Gerenciamento de Rede Baseado em Políticas

Transcrição

1 Gerenciamento de Rede Baseado em Políticas (Policy-Based Networking) Ademir José de Carvalho Junior Recife, Fevereiro de 2007

2 Resumo: A complexidade das redes baseadas em IP atualmente segue crescendo em um ritmo exponencial, com o aumento de usuários e dispositivos. O gerenciamento de redes com esses perfil, torna-se algo igualmente complexo. Então há a necessidade de uma arquitetura que simplifique este gerenciamento e que forneça o máximo de qualidade nos serviços disponíveis na rede. É neste contexto que surgem as redes baseadas em políticas. Uma maneira simples e centralizada de atingir este objetivo. Palavras-Chave: Rede, Políticas, PBN.

3 Sumário 1.Introdução Arquitetura Policy Management Tool Policy Repository Policy Decision Point Policy Enforcement Point Políticas Especificação de Políticas Validação de Políticas Tradução de Políticas Conclusão Referências... 10

4 1. Introdução Algumas poucas decisões em uma rede corporativa podem influenciar toda a infraestrutura da rede. Decisões de quem tem acesso a quais recursos, quais aplicações podem executar na rede e quando, são essenciais para o gerenciamento de uma rede. E essas decisões estão associadas a um custo de manutenção. Diversos dispositivos operando que se utilizam de diferentes tecnologias, precisam ser configurados para atender aos requisitos de uma corporação[3]. Em redes corporativas algumas aplicações necessitam de uma maior prioridade para operação. Aplicações de transferências de dados gerenciais, por exemplo, necessitam de uma atenção maior, já que uma simples falha em uma transação poderia causar enormes prejuízos a corporação. Aplicações para troca de informações confidenciais, se tiverem suas informações interceptadas, poderia acarretar consequências desastrosas para o mesmo. Há uma necessidade de se explicitar essas prioridades. Com o crescimento exponencial da Internet, o numero de usuários navegando pelos serviços oferecidos por uma rede tendem a aumentar bastante, exigindo dos administradores um esforço adicional para manter a Qualidade do Serviço e Segurança oferecidos aos usuários. Já que na internet, todos os pacotes são tratados igualmente, e cada ponto na rede é considerado confiável. Esse modelo simples, um dos motivos do sucesso da Internet, tem suas vantagens. Ele leva a um rápido desenvolvimento de aplicações e protocolos robustos realizando uma variedade de operações, fato decorrente de sua origem, a internet foi concebida em universidades, aonde realmente, poderia-se confiar em tudo e em todos, já que as pesquisas tinham objetivo acadêmicos[4]. Esse crescimento da internet, provocou a criação de novos tipos de serviços e aplicações, como aplicações de VoIP (Voz por IP), ou de Streaming de Vídeo (YouTube), com demandas diferentes das aplicações existentes até então. Aplicações críticas também entram em cena. Esse fato leva à um olhar diferente para esses tipos de aplicações:

5 - Deveria ser dada a mesma prioridade para um pacote de uma aplicação crítica, como um software de auxílio a cirurgias a distância, aonde um erro colocaria a vida de um ser humano em risco, e um pacote de uma aplicação web qualquer? - Informações confidenciais sendo trocadas pela Internet deveriam possuir o mesmo nível de segurança de informações trocadas num simples bate-papo? Esses e outros motivos abordados anteriormente nos levam a necessidade de um modelo que centralize e simplifique o gerenciamento de uma rede, provendo flexibilidade para os administradores da rede, e satisfação para os usuários na medida em que os serviços oferecidos são operados satisfatoriamente. O restante do documento esta organizado da seguinte maneira, o próximo capítulo discute uma arquitetura de rede proposta para a solução dos problemas vistos anteriormente, e o capítulo 3 fala sobre o processo das políticas utilizadas na arquitetura, especifição, validação e tradução. O capítulos seguintes concluem e citam as referências utilizadas neste documento.

6 2. Arquitetura Uma arquitetura baseada em políticas foi definida pela IETF/DMTF [1], e ela consiste em quatro entidades básicas: Policy Management Tool Policy Repository Policy Decision Point Policy Enforcement Point Componentes da Arquitetura IETF/DMTF O Policy Management Tool, ou Ferramenta de Manipulação de Políticas, é usada pelo administrador para inserir as diferentes políticas que estarão ativas na rede. Esta ferramenta toma como entrada descrições de políticas em alto nível dos usuários ou administradores e as converte em detalhadas e mais precisas políticas de baixo nível que podem ser aplicadas nos dispositivos existentes na rede.

7 A maneira ideal para a Ferramenta de Manipulação de Políticas se comunicar com um PEP, é através de um Repositório de Políticas. O Repositório é utilizado para armazenar as políticas geradas pela Ferramenta. O Repositório pode ser usado para armazenar, tanto políticas de alto nível, como políticas de baixo nível. No sentido de garantir interoperabilidade entre os diversos dispositivos, a informação armazenada no Repositório precisa corresponder a um modelo de informação especificado pelo PFWG Policy Framework Working Group. No lugar de se comunicar diretamente com o Repositório, um PEP utiliza uma entidade intermediária chamada Policy Decision Point. O PDP é responsável pela interpretação das políticas contidas no Repositório e comunicação ao PEP. EM alguns dispositivos, a separação entre PDP e PEP é apenas lógica. Em outras palavras, o PEP e o PDP poderiam ser duas diferentes funções no mesmo dispositivo, 2.1. Policy Management Tool Este é o console de interação com o administrador e permite a inserção de políticas de alto nível na rede. Ele é responsável pelas seguintes atividades: Apresentar uma interface ao usuário (o administrador) que seja otimizada para fácil manuseio, utilizando técnicas apropriadas para indicar a estrutura das políticas que estão sendo manipuladas. Validar sintaticamente e semanticamente as políticas inseridas pelo usuário. Isto inclui checar os valores especificados para os diferentes parâmetros que constituem as políticas de alto nível. Assim, todos os relacionamentos que precisam existir entre diferentes parâmetros precisam ser validados. Certificar-se de que as políticas se aplicam, dadas as capacidades e restrições da rede. Uma política que afirma que um fluxo de tráfego deveria ser criptografado usando DES (Digital Encryption Standard), não poderia ser satisfeita em uma rede que não suporte este tipo de algoritmo.

8 2.2. Policy Repository O Repositório de Políticas é aonde as políticas são armazenadas pela Ferramenta de Manipulação de Políticas, e recuperadas pelos Pontos de Decisão, ou Pontos de Aplicação de Políticas. O Repositório provê uma localização central que orienta as operações na rede. Um exemplo de Repositório de Políticas é um diretório LDAP que contém tanto políticas de alto nível quanto políticas de baixo nível necessárias para as operações da rede. Outros tipos de repositórios podem ser usados. No lugar de um diretório, pode ser usado um servidor de banco de dados. Um servidor web também poderia ser usado, aonde diferentes arquivos representariam as informações das políticas armazenadas para vários dispositivos. Entra as várias alternativas, o diretório LDAP é a opção mais comum, e é o foco da maioria das atividades dos grupos de pesquisa na área Policy Decision Point O PDP é o componente da arquitetura responsável pelas seguintes funções: Localização do conjunto de regras que são aplicáveis a algum PEP, e recuperação dessas regras do repositório. Transformação do conjunto de regras buscadas do repositório para um formato compreensível pelo PEP em questão. Checar o estado da rede e validar as condições necessárias para a execução das políticas e aplicações. Um exemplo seria verificar se o horário atual está em conformidade com o horário em que uma política é aplicável. Ficar atento a qualquer modificação nas políticas existentes no Repositório. Via notificação da Ferramenta de Manipulação de Políticas por exemplo.

9 2.4. Policy Enforcement Point O PEP é responsável pela execução das políticas definidas pelo PDP. Ele é responsável também pelo monitoramento de quaisquer estatísticas ou outras informações relevantes para a operações da rede, e reportagem dessas informações para as entidades apropriadas. O PEP é frequentemente o componente que está envolvido com o caminho dos pacotes que transitam pela rede. Exemplos de PEP são roteadores, firewalls e gateways SOCKS. 3. Políticas 3.1 Especificação de Políticas As políticas de alto nível necessárias para o gerenciamento da rede devem ser especificadas de algum modo. Existem algumas maneiras para isso. Entre os pesquisadores que estavam envolvidos com especificação de políticas, algumas abordagens foram propostas. Estas abordagens vão de interpretação de políticas como programas à interpretação de políticas como simples entradas em um diretório ou banco de dados[3]. Do ponto de vista de um humano, a melhor maneira para se especificar uma política seria em termos da linguagem natural. Sentenças como Toda a comunicação entre o site de pesquisa e o site de engenharia deve ser segura. seriam excelentes para especificar políticas desde que houvessem processadores de linguagens naturais tão bons a ponto de saber ao certo o significado de ser segura nesta sentença.

10 Uma abordagem, das já citada acima, é especificar as políticas em uma linguagem que pode ser processada e interpretada por um computador. Um modo de conseguir isto é interpretar uma política como uma parte de um programa que pode ser executada por um computador na ocorrência de certas condições. Uma abordagem mais simplificada e interpretar as políticas como uma sequência de regras na simples forma condição-ação. As regras são avaliadas em triggers específicos, como a passagem de um certo tempo ou a chegada de um novo pacote na rede. Se a condição da regra é avaliada como verdadeira a ação é executada. Um exemplo de política com essa abordagem seria: Se o pacote se origina da subrede de pesquisa ou engenharia, encripte o pacote.. Políticas especificadas desta maneira são mais fáceis de analisar do que políticas especificadas como programas ou com linguagens formais. 3.2 Validação de Políticas Após as políticas serem especificadas, seja como um conjunto de regras, ou como entradas em tabelas, elas precisam ser validadas para assegurar que satisfazem a sintaxe e a semântica que são impostas pelo cenário de uso e pelos mecanismos que descrevem as políticas. O primeiro tipo de validação é para assegurar que a sintaxe de uma política é válida. Essa avaliação depende da linguagem que foi utilizada para a especificação da política na Ferramenta de Manipulação de Políticas. As políticas são postas para avaliação em um formato descritivo. O formato é diferente entre várias Ferramentas. Frequentemente, ele toma a forma de um arquivo de configuração com uma sintaxe específica que precisa ser seguida. As convenções usadas precisam ser validadas para confirmar que a representação da política é bem formada.

11 Com a popularização de linguagens de marcação, como as derivadas do padrão XML, uma sintaxe de marcação pode ser usada para representar políticas de alto nível. A representação em XML necessita estar em conformidade com um DTD, Data Type Definition. Portanto, o primeiro passo, na validação de políticas especificadas em XML, é checar se o arquivo está de acordo com sua DTD[3]. Após validação da sintaxe, o módulo de validação precisa checar se os valores especificados para cada atributo estão válidos. A validação para cada atributo depende do tipo de dado que o atributo representa. Alguns exemplos são: verificação de endereços IPs válidos, endereços de roteadores corretos, etc. Uma verificação mais aprofundada pode ser necessária no caso de um atributo poder conter valores apenas entre uma faixa de valores, exemplo, de 0 a 100, ou no caso de existir alguns relacionamentos pois o valor de um atributo dependerá de um ou mais diferentes atributos. 3.2 Tradução de Políticas O passo final para eliminar a separação entre as necessidades da rede e a tecnologia que está sendo utilizada na rede é a traduzir essas necessidades para uma representação que corresponde a configuração de cada dispositivo utilizado na rede. Este é o passo da tradução das políticas de alto nível para as políticas de baixo nível. Logo que todas as checagens anteriores tenham sido executada e completadas com sucesso, o processo tradução é relativamente simples. Lembrando apenas que este processo depende da tecnologia que está sendo utilizada. A tecnologia em questão fornece a especificação da política de baixo nível, que será utilizada para elaborar a mesma. Por ter um caráter bastante específico, as abordagens que constituem a tradução não são cobertos nesta monografia.

12 4. Conclusões Mostramos uma abordagem que simplifica o gerenciamento demandado pelo crescente uso das redes de computadores. Exibindo uma arquitetura proposta a solucionar os problemas vistos neste documento, e discutindo o processo das políticas utilizadas na arquitetura. A arquitetura exibida, um padrão definido pelo IETF/DMTF, provê toda a abstração e centralização necessária para tornar mais eficiente a administração das redes de computadores, satisfazendo suas necessidades. 5. Referências [1] - VERMA, Dinesh. Simplifying Network Administration using Policy based Management. IEEE Network Magazine, March [2] - KOSIUR, Dave. Understanding Policy-Based Networking. ISBN [3] - VERMA, Dinesh. Policy-Based Networking. ISBN [4] - BLIGHT, D. C.; HAMADA, T. Policy Based Networking Architecture for QoS Interworking in IP management. IEEE Network Magazine, March/April 2002 [5] - NOMURA, Y.; CHUGO, A.; ADACHI, M.; TORIUMI, M. A policy based networking architecture for enterprise networks. Fujitsu Labs. Ltd.