Uma abordagem do monitoramento de redes com Netflow usando o Ntop como sistema de coleta de dados
-
Upload
janiel-oliveira -
Category
Documents
-
view
110 -
download
0
description
Transcript of Uma abordagem do monitoramento de redes com Netflow usando o Ntop como sistema de coleta de dados
Uma abordagem do monitoramento de redes com Netflow
usando o Ntop como sistema de coleta de dados
Francisco Janiel de Oliveira1,Carlos Giovanni Nunes de Carvalho
1
Pós-Graduação em Redes de Computadores, Faculdade Santo Agostinho (FSA), Av.
Walter Alencar, 665, 64.019-625, Teresina – PI – Brazil
[email protected],[email protected]
Abstract.With the increasing demand for bandwidth in computer networks due
to its consumption by advanced applications and even for its misuse, the traffic
monitoring tools have become essential in the day to day management. This
article discusses the monitoring of data traffic in a local network, including
Internet access via NetFlow, based on data collection, performed with Ntop
tool. The analysis of network performance is done by monitoring the use of the
available bandwidth in order to detect the users and services that generate
traffic on the network in order to highlight problems for IT administrators.
The Ntop is used as a tool that gathers datagrams which allows to identify,
quantify and classify traffic by the network layer, transport and application
protocols. Thus allows more detailed knowledge of the traffic and the impact
on network performance.
Resumo.Com a crescente demanda por largura de banda nas redes de
computadores, devido ao seu consumo por parte de aplicativos avançados e
até mesmo por seu uso indevido, as ferramentas de monitoramento de tráfego
passaram a ser essenciais no dia a dia dos administradores. O presente artigo
aborda o monitoramento do tráfego de dados de uma rede local, incluindo o
acesso à Internet por meio do Netflow, baseado em coleta de dados, realizada
com a ferramenta Ntop. A análise de desempenho na rede é feita monitorando-
se o uso da largura de banda disponível, com o objetivo de detectar os
usuários e os serviços que geram tráfego intenso na rede a fim de evidenciar
problemas para os administradores de TI. O Ntop é utilizado como ferramenta
que coleta os datagramas a qual permite identificar, quantificar e classificar o
tráfego pelos protocolos da camada de rede, transporte e aplicação. Dessa
forma, permite o conhecimento mais detalhado do tráfego e o impacto sobre
desempenho da rede.
Palavras-chave
Monitoramento de tráfego de redes; Netflow, Ntop, nProbe.
1. Introdução
A Internet é um serviço essencial a qualquer organização. O uso dela para fins
não autorizados pode levar à drástica saturação. Uma rede mal gerenciada pode levar ao
congestionamento com má utilização do link e podendo gerar indisponibilidade.
O congestionamento repentino ou constante pode ter origens dos mais variados
tipos; entre eles, pode-se mencionar: o vírus; aplicações que usam excessivamente a
rede; concorrências de ações na rede; má configuração dos servidores, de equipamentos
e demais recursos de rede; e por fim facilidades de comunicação à disposição do usuário
como os aceleradores de downloads, serviços de compartilhamento de arquivos p2p
(peer-to-peer), VoIP (Voz sobre o IP), videoconferência, streams de vídeos, streams de
rádios, VPNs (Rede Virtual Privada) e a computação em nuvem.
Diante das inúmeras aplicações disponíveis atualmente, é recomendável que as
redes sejam planejadas de forma mais abrangente, focadas no aumento do consumo da
largura de banda e na quantidade de dispositivos móveis que acessam a rede. As
facilidades de acesso à Internet estão embutidas, via wireless, em aparelhos celulares,
tablets, netbooks e notebooks. Esses dispositivos demandam uma carga extra pelo
acesso eventual.
Sabendo dessas necessidades, o gerente de TI (Tecnologia da Informação)
precisa ter conhecimento das atividades que ocorrem na rede. Antes de tomar qualquer
medida, sua decisão deve ser fundamentada nos dados provenientes de uma ferramenta
de monitoramento robusta.
O Netflow1 é uma sonda que captura todo tráfego que passa em um switch ou
roteador. Esse protocolo mostrou uma versatilidade para visualizar diversos eventos que
trafegam na rede. O Netflow dispõe de recursos que facilitam o monitoramento, como:
ajudar na detecção de DoS (negação de serviços) e avaliar a qualidade de serviço. Os
datagramas Netflow contêm informações valiosas sobre estatísticas de fluxo, que devem
ser exportadas para um software coletor, que mostrará as ações que estão correndo na
rede.
Entre os vários coletores de datagramas Netflow disponíveis no mercado, o
Ntop[8] é uma ferramenta de código aberto que dispõe de um plugin que habilita a
visualização do tráfego a partir dos dados de fluxo Netflow. A junção do Netflow com
Ntop fornece uma solução de baixo custo para empresas de poucos recursos financeiros.
O presente artigo investiga a combinação do Netflow com o Ntop na produção
de informações sobre o panorama de uma rede de computadores. Entre as informações,
é importante que se descubra quais as aplicações que mais acessam a rede, os hosts mais
acessados e os usuários que mais usam o link. Esses dados dão indício para descobrir
possíveis situações de congestionamento e isso possibilita permitir ao administrador de
TI tomar as melhores decisões para o controle da rede.
Os demais pontos desse artigo estão organizados da seguinte maneira: na seção 2,
é explicado o referencial teórico; na seção 3, é mostrada a metodologia que foi aplicada;
na seção 4, é detalhada a implantação das ferramentas abordadas e como essas se
relacionam; na seção 5, são apresentados alguns resultados; na seção 6, são apresentadas
as considerações finais.
2. Fundamentação Teórica
Dentre as diversas tecnologias de monitoramento de redes, três se destacam:
SNMP[14], Sniffer e Netflow. A seguir, é possível observar uma visão geral destas
ferramentas e entender melhor o funcionamento do Netflow.
2.1. SNMP
A primeira tecnologia de monitoramento e a mais simples é o uso do protocolo
1 Netflow:http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html
SNMP. O protocolo SNMP, por sua ampla aceitação entre os principais fornecedores de
dispositivos de rede e por implementar as políticas de gerenciamento de redes definido
pelo modelo TCP/IP, tornou muito comum seu uso.
O SNMP, por ser um padrão mais antigo, já vem embutido em vários
dispositivos como roteadores ADSL, switches e dispositivos de redes em geral[9]. O
SNMP também pode ser instalado em sistemas operacionais. Por ser um padrão mais
tradicional, o SNMP é o protocolo mais utilizado para monitoramento, pois é fácil de
ser configurado, requer pouca largura de banda e pouca carga de CPU. Para estudos
iniciais de monitoramento, recomenda-se o uso de SNMP. Existem ferramentas open
source que integram o monitoramento com SNMP; entre elas, pode-se mencionar o
MRTG2 que é bem simples de se configurar e o Nagios
3, que possibilita configurar
muitas funções úteis, sendo um forte aliado ao gerente de rede.
O SNMP é um sistema de monitoramento baseado em três fatores: Aplicações
Agente, Aplicações Gerente e um esquema de comunicação predefinidos nas bases de
informações gerenciais(MIB). As aplicações agentes ficam instaladas nos ativos das
redes que se pretende monitorar. A aplicação gerente é executada em um servidor, que,
por sua vez, coleta todos os dados dos ativos configurados com a aplicação agente.
Dessa forma, os administradores acessam os gráficos e tabelas através de uma interface
para aplicação gerente e assim são conhecidas as atividades que ocorrem na rede[12].
De acordo com [1], a leitura de informação de tráfego baseada no SNMP está
implementada na extração dos dados armazenada nas MIB dos agentes dos dispositivos
de rede. A informação do fluxo que pode ser extraída pelo SNMP inclui: bytes de
entrada, bytes de saída, pacotes de saída e assim por diante. A tecnologia de
monitoramento do tráfego baseada no SNMP é mais fácil e conveniente de se utilizar.
Suas desvantagens estão na precisão ao obter os dados, além de ser pobre sobre as
informações da rede, principalmente as informações extraídas da camada de rede e da
camada de transporte dos equipamentos. Isso é comprovado em [3] ao mencionar que
informações úteis como: origem e destino de endereço IP de um dado e sua respectiva
porta TCP/UDP está disponível no Netflow, porém, não é possível obter esses dados ao
trabalhar com SNMP.
Em um outro contexto que também evidencia esses pontos fracos do SNMP está
na solução proposta por [2], que menciona o protocolo SNMP em não gerar dados
precisos em conexões fim a fim.
Dependendo da situação de monitoramento, conforme discutido em [3], o SNMP
pode ser usado como uma alternativa ao Netflow, desde que o administrador de TI tenha
a certeza que as informações básicas como pacotes/seg, bytes/seg sejam suficientes.
Essas razões justificam o fato do SNMP não ter sido usado como implantação,
pois se buscava uma tecnologia de monitoramento que produzisse informações mais
precisa sobre o tráfego da rede.
2.2. Sniffers
A segunda solução tecnológica de monitoramento são os farejadores de pacotes
ou sniffers. O sniffer é um programa residente em uma máquina conectada a um
segmento de rede que captura todo o tráfego que flui nesse segmento. Uma técnica
2 MRTG: Multi Router Traffic Grapher - Diponviel em http://net-snmp.sourceforge.net/
3 Nagios: Disponível em: http://www.nagios.org/
bastante utilizada está no espelhamento do tráfego de um segmento para uma porta do
switch, que vai ser conectada a uma máquina que esteja executando o sniffer, também
conhecido como analisador de protocolo. Umas das ferramentas bastante utilizada nessa
situação é o Wireshark4.
É importante ressaltar que o sniffer pode ser usado tanto como meio de gerência,
quando visa à coleta e ao tratamento dos dados para fins de melhoria em uma rede,
como também para quebra de privacidade em relação aos dados transportados.
O sniffer é uma das mais tradicionais tecnologias de monitoramento. Captura
muita informação e isso demanda espaço em disco. Uma grande desvantagem dessa
tecnologia é mencionada em [2], que explica que software baseado em sniffer não pode
ser usado em situação de rede de alta velocidade devido ao grande arquivo de log que
seria gerado.
A tecnologia de monitoramento de redes baseada no espelhamento de portas de
switch gerenciável analisa um tráfego por um analisador de protocolo que coleta dados
e reúne estatísticas do comportamento do tráfego. A análise de protocolo de rede é o
método básico de testes para detecção de problemas, análise de desempenho na busca de
"gargalo" e para uso na simulação de redes. Porém, o sniffer é recomendado apenas para
o tráfego de análise de protocolo de espelhamento em um único link, não é adequado
para o monitoramento de tráfego de toda rede que possua vários links[1].
Como as ferramentas farejadoras de pacotes tendem a gerar grandes arquivos de
log quando utilizado em rede de alta velocidade, essa particularidade pesou em não ser
implantada como base para o presente trabalho. Porém, suas vantagens para lidar com a
leitura de cabeçalhos de pacotes são aproveitadas por ferramentas de monitoramento
para construir o protocolo Netflow através do nProbe[15], que se apresenta como uma
solução de baixo custo, usando a técnica RRD5
de armazenamento de dados. Dessa
forma, o sniffer torna-se útil para se emular um Netflow que já vem presente em
roteadores de custo mais elevado, o que possibilita usá-lo em qualquer PC que faça o
papel de um roteador. Assim, o nProbe foi implantado para estudo no presente trabalho.
3.3. Netflow
A terceira tecnologia utilizada para monitoramento de redes é o Netflow. O
monitoramento do tráfego de redes baseado nessa tecnologia acontece normalmente
através da aplicação Netflow, presente nos equipamentos de redes que realizam as
coletas das informações. O Netflow é um protocolo padronizado desenvolvido pela
Cisco e presente nos roteadores da Juniper, Extreme, Huawei e outros fornecedores.[1]
A tecnologia baseada no fluxo é rica em informações. O uso do Netflow é
mencionado como ponto de partida para diversas soluções de monitoramento de dados.
Sua presença na literatura atual é bastante extensa, tornando-se a referência para o
estado da arte no quesito monitoramento de redes baseada em fluxo.
A solução proposta por [2] para um sistema de monitoramento de rede de
backbone faz o uso do Netflow para coleta de dados. Dessa forma, o Netflow é base
para o monitoramento em tempo real em redes de alta velocidade.
A solução de acesso justo proposta por [13] usa o Netflow como base para se
4 wireshark. disponível em http://www.wireshark.org.
5 RRD -Round Robin Database
obter os tráfegos da rede no qual vai ser usado em um sistema de quota de acesso à
Internet baseado na prioridade.
Em uma situação diferente, está uma solução de IDS[4], em que o Netflow é
utilizado como base para o sistema de coleta de informação. Nossa proposta e o IDS são
muito similares na sequência de processamento de dados. Ambos trabalham com coleta
de dados via Netflow e a posterior análise. A diferença é que o IDS trabalha com
algoritmos para detectar padrões de anomalias ou tráfego suspeito já automatizado.
Enquanto o nosso trabalho já faz uma abordagem ao dar uma coleção de dados bem
detalhados do tráfego para o gerente de TI ver o panorama da rede.
As versões 5 e 9 do protocolo Netflow são as mais populares [10]. O Neflow
versão 9 é um método flexível e extensível para registrar os dados de desempenho da
rede. É a base de um novo padrão IETF6
conhecido como IPFIX7ou versão 10 do
Netflow.
O Netflow foi a tecnologia utilizada para caracterização do tráfego no nosso
trabalho, devido a uma série de fatores vantajosos, como facilidade de trabalhar com
grande volume de dados e conseguir monitorar o tráfego por endereços IP específicos.
Em nosso experimento, usamos a versão 9 do protocolo que disponibiliza a
ferramenta nProbe. Diante de tantas vantagens, o Netflow foi escolhido como a base
para a observação do tráfego. Seus dados gerados se mostram eficientes para montar a
base de monitoramento.
3. Metodologia
Diante das razões mencionadas, ficou em evidência que o Netflow é um protocolo
muito utilizado para solução de uma variedade de problemas relacionados ao
monitoramento de redes. O Netflow atende aos objetivos propostos em nosso trabalho.
Como já foi definido o método de captura de dados referente ao tráfego, o passo
seguinte foi selecionar o sistema de coleta para análise e processamento dessas
informações. Então, avaliando os critérios de licença livre, facilidade na instalação e
configuração e a exposição da maior quantidade de informações possíveis, o Ntop foi a
ferramenta escolhida.
3.1. A infraestrutura Netflow
O Netflow surgiu como um projeto desenvolvido para os roteadores da Cisco.
Com o passar do tempo, ele se tornou eficiente para a captura de informações que
podem mencionar o uso da largura de banda passante em um roteador. Sua consolidação
no mercado chamou a atenção do IETF para usá-lo como padrão para todos os outros
roteadores nascendo assim o IPFIX.
A infraestrutura Netflow define uma forma simples e escalável de amostragem
de fluxos de dados trafegando por dispositivos de rede como roteadores e switches. Essa
infraestrutura está baseada na noção de fluxo e permite a medição, identificação e
análise dos tráfegos em uma rede de computadores[7].
Um fluxo é definido como uma sequência unidirecional de pacotes trafegando de
um ponto a outro na rede. Os pontos fonte e destino de um fluxo são identificados pelos
6 IETF - Internet Engineering Task Force
7 IPFIX - Internet Protocol Flow Information eXport
endereços IP e pelo número de porta do protocolo de nível de transporte. O campo TOS
(Tipo de Serviço) do cabeçalho IP e o identificador de interface de entrada também são
utilizados pelo Netflow para identificar univocamente os fluxos.
O processo de funcionamento do Netflow se baseia na seguinte estratégia: os
dispositivos de rede observam os pacotes que chegam sobre suas interfaces e capturam
as estatísticas de tráfego por fluxo com base na configuração de amostragem ou de
filtragem, então eles criam um cache de fluxo, agregam e exportam os dados através de
UDP (User Datagram Protocol) ou SCTP (Stream Control Transport Protocol) para um
coletor[10].
A Figura 1 apresenta o processo básico de formação de Netflow, exportação,
armazenamento e análise.
Figura 1. Processo Netflow[10]
O mecanismo de trabalho do Netflow é executado em duas fases. Na primeira,
os roteadores ou switches com Netflow habilitado permitem a exportação de datagramas
contendo informações relativas aos fluxos capturados para uma estação coletora. Nessa
fase, ocorre a inspeção de pacotes e execução de cache dos fluxos. Na segunda fase, os
coletores recebem, armazenam e disponibilizam os dados para aplicações que realizarão
a análise deles.
Os roteadores ou switches que têm a função Netflow embutida possuem um
custo mais elevado em relação aos roteadores/switches comuns. Uma solução de baixo
custo é a construção desse protocolo em um PC (Personal Computer) comum com o
uso da ferramenta de licença gratuita.
3.2. A Sonda Netflow.
Em um ambiente de administração de redes que possui switches e/ou roteadores
que contêm o protocolo Netflow embutido, eles só precisam ser habilitados. Nessa
situação, é necessária a execução de comandos nesses dispositivos informando o
endereço IP e a porta do coletor para obter os dados que trafegam por esses
equipamentos.
Uma solução de baixo custo para quem não dispõe desses dispositivos ou não
tem acesso a eles é a instalação de sondas Netflow usando os recursos das ferramentas
de licença livre como o fprobe8
ou nProbe no gateway.
O fprobe é uma sonda Netflow mais simples e de fácil instalação. O fprobe pode
ser obtido via apt-get install na distribuição Debian 6.0. Ele é mais limitado por só
8 fprobe: disponivel em http://fprobe.sourceforge.net/
trabalhar até a versão 5 do protocolo Netflow.
O nProbe já tem mais recursos pois trabalha na versões V5/V9/IPFIX. É uma
sonda Netflow muito poderosa que pode ser implementada em computadores comum de
baixo custo e, dependo da configuração, pode ser considerada melhor que as sondas
Netflow comerciais que são baseadas em roteadores[15]. O nProbe possibilita três
opções de configuração: somente sonda, sonda e coletor e proxy.
O mecanismo de funcionamento do nProbe no modo sonda se baseia na inspeção
de pacotes com uso da biblioteca libpcap [5], que flui em um segmento Ethernet,
calcula os fluxos Netflow e, posteriormente, exporta-os para os coletores específicos.
O nProbe foi projetado para ser executado em ambientes de recursos limitados;
oferece suporte para os principais sistemas operacionais que incluem o Unix, Windows
e MacOS X; adequado para redes Gbits e está sob a licença GNU GPL (General Public
License) [15].
Essas características demonstraram a eficiência que o nProbe proporciona. Essas
razões foram essenciais para trabalhar essa ferramenta no desenvolvimento do nosso
trabalho.
3.3. O Coletor dos datagramas Netflow
Nesse trabalho, avaliamos as características definidas pelo Netflow usando o
tráfego real em uma instituição de ensino como referência. O Ntop foi usado como
coletor dos dados gerados pela sonda do Netflow baseada na ferramenta nProbe.
O Ntop é um medidor de tráfego portável free e uma ferramenta de
monitoramento. Quando usado no modo sonda, ele utiliza a biblioteca libpcap para
capturar os pacotes na rede e fazer a análise de protocolos. Porém, é menos eficiente
que o nProbe. Além de executar essa função de sniffer, ele também trabalha com um
coletor de fluxo do Netflow, precisando apenas que plugin disponível na ferramenta seja
ativado.
Na informática, define-se plugin todo programa, ferramenta ou extensão que se
encaixa a outro programa principal para adicionar mais funções e recursos a ele. Nesse
caso, o plugin Netflow é ativado para exercer a função de coletor. Deixando de lado a
função de sonda que o Ntop já carrega integrado em sua estrutura. Essa preferência em
se usar essa configuração como coletor é baseada em [15], que explica que, no modo
sonda, o nProbe mostrou-se mais eficiente.
No estudo elaborado por [6], esta ferramenta é navegada a fundo mostrando toda
sua estrutura, seus recursos e sua eficácia no monitoramento de redes de computadores
de dimensão variada. Embora o estudo abordar versão 3 e nosso trabalho com versão 4
da ferramenta, as informações presentes são de vital importância para o entendimento
do uso, instalação e configuração.
Esse software foi desenvolvido por Luca Deri e Stefano Suin com o objetivo
inicial de identificar rapidamente os hosts de usuários que consumiam grande parte da
banda de rede disponível (network top users, origem do nome da ferramenta). O
software evoluiu muito a partir de seu conceito inicial, atualmente possuindo opções de
medida de tráfego, monitoramento de tráfego, planejamento e otimização da rede etc.
Essas características fazem do Ntop uma ferramenta amplamente capaz de auxiliar no
desenvolvimento e manutenção das mais diversas redes de computadores[6].
Essa ferramenta possibilita a recepção de informações de tráfego via Netflow
gerado pelas sondas nProbe. Embora dentro de sua estrutura seja capaz de apresentar
vários tipos de relatórios, ela não permite a utilização de consultas arbitrárias definidas
pelo administrador de redes no método desenvolvido em [11], mas chega muito próximo
a isso, uma vez que o tempo de atualização da tela do browser pode ser reduzido.
Desde o seu desenvolvimento, o Ntop é um aplicativo voltado para Linux,
porém, com o passar o tempo, houve a necessidade de criar uma versão para Windows.
Assim, nas duas plataformas, esse aplicativo é capaz de mostrar a utilização da rede
detalhada dando a opção de exibir a utilização do tráfego por host, protocolo entre
outras informações. A interface web dessa ferramenta é capaz de gerar gráficos, o que
facilita a interpretação das estatísticas de uso. O desenvolvedor dessa ferramenta dispõe
de uma variedade de versões melhoradas da que foi utilizada em nosso trabalho. Porém,
a versão baixada contém muitos recursos, o que foi suficiente para realizar a
implantação.
O Ntop não possui em sua configuração um arquivo separado, logo se for
necessário utilizar alguma configuração diferente dos valores padrões, será necessário
passar argumentos via linha de comando ou criar um pequeno script que faça isso.
A utilização desse programa é bastante simples, basta iniciar o Ntop e em
seguida acessar o endereço http://<ip-do-servidor>:3000 no seu navegador. Na primeira
vez em que é executado, é solicitado uma senha de administrador, que poderá ser
utilizada depois para configurar alguns parâmetros via interface web.
4. Implantação
O ambiente de implementação é uma rede local de uma instituição de ensino que
dispõe de um único link para Internet de 1Gbps e uma rede local de 100 Mbps. A rede
local está formada por três sub-redes usando a técnica do IP Aliases.
IP Aliase é uma técnica de criação de placas virtuais para facilitar comunicações
com outras sub-redes. Assim a partir de placa física, pode-se multiplicá-las em várias
placas virtuais. Em Linux, a linha de comando:
ifconfig ethX:Y <IP> netmask <máscara> up.
Sendo os parâmetros:
X: o numero da interface física;
Y: o número da interface virtual;
IP: IP da sub-rede;
máscara: a máscara da sub-rede.
Dessa forma, aplicando esse comando, foi possível obter as seguintes sub-redes:
Rede 01: 192.168.0.0/16
Rede 02: 10.0.0.0/16
Rede 03: 172.16.1.0/24
A análise de tráfego da rede foi implementada em duas etapas:
Etapa 01: Definição do gateway, que é um roteador que funciona como saída de
rede, como o local estratégico para a instalação da sonda nProbe, que fará a coleta das
estatísticas do fluxo. O gateway único da rede centraliza todo tráfego de dados das três
sub-redes, seja entre elas ou com a Internet. Esse fator em comum faz do gateway o
local estratégico de toda a captura das informações necessárias para serem avaliadas e
estudadas.
Etapa 02: Configuração do coletor Ntop em uma máquina virtual. Essa estrutura
de separar o coletor da máquina que a sonda foi instalada é para manter a simulação de
um ambiente de coleta onde os roteadores e coletores ficam em equipamentos
diferentes. Essa estratégia é exibida na Figura 2, em um meio simplificado de mostrar a
transposição dos dados coletados.
Figura 2. Esquema de envio de dados
4.1. Instalação da Sonda Netflow
O nProbe deve ser instalado estrategicamente em um local que possa escutar todo
o tráfego. No nosso caso, ele foi instalado no gateway que faz o papel de firewall e
roteador de borda.
Foi usada a sonda sem armazenamento em banco de dados. Somente se fez
utilização dos caches nas suas configurações padrões.
Consegue-se obter a versão standard quando a sonda está sem plugins e captura
de pacote básico baseado na biblioteca libpcap. A versão completa é paga. O nProbe
está disponível sob a licença GPLv2 por uma pequena taxa, que é usada para a execução
do projeto e financiamento dos novos desenvolvimentos.
Existe uma versão para teste no site do desenvolvedor:
http://www.ntop.org/products/nprobe/.
Para os casos de quem trabalha em instituição de ensino, como é o caso do nosso
trabalho, só foi preciso enviar um e-mail para os autores do projeto justificando a
necessidade de usar a ferramenta para fins de pesquisa.
Depois da negociação, foi disponibilizado o arquivo:
nprobe_6.12130403_svn3362.tar.gz para ser usado no Linux.
O passo em seguida foi descompactar o pacote e trabalhar dentro da pasta com
os arquivos já descompactados. É recomendável manter a sequência dos comandos
citados abaixo:
#./autogen.sh
#make
#make install.
Após esse comando, a sonda Netflow está instalada e pronta para ser executada.
O passo seguinte foi informar onde está localizada a ferramenta de coleta dos
datagramas Netflow através do comando:
#nprobe -V 9 -i eth0 <ip:porta> > /dev/null &
O retorno da execução desse comando é o seguinte: o argumento -V 9 informa
que vai capturar os pacotes e vai exportar os datagramas na versão 9 do protocolo
Netflow. Isso deve ser mencionado, já que a versão 5 é a padrão. O argumento -i eth0
diz qual é a interface da rede que os pacotes vão ser capturados. No argumento
<ip:porta:>, o administrador de TI deve informar o endereço de rede e a porta que será
definida no coletor. Os comandos seguintes informam que a saída deve ser suprimida e
rodar em background.
Esse mesmo comando foi colocado em um script de inicialização. Caso haja
algum erro no comando, o processo deve ser morto. Cada comando digitado gera um
novo processo.
Essa ferramenta foi instalada em um servidor gateway que roda um Debian 6.0
Squeeze kernel 2.6.32-5-amd64, CPU Phennom II X4 B95 3.0 GHz Quard-Core; 8GB
de memória RAM e Placa de Rede Broadcom NetXtreme Gigabit Ethernet.
4.2. Preparação do Coletor
A máquina virtual executa um Linux Debian 6.0 kernel 2.6.32-5-686. A versão do
Ntop que foi utilizada é a 4.99.3 (32 bit).
O processo de instalação, configuração e execução do Ntop é muito simples no
Debian 6. Precisamos apenas executar os seguintes comandos. Não precisa de
configuração adicional já que ele não vai atuar como uma sonda.
#apt-get install ntop
#/etc/init.d/ntop start
Após esses comandos, o passo seguinte é colocá-los no modo coletor. Por
padrão, a porta de escuta para receber os datagramas Netflow é a 2055.
Para acessar, via browser, o Ntop, é preciso que seja informado endereço e porta
do servidor. Por default, a porta que roda o Ntop é a 3000. Logo, segue o modelo que
deve ser digitado: <IP do servidor> :3000.
Depois é só navegar nos menus: Menu Plugin → Netflow → View/Configure:
alterar ou criar uma nova interface para o dispositivo Netflow.
Na opção Local Collector UDP Port, definir o número da porta. O administrador
de TI deve ser coerente com o número dessa porta, ela deve ser igual à definida via
ferramenta nProbe.
Após definido isso, só é preciso desativar e , em seguida, reativar novamente o
processo Netflow, posto que a coleta das estatísticas já estará funcionando. Isso pode ser
feito através do próprio browser do Ntop.
Para ver os dados coletados, é preciso que a interface configurada anteriormente
seja selecionada. Isso pode ser feito via Admin → Switch NIC → <interface
configurada>.
A versão do Ntop trabalhada que não fizer acesso a banco de dados e ficar tudo
armazenado na memória RAM terá todas as informações disponíveis perdidas, se o
sistema for reiniciado.
Assim que o Ntop é iniciado, todo o tráfego será acumulado seguindo um
rodízio de substituição das informações mais antigas pelas mais novas. O ciclo se inicia
após o cache encher.
A aba all protocols → traffic dará o total de todo tráfego já percorrido desde a
última inicialização do coletor Ntop.
As páginas em html, por padrão, ao exibir o tráfego global, são atualizadas a
cada 120 segundos. Esse valor pode ser alterado conforme a necessidade do gerente da
rede. Porém, dependo do tipo de relatório, as atualizações podem variar de 3 a 10
segundos. Na nossa situação, permaneceram os valores padrões para manter a
simplicidade da ferramenta.
5. Resultados
A ferramenta Ntop agrega muitas informações sobre a rede. É preciso cuidado ao
navegar nos menus para mostrar os resultados que se deseja encontrar. Para
compreender os resultados gerados pela ferramenta Ntop, o administrador de TI precisa
ter um conhecimento avançado em redes de computadores.
A ferramenta Ntop permite visualizar uma grande quantidade de gráficos
exibindo as mais diversas informações presentes em um ambiente de rede de
computadores em pleno funcionamento. Para se manter coerente com os objetivos
propostos, o aspecto da ferramenta explorada foi em busca dos dados referentes à
velocidade de rede e mostrou fatores que exibem o pico de acesso, os sites mais
acessados e os hosts locais que mais consumem largura de banda. Os poucos gráficos
que foram gerados mostram os pontos críticos que respondem ao propósito do nosso
trabalho.
5.1. Característica do Tráfego
O throughput é definido como a quantidade de dados transferidos de lugar para
outro em unidade de tempo. Através dessa medida, é possível que se saiba a carga
passante na rede. A figura 03 mostra uma situação de um dia de uso. No gráfico exibido,
temos a variação momentânea da velocidade da rede. Os dados simplificados mostram a
medida em Mbit/s. Cada porção do gráfico é atualizada a cada 20 segundos.
Figura 3. Carga da rede
A Figura 3 apresenta um gráfico que mostra um pico de tráfego chegando aos
62Mbit/s de desempenho. Com essa informação em mãos, é possível imaginar que um
usuário ou um grupo de usuários está consumindo uma alta largura de banda em um
determinado horário. Essa situação mostra um tráfego muito acima da média. O pico de
gráfico acontece durante a média de 20 segundos. Um evento inesperado como esse
mostra a ocorrência de alto tráfego na rede que pode ser detalhado clicando-se no
gráfico para se certificar do que aconteceu. Essa situação se manifesta durante o
download de um arquivo de grande porte em alta velocidade, a visualização de vídeos
da internet por um grupo de usuários, a instalação de um programa via rede local ou a
cópia de backup para um servidor.
Conhecer a velocidade que a rede está operando é muito importante. Esses dados
mostram o dimensionamento de uso do link. Conhecer os picos de uso demonstra que
há momentos que a rede alcança sua maior velocidade possível.
Essa velocidade envolve o resultado global de download mais upload. A soma de
todas as velocidades dos hosts em determinado momento mostra a velocidade geral
conforme mostra a figura 4.
Figura 4. Velocidade global da rede.
A ferramenta Ntop possui vários recursos. Embora o interesse seja a velocidade
em bits, é possível ver as estatísticas em pacotes por segundo. A rede que foi usada para
fazer essas medidas mostra que dispõe de um link com uma boa largura de banda que
suportou um pico de 52.9 Mbit/s. Para se ter uma noção do uso geral, observa-se a
média da velocidade que está em 22.9 Mbit/s. Também, é possível obter os tempos
mais recentes como últimos 5 minutos, último minuto e no momento em que foi
visualizado. A ferramenta também possibilita ver a divisão de toda essa velocidade
entres os hosts consumidores. A Figura 5 mostra essa divisão de uso do link. Essa
estratificação dá uma visão ampla e detalhada da rede. Assim os hosts são exibidos
conforme vão usando o link em ordem de consumo de dados somando a entrada e a
saída de informação. Os dados são renovados em um cache em circular dele. Nesse
método, os dados antigos vão sendo sobrepostos aos mais novos.
A velocidade geral da rede é a soma de todas essas parcelas de velocidades dos
hosts. Embora exiba de um jeito reverso, mas mantendo a velocidade em comum, a
ferramenta Ntop permite que seja possível ver essa organização pelos hosts remotos,
possibilitando organizar pelos sites que mais envia dados para a rede local e sua largura
de banda.
O parâmetro host possibilita selecionar em dois modos exclusivos: Redes locais
ou Redes Remotas. A Figura 5 mostra um exemplo de caso para a rede local e,
completando a opção, é possível selecioná-los pelos dados enviados, recebidos ou
ambos.
Figura 5. A velocidade que cada host usa da rede em determinado momento.
5.2. Os sites mais acessados
Uma opção de uso da ferramenta Ntop é permitir encontrar quais os sites que mais
utilizam a rede e não somente sua velocidade de conexão. Assim, dos dados referentes à
arquitetura TCP/IP, é possível que se faça um diagnóstico sobre o que está ocorrendo na
rede. O Coletor Ntop, em sua configuração padrão, trabalha com os dados em cache
independe do modo que a interface RRDTool9 esteja operando. Assim, em determinados
momentos, os sites podem estar ocupando a maior largura da banda. O Ntop dá essa
possibilidade de classificar sempre o que está recentemente acontecendo. Isso é
importante para ver o estado da rede no instante em que acontecer algum problema. A
Figura 6 mostra um exemplo disso. A ferramenta foi utilizada para analisar os
protocolos TCP e o UDP, suas percentagens as quais revelam seus usos na rede.
9 RRDTool que é o acrônimo para Round Robin Databases Tool. É uma interface para geração de gráfico
em ciclo, bastante utilizado nas ferramentas de monitoramento de rede.
Figura 6 - Percentagens dos sites mais acessados a nível da arquitetura IP/TCP
A sonda nProbe é uma ferramenta comercial. A versão que foi obtida para
realização do nosso trabalho é mais restrita e foi configurada para se trabalhar nos
protocolos da camada de rede ICMP e os de transporte UDP e TCP, que é suficiente para
cumprir nossa meta. Porém, a ferramenta mostra que possui característica para se
trabalhar com configurações avançadas para enxergar os protocolos como IPSec, IGMP,
OSPF, porém, em outra versão da ferramenta e em outro modelo de configuração.
A figura 06 mostra o quanto a rede social facebook é muito solicitada ocupando
mais de 70% do link. O Ntop deixa claro para o gerente de rede o que mais trafega na
internet, que, dependendo da política de acesso, pode ser bloqueado.
5.3 Os hosts da LAN que mais consomem largura de banda
Por outro lado, mas dentro do mesmo contexto, é possível classificar os hosts
locais por consumo e mostrar a lista dos maiores consumidores. Assim, a Figura 7,
mostra a visão panorâmica da rede, considerando-se os protocolos da camada de
aplicação.
A quantidade de protocolo da camada de aplicação é muito extensa em uma rede
que está em atividade. É possível que sejam configurados os protocolos de aplicações a
serem visualizados conforme a necessidade do administrador de rede. A ferramenta
Ntop já traz pré-configurado os protocolos mais comuns. Assim, é mostrada uma
classificação dos hosts da rede local pela quantidade de dados trafegados, tanto na
entrada com na saída. Essa ferramenta se destaca por mostrar uma grande variedade de
informações, deixando, a cargo do administrador da rede, as informações mais
necessárias que devam ser exibidas.
Figura 7: Percentagem dos hosts da rede local em exibição por camada de aplicação.
6. Considerações Finais
Essas ferramentas mostram as facilidades de se trabalhar com redes diante de
tantas informações sobre o status dela. Assim, o Gerente de TI tem dados suficientes
que permitem fazer uma boa configuração do firewall e bloquear temporariamente
aqueles sites ou host da rede interna usados em excesso.
Focalizando o uso de uma ferramenta de código aberto, unido ao uso de uma boa
tecnologia de monitoramento como o Netflow, a estratificação de dados tornou-se
possível e eficiente. Esse nosso trabalho demonstrou uma pequena parte da ferramenta
Ntop e nProbe, porém, essas ferramentas dão a possibilidade de configurações mais
elaboradas e podem ser divulgadas em trabalhos futuros. É possível também melhorias e
colaboração no uso dessas ferramentas, bem como a divulgação de sua importância no
ambiente corporativo de pequenas empresas e instituições públicas em geral. É claro
que essa ferramenta não resolve tudo, mas ela em pleno funcionamento e bem
configurada permite ao administrador de TI ter uma boa visão de consumo da rede.
A importância complementar entre um equipamento que dispõe do protocolo
Netflow e outro que mantém um serviço de coleta dos datagramas gerados pelo
Netflow, no nosso caso, o Ntop, mostrou-se essencial para encontrar excesso de uso do
link, definição de top lists do usuário que mais usam a rede, sites mais acessados e
principalmente a contabilização de dados que trafegam nas portas bem conhecidas.
As ferramentas Ntop e nProbe foram utilizadas, em suas funções básicas, de
forma simplificada tanto na instalação quanto na configuração, mostrando o essencial
para o desenvolvimento do nosso trabalho. Porém, é enfático que as ferramentas têm um
grande potencial para ser posto em prática como na criação de interface com filtros
separando o tráfego interno do externo com a utilização dos parâmetros disponíveis para
o nProbe, em conjunto com o modo de exibição do Ntop.
7. Referências
[1] Song, G. The Study and Design of Network Traffic Monitoring Based on Socket
[2] Weiwei, Z., Jian, G., Wenjie, G., Shaomin, C. Netflow - Based Network Traffic
Monitoring
[3] Nieuwelaar, M., Hunt, R. (2004). Real-time carrier network traffic measurement,
visualisation and topology modelling. Elsevier
[4] Bin, L., Chuang, L., Jian, Q., Jianping, H., Ungsunan, P.(2008). A NetFlow based
flow analysis and monitoring system. Elsevier in enterprise networks
[5] McCanne, S., Leres, C. Jacobson, V.(1994) libpcap, Lawrence Berkeley National
Labs
[6] Maron, A. K., Pinheiro, A. B. Network Top: Uma Ferramenta Automatizada para
Análise e Gerenciamento de Redes.
[7] Rosa, D.M.,Pereira, E. D. V., Granville, L .Z., Almeida, M. J. B. e Tarouco, L. M. R.
Uma Solução Baseada em Web Services para o Gerenciamento de Coletores NetFlow
Distribuídos
[8] Deri, L., Suin, S. (1999). Ntop: beyond ping and traceroute, in: Proceedings of
DSOM '99, Zurich, Switzerland, October.
[9] Moura, G. C. M. Monitoramento de Redes utilizando Netflow e Software Livre:
estudo de caso no POP-GO
[10] Li, B., Springer, J., Bebis, G. e Gunes, M. H.(2013). A survey of network flow
applications. Elsevier.
[11]Gomes, C.L., Junior, E.P.D., Hara, C.S,.M., Monitoramento de Tráfego de
Backbones Baseado em Sistemas Gerenciadores de Streams de Dados -UFPR.
[12] Domingos, T. Pereira, S. Reis, D. Silva, C. Barrére, E.(2005) Gerenciamento de
uma rede através do Protocolo SNMP
[13]Lin, T.C., Sun, Y.S., Chang, S.C., Chu, S.I., Chou, Y.T., Li, M.W.(2004)
Management of abusive and unfair Internet access by quota-based priority control.
Elsevier
[14]Karing, A., Protótipo de um sistema de monitoramento de desempenho de redes de
comutadores baseado no protocolo SNMPv3. Trabalho de Conclusão de Curso.
[15]Deri, L.(2003). nProbe: an Open Source NetFlow Probe for Gigabit Networks,
Proceedings of Terena TNC, Zagreb, May 200