TÉCNICAS E ABORDAGENS PARA MONITORAMENTO DE TRÁFEGO DE REDE Alessandro de Morais Coelho* CONSIDERAÇÕES INICIAIS Ultimamente as redes de computadores estão cada vez mais complexas e gerênciá-las torna-se uma tarefa extremamente difícil. O gerente de rede tem hoje uma gama muito ampla de ações a serem executadas e avaliadas em sua função de analista de rede. Uma dessas ações que contribui para um funcionamento mais adequado dessa estrutura é analisar o fluxo de dados que trafegam na rede e avaliar seu desempenho. Sabe-se que, atualmente, os setores de TI buscam melhorar esse aspecto da análise, pois existe uma tendência de má-utilização dos serviços que envolvem links, ora por uma sub-utilização da banda oferecida, ora por um uso que não se adequa aos propósitos da empresa. A Rede Nacional de Ensino e Pesquisa - RNP oferece através dos seus 27 pontos de presença, um em cada unidade da federação, uma infraestrutura de rede Internet voltada para a comunidade brasileira de ensino e pesquisa. O PoP-PI é o ponto de presença da RNP no Piauí, e está sediado na Fundação de Amparo à Pesquisa do Estado do Piauí - FAPEPI (Centro Administrativo, Bloco "G", Térreo). Na época do seu surgimento, em 1996, o PoP-PI operava à velocidade de 64 Kbps e estava interligado ao backbone da RNP pelo ponto de presença do Ceará (PoP-CE). Em sete anos de funcionamento, a velocidade aumentou para 6 Mbps, o link ganhou tecnologia ATM, e o PoP-PI passou a ser conectado ao ponto de presença de Minas Gerais (PoP-MG). O objetivo do PoP-PI é oferecer uma infraestrutura para compartilhamento de um canal de conexão ao backbone da RNP, proporcionando acesso à Internet e às redes acadêmicas internacionais às instituições de ensino e pesquisa, órgãos do governo com também entidades privadas do estado do Piauí. * Analista de Sistemas formado pela Faculdade de Tecnologia do Piauí e pós graduado em Redes com ênfase em perícia forense pela Faculdade Diferencial Integral. Bolsista de pesquisa do PoP-Pi.
Os serviços oferecidos pelo PoP-PI são: Conectividade IP O PoP-PI oferece conectividade IP com a Internet através de um link de 34Mb com a rede de distribuição da RNP, que proporciona às instituições clientes um índice de disponibilidade, confiabilidade e a banda disponível para uso, estabelecidos pela política de controle e segurança. Conferência WEB O serviço de conferência Web que o PoP-PI presta às suas organizações usuárias é baseado em "Software Livre". DNS secundário A RNP é a detentora de todos os blocos IPs cedido às instituições. fone@rnp fone@rnp é o nome do serviço que permite a interconexão das instituições clientes da rede VoIP (Voz sobre IP) da RNP. Por meio deste serviço, todos os usuários das instituições clientes que compõem esta rede conseguem se comunicar por voz (via telefone comum, telefone IP ou Softphone) pela Internet. Medição de vazão Através da ferramenta NDT se pode medir a vazão nas duas direções (c2s - s2c) a fim de detectar possíveis problemas de rede tais como, perdas de pacotes devido a cabos defeituosos. O PoP-PI possui um servidor NDT que está disponível publicamente para realizar os testes. Mirror Um mirror ou "espelho" é um conjunto de pacotes para instalação de software e seus respectivos códigos-fonte. O PoP-PI oferece um repositório debian (32bits e 64 bits), ou seja, uma cópia idêntica parcial ou integral de um repositório primário Debian oficial.
NTP Os servidores NTP permitem aos seus clientes a sincronização dos relógios de seus computadores e outros equipamentos de rede a partir de uma referência padrão de tempo aceita mundialmente, conhecida como UTC. O servidor NTP stratum 1 do PoP-PI está ligado diretamente a um relógio de referência, mecanismo de altíssima precisão via satélite. Plantão 24x7x365 A rede de interconexão ao PoP-PI opera em um regime de 24x7x365, com auxilio de ferramentas, que de forma automatizada, geram alertas via E-mail e SMS (mensagem de texto via celular) em caso de "queda" de um link ou servidor. Desta forma, a garantia de disponibilidade não se limita a um horário específico, e as instituições-cliente terão a certeza de que sempre terá uma equipe analisando e monitorando os circuitos. Service Desk Service Desk é um Help Desk de maior abrangência. Serviço oferecido principalmente às instituições usuárias do PoP-PI, com o intuito de propor sugestões para resolver possíveis problemas técnicos de forma eficiente, minimizando desta forma o impacto nos serviços oferecidos por tal instituição. Utilização de banda O PoP-PI possui ferramentas de gerenciamento da rede que verificam, por exemplo, o consumo da banda (upload e download) por determinada instituição. OBJETIVOS Realizar um estudo comparativo das estratégias e abordagens técnicas com a finalidade de aplicabilidade para o monitoramento de tráfego da rede local do PoP- PI/RNP. Foi realizada uma revisão de literatura em artigos publicados e sites na área de informática e,a partir desse estudo comparativo, buscou-se subsídios que permitam
que o analista de sistema possa avaliar as técnicas mais apropriadas para serem implementadas a fim de permitir uma análise mais eficiente do fluxo da rede do PoP- PI, identificando e solucionando possíveis problemas no que se refere ao uso correto de sua estrutura para melhor atender os clientes que fazem uso desses serviços. REVISÃO DE LITERATURA Em qualquer estrutura computacional existente hoje em dia, depara-se com o problema da análise do fluxo de rede. Numa rede de computadores onde serviços específicos são oferecidos, é gerado uma grande quantidade de informações que trafegam entre esses elementos que a compõem e geralmente é esse fluxo, ou melhor, a normalidade desse fluxo, que indica o bom funcionamento desses serviços. Analisar o fluxo de dados engloba também elementos físicos de enlaces entre os computadores que estruturam a rede que devem ter suas capacidades de funcionamento respeitados dentro do que a estrutura propõe. Atualmente, é cada vez mais importante ter acesso à informação e é notório o crescimento do volume de dados que as redes gerenciam. É também crescente o numero de ataques hackers a essas redes com vários intuitos que vão de simplesmente roubar informação, ou impedir que essas redes funcionem corretamente. Diante desse panorama o papel do analista de rede é cada vez mais importante, e sua atuação em garantir o bom funcionamento das estruturas computacionais fazendo uso de técnicas de gerenciamento e análise é indispensável. Dentre as técnicas e abordagens podemos citar: a) Logica Difusa As estruturas tecnológicas fazem uso da lógica exata para seus processos computacionais. Essa lógica muitas vezes produz um descompasso em relação ao processo de entendimento da mente humana. A Lógica Difusa surgiu inspirada na capacidade do pensamento humano de avaliar as possibilidades inexatas em um contexto definido. Usa-se nessa lógica valores intermediários entre o FALSO (0) e o VERDADEIRO (1) sendo uma extensão da logica booleana. Esse valores
intermediários podem, por exemplo, ser o TALVEZ (0,5) significando que o valor difuso está entre 0 e 1. Pode-se implementar a lógica difusa para análise de determinados dispositivos para avaliações não-quantitativas. Uma prática comum em uma estrutura computacional é a análise do tráfego de dados de sua rede. Segundo Angelis (2003), existe um esforço no sentido de padronizar ou estabelecer uma linguagem comum para medição do tráfego de redes. Uma proposta do CAIDA (CooperativeAssociation for Internet Data Analysis) é a unificação dos recursos de coleta dos dados, bem como sua classificação e exibição dos dados em um só pacote. O CAIDA também alerta que nenhum resultado sobre análise de tráfego de rede pode ser preciso tendo por base apenas um parâmetro e que também é importante a avaliação do conjunto das variáveis que formam a estrutura computacional. Dentre as entidades relacionadas com o desempenho e a qualidade dos serviços de rede, o IPPM (IP Performance Metrics) pertencente ao IETF (Internet Task Force) procura desenvolver um padrão para as métricas que possam servir para esta medição de desempenho e qualidade destes serviços. Um protótipo sugerido por Silveira e Dantas (2005) demonstra, através de medições passivas, a aplicabilidade do monitoramento do fluxo de rede utilizando a Lógica Difusa. Os autores acima citados, comentam que, nas medições passivas o volume de dados coletados são reduzidos através da utilização do conceito de fluxos. Essas medições são realizadas com o auxílio de dispositivos próprios (software) e não interferem no comportamento do tráfego da rede. Foi utilizado um sniffer para monitorar o comportamento de uma determinada rede para gerar logs com as informações dos cabeçalhos dos protocolos em uma determinada faixa de tempo. O seu protótipo foi implementado com o objetivo de verificar a possibilidade da diminuição do esforço de monitoramento do tráfego de rede utilizando a lógica difusa. Os autores ainda citam que as técnicas que utilizaram são aplicáveis a qualquer ferramenta de monitoramento tendo apenas o diferencial do raciocínio difuso. No quadro abaixo podemos observar algumas das técnicas utilizadas para caracterizar um determinado segmento de rede.
Quadro1. Técnicas utilizadas para caracterizar um determinado segmento de rede. Fonte: Silveira e Dantas (2005) A seguir podemos verificar um exemplo de avaliação de uma das variáveis analisadas no processo difuso. Aqui é utilizado um pacote de software chamado MATLAB para o ajuste das funções de pertinência da variável somador de bytes por segundo. Fig 1. Somador de Bytes por segundo. FONTE: Silveira e Dantas (2005)
Fig. 2 Distribuição amostral do somador de bytes por segundo FONTE: Silveira e Dantas (2005) Fig 3. Ajuste das funções de pertinência do somador de bytes por segundo. FONTE: Silveira e Dantas (2005) Nas avaliações do protótipo foram obtidos resultados em alguns estudos de caso. Verificou-se um evento causado por um execução de backup de dados gerando uma notificação sobre mudanças de comportamento na rede geradas pelo evento.
Também foi estudado outro evento que indicou problemas físicos em switches que atendiam vários setores notificando mudanças na geração de tráfego TCP, UDP e ICMP. Outras avaliações também foram feitas em relação ao tempo de resposta de determinados segmentos de rede em períodos determinados. b) Amostragem Estratificada A amostragem estratificada estabelece uma população de N elementos que assumem uma divisão de subelementos n 1, n 2, n 3...n n. Esses subelementos juntos formam toda a população e não se sobrepõem representando a totalidade de N. Desse modo: N= n 1 + n 2 + n +...n n No processo de amostragem estratificada é possível realizar uma análise em uma população de elementos heterogêneos dividindo essa população em subpopulações com características similares transformando assim em amostras homogêneas. Dessa forma obtêm-se uma análise mais precisa com pouca variação dos elementos dessa amostragem. Na amostragem estratificada esses subelementos são classificados como estratos e representam muitas vezes conjuntos de características comuns identificadas dentro a população. Segundo Kamienski et al (2005) a amostragem estratificada pode ser classificado em: Amostragem estratificada uniforme - onde os estratos têm o mesmo tamanho. Amostragem estratificada proporcional ou de Bowley- onde o número de elementos em cada estrato é proporcional ao tamanho do estrato. Amostragem estratificada ótima- onde se considera o tamanho do estrato e a variabilidade do mesmo. Atualmente os monitoramentos de tráfego que são baseados em medições de pacotes ou de fluxos, enfrentam um problema relacionado a dificuldade de análise do grande número de dados gerados por esses métodos. Estabelecer novas formas de
medições pode ser uma ótima estratégia para contornar esse problema, visto que as estruturas computacionais que envolvem esses processos aumentam a cada dia. A amostragem estratificada mostra-se como uma ferramenta poderosa para análise e descrição do comportamento do tráfego de rede a nível de fluxo de dados. Num estudo realizado por Kamienski et al ( 2005 ) foram utilizados quatro conjuntos de dados com cada um contendo informações de fluxos de tráfego que ele chamou de traces (rastros). Os fluxos foram padronizados como sendo o conjunto de pacotes com os mesmos valores dos campos de endereço IP de origem e destino, porta (TCP ou UDP) de origem e destino e protocolo em uma rede de 34Mbps. A tabela a seguir mostra um resumo das principais características do traces. Tab 1. Principais características do traces. FONTE: Kamienski et al (2005) Cada trace foi analisado em uma data específica nos períodos de maior fluxo de dados da rede. A tabela também registra o volume de dados analisado e o número de fluxos. A metodologia utilizada para a análise foi dividida em fases que permitiram desde a configuração dos traces, definição de variáveis, caracterização das amostras como calculo e comparação das mesmas. Kamienski et al (2005) citam ainda que, os resultados obtidos em sua experiência com amostragem estratificada ótima são bastante representativos e podem apontar para o uso dessa métrica na análise do fluxo de rede baseado em fluxo de dados. Seus resultados revelam a possibilidade de análise do comportamento de redes que geram uma grande quantidade de dados e que tenha sua estrutura composta por vários enlaces distribuídos.
c) Análise de entropia de tráfego Segundo Lucena e Moura (2008), entende-se por anomalia de tráfego tudo aquilo que foge a um padrão de normalidade no tráfego de rede. Essas anomalias de tráfego podem estar associadas a um uso indevido da estrutura da rede que as vezes torna impossível a utilização dos recursos dos elementos que a compõem prejudicando os serviços que por ventura são fornecidos. Os autores acima citados destacam algumas anomalias que, frequentemente, ocorrem nas redes de computadores, tais como: ataques que negação de serviço distribuído (DDos), vírus (Worms), grupos de máquinas controladas sem permissão de seus donos (Botnets), correio eletrônico não solicitado (Spam) entre outros. Alguns métodos de detecção de anomalias baseiam-se na identificação de elementos que estejam diretamente ligados ao evento que possam caracterizá-lo. Este tipo de detecção costuma ser onerosa do ponto de vista computacional porque exige a inspeção de cada pacote IP que trafega por uma ou mais conexões de rede. Em outra visão usa-se a identificação de uma assinatura representativa do tráfego de rede relacionado a uma determinada anomalia. Analisando os comportamentos dos fluxos verifica-se a anomalia sem a necessidade da inspeção dos pacotes IP. Esta abordagem é mais adequada para redes de backbone, dado o grande volume de pacotes que costuma atravessar seus roteadores A análise de entropia de tráfego é o método de análise do comportamento dos fluxos de rede estabelecendo parâmetros comparativos que possam indicar estados de normalidade ou estados onde esse fluxo se comporta de forma anormal. Essa metodologia se baseia na assinatura de estatística de tráfego e é utilizada tanto para detectar como para classificar a anomalia, inclusive anomalias que ainda não são conhecidas. A simples adoção de medidas de entropia, por si só, não se configura num processo eficiente de detecção de anomalias. Faz-se necessário o uso de alguma técnica que seja capaz de verificar automaticamente, e em tempo real, se a medida de entropia fugiu de seu padrão de normalidade. Um exemplo que pode ser experimentado é a estimativa de Holt-Winters que detecta medições de entropia que possam diferenciar bastante do estado tido como normal. Em ataques de negação de serviço distribuído (DDos), por exemplo, esse comportamento é identificado pelo comportamento do fluxo de dados que partem de vários endereços IPs para apenas um
único IP de destino em um fluxo realmente que diferencia da normalidade caracterizando uma anomalia. Aplicabilidade da estimativa de Holt-Winters Lucena e Moura (2008) sugerem coletas de registros NetFlow com valores de entropia calculados para cada intervalo de cinco minutos que os resultados sejam armazenados em bases RRD, uma para cada parâmetro (IP de origem, IP de destino, porta de origem e porta de destino). É importante obter quatro valores de entropia dentro do mesmo intervalo de tempo para poder identificar um determinado tipo de anomalia e de posse desses quatro valores, pode-se atribuir uma possível classificação, conforme exemplo a seguir: DoS: Entropia baixa para IP de origem(origem específica), Entropia baixa para IP de destino (alvo específico); DDoS: Entropia alta para ip de origem (origem dispersa), Entropia baixa para ip de destino (alvo específico), Entropia alta para porta de origem (portas aleatórias); PortScan: Entropia baixa para IP de destino (mesmo IP com portas sendo varridas), Entropia alta para porta de destino (muitas portas sendo varridas);
WormScan: Entropia alta para IP de origem (possível Botnet), Entropia alta para IP de destino (procura possíveis vítimas), Entropia alta para porta de origem (várias conexões para múltiplos destinos), Entropia baixa para porta de destino (explora a vulnerabilidade de alguns serviços). CONSIDERAÇÕES FINAIS Conclui-se que, dentre os diversos métodos de análise de fluxo de rede, a técnica de análise de entropia de tráfego pode ser de grande valia para alguns dos problemas encontrados atualmente na rede do PoP-PI/RNP, como por exemplo, o uso indevido de arquivos torrent dentro da estrutura da rede que prejudica o bom funcionamento dos serviços oferecidos por esta entidade. A adoção de uma postura pró-ativa em relação a problemas similares dentro da rede PoP-Pi/RNP mostra-se mais do que conveniente e também a adoção de um protocolo para o estabelecimento das análises de fluxo de rede. A utilização de simuladores para o aprimoramento desse protocolo também pode ser de interesse da instituição no que se refere a aplicabilidade dos métodos citados. REFERÊNCIAS ANGELIS, A., Um Modelo de Tráfego de Rede para Aplicação de Técnicas de Controle Estatístico de Processos, Tese de Doutorado. São Paulo: Instituto de Física de São Carlos - USP, 2003. CAIDA, Cooperative Association for Internet Data Analysis, http://www.caida.org, 2003. CHEN, J-L. HUANG, P-H., A fuzzy expert system for network fault management, IEEE International Conference on Systems, Man and Cybernetics, Information Intelligence and Systems, Vol. 1, pp. 328-331, 1996. Grupo de Trabalho em Computação Colaborativa (GT-P2P) Rede Nacional de Pesquisa, http://www.rnp.br/pd/gts2004-2005/p2p.html, acessado em dezembro/2004. KAMIENSKI,C., et al, Caracterizando Propriedades Essenciais do Tráfego de Redes através de Técnicas de Amostragem Estratificada, Pernambuco,UFPE, 2005.
LUCENA, S.,,MOURA, A. S. Detecção de Anomalias Baseadas em Análise de Entropia de Tráfego da RNP, Rio de Janeiro, UNIRIO, 2008. MATLAB, Fuzzy Logic Toolbox, MATHWORKS INC, 1998. SHAW, I., SIMÕES, M. G. Controle e Modelagem Fuzzy. São Paulo: Edgard Blücher Ltda, 1a edição. 1999. SILVEIRA, E. R., DANTAS, M.A.R., Uma Abordagem de Monitoração de Trafego de Rede Utilizando Lógica Difusa, Santa Catarina, UFSC, CTC, INE, 2005. SIMÕES, R. F., Uma Análise de Fuzzy Cluster, Notas de Discussão No. 26. Belo Horizonte: UFMG, 2003. WEBER, L., KLEIN T. A. P., Aplicações da Lógica Fuzzy em Software e Hardware, Canoas (RS): Ed. Ulbra, 2003.