Prévia do material em texto
Sistema Linux Material Teórico Responsável pelo Conteúdo: Prof. Me. Vagner Silva Revisão Textual: Prof. Esp. Claudio Pereira do Nascimento Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores • Monitoramento da Rede de Computadores; • Analisadores de Protocolos. • Conhecer as principais características das ferramentas que auxiliam a monitoração de redes de computadores; • Apresentar a importância do monitoramento de redes de computadores para os ad- ministradores de redes e soluções que os auxiliem nesta atividade; • Apresentar formas de monitorar e entender como estão sendo feitos ataques a redes para prover ferramentas e avaliar vulnerabilidades. OBJETIVO DE APRENDIZADO Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam- bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores Monitoramento da Rede de Computadores A monitoração da rede de computadores com ferramentas apropriadas, estabe- lece uma ligação útil entre o administrador e a rede. Por estas ferramentas, o admi- nistrador pode obter informações para tomar decisões e manter a infraestrutura de redes operacional. Com as informações obtidas, decisões são tomadas para melhorar o desempe- nho da rede e evitar interrupções que tanto afetam as empresas quando isto ocorre. Quando há interrupções, há descontentamento das partes interessadas em cumprir suas metas e, consequentemente, causa perdas financeiras a empresa. Uma solução de monitoramento pode detectar problemas e apontar as causas auxiliando na manutenção preventiva e até corretiva. O monitoramento auxilia na detecção de problemas relacionados ao desempenho da rede e fornece informações para tomada de decisões no sentido de manter o seu desempenho. Uma monitoração eficiente permite ao administrador investir tempo em outras atividades para aperfeiçoamento da infraestrutura, para estudar e conhecer soluções que possam trazer benefício para o desempenho da rede e, consequentemente, para a produtividade da empresa. Quanto ao tráfego de redes, a monitoração deve ser feita direcionando a atenção a possíveis ataques que por ventura possam ocorrer. Neste caso, analisadores de portas e dispositivos IPS (Intrusion Prevention System - Sistema de Prevenção de Invasão) podem ser usados para ajudar nesta tarefa. Umas das primeiras tarefas que um administrador de redes deve providenciar é o estabelecimento de uma linha de base. Pela monitoração, o administrador deve registrar como a rede se comporta naquele dado momento, pois por este registro ele poderá, futuramente, identificar como a rede se comporta em relação a esta linha de base. Sistemas de Gerenciamento de Redes Monitorar a rede é extremamente necessário para evitar surpresas. Há várias soluções proprietárias e open source disponíveis no mercado que auxilia o admi- nistrador de redes neste monitoramento. Muitas soluções open source oferecem recursos suficientes para monitoração das redes e devem ser usadas para retornar informações úteis como o fluxo de da- dos nas interfaces, a carga aplicada aos processadores dos equipamentos de rede e a quantidade de memória usada. Esses aplicativos registram informações durante um período de tempo, infor- mações estas que ajudam na prevenção de problemas, dentre os aplicativos, há o MRTG, o RRDTool, o Nagios, o Cacti, o Zenoss, o NAV, o Munin e Zabbix, que são algumas aplicações usadas para monitoramento. 8 9 MRTG O MRTG (Multi Router Traffic Grapher) foi um dos primeiros sistemas de geren- ciamento desenvolvido. Por ser uma ferramenta simples e robusta, o MRTG ainda é usado por um grande número de administradores. Ele oferece gráficos de dados em HTML coletados pelo protocolo de gerenciamento SNMP. É um aplicativo útil para analisar o tráfego na rede. É uma ferramenta free e pode ser usada em plataforma Linux ou Windows. A figura a seguir apresenta um exemplo de gráfico no MRTG. Gráfi co de largura de banda no MRTG. Disponível em: https://goo.gl/PBgL2q Ex pl or Observe que pelo gráfico é possível verificar o tráfego em um período maior que vinte e quatro horas. Geralmente, estas ferramentas podem ser configuradas para apresentar informações em um período de horas, dias, semanas, meses e até anual. RRDTool Já o RRDTool (Round Robin Database Tool) é uma ferramenta open source con- siderada uma evolução do MRTG. Os dados são armazenados em um banco de dados de uma forma muito compacta. Ele fornece gráficos úteis se utilizando das informa- ções armazenadas. Também fornece informações sobre o tráfego além de outras que podem ser configuradas. O RRDTool pode ser usado por meio de interfaces amigáveis ao usuário sobre os dispositivos de redes. As informações são obtidas e armazenadas de forma circular, ou seja, não há aumento de ocupação do disco, pois as novas informações irão so- brepor as antigas. Gráfi co apresentado pelo RRDTool. Disponível em: https://goo.gl/rJJGJk Ex pl or A figura acima apresenta um gráfico que demonstra o tráfego de pacotes na entrada e saída de uma interface. Nagios Já o Nagios permite gerenciar e monitorar, com ele é possível fazer o gerencia- mento de toda a rede pelo protocolo SNMP e receber alertas que podem ser confi- gurados. O bom desempenho do Nagios depende muito dos plugins que podem ser instalados, estes complementos podem ser obtidos de forma free. Embora tenha sido desenvolvido para redes de grande porte, ele pode também ser usado em redes menores, pois seus alertas de hosts ou queda de serviços são eficientes. Ele também se utiliza do protocolo de gerenciamento SNMP para troca de informações com os dispositivos. 9 UNIDADE Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores Figura 1 – Gráfico apresentado pelo Nagios Conforme pode ser visto na figura acima, os equipamentos gerenciáveis e vin- culados a gerencia do Nagios são monitorados. Ao localizar um problema em um dispositivo, o Nagios envia uma mensagem por e-mail, SMS ou outras formas desen- volvidas nos plugins para o administrador cadastrado. Ele disponibiliza também o monitoramento de serviços de rede como POP3, SMTP, SSH, Telnet,HTTP, além de monitorar os recursos de servidores como processamento, espaço em disco e utilização de memória. Cacti Com o Cacti também é possível o gerenciamento, ele disponibiliza recursos po- derosos, porém pode ser usado sem grandes dificuldades por administradores menos experientes, pois oferece um sistema totalmente flexível e fácil de usar. O Cacti é um front end para o RRDTool, possui interface web e armazena informações no banco de dados MySql para serem processadas e apresentadas de forma gráfica. Gráfico apresentado pelo Cacti. Disponível em: https://goo.gl/cojEQw Ex pl or Para executar o Cacti em uma plataforma, os seguintes aplicativos deverão es- tar instalados para dar suporte a ele. • Apache (ou outra opção de servidor web) • PHP (a partir da versão 4) • Extensões do PHP (php-snmp e php-gd2) • Banco de dados MySQL • net-snmp • RRDTool 10 11 ZABBIX O ZABBIX oferece a monitoração da rede pelos dados obtidos e sendo apresenta- dos em uma interface web. Ele também oferece alertas que podem ser configurados para enviar mensagens para diversos meio de comunicação assíncrono. Os princi- pais módulos do sistema de monitoramento zabbix são: • ZABBIX Server: coleta dados para monitoramento e os armazenam em ban- co de dados (oracle, MySQL e PostgreSQL) de onde são processados e gera- dos gráficos, painéis de acompanhamento e slide-shows. Ele é o único, dos módulos, que deve ser obrigatoriamente instalado. • ZABBIX Proxy: coleta dados de uma parte dos equipamentos monitorados. Considerando o monitoramento distribuído, este módulo é essencial pois faz a coleta de forma assíncrona em outras redes em que há restrições de acesso como firewall. Além disso, diminui a carga do ZABBIX server. • ZABBIX Agente: Este módulo é instalado nos hosts para coletar informações sobre os seus recursos como processamento e memória. Há ZABBIX agente para as plataformas Linux e Windows. Exemplo de gráfi co no ZABBIX. Disponível em: https://goo.gl/cnz7tU Ex pl or ZENOSS O ZENOSS é outra ferramenta para monitoramento de equipamentos de redes de computadores desenvolvido de forma modular, em camadas. A ideia do desenvolvi- mento modular teve como iniciativa a possibilidade de inserir novas funcionalidades de forma flexível. Este tipo de gerenciador pode monitorar roteadores, switch e máquinas com a plataforma Linux e Windows. Ele disponibiliza para o administrador interface web e armazena os dados no banco de dados MYSQL. A figura a seguir apresenta a arquitetura modular do ZENOSS. Collect User Data Process Discovery Performance Avaliability Events ICMP SNMP WMI Perfmon JMX VMAPI SQL HTTP SMTP ... Traps Eventlog Syslog ... Web App / Reports ZenModel ZenEvents ZenRRD ZenHub ZenActions ZenJobs Figura 2 – Arquitetura do Zenoss 11 UNIDADE Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores A camada de usuário (user) faz interface com o usuário, portanto ela aceita a maioria dos navegadores disponíveis fornecendo uma poderosa e robusta forma de monitorar, pois linguagens de programação como JavaScript, Mochi Kit, ExtJS são utilizadas. O administrador, pela interface disponibilizada, pode verificar a situação dos equipamentos de rede, gerar relatórios, verificar e avaliar eventos gerados. A camada de dados (Data) é responsável por armazenar as informações ge- radas pelos equipamentos de redes. Segundo Guimarães (2010), o ZENOSS usa três repositórios: • ZenRRD: para armazenamento de coletas temporárias e para adição de novos coletores; • ZenModel: funcionando como um modelo de configuração para dispositivos, componentes, grupos e localidades; • ZenEvents: utilizado para armazenar dados em um banco de dados MySQL. Na camada de processo é gerada as comunicações entre a coleta e camada de dados. A comunicação é feita pelo RPC (Remote Procedure Call). A camada Collection é responsável por traduzir as informações passadas pelos equipamentos, por exemplo, pelo protocolo SNMP. Nesta camada, alguns daemon dão suporte a esta tradução das mensagens. nmap O nmap é uma ferramenta poderosa para ser aplicada em linha de comando. Ela oferece várias opções para explorar a rede em busca de vulnerabilidade e oferece para monitorar algumas informações. Abaixo, algumas opções e a descrição de cada uma delas. Quadro 1 - Algumas opções do nmap Comando Descrição nmap -PN 192.168.1.1 Retorna se um host, identificado pelo endereço IP, é protegido por um firewall. nmap –packet-trace 192.168.1.1 Mostra todos os pacotes enviados e recebidos. nmap –iflist Mostra interface e rotas dos hosts. Útil para detecção de problemas. Fonte: Elaborada pelo autor Com várias outras opções, o nmap possibilita varrer a rede em busca de vulne- rabilidades, portanto é um ótimo comando para aplicar segurança de redes. No geral, todas estas aplicações permitem o monitoramento da rede fornecendo várias informações que são possíveis de serem configuráveis. Para que possam se comunicar com os equipamentos e obter informações deles, o protocolo SNMP é usado. Este protocolo já está disponível na maioria dos equipamentos e sistemas ope- racionais, basta ativá-lo para utilizá-lo. A monitoração de equipamentos pelas ferramentas vistas acima fornece informa- ções importante, porém pode ser complementada com analisadores de protocolos a fim de verificar se a rede está sendo usada de forma adequada e, também, para facilitar na conclusão de problemas. 12 13 Analisadores de Protocolos O administrador tem que conhecer ferramentas que o auxilie a avaliar quais protocolos estão sendo enviados e recebidos na rede. Para isso, há alguns analisa- dores de protocolos que capturam e fornecem informações detalhadas dos campos destes protocolos. Pode ocorrer em algumas situações, casos em que o administrador de redes aumenta a largura de banda do link de Internet da empresa por motivos de re- clamações dos usuários, no entanto, após tal procedimento continuar recebendo reclamações por lentidão, uma das primeiras ações do administrador é verificar qual o tráfego que compõe a rede, ele deve monitorar os pacotes para verificar se está sendo feito uso correto da rede de computadores. Muitas vezes não dará resultado em aumentar a largura de banda do link de Internet se usuários a usam para, por exemplo, ficar baixando vídeos e músicas da Internet. Para fazer a avaliação dos protocolos, algumas ferramentas são disponíveis. Não basta somente coletar as informações dos protocolos, se o administrador não souber a utilidade de cada campo e o que ele pode representar em alguns problemas, de nada adiantará. O Wireshark é uma ferramenta que captura os protocolos fornecendo informa- ções dos campos. Ele organiza a apresentação dos protocolos de acordo com as camadas do TCP/IP e ao selecionar um protocolo que está dentro desta camada, as informações dos campos são apresentadas. Exemplo de captura de protocolo no Wireshark. Disponível em: https://goo.gl/qKNUe3 Ex pl or Como pode ser observado na figura acima, as seguintes informações são apre- sentadas para análise. • Nº: número da sequência do protocolo capturado. Este campo é sequencial e informa a quantidade de pacotes capturados. • Time: tempo relativo em que o protocolo foi capturado. Sempre leva em consi- deração o tempo da captura do protocolo anterior. • Source: informa a origem do pacote, ou seja, o endereço ou o nome do disposi- tivo que gerou o pacote. • Destination: informa o destino para onde este pacote vai. • Protocol: fornece qual o nome do protocolo • Info: apresenta informações prévias do protocolo Ao selecionar o protocolo, seus detalhes são apresentados no campo, conforme pode ser observado na figura seguinte, abaixo da captura de pacotes. 13 UNIDADE Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores Todas as informações são armazenadas. Esta ferramenta disponibiliza filtros para captura de protocolos, assim é possível direcionar a captura para melhor análise. Asprincipais características desta ferramenta são: • Os dados são analisados em real-time pela interface cabeada ou de arquivos que já foram capturados. • Suporta leitura e análise de dados de uma ampla gama de redes como Ethernet, IEEE 802.11 e PPP. • Interface gráfica amigável possibilitando navegar pelos protocolos capturados. • Fornece filtros para organizar e exibir dados. • Há plugins que possibilita a captura de pacotes novos. Outra opção para captura de pacotes na rede semelhante ao wireshark, porém sem interface gráfica, chama-se tcpdump. Ele pode ser executado direto na linha de comando em um terminal do Linux e assim que houver tráfego na rede, ele irá cap- turar e mostrar esses pacotes direto no terminal. O tcpdump oferece várias opções para capturar pacotes, elas podem ser usadas para filtrar pacotes, escolher um host para monitorar ou até mesmo escolher uma interface que deseja monitorar. É possível capturar pacotes com o tcpdump, gravar as informações em um arquivo com extensão “.cap” e avaliá-lo usando a ferramenta wireshark. A próxima figura apresenta um exemplo de captura de pacotes pelo tcpdump. Figura 3 – Exemplo de captura tcpdump Observe na figura 3 que a saída do tcpdump apresenta informações semelhan- tes ao do wireshark. Informações como hora, origem do pacote, destino do pacote e informações podem ser observadas. Entendendo o Comportamento dos Ataques Você já ouviu falar em honeypots e honeynet? Os mais envolvidos com segurança de redes já ouviram comentários sobre estas duas possibilidades de auxílio a levantamento de informações sobre ataques e invasões. Monitorar e estudar o comportamento dos 14 15 hackers faz com que novas ferramentas sejam desenvolvidas para evitá-los. Vamos estudar e entender o que significa cada uma delas. Honeypots São armadilhas preparadas com recursos computacionais para permitir ataques feitos na rede, o objetivo é desviar o foco dos equipamentos reais de uma empresa em um possível ataque de Crackers. Possibilitar que estes recursos sejam propositalmente invadidos para que sejam avaliados quais são as formas de ataques usadas pelos hackers é o principal objetivo oferecido por este tipo de redes. Segundo Montes, há duas classificações de honeypots, os de baixa interatividade e os de alta interatividade. Os de baixa interatividade limitam as ações dos atacan- tes e coletam poucas informações sobre um ataque, porém são mais simples de se gerenciar e introduzem pequeno risco no ambiente de rede, visto que o atacante não tem acesso total ao sistema. Eles podem emular serviços de rede como FTP, HTTP, entre outros. Por outro lado, o Honeypots de alta interatividade é capaz de executar as versões reais dos serviços de rede e permitem que o atacante tenha acesso total à máquina comprometida. Esta categoria de honeypots, geralmente empregada em honeynets, é usada como um recurso para auxiliar no aperfeiçoa- mento das formas de proteção do ambiente de rede. Os honeypots de alta intera- tividade coletam mais informações que os honeypots de baixa interatividade, eles permitem o acompanhamento dos passos dos invasores e a coleta de ferramentas utilizadas por eles. Honeynet Uma honeynet é composta por vários honeypots, enquanto o honeypots refere- -se aos recursos da rede, a honeynet é a própria rede formada por estes recursos. Ela é uma ferramenta de pesquisa voltada exclusivamente para monitorar o perfil dos invasores, permitindo análise detalhada das ferramentas usadas, comandos aplicados e quais vulnerabilidades foram explorados. Ela deve ter mecanismos para impedir que os atacantes consigam entrar na rede da empresa. Uma honeynet é composta por honeypots com sistemas operacionais e apli- cativos diversos, desta forma um invasor, hipoteticamente, não saberá distinguir se está na rede da empresa ou se está em uma honeynet. Uma vez feito a invasão, alguns aplicativos irão alertar e outros irão monitorar todo o caminho percorrido, tudo será registrado para que uma avaliação possa ser feita e, consequentemente, levantar o perfil dos invasores. Segundo o site do CERT.br, há dois tipos de honeynets: as reais e as virtuais. Vamos entender as diferenças de cada uma delas. Disponível em: https://goo.gl/3B5ZMiEx pl or 15 UNIDADE Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores Honeynets reais Segundo o site de CERT.br, em uma rede honeynet real, os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de cole- ta de informações, são físicos e podem ser composto pelos seguintes dispositivos: • diversos computadores, um para cada honeypot. Cada um deles com um siste- ma operacional, aplicações e serviços reais instalados; • um computador com um firewall instalado, atuando como mecanismo de con- tenção e de coleta de dados; • um computador com uma IDS instalada, atuando como mecanismo de geração de alertas e de coleta de dados; • um computador atuando como repositório dos dados coletados; • hubs switches e roteador para fornecer a infraestrutura de rede da honeynet. Este tipo de honeynet tem como vantagem permitir que os invasores interajam com ambientes reais, além de ter custo baixo por equipamento. A desvantagem está em manter esta estrutura somente para montar uma armadilha para os invasores, pois o custo total é mais elevado. Honeynet virtuais Segundo o site do CERT.br, uma honeynet virtual baseia-se na ideia de ter todos os computadores implementados em um número reduzido de dispositivos físicos. Para isso, normalmente é utilizado um único computador com um sistema operacional instalado que serve de base para a execução de um software de virtualização, como o VMWare ou UML (User Mode Linux). Como já deve estar ciente, os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados. As vantagens de uma honeynet virtual estão na manutenção mais simples e exi- gem-se menos esforços. A desvantagem está no maior custo por equipamentos, pois há necessidade de equipamentos mais robustos e que seja pouco tolerante a falhas. O conjunto Honeypots e honeynets deve ser usado como complemento de segurança e não como único ou principal componente de segurança da empresa. O uso de honeypots de baixa interatividade pode ser usado em redes que não te- nha disponibilidade para manter máquinas e outros recursos dentro de uma solução de honeypots de alta interatividade. Ele está associado aos seguintes objetivos: • detectar ataques; • identificar varreduras e ataques automatizados; • identificar tendências; • manter ataques afastados de sistemas importantes; • coletar código malicioso. 16 17 O honeynet de alta interatividade é indicado para pesquisa, ou seja, empresas que trabalham com segurança da informação poderão montar e manter estes tipos de redes para levantar o perfil dos invasores, tendo como objetivo criar metodolo- gias e mecanismos para evitar uma invasão em uma rede real. Com isso, aspectos como vulnerabilidades em aplicativos e falhas de segurança em equipamentos po- dem ser analisados pelos logs criados por aplicativos específicos. Após a análise de todos os registros feitos, são estabelecidos e divulgadas as ações para prover maior segurança em redes reais. A seguir é apresentada uma tabela comparando o honeynet de baixa e alta prioridade. Quadro 2 − Comparativo Características Honeypot de baixa interatividade Honeypot de alta interatividade/Honeynet Instalação fácil mais difícil Manutenção fácil trabalhosa Risco de comprometimento baixo alto Obtenção de informações limitada extensiva Necessidade de mecanismos de contenção não sim Atacante tem acesso ao S.O. real não (em teoria) sim Aplicações e serviços oferecidos emulados reais Atacante pode compremeter o honeypot não (em teoria) sim Fonte: https://goo.gl/11wYnX Para instalar um honeypot/honeynet em uma empresa, deve-se tomar os devi- dos cuidados para que não seja oferecidovulnerabilidades na rede real. Para que isto seja possível, é interessante determinar uma faixa de endereço que esteja fora da rede usada. Ela deve ser segmentada da rede real da empresa e deve usar ende- reços roteáveis. É de extrema importância que a rede honeynet não seja acessada pelo administrador da rede ou qualquer outro usuário, pois nesta rede serão executados softwares de monitoramento de eventos e qualquer acesso a ela irá gerar informações que poderá ser contaminada e, consequentemente, não trazer os resultados esperados. 17 UNIDADE Ferramentas de Gerenciamento e Monitoramento de Redes de Computadores Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos Instalar o MRTG em sistema Linux https://youtu.be/H49V4K_fCis Instalando o aplicativo de monitoramento Cacti utilizando máquina virtual https://youtu.be/e60LIHCWPzw Como utilizar onmap, veja alguns comandos https://youtu.be/cnXSRIKhhMA Como manipular o Wireshark https://youtu.be/8uZ9b71eaiQ 18 19 Referências GUIMARÃES, M. Monitoramento de Redes com o Zenoss. Disponível em: <ht- tps://www.vivaolinux.com.br/artigo/Monitoramento-de-redes-com-o-Zenoss>. Acesso em: 12/08/2018. HOEPERS, C. STEDING-JESSEN, K. CHAVES, M. H.P.C. Honeypots e Ho- neynets: Definições e Aplicações. Disponível em: <http://www.cert.br/docs/ whitepapers/honeypots-honeynets/>. Acesso em: 12/08/2018. SOUZA, C. 12 ferramentas de monitoramento de redes que todo o Sysa- dmin deve conhecer. Disponível em: <http://portallinuxferramentas.blogspot. com/2017/08/conheca-12-ferramentas-de-monitoramento.html>. Acesso em: 12/08/2018. 19