Servi os de Comunica o do DEE na sala F507 Este laborat rio simula uma rede real com equipamentos activos da rede inform tica do DEE como o exemplo do sistema NMSIS e introdu o de outros activos como routers switchs e servidores de servi os Posteriormente descrito a constitui o e modelo funcional do SCEN e apresentado os blocos constituintes o script em PHP para fazer querys base dados do NMSIS a implementa o do daemon snmptrapd e o script em Perl para tratamento das traps origin rias dos activos de rede via Net SNMP daemon snmptrapd feita uma a descri o do da
115. eus GRACE Building Next Generation Event Correlation Services GTE Laboratories Incorporated USA IEEE 0 7803 5864 3 p 701 714 2000 168 151 Fabien Pouget Marc Dacier Alert Correlation Review of the state of the art Institut Eurecom Corporate Communications Department FRANCE Research Report RR 03 093 November 28 2003 152 Risto Vaarandi Tools and Techniques for Event Log Analysis Faculty of Information Technology Department of Computer Engineering Chair of System Programming TALLINN UNIVERSITY OF TECHNOLOGY 2005 153 Simple Log Watcher http sourceforge net projects swatch http swatch sourceforge net 154 Swatch http www linuxcertif com man 1 swatch 155 Swatch 1 Linux man page http linux die net man 1 swatch 156 R Davis H Shrobe and W Hamscher Diagnosis Based on Description of Structure and Function Proc 1982 Nat l Conf Artificial Intelligence Pittsburgh Pa pp 137142 1982 157 James E Prewett Analyzing cluster log files using Logsurfer The Center for High Performance Computing at UNM June 2003 Available from World Wide Web http www linuxclustersinstitute 158 LogSurfer http www crypt gen nz logsurfer 159 LogSurfer http sourceforge net projects logsurfer 160 Andreas Hanemann A Hybrid Rule Based Case Based Reasoning Approach for Service Fault Diagnosis Munich Network Management Team Leibniz Supercomputing Center Barer St
116. execu o Se Condi o A E Condi o B THEN Ac o 1 Figura 12 Exemplo de uma regra para um sistema rule based reasoning Existem tamb m vers es especializadas de aproxima o com modelo rule based reasoning para correla o de eventos A opera o b sica similar aos dos sistemas de rule based com as mesmas caracter sticas e m dulos necess rios No entanto o sistema especializado faz uso do conhecimento especializado deliniado nas regras de base para guiar os seus processos de decis o Produzem resultados de alta qualidade verdadeiros e de confian a Estes sistemas s o aplicados em casos em que as condi es n o mudam e o conhecimento de todo o n cleo central tudo que necess rio 163 3 9 2 MODEL BASED REASONING Em intelig ncia artificial o modelo model based reasoning refere se a um m todo de infer ncia usado nos sistemas especializados e que t m por base o modelo do mundo f sico real Na pr tica este modelo faz o estudo de exper ncias e factos observa es dados eventos fen menos reduzindo isso a uma determidada ordem cient fica ou padr o gr ficos generaliza es leis e depois converte numa inquiri o cient fica ou explica o modelos hip teses teorias No sistema com o modelo model based reasoning o conhecimento representado com regras causais 156 O m todo de aproxima o model based reasoning procura uma forma de criar um duplicado de softw
117. f var log traplog A fun o que interessa ao projecto poder fazer a colecta e o tratamento das traps pelo snmptrapd e posteriormente canalizar as traps atrav s do daemon Perl para um ficheiro de entrada normalizado do tipo fifo que vai servir de input ao sistema de correla o Ap s conclu da toda a configura o necess rio activar todas estas fun es anteriores atrav s do stop start do snmpd contido no direct rio init d 4 6 SCRIPT PERL DE INPUT DE TRAPS VIA NE T SNMP Foi programado um script em linguagem Perl com o objectivo principal de funcionar como um daemon que corre em plano de fundo Este daemon faz o processamento de todas as linhas de informa o que pertencem a uma trap recebida do snmptrapd Net SNMP e coloca toda a informa o numa nica linha para ser trabalhada pelo motor de infer ncia da ferramenta de correla o J que esse motor faz reconhecimento do padr o definido linha a linha durante o tempo de execu o A sua entrada e a sua sa da s o ficheiros ou file 120 streams do tipo FIFO A sua entrada s o os eventos de logging da sa da do snmptrapd e a sua sa da a entrada do sistema de correla o 4 6 1 CONFIGURA O DE TRAPS NOS EQUIPAMENTOS DE REDE Como j foi demonstrado existem programas espec ficos que est o escuta em portos espec ficos do protocolo de transporte UDP que pertence camada 4 do modelo OSI Esses m dulos fazem a recep o e tratamento das not
118. file filename n exit echo in Success wrote S somecontent to file filename n fclose Shandle else echo The file filename is not writable ScstrNF host 10 0 32 72 user NMSIS dbname manage password t44otypecS2y echo String de l gacao scstrNnr if SthisNF gt dbh dbcon pg connect cstrNF print lt hr EE EH Eet Me 179 print lt p gt gettext Could not connect to the manage database The database server could be down or the logininfo could be corrupt in the database configuration file exit 0 else print in gettext Criou ligacao a Base de Dados MANAGE do NMSIS Mn Squery SELECT netbox catid AS catidl netbox roomid AS roomidl netbox up AS upl arp ip AS ip2 arp sysname AS sysname2 gwport interface AS interface4 FROM netbox arp gwportprefix gwport WHERE netbox ip arp ip AND arp prefixid gwportprefix prefixid AND gwportprefix gwportid gwport gwportid AND netbox catid SW resultado pg_query query while row pg fetch array Sresultado NULL PGSQL ASSOC Scatid Srow catidl Sip Srow ip2 Sroomid Srow roomidl Sup Srow up1 Sto sysname Srow sysname2 Sto port Srow interface4 echo Query Scatid IP Sip SalaID Sroomid Estado Sup CONECTADO Elemento Sto sysname Porto Sto portin filename test txt Ssomecontent Query Scatid IP Sip SalaID roomid Estado Sup CONECTADO Elem
119. fine os valores das vlans em todos os portos dos switches e A tabela swportallowedvlan que guarda uma string que representa uma serie de vlans que s o permitidas atravessar determinada porta do switch e A tabela swportblocked que define quais as portas que est o bloqueadas pelo protocolo de camada 2 Spanning Tree Protocol STP que previne a exist ncia de loops na rede e A tabela swp netbox que usada no processo de constru o da topologia f sica define os candidatos ao pr ximo salto f sico e A tabela netbox_vtpvlan que cont m a informa o do protocolo Vlan Trunking Protocol VTP da base de dados do switch e A tabela cam que define a porta do switch e respectivo MAC Adress e 0 timestamp Podemos verificar a interac o entre essas tabelas na figura 6 55 Topologia S N e GK b ege ee mee swporaonedvian Figura 6 Tabelas de topologia conjugadas dos Router e Switches IV Tabelas do sistema de eventos conjugadas Existe tamb m uma serie de rela es entre v rias tabelas que fazem parte do sistema de eventos 144 As tabelas conjugadas para formar um sistema de fluxo de eventos e A tabela eventg event queue que tem dados adicionais na tabela eventgvar tem informa o de eventos colocados por diferentes subsistemas especificados na fonte D normalmente o event engine o destino de processamento dos dados do event queue e A tabela eventt
120. g connect cstrNF print lt h1l gt gettext Database error lt hl gt print lt p gt gettext Could not connect to the manage database The database server could be down or the logininfo could be corrupt in the database configuration file exit 0 else print n gettext Criou ligacao a Base de Dados MANAGE do NMSIS n Squery SELECT netbox netboxid AS netboxidl netbox catid AS catidl netbox roomid AS roomidl netbox up AS upl arp ip AS ip2 arp mac AS mac2 cam sysname AS sysname3 cam port AS port3 FROM netbox arp cam WHERE arp mac cam mac AND netbox ip arp ip AND arp end time infinity resultado pg_query query while row pg fetch array Sresultado NULL PGSQL ASSOC Snetboxid Srow netboxidl Scatid Srow catidl Sip Srow ip2 Sroomid S row roomidl Sys Seoul eet Smac Srow mac2 Sto sysname Srow sysname3 Sto port row port3 echo Query Scatid IP Sip SalaID Sroomid Estado Sup CONECTADO Elemento Sto sysname Porto to_port n Sfilename test txt Ssomecontent Query Scatid IP Sip SalaID roomid Estado Sup CONECTADO Elemento Sto sysname Porto to_port n Let s make sure the file exists and is writable first if is writable Sfilename if Shandle fopen filename a echo Cannot open file filename n exit if fwrite Shandle somecontent FALSE echo Cannot write to
121. ibilidade de associar e aplicar sa da atrav s dos eventos informa o bastante essencial e relevante na identifica o das falhas de rede Desta forma os eventos ter o na sua constitui o v rios par metros de informa o relevante Analisaremos uns cap tulos mais frente o que o script faz no seu todo em pormenor quais as tabelas e quais os par metros que se pretende ver extra dos do NMSISdb em cada caso sua entrada s o dadas intru es via query de comandos SQL para a base de dados do NMSIS NMSISdb de forma a extrair e concactenar toda a informa o Na sua sa da o script abre um ficheiro faz append em cada linha de toda a informa o concatenada em forma de eventos e fecha o ficheiro Sen o conseguir abrir ou n o conseguir escrever envia mensagens de aviso O ficheiro de sa da ser um ficheiro de entrada normalizado do tipo First In First Out FIFO que ser utilizado como ficheiro de buffer ou canal de entrada no sistema de correla o Nos cap tulos posteriores ser feita uma an lise com informa o mais detalhada de como este script comunica com as bases de dados e como faz o cruzamento de informa o de forma a desenvolver quatro tipos de eventos de sa da E de que forma os quatro tipos de eventos no seu conjunto permitem recriar um mapa topolol gico de toda a rede com informa o de estado de todos os activos e qual os interfaces dos elementos remotos aos quais est o ligados Exemplo da
122. ice e criar o evento A todos os eventos criados feito append sa da Ver na tabela 6 o conte do do evento Query Servi o Tabela 6 Descri o dos campos do evento Query Servi o Endere o IP Endere o do elemento de rede Servi o Identifica o do tipo de servi o que est ser feito pooling pelo NMSIS Gravidade Acess vel ou n o acess vel y n Entrada SELECT netbox ip AS ipl service handler AS handler2 service up AS up2 FROM netbox service WHERE netbox netboxid service netboxid Exemplo de evento de sa da Query Servico 12S LO 0 32 71 WajooSeivyale s Moco BS raoe M 5 2 2 QUERY SERVIDOR SRV A query de eventos de elemento de rede Servidor Query SRV feita atrav s de tr s tabelas netbox arp e cam Pretende se atrav s da tabela netbox retirar os valores do endere o IP da localidade e estado do elemento Servidor que esteja ligado ao primeiro ponto de acesso da rede neste caso um switch feito o cruzamento do mesmo IP entre a tabela netbox e da tabela arp A tabela de arp tem os valores da tabela Address Resolution Protocol ARP do router gateway tabela esta que tem a informa o de todos os endere os IP camada 3 do modelo OSI e respectiva correspond ncia em endere os Media 125 Access Control MAC da camada 2 do modelo OSI ainda activos atrav s do valor da vari vel igual a infinity da tabela arp Desta forma permite nos um cr
123. idade das querys e traps Novos eventos de rede s o inferidos por correla o entre estes Cventog ee eeeeseeseeseceseceeeeeeeees 134 Figura 24 Algoritmo com uma regra PairWithWindow para correla o de eventos de servi o ede Elemento Rede nanaiore a a i ae ee heat 140 Figura25 Algoritmo com uma regra Pair para correla o de eventos de servi o e de Elemento Rede 142 Figura 26 Algoritmo final com tr s regras do tipo PairWithWindow para correla o de eventos de causalidade com 4 tipos de query Servi o Servidor Switch e Gateway 144 66 Figura 27 Algoritmo com quatro regras PairWithWindow SingleWithSupress Pair e SingleWith2 Treshold para correla o temporal de eventos via notifica o trap 145 Figura 28 Pagima WEB de eventos de sa da do sistema SCEN cceesceeseeeseeeseeenseceseeeseenseens 147 xvii Figura 29 Figura 30 Figura 31 Figura 32 Figura 33 Planta de testess sisal sos E SUE ele eet Ae a LUAS ele 149 Simula o da resposta do sistema ao Teste 1 150 Simula o da resposta do sistema ao Teste 7 151 Simula o da resposta do sistema ao Teste 3 151 Simula o da resposta do sistema ao Teste A 152 xviii xix ndice de Tabelas Tabela Tabela nethox einnar ante Aube ie eee Eed 52 Tabela2 Par metros ajust veis no ficheiro pping conf ee 60 Tabela3 Caracter sticas e funcionalidades generica
124. ifica es traps que s o enviadas em tempo real pelos activos de rede Sempre que necess rio que os elementos de rede enviem notifica es traps de alarmes ter que se activar essa gera o nos dispositivos atrav s da configura o de certos par metros Escolhe se o tipo de notifica es que se pretende ver activados nos equipamentos e os nomes das comunity string que ser o geradas nas traps preciso configurar o endere o de rede do servidor de destino que l gicamente ser a m quina com o daemon Net SNMP activo para onde ser o enviadas as traps via porto 162 atrav s do protocolo de camada de transporte UDP n o orientado s conex es As notifica es traps ser o enviadas em tempo real pelos activos de rede para isso foi preciso configurar o Router e os dois Swtichs de rede para gerarem traps Exemplo da configura o no Router snmp serv snmp serv nable traps snmp nable traps config snmp serv nable traps entity snmp serv nable traps envmon snmp server enable traps syslog snmp server host 10 0 32 71 traps public KKK 121 4 6 1 CONSIDERA ES FINAIS Como se pode ver na figura 20 o sistema SCEN tem a possibilidade de recolher eventos extra dos da base de dados NMSISdb e eventos de notifica es traps da rede Analisaremos nos cap tulos posteriores em maior pormenor como essa informa o ser tratada no correlador de eventos Workstation
125. im of this work was the development of an infrastructure for monitoring with the ability to correlate autonomously and intelligently events received from computer systems The idea for the creation of this infrastructure was born of the difficulty that arises on the constant setting and adjustment of parameters of analysis of existing systems It is presented as a value added platform that enables help who those responsible for managing an infrastructure of computer systems To improve the effectiveness of the resolution of the problems of their systems and networks through observation of a subset of events that is relevant to the whole of events received For such other solutions were studied several commercial tools and open source code were studied their characteristics and their models Was subsequently developed a new model adapted on the basis of the chosen tool and that contemplates the interaction of various elements of network monitoring These elements that create the ability of observe state changes and correlation services defined these amendments with the events that are being obtained from the systems Infrastructure monitoring proposal aims therefore allow an assessment of the relevance of the events received from pool systems or notification and inferred the importance of events leaving to be necessary for the management platform administrator or system administrator to have this job To validate the model was implemented a virtua
126. inir um esquema de correla o e filtragem atrav s deste tipo de gr fico Outro tipo de correla o a temporal neste caso podem ser estabelecidas correla es entre eventos com base num determinado instante temporal Os eventos causais s o obtidos atrav s da interpreta o dos eventos como se de proposi es que tem os valores de forma booleana em verdadeiro ou falso 1 ou 0 se tratassem indicando a sua ocorr ncia Para representar uma rela o temporal entre eventos preciso definir a interpreta o dos eventos para incluir informa o acerca do instante temporal a que cada evento ocorreu Podemos interpretar um evento como sendo fun o do tempo t com os estados verdadeiro falso e com instantes de ocorr ncia definidos pelos argumentos instantes temporais no qual eles s o verdadeiros Muitos autores falam sobre v rios tipos de opera es que podem ser executadas nos eventos durante o processo de correla o estes tipos de opera es s o a compress o supress o a filtragem a contagem o dimensionamento a generaliza o a especializa o a rela o temporal o clustering etc Seguidamente foram estudados os m todos e t cnicas adoptadas em investiga o de intelig ncia artificial para realizar opera es de correla o Nas t cnicas de correla o de eventos sempre necess rio ter algumas premissas que servem de base ao racioc nio e que permitem chegar a determinado tipo de conclus es Estas a
127. ipo de abordagem permite localizar as falhas com grande facilidade e em seguida usar o gr fico de depend ncia de elementos de rede para realizar a correla o No entanto precisa de transportar explicitamente informa es de localiza o nas mensagens de erro atrav s do uso dos protocolos de gest o como por exemplo o SNMP mas como o SNMP n o oferece este tipo de suporte por isso limita a ampla utiliza o desta abordagem No algoritmo positivo proposto em 165 um algoritmo de correla o de alarmes usa gr ficos de depend ncia de rede Os alarmes emitidos pelo objecto de rede ser o explicitamente associados com informa es sobre a localiza o para indicar o componente com falha ou com mau funcionamento A correla o ser realizada sobre o gr fico de depend ncia do elemento rede usando as informa es associadas com cada alarme recebido 3 9 3 HYBRID APPROACH Algumas abordagens h bridas tamb m t m sido propostas para unificar m ltiplos tipos de abordagens em conjunto para que essas abordagens complementares possam trazer novos benef cios quando combinadas O trabalho 167 prop e uma correla o de eventos h brido combinando rule base reasoning e a abordagem code based reasoning O racioc nio baseado em regras usado na correla o de n vel baixo e normalmente usado para correlacionar os eventos que ocorrem dentro de um dispositivo de rede A abordagem code based por m usada para correlacion
128. is com a topologia da rede 122 Cada sistema tem o seu modelo e o seu pr prio algoritmo e a sua robustez diferente de sistema para sistema O paradigma que um sistema de correla o tem que realizar e tentar solucionar s o as linhas principais e os alicerces de concess o deste projecto de trabalho 1 Diagnosticar a raiz do problema que causa falhas na rede e consequentemente degrada o na performance estabelecendo rela es entre eventos da rede 2 Filtragem de eventos Alarmes de rede que inundam a rede correlacionando os num nico evento conceptual Para que tenha utilidade pr tica o sistema deve ser 1 Correcto A raiz da causa inferida pelo sistema deve ser com alta probabilidade a implica o fundamental para todos os eventos que foram detectados Ou seja a raiz da causa deve ter verdadeiramente ocorrido na rede 2 Ideal O sistema deve inferir um pequeno n mero de ra zes das causas que podem explicar todos os eventos detectados 66 Devido import ncia de um sistema de correla o j v rios sistemas 104 105 106 107 108 foram propostos e implementados Uma compara o entre estes v rios sistemas pode ser encontrado no 103 Nesta diversidade de sistemas de correla o em que cada um tem a sua pr pria descri o e implementa o ser dif cil a sua compara o 122 Na aus ncia de uma defini o simples do problema que se pretende definir atrav s da correla o de even
129. ive for ordering information o Spanning Tree Protocol STP Complies with IEEE 802 1D standard STP can be disabled on the entire switch or stack or on a per port basis o SNMP agent support o High speed Uplink Expansion Module slot Allows you to attach optional media dependent adapters MDAs that support a range of media types 191 o Rate limiting Adjustable broadcast or IP multicast packet rate limits for control of broadcast and IP multicast storms o Console Comm port Allows you to configure and manage the switch locally or remotely o IGMP snooping o IEEE 802 1p prioritizing o Virtual local area networks VLANs supporting IEEE 802 1Q port based VLANs Protocol based VLANs TELNET Support for up to four simultaneous TELNET sessions Optional password protection Login time out Failed login guard Inactivity time out Allowed source addresses Event logging IEEE 802 3u compliant autonegotiation ports with four modes 10BASE T half duplex 1OBASE T full duplex 100BASE TX half duplex 1OOBASE TX full duplex MultiLink Trunking supporting Switch to switch trunks Switch to server trunks Port mirroring conversation steering Port based MAC address based Remote monitoring RMON with four groups integrated Statistics History Alarms Events MIBs 192 The BayStack 450 switch supports an SNMP agent with industry standard MIBs as well as private MIB extensions which ensures compatibility wi
130. iversas circunst ncias 158 6 4 3 CRESCIMENTE E ESCALONAGEM DO SISTEMA E poss vel fazer o sistema crescer em sistemas e subsistemas n o existe qualquer limita o nesse sentido Podem ser adicionadas continuamente mais regras de correla o sua configura o 6 4 4 OUTRAS REAS DE AC O Pode se alargar o campo de an lise e ac o a todas as camadas e respectivos protocolos Por exemplo protocolos de comunica o e de encaminhamentos da informa o entre os elementos constitintes da rede ou an lise de eventos de log da pr pria m quina 159 L e facilmente esqueces Assiste e talvez te lembres Faz e jamais te esquecer s Prov rbio de origem indiana 160 Refer ncias Documentais 1 2 3 4 5 6 7 8 9 10 11 12 J Case R Mundy D Partain and B Stewart Introduction to Version 3 of the Internet standard Network Management Framework RFC 2570 SNMP Research TIS Labs at Network Associates Ericsson Cisco Systems April 1999 J Case M Fedor M Schoffstall and J Davin A Simple Network Management Protocol RFC 1157 SNMP Research PSI MIT May 1990 M Rose and K McCloghrie Structure and Identification of Management Information for TCP IP based Internets RFC 1155 Performance Systems International Hughes LAN Systems May 1990 M Rose and K McCloghrie Concise MIB Definitions RFC 1212 Performance Systems Internati
131. l lab where they were created the constituent elements of the proposed model simulations and were made with a view to obtaining and validating results As a conclusion the infrastructure that was defined and tested reflected the intended operation relying only on pre existing settings on services monitored knowledge of databases existing monitoring system through pooling and crossing connecting tables of databases and various types of network equipment and its status messages At the end were presented the system response will output and future development Keywords Monitoring and management networks SNMP Open Source tools SCEN NMSIS correlation SEC problem root cause inferred detection sampling pattern matching correlation algorithm causality temporal correlation causal correlation reasoning event action service server switch router gateway xi ndice RESUMO i225 cc csccscccessnnscncssctssans suns seossasecdssassdascesssedssnaesnusevessuasceapcusseesoceseassensceus ussstesanesenesseas seas sesosaossasecsens VII ABSTRACT ssa ssssssssscsccssecussescevssnvesassansssoesesessassossvaeossseus seas savseuasensasosssoatoasscuas sess tes eb Taca Cissa tetas SPor VSS Tors IX INDICE sin SA A od ee ade XIII INDICE DE FIGURAS 525 350 soos bai Seas snus sung SS CASAS desta dps touasge saahaaupetencaspasanasdo SS AGA SE XVII INDICE DE TABELAS ass ia a a a ional a XXI ACRONIM OS assi Ee eaten ON XXIII Y SEN PRODUC AO e
132. la Free Software Foundation Que d permiss es de copiar distribuir e ou modificar o LogSurfer dentro de certas condi es 157 159 Observa es Gerais Esta aplica o foi concebida para monitorizar qualquer tipo de ficheiro de log base de texto num sistema em tempo real Uma das caracter sticas mais importantes do logsurfer a capacidade de criar novas regras conforme as necessidades 157 Esta funcionalidade especialmente til quando uma mensagem espec fica recorrente e apenas precisa de ser enviada ap s um determinado per odo de tempo A solu o ser atrav s de uma nova regra que ignora essa mensagem por uma determinada janela temporal Com um sistema de regras din micas pode se redefinir durante o tempo de execu o do programa quaisquer eventos de interesse 91 O LogSurfer capaz de agrupar v rios conjuntos de logs de entrada Por exemplo quando um sistema se reinicializa normalmente cria um n mero muito elevado de mensagens de log Neste caso o LogSurfer pode ser configurado para fazer o agrupamento de todas essas mensagens e reencaminhamento via mail aos administradores do sistema Estas mensagens de mail t m j toda a informa o correlacionada e mais simplificada advertindo apenas que o sistema se reinicializou O Logsurfer similar ao programa Swatch no qual assenta mas oferece um leque de caracter sticas mais avan adas que o Swatch j n o permite 158 Outra caracter stica i
133. le evcorr sourceforge net NAGIOS http www nagios org BARTH Wolfgang System and Network Monitoring NAGIOS Copyright 2006 Open Source Press GmbH OpenNMS http www opennms org Product tour http www sortova com tools opennms OpenNMS FAQ http faq opennms org faq fom serve cache 1 html Documenta es http www opennms org users docs Listas de discuss o http www opennms org users discuss RRDTOOL http people ee ethz ch oetiker webtools rrdtool Cacti http www raxnet net products cacti Cacti Alexandro Silva 2008 http openmaniak com pt cacti php Cacti Documentation site http www cacti net Costa Felipe Ambiente de rede monitorado com Nagios e Cacti 2008 Jhony Maiki Maseto Solu es de Sofware Livre para Monitora o de Redes 2008 MULTI ROUTER TRAFFIC GRAPHER On line URL http www mrtg org MULTI ROUTER TRAFFIC GRAPHER On line URL http oss oetiker ch mrtg OTSUKA Joice Lee MIB management Information base TANENBAUM Andrew Redes de Computadores Primeira Edi o Editora Campus 1994 MCCLOGHRIE K ROSE M Management Information Base for Network Management of TCP IP based internets Request For Comments 1066 Internet Engineering Task Force August 1988 MCCLOGHRIE K ROSE M Management Information Base for Network Management of TCP IP based internets MIB II Request For Comments 1213 Internet Engineering Task Force March 1991 Risto Vaarandi
134. lgoritmo estudo com 2 regras de correla o causal de eventos recolhidos do NMSIS Neste anexo est o 2 tipos de regras PairWithWindow e Pair do ficheiro de configura o com um algoritmo de correla o causal com eventos recolhidos do NMSIS com a respectiva explica o em cada regra processo de 2 regras com 4 tipos de querys de servico servidor switch e gateway Exemplo C4 2 conf Reconhece qq pattern e escrecve para uma file stream FIFO processo de querys de servi o servidor switch e gateway type PairWithWindow ptype RegExp pattern Servidor s d t sIP s d sTipoServico s Nw sEstado sn desc servico 3 servidor 2 action write SEC_NMSIS t Falha no servi o 3 do servidor 2 continue2 TakeNext ptype2 RegExp pattern2 ElementoRede s 1 sCategoria s wt sIP s d sSalaID s w t sEstado sn sMAC s wt wt wt w wt wt sNomeSwitch s d sPorto s d desc elemento 1 ip 2 switch 5 porto 6 action2 write SEC_NMSIS t Falha no servi o 3 devido liga o Servidor 2 e Switch SS Porto sc window 40 Regra A regra PairWithWindow contem 2 patterns 2 ac es e uma janela de tempo A action2 2 ac o executada se e s se os eventos A e B ocorrerrem dentro da janela Se A ocorrer e B n o ocorrer apenas a action 1 ac o executada ap s o tempo da janela Se a pattern Servidor s d sIP s d sTipoServico s wt sEstad
135. ling pelo Categoria do NMSIS Servidor SRV Gateway GW Switch SW outro tipo Elemento OTHER Endere o IP Endere o IP do elemento de rede switch Local Identifica o da sala Gravidade Acess vel ou n o acess vel y n Endere o IP Endere o IP do elemento de rede remoto gateway Porto Identifica o do elemento de rede remoto gateway Entrada SELECT netbox catid AS catidl netbox roomid AS roomidi netbox up AS upl arp ip AS ip2 arp sysname AS sysname2 gwport interface AS interface4 FROM netbox arp gwportprefix gwport WHERE netbox ip arp ip AND arp prefixid gwportprefix prefixid AND gwportprefix gwportid gwport gwportid AND arp end time infinity AND netbox catid Sy Exemplo de evento de sa da Query SW IP 10 1 33 100 SalaID F507 Estado n CONECTADO Elemento 10 0 32 250 Porto FastEthernet0 1 5 2 4 QUERY GATEWAY GW A query de eventos de elemento de rede Gateway Query GW feita apenas tabela netbox Pretende se atrav s da tabela netbox retirar os valores do endere o IP da localidade e do estado do elemento Gateway tabela 9 Tabela 9 Descri o dos campos do evento Query Gateway Identifica o do tipo de elemento de rede que est ser feito pooling pelo Categoria do NMSIS Servidor SRV Gateway GW Switch SW outro tipo Elemento OTHER Endere o IP Endere o IP do elemento de rede switch Local Identifica o
136. m um meio muito poderoso de procura de express es complexas em grandes volumes de dados Da mesma forma com ajuda das express es regulares poss vel fazer uma correspond ncia matching da express o pretendida Esta forma utilizada pela pattern do SEC 5 7 APLICA O DE REGRAS DE CORRELA O CAUSAL AOS EVENTOS Os eventos de entrada que ser o verificados no SCEN recorrem utiliza o de express es regulares do tipo RegExp e strings do tipo SubStr utilizadas na linguagem Perl A correspond ncia padr o feita a toda a sequ ncia de dados contida no evento query e que correspondia ou n o pelo padr o de amostragem pattern Existem v rios padr es que dependem do tipo de string de caracteres do evento de entrada Atrav s dos padr es pretende se procurar correspond ncia aos mesmos para inferir rela es entre os eventos Exemplo de dois eventos diferentes de Query Servi o QueryiSeryilco BIB Ohm 4 Amul DOS Gian eC Orman OmehiS ital oem Query Servico IB On OMS 2 paula oS ciao rhe pm Sitzadocnny 138 Padr o de correspond ncia da regra pattern IP s d sTipoServigo s w sEstado sn Exemplo de 2 eventos diferentes de Query Servidor Query SRV IPS Volts Salalb Hb07 Estados yICONECTADO plementor L0RI533 100 Porto BayStack 450 24T 1 Query SRV IPs Ose Sse Salalb hS0 7 hstado vi CONECTADO MEMENTO 1107 078271100 Porto FastEthernet0 1 Padr o de correspond
137. m v rios pares de eventos down up que formam v rios eventos internos INTERMITENTE Por fim se durante determinado per odo de tempo o evento interno INTERMITENTE n o acontecer mais nenhuma vez ser enviado para a sa da do sistema a dar conhecimento ao operador que o interface em causa est NORMAL Est vel Este exemplo est descrito de forma mais detalhada no modelo da figura 27 com um algoritmo respons vel por executar este conjunto de tarefas definido por um conjunto de regras PairWithWindow Cond Interface NOK amp Interface OK e Window 30 s Window2 3 horas ap eg Tresold2 0 mM gene e Ee Pair Cond DOWN o ao ond Interface OK ef Window2 1 di Internal a indow2 1 dia We Singlewitisupress gt uge SE Figura 27 Algoritmo com quatro regras PairWith Window SingleWithSupress Pair e SingleWith2 Treshold para correla o temporal de eventos via notifica o trap 145 Este cen rio bem evidente das capacidades do sistema proposto neste trabalho com correla o de alarmes em tempo real de acordo com a sua janela temporal e de forma a suprimir grande quantidade de eventos Paralelamente realiza opera es de contagem a determinados eventos e define tresholds m ximos de repeti o 5 9 RESPOSTA DO SISTEMA SA DA O sistema de sa da do SCEN est projectado para fazer filtragem de eventos compress o de eventos su
138. m vista obten o e valida o de vii resultados Como conclus o a infra estrutura que foi definida e testada reflectiu o funcionamento pretendido baseando se apenas nas defini es preexistentes sobre os servi os monitorizados no conhecimento das bases de dados do sistema de monitoriza o existente atrav s de pooling e cruzamento de tabelas das bases de dados e dos v rios tipos de equipamentos de rede e nas suas mensagens de estado No final foram apresentados a resposta do sistema sa da e desenvolvimento futuro Palavras Chave Gest o e monitoriza o de redes SNMP ferramentas Open Source SCEN NMSIS correla o SEC raiz da causa do problema inferido detec o amostragem padr o correspond ncia algoritmo de correla o causalidade correla o temporal correla o causal racioc nio evento ac o servi o servidor comutador encaminhador viii Abstract Current networks with increasingly sophisticated systems management events one of the major objectives is to condense a large amount of these events in a small number but more significative in the report of their failures This practical necessity can be accomplished through event correlation mechanisms Event correlation is an area of intense research in scientific and industrial community From this context came the desire to accomplish a project work within the network event correlation data management based on SNMP infrastructure The a
139. mas base de regras e ou base de objectos 89 Geh CLIPS NASA Os fundos acabaram nos principios dos anos 1990 e houve um mandato da NASA Foi criado em 1995 no Lyndon B Johnson Space Center da para comprar software comercial O C Language Integrated Production System CLIPS actualmente muito usado nos governos industrias e academicamente O CLIPS um acr nimo de Sistema de Produ o Integrado em Linguagem C Na actualidade entre os paradigmas de programa o que suporta CLIPS encontram se a Programa o l gica a Programa o imperativa a Programa o Orientada a Objectos O CLIPS provavelmente o sistema para especialistas mais dessiminado devido a um conjunto de caracter sticas r pido eficiente e gratuito Mesmo sendo do dom nio p blico ainda actualizado e mantido pelo seu autor original Gary Riley Caracter sticas e Funcionalidades Especificas Suporta Correla o Ferramenta em Open Source Modelo de execu o por infer ncia Modelo de execu o por rule based reasoning N o permite correla o de eventos em tempo real Sistema de regras Gera o de programas que modelizam o conhecimento ou alguma especializa o humana sistemas especialistas Plataforma de desenvolvimento e produ o para sistema de regras e ou objectos Facil de integrar com outras linguagens C Java FORTRAN and ADA Facil de extender pelo 85 utilizador atrav s de uso de v rios procolos
140. menta espec fica NMSIS foi criado um novo m dulo SCEN que acrescenta um maior leque de op es nesta mat ria de estudo ao sistema anterior legacy Este novo m dulo com grande versatibilidade e escalabilidade pode em pleno funcionamento aprender com novas altera es do sistema e com a introdu o de novos eventos De forma cont nua pode decidir a relev ncia das falhas de rede e assim aplicar uma resposta correcta e eficaz em tempo real Existem v rias formas de avaliar e analisar os problemas da disponibilidade e performance de uma infra estrutura e que esta forma poder ser tamb m um complemento para uma infra estrutura mais global ou poder ser por si s uma base conceptual para uma infra estrutura auto regul vel e auto adapt vel mais avan ada 6 2 DIFICULDADES E DESAFIOS Existiram v rias dificuldades que surgiram na elabora o desta Tese de disserta o uma das quais n o posso deixar de referir foi efectivamente a falta de tempo sentida Quer pelo car cter n o profissional que a elabora o desta disserta o constituiu dado que foi elaborada dentro dos per odos laborais nos per odos p s laborais e de f rias Tamb m a falta de tempo caracter stica pr pria dos tempos actuais que comprende a actividade profissional a fam lia os filhos etc Sob o ponto de vista de pesquisa n o h pr ticamente informa o nenhuma sobre esta tem tica em l ngua portuguesa as que encontrei quase sempre
141. mentada para a rea de telecomunica es que est presente no HP OpenView Fault Management Platform FMP que parte integrante do HP OpenView Element Management Framework OEMF Neste o utilizador cria regras que descrevem a rela o causa efeito Esta abordagem pode ser combinada com o pr prio ECS No ECS os eventos s o analisados medida que chegam ao Alarm Browser e v o sendo relacionados de forma a encontrarem a causa do problema por exemplo quando chegam 84 v rios eventos do tipo interface down do mesmo dispositivo e depois chega um evento do tipo node down desse mesmo dispositivo apenas o ltimo colocado no Alarm Browser enquanto que os outros s o correlacionados a este Existem v rias formas previamente definidas para correlacionar eventos mas tamb m poss vel modific las e adicionar novas estrat gias Nesta ferramenta a componente do subsistema de eventos transforma e processa o fluxo de eventos de acordo com as correla es instaladas O ECS d a flexibilidade de correlacionar mensagens de v rios tipos tais como SNMP ASCII e eventos de qualquer fonte de mensagens de opera o Estes eventos s o processados e visualizados num unico e consistente formato independentemente do tipo de evento 130 3 15 CLIPS O CLIPS uma ferramenta especializada que oferece um ambiente completo de desenvolvimento e de produ o para a constru o e 8 execu o de siste
142. meros modelos e projectos neste mbito de an lise nenhum s por si conseguiu resolver totalmente todas as quest es relacionadas com correla o de eventos em gest o de redes e sistemas Muito disto deve se ao facto de os sistemas e as redes estarem em constante transforma o a evolu rem a fundirem se continuamente o que torna a sua caracteriza o e defini o pr ticamente impratic veis tecnicamente 155 A infra estrutura de correla o de eventos proposta o sistema SCEN visa assim preencher de uma lacuna que existe em muitas redes e que um tema muito actual e discutido O exerc cio proposto neste trabalho foi de alguma forma criar um m dulo com valor acrescentado a um sistema legacy j instalado aceitando esse facto e n o o limitar nem desviar em nada essa plataforma legacy das suas principais fun es Para validar o modelo foi implementado um laborat rio de teste virtual onde foram replicados os elementos constituintes de uma rede real e onde foi introduzido a infra estrutura proposta Foi executado uma bateria de testes e simula es para valida o de resultados Como conclus o a infra estrutura que foi definida e testada reflecte o funcionamento pretendido Teve por base o estudo de gest o de redes com protocolo SNMP e o estudo de v rias ferramentas com fun es de correla o de eventos Baseando se apenas nas defini es pr existentes sobre os servi os monitorizados e o conhecimento de uma ferra
143. mos ver exemplos de algumas dessas ferramentas que quando combinadas com o Snort permitem fazer ac es de correla o 3 12 SNORTSNARF O SnortSnarf um programa em Perl que pega nos ficheiros de S ILICON alertas do Snort Intrusion Detection System e produz uma sa da em HTML destinada a inspec o de diagn stico e rastreio de problemas 133 134 As p ginas HTML facilitam a visualiza o dos alertas gerados pelo Snort Executado periodicamente recebe como argumentos os arquivos alert e portscan Caracter sticas e Funcionalidades Especificas Suporta Correla o limitada Ferramenta Open Source Faz filtragem de eventos Entrada s o os ficheiros de alerta do Snort no direct rio Vo ou a base de dados do Snort Sa da em Web HTML Inspec o de diagn stico e rastreio de problemas Utiliza o sistema de regras do Snort N o permite alerta em tempo real N o tem Documenta o Boa portabilidade Requisitos de sistema e licenciamento Os requisitos para correr o SnortSnart s o semelhantes aos do Snort O licensiamento do c digo fonte do SnortSnarf licenciado segundo os termos do General Public License GNU e publicado pela Free Software Foundation Que d permiss es de copiar distribuir e ou modificar o SnortSnarf dentro de certas condi es 80 Observa es Gerais O SnortSnarf pode remeter para a sua entrada os ficheiros de alerta do Snort no direct rio Vog ou da b
144. mportante que o e o Logsurfer lida bem com grandes quantidades de eventos di rios mais de 500K eventos por dia 3 19 SEC O Simple Event Correlator SEC ficou dispon vel no ano de 2001 e foi desenvolvido por Risto Vaarandi uma plataforma independente para correla o de eventos 73 74 Esta plataforma independente do sistema operativo em que opera e tem por base um sistema de regras rule based reasoning A primeira vers o do SEC foi aplicada para gest o de falhas de rede 73 mas depois o SEC evoluiu para uma ferramenta de correla o de eventos que usada em v rios dom nios de aplica o tais como detec o de intrus o IDS monitoriza o de logfiles detec o de fraude etc O primeiro objectivo do SEC foi preencher o vazio entre o crescimento interino de solu es caseiras e as solu es comerciais criando algo leve e f cil de usar Que pode ser utilizado numa grande variedade de tarefas de correla o de eventos quer em modo standalone ou distribu do ou seja integrado com outras aplica es Caracter sticas e Funcionalidades Especificas e Suporta Correla o Ferramenta Open Source M todo de pesquisa Pattern Matching com express es regulares Utiliza um sistema de regras Faz filtragem de eventos Faz supress o de eventos Faz compress o de eventos Faz contagem de eventos Tem o conceito de contextos Correla o causal Correla o temporal Executa ac es Modelo de execu
145. munidade International Organization of Standardization ISO e Telecommunications Management Network TMN da comunidade International Telecommunication Union ITU e Simple Network Management Protocol SNMP da comunidade Internet Engineering Task Force IETF Internet Management Para termos uma perspectiva da evolu o dos v rios protocolos de gest o ao longo dos anos foi sumarizado no pr ximo capitulo a evolu o de v rias tecnologias e protocolos que foram desenvolvidos com esse prop sito de forma a compreender quais os seus objectivos e suas principais linhas de orienta o 2 2 EVOLU O DOS PROTOCOLOS DE GEST O DE REDES 10 20 22 23 24 2526 CORBA OMG M 30 TMN ITU M3010 M 3100 M 3400 OSI RM 4 CMIP CMIS GOMO CMIP 150 A SNMPv1 SNMPYv2p SNMPv2c SNMPY3 SNMPVv3 SNMPv3 SNMP IETF SI E DE PL vi is smivi smiv2 SMIv2 SMiv2 SMI IETF 5 P 5 spp SPPI IETF e EH COPS PRYt COPS PR IETF EN Legend 1 0 2 0 2 08 P Proposed Standard Dip py D Draft Standard 5 Standard 10 20 22 2324 25 E Experimental CIM DMTF LDAP LDAPv2 LDAPv3 LDAP IETF SE E E 1380 1382 1584 1385 1368 1530 1992 1354 1996 1538 2000 2002 Figura 1 Perspectiva hist rica das tecnologias em redes de gest o 23 38 A tecnologia SNMP teve uma grande evolu o no fim dos nos 80 d cada de 90 nem todas as propostas de melhoramento tiveram uma hist ria de sucesso ma
146. naeees 69 3 7 CORRELA O TEMPORAL E PILTRAOENM 71 3 8 CLASSIFICA O DAS OPERA ES DE CORRELAC AO 72 3 9 T CNICAS DE CORRELA O DE ENVENTOS 73 3 10 FERRAMENTAS COM CORRELA O DE ALARMES 78 Bille SNORT asas EE nn adaga ER CODIN U Ia Casa eign aa loeees a Leao E 78 3 12 SNORTSNARB eege Eeer ima Gate AG es ee oe 80 3013s SSNORTCENTER amp 2 uses rasgo ineo deck de ora de Acoustic iaesedtvede edel cias tee dees gege rec 81 3 14 HP OPENVIEW ECS aee e i ee e gl eA ented eats 83 SI GE EN EE 85 xiii 3 16 3 17 3 18 3 19 3 20 3 21 3 22 INOA E RE E E A IA A E E AEA E A 87 SWATCH EE 88 LOGSURFER EE 90 Eeer 92 ESTUDO E CONCLUS ES SOBRE AS FERRAMENTAS ABORDADAS ssssssestsestsestterrsteserssrrsseessesereseet 94 SEC MO DELO FUNCIONAL eege gbeedeg deeg a teeceintens dE EEN 101 RESUMO DO CAPITULO 52 tecnicos ste cists a sonia ae Nee 108 4 INTEGRA O DO SISTEMA DE CORRELA O DE EVENTOS E NOTIFICA ES SCEN COM O SISTEMA NMSIS visssscssscsssssessscessesseasscnscesosssessssascosscesssnassoasoussconssonssbsscess asoassondsceecasssuesaoabavessasesee 111 4 1 INTRODU O AOS GEN exis cessa serem ca Sn aie eh Ee 111 4 2 PLANTA DE TESTE NO LABORATORIO DE REDES ESO 112 4 3 MODELO DO SCEN ee EES 115 4 4 SCRIPT DE LEITURA DO NMSISDB VIA QUERY DAEMON PHP sirene 117 4 5 IMPLEMENTA O DO DAEMON NET SNMP cecssccessssceceessececeeseececsceecessaececsenaeeeeaee
147. nc Hoboken New Jersey 2004 127 Boris Gruschke Integrated Evente Management Event Correlation Usisng Dependency Grafhs Department of Computer Science University of Munich Oettingenstr 67 80538 Munich Germany 1998 128 Martin Roesch SNORT Lightweight Intrusion Detection for Networks Proceedings of LISA 99 13th Systems Administration Conference 1999 129 http www snort org 130 http www openview hp com products ecs index html 131 Guilherme Peretti Pezzi Programando Sistemas Baseados no Conhecimento Utilizando o Ambiente CLIPS Curso de P s Gradua o em Ci ncia da Computa o 2005 2 132 Mr Robert E Lemon Pittsburgh Energy Technology Center Application of artaficial Intelligence to Reservoir Caracterization An Interdisciplinary Aproach Submitted by The UniverSiry of Tulsa Tulsa OK 74104 1995 133 http www securityfocus com tools 134 http www silicondefense com software snortsnarf index htm 135 ROSE Marshall T The Simple Book An Introduction to Networking Management Readings in Simple Network Management Protocol Prentice Hall Inc 1996 136 J Sch nwalder and J Quittek Secure Management By Delegation within the Internet Management Framework in Proc 6th IFIP IEEE International Symposium on Integrated Network Management Boston Seite 687 700 Mai 1999 SQ99 137 ZIMMERMANN Hubert OSI Reference Model The ISO Model of Architecture for Open Systems Inte
148. ndemos ver implementadas no sistema SCEN O objectivo do trabalho na escolha destas ferramentas que estas permitam analisar o conteudo dos eventos gerados atrav s de um daemon que tem como fun o principal colectar para um pipe ou para um ficheiro de log toda a informa o do estado dos objectos elementos de rede etc recolhida do NMSIS a cada instante A tabela 4 tem j essa abordagem para termos um estudo mais direccionado ao que se pretende ver implementado na nova ferramenta 97 Tabela 4 Caracter sticas e funcionalidades mais importantes de uma ferramenta de correla o E z e E ID Caracteristicas Funcionais 5 8 g F 8 E E 5 S Si E 2 a E vn ES 1 Suporta Correla o D D D e e e 3 Ferramenta Open Source H H H D D D D 6 M todo de pesquisa Pattern Matching H D D e H Modelo de execu o por rule based reasoning D D D D D 9 Modelo de execu o por infer ncia 10 Utiliza um sistema de regras H H H e e e D D D 12 Regras din micas podem mudar as ac es associadas as mensagem recebidas 15 M todo de pesquisa Pattern Matching com express es regulares 17 Faz filtragem de eventos D D D e e e 18 Faz supress o de eventos D D D D 19 Faz compress o de eventos D D D 20 Faz contagem de eventos D D D 21 Faz agrega o de eventos D D 22 Faz generaliza o de event
149. nf input Esta linha de comando muito simples apenas indica qual o ficheiro de configura o do SEC e qual o caminho para o ficheiro de entrada Neste caso particular a entrada o stdtin standard Input ou seja o perif rico teclado poderia ser um ficheiro bastava par isso colocar o caminho ex input home casilva teste e depois fazer cat de mensagens de echo para este ficheiro existem in meras op es Com este exemplo o SEC responde da seguinte forma sempre que escrevemos foo seguido por um ou mais espa os seguidos de um ou mais caracteres de n o espa o ele faz o logging para o stdout e envia para o ecr Podemos ver inumeros exemplos contidos nos artigos da p gina 53 Nos cap tulos seguintes existir o exemplos pr ticos de regras propostas e descritas para os eventos do NMSIS 106 3 21 2 PERFORMANCE E APLICA O DO MODELO SEC O SEC uma ferramenta com uma modesta exig ncia em termos de velocidade de CPU pode ser utilizado e instalado em plataformas antigas foi bem sucedido em sistemas Linux com processador Intel 80486 e com 16MB de mem ria Mesmo quando existem centenas de opera es de correla o de eventos e contextos que s o activados simult neamente e guardados na mem ria activa de trabalho mesmo assim o SEC corresponde muito bem O programa consome menos de 5 MB de mem ria na maioria das arquitecturas depende do sistema operativo Durante uma experiencia em que o SEC foi instala
150. ng of syslog systems over US plus 5 other messages from Cisco devices countries Retail sales of US 8000 managed nodes Network management with HP SEC provides a low cost and consumer the company WAN OpenView logfile monitoring efficient method to plug in event electronics covers continental US dynamic webpage generation etc correlation and event management Alaska Hawaii and US into HP OpenView territories Telecommuni US One of the largest Logfile monitoring collect and Good level of control over cations Carner intemational networks interpret alarms at call centers and monitoring triggers Provider in the world send a notification to a national support team Network Global more SEC is used in the US Used as a correlation engine for Cisco Provides event correlation without consulting than 30 offices network of a major DFM platform and for Snort IDS significant programming resources in US Europe European car manu runs on multiple platforms and Asia facturer 100 routers integrates well with external 300 switches scripting languages Software Global offices Global network spread Used as a prototype for event Free download status development in Europe US worldwide across the correlation experiments IT consulting Asia Australia globe and services South America O SEC j foi usado em in meras plataformas como Linux Solaris HP UX AIX FreeBSD Tru64 UNIX e Windows Foi
151. nt Santa Barbara CA Maio de 1995 J rgen Sch6nwalder Using Multicast SNMP to Coordinate Distributed Management Agents 2nd IEEE Workshop on Systems Management Toronto 20th de June 1996 Jo o Pires TMN Telecommunication Managment Network Redes de gest o de Telecomunica es Redes de Telecomunica es 2009 2010 Martin P Clark Networks and Telecomunications cap 27 John Wiley amp Sons 1997 Salah Aidarous and Thomas Plewyak Telecomunications Network Management in to 21st Century IEEE Press 1993 R E Caruso Network Management A Tutorial Overview IEEE Communications Magazine Mar o 1990 pp 20 25 Dan Plakosh Network Management An Overview Software Engineering Institute September 2 2000 can be found from http www sei cmu edu str descriptions network body html ITU T M 3010 Recommendation Principals for a Telecommunications Management Networks 02 2000 163 72 73 74 Mousa Al Mohammed Distributed Object Technologies for Element Management System September 10 2003 J Case K McCloghrie M Rose S Waldbusser Manager Information Base for version 2 of the Simple Network Management Protocol RFC 1450 1993 GRANVILLE L Z Constru o de agentes SNMP em ambiente Linux Instituto de Informatica Universidade Federal do Rio Grande do Sul Agosto 2006 Net SNMP Version 5 2 1 http www ne snmp org SEC simple event correlator http simp
152. ntos A por um nico e Supress o Suprime um evento A se determinado contexto operacional estiver presente e Filtragem Suprime um evento A se um dos seus par metros possuir determinado valor e Contagem Conta eventos repetidos A se o seu n mero exceder determinado limiar treshold substitui os por um nico evento B e Dimensionamento Na presen a de certo tipo de contexto operacional substitui um evento A por um evento B quando determinado valor de um par metro tem um valor acima do estipulado e Generaliza o Substitui um evento A por um evento mais gen rico B se determinado contexto operacional estiver presente e Especializa o Substitui um evento A por um evento mais especifico B se determinado contexto operacional estiver presente 72 e Rela o Temporal Correlaciona eventos dependendo da ordem de chegada e ou tempo da sua gera o e Clustering Gera um evento A se a amostras patterns de correla o mais complexas forem detectadas nos eventos recebidos A opera o de clustering pode ter em aten o o resultado de determinados testes externos ou a combina o de v rias opera es de correla o anteriores 3 9 T CNICAS DE CORRELA O DE EVENTOS Um n mero elevado de m todos foi adoptado na investiga o em intelig ncia artificial para realizar opera es de correla o Estas aproxima es podem ter v rias categorias distintas 161
153. o a actividade de gest o de rede consiste na monitoriza o de uma rede de comunica es a fim de diagnosticar problemas e colectar dados estat sticos As actividades b sicas da gest o de redes consistem na detec o e correc o de falhas num tempo m nimo e deve estabelecer procedimentos para a previs o de problemas futuros A complexidade da gest o de rede directamente proporcional ao tamanho da rede a gerir 46 Pelo car cter de livre utiliza o ser examinado mais a frente a ferramenta Open Source de monitoriza o de redes com protocolo SNMP chamada NMSIS Depois ser o estudadas as suas caracteristicas e aspectos mais relevantes na actividade de gest o de redes Existem actualmente v rias ferramentas comerciais e de fonte aberta no mercado mas o custo elevado da activa o das licen as comerciais tornam os produtos menos apetec veis para as pequenas e m dias empresas e at mesmo para algumas das grandes empresas que t m vindo pouco a pouco apostar cada vez mais em ferramentas com c digo de fonte aberta Recorrendo ao modelo FCAPS da ISO 49 114 121 podemos dividir as necessidades de gest o em v rios aspectos distintos a Na gest o de falhas preciso saber distinguir falha e erro Uma falha uma condi o anormal que requer uma ac o para a sua correc o por exemplo se uma linha de comunica o for cortada fisicamente o sinal n o passa na linha Enquanto o erro um evento simples
154. o sn recebida seguida de outra pattern ElementoRede s 1 sCategoria s w SIP s d sSalaID s w sEstado sn sMAC s w wt wt wt wt wt sNomeSwitch s d sPorto s d dentro de 40 segundos ja que o pooling actualizado de 30 em 30 segundos com o mesmo valor da variavel 1 que o valor da coluna netboxid utlilizado nas 2 querys escrito na sa da num ficheiro de log ou pipe com data e hora interna do SEC Falha no servi o 3 devido liga o Servidor 2 e Switch 5 Porto 6 e criado um novo evento interno elemento 1 ip 2 switch 5 porto S6 e passado s outras regras Se a 2 pattern n o for recebida dentro de 40 segundos escrito num ficheiro de log ou pipe Falha no servi o 3 do servidor 2 e criado um novo evento interno servi o 3 servidor 2 e passado s outras regras type Pair ptype RegExp pattern Servidor s d sIP s d sTipoServico s Nw sEstado sn desc servico 3 servidor 2 action write SEC NMSIS t Falha no servi o 3 do servidor 2 continue2 TakeNext ptype2 RegExp pattern2 ElementoRede s 1 sCategoria s wt sIP s d sSalaID s w t sEstado sn sMAC s w wt wt w wt wt sNomeSwitch s d sPorto s d desc elemento 1 ip 2 switch 5 porto 6 action2 write SEC_NMSIS t Falha no servi o 3 devido liga o Servidor 2 e Switch 5 Porto 6 window 40 171 A regra Pair t
155. o ac es premeditadas no arquivo HOME swatchrc do utilizador que o executar 153 154 155 Caracter sticas e Funcionalidades Especificas e Suporta Correla o Ferramenta Open Source M todo de pesquisa Pattern Matching com express es regulares Utiliza um sistema de regras Faz filtragem de eventos Faz supress o de eventos Faz compress o de eventos Faz contagem de eventos Correla o causal Correla o temporal Executa ac es Modelo de execu o por rule based reasoning Inspec o de diagn stico e rastreio de problemas Envia notifica es de mail e notifica es para a consola A entrada s o os ficheiros de log dos sistemas Unix syslog Capacidade de alerta em tempo real Boa Documenta o Boa portabilidade Requisitos de Sistema e licenciamento Os requisitos para correr o Swatch possuir determinadas depend ncias instaladas no sistema operativo Unix tais como os m dulos Cpan do Perl O licensiamento do c digo fonte do Swatch licenciado segundo os termos do General Public License GNU e publicado pela Free Software Foundation Que d permiss es de copiar distribuir e ou modificar o Swatch dentro de certas condi es 153 Observa es Gerais Por causa da import ncia dos eventos de log como a base de informa o do estado de sa de dos sistemas Unix V rias ferramentas foram concebidas para fazer monitoriza o de eventos de log O Swatch foi a primeira
156. o de ECS Designer GUI torna o complexo processo de correla o de eventos de forma intuitiva mais amigo do utilizador As regras de correla o s o criadas utilizando um paradigma visual de n s ligados entre si para formar um circuito de correla o 107 Caracter sticas e Funcionalidades Especificas Suporta Correla o Ferramenta Comercial Definem se circuitos de correla o para o processamento de eventos Correla o de eventos em tempo real Permite criar correla es simples atrav s da interliga o das primitivas de um n Sistema de regras Supress o de informa o Filtragem de eventos Modelo de execu o por rule based reasoning Permite testar as regras definidas em simulate mode Tem tecnicas para fazer feedback dos dados do circuito de correla o Capacidade de alerta em tempo real Utiliza armazenamento de eventos em ficheiros logs Boa Documenta o somente a quem adquire o produto 83 Requisitos de Sistema e licenciamento Existem requsitos para o software e hardware no network node manager 6 x e no hp OpenView operations 5 x 130 Este produto agora integrado com as vers es correntes do Network Node Manager and Operations NNMO O licensiamento do produto e a sua encomenda apenas requersitado para o Network Node Manager NNM 6 1 e anteriores e Operations 6 x e anteriores O motor ECS Engine n o tem custos com qualquer produto n gestor de rede e de opera o Network N
157. o de estado que aponta para poss vel causa do problema e Estat sticas de tr fego contadores de pacotes e contadores de erros e Hist rico do movimento das m quinas na rede e Ferramentas de manuten o e log stica e Licenciamento segundo as regras GNU General Public License e Boa documenta o de apoio no desenvolvimento e Faz armazenamento de dados e Tem in meras ferramentas de font end e Tem processos de back end Observa es Gerais Apresenta a vers o de software de todos os equipamentos o tipo de equipamento a sua localiza o e uma interface gr fica para a utiliza o de portos de switches e routers por exemplo se as portas est o em trunk livres ocupadas bloqueadas etc Adicionalmente disponibiliza uma ferramenta para bloquear as portas de switches via SNMP A interliga o dos elementos de rede Routers Switches Servidores ou computadores de certa forma auto detect vel Disp e de um servi o que faz a monitoriza o do estado da rede e que detecta quando o tr fego nas intersec es da rede ultrapassa o valor definido pelo gestor por exemplo X de taxa de utiliza o O NMSIS fornece estat sticas de utiliza o para v rios elementos de rede tais como servidores routers e switches desde que estes suportem o protocolo SNMP Disponibiliza um mapa de tr fego que mostra a topologia da rede ao n vel da camada OSI de Rede e ao n vel da camada de liga o l gica A monitoriza o de
158. o ou t cnica de correla o de eventos torna as solu es menos complexas do ponto de vista funcional 100 e As que tenham a capacidade de ter at v rios tipos de ac es e v rias ac es a decorrer simult neamente no mesmo instante de execu o para apenas uma condi o validada o que torna o sistema com grande capacidade de resposta e de grande flexibilidade face aos v rios tipos de entradas poss veis E mais uma vantagem para o sistema e As que puderem dar uma resposta adequada ao tipo de falhas atrav s de notifica es em tempo real email etc aos administradores de gest o de rede e As que usem a capacidade de ter um sistema de regras que permite lan ar eventos internos que possam ser processados por outras regras e E por fim as que podem usufruir de eventos chamados contextos com determinado limite de tempo de execu o e fazem triggering a outras regras que inicializam instant neamente Pela sua efic ssia real e grande flexibilidade chegou se conclus o que a ferramenta mais funcional e de elei o para o sistema que se quer ver implementado Neste contexto ser feito no pr ximo cap tulo uma descri o mais aprofundada do modelo de funcionamento da ferramenta SEC 3 21 SEC MODELO FUNCIONAL 3 21 1 MODELO E OPERA ES DISPON VEIS A UTILIZAR NO SEC O modelo do SEC tem como base os sistemas do tipo Rule based reasoning com um amplo conjunto de regras que fazem a verifica o
159. o valor e Tipo e padr o de amostragem pattern Especifica o padr o de amostragem pattern que a linha de entrada vai ser comparada para descobrir o evento As express es regulares tipo RegExp e strings tipo SubStr podem ser usadas como padr o de amostragem pattern Se o tipo de padr o seguido de um n mero o n mero especifica quantas linhas de entrada ser o usadas para a compara o e Descri o de Evento Texto descritivo do evento descoberto e Ac o Define a ac o que vai ser executada quando o evento descoberto As ac es incluem execu o de comandos de shell cria o de contextos apagar de contextos e fazer reset a opera es de correla o existem regras que fazem reset de contagem e Contagem e Restri es Temporais Restri es opcionais para implementa o de opera es de correla o como contagem e rela o temporal e Contextos A op o contexto existe quando uma regra considerada v lida durante o tempo de execu o 102 3 21 2 TIPOS DE REGRAS SUPORTADAS PELO SEC O SEC foi concebido para sustentar v rios tipos de regras 74 e Single Faz correspond ncia ao evento de entrada e executa uma lista de ac es e SingleWithScript Faz correspond ncia ao evento de entrada e executa uma lista de ac es se um script ou programa externo ex uma query at uma base de dados e retorna um certo valor de sa da ex 0 1 O script ou prog
160. ode Manager and Operations NNMO permitindo correla o out ofthe box Observa es Gerais O Network Node Manager NNM da fam lia OpenView da HP das plataformas mais divulgadas e utilizadas no contexto de gest o de redes O NNM possui como uma das suas maiores vantagens uma componente gr fica que se organiza em diferentes s mbolos e cores que possibilita atrav s de uma inspec o visual identificar problemas na rede Uma outra aposta por parte da HP a disponibiliza o de uma interface WEB baseada em JAVA para as suas aplica es de gest o o que possibilita o acesso a partir de qualquer ponto da rede aplica o de gest o Na plataforma OpenView existe o Event Correlation Services ECS No ECS programam se circuitos de correla o para definir o processamento de eventos 82 Internamente o ECS usa um tipo de linguagem de programa o funcional Com a utiliza o do paradigma visual de n s ligados entre si para formar um circuito de correla o 107 Os eventos entram nos n s por via das portas de entrada e saem pelas portas de sa da Uma porta de sa da de um n est ligada a uma porta de entrada de outro n dentro do circuito para que os eventos fluam atrav s do circuito de um n at ao pr ximo Os tipos de n s fornecidos pelo ECS s o um conjunto de tipos b sicos considerados necess rios e suficientes para fazer correla o de eventos em tempo real Existe outra aproxima o imple
161. om a definirem um padr o 122 e A detec o e isolamento de falhas um passo importante para descoberta da causa mais prov vel que est na raiz do problema Se tivermos uma simples rede constitu da por clientes que est o ligados servidores de servi os atrav s uma rede de routers e switchs Nesta rede monitorizada os alarmes que surgem de falhas no servidor falha na conex o ao Servidor sj ou falhas que surgem de clientes de servi os falha na conex o ao servi o cj podem ser atribu das a falhas nos routers falha na liga o do router r1 ou serem atribu das a falha nos switchs falha na liga o do switch s1 Sem este conhecimento que r ou si gt sj ou cj um operador de rede ou um sistema automatizado n o sabe apontar a raiz da causa do problema de uma forma efectiva e eficiente numa rede grande e com muitos alarmes de falha de conex o 122 e Filtragem e supress o de eventos outra caracter stica importante que o sistema deve ter Por exemplo numa rede simples o sistema de correla o dever reportar apenas 68 alarmes prim rios tais como estados de switchs ou routers r1 s1 enquanto suprime os eventos secund rios e potencialmente numerosos de falhas do tipo falha na conex o e Ajuste de performance conseguido quando a raiz do problema das falhas de rede isolada eficientemente quando a degrada o da rede dura um
162. omo proceder num determinado contexto mas na informa o que chega dos sistemas que tem que gerir Pretende se que a quantidade de eventos seja menor e com informa o mais til sobre o que est realmente acontecer em tempo real N o s porque hoje os equipamentos t m mais capacidade de servi os e as aplica es trocam mais mensagens e geram mais registos mas porque cada vez mais as aplica es dependem mais umas das outras Com a abund ncia de informa o vaga e incompleta as mensagens sobre os sistemas de gest o elevada Quando se interroga algu m ligado gest o de redes como que feita a gest o dos sistemas e recursos a seu cargo muitas vezes as respostas podem ser preocupantes A maior parte das empresas n o gerem de forma eficiente os seus recursos e muitas vezes n o sabe efectivamente como o fazer por isso n o pode tirar dividendos de uma gest o eficaz 157 f cil apregoar que indispens vel ter um sistema de gest o mas um grande desafio justificar os custos e as tarefas necess rias para uma correcta gest o dpos sistemas Para o fazer obrigat rio ter equipas dedicados a essas tarefas e em particular em empresas de menor dimens o pode ser uma limita o Ultrapassar o problema da recolha e an lise eficaz dos eventos gerados pelos sistemas e redes inform ticas no dom nio da computa o por si s uma quest o complexa que requer a implementa o de um sistema simples e eficaz d
163. onal Hughes LAN Systems March 1991 M Rose A Convention for Defining Traps for use with the SNMP RFC 1215 Performance Systems International March 1991 K McCloghrie D Perkins J Sch onw alder J Case M Rose and S Waldbusser Structure of Management Information Version 2 SMIv2 RFC 2578 Cisco Systems SNMPinfo TU Braunschweig SNMP Research First Virtual Holdings International Network Services April 1999 K McCloghrie D Perkins J Sch onw alder J Case M Rose and S Waldbusser Textual Conventions for SMIv2 RFC 2579 Cisco Systems SNMPinfo TU Braunschweig SNMP Research First Virtual Holdings International Network Services April 1999 K McCloghrie D Perkins J Sch onw alder J Case M Rose and S Waldbusser Conformance Statements for SMIv2 RFC 2580 Cisco Systems SNMPinfo TU Braunschweig SNMP Research First Virtual Holdings SNMP Research International Network Services April 1999 D Harrington R Presuhn and B Wijnen An Architecture for Describing SNMP Management Frameworks RFC 2571 Cabletron Systems BMC Software IBM T J Watson Research April 1999 K Chan J Seligson D Durham S Gai K McCloghrie S Herzog F Reichmeyer R Yavatkar and A Smith COPS Usage for Policy Provisioning COPS PR RFC 3084 Nortel Networks Intel Cisco IPHighway PFN Allegro Networks March 2001 K McCloghrie M Fine J Seligson K Chan S Hahn R Sahita A Smith and F Reichmeyer
164. or e switch p porto 0 Se existir uma quebra no servi o evento 1 e existir uma quebra no elemento de rede servidor evento 2 e existir uma quebra no elemento de rede switch evento 5 e n o existir uma quebra no elemento de rede gateway evento 6 ou 9 ent o cria evento falha no servi o Y do servidor devido a quebra na liga o entre switch e gateway porto q Se existir uma quebra no servi o evento 1 e existir uma quebra no elemento de rede servidor evento 2 e existir uma quebra no elemento de rede switch evento 5 e existir uma quebra no elemento de rede gateway evento 7 ou 11 ent o cria evento falha no servi o Y do servidor devido a Gateway 4 isolada Adaptando estas notifica es de sa da do sistema SCEN ao esquema da figura 23 podemos fazer determinadas afirma es que visam a descoberta da raiz da causa do problema de rede Se o servi o por alguma raz o falhar mas o servidor estiver activo e acess vel temos um nico evento a reportar o seguinte falha no servi o Y do servidor Se o tro o 1 4 ou 5 ficar cortado por alguma raz o teremos outro e nico evento a reportar falha no servi o Y devido a quebra na liga o entre servidor e switch p porto o a Se por qualquer outra causa o tro o 2 ou 3 ficar cortado teremos tamb m apenas um evento a reportar falha no servi o Y devido a quebra na liga o entre switch p e gateway porto Ai q
165. os 23 Faz especializa o de eventos 24 Temo conceito de contextos NM NM 25 Correla o causal D D e e 26 Correla o temporal D D e e 27 Permite correla o de eventos em tempo real H H D D 32 Executa ac es conceito de ac o e de reac o D D e e 33 M ltiplas ac es numa simples linha com correspond ncia 34 Envia notifica es de mail D D D e 39 Aentrada pode ser qualquer tipo de ficheiro ou aplica o 40 Capacidade de alerta em tempo real H H H D D D 41 Utiliza armazenamento de eventos em ficheiros logs H H 42 Faz shifting de ficheiros de logs 43 Dedica se as tarefas de manut n o da rede e H D D D 44 Inspec o de diagn stico e rastreio de problemas H H D D D D 56 Sa da em Web HTML D D 57 Boa portabilidade entre sistemas H D D D D D D 58 Boa Documenta o H D D D D D D N mero de Caracteristicas 31 9 6 6 10 8 10 20 24 28 Ap s analise da tabela 4 podemos constatar que as ferramentas comerciais de correla o de eventos como a ferramenta HP ECS 82 que estudamos ou outros sistemas como o SMARTS 83 o NerveCenter 84 Todos t m muito sucesso e s o usados no mundo inteiro por in meras empresas mas sofreram v rios recuos ao longo do tempo por 98 diversas raz es Uma das raz es que estes sistemas s o normalmente solu es pesadas que t m um design complicado bem como a interface com o utilizador
166. pd que um agente Net 118 SNMP que fica escuta num porto espec fico por defeito no porto UDP 161 todos os interfaces com IP vers o 4 IPv4 ficam espera de pedidos do software de gest o SNMP nesse porto 102 E ap s recep o do pedido processa o colectando a informa o pedida e ou executando a opera o do pedido e depois retorna a informa o ao remetente Existem outros programas como o snmptrapd que uma aplica o Net SNMP que recebe e armazena a informa o em log de notifica o SNMP TRAP e mensagens de informa o INFORM Esta ferramenta foi integrada no nosso sistema para fazer a tradu o das traps pelo m dulo snmptrapd revelou se de grande utilidade pois contribuiu para a colecta de traps vindo dos equipamentos de rede de uma forma mais simples e c lere Por defeito est sempre escuta em todos os interfaces com IPv4 no porto UDP 162 O snmptrapd deve ser corrido como root Como o sistema Linux Ubuntu j tem o pacote ferramenta Net SNMP instalado por defeito n o foi preciso fazer a sua instala o Para que fosse poss vel activar um daemon que fa a o tratamento das traps SNMP foi configurado o agente snmpd para n o ficar desactivado 100 102 e para isso foi editado o etc default snmpd que controla actividade do snmpd e do snmptrapd da seguinte forma para que o agente interno snmpd fique inactivo snmpd control yes means start daemon SNMPDRUN no Para que seja poss vel activa
167. press o de eventos fazer contagem de eventos utilizar tresholds m ximos de eventos fazer generaliza o especializa o e ter uma componente de rela o temporal dos eventos que chegam entrada O objectivo deste trabalho nos sistemas de regras de correla o causal dar uma resposta mais suscinta com informa o mais verdadeira sobre a raiz da causa das falhas O objectivo dos sistemas de regras temporais fazer uso dos benef cios de uma aproxima o temporal Por exemplo fazer filtragem contagem e compress o aos eventos materializando a resposta do sistema com caracter sticas mais gen ricas do que se est a passar a cada momento e tratar de um n mero muito elevado de eventos espec ficos O SCEN analisa os eventos que entram num ficheiro de entrada normalizado sejam esses eventos via query s bases dados do NMSIS atrav s do daemon PHP sejam os eventos recebidos directamente da rede via trap atrav s do daemon snmptrapd O motor de correla o recebe simult neamente os dois tipos de eventos eventos Query e trap No caso das bases de dados o canal de comunica o da informa o bidirecconal no caso das traps o canal unidirecional O sistema processa os eventos que est o a decorrer na rede e responde com informa o coerente correcta e verdadeira ao utilizador sobre o que est acontercer a cada instante O operador informado do estado da rede atrav s de uma p gina WEB com a listagem de to
168. proxima es foram separadas em v rias categorias distintas A correla o de eventos pode ser obtida atrav s de v rios modelos ou mesmo atrav s da sua combina o estes catogorias s o rule based reasoning RBR model based reasoning MBR case based reasoning CBR code base codebook correlation CC State Transtion base STB Probabilistic Finite State Machine PFSM Network Element Dependency Graph NEDG Hybrid approach Posto isto foram pesquisadas e estudadas v rias ferramentas que actualmente tem opera es de correla o O sentido desta pesquisa foi orientado na procura de ferramentas com c digo fonte aberto segundo os termos do Free Software Foundation FSF especifico das ferramentas do sistema operacional General Public License GNU contudo foram tamb m abordadas ferramentas comerciais As ferramentas de correla o eventos 109 estudadas foram nove Snort SnortSnarf SnortCenter HP OPenView ECS CLIPS IMPACT Swatch LogSurfer e SEC para ser feita a escolha de qual delas ser utilizada integrada com o NMSIS NMSIS Posto o estudo das nove ferramentas de correla o de eventos Foi elaborado uma tabela geral para visualizar as diferen as das suas caracter sticas espec ficas Constatatou se que o n mero de caracter sticas das ferramentas era muito elevado por isso restringiu se o estudo apenas as caracter sticas pretendidas e fez se a escolha Esta escolha reca u sobre a ferramenta escrita em ling
169. que apenas recolhe traps enviadas pelos equipamentos de rede Todas estas ferramentas encaminham os dados para o event queue A Figura 8 fornece uma perspectiva geral do funcionamento da ferramenta Status Destas quatro ferramentas as duas primeiras s o as que nos interessam estudar porque s o as que gerem os alarmes dos eventos activos de rede bem como dos seus servi os A an lise do processo snmptrapd que recolhe traps enviadas pelos equipamentos de rede tamb m importante para o estudo deste trabalho proa Q Alert Engine Event Engine snmptrapd a Snmp trap Figura 8 Ferramenta Status do NMSIS I A Ferramenta de estado status monitor pping parallel pinger A ferramenta status monitor feita atrav s do pping que um daemon com o seu pr prio mecanismo de agendamento configur vel A frequ ncia de cada varrimento aos elementos de rede via ping por defeito vinte segundos O tempo de resposta m ximo 59 permitido por elemento de rede por defeito cinco segundos Um elemento considerado inating vel em baixo e colocado na tabela event queue ap s quatro no responses consecutivas tamb m configur veis S o precisos cerca de oitenta a noventa segundos para o pping detectar que o elemento est efectivamente em baixo Este daemon pinga todas as boxes que s o elementos activos da rede da tabela netbox e como trabalha em paralelo com o sistema po
170. quebra na ligacao entre Switch 10 1 33 100 e Gateway 10 0 32 250 Porto FastEthernet0 1 Tue Nov 2 17 04 43 2010 Falha no servico http devido a quebra na ligacao entre Servidor 10 0 32 71 e Switch 10 0 32 100 Porto FastEthernet0 8 Done a Icasilvagcasil 3 test txt pes Taking Screens SCEN Mozilla casilva File B EB casilva casilv ON ca Figura 28 Pagima WEB de eventos de saida do sistema SCEN 5 9 2 NOTIFICACAO VIA MAIL O sistema de sa da est preparado para enviar mensagens de mail Atrav s das ac es do SCEN pode se escrever as mensagens de sa da numa file stream ou num ficheiro de log e 147 poss vel at executar comandos de shell Para enviar uma mensagem de mail a ac o write de escrita num ficheiro substitu da pela ac o de pipe O pipe dos sistemas Unix um comando de shell que executa um programa ou um script e o resultado realimentado sua entrada Foi preciso instalar um Mail User Agent MUA para o mail local interno da m quina do SCEN e um Mail Transport Agent MTA para poss vel liga o a outro MTA do Internet Service Provider ISP atrav s do protocolo Simple Mail Tranfer Protocol SMTP O MUA utilizado e instalado foi o mailx e o MTA utilizado foi o postfix O mailx apenas um MTU local este agente ir deixar todas as mensagens de sa da de mail na fila de espera utilizado pelo MTA do sistema neste c
171. r 21 D 80333 Munich Germany 2005 161 Lewis L A case based reasoning approch to the management of faults in communication networks Artificial Intelligence for aplications 1993 162 Ryan Wishart Event Correlation System For an Elvin based Sensor Network October 2002 163 L Lewis Event Correlation in SPECTRUM and other commercial products SPECTRUM technical note ctron Iml 99 05 May 1999 164 Rouvellou I Hart G W Automatic alarm correlation for fault identification INFOCOM 95 Fourteenth Annual Joint Conference of the IEEE Computer and Communications Societies Bringing Information to People Proceedings IEEE vol no pp 553 561 vol 2 2 6 Apr 1995 165 Bouloutas A T Calo S Finkel A Alarm correlation an fault identification in communication networks Communications IEEE Transactionson vol42 no 234 pp 523 533 Feb Mar Apr 1994 166 Jaesung Choi Myungwhan Choi Sang Hyuk Lee An alarm correlation and fault identification scheme based on OSI managed object classes Communications 1999 ICC 99 1999 IEEE International Conference o vol 3 npo pp 1547 1551 vol3 1999 167 Yu M Li and Chung L W 2006 A pratical scheme for MPLS fault monitoring and alarm correlation in backbone networks Comput Networks 50 16 Nov 2006 169 168 H lder Mendes GILT ISEP Jorge Mamede GILT ISEP Artigo Preserva o da QOS durante a gest o remota de software 2008 170 Anexo A A
172. r Copyright O 2003 by Jim Brown November 23 2003 94 Jim Brown Working with SEC the Simple Event Correlator Part Two Copyright O 2003 by Jim Brown November 23 2003 95 The Perl Programming Language http www perl org 96 Perl Regular Expressions http search cpan org nwclark perl 5 8 2 pod perlretut pod 97 Perl Regular expressions http www troubleshooters com codecorn littperl perlreg h 98 Perl Regular Expressions http www cs tut fi jkorpela perl regexp html 99 Snmptrapd http www net snmp org docs man snmptrapd html 100 Snmpd http www net snmp org docs man snmpd html 101 102 103 Masum Hasan Lawrence Ho Frank Feather and Binay Sugla The software frameworks for network management event correlation and filtering systems Bell Laboratories Lucent Technologies 101 Crawfords Corner Road Holmdel NJ 07733 USA 1999 104 G Jakobson and M Weissman Real Time Telecommunication Network Management Extending Event Correlation with Temporal Constraints IntegratedNetwork Management IV IEEE Press 1995 105 Masum Hasan An active temporal model for network management databases In A S Sethi Y Raynaud and F Faure Vincent editors Proceedings of the IEEE IFIP Fourth Intemational Symposium on Integrated Network Management 1995 106 S Klinger S Yemini S Yemini Y Ohsie D amp Stolfo A Coding Approach to Event Correlation In Proceedings of the Fourth Symposium on Integr
173. r o daemon snmptrpd foi editado o etc default snmp da seguinte forma snmptrapd control yes means start daemon TRAPDRUN yes Assim foi possivel activar o daemon snmptrapd para fazer a colecta e tratamento das traps enviadas pelos dispositivos de rede O snmptrapd permite varias coisas como traphandler que activa uma aplica o ap s recep o de determinada trap com determinado OID Permite tamb m o tratamento de notifica es de falha de autentica o E o mais importante para este projecto fazer armazenamento das notifica es trap log 119 O ficheiro de configura o do receptor de notifica es Net SNMP o snmptrapd conf este ficheiro usa um ou mais ficheiros de configura o para permitir o controlo da sua opera o e como as traps podem ser processadas Para desabilitar o tratamento de authentication failure traps foi configurado etc snmp snmptrapd conf da seguinte forma 99 102 103 ignoreauthfailure Ignore authentication failure traps arguments 1 yes true 0 no false ignoreauthfailure yes disableAuthorization yes Para activar o armazenamento de traps donotlogtraps Prevent traps from being logged Useful when you only want to use traphandles arguments l yes true 0 no false donotlogtraps false Escolher o ficheiro de armazenamento log logoption Set options controlling where to log to See L options in the snmptrapd conf man page logOption
174. rama externo poder ser provido com o nome dos contextos na sua entrada e SingleWithSuppress Faz correspond ncia ao evento de entrada e executa uma lista de ac es mas ignora novos eventos com correspond ncia durante uma janela temporal e Pair Faz correspond ncia ao evento de entrada e executa uma lista de ac es imediatamente e durante os pr ximos t segundos ignora os pr ximos eventos com correspond ncia at chegar qualquer outro evento de entrada A chegada do segundo evento com correspond ncia executa outra lista de ac es e PairWithWindow Faz correspond ncia ao evento de entrada e espera durante os pr ximos t segundos at chegar qualquer outro evento de entrada Se esse evento n o aparece durante o tempo dado na janela executa uma lista de ac es Se o evento aparece durante o tempo dado na janela executa outra lista de ac es e SingleWithThreshold Conta as correspond ncias de um mesmo evento de entrada durante uma janela de t segundos e se um determinado threshold n f r excedido executa uma lista de ac es A janela tipo Sliding Window e SingleWith2Thresholds Conta as correspond ncias de um mesmo evento de entrada durante uma janela de t segundos e se um determinado threshold n f r excedido executa uma lista de ac es A contagem continua ap s a execu o quando o n mero de eventos n o f r superior a n durante a janela outra lista de ac
175. ramentas que se pretende ver implementada com o NMSIS j que o NMSIS uma ferramenta de gest o de redes com protocolo SNMP e n o um Snifer de protocos que correm na rede Por esse motivo estas ferrametas foram exclu das do projecto Algumas tarefas de an lise de logfile podem ser executados com a utiliza o de ferramentas como o Swatch 79 o Logsurfer 80 ou o SEC O Swatch e o LogSurfer s o ferramentas com os mesmos princ pios funcionais O Swatch escrito em linguagem Perl e o LogSurfer em linguagem C O Logsurfer lida bem com grandes quantidades de eventos por dia tal como o SEC enquanto que o Swatch j tem mais dificuldades a lidar com grandes quantidades de tr fego de eventos O Swatch e o Logsurfer suportam algumas opera es de correla o de eventos mas com capacidades de correla o ainda um pouco limitadas 99 Um artigo 81 aponta para as fragilidades das ferramentas de monitoriza o de logfiles e discute a import ncia de estender as t cnicas de monitoriza o de logfile a um modelo de aproxima o mais complexo e heuristico incluindo a correla o de eventos Mesmo comungando algumas das caracteristicas de base das ferramentas Swatch e LogSurfer a ferramenta SEC 74 n o est presa apenas an lise de ficheiros de logs O seu conceito assenta na caracter stica de ser plataform independent e na capacidade de trabalhar com qualquer tipo de ficheiro de entrada basta que para isso o programa ext
176. rata de 2 patterns 2 acc es e uma janela de tempo dentro da mesma regra utiliza uma janela temporal que activada ap s a primeira ocorr ncia do evento A Se o evento B ocorre dentro da janela os eventos A e B s o considerados correlacionados e o matching considerado regra inteira Se n o a opera o de correla ao para o par A e B termina A action 1 ac o executada de imediato quando feito o matching a A e a action 2 ac o executada quando feito o matching do evento B na mesma janela temporal Faz matching a pattern Servidor s d sIP s d sTipoServico s wt sEstado sn se for recebida escreve num ficheiro de log ou pipe um alarme com o seguinte contexto com data e hora interna do SEC Falha no servi o 3 do servidor 2 gerado imediatamente e um event interno servi o 3 servidor 2 criado Se a 2 pattern n o for recebida dentro de 40 segundos n o faz mais nenhuma ac o 172 Anexo B Algoritmo final com 3 regras de correla o causal de eventos recolhidos do NMSIS Neste anexo est o as tr s regras do ficheiro de configura o com um algoritmo de correla o causal de eventos recolhidos do NMSIS processo de 3 regras com 4 tipos de querys de servico servidor switch e gateway type PairWithWindow ptype RegExp pattern IP s d sTipoServico s Nw sEstado sn desc servico 2 servidor 1 downl action event s write trap t
177. rce O SEC recebe os seus eventos externos atrav s de um ficheiro de fluxo file stream e ao executar comandos de shell especificamente configurados pelo utilizador produz efeitos sua sa da Standard ouput Os ficheiros regulares chamados pipes servem como entradas normalizadas standard input Estes tipos de canais de fluxo de informa o s o correntemente suportados como entradas no SEC Desta forma qualquer tipo de aplica o que esteja apto para escrever o seu conte do numa file stream pode ser integrado juntamente com o SEC As aplica es que t m a gest o de eventos atrav s de uma Application Programming Interface API podem tamb m ser integradas atrav s de simples plugins que transmitem chamadas da API para ler a stream de eventos da aplica o e copi la para um ficheiro ou para a sua sa da normalizada standard ouput o SEC tem no seu pacote de instala o package um pugin para o HP OpenView ITO 93 Independentemente do formato utilizado o SEC utiliza express es regulares para reconhecer e manipular qualquer tipo de eventos que aparecem sua entrada Esta forma facilita a configura o do SEC j que muitas das ferramentas do sistema operativo Unix como o grep o sed o find e o awk confiam nas express es regulares para fazer as suas tarefas Muitos dos administradores de sistemas j est o familiarizados com a linguagem de express es regulares A configura o do SEC pode ser gravada em ficheiros d
178. rconnection IEEE Transactions on Commnications VLO COM 28 NO4 APRIL 1980 138 CISCO http www cisco com univercd cc td doc cisintwk ito doc introint htm 139 STALLINGS William Data and computer communications 8 ed New Jersey Person Education 2007 140 TANENBAUM Anfrew Computer Networks 4 ed New Jersey Personal Education International 2003 141 NAV http metanav uninett no 142 UNINETT http www uninett no index en html 143 NAV Users http metanav uninett no navusers 144 NAV Technical Documentation http metanav uninett no navtechdoc 145 Marc Dacier Institut Eurecom Corporate Communications Department FRANCE Research Report RR 03 093 White Paper Alert Correlation Review of the state of the art November 28 2003 146 SnortCenter http users telenet be larc index html 147 G Jakobson M D Weissmann Alarm Correlation IEEE Network p 52 59 Nov 1993 148 G Jakobson M Weissman Shri Goyal IMPACT Development and eployment Ex esience of Network Correlation Applications GTE Labomories Incorporated 40 Sylvan Road Waltham MA 02254 USA 1995 149 G Jakobson M Weissman Real time telecommunication network management extending event correlation with temporal constraints In IFIP IEEE International Symphosium on Integrated Network Management IV page 290 301 1995 150 G jakobson M Weissman L Brenner C Lafond C Math
179. regras e como poss vel agrupar um conjunto de regras que fazem processamento de todos os eventos recebidos entrada via eventos de query evento Servi o evento Servidor evento Switch e evento Gateway A figura 26 um exemplo disso mesmo um esquema final de correla o causal de eventos utilizando tr s regras em que no final inferido apenas uma e s uma raiz da causa do problema para um conjunto de v rios tipos de eventos recebidos entrada do sistema SCEN 143 N o gt Window 30 segundos amp Ac o amp Evento 1 N o gt Window 30 segundos amp Ac o amp Evento 1 o internal EEN PairWithWindow Cond evento 2 amp Switch NOK intemal Ac o1 escreve o falha devido a liga o Gateway Ac o 2 escreve falha devido a falha na Gateway Figura 26 Algoritmo final com tr s regras do tipo PairWith Window para correla o de eventos de causalidade com 4 tipos de query Servi o Servidor Switch e Gateway 5 8 APLICA O DE REGRAS DE CORRELA O TEMPORAL AOS EVENTOS Os eventos de entrada do SCEN via trap recorrem utiliza o de express es regulares A correspond ncia feita atrav s de amostragem padr o pattern a toda a sequ ncia de dados que aparece nos eventos de notifica o traps Existem v rias patterns dependendo do tipo de string de caracteres dos eventos de entrada que v o ser processados 2
180. riormente 111 Error Reference source not found a introdu o de um novo Sistema de Correla o de Eventos e Notifica es SCEN O SCEN serve para instrumentar e dotar o sistema de gest o NMSIS com um bloco de correla o de eventos que n o existia Esta inclus o reflectiu se no desenvolvimento de um processo de aquisi o dos eventos gerados a partir do NMSIS e tamb m na proposta de incluir no SCEN uma ferramenta de c digo fonte aberto que permitisse a correla o de eventos Esta ferramenta chamada Simple Event Correlator SEC tem como fun o principal a inclus o de um processo de verifica o de eventos com um motor de infer ncia para processamento de eventos para o sistema reagir adequadamente de acordo com as entradas 1 2 OBJECTIVOS O objectivo principal deste projecto a integra o de um sistema de correla o de eventos atrav s da aquisi o de informa o proveniente do sistema NMSIS O presente trabalho 32 fez uma pesquisa para identificar as principais caracter sticas do modelo de gest o do NMSIS e quais os requisitos para a possibilidade de ser integrado com um motor de correla o Para o efeito foram estudadas e comparadas v rias solu es no mercado Open Source com correla o de alarmes que atendem esses requisitos Foram analisadas formas de como obter informa o do NMSIS que contenha certos par metros e vari veis de estado dos diversos elementos de rede para forma o de no
181. rotocolo normalizado SNMP do IETF o protocolo normalizado CMIP da OSI e o modelo Standard TMN da ITU T 2 3 PROTOCOLO DE GEST O DE REDES SNMP O protocolo Simple Network Management Protocol SNMP 1 foi definido no final dos anos 80 para fazer o endere amento de gest o de redes internet A arquitectura SNMP tradicional introduz duas entidades gestores SNMP e agentes SNMP Os gestores SNMP executam aplica es de gest o SNMP enquanto os agentes SNMP fornecem o acesso s tipologias das vari veis Management Information Base MIB que s o simples escalares e organizadas conceptualmente em tabelas Os agentes SNMP tamb m podem enviar notifica es ass ncronas para os gestores SNMP para reportar eventos traps As tabelas conceptuais e escalares comunicam formalmente via SNMP atrav s do uso de uma linguagem de defini o de dados Structure of Management Information SMD As defini es de dados escritos em SMI s o chamadas de m dulos de MIB Ou seja a norma SMI define como criar uma MIB O protocolo SNMP foi desenhado para operar em redes com muitas falhas e para minimizar os requisitos de recursos dos agentes SNMP Os agentes SNMP s o por norma independentes do estado stateless e o protocolo usado por defeito no transporte das mensagens SNMP User Datagram Protocol UDP A primeira vers o do SNMP Simple Network Management Protocol version 1 SNMPv1 entrou de forma r pida no processo de normaliza o standardization
182. rramenta para sistemas especializados pois trata se de um ambiente completo para desenvolvimento de sistemas especializados que inclui um editor integrado e uma ferramenta de apuramento O terminal de texto word shell reservado para a parte do CLIPS que realiza infer ncia O modo de execu o do shell no CLIPS tanto pode ser por infer ncia como por reasoning Possui os elementos b sicos de um sistema especializado deve ter a Lista de factos e inst ncias mem ria global para os dados b Base de conhecimento que cont m todas as regras c Motor de infer ncia controla a execu o das regras Um programa escrito no CLIPS consiste de regras factos e objectos O motor de infer ncia decide quais regras devem ser executadas e quando Um sistema especializado com base em regras e escrito no CLIPS um programa data driven onde os S6 factos e os objectos s o eles pr prios os dados que estimulam a execu o atrav s do motor de infer ncia Este um exemplo de como o CLIPS difere de outros programas convencionais como PASCAL e FORTRAN Nestas outras linguagens a execu o pode ser feita sem a necessidade de dados isto as instru es s o suficientes para a execu o J no CLIPS preciso dos dados para a execu o das regras 132 O CLIPS tem um desenho que permite uma total integra o com outras linguagens tais como C e pode ser usado como uma ferramenta stand alone Mais ainda o CLIPS pode ser chamado por o
183. rvore mostra a rela o de causa efeito entre eventos recebidos via query esquerda e o conjunto dos dois via query e via trap direita Figura 22 Mapa em rvore da rela o de correla o de causalidade das querys e traps e o conjunto das duas 132 Uma das aproxima es mais comuns utilizadas hoje em dia s o as correla es base de regras Cada regra tem a seguinte forma condi o se IF ent o THEN ac o No caso de motores de correla o base de regras o processo de correla o de eventos totalmente personaliz vel e determinado por quem as faz as regras 123 Esta abordagem a mais aceite actualmente por entre os engenheiros de gest o de redes Existem diversos tipos de rela es entre os eventos reproduzidos nos testes de laborat rio de acordo com o esquema de rede montado na figura 17 As rela es entre os eventos s o as seguintes Se analisarmos s as querys esquema da esquerda da figura 22 gt Se existir um a quebra no servi o evento 1 ent o a sua causa pode estar relacionada com o evento de falha no servidor evento 3 ou n o evento 2 gt Se existir uma quebra no elemento de rede servidor evento 3 ent o pode estar relacionada com falha no switch evento 5 ou n o evento 4 gt Se existir uma quebra no elemento de rede switch evento 5 ent o pode estar relacionada com falha na gateway evento 7 ou n o evento 6 Se juntarmos mais traps
184. s ao gestor atrav s de consulta e podem ser alteradas por ele Toda a intelig ncia do processo fica no gestor permitindo que o agente seja uma aplica o muito simples e com o m nimo de interfer ncia no dispositivo em que est a ser executada As decis es tomadas na ocorr ncia de problemas e as fun es de criar relat rios ficam sob responsabilidade do gestor 2 3 4 TIPOS DE AGENTES SNMP Os agentes SNMP podem ser classificados em dois tipos distintos que diferem entre si pela forma como s o implementadas as funcionalidades do protocolo SNMP e pelo modo como s o feitas as interac es com os dispositivos geridos 51 O primeiro tipo de agente SNMP o agente extens vel Este tipo de agente oferece geralmente suporte Management Information Base version 2 MIBv2 e utiliza o SNMP directamente Um exemplo de um agente extens vel o agente SNMP do ambiente operacional Microsoft 44 Windows Este agente n o cont m suporte a nenhuma MIB e para responder s requisi es dos objectos de uma determinada MIB necess rio haver uma biblioteca adicional que implemente o suporte MIB Para que o agente extens vel comunique com o dispositivo gerido necess rio a implementa o de agentes estendidos No ambiente operacional das plataformas Unix e Linux pode se utilizar o agente Net SNMP anteriormente chamado de UCD SNMP 52 Este agente usado como base para a implementa o de uma grande variedade de agentes esten
185. s certo que est mundialmente disseminada nas redes actuais e usada em larga escala para colectar estat sticas e detectar falhas de rede A figura 1 mostra a evolu o de v rios protocolos e linguagens de defini o de dados que foram usados para manuten o e gest o de redes de comunica es de dados 23 O IETF finalizou o Simple Network Management Protocol version 1 SNMPv1 no inicio dos anos 90 e cedo come ou a reunir esfor os para introduzir o SNMP vers o 2 conjuntamente com a segunda vers o da linguagem de defini o de dados Structure of Management Information SMD Este processo tornou se complexo e o resultado foi a vers o 2c SNMPv2c O SNMPv2c ainda relativamente usado nas redes de hoje contudo n o um produto totalmente normalizado do IETF IETF standard porque tem algumas lacunas ao n vel de m xima seguran a que foi um dos objectivos principais do SNMPv2 A segunda vers o do SMI SMIv2 foi mais bem sucedida e foi publicada como norma da Internet Internet standard 6 8 Como o SNMPv2c n o atingiu os seus principais objectivos em 1997 iniciou se uma tentativa de definir o SNMP vers o 3 SNMPv3 que permite m xima seguran a capacidades de administra o remota e provavelmente o mais importante uma arquitectura em forma de plataforma de trabalho 9 O SNMPv3 foi finalmente introduzido nas redes actuais demorou cerca de uma d cada desde o SNMPv1 at ao SNMPv3 passando ainda por uma v
186. s de uma ferramenta de correla o de CAM O SPD DR e DR RREO ER DUNDEE Ee 96 Tabela 4 Caracter sticas e funcionalidades mais importantes de uma ferramenta de correla o 98 Tabela 5 Resultados do survey de utilizadores do SU 107 Tabela6 Descri o dos campos do evento Query Servi o eee 125 Tabela7 Descri o dos campos do evento Query Servidor ceecceesseesseeseesecetecseeeeteenaeees 126 Tabela8 Descri o dos campos do evento Query Switch ce ceeeeeeceesececeeeeeeeceaeeseeeeceaeens 127 Tabela9 Descri o dos campos do evento Query Gateway cccccceesseesseesteeeeceeceteceeenseens 128 Tabela 10 Descri o dos campos da Notifica o de Alarme via mon 129 Tabela 11 Descri o dos valores que podem ser atribu dos s vart veis see eeseeeseeeteeeeees 130 Tabela 12 Descri o das vari veis internas das regras cee eeceseeeeeeeeeeseeeseeeneecnaecaeenseenaeens 141 xxi Acr nimos AJAX API ARP ARPA ASCII ASN 1 ATM BASE BIOS BSD BSD CBR CC CD CDP CERT CGI CIM JavaScript and XML Application Programming Interface Address Resolution Protocol Advanced Researche Project Agency American Standard Code for Information Interchange Abstract Syntax Notation One Asynchronous Transfer Mode Basic Analysis and Security Engine Basic Input Output System Berkeley Software Distribution Berkeley Software Distribution Case based reasoning Codebook correlation
187. s falhas 90 69 Managed Network Correlations Figura 10 Gr fico de propaga o das falhas 90 A correla o causal e filtragem a resposta para chegar raiz do problema Determinado 66 99 4 evento a causa do evento 669 99 a OU seja a a Desta forma pode ser desenhado um esqueleto ou rvore de causa efeito como o representado na figura 11 122 Este grafico ilustra de uma forma directa e n o c clica a representa o de eventos atrav s dos n s o e a representa o de rela es entre os n s atrav s das setas gt tamb m conceptualmente mais f cil definir a correla o e filtragem atrav s do gr fico Esta figura exemplo mostra uma estrutura de causa efeito com um conjunto de eventos 1 13 Dada a informa o causal do gr fico sobre os eventos um dos objectivos do trabalho deduzir as rela es de correla o a gt fal a2 ak ou seja o evento a correlaciona um determinado conjunto de eventos reportados al a2 ak Se todos os eventos al a2 ak forem reportados o sistema pode ser usado para filtrar suprimir esses eventos com a representa o de um nico evento representado por a Considerando as rela es de causalidade no exemplo da figura 11 Ser razo vel pensar que podemos utilizar o evento 8 para correlacionar os eventos 2 3 6 j que o evento 8 causa os eventos 2 3 6 ou seja
188. s sem qualquer tipo de restri es No entanto ser o abordadas algumas ferramentas comerciais para dar conhecimento dos fabricantes que existem no mercado com este tipo de tecnologia mas n o ter qualquer aplica o pr tica para os objectivos do trabalho proposto Ser o por isso estudadas nove ferramentas de correla o de eventos Snort SnortSnarf SnortCenter HP OPenView ECS CLIPS IMPACT Swatch LogSurfer e SEC para se escolher qual delas ser utilizada num sistema integrado com o NMSIS 3 11 SNORT Originalmente lan ado em 1998 por Martin Roesch fundador da SOURCEfire O Snort uma ferramenta Network Intrusion Detection System NIDS bastante popular combina os beneficios das assinaturas protocolos e inspec o de anomalias um sistema Open Source de detec o e preven o de intrus o capaz de de fazer an lise de tr fego em tempo real e fazer logs de pacotes em redes IP Inicialmente conhecido por um sistema leve de detec o de intrus o lightweight o Snort evoluiu para um sistema maduro que faz com que actualmente seja dos mais conhecidos e utilizados sistemas de intrus o e detec o 129 O c digo fonte optimizado desenvolvido em m dulos que utilizam linguagem de programa o C e juntamente com a documenta o s o do dom nio p blico A configura o simples e aplicada atrav s de um sistema de arquivos organizado documentado e de f cil manuten o 78 Carac
189. s tabelas com informa o de topologia de rede Os routers atrav s de uma serie de protocolos s o capazes de ter uma base de dados topol gica das suas interliga es 144 As tabelas que se conjugam para formar uma tipologia de rede de camada 3 e A tabela gwport que define as portas do router que est o ligadas a determinado m dulo apenas as portas que tem um endere o IP configurado e est o em not shutdown s o consideradas nesta tabela a tabela gwportprefix define os endere os da porta do router uma ou mais e A tabela prefix guarda os prefixos dos endere os IP e A tabela vlan define o dom nio de broadcast que tem um valor de vlan e A tabela nettype define o tipo de rede tais como lan core link elink loopback closed static reserved depois de definidos no NMSIS o valor nunca deve ser alterado 54 e A tabela usage define um grupo de utilizadores e A tabela arp cont m o IP e o MAC da tabela de arp dos routers e respectivo timestamp Como mostra a figura 6 podemos verificar a interac o entre essas tabelas HI Tabelas de topologia dos switches conjugadas N o s os routers permitem ter esse mapa topol gico tamb m atrav s dos switches posivel ter informa o topol gica da rede 144 As tabelas que se conjugam para formar uma tipologia de rede de camada 2 e A tabela swport que define as portas do switch que est o ligadas a determinado modulo e A tabela swportvlan que de
190. sagens numa p gina WEB e faz o refesh a cada 5 segundos 3 Applications Places System GE E M Tue Nov 2 5 05 PM casilva b i SCEN Mozilla Firefox File Edit View History Bookmarks Tools Help qa 6 fe Te http ocalhostic3 php fav q Es Most Visited Getting Started jLatest Headlines 6 SCEN CG How to Take a Screenshot in 4 SCEN EM ACCAO A Data e Hora currente sao 5 05 PM Tuesday November 2 2010 Informacao de saida Eventos de saida Tue Nov 2 17 04 43 2010 Falha no servico http do Servidor 10 1 33 1 devido a quebra na ligacao entre Switch 10 1 33 100 e Gateway 10 0 32 250 Porto FastEthernet0 1 Tue Nov 2 17 04 43 2010 Falha no servico http devido a quebra na ligacao entre Servidor 10 0 32 71 e Switch 10 0 32 100 Porto FastEthernet0 8 Done q pall EB casilva casil 3 test txt pes Taking Screens SCEN Mozilla casilva File B EB casilva casilv ON ca Exemplo S3 4 pl Script para ler e escrever dados num pipe fifo embebido Para ser embebido numa pagina HTML lt php Shandle fopen home casilva pessoal PHP test txt r if Shandle while Sbuffer fgets Shandle 4096 false echo Sbuffer echo lt br gt if feof Shandle echo Error unexpected fgets fail n fclose Shandle 183 Anexo I Algoritmo de teste com 6 regras e jun o de correla o temporal e causal Neste anexo est o s
191. scri o dos campos da Notifica o de Alarme via trap Data Data do Relat rio de Alarme no formato AAAA MM DD Hora Hora do Relat rio de Alarme no formato HH MM SS Endere o IP Endere o IP do elemento de rede que envia a trap XXX XXX XXX XXX Interface Identifica o da Interface Porto Gravidade up down Link up trap link down trap Keepalive failed Keepalive OK 5 4 ESTUDO DA CORRELA O DE CAUSALIDADE DO SCEN Como referido nos cap tulos anteriores e com base no tipo de eventos que entram no sistema SCEN Ser apresentado um estudo de como os eventos podem ter rela es de causalidade causa efeito entre eles Ser o feitos testes sistem ticos ao eventos produzidos devido as quebras f sicas infligidas nos segmentos da rede de teste para que o SCEN possa dar uma resposta muito aproximada na descoberta da raiz da causa do problema De acordo com o esquema da figura 177 e devido a determinadas circunst ncias que possam ocorrer na rede como falhas nos segmentos de rede 1 2 3 4 e 5 Foram estabelecidos v rios princ pios de acordo com os eventos que foram sendo produzidos atrav s de sistem ticas falhas nos segmentos de rede Os eventos que s o recebidos via query s o os seguintes foram atribuidos s mbolos em vez de valores para representar cada uma das vari veis 129 Query Query Servi o IP A Servi o Y Estado 1 Query O IP A SalaID a Estado u CONECTADO Elemento Porto o Query O IP
192. se a sua execu o em hor rios de pouco movimento Outro problema encontrado foi a incompatibilidade inicial da visualiza o via web dos logs com o esquema de rota o e de compacta o de logs Quando os logs eram rotat rios e compactados deixavam de ser visualizados pela p gina 3 13 SNORTCENTER O SnortCenter um sistema de gest o do tipo cliente servidor feito para ser utilizado em Web escrito em PHP e Perl 146 O SnortCenter ajuda a configurar o Snort e a manter as assinaturas actualizadas A consola de gest o constroi os arquivos de configura o e envia aos sensores remotos Tanto a consola de gest o como os agentes podem ser instalados em sistemas Unix ou Windows Permite a encripta o do tr fego cliente servidor a autentica o e updates autom ticos de assinaturas 81 Caracter sticas e Funcionalidades Especificas Suporta Correla o limitada Ferramenta Open Source Faz filtragem de eventos Sa da em Web HTML Encripta o SSL entre o sistema de gest o e os sensores agentes Update autom tico que importa novas assinaturas Snort da Internet e coloca as nos sensores Faz o Start Stop do Snort remotamente coloca a configura o espec fica no sensor Cria regras pessoais e modifica as regras existentes Sistema que suporta Templates de regras para configurar mais facilmente m ltiplos sensores Um Sensor Agente pode lidar com multiplos daemons Snort se o sistema tiver m ltiplas
193. ss vel pingar grandes quantidades de boxes Tem depend ncia de ter todos os elementos dentro da tabela netbox para fazer a sua tarefa Esta ferramenta com linguagem de programa o Python insere os eventos na tabela event queue e insere o valor na tabela e coluna netbox up A tabela event engine tem um per odo de cerca de um minuto configur vel at o evento box down warning ser fixado na tabela event queue E ser o precisos mais tr s minutos para a box ser declarada em baixo tamb m configur vel Em suma preciso esperar cinco a seis minutos at o elemento ser declarado em baixo O ficheiro de configura o pping cnf e permite ajustar determinados par metros como mostra a tabela 2 Tabela 2 Par metros ajust veis no ficheiro pping conf parameter description default user the user that runs the service NMSIScron packet size size of the icmp packet 64 byte check interval how often you want to run a ping sweep 20 seconds timeout seconds to wait for reply after last ping request is sent 5 seconds nrping number of requests without answer before marking the device as uNMSISailable 4 delay ms between each ping request 2ms II A Ferramenta de estado service monitor servicemon The service monitor A ferramenta service monitor servicemon tal como a anterior pping um daemon que faz o polling da rede Tem um ficheiro de configura o
194. stor A opera o TRAP utilizada para comunicar um determinado evento O agente comunica ao gestor o acontecimento de um evento previamente determinado Foram determinados sete tipos b sicos de notifica o trap a coldStart a entidade que a envia foi reinicializada indicando que a configura o do agente ou a implementa o pode ter sido alterada b warmsStart a entidade que a envia foi reinicializada por m a configura o do agente e a implementa o n o foram alteradas c linkDown a conex o da comunica o foi interrompida d linkUp a conex o da comunica o foi estabelecida e authenticationFailure o agente recebeu uma mensagem SNMP do gestor que n o foi autenticada f egpNeighborLoss um par Exterior Gateway Protocol EGP perdeu vizinhan a g enterpriseSpecific indica a ocorr ncia de uma opera o TRAP n o b sica 43 Dispositivo A Dispositivo B Dispositivo A Dispositivo B getNext em P response Dispositivo A Dispositivo B Dispositivo A Dispositivo B response response Figura3 Opera es entre gestor e agentes A consequ ncia da simplicidade do protocolo SNMP a exist ncia de uma redu o substancial no tr fego de mensagens de gest o atrav s da rede que permite a introdu o de novas caracter sticas Cada m quina gerida vista como um conjunto de vari veis que representam informa es referentes ao seu estado actual estas informa es ficam dispon vei
195. t Mail User Agent Network Address Translation Network Element Dependency Graph Network Administration Visualized Network File System Network Intrusion Detection System Network Management System Network Management System with Imaging Support Network Node Manager Network News Transfer Protocol New Technology File System Norwegian University of Science and Technology OpenView Element Management Framework Object Identifier Open Systems Interconnection Open Shortest Path First Open Source Security Information Management Personal Computer xxvii PCM PCMCIA PDA PDF PDU PFSM PHP PRIO QoS RAID RAM RARP RAW RBR RFC RIP RRD SCLI SEC SH ProCurve Manager Personal Computer Memory Card International Association Personal Data Assistent Potable Document Format Protocol Data Unit Probabilistic Finite State Machine PHP Hypertext Preprocessor Priority Scheduler Quality of Service Redundant Array of Independent Drives Random Access Memory Reverse Address Resolution Protocol Data without filesystem Rule based reasoning Request For Comments Routing Information Protocol Round Robin Database SNMP Command Line Interface Simple Event Correlator Shell xxviii SID SIMG SLES SMB SMFA SMI SMIv2 SMS SMTP SNMSIS SNMP SNMPv1 SNMPv2 SNMPv3 SPPI SQL SSH SSL STG SW TCP
196. t rico das mensagens formatadas Podemos verificar todas estas conjuga es na figura 7 Ke Sistema de eventos Le Figura7 Tabelas de eventos e alertas conjugadas entre si O NMSIS disp e de v rias ferramentas que interagem com as tabelas da base de dados manage Essas ferramentas de front end descritas normalmente em linguagem de programa o Python s o respons veis por introduzir e modificar os valores de determinados campos espec ficos das tabelas de forma a a fazer a monitoriza o da rede 2 6 4 AS FERRAMENTAS DE ESTADO DO NMSIS THE STATUS TOOL O NMSIS disp e da ferramenta Status que fornece uma perspectiva global n da opera o e da actividade dos alarmes incluindo os componentes de Ae servi o da rede que est o em produ o O NMSIS disp e de quatro J processos a correr em background que monitorizam o estado operacional da rede Estes lan am eventos com base na informa o que recolhem e que fica dispon vel na ferramenta Status Os processos s o a o status monitor pping 144 que verifica se os equipamentos est o alcan veis na rede b o service monitor servicemon 144 que monitoriza os servi os c o module monitor modulemon 144 que monitoriza a opera o dos m dulos dentro dos switches d e o threshold monitor thresholdmon 144 que monitoriza os dados RRD e envia alertas se os valores limites definidos forem excedidos Existe ainda o processo snmptrapd
197. t dbh dbcon pg connect ScstrNF print lt h1l gt gettext Database error lt h1 gt print lt p gt gettext Could not connect to the manage database The database server could be down or the logininfo could be corrupt in the database configuration file exit 0 else print in gettext Criou ligacao a Base de Dados MANAGE do NMSIS Mn Squery SELECT netbox ip AS ipl service handler AS handler2 service up AS up2 FROM netbox service WHERE netbox netboxid service netboxid Sresultado pg query query while row pg fetch array Sresultado NULL PGSQL ASSOC Sip Srow ip1 Shandler Srow handler2 Sup Srow up2 echo Query Servi So IP Sip TipoServi so Shandler Estado up n Sfilename test txt S somecontent Query Servi So IP Sip TipoServi So Shandler Estado up n Let s make sure the file exists and is writable first if is writable filename if Shandle fopen Sfilename a echo Cannot open file filename n exit if fwrite Shandle somecontent FALSE echo Cannot write to file filename n exit echo in Success wrote somecontent to file filename An fclose Shandle else echo The file filename is not writable 178 ScstrNF host 10 0 32 72 user NMSIS dbname manage password t44otypecS2y echo String de liga o EES if SthisNF gt dbh dbcon p
198. te que se apresenta em modo de texto executa o conjunto de itera es da figura 24 esta regra pertence ao ficheiro de configura o ficheiro conf 140 type PairWithWindow ptype RegExp pattern Servidor s dt sIP s d sTipoServico s wt sEstado sn desc servi o 3 servidor 2 action write SEC NMSIS t Falha no servi o 3 do servidor 2 continue2 TakeNext ptype2 RegExp pattern2 ElementoRede s 1 sCategoria s wt SIP s d sSalaID s Nw sEstado sn sMAC s wt wt wt w wt wt sNomeSwitch s d sPorto s d desc elemento 1 ip 2 switch 5 porto 6 action2 write SEC_NMSIS t Falha no servi o 3 devido quebra na liga o entre Servidor 2 e Switch 5 Porto 6 Window 40 O SCEN ferramenta SEC tem vari veis internas essas vari veis s o tiradas respectivamente da pattern e pattern2 do ficheiro de configura o Os valores assumidos na pattern podem ser reutilizados na pattern 2 Tabela 12 Descri o das vari veis internas das regras pattern 1 2 n 22 pattern pattern2 S p pattern 1 2 Sn Breve explica o da regra PairWith Window A regra PairWithWindow contem 2 patterns 2 ac es e uma janela de tempo A action 2 ac o executada se e s se os eventos A 1 pattern e B 2 pattern ocorrerem dentro da janela de 40 segundos Se A ocorrer e B n o ocorrer apenas a action 1 ac o executada ap
199. te up action2 write SEC NMSIS t Host 3 Net 4 5 NORMAL UP window 86400 3 Regra A regra Pair trata de 2 patterns 2 acc es e uma janela de tempo dentro da mesma regra utiliza uma janela temporal que activada ap s a primeira ocorr ncia do evento A Se o evento B ocorre dentro da janela os eventos A e B s o considerados correlacionados e o matching considerado regra inteira Se n o a opera o de correla ao para o par A e B termina A action 1 ac o executada de imediato quando feito o matching a A e a action 2 ac o executada quando feito o matching do evento B na mesma janela temporal Faz matching a pattern gerada internamente CISCO xxXX XX XX XX XX XX Host XXX XXX xxx xxx x State DOWN se for recebida escreve num ficheiro de log ou pipe um alarme com o seguinte contexto com data e hora interna do SEC Host XXX XXX XXX XxXxX x state major down gerado imediatamente Paz matching a pattern Tee xxx RR XXX XXX XXX XXX STRING amp STRING up ese tiver O mesmo valor XXX XXX XXX XXX STRING da string Fees XX XXIXK XX xXx xxx xxx xxx STRING x STRING down dentro de um periodo de 24 horas escreve num ficheiro de log ou pipe um alarme com o seguinte contexto com data e hora interna do SEC Host xxx xxx xxx xxx x state normal URIE A janela de correla o de cada interface feita diariamente por um periodo de 24 horas findo esse tempo sem haver correla o a opera
200. tempo a ensinar um administrador de sistema b ter um conjunto simples de regras que podem ser imediatamente executadas ap s receberem certo tipo de informa o c permitir aos seus utilizadores definirem as suas pr prias ac es e permitir que partes das mensagens de entrada sirvam como argumentos para a ac o d com o Swatch a correr deve ser poss vel reconfigurar ou depois de certo intervalo sem ter que parar ou fazer restart manualmente 3 18 LOGSURFER O LogSurfer um programa de monitoriza o de eventos em tempo real que verifica cont nuamente o sistema de ficheiros de log Reporta a ocorr ncia de eventos simplifica a manuten o auxilia a identifica o dos problemas e ajuda sua resolu o 158 escrito em linguagem C o que faz com que seja extremamente eficiente que um factor importante quando existe uma grande quantidade de tr fego de logs O Logsurfer examina as mensagens no ficheiro de logs na forma como estas se inter relacionam umas com as outras O Logsurfer tamb m capaz de modificar as suas regras durante o tempo de execu o Estas propriedades fazem com que Logsurfer detecte padr es complexos nos ficheiros de log e actue com base no que encontra Todos os administradores de sistemas com grandes clusters requerem este tipo de an lise ao ficheiro de logs O logsurfer p e ao dispor dos administradores de forma muito simples a informa o mais til na an lise de um ou mais problemas
201. ter sticas e Funcionalidades Especificas N o Suporta Correla o s quando utilizado com outras ferramentas Ferramenta Open Source An lise de Protocolos Nas consultas disp em de mecanismos de visualiza o e de an lise dos dados Procura de matching do conte do dos protocolos Usado para v rios tipos de ataques buffer overflows stealth port scans CGI attacks SMB probes OS fingerprinting attempts etc Sistema de regras linguagem por regras flexivel para saber o que colectar Motor de detec o que utiliza uma arquitectura modular em pug in Capacidade de alerta em tempo real Faz armazenamento em ficheiros logs Tem sistema de alerta por socket Unix ou por mensagens Winpopup para clientes Windows Boa Documenta o Boa portabilidade Requisitos de sistema e licensiamento e Os requisitos para correr o Snort ter em Unix o seguinte software instalado Libpcap PCRE Libnet Barnyard Se correr em Window deve ter apenas o winpcap instalado O licensiamento do c digo fonte do Snort Engine e das regras da comunidade Snort Rules da General Public License Version 2 GNU Observa es Gerais O SNORT uma ferramenta NIDS open source bastante popular pela sua flexibilidade nas configura es de regras e constante actualiza o Outro ponto forte desta ferramenta o facto ser leve pequeno de f cil instala o e de ter o maior cadastro de assinaturas face aos concorrentes NIDS Permite verificar todo e q
202. th existing network management tools The BayStack 450 switch supports the MIB II RFC 1213 the Bridge MIB RFC 1493 and the RMON MIB RFC 1757 which provide access to detailed management statistics The following MIBs are supported o EAPOL IEEE 802 1X Port Access Control MIB o SNMPv2 RFC 1907 o Bridge MIB RFC 1493 o Ethernet MIB RFC 1643 o RMON MIB RFC 1757 o MIB II RFC 1213 o Interface MIB RFC 1573 ATM Forum LAN Emulation Client MIB Nortel Networks proprietary MIBs sSChas MIB sSAgent MIB s5 Ethernet Multi segment Topology MIB s5 Switch BaySecure MIB Rapid City MIB SNMP Traps The BayStack 450 switch supports an SNMP agent with industry standard SNMPv1 traps as well as private SNMPv1 trap extensions Table 1 3 RFC 1215 Industry Standard Ver tabela da p gina do manual 49 Using the BayStack 450 10 100 1000 Series Switch 193 Anexo M Caracteristicas t cnicas do Switch catalyst C2900 seriem Feature Description e Performance and Configuration O Autosensing transmission on 10 100 ports Autonegotiation of half and full duplex operation on 10 100 ports Full duplex operation on 100BaseFX ports Two high speed expansion slots supporting 10BaseT 100BaseTX 100BaseFX and future gigabit asynchronous transfer mode ATM and Inter Switch Link ISL modules Catalyst 2916M XL only Fast EtherChannel support for connections of up to 800 Mbps between switches and servers
203. thWindow ptype RegExp pattern d d dt s dt d d As d dt d d STRING s w s STRING s d own desc ALARME TRAP 1 2 Host 3 Net 4 5 estado DOWN action event s continue2 TakeNext ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 ALARME TRAP Host 3 Net 4 Port 5 estado INTERMITENTE action2 event St Sa window 20 type SingleWithSuppress continue TakeNext ptype RegExp pattern ALARME TRAP S S Host S Net NS NS estado DOWN desc EVENTO TRAP SUPRIME estado DOWN action reset 1 s window 20 type Pair ptype RegExp pattern ALARME TRAP S S Host S Net NS NS estado DOWN desc alarme trap 1 2 host 3 net 4 5 estado down action event s write SEC_NMSIS t Host 3 Net 4 5 MAJOR DOWN ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 alarme trap host 3 5 state up action2 write SEC NMSIS t Host 3 Net 4 5 NORMAL UP window 8 6400 fCorrela o entre trap e DB NMSIS netbox type Pair ptype RegExp pattern alarme trap S S host S net S NS estado down desc EVENTO TRAP Elemento 3 da rede 4 5 DOWN VERIFICA EVENTO NMSIS netbox action write SEC_NMSIS t s continue2 TakeNext ptype2 RegExp pattern2 ElementoID s d sCategoria s wt SIP s 4 d sSalaID s wt sEstado sn desc2 ALARME NMSIS netbox Elemento 1 Cat 2 Sala 5 3 n amp o acessivel de
204. tipos de traps com as respectivas express es regulares respons veis pela correspond ncia trap do SW Cisco DONO Op 2 Gee le SSS mele Or Olas rl OON Valo U EE E MER community public SNMPv2 SMI enterprises 9 1 217 Link Down Trap 0 Uptime 1 day 7 01 17 63 IF MIB ifIndex 9 INTEGER 9 IF MIB ifDescr 9 STRING FastEthernet0 8 IF MIB ifType 9 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 9 STRING down d d d s d d d s dt d t d d STRING s w s STRING s down trap do SW Nortel ZO MO OR ORA er o lOs le SSe LOO UD Eitan RS SAO O pose EN ME community public SNMPv2 SMI enterprises 45 3 35 1 Link Down Trap 0 Uptime 1 day 6 14 33 70 IF MIB ifIndex 4 INTEGER 4 Eeler EEN ME community public SNMPv2 SMI enterprises 45 3 35 1 Link Up Trap 0 Uptime 1 day 6 14 41 95 IF MIB ifIndex 4 INTEGER 4 dt d d t s d dt d As dt d d t d Link s w s w s d d d As d d d As d d d d Link s w s w As INTEGER s d trap do GW Cisco ZOI0 0 7 260 207244208 0 005 0via UDR USO 2605s TEAR SNMP avi community public GNMPyl SMis enterprises 3 12 209 Link Down Trap WU Uptime day 6 29 13 75 IF MIB ifIndex 2 INTEGER 2 IF MIB ifDescr 2 STRING FastEthernet0 1 IF MIB ifType 2 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 2 STRING
205. to de sa da Clery SRY IPs 10 iss oi SallalDs JEE mMsicecles A CONECIEADO Elemento 10 1 33 100 Porto BayStack 450 24T 1 126 5 2 3 QUERY SWITCH SW A query de eventos de elemento de rede Switch Query SW feita atrav s de quatro tabelas netbox arp gwportprefix e gwport Pretende se atrav s da tabela netbox retirar os valores do endere o IP da localidade e estado do elemento Switch que esteja ligado a um ponto de rede camada 3 neste caso um router E feito o cruzamento do mesmo IP entre a tabela netbox e da tabela arp A tabela de arp tem os valores da tabela Address Resolution Protocol ARP do router gateway tabela esta que tem a informa o de todos os endere os IP camada 3 do modelo OST e respectiva correspond ncia em endere os Media Access Control MAC da camada 2 do modelo OSI ainda activos atrav s do valor da vari vel igual a infinity da tabela arp Da tabela arp retirado o sysname que o identificador do elemento de rede remoto Gateway ao qual o Switch est conectado efectuado o cruzamento das tabelas arp com gwportprefix e gwport para se obter o porto do elemento de destino ao qual est ligado o elemento Switch que ser certamente um Gateway Toda esta informa o deve ser colada ao evento poderemos ver na tabela 8 os campos do evento Tabela 8 Descri o dos campos do evento Query Switch Identifica o do tipo de elemento de rede que est ser feito poo
206. to e de um sistema independente do software usado imposs vel analisar um sistema correcto e ideal proposto para o futuro Neste trabalho pretende se estudar o problema da correla o de eventos por isso ter que ser definido as rela es de correla o que ser o correctas de inferir e depois chegar conclus o que o sistema foi escolhido devido a determinado n mero de raz es Para isso devemos 1 Primeiro Tirar algumas intui es acerca de eventos e falhas 2 Segundo Tirar algumas intui es acerca de correla o de eventos 3 Terceiro Estas intui es motivam o desenvolvimento de correla o causal 4 Quarto Estas intui es motivam o desenvolvimento de correla o temporal 5 Quinto Ilustrar como o novo sistema ou ferramenta a ser apresentado poder ser til se usado na rede proposta 3 4 EVENTOS E FALHAS O sistema dever correlacionar eventos para diagnosticar as falhas O evento uma ocorr ncia instant nea a determinado momento no tempo Para prop sitos desta tese suficiente dizer que tipicamente o evento est associado a um objecto no qual ele ocorre O objecto uma entidade com determinado estado para modelizar o estado de um objecto o objecto deve ser tratado como uma colec o de par metros cujos valores podem mudar com o tempo e com esses par metros ligados ao estado do objecto a cada instante temporal A falha um evento que est associado a um estado anormal da rede isto
207. tos em tempo real Modelo de execu o por model based reasoning Dedica se as tarefas de manut n o da rede Orientado para interface gr fica com o utilizador orientado ao utilizador N o tem boa documenta o 87 Requisitos de Sistema e licenciamento e O IMPACT foi instalado em sistemas Unix Observa es Gerais O ambiente de desenvolvimento da aplica o IMPACT contem editores gr ficos que descrevem as classes dos elementos de rede os modelos de configura o de rede as correla es e as regras de correla o O IMPACT um sistema fortemente orientado aos gr ficos com uma componente para visualizar a conectividade de rede apresentar eventos de rede e visualizar mapas geogr ficos Corre em sistemas com plataformas Unix IBM SUN SGI Indy Por exemplo no sistema SGI Indy R4400SC a performance do IMPACT chega at ao parsing e correla o de entre 15 a 30 eventos por segundo 148 A maioria das fontes de alarme das redes s o as falhas f sicas que ocorrem nos elementos de rede Network Element NE Estas falhas podem ter uma rela o de causalidade ou n o isto podem ser independentes O IMPACT tem um modelo avan ado de correla o em tempo real que tem por base os princ pios do modelo model based reasoning Foi concebido para analisar hierarquicamente redes e subredes rede local rede regional e rede nacional Um dos passos e tarefas mais importantes no processamento de informa o
208. u dos O gestor e o agente devem acordar os nomes e os significados das opera es A norma do SNMP n o define a MIB mas apenas o formato e o tipo de codifica o das mensagens A especifica o das vari veis MIB tal como o significado das opera es em cada vari vel s o especificados por um padr o pr prio A rvore MIB MIB tree constitu da por uma estrutura ramificada que cont m as vari veis de gest o de um determinado equipamento a MIB define para cada vari vel um identificador nico denominado Object Identifier OID formado por um inteiro n o negativo Para localizar uma determinada informa o o identificador da vari vel OID 45 que ser acedido pelo SNMP representado com o IP do equipamento em quest o juntamente com o identificador do objecto na rvore MIB O OID de um determinado n da rvore descrita por uma MIB composto pelo OID do seu pai mais o seu pr prio identificador relativo Entretanto o uso de n meros nos OIDs dificulta a compreens o dos n s da MIB e por isso o OID pode ser substitu do por um nome OID Name que pode ser usado em conjunto com o OID num rico Por exemplo o OID 1 3 6 1 2 1 1 pode ser representado pelo OID Name system Por sua vez o sysUpTime o OID 1 3 6 1 2 1 1 3 ou system 3 Os n s da rvore MIB podem ser de diferentes tipos de dados inteiros strings ou contadores Tamb m poss vel a defini o de tabelas juntament
209. uagem Perl chamada Simple Event Correlator SEC Por esse motivo foi preparado um trabalho descritivo mais pormenorizado das caracter sticas desta ferramenta O SEC utiliza regras que suportam opera es de compress o supress o filtragem contagem rela o temporal e opera es de clustering Podem ser configuradas combina es de v rias regras com in meras variantes de todas as opera es de correla o de eventos Tem um ficheiro de configura o que consiste numa serie de defini es de regras uma defini o por linha com o espa o em branco e espa o de TAB usados como separadores de campo Todas as defini es das regras a seguintes constitui o Tipo de regra Single SingleWithScript SingleWithSuppress Pair PairWithWindow SingleWithThreshold SingleWith2Thresholds Suppress e Calendar Comportamento depois da correspond ncia TakeNext e DontCont devem ser especificadas como valor Amostra e seu tipo pattern Descri o de Evento Ac o e Contextos Os tipos de regras suportadas pelo SEC que s o Single SingleWithScript SingleWithSuppress Pair PairWithWindow SingleWithThreshold SingleWith2Thresholds Suppress e Calendar Os tipos de ac es suportadas pelo SEC n o foram desenvolvidos apenas para gerar eventos de sa da mas sim para fazer as regras interagir entre si atrav s de contextos e eventos internos mas tamb m para guardar e gerir eventos internos e para ligar sistemas externos ao
210. uatro regras do ficheiro de configura o com um algoritmo de correla o temporal de eventos recolhidos via NET SNMP snmptrap com a respectiva explica o em cada regra processo linkDown linkUp notifica o de eventos recebidos via NET SNMP type PairWithWindow ptype RegExp pattern d d dt s dt d d As d dt d d STRING s w s STRING s d own desc ALARME TRAP 1 2 Host 3 Net 4 5 estado DOWN action event s continue2 TakeNext ptype2 RegExp pattern2 s 3 STRING s 5 s STRING s up desc2 ALARME TRAP Host 3 Net 4 Port 5 estado INTERMITENTE action2 event t s window 20 1 Regra A regra PairWithWindow contem 2 patterns 2 ac es e uma janela de tempo A action2 2 ac o executada se e s se os eventos A e B ocorrerrem dentro da janela Se A ocorrer e B n o ocorrer apenas a action 1 ac o executada ap s o tempo da janela Se a pattern XAXA KX ER a HMM EE EE EX STRING x STRING down recebida seguida tte outra pattern a MURR XXX XXX XXX XXX STRINGS x STRING up dentro de 20 segundos com o mesmo valor xxxX XXxX xXX xxx STRING x considerado INTERMITENTE intermitente e criado um novo evento interno CISCO Host xxx xxx xxx xxx x state INTERMITENTE e passado s outras regras com data e hora interna do SEC Se a pattern XXX XX XX XXX XX XXX XXX EE STRING X STRING Kegel recebida e n o seguida de outra patt
211. ulquer tipo de anomalias dentro da rede no qual os computadores pertencem O Snort monitoriza o tr fego de pacotes de redes IP realizando an lises em tempo real sobre diversos protocolos Outro ponto positivo desse software o grande n mero de possibilidades de tratamento dos alertas gerados O subsistema de registro e alerta selecionado em tempo de execu o atrav s de argumentos na linha de comando s o tr s op es de registro e cinco de alerta 129 Os alertas podem ser enviados ao syslog e registrados num arquivo de texto puro em dois formatos diferentes ou podem ser enviados como mensagens WinPopup usando o smbclient Os alertas podem ser enviados para arquivo texto de forma completa O Snort uma ferramenta de detec o de invas o r pida e confi vel que exige poucos recursos de Zz sistema Por ser uma ferramenta peso leve a utiliza o do Snort indicada para 79 monitorarizar redes TCP IP de qualquer tamanho dependendo da funcionalidade que ser exigida onde pode detectar uma grande variedade do tr fego suspeito assim como ataques externos para fornecer informa es de tomada de decis o aos administradores 130 O Snort pode trabalhar em stand alone mas existem v rias pacotes com ferramentas muito uteis add ons para serem usados com o Snort de uma form mais facil e flexivel O Snort s por si n o suporta correla o mas quando integrado com outras ferramentas isso j poss vel Pode
212. ura de rede aos seus utilizadores ou ao seu operador de rede de forma a facilitar o despiste de avarias que surjam na rede 31 1 1 CONTEXTUALIZA O O Departamento de Engenharia Electrot cnica DEE e o Departamento de Engenharia Geot cnica DEG tem tido um aumento substancial em tamanho e complexidade e da surgir a necessidade de desenvolver uma solu o de software que permitisse realizar a gest o e monitoriza o centralizada da rede inform tica de modo a garantir o servi o prestado aos seus utilizadores Para esse efeito surgiu o projecto 111 que desenvolveu a plataforma de trabalho Network Management System with Imaging Support NMSIS Esse trabalho procurou no seu contexto de Tese dar resposta s dificuldades associadas ao processo de gest o As redes actuais pretendem cada vez mais sistemas sofisticados de gest o de eventos que condensem uma grande quantidade desses eventos num pequeno n mero mas tamb m mais significativo Desta necessidade pr tica surgiu a ideia de desenvolver uma ferramenta de correla o de eventos para integrar no NMSIS com o intuito de facilitar o processo de troubleshooting e despiste de avarias na rede e desconbrir de forma mais eficiente a raiz dos problemas Este estudo introduz uma aproxima o para correla o de eventos tirados da base de dados da plataforma NMSIS e das notifica es dos equipamentos activos na rede O beneficio que este trabalho tr s ao realizado ante
213. utilizadores est o a usar a rede de forma ineficiente e a consumir muita banda na rede e A gest o de seguran a permite que sejam tomadas pol ticas de seguran a para garantir a monitoriza o e o controle de acessos rede ou parte da rede s informa es de colecta ao armazenamento e an lise de registos de logs de seguran a O uso do SNMP bastante interessante na medida em que permite que se utilize in meras ferramentas de gest o O mbito de estudo deste projecto visa a integra o do sistema NMSIS que utiliza o protocolo SNMP com um sistema de correla o de eventos Pretende se dotar o NMSIS com um motor de correla o que permita dar uma resposta mais adequada aos eventos que diariamente povoam o sistema de gest o de redes Tal como o NMSIS existem outras ferramentas com protocolo SNMP j que a facilidade do uso do SNMP permite que se crie cada vez mais ferramentas e op es para a gest o de equipamentos O potencial das ferramentas Open Source imenso desde a facilidade no desenvolvimento documenta o dispon vel suporte e claro os custos inexistentes com software do tipo freeware Como o sistema NMSIS n o t m nenhum m dulo que fa a correla o de eventos o mbito de estudo deste trabalho de Tese de Mestrado centra se nessa vertente O pr ximo cap tulo far an lise do sistema NMSIS para futura inclus o de um sistema integrado de gest o e correla o de eventos 48 2 6 NMSIS O
214. utra linguagem fazer a fun o que lhe compete e depois fazer o retorno do controlo ao programa que o chamou O CLIPS tem um bom interface com o utilizador Fazer prot tipos de regras no CLIPS til porque permite um r pido feedback Mas tamb m o desenvolvimento de regras e suas altera es podem ser realizados facilmente nesta plataforma Foi por este conjunto de factores que os autores em 132 escolheram aplicar o CLIPS em primeiro lugar nos seus sistemas 3 16 IMPACT O IMPACT um prot tipo desenvolvido para gest o de redes com alarmes em tempo real e an lise de falhas 147 Foi criado em 1991 por Gabriel Jakobson e Mark Weissman nos laborat rios GTE Laboratories Foi desenvolvido em linguagem C com a utiliza o de um sistema X Windows e com as ferramentas de c digo fonte aberto CLIPS e TclTk O IMPACT um sistema de shell especializado em tarefas de correla o de alarmes de rede em tempo real Foi usado para construir e sustentar v rias aplica es de correla o de eventos em redes de telecomunica es com fios e sem fios Caracter sticas e Funcionalidades Especificas Suporta Correla o Ferramenta sem c digo fonte aberto prot tipo para uso fechado Sistema de regras Faz agrega o de eventos Faz generaliza o de eventos Faz especializa o de eventos Correla o causal Correla o temporal Executa ac es Permite correla o de eventos em tempo real Permite propaga o de even
215. uzamento muito til para se obter o porto e o elemento de destino ao qual est ligado o elemento Servidor que ser certamente um switch O porto e o elemento de destino ao qual est ligado o elemento Servidor atrav s do MAC da tabela arp puder ser obtido atrav s do cruzamento com a tabela cam que a tabela de correspond ncia dos portos de todos os switchs na rede e outras informa es n o retiradas com relev ncia ao n vel do porto do switch aos respectivos endere os MAC conectados Toda esta informa o concatenada e colada no momento de cria o do evento poderemos ver na tabela 7 os campos do evento Query Servidor Tabela 7 Descri o dos campos do evento Query Servidor Identifica o do tipo de elemento de rede que est ser feito pooling pelo Categoria do NMSIS Servidor SRV Gateway GW Switch SW outro tipo Elemento OTHER Endere o IP Endere o IP do elemento de rede servidor Local Identifica o da sala Gravidade Acess vel ou n o acess vel y n Endere o IP Endere o IP do elemento de rede remoto switch Porto Identifica o do elemento de rede remoto switch Entrada SELECT netbox netboxid AS netboxidl netbox catid AS catidl netbox roomid AS roomidl netbox up AS upl arp ip AS ip2 arp mac AS mac2 cam sysname AS sysname3 cam port AS port FROM netbox arp cam WHERE arp mac cam mac AND netbox ip ar pro AND Rasp encima EE Exemplo de even
216. vantagem competitiva para as empresas e organiza es Cada vez mais as empresas para se tornarem competitivas t m investido em tecnologia de informa o como a nica forma de tornar seguro o processo de decis o nesse quadro que as redes de computadores proliferam encurtando as dist ncias e diminuindo o tempo de resposta entre transac es das organiza es de todo o mundo Os sistemas de computadores t m vindo a ser progressivamente interligados em rede e as aplica es tomam partido da distribui o para oferecer mais e melhores servi os tornando as redes e os recursos associados indispens veis medida que as redes e os sistemas distribu dos aumentam de dimens o e import ncia torna se cada vez mais necess rio recorrer gest o de redes para garantir que a rede funciona correctamente e providencia os servi os esperados pelos utilizadores A gest o de redes tem como fun es supervisionar e controlar as redes e os servi os por elas oferecidos bem como planear modifica es na rede A elevada dimens o e complexidade das redes de dados leva a outra necessidade a necessidade de optimizar os custos de cria o manuten o e desenvolvimentos futuros Neste contexto a escolha por uma boa ferramenta de gest o de redes ponto de partida para fomentar essas necessidades relativamente manuten o das redes de dados Neste projecto o foco principal a adequa o dos meios tecnol gicos existentes na infra estrut
217. via query base dados PostgreSQL do NMSIS como feita a cada 30 segundos que o tempo de actualiza o via pooling da base de dados do NMSIS N o fazia sentido este tipo de correla o com base no tempo Embora pudesse ser anexada a informa o da hora de chegada do evento entrada do SCEN Foi entendido que seria de maior utilidade utilizar este mecanismo para eventos que s o gerados instant neamente por notifica o traps dos equipamentos activos de rede Routers Switchs etc Os tipos de traps que aparecem no sistema SCEN s o analisados do ponto de vista temporal por ordem de chegada ao sistema SCEN a sua hora de origem pode tamb m ser trabalhada de forma a sabermos a hora exacta que aconteceu no equipamento de origem Exemplo de traps que cont m o instante da sua ocorr ncia 136 Traps do switch Cisco Catalyst C2900 Down Interface em baixo 2010 09 01 01 28 47 10 0 32 100 via UDP 10 0 32 100 54428 TRAP SNMP v1 community public SNMPv2 SMI enterprises 9 1 217 Link Down Trap 0 Uptime 32 days 7 47 32 86 IF MIB ifIndex 25 INTEGER 25IF MIB ifDescr 25 STRING FastEthernet0 24 IF MIB ifType 25 INTEGER ethernetCsmacd 6 SNMPv2 SMI enterprises 9 2 2 1 1 20 25 STRING down Up Interface em cima 2010 09 01 01 45 50 10 0 32 100 via UDP 10 0 32 100 54428 TRAP SNMP vl community public SNMPv2 SMI enterprises 9 1 217 Link Up Trap 0 Uptime 32 days 8 04 35 69 IF MIB ifIndex 25
218. vido falha no elemento 3 interface 5 identificado action2 write SEC_NMSIS t s window 40 type SingleWith2Thresholds ptype RegExp 188 pattern ALARME TRAP Host S Net S S estado INTERMITENTE desc alarme trap 1 2 host 3 5 estado instavel action write SEC NMSIS t Host 1 Net 2 3 MAJOR LIGACAO INSTAVEL window 40 thresh 2 desc2 alarme trap 1 2 Host 3 5 novamente estavel action2 write SEC NMSIS t Host 1 Net 2 3 NORMAL ESTAVEL window2 60 thresh2 0 traps Cisco SW com correla o de intermit ncia e correla o com DB NMSIS netbox express o regular d d t d s d d d s dt dt d d enterprises 45 3 35 1 sLink sDown sTrap s INTEGER s d type PairWithWindow ptype RegExp pattern d d d As d d d s dt dt d d enterprises 45 3 35 1 sLink sDown sTrap s INTEGER s d desc ALARME TRAP 1 2 Host 3 Net 4 Port 5 estado DOWN action event s continue2 TakeNext ptype2 RegExp pattern2 s 3 Link sup sTrap s INTEGER s 5 desc2 ALARME TRAP Host 3 Net 4 5 estado INTERMITENTE action2 event t s window 20 type SingleWithSuppress continue TakeNext ptype RegExp pattern ALARME TRAP S S Host S Net S Port S estado DOWN desc EVENTO TRAP SUPRIME estado DOWN action reset 1 Ss window 20 type Pair ptype RegExp pattern ALARME TRAP S t Host S Net XSF Port NYS estado DOW
219. vos eventos Foi testada e implementada uma solu o com uma ferramenta de correla o que depois foi integrada com o NMSIS e montada no Laborat rio de Rede e Servi os de Comunica o do DEE Foi sujeita execu o de uma bateria de testes e tiram se resultados A aplicabilidade da solu o encontrada foi a redu o subst ncial no n mero de eventos devido capacidade de filtrar eventos desnecess rios e condensar a informa o no que realmente importante para chegar ra z da causa dos problemas de rede 1 3 ORGANIZA O DO RELAT RIO No cap tulo 1 s o apresentadas as causas principais que deram origem a cria o desta tese o mbito do projecto e os objectivos pretendidos e a organiza o do relat rio No cap tulo 2 apresenta se a introdu o aos protocolos de gest o de redes sob o ponto de vista hist rico Foi abordado os sistemas de gest o de redes com protocolo SNMP o seu modelo de gest o e constitui o tipos de agente classifica o da informa o de gest o MIB No cap tulo 3 apresenta se o estado da arte das ferramentas de gest o de alarmes com correla o de eventos Conceito de correla o para que serve e como pode ser utilizado S o feitas v rias alus es aos tipos de correla o que pode existir entre as vari veis dos eventos correla o causal ou temporal S o classificadas de forma gen rica as opera es que as ferramentas de correla o devem e podem efectuar S o tamb m
220. xt t Falha no servico 2 do servidor 1 continue2 TakeNext ptype2 RegExp pattern2 SRV sIP s 1 sSalaID s wt sEstado sn s Elemento s d sPo EOE WSs desc2 servico 2 servidor 1 switch 2 porto 3 down2 action2 event s window 20 type PairWithWindow ptype RegExp pattern servico S servidor NS switch S porto S down2 desc servico 1 servidor 2 switch 3 porto 4 down3 action event t s write trap txt t Falha no servico 1 devido aj quebra na ligacao entre Servidor 2 e Switch 3 Porto 4 ptype2 RegExp pattern2 SW sIP s 3 sSalaID s wt sEstado sn s Elemento s d sPor EOS VS desc2 servico 1 servidor 2 switch 3 gateway 2 porto 3 down4 action2 event St bs window 20 type PairWithWindow ptype RegExp pattern servico S servidor NS switch S gateway S porto S down4 desc servico 1 servidor 2 switch 3 gateway 4 porto 5 down5 action event Sr s write trap txt t Falha no servico 1 do Servidor 2 devido a quebra na ligacao entre Switch 3 e Gateway 4 Porto 5 ptype2 RegExp pattern2 GW sIP s 4 sSalaID s wt sEstado sn desc2 servico 1 servidor 2 switch 3 gateway 4 porto 5 down6 action2 event Sr Ss write trap txt t Falha no servico 1 do Servidor 2 devido a Gateway 2 Porto 3 isoldada da rede window 20 173 Anexo C Algoritmo de 4 regras de correla o temporal de eventos recolhidos do snmptrapd Neste anexo est o q
221. ype define tipos de eventos e A tabela subsystem define v rios subsistemas que colocam post ou recebem os eventos 56 A tabela eventgvar define alguns valores adicionais key value que seguem junto com os eventos A tabela alertg tem informa o adicional na tabela alertgvar e alertmsg o alert engine coloca eventos no alert queue e paralelamente na tabela alerthist O alert engine processa os dados do alert queue e envia alertas para utilizadores com base nos seus perfis de alerta Quando todos os utilizadores registados tiverem recebido o alerta o alert engine ir remover os alertas da tabela alertg mas n o no alert history A tabela alerttype define os tipos de alertas um tipo de evento pode ter v rios tipos de lertas A tabela alertgmsg O event engine tem por base o alertmsg conf que um pr formato de mensagens de alarme ou seja uma mensagem para cada canal de alerta configurado mail ou sms uma mensagem para cada linguagem configurada Os dados s o guardados na tabela alertqmsg A tabela alerthist que similar a tabela alert queue com uma importante distin o a alert history guarda o estado dos eventos como uma linha com o timestamp start time e end time do evento A tabela alerthistvar define alguns valores adicionais key value que seguem junto com as grava es da alerthist A tabela alerthistmsg serve para tamb m ter um his
222. z de inferir rela es entre os eventos para chegar a ra z da causa das falhas de rede estabelecendo correla o causal e temporal entre os eventos que processa sua entrada Nesta linha de pensamento a medi o de througput do sistema SCEN pareceu uma quest o secund ria No entanto o autor 74 123 com uma configura o com 63 regras 29 Single 9 Pair 1 PairWithWindow 5 SingleWithThreshold 17 Single With2 Threshold and 2 Suppress conseguiu grandes resultados de performance com apenas um computador 200MHz Intel Pentium processor5 com 32Mb de mem ria e sistema operativo Linux 153 154 6 CONCLUS ES 6 1 CONCLUS ES GERAIS O objectivo do trabalho realizado foi a defini o e cria o de uma infra estrutura de monitoriza o com capacidade para correlacionar filtrar comprimir suprimir generalizar especializar etc de forma aut noma e inteligente os eventos recebidos a partir de sistemas inform ticos Existem muitas solu es umas de software aberto comercial e outras com solu es em ambientes fechados muitas das quais bastante elaboradas e complexas O assunto relacionado com gest o de eventos onde se insere a tem tica desta Tese de disserta o tem j cerca de duas d cadas de estudo in meros desenvolvimentos e trabalho realizado por v rios autores e organiza es que t m feito esfor o por debater e solucionar muitas das quest es que t m surgido ao longo do tempo Existem in
Download Pdf Manuals
Related Search