Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 1/26 ARQUIMEDES WAGNER BRANDÃO DE OLIVEIRA LEONARDO DUARTE MARCOS HENRIQUE MARTINS PATRICK TRACANELLI GESTÃO E MONITORAÇÃO DE INFRA-ESTRUTURA DE TECNOLOGIA DA INFORMAÇÃO Segurança em Infra-estrutura Prof. Ricardo Bernardo Santos Pós-graduação lato sensu Gestão em Segurança da Informação BELO HORIZONTE FACE Universidade FUMEC 2009
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 2/26 Sumário 1. Introdução...2 2. O CACTI...5 3. A Suite Trauma Zero...19 4. COMPARATIVO...23 REFERÊNCIAS BIBLIOGRÁFICAS E DE CONSULTA...25 1. Introdução A Tecnologia da informação é parte integrante das operações de pequenas, médias empresas e grandes corporações. É inevitável cada vez mais a dependência que as empresas 10têm da TI, sendo que suas aplicações críticas estejam inseridas em ambientes complexos e heterogêneos. Sem um meio de gestão adequado, o departamento de TI estará concentrado em apagar incêndios, absorvendo os investimentos do negócio em correções de problemas ao invés de soluções e diferencial competitivo. Segundo CLEMENTE (2009), a complexidade das tecnologias da informação é diretamente proporcional à complexidade das organizações de TI. Atualmente, administrar uma organização de TI exige a adoção de vários padrões (CobiT, ITIL, CMM, PMI etc.), levando a uma reflexão: quanto da expertise de TI esta sendo aplicado nas atividades fim da organização? É notório que a TI atua para atender aos requisitos de negócios das empresas, porém uma gestão pouco eficaz de seus recursos pode comprometer toda a empresa. 20 Definindo e acompanhando parâmetros, é possível avaliar continuamente a performance do negócio e corrigir desvios do plano original para atingir os objetivos planejados. Neste sentido, os problemas mais comuns, que impedem uma gestão eficiente de TI são: sobrecarga de informações, escassez de tempo, excesso de decisões, déficit de atenção. Gerenciar estes ambientes críticos e heterogêneos requer uma solução fácil, flexível, escalável e integrada. Uma ferramenta que automatize a gestão dos sistemas e reduza o tempo de identificação, prevenção e correção de problemas. Empresas como estas podem se beneficiar imensamente de uma moderna solução de monitoração de sistemas como Cacti ou Trauma Zero que representam uma
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 3/26 alternativa fácil, de nível corporativo. 30 Assim, o departamento de TI poderá se dedicar mais em tarefas estratégicas tendo meios para: - Gerenciar a disponibilidade e a capacidade para diversos tipos de sistemas e plataformas; - Verificar a qualidade dos serviços de TI pela perspectiva do cliente; - Analisar os indicadores de desempenho baseados nas melhores práticas de governança de TI; - Notificar os responsáveis quando condições acontecerem; - Escanear logs por determinadas informações, tomar ações pró-ativas e pré-definidas; - Monitoramento visando desempenho nos negócios. 40 O monitoramento pró-ativo permite que evitamos as ações de apagar incêndio. Sem a ajuda de uma solução de monitoração, os problemas, mesmo em ambientes moderadamente complexos, podem causar baixo desempenho dos sistemas de TI, efeitos em cascata, e interrupções. Uma solução de monitoramento detecta estes problemas em sua fase inicial, antes que possam se multiplicar. Interrupções causam complicações e descontentamento para o cliente e normalmente resultam em perda de confiança. Uma solução de monitoramento detecta problemas, identificando sua causa e permitindo aos administradores de sistema tomar medidas corretivas para restaurar a funcionalidade máxima, o que melhora a experiência do cliente e a produtividade do funcionário. 50 Use as equipes especializadas para tarefas produtivas. Os sistemas de monitoramento deixam os administradores especializados livres para se dedicarem a soluções de TI voltados a problemas de negócio reais, em vez de ocupá-los para gerenciar infra-estruturas de monitoramento complexas em busca de problemas. Os ambientes de TI atuais empregam uma variedade das melhores soluções multiplataforma da categoria. A utilização de diversas soluções de nicho ou scripts complexos para monitorar estes ambientes resulta em rigidez causada por fatores secundários. As soluções de monitoramento modernas oferecem suporte out-of-the-box para diversas plataformas, e proporcionam flexibilidade - quesito indispensável para os negócios. Hoje em dia, as decisões mundiais sobre os negócios estão fatalmente vinculadas às de 60TI. As melhores soluções de monitoramento oferecem painéis de visualização que demonstram o desempenho da TI em tempo real. Elas também fornecem dados necessários para acompanhar o histórico dos sistemas e serviços de TI, para justificar custos e para
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 4/26 planejar proativamente a capacidade 1.1. Justificativa para Monitoração Para que se obtenha uma garantia de que as redes de computadores funcionem corretamente, é preciso aplicar tecnologias que permitam atingir um nível de tráfego satisfatório e confiável para dados e aplicações e que determinados níveis de desempenho sejam garantidos através de uma política capaz de estabelecer métricas e de caracterizar e 70descrever o comportamento da rede no que diz respeito a sua utilização e performance. As métricas de Qualidade de Serviço são usadas para caracterizar e descrever o comportamento da rede no que diz respeito a sua utilização e performance, podendo ser definidas por um número específico de parâmetros que deverão ser cumpridos para a implementação da rede de computadores, caso a rede seja nova, ou, em casos de redes já criadas deverão ser monitorados os serviços existentes para chegar a um comportamento padrão, caso existam problemas em uma rede não monitorada estes devem ser resolvidos antes da criação do padrão da rede pois do contrário o monitoramento criará comportamentos padrões errados de sua rede. Um destes parâmetros envolve a possibilidade de medição dos serviços disponíveis na 80rede. A existência de uma boa infra-estrutura de medição é sempre importante, principalmente durante o período inicial de implementação de novos serviços. Através de ferramentas de medição e métricas de Qualidade de Serviço bem definidas pode-se monitorar a performance garantida na alocação de recursos da rede. Os resultados das principais métricas de QoS, fornecidas pela aplicação sob a forma de tabelas, gráficos e de uma visualização on-line, tornam possível reajustar e corrigir os valores de parametrização dos diversos mecanismos e melhorar o desempenho global da rede. Devido ao significado e definição próprio de cada métrica, a seleção das métricas mais adequadas para um estudo de performance em redes depende de vários fatores, tais como: - Objetivos específicos do estudo de performance; 90 - Características da topologia que é objeto de estudo; - Os protocolos e serviços operados nesta topologia. Um projeto baseado em métricas de QoS auxilia os administradores de redes a manterem os níveis de serviço solicitados pelos usuários, além de representar uma economia quanto aos aspectos de operação e manutenção da própria rede.
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 5/26 2. O CACTI O Cacti, outrora projetado para ser uma solução de front-end para o RRDtool, torna-se uma plataforma completa e extremamente funcional para monitoração de infra-estrutura de TI e aderência com normas e melhores práticas de mercado. Sua extensibilidade, alcançada com 100um framework de plugins pode torna o sistema pronto para monitorar ambientes de grande porte e complexidade. Vamos entender mais sobre o Cacti ao longo deste documento. 2.1. Introdução ao RRD Tool O Cacti é uma solução de front-end para o RRDTool, o que por si só já é uma proposta de solução de gestão de infra-estrutura elaborada, pois o RRDTool foi criado por Tobias Oetiker como sucessor direto do MRTG (Multi-Router Traffic Grapher). O MRTG, também de autoria de Tobias Oetiker (ou Tobi como gosta de ser chamado) estabeleceu-se ao longo das últimas décadas como uma das principais e mais utilizadas soluçãoes de gestão de infra- de TI. Seja de forma independente e isolada, ou combinado com outros componentes 110estrutura de solução, o MRTG sempre foi uma solução recomendada e adotada como de-facto standard pela indústria, devido a sua facilidade de uso, integração com o padrão SNMP, flexibilidade para gerar gráfico tendo outras fontes de dados que não SNMP (como shell scripts, aplicações WMI e qualquer coisa que pudesse ser chamada automaticamente e gerasse algum resultado mensurável), e devido a ser uma solução essencialmente aberta. Escrito em linguagem Perl e de licença livre, o MRTG poderia estar disponível em praticamente qualquer ambiente. Todavia, o MRTG dispunha de inúmeras limitações, conhecidas por todos, especialmente seu criador, Tobi Oetiker. Dentre as principais limitações, MRTG não plotava gráficos de informações numéricas não inteiras (numeros reais), não plotava gráficos 120negativos, não dispunha de funções matemáticas pre-definidas flexíveis, tão pouco dispunha de recursos para customizar funções matemáticas. MRTG é ainda uma solução baseada em componentes de captura e de atualização de origem de dados, e a cada obtenção/caputura de informações e atualização na base de origem de dados, o MRTG gerava novos gráficos, independente se seriam utilizados naquele momento. Por último a incapacidade de gerar gráficos de intervalos aleatóreos de tempo, complementa apenas algumas das principais limitações que o MRTG tinha. Afim de eliminar essas e flexibilizar uma solução como o MRTG, seu autor criou o
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 6/26 Round Robin Database Tool, uma suíte de aplicações baseada em um formato de banco de dados matricial constante, com adição/inclusão de dados alternados (round-robin), com o 130objetivo de substituir completamente o MRTG. O RRDTool foi construído de forma mais elaborada. A suíte é capaz de gerenciar base dados constante e plotar gráficos de informações dos mais variados tipos, como contadores incrementais que zeram seu valor após crescimento de sua matriz (como um odômetro de automóvel), indicadores de ocilação linear não previsível (como temperatura, níveis de humidade, etc), entre outros tipos de informações, lineares ou não, previsíveis ou não, padronizadas ou não. A suíte RRDTool conta ainda com recursos de detecção de anomalias (comportamentos incoerentes e inesperados), com consolidação de informações e formatação/ conversão de unidades de medida e métricas formais. Permite a customização de funções 140matemáticas, e elimina com imensa extensibilidade todas as limitações do MRTG. Tal qual o MRTG o RRDTool se tornou um padrão de-facto na indústria. Hoje desde soluções comerciais como produtos da Cisco, da Computer Associates à soluções Open Source como Cacti, Nagios e NTOP, usam o RRDTool. Talvez o principal diferencial do RRDTool no entanto, seja a forma como armazena as informações sendo monitoradas: em um banco de dados de tamanho constante e categorizado, indexado de forma matricial: suficiente para armazenar, analisar, cruzar e entender as informações coletadas para gerar de fato, informação de gestão de qualquer tipo de origem de dados (Data Source). 2.2. Motivação para o Cacti 150 Embora o RRDTool seja poderoso e flexivel, ele perdeu uma das principais vantagens que o MRTG tinha: a facilidade de entendimento e uso da ferramenta. RRDtool deixou de ser uma ferramenta baseada em um arquivo centralizado de configuração, e se tornou uma suíte, onde cada ferramenta tem sua função, e seu uso deve ser sistematizado e repetitivo. É esse o ponto onde entram o Cacti e outras ferramentas disponíveis: na definiçào sistêmica de como utilizar o RRDtool de maneira uniforme, funcional, e novamente de forma fácil. O Cacti é portanto, a princípio, apenas um front-end completo para o RRDTool, que armazena todas as informações sistêmicas necessárias para obter informações, popular dados, 160criar e plotar gráficos. Apesar do RRDTool ter sua própria base de dados (Round Robin Archive), o Cacti utiliza o MySQL como base de dados auxiliar, armazenando nesta
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 7/26 informações do ambiente Cacti e não das informações colectadas. Ou seja, as definições sistematizadas propriamente ditas. O Cacti é escrito em linguagem PHP, também aberta, e é de fato, de licença aberta (software livre), o que o torna interessante para todo tipo de perfil de uso. Oferece também um poller que é de fato, o componente que obtém periodicamente as informações monitoradas. Para garantir alto-desempenho quando necessário, Cacti pode trabalhar com poller escrito em linguagem C e com suporte multi-thread, tirando proveito pleno de servidores de monitoração multiprocessados. 170 Com Cacti você consegue manter os gráficos, as origem de dados e os banco de dados RRA para cada gráfico sendo monitorado. Por fim, o Cacti tem suporte a SNMP, garantindo todo o potencial que você tinha originalmente com o MRTG. 2.3. Origem de Dados Data Sources Afim de garantir melhor controle de manuseio de processos de obtenção de dados, é possível utilizar além de consultas a MIBs/OIDs SNMP, qualquer outro dado obtido de fontes externas. Comandos externos, scripts, dados SNMP, qualquer forma de obter informações é uma forma válida para monitorar aquele recurso. Dados obtidos dessa forma são capturados 180periodicamente pelo poller da solução e posteriormente incorporados no banco de dados, seja no MySQL ou no Round-Robin Archive, dependendo de cada recurso de cada ativo. É possível ainda criar as origens de dados de forma que esperem por resultados que antes não eram previstos, formatando-os da melhor forma, relacionando o formato da informações com o formato desejado para apresentação. Uma vez que uma origem de dados (DS) seja criada, passa a ser mantida automaticamente de acordo com os intervalos do poller. Aliás os intervalos de polling são também customizáveis. Usualmente são saltos de 300 segundos, mas podem ser customizados para intervalores menores, se necessário. 190 2.4. Plotagem de Gráficos Tendo uma ou N origens de dados, é possível plotar gráficos com base nas informações coletadas. O Cacti suporta praticamente qualquer tipo de gráfico imaginável que possa ser modelado e plotado com o RRD Tool, seja utilizando os tipos de gráficos e funções de consolidação existentes, ou customizando suas próprias funções de consolidação matemática. Permite a customização de cores, adição de áreas de texto aleatórias além de
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 8/26 formatação completa dos eixos X e Y de cada gráfico. Permite configurar empilhamento ou sobreposição de gráficos, entre outros recursos. Permite também o uso de fontes True Type, para renderização perfeita em qualquer navegador, e customização de tamanhos padrão de cada gráfico e cada fonte em gráficos. 200 Os gráficos podem ser apresentados de maneiras estratégicas. As formas disponíveis por padrão são: 210 Visão em Lista: onde você vê uma lista de gráficos, lado-a-lado, de todos os gráficos disponíveis, paginandos no navegador de N em N gráficos, e na periodicidade desejada (diário, semanal, mensal, hora-em-hora, etc); é similar a forma indexada padrão de apresentação do saudoso MRTG; Visão Preview: Você seleciona quais gráficos quer ver e em que periodicidade. Customiza da forma que desejar visualizar. Visão em Árvore: Talvez uma das disposições mais funcionais, pois permite a configuração de apresentação hierárquica das informações monitoradas, em formato de árvore. Os gráficos no Cacti são plotados em tempo real. Isso quer dizer que os gráficos que você enxerga não são estáticos; não estão disponíveis previamente. Isso gera 2 impactos na performance. O fato das imagens não serem criadas toda vez que o poller roda aumenta a performance. Mas se muitos usuários acessam o Cacti simultaneamente, a pre-existência de imagens estáticas mais populares também aumentaria a performace. Do ponto de vista da flexibilidade, o fato das imagens não serem constantes predefinidas, pode-se plotar gráficos de qualquer intervalo de tempo, não apenas nas 220periodicidades previamente definidas. Por exemplo, você pode dar um zoom em um gráfico diário e observar apenas algumas horas do dia. E em um gráfico de hora, observar apenas um intervalo de alguns minutos. O Cacti é multi-usuário. E isso não é pouco. Devido a quantidade de recursos que o Cacti oferece e o potencial de tratar dados e informações classificadas e multiplos níveis de criticidade e relevância, o sistema permite gerenciamento seletivo de usuários, onde cada recurso, cada componente, cada gráfico de fato, pode ser liberado em um sistema de controle de acesso elaborado e flexível, que permite de forma distinta acesso de leitura e de configuração (escrita) ao sistema. Dessa forma é possível associar cada usuário com apenas os dados que seu nível de acesso (clearance level) permita.
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 9/26 230 Dessa forma é possível, por exemplo, criar um usuário que consiga enxergar alguns gráficos e modificar os parâmetros de configurações de apenas um conjunto ainda menor dentre os que ele consegue visualizar, sem ter qualquer tipo de acesso a todos os outros gráficos ou demais componentes do sistema. Cada usuário tem ainda suas próprias customizações e preferências, não havendo intervenção entre eles, e tão pouco o padrão utilizado em um causando impacto de usabilidade ou acréscimo na curva de aprendizado/adaptação do usuário. Como se não fosse o suficiente, o sistema multi-usuário do Cacti permite ainda a customização da origem dos usuários, suportando autenticação com base de usuários do tipo: Builtin: Os usuários são criados e gerenciados pelo próprio Cacti; 240 250 Web: Os usuários são criados no ambiente web, como usuários de autenticação Basic ou Digest no Apache ou usuários do IIS. Suporta também grupos de usuários web; LDAP: Certamente o mais flexível e poderoso método, permitindo integração plena do Cacti como suíte consolidada de solução de monitoração e gerência com seu ambiente pre-existente, baseado em Microsoft Active Directory, OpenLDAP, Novell Directory Services, Apache Foundation Directory ou qualquer outro componente de gestão de identidade compatível com o padrão X.500; suporte protocolos versão 1, 2 e 3 do LDAP, criptografia SSL/TLS, modos de busca no diretório X.500 baseado em busca direta ou busca anônima, permite a configuração de acesso a Grupos no LDAP permite a plena customização da sintaxe de busca na base de diretórios LDAP; permite portanto consolidação do Cacti com a infra-estrutura existente. 2.5. Templating A repetição sistêmica de atividades no Cacti é extremamente poderosa e funcional. É baseada no conceito de templates, onde podemos criar templates das mais variadas combinações de dados, facilitando a escalabilidade da implantação (deployment) de uma solução baseada em Cacti em um ambiente muito grande, com literalmente milhares de ativos sendo monitorados. É possível criar os seguintes tipos de templates por padrão: Templates de Usuários: permite a configuração de perfis de usuários. Com 260 base em um usuário pre-existente é possível criar outros, onde os poderes, recursos e limitações são herdados. Isso facilita a gerência em um ambiente
10 Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 10/26 onde literalmente dezenas de usuários acessarão o Cacti cada qual acessando uma gama comum de informações e opcionalmente algumas informações específicas apenas daquele usuário. Origem de Dados: Crie um único formato de origem de dados (por exemplo, spool de consultas no SAP, milisegundos de latência) e utilize-os em quantos gráficos desejar no futuro, associando-o da forma como for conveniente com outros templates de obtenção de dados ou de plotagem de informações. 270 280 290 Templates de Ativos: Separe seus ativos por tipo, e defina as caracterísitcas em comum de cada um deles. Dessa forma você pode ter por exemplo templates para Servidores Windows, outros para Servidores Linux, outro para Servidores FreeBSD, outros para Roteadores Juniper, outros para Switch Cisco Catalyst e assim sucetivamente. É possível e interessante criar ainda templates de ativos por funções específicas, por exemplo Servidores FreeBSD atuando como Firewall e Controle de Banda; Servidores Linux com Oracle; Servidores Windows com SAP. Dessa forma o deployment de novos ativos desse tipo, quando adicionados, será padronizado, bem como a gestão de mudanças nesses perfis de ativos. Templates de Gráficos: Os dados armazenados nas bases RRA e/ou no MySQL podem ser apresentados de diversas formas, cada uma para perfis diferentes de pessoas. Por exemplo, gestores precisam de informações mais claras, limpas, e diretas, contendo informações agregadas relevantes. Pessoal técnico precisa de informações mais detalhadas e em maior abundância. Com templating de gráficos é possível definir apresentação uniforme para esses perfis, gerando resultados distintos na apresentação de cada informação, e principalmente de forma padronizada e cosolidada. Outros Templates: Citados estão apenas os recursos padrão do Cacti; ao extender essa solução você verá que podem existir tipos incalculáveis de templates, sempre com o mesmo objetivo: escalar, padronizar e consolidar a gestão e monitoração da infra-estrutura de TI. 2.6. A Arquitetura de Plugins do CACTI O Cacti por si só, já é extremamente poderoso. Mas seu propósito formal como
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 11/26 percebemos é ser exclusivamente, um front-end para o RRDTool, que por sua vez é exclusivamente, uma ferramenta de gerenciamento de gráficos. Talvez uma das mais elaboradas e poderosas, mas são apenas isso. Dessa forma, o Cacti normalmente é utilizado em conjunto com outras ferramentas, como Nagios e Zabbix que fazem uma monitoração de forma que o Cacti não faz. No entanto, a facilidade que o Cacti oferece para gerar gráficos de praticamente 300qualquer tipo de informação, torna-o ferramenta com grande potencial para monitorar essencialmente tudo que as demais ferramentas abrangem, mas de uma forma diferenciada. Tendo observado as limitações existentes no Cacti e ao mesmo tempo o potencial da ferramenta, a comunidade de usuários Cacti criou um framework de extensibilidade para ele, e o batizou de Plugin Archicture for Cacti, que é, de fato, exatamente o que o nome sugere, uma arquitetura de plugins, que permite adição de recursos à base do cacti Esse framework de extensões foi projetado com objetivo de ser simples, em sua plena natureza, e ao mesmo tempo robusto. De fato a abordagem permite intervenção em praticamente qualquer componente crítico do Cacti, de forma plenamente estruturada e bem documentada. A facilidade de crar hooks (ligações) estratégicas no Cacti através de sua 310Arquitetura de Plugins é segundo os criadores, a clareza de design e excelência de codificação do Cacti. Pouca mudança foi necessária para ter o framework criado e mantido. A arquitetura de plugin do Cacti está prevista para ser integrada com o produto quando este sair da versão 0.8 e chegar na versão 0.9 (ou 1.0 diretamente). Portanto o framework que extende o Cacti com plugins, hoje, não é nativo. Precisar ser instalado separadamente através da aplicação de patches ou sobreposição de arquivos. O uso desse framework adiciona o recurso de Gerência de Plugins, através do qual é possível instalar, ativar e desligar cada um dos plugins disponíveis no sistema, além de acompanhar a versão do plugin instalado, o Copyright e qual o autor de cada extensão do Cacti. 320 Tendo o Cacti um potencial para ser bastante flexível e poderoso, e tendo o framework de extensibilidade baseado em plugins tornado esse potencial realidade, começaram a surgir uma série de plugins, alguns criados pelo mesmo grupo de usuários que criou a Arquitetura de Plugins, e muitos outros criados por usuários e empresas individuais. Tornar o Cacti preparado para explorar necessidades bem definidas em métricas ITIL, como gestão de mudança, planejamento de capacidade, gestão de configurações e outros domínios das fundações ITIL, adicionar ferramentas de aderência de conformidade com as principais normas e melhores práticas, realizar a gestão de Qualidade de Serviços e
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 12/26 acompanhamento de tendência de demanda de serviços gerência de necessidades tornouse questão de tempo. E uma boa parte das principais demandas foram alcançadas com alguns 330poucos plugins de extensão. Vejamos alguns dos principais plugins de extensão do Cacti: Boost: O objetivo dessa extensão é aumentar a performance geral do Cacti; não são recursos que se vê como resultados, mas são melhorias que o administrador do ambiente vai notar. O plugin é bastante inteligente, e faz o Cacti ter performance adequada para ambiente de alta carga sites e organizações muito grandes. É um complemento necessário que, combinado com o poller de background que tira melhor proveito de ambiente multiprocessado, eleva consideravelmente a escalabilidade do cacti; O boost adiciona três novas funcionalidades ao Cacti. Primeiro, faz cache das imagens 340 mais populares acessadas pelo Cacti, eliminando a desvantagem de performance de criar as imagens de forma on-the-fly que foi introduzida ao Cacti mencionada anteriormente sem voltar a ter a mesma caracterísitca de gerar as imagens a cada ciclo de poller. Ou seja esse plugins ameniza o overhead de plotagem de gráficos ondemand enquanto continua tirando proveito da não plotagem de gráficos em cada ciclo de poller. Essa extensão adiciona também um recurso de atualização on-demand dos arquivos RRD base de dados RRDTool. Dessa forma os arquivos RRD não serão atualizados a cada ciclo de poller. Ao invés disso o poller continua apenas capturando as informações e armazenando-as em MySQL. Os arquivos RRD por sua vez serão atualizados apenas quando um gráfico for acessado, exatamente antes de ser 350 renderizado no web server. Posteriormente, em um momento pre-determinado por agendamento, o plugin conduz uma atualização em lote dos demais arquivos RRD. O último recurso que esse plugin adiciona ao Cacti é o serviço de atualização RRD. Dessa forma é possível montar um cluster de fazenda de servidores Cacti, e todos os servidores dividem a tarefa de fazer a atualização on-demand do RRD. Clog: O sistema de logs nativo do Cacti é integrado, muito completo e poderoso. Poderoso demais caso se deseje dar acesso aos logs a usuários com menores privilégios. Esse Plugin tem por finalidade permitir o acesso (e nunca a modificação) de aos logs, por usuário, de forma seletiva, permitindo inclusive esconder informações sensíveis que só dizem respeito aos administradores com acesso irrestrito ao Cacti. 360 Cycle: Permite que o sistema fique alternando de forma cíclica entre todos os gráficos
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 13/26 sendo monitorados, ou apenas alguns gráficos previamente selecionados. Podemos customizar o tempo de rotacionamento das imagens numa espécie de slide-show de gráficos monitorados permite customizar tamanho dos gráficos (geometria em pixels), oferece controle total de acesso, incluindo integração com os controles preexistentes, só podendo circular gráficos que os usuários tenham acesso, além de restringir o acesso ao próprio plugin. Permite a customização de fonte, tamanho e cor; permite a apresentação ou não do título do gráfico; oferece botões de STOP e PLAY para controlar o rotacionamento dos slides; tem também botão para avançar ou voltar os gráficos em rotacionamento; apresenta o tempo para próximo rotacionamento. 370 380 Discovery: Trata-se de um Plugin extremamente poderoso, que permite o discovery (ou discoberta) automático de ativos disponíveis em sua rede. O plugin é integrado com o poller, e em periodicidade predefinida varre a rede em busca de ativos que não estejam sendo monitorados. É capaz de descobrir qualquer dispositivo IP, tenha ele SNMP ou não. Permite a declaração de quais redes varrer, quais comunidades SNMP testar, que versões de protocolo SNMP testar, apresenta informações e status SNMP dos ativos encontrados, faz resolução de nomes DNS, gera a disponibilidade status do ativo encontrado, permite o filtro de ativos encontrados por status, por sistema operacional, por status SNMP, por hostname, por endereço IP ou string aleatória de informação. Complementarmente, adiciona um recurso extremamente poderoso: Templates de Discovery. Com esse novo tipo de template, o Discovery pode criar gráficos automaticamente e passar a monitorar sozinho, ativos que ele encontrar, e que conseguir associar a um template. Ou se preferir não ativar o recurso de monitorar sozinho, você pode ao click de um botão adicionar o device recém-descoberto na lista de ativos. Docs: Com esse plugin você consegue criar e associar notas e documentações específicas a cada device (ativo) monitorado, enriquecendo sua documentação interna e adicionando aderência as práticas ITIL; 390 Flowviewer: Em conjunto com um dispositivo de flow-capture, permite a visualização em tempo real de informações de netflow padrão Cisco, compatível com Cisco NetFlow v5 ou anterior; consegue gerar relatórios de flow baseados nos flows recebidos e caputrados. É portanto uma interface web integrada ao Cacti para visualização de netflows recebidos pelo servidor rodando Cacti;
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 14/26 Host Info: Oferece uma visão estratégia ao centro de operações de rede apresentando que recursos estão instalados e configurados naquela instância do Cacti. Com esse plugin você consegue facilmente identificar a versão PHP instalada, versão SNMP, todos os plugins instalados, entre outras informações internas. 400 Login Mod: É um plugin que permite a customização da aparência da tela de login do Cacti. É como se atuasse como um plugin demo com finalidades estéticas. Permite a customização de CSS, logo, etc. Mac Track: Oferece recurso de inventário de Mac Address. Permite que o gestor cadastre, autorize ou rejeite alguns endereços MAC na rede. Permite a criação de alertas; tem base de dados de associação dos primeiros 24 bits de MAC por fabricantes de acordo com o associado pela IANA. Faz varredura automatizada (tipo discovery) de endereços MAC. Permite que você tenha controle sobre que MACs estão em que endereços IP e sobre aparição de MACs desconhecidos. Permite também rastrear que IP estava em que MAC em uma data anterior, consolidando informações em setups que envolvam configuração de ambiente DHCP ou outro protocolo dinâmico de endereçamento; 410 420 Monitor: Esse é um dos principais plugins de extensão para o Cacti; com ele é possível ter uma visão estratégica de todos os ativos sendo monitorados. Os ativos podem ser apresentados de forma agrupada, por setor da organização; pode refletir o agrupamento das árvores de gráficos; pode ser apresentado em formato de lista, em formato compactado, com ou sem legenda. Apresenta de forma visual (caixas coloridas) o estado dos ativos monitorados, sendo verde para ativos plenamente disponíveis, vermelho para ativos indisponíveis, amarelo para ativos disponíveis mas com métricas de qualidade quebradas (integração com o plugin thold), azul para ativos que estavam indisponíveis e agora estão se recuperando. Apresenta informações de alerta em conformidade com a NBR ISO/IEC 27001 e NBR ISO/IEC 27002, bem como com as melhores práticas do NIST e da BS7799, ou seja, permite a exposição de logs via syslog, permitindo o uso de servidor de logs, solução de consolidação de logs e configuração de logs no console do administrador logado. Em aderência plena permite a configuração de alertas visuais e sonoros, chamando atenção do centro de operações de infra-estrutura quando um alerta for disparado. Permite que a monitoração de hosts seja seletiva, podendo desabilitar monitoração explícita/intencional e podendo desativar alertas aos finais de semana. Permite o
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 15/26 controle pleno de acesso ao plugin, indicando que usuários podem ou não acessá-lo. 430 NTop: Esse plugin é na verdade, um wrapper, que permite chamar/acessar o NTOP de dentro de uma aba do Cacti. Oferece recursos de controle de acesso, mas a integração não é ampla. Serve apenas para consomidar as duas ferramentas em um único local. Realtime: Trata-se de uma extensão extremamente poderosa. Com ela, todos os gráficos sendo monitorados podem ser plotados e obtidos em periodicidades aleatórias. Intervalos de tempo de até 5 segundos plotados em gráficos de 1 minuto dão ao Cacti o poder de fazer monitoração em pseudo-tempo-real (já que tem um atraso de 5 segundos). Dessa forma conseguimos monitorar de forma seletiva recursos críticos, sem precisar configurar de fato periodicidades formais de 1 minuto por exemplo no Cacti. 440 450 Seu uso é adequado para troubles-hooting auxiliado por monitorações pontuais em intervalo de tempo muito curto; o recurso de real-time monitoring é adicionado como botão ao lado de cada gráfico sendo plotado; o sistema acompanha um poller de relatime utilizado em Ajax para plotar os gráficos; as janelas são criadas com tamanho dinâmico, automaticamente de acordo com o tamanho do gráfico; oferece a sincronização de informações entre janelas. RouterConfigs: Outro plugin que consolida o uso do Cacti com suas gerência ITIL, especificamente controle de mudanças e gestão de cópias de segurança de roteadores. O plugin em questão faz backup automático, noturno, de todos os roteadores de sua rede. Permite a configuração de usuários para cada ativo que tenha poder de leitura das configurações; mantém backup de configurações por um período de tempo configurável (em dias), e para completar a gestão de mudanças, tem recursos para comparar e apresentar as diferenças entre 2 configurações; Settings: É um plugin de serviços. Adiciona a possibilidade de outros plugins terem configurações personalizáveis pela interface web; extende portanto o sistema de configurações (settings) nativo do Cacti; é pre-requisito para a maioria dos outros plugins; SSL: Força o uso de conexão sobre SSL em todos os links auto-gerados pelo Cacti; Syslog / Haloe: Com essa extensão o Cacti fica em aderência as melhores práticas e normas supracitadas, no que tange a gestão centralizada de logs; esse plugin permite a
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 16/26 460 470 480 visualização de mensagens do syslog gravadas em banco de dados MySQL local. É possível adicionar alertas para informações críticas e eliminar seletivamente informações indesejáveis. Se bem configurado pode de fato atuar como consolidador de mensagens de logs baseado em criticidade e relevância pre-configuradas e alertadas. É utilizado em conjunto com sistemas como syslog-ng e/ou outros que permitam gravação de logs em banco de dados. Permite a configuração portanto de um servidor de logs loghost completo com avaliação de registros em mensagens em interface integrada com o Cacti. Oferece recursos de filtro de mensagens, busca/classificação de mensagens, desvio de output para o console ou em arquivo, filtro por data/hora, alerta de eventos e remoção de eventos (filtro de informações indesejadas). Thold / SLA: É provavelmente o mais útil e poderoso plugin disponível por padrão. Com ele é possível definir e configurar métricas de níveis de qualidade de serviço (Service Level Agreeement) com alertas por e-mail, por SMS, alertas visuais e sonoros. Permite configuração de alertas por métricas de valores elevados (high thresholds) demais, valores baixos demais (low thresholds) e por desvio-padrão ponderado, configurável em porcentagens. Pode gerar alertas com base em qualquer informação sendo monitorada, e também com base em rotinas/programas externos. Permite a visualização estratégica de tholds de SLA em monitor específico e é integrado com o plugin de monitor, permitindo visualização cruzada de disponibilidade de ativos e de qualidade de serviço acordado. Trabalha com o conceito de templates de alertas, estendendo e facilitando a criação de alertas em níveis amplos e facilitando demais a gerência de métricas de qualidade de serviço mesmo em ambientes grandes e complexos. O conceito de templates é associado a cada alerta, de forma que a modificação de um template se propague para todos os alertas vinculados a aquele template. Dispõe de recurso que traça linha de qualidade nos gráficos podendo observarmos em que momento cada alerta foi disparado. Tools: Esse é um plugin simples que adiciona algumas ferramentas de diagnóstico de rede no Cacti As ferramentas existentes no momento são capazes de testar a disponibilidade de serviços como SMTP, POP3, HTTP e FTP; dispõe também de um cliente SNMP Walk simples. 490 Update: Em aderência com melhores práticas e normas, facilita a gestão de controle
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 17/26 de versões, monitorando a versão atual de cada plugin e informando se há versões mais recentes disponíveis. Monitora também a versão do próprio Cacti e da Arquitetura de Plugins. Watermark: Permite a adição de um texto de marca-d'agua em todos os gráficos gerados pelo Cacti; perfeito para identificação de propriedade e aderência com normas internas da organização. Além desses plugins mencionados, existem outros inúmeros, disponibilizados por outros grupos de usuários, empresas ou indivíduos. Destes, destacamos: 500 510 520 Network Weathermap: Esse plugin na verdade é uma solução completa de Weathermap de Rede, conceito de mapa de previsão de tempo aplicado ao ambiente de rede, que tem como objetivo traçar um desenho, de fato, da topologia de rede, e tornar esse desenho vivo, apresentando informações reais de disponibilidade, indisponibilidade e gargalo (níveis de sobrecarga) de rede em cada nó monitorado/desenhado. Com recursos de on-mouse-over customizáveis, podemos ter os gráficos carregando mais detalhes sobre cada link e cada ativo monitorado no desenho. É de fato uma solução completa e oficialmente integrada ao Cacti; é um plugin oficial criado pelo projeto PHP Network Weathermap, quase um de-facto standard na indústria; é open source, completamente livre; Acompanha editor Ajax/DHTML para facilitar a criação/manutenção dos desenhos e configuração dos links e ativos; permite customização plena de imagens, backgrounds, mapas de fundo; suporte fontes True Type; suporta estilo de setas; permite a criação de ângulos retos, curvos e diretos em linhas; permite a configuração de curvas aleatórias no mapa; permite a utilização de scripts e comandos externos para obter as informações a serem apresentadas nos mapas, ou seja, não é limitado aos Data Sources do Cacti. Suporta múltiplos (até 65535) gráficos. Tem suporte pleno ao ambiente de controle de acesso multi-usuário, permitindo acesso seletivo de cada usuário a cada gráfico. Superlinks: Atua como wrapper para console e abas cacti, permitindo a integração e chamada de documentos e outras áreas de dentro do Cacti; permitindo assim a criação de um Portal Corporativo ou Intranet de finalidade específica, dentro do ambiente Cacti.
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 18/26 Complementarmente, a FreeBSD Brasil LTDA, empresa brasileira, estabelecida em Belo Horizonte, oferecede a seus parceiros e clientes alguns plugins adicionais, os quais destacamos: FlowGraph: Esse plugin oferece na verdade uma nova aba e um novo menu no console do Cacti. A aba permite a plotagem de gráficos com base nas informações recebidas pelo NetFlow. Os gráficos incluem informações de flows por redes, por roteadores, por endereços IP, por portas, por protocolos, por serviços, por Type of 530 Service e por qualquer outra combinação de informações. O menu oferece estatísticas periódicas quantitativas, incluindo top hosts e top routers por flow, por bits por segundo e por pacotes por segundo. O plugin depende (e portanto vem com) um Flow-Capture. Suporta Cisco NetFlow versões 5 ou inferior. Suporta também flows sampleados padrão Juniper e padrão Cisco. EzWeatherMap: Esse plugin une o melhor do Discovery Plugin, do MacTrack com o editor Ajax do PHP WeatherMap. Ele permite que sejam carregados de forma dispensa no mapa todos os ativos encontrados, e os links já são criados, facilitando a configuração/desenho do Weather Map, bastando mover os ativos para a posição desejada e escolher os Data Sources desejados para monitorar cada ativo ou link. 540 ITIL Reports: Esse plugin permite a geração de relatórios mensais, semanais, anuais, quinzenais, diários, e em qualquer outra periocidiade, de métricas de disponibilidade, qualidade de ativos e de itens de SLA monitorados. É amplamente customizável e trabalha com o conceito de templates. Tem aderência as principais gerencias ITIL que o Cacti engloba. ServDesk: Plugin que integra os alertas disparados pelo Cacti com o sistema open source Ocomon (Brasileiro), oferecendo solução integrada de Service Desk padrão ITIL com sistema de monitoração; permite configuração inclusive de responsáveis por cada alerta disparado. 5503. A Suite Trauma Zero A Suite Trauma Zero é um conjunto de aplicativos produzidos por uma empresa brasileira (i-virtua, com sede no Rio Grande do Sul), que cobrem vários dos aspectos inerentes à segurança de ativos de rede.
Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 19/26 É composta por diversos módulos distintos, cada qual com sua função específica dentro de um ambiente tecnológico. Consolidada no mercado como a melhor solução para gerenciamento do ciclo de vida de TI e reconhecida pela relação custo x benefício, é desenvolvida nos idiomas Português do Brasil, Inglês e Espanhol. Emprega alta tecnologia e prima pela performance de rede e segurança de dados, proporcionando retorno significativo e redução do custo de investimentos em ativos. Baseada na estrutura cliente/servidor, a suite possui um agente extremamente leve, único para todos os módulos. Sua instalação pode ser executada de forma transparente para os usuários, sem causar qualquer tipo de parada crítica nas estações, facilitando sua distribuição e utilização imediata das soluções. Tendo em vista que nem todos os módulos estão relacionados ao tema de monitoramento, o nível de detalhamento não será feito para os módulos não relacionados. Entretanto, uma apresentação genérica de todos eles é feita aqui. Orientada ao atendimento do ciclo de vida dos ativos de TI, a suite possui módulos que atuam nas atividades detalhadas na próxima figura: 560 Estas funções são exercidas pelos seguintes módulos: Tz0 Asset Inventory: Inventaria de forma completa todos os componentes de hardware e software em tempo real. Não será analisado em detalhes. Tz0 CMDB: Gerenciamento de itens de configuração. Identifica, mantém e verifica a existência de todos os componentes de um Item de Configuração. Controla todos os componentes de serviços de TI da organização. Provê informações atualizadas sobre os componentes dos serviços de TI necessárias para suporte e
20 Segurança em Infra-Estrutura Prof. Ricardo Bernardo Santos pg. 20/26 outros processos. Garante, através de verificações periódicas, a qualidade das informações no 570banco de dados de configuração. Tz0 Cycle: Helpdesk, service desk e workflow. Não sera visto em detalhes. Tz0 Network Security: Segurança de rede. Permite o desenvolvimento de uma política anti-furto, podendo alertar os administradores caso algum patrimônio seja modificado ou removido, gerando avisos que podem ser enviados via e-mail, icq, pagers, etc. Viabiliza a criação de regras por usuário, grupos e computadores. As políticas aplicadas em máquinas são válidas até mesmo fora da rede corporativa. Possibilita a definição de horários de acesso a aplicativos ou URLs. 580 Impede o acesso a tokens, unidades de CD-ROM e disquete, entre outros dispositivos. Permite a definição de permissões de acesso a arquivos e pastas locais: remover, ler, apagar, renomear. Faz a detecção de alterações de hardware e software, com emissão de alertas. Possibilita aplicar regras diretamente aos recursos do sistema operacional. Coloca sob observação os usuários que tentam bloquear as políticas. Impede a abertura de programas indesejados. Permite bloquear a estação remota caso uma política for burlada. Possui key logger, browser spy e file system integrado ao sistema. Permite a criação de vídeos baseado em snapshots do computador remoto. 590 Tz0 Remote Control: controle remoto de estações. Tz0 Sniffer Rescue: captura e reconstrução de pacotes de rede. Analisa a velocidade em tempo real do link de dados entre sites distintos. Não depende de agentes instalados nas estações para realizar as capturas. Possibilita a reconstrução de qualquer pacote trafegado na rede: áudio, vídeo, executáveis, arquivos compactados, e-mails, etc. Monitora em tempo real a utilização de aplicações como ICQ, MSN Messenger, Kazaa e navegadores, a fim de identificar o percentual de utilização sobre o link corporativo. Monitora qualquer plataforma na rede: Linux, Solaris, Windows e MAC. Identifica em tempo real quais os responsáveis pelo uso excedente da rede. Permite descer níveis da banda até chegar ao monitoramento on-line, verificando o IP,