MONITORAMENTO E SEGURANÇA

8/18/2019 MONITORAMENTO E SEGURANÇA

1/92

Universidade Federal do ABC

Pós-graduação em Tecnologias e Sistemas de Informação

Roni Peterson Cunha de Alvarenga

MONITORAMENTO E SEGURANÇA

Uma abordagem sobre como o Zabbix pode contribuir com relação à segurança e a gestão de

suas melhores práticas em Tecnologia da Informação

Dissertação

Santo André – SP

2015


2/92





Dissertação

Dissertação apresentada ao Curso de Pós-graduação da

Universidade Federal do ABC, como requisito parcial

para obtenção do grau de Especialista em Tecnologias e

Sistemas de Informação.

Orientador: Prof.ª Dr.ª Denise Hideko Goya

Santo André – SP2015


3/92





Essa dissertação foi julgada e aprovada para a obtençãodo grau de Especialista em Tecnologias e Sistemas de

Informação no curso de Pós-graduação em Tecnologias

e Sistemas de Informação da Universidade Federal do

ABC.

Santo André – SP, 00 de Agosto de 2015

__________________________

Prof. Dr. Nome do Coordenador

BANCA EXAMINADORA

_______________ _______________

Prof.ª Dr.ª Denise Hideko Goya Prof.

Orientador UFABC

_______________ _______________

Prof. Prof.

UFABC UFABC


4/92

AGRADECIMENTOS

Agradeço a todos que, mesmo indiretamente, contribuíram para o desenvolvimento

dessa dissertação, entretanto alguns se destacaram por passar várias horas revisando, lendo e

me dando sugestões de como melhorar, como meu grande amigo Paulo, meu amigo de longa

data Petrus e minha colega de trabalho, a amiga Tamires que me ajudou em muito a

contextualizar toda a estrutura de minha dissertação e claro a minha namorada Janaina que

esteve comigo durante todo o processo.

Não posso deixar de agradecer a todos meus tutores e à minha orientadora que estavam

sempre disponíveis e tirando minhas dúvidas. E aos meus colegas de trabalho, que me ajudaramcom a implantação da ferramenta Zabbix.


5/92

“Se você não pode medir, você não pode gerenciar”

Peter Drucker


6/92

RESUMO

O monitoramento do ambiente de tecnologia é essencial e de grande importância paragarantir a disponibilidade dos serviços ofertados pelas aplicações de negócios. Por isso, falhas

nos sistemas podem trazer prejuízos imensuráveis, podendo até, serem irrecuperáveis. O

monitoramento não evitará o inevitável, porém, irá fornecer subsídios para evitar situações que

poderão ser previstas e planejadas como contingência evitando exemplos trágicos. O

gerenciamento eficiente de uma rede de computadores permite que falhas possam ser

identificadas e prevenidas rapidamente, com o intuito de minimizar o impacto sobre os usuários

e diminuir os prejuízos da instituição. Realizar auditoria em logs de maneira rápida é

imprescindível para um administrador de redes assim como buscar e minimizar as

vulnerabilidades encontradas no seu ambiente. Com base nesta argumentação, surgiu a

necessidade de realizar um estudo de caso na Câmara Municipal de Campinas, pois havia uma

grande falha no monitoramento de dados e informações que gerava uma equipe reativa na

resolução de problemas correntes. Isso resultou em um projeto de implantação do Zabbix, com

a finalidade de melhorar a gestão de ativos mediante um sistema de monitoramento eficaz,

atendendo os objetivos necessários, incluindo as melhores práticas de gestão de gerenciamento,

governança e, principalmente, da segurança de Tecnologia da Informação. Escolhemos o

Zabbix pois ele possui mecanismos flexíveis que permitem ao administrador de sistemas e a

equipe de que faz parte de modo geral, agir de forma proativa, por exemplo, a notificação de

alertas por e-mail ou por SMS, em caso de falha em determinado dispositivo, podendo ele, agir

de forma disciplinada para a correção preventiva ou uma ação corretiva. Após sua implantação,

foi visível a melhora no rendimento da equipe de TI, principalmente em determinar falhas na

rede. Com a utilização da ferramenta a mesma demonstrou-se eficaz aumentando a resposta na

resolução de problemas e incidentes

Palavras-Chave: Monitoramento de Redes, Zabbix, Gerência, Auditoria de Logs,

Disponibilidade, Segurança da Informação.


7/92

ABSTRACT

The monitoring technology is essential and of great importance Environment To

ensure availability of the offered Services For Business Applications. For IT, systems failures

nos can bring immeasurable losses and can eat, to be unrecoverable. Monitoring not avoid the

inevitable, however, will provide grants paragraph avoid situations that can be anticipated and

planned contingency avoiding Examples How tragic. The Efficient Management of a Computer

Network allows que Failures can sor identified and prevented quickly, in order to Minimize

Impact on Users and Decrease OS losses of the institution. Held in auditoriums records Quick

Way and essential paragraph hum network administrator So How to seek and to minimize

vulnerabilities found in his environment. On the basis of this argument, the need arose to

conduct a case study in the Municipality of Campinas, for there was a major failure in data

monitoring and information que generated a reactive team in Troubleshooting Chains. IT

resulted in hum Zabbix Deployment Project, in order to improve Upon hum Asset Management

Effective Monitoring System, serving OS Required Goals, including Best Practices of

Management Management, governance and mainly Technology Security information. We

chose Zabbix because he has Flexible Mechanisms that allow the systems administrator and

team that is part of General Mode, the act proactively Example in an Alert notification via email

OR SMS at fault Case in certain device and can him, the act in a disciplined manner paragraph

one preventive Correction or a Corrective Action. After his Implementation, it was visible

improvement in the IT Team of income, especially in determining faults in the network. Using

one tool same proved to be effective in.

Keywords: Network Monitoring, Zabbix, Management, Audit Logs, Availability,

Information Security.


8/92

LISTA DE SIGLAS

CMC - Câmara Municipal de Campinas DTIC - Diretoria de Tecnologia da Informação e Telecomunicação

FDDI - Fiber Distributed Data Interface

HTTP - Hypertext Transfer Protocol

ICMP - Internet Control Message Protocol

IETF - Internet Engineering Task Force

IMAP - Internet Message Access Protocol

IP - Internet Protocol IPMI - Intelligent Platform Management Interface

ISO - International Organization for Standardization

LAN - Local Area Network

MAC - Media Access Control

MAN - Metropolitan Area Network

MIB - Management Information Base

NMS - Network-Management Systems

OID - Object IDentifier

OSI - Open Systems Interconnection

QoS - Quality of service

RFC - Request for Comments

RTP - Real-time Transport Protocol

SI - Segurança da Informação

SLA - Service Level Agreement

SNMP - Simple Network Management Protocol

TCP - Transmission Control Protocol

TI - Tecnologia da Informação

UDP - User Datagram Protocol

VLAN - Virtual Lan

VM - Virtual Machine

WAN - Wide Area Network


9/92

LISTA DE ILUSTRAÇÕES

Figura 1: Total de Incidentes Reportados ao Cert.br por Ano.................................................. 17

Figura 2: Exemplo de uma rede doméstica .............................................................................. 22

Figura 3: Exemplo de rede Metropolitana (MAN) ................................................................... 23

Figura 4: Exemplo de uma rede Continental (WAN) ............................................................... 24

Figura 5: Topologia em Anel.................................................................................................... 25

Figura 6: Topologia em Estrela ............................................................................................... 25

Figura 7: Topologia em Barramento ........................................................................................ 26

Figura 8: O modelo de referência OSI...................................................................................... 30

Figura 9: O Modelo TCP/IP ..................................................................................................... 31

Figura 10: Comparação OSI / TCP........................................................................................... 32

Figura 11: O modelo de gerência FCAPS ................................................................................ 35

Figura 12: Funcionamento do SNMP ....................................................................................... 38

Figura 13: Tela Inicial – Nagios ............................................................................................... 42

Figura 14: Interface do ZenOSS ............................................................................................... 43

Figura 15: Painéis do CACTI ................................................................................................... 44

Figura 16: A pirâmide da Segurança da Informação ................................................................ 46

Figura 17: Evolução do Zabbix ................................................................................................ 53

Figura 18: Arquitetura do Zabbix ............................................................................................. 55

Figura 19: Monitoramento de Páginas Web do Zabbix ............................................................ 60

Figura 20: Zabbix Appliance .................................................................................................... 63

Figura 21: Download de Appliances do Zabbix ....................................................................... 64

Figura 22: Fluxograma de resolução de falhas anterior ao Zabbix .......................................... 66

Figura 23: Fluxograma de desenvolvimento do Zabbix na CMC ............................................ 68

Figura 24: Estrutura da Rede da Câmara de Campinas ............................................................ 71

http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048212http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048212http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048213http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048213http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048226http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048226http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048228http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048228http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048228http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048226http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048213http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048212


10/92

Figura 25: Modelos de autenticação do Zabbix ....................................................................... 73

Figura 26: Monitoramento Zabbix - Log auth.log .................................................................... 74

Figura 27: Monitoramento Zabbix - Espaço em disco ............................................................. 74

Figura 28: Monitoramento Zabbix - Active Directory ............................................................. 75

Figura 29: Monitoramento Zabbix - Tráfego de internet ......................................................... 76

Figura 30: Monitoramento Zabbix - DHCP ............................................................................. 76

Figura 31:Monitoramento Zabbix - Mapa da Rede .................................................................. 77

Figura 32: Fluxograma de resolução de falhas após a instalação do Zabbix ........................... 78

Figura 33: Instalação com Zabbix Proxy .................................................................................. 79

Figura 34: Monitoramento Zabbix - Dados em Tempo Real ................................................... 80

Figura 35: Monitoramento Zabbix - Mapas e Telas ................................................................. 81

Figura 36: Instalação Zabbix – Tela Inicial .............................................................................. 88

Figura 37: Instalação Zabbix – Checagem de pré-requisitos ................................................... 88

Figura 38: Instalação Zabbix – Primeiro Login ....................................................................... 89

Figura 39: Instalação Zabbix – Dashboard ............................................................................... 89

http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048235http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048235http://c/Users/ropecual/Desktop/Roni_Alvarenga_Etapa%206%20v1.docx%23_Toc431048235


11/92

LISTA DE TABELAS

Tabela 1: Plataformas Suportadas - Zabbix .............................................................................. 56

Tabela 2: Requisitos Mínimos de Hardware para o Zabbix ..................................................... 57

Tabela 3: Requisitos Mínimos de Hardware para o Nagios ..................................................... 57

Tabela 4: Requisitos Mínimos de Hardware para o ZenOSS ................................................... 57

Tabela 5: Comparação de Ferramentas de Monitoramento ...................................................... 61

Tabela 6: Tabela de ativos a serem monitorados pelo Zabbix ................................................. 69

Tabela 7: Configuração do Servidor Zabbix ............................................................................ 72

Tabela 8: Configuração do Banco de Dados PostgreSQL ........................................................ 72


12/92

SUMÁRIO1. INTRODUÇÃO ........................................................................................................... 14

1.1 Motivação .................................................................................................................... 14

1.2 Justificativa ................................................................................................................. 18

1.3 Objetivo ....................................................................................................................... 19

1.3.1 Objetivo geral .......................................................................................................... 19

1.3.2 Objetivos específicos ............................................................................................... 19

1.4 Metodologia ................................................................................................................. 20

1.5 Organização da Dissertação....................................................................................... 20

2. CONCEITOS ............................................................................................................... 21

2.1 Rede de Computadores .............................................................................................. 21

2.1.1 Classif icação baseada em extensão geográfica ..................................................... 22

2.1.2 Classif icação baseada na Topol ogia ...................................................................... 24

2.2 Modelos de Referência ............................................................................................... 27

2.2.1 Protocolos de Rede .................................................................................................. 27

2.2.2 Modelo de referência OSI ....................................................................................... 28

2.2.3 Modelo de referência TCP/I P ................................................................................. 31

2.3 Gerenciamento de Rede ............................................................................................. 33

2.3.1 O Modelo de gerenciamento FCAPS ..................................................................... 33

2.3.2 SNMP ...................................................................................................................... 36

2.3.3 Sistemas de Monitoramento e Gerênci a ................................................................. 40

2.4 Segurança da Informação e de Redes ....................................................................... 45

2.4.1 Ameaças e Vulnerabi l idades ................................................................................... 47

2.4.2 Mecani smos de Segurança de Redes ...................................................................... 48


13/92

3 O ZABBIX .................................................................................................................... 52

3.1 Arquitetura do Zabbix ............................................................................................... 54

3.1.1 Requisi tos Mínimos Recomendados ....................................................................... 56

3.2 Tipos de Monitoramento ............................................................................................ 57

3.2.1 Agente Zabbix ......................................................................................................... 57

3.2.2 Agente SNMP .......................................................................................................... 58

3.2.3 Monitoramento IPMI .............................................................................................. 58

3.2.4 Monitoramento Simples .......................................................................................... 59

3.2.5 Monitoramento Web ............................................................................................... 60

3.2.6 Moni toramento de Serviços de TI - SLA ................................................................ 60

3.2.7 Outr os tipos de moni toramento .............................................................................. 61

3.2.8 Comparativo das ferr amentas ................................................................................. 61

3.3 O Ambiente de Testes ................................................................................................. 62

4 O CENÁRIO DA APLICAÇÃO ................................................................................ 64

4.1 A Câmara Municipal de Campinas ........................................................................... 64

4.1.1 Números .................................................................................................................. 65

4.1.2 I nf raestru tura da Rede ............................................................................................ 65

4.1.3 Cenário anter ior àinstalação do Zabbix ............................................................... 66

4.2 A Análise e Monitoramento ....................................................................................... 67

4.2.1 A implantação do Zabbi x ........................................................................................ 72

4.2.2 Pontos Anal isados ................................................................................................... 73

5 CONCLUSÃO .............................................................................................................. 79

5.1 Tempo de Resposta ..................................................................................................... 80

5.2 Identificação dos Problemas ...................................................................................... 80


14/92

5.3 Finalizando .................................................................................................................. 81

5.4 Próximos Estudos ........................................................................................................ 82

REFERÊNCIAS BIBLIOGRÁFICAS ................................................................................. 83

ANEXO I – INSTALAÇÃO DO ZABBIX ........................................................................... 85

ANEXO II – QUESTIONÁRIO ............................................................................................ 91


15/92

14

1. INTRODUÇÃO

Sistemas de monitoramento abrangem uma ampla categoria. Há ferramentas

apropriadas para monitorar servidores, equipamentos de rede e aplicações, bem como

soluções que rastreiam desempenho de sistemas e dispositivos, oferecendo tendências e

análises, (COMPUTERWORLD, 2014). Algumas dessas tecnologias acionam alarmes e

notificações quando detectam problemas, enquanto outras já realizam ações antes mesmo

do sistema estar efetivamente crítico. Dessa forma, a ferramenta escolhida para essa

dissertação foi o Zabbix, pois disponibiliza recursos como auditoria de logs, gráficos, telas

e alertas. Há agentes para a maioria dos sistemas operacionais e ações automáticas, já

incorporando, desta maneira, várias formas de aplicar práticas de gerenciamento e

segurança.

1.1 Motivação

Nos dias atuais não é possível gerenciar o ambiente de TI de forma empírica.

Conforme as redes foram se desenvolvendo e integrando-se às organizações, passaram a

fazer parte do cotidiano das pessoas como uma ferramenta que oferece recursos e serviços

que permitem uma maior interação entre os usuários e um consequente aumento de

produtividade.

Houve então um grande aumento no rol de serviços oferecidos, além do inicial

compartilhamento de recursos, novos serviços como correio eletrônico, transferência de

arquivos, Internet, aplicações multimídias, aumentando a complexidade das redes. E assim,

as organizações viram uma forma de tornarem-se mais competitivas ao fazer uso de tais

recursos. “A própria infraestrutura de rede e a informática podem ser consideradas como

sendo uma das responsáveis pela rápida globalização”. (NAKAMURA, 2000)

Considerando este novo cenário, a gestão e o monitoramento da TI, tornaram-se

parte essencial do processo de gestão de negócio. Gerir TI hoje, significa saber trabalhar as

ideias e os problemas de modo a analisar a questão sob diferentes aspectos que se integram:

os fatores estratégicos, funcionais, técnicos, tecnológicos, segurança e de custos. Em vista

dessa constante mutação tecnológica, fez-se necessário formas mais ágeis e flexíveis de

gestão permitindo estabelecer metas, monitorar os resultados e verificar, de forma objetiva,se as propostas foram atingidas através de metodologias, indicadores e métricas.


16/92

15

Os principais objetivos de gerenciar esses ambientes são reduzir custos operacionais,

minimizar os congestionamentos da rede, detectar e corrigir falhas de segurança no menor

tempo possível de forma a diminuir o downtime (indisponibilidade) dos sistemas, aumentar

a flexibilidade de operação e integração, imprimir maior eficiência de aplicações e facilitar

o uso para a organização como um todo. A realização dessas tarefas requer metodologias

apropriadas, ferramentas que as automatizem e pessoal qualificado.

Entre a gama de soluções possíveis para o gerenciamento de redes, uma das mais

usuais consiste em utilizar um computador que interage com os diversos componentes da

rede extraindo as informações necessárias ao seu gerenciamento. Isso envolve esforço para

identificar, rastrear e resolver situações de falhas. Como o tempo de espera do usuário pelo

restabelecimento do serviço deve ser o menor possível, tudo isso deve ser feito de maneira

eficaz.

Os sistemas de gerenciamento de redes apresentam a vantagem de ter um conjunto

de ferramentas para análise e depuração. Eles podem apresentar também uma série de

mecanismos que facilitam a identificação, a notificação e o registro de problemas, por

exemplo:

Alarmes que indicam, por meio de mensagens ou bips de alerta, anormalidades na

rede;

Geração automática de relatórios contendo as informações coletadas;

Facilidades para integrar novas funções ao próprio sistema de gerenciamento;

Geração de gráficos estatísticos em tempo real;

Apresentação gráfica da topologia das redes.

O monitoramento do ambiente de tecnologia é devidamente importante e,

amplamente abordado dentro das melhores práticas de Gerenciamento, Governança e

Segurança da Informação. Como consequência do aumento exponencial da importância da

TI, a estrutura da segurança da informação ficou cada vez mais complexa, conforme é citado

por (CARUSO e STEFFEN, 2006) “é difícil imaginar os processos operacionais da maioria

das organizações e instituições sem o uso de recursos de processamento de informações.”

Tudo isso acaba por refletir a necessidade do uso de metodologias e indicadores que

permitam definir objetivos, monitorar os resultados e verificar, de forma objetiva, o

gerenciamento e segurança de redes de computadores independentemente do tamanho da


17/92

16

organização, NIST (1995). Nesse contexto, negligenciar o gerenciamento da rede é algo

arriscado e causa prejuízos irreparáveis para a organização. O administrador de sistemas

deve atentar se uma porta de rede foi aberta sem necessidade, se um vírus ou software

malicioso está alterando arquivos de sistemas, se o controle de algum sistema foi dado a

pessoas sem permissão, se o arquivo de senha de algum sistema foi alterado quando ele

deveria permanecer inalterado ou ainda, se um processo está consumindo todo recurso

disponível em um servidor.

Podemos citar como exemplo uma pesquisa solicitada pela Paessler 1 sobre

monitoramento de TI no Reino Unido, realizada com 300 gerentes de TI. Descobriu-se que

43% das empresas que não monitoram seus sistemas perdem, em média, duas horas por

semana resolvendo problemas corriqueiros que poderiam ter sido evitados. A pesquisa

também revelou que uma em cada 10 empresas que não monitoram seus sistemas perde

mais de cinco horas por semana tratando desses problemas e também demonstrou que quase

metade das empresas (46%) que não monitoram seus sistemas, frequentemente, recebiam

alerta de problemas de equipes que não trabalhavam com TI ou, pior, dos próprios clientes.

(PAESSLER, 2015). Outro dado retirado do Centro de Estudos, Respostas e Tratamento de

Incidentes de Segurança do Brasil, o (CERT.BR, 2014) demonstra quantidade total de

incidentes de segurança reportados no periodo que abrange 1999 a 2013, exemplifica como

é importante investir na Segurança da Informação dentro das organizações.

1 http://www.paessler.com/ - É uma Empresa internacional de TI com foco no desenvolvimento de sistemas demonitoramento e gerencia.


18/92

17

Figura 1: Total de Incidentes Reportados ao Cert.br por Ano

Fonte: (CERT.BR, 2014)

Como a figura 1 demonstra, houve um aumento na quantidade de incidentes

reportados ao CERT.BR, principalmente a partir de 2006, isso se deve ao grande avanço de

utilização de equipamentos que recorrem à internet como meio de comunicação, como porexemplo os smartphones e tablets. Esses incidentes reportados são, principalmente

phishing2, spam3, ataques de negação de serviço e outros tipos de ataques que utilizam a

Internet como meio de propagação.

Concluindo, o gerenciamento de uma rede consiste em coletar dados de servidores,

serviços e ativos de rede para análise e monitoramento dos recursos do ambiente. A ideia

principal desta gerência é obter informações da rede, tratá-las, diagnosticar problemas e

aplicar soluções. O gerenciamento está associado ao controle das atividades e ao

monitoramento do uso dos recursos no ambiente da rede.

2 Phishing é um tipo de roubo de identidade online. Ele usa e-mail e sites fraudulentos que são projetados para

roubar seus dados ou informações pessoais, como número de cartão de crédito, senhas, dados de conta ou outrasinformações.

3 Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grandenúmero de pessoas


19/92

18

1.2 Justificativa

Tanto o setor público quanto o setor privado, no que diz respeito à segurança da

informação, possuem os mesmos desafios: rápida evolução das ameaças e das tecnologias,complexidade dos ataques, dificuldade para detectar incidentes rapidamente e diminuir o

tempo de reação. Entretanto, órgãos governamentais possuem o agravante de sofrerem

ataques com muito mais frequências, como (ZANI, 2014) aponta:

Muitas vezes, ativistas e criminosos virtuais tendem a focar seus ataques em órgãosgovernamentais devido a visibilidade que isto causa, além da riqueza de informaçãoque pode ser adquirida.

E como observado em (CARUSO e STEFFEN, 2006):

O bem mais válido de uma empresa pode não ser o produzido pela sua linha de produção ou serviço prestado, mas as informações relacionadas com esse bem deconsumo ou serviço.

De acordo com o Relatório Anual sobre Ameaças à Segurança na Internet de 2014

(ISTR) da Symantec4, o Brasil ocupou a oitava posição no ranking de países que são origens

de ataques cibernéticos e o quinto com mais computadores zumbis5. Isso demonstra como

é altamente importante tratar da segurança de informação.

Outro aspecto importante é definir as demandas de diversos serviços e seus graus de

qualidade. A maximização de todos os recursos de TI é vital para evitar a degradação da

Qualidade do Serviço, tanto para usuário (tempo de resposta por uma requisição), quanto

para aplicação (recursos disponíveis).

Com base nessas afirmações, buscamos garantir melhor qualidade da gerência de

informação e controle da rede de dados da Câmara Municipal de Campinas, uma vez que a

mesma não possuía nenhum tipo de monitoramento. Houve a necessidade de encontrar umasolução de Código-Livre, e que atendesse aos requisitos exigidos como confiabilidade, fácil

curva de aprendizagem e robustez, coube ao Zabbix suprir essa demanda. E verificando a

questão da viabilidade econômica, uma vez que o Zabbix é uma ferramenta de Código-

4 http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v19_21291018.en-

us.pdf5 Computadores Zumbis ou botnet são rede de computadores infectados por algum software malicioso querealizam ações sem saber com que o usuário saiba, As botnets normalmente são utilizadas para derrubar sites,enviar spam, hospedar sites falsos e realizar ataques de negação de serviço.


20/92

19

Livre sob licença da GNU General Public License (GPL) v26, não há gastos com

investimentos em softwares proprietários pois funcionamento do Estado é muito diferente

de uma empresa convencional devido à legislação presente, uma vez que elas criam

camadas de burocracia para regrar seu funcionamento. No Brasil, leis como a 8.666 7 de

1993 que definem como são realizados os processos de compra são extremamente rígidas e

burocráticas. Os controles instituídos para diminuir a corrupção fazem com que mudanças

e alterações tecnológicas sejam mais difíceis no Estado do que na iniciativa privada. Há

ainda possibilidade de expansão e adaptação para o ambiente proposto, ao compararmos os

aspectos relativos à segurança entre sistemas proprietários e livres, constatamos que em

uma aplicação proprietária fica mais difícil encontrar os erros e problemas que um sistema

pode ter, já em um software livre, devido a seu código-fonte ser aberto, fica mais fácilencontrá-los, ajustá-los e tratá-los.

E por fim, utilizando os dados de gerência e monitoramento, desenvolver uma TI

proativa, criando Indicadores-chave de performance para que haja uma forma de aferir o

desempenho de serviços de TI e prevenir incidentes.

1.3 Objetivo

1.3.1 Objetivo geral

Demonstrar como a ferramenta de monitoramento Zabbix pode auxiliar nas técnicas

de segurança da informação, como controles, alarmes e relatórios.

1.3.2 Objetivos específicos

Monitorar a infraestrutura a fim de diminuir e/ou mitigar falhas na segurança da

rede;

Obtenção de logs para Auditoria;

Armazenamento de histórico do status do sistema para análise futura;

Relatórios para acompanhamento de disponibilidade do ambiente.

Relatórios gerenciar para acompanhamento do SLA de aplicações vitais.

6 https://www.gnu.org/licenses/gpl-2.0.html

7 http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm


21/92

20

1.4 Metodologia

Revisão bibliográfica com a finalidade de obter a melhor forma de contextualizar

as informações e embasamento teórico para a implantação;

Criação de ambiente de Testes;

Implantação da ferramenta de monitoramento;

Desenvolvimento da dissertação a partir dos estudos e conclusões da pesquisa.

1.5 Organização da Dissertação

O texto encontra-se organizado da seguinte maneira:

O Capítulo 2 abordará os aspectos de segurança da informação e uma série de conceitos

das áreas envolvidas para compreender melhor como funciona toda a estrutura da

ferramenta;

O Capítulo 3 será direcionado ao Zabbix, mostrando suas principais funcionalidades;

No Capítulo 4 será tratado o case, seu ambiente de estudo e implantação em si;

Por fim, no Capítulo 5 serão apresentadas as principais conclusões do trabalho.


22/92

21

2. CONCEITOS

Antes de tratar as práticas e técnicas utilizadas junto a ferramenta Zabbix, é

importante introduzir uma série de conceitos a fim de dar embasamento e melhorar oentendimento sobre a ferramenta. Serão citados seus pontos mais importantes e

correlacionados à segurança da informação e ao Zabbix.

2.1 Rede de Computadores

Redes de computadores são estruturas físicas e lógicas que permitem que dois ou

mais dispositivos de redes troquem informações. Entende-se por estrutura física os

equipamentos como roteadores8, comutadores9, cabos e os próprios computadores, e por

estrutura lógica seus protocolos e tecnologias utilizadas para interconexão. Na definição de

(TANENBAUM, 2003) “Uma rede de computadores é um conjunto de computadores

autônomos interconectados por uma única tecnologia”.

Conectar um computador a outro significa que eles podem trocar informações entre

si e acessar recursos de um ou outro. Quanto maior a quantidade de dispositivos conectados,

maior a troca de informação. Mesmo em uma residência é possível encontrar uma estrutura,

básica, de redes de computadores: uma SmartTV, um videogame, celulares, notebooks e

computadores, todos trocando informações e utilizando a Internet através de um plano de

banda larga contratada.

8 Roteador (ou router) é um equipamento utilizado para interligar redes de diferentes tecnologias.

9 Comutador (ou switch) é um equipamento que funciona na camada 2 do modelo OSI, responsável por endereçar pacotes da fonte para o destino dentro de uma rede, evitando assim, colisão de pacotes


23/92

22

Figura 2: Exemplo de uma rede doméstica

Fonte: Elaborado pelo próprio autor

Redes de computadores são classificadas com base em vários critérios: Quanto a sua

Arquitetura, quanto a sua Topologia, quanto ao Meio de Transmissão e quanto a sua

Extensão Geográfica. Citaremos os tipos de redes mais utilizados.

2.1.1 Classif icação baseada em extensão geográfica

Redes Locais (LANS): Para (TANENBAUM, 2003), LANs são redes privadas

contidas em um único edifício ou campus universitário com até alguns quilômetros de

extensão. LANs normalmente são pequenas redes, utilizadas em casa, escritório ou

empresa, e, geralmente compreendem um perímetro de um edifício, elas são conhecidas

ainda por possuírem alta taxa de transmissão de dados e baixas taxas de erros.

Uma maneira de descrever LANs é descrever as características que distinguem uma

rede local a partir de outros tipos de redes. As características mais comuns são:

Âmbito geográfico pequeno;

A velocidade rápida;


24/92

23

Mídia especial (uso comum de cabo coaxial e fibra óptica, bem como par

trançado);

A propriedade privada.

Redes Metropolitanas (MANs): De acordo com (TANENBAUM, 2003), uma rede

metropolitana ou MAN é uma rede que abrange uma cidade, sendo o exemplo mais

conhecido a televisão a cabo disponível em muitas cidades, podemos então entender o

conceito de MAN ao aplicá-la em uma empresa com uma central e várias filiais localizadas

em uma mesma cidade, por exemplo. Essas filiais possuem suas LANs e também estão

conectadas com a central.

Redes Geograficamente Distribuídas (WANs): São redes que compreendem grandes

áreas, como países e continentes. São ligações de várias MANs. A topologia de rede, refere-

se ao “layout físico” e ao meio de conexão dos dispositivos na rede, ou seja, como estes

estão conectados. Os pontos no meio onde são conectados recebem a denominação de nós,

sendo que estes “nós” sempre estão associados a um endereço, para que possam serreconhecidos pela rede”.

Figura 3: Exemplo de rede Metropolitana (MAN)

Fonte: (TANENBAUM, 2003)


25/92

24

Quanto ao que diz respeito a Topologia das redes de computadores, temos:

2.1.2 Classif icação baseada na Topol ogia

Topologia em Anel (Token Ring): Cada computador possui dois cabos, cada umdestes conectado a seus computadores adjacentes. Nessa topologia há um token que circula

a rede. Quando esse token chega vazio em um micro, este tem a possibilidade de enviar um

quadro de dados para outro micro da rede. O token10 circula indefinidamente, sempre

procurando o endereço do destino do quadro de dados e assim repetir todo processo

10 O Token Ring utiliza um símbolo formado por uma trama de três bytes (token), que funciona ao circular emuma topologia de anel onde as estações precisam aguardar a sua recepção para poderem transmitir. A partir daí, atransmissão é realizada durante uma pequena janela de tempo e apenas pelas que possuem o token.

Figura 4: Exemplo de uma rede Continental (WAN)

Fonte: (TANENBAUM, 2003)


26/92

25

novamente. Importante citar que essa topologia é quase imune a colisão de pacotes, devido

à forma do token trabalhar.

Figura 5: Topologia em Anel


Topologia em Estrela: Os nós (estações) são conectados por um ativo de rede

concentrador, normalmente um switch. Se um cabo partir apenas a conexão dos ativos que

ele conecta irá ser interrompida. É a principal topologia utilizada em redes Ethernet.

Figura 6: Topologia em Estrela


27/92

26


Topologia em Barramento: Nesta configuração todos os nós se ligam ao mesmo

meio de transmissão. A barra é geralmente compartilhada em tempo e frequência,

permitindo transmissão de informação. Essa topologia utiliza como meio de transmissão o

cabo coaxial. Há de se observar que caso haja vários computadores interligados através de

um HUB essa estrutura não se caracteriza estrela, e sim barramento, pois um HUB utiliza

um único meio de transmissão, ou seja barramento. Essa estrutura acaba recebendo o nome

de Estrutura Física de Estrela e Lógica de Barramento.

Figura 7: Topologia em Barramento


Topologia sem Fio: É a topologia que permite que computadores se comuniquem

sem a necessidade de cabos. Para isso é necessário um equipamento conhecido como Ponto

de Acesso ou Access Point11

. Suas principais características são a pouca segurança, taxaelevada de erros e, em contrapartida, sua flexibilidade e mobilidade.

Topologia Mista: Redes que utilizam mais do que uma topologia ao mesmo tempo.

Isso tem se tornado cada vez mais comum, principalmente a utilização de várias topologias

11 Access Point é um dispositivo que conecta rede sem fio para um sistema de fios. Então tem que ter pelo menosduas interfaces: wireless - WLAN - com padrão 802.11, e com fio - LAN - usando 802.3.


28/92

27

estrelas, formando uma topologia em arvore, se comunicando com uma rede de topologia

sem fio.

2.2 Modelos de Referência

Modelos de referência são definições que estabelecem descrição, estrutura de uma

determinada tecnologia, um ponto de referência que buscamos seguir para que possamos

nos comunicar. Em outras palavras, um modelo de referência pode ser comparado ao

processo de comunicação, pois para nos comunicarmos necessitamos de mensagem, meio,

canal e estes são componentes de todo contexto da comunicação.

2.2.1

Protocolos de Rede

Para que haja uma comunicação efetiva, dispositivos de rede usam os protocolos,

que são um conjunto de diretrizes ou regras, para a troca de informação pela rede, ou seja,

protocolos de redes são a forma de ativos e computadores se comunicarem por uma rede de

dados, (ANDERSON e BENEDETTI, 2011). Entretanto, para que haja realmente a

comunicação vários protocolos são utilizados, cada um com uma finalidade diferente. Há

uma infinidade de protocolos, citaremos alguns protocolos da camada de aplicação do

modelo de referência TCP/IP (explicado logo a baixo) que são os mais utilizados.

HTTP: HyperText Transfer Protocol é um protocolo de comunicação

utilizado para transferência de páginas HTML do computador para a

Internet.

SNMP, Simple Network Management Protocol é um protocolo de gerência

típica de redes TCP/IP, da camada de aplicação, que facilita o intercâmbio

de informação entre os dispositivos de rede, como placas e comutadores. O

SNMP será detalhado mais a baixo.

POP3: Post Office Protocol é um protocolo utilizado no acesso remoto a

uma caixa de correio eletrônico. Ele está definido no RFC 1225 e permite

que todas as mensagens contidas numa caixa de correio eletrônico possam

ser transferidas sequencialmente para um computador local.


29/92

28

SMTP: Simple Mail Transfer Protocol (SMTP) é o protocolo padrão para

envio de e-mails através da Internet. SMTP é um protocolo relativamente

simples, baseado em texto simples, onde um ou vários destinatários de uma

mensagem são especificados sendo, depois, a mensagem transferida.

NTP: Network Time Protocol é um protocolo para sincronização dos

relógios dos computadores baseado no UDP (TCP/IP), baseados em alguma

fonte confiável de tempo.

DHCP: Dynamic Host Configuration Protocol é um protocolo de serviço

TCP/IP que oferece configuração dinâmica de terminais, com concessão de

endereços IP de host e outros parâmetros de configuração para clientes de

rede.

Como citado anteriormente, estes são protocolos da camada de aplicação, porém não

os únicos. Entretanto, é comum o monitoramento de tais protocolos para verificar se o

serviço que eles empregam está funcionando.

2.2.2 Modelo de referênci a OSI

O modelo OSI (Open System Interconnection) foi desenvolvido em 1984 pela ISO

(International Standardization Organization). Seu propósito foi desenvolver um padrão

aberto, que pudesse ser seguido por futuros protocolos de rede. Esse modelo possui sete

camadas, também denominadas de níveis, que juntas formam uma pilha, onde cada camada

na pilha recebe e provê informações para as camadas adjacentes.Tanto (TANENBAUM, 2003) quanto (TORRES, 2014) veem como objetivo da OSI

facilitar a interconexão de sistemas de computadores, a ISO desenvolveu esse modelo de

referência teórico chamado para que os fabricantes pudessem criar protocolos a partir desse

modelo, tendo como objetivo a padronização internacional.

Teoricamente, cada camada possui um protocolo responsável por ela, cada camada

presta um serviço para sua camada superior, esse serviço é encapsulado, ou seja, cada

camada não sabe como e o que foi feito pela outra camada, basta ela saber o que precisa


30/92

29

receber e o que precisa enviar. Protocolos são regras de controle que gerem os pacotes que

são trocados pelas camadas.

O modelo OSI possui sete camadas, completamente independente entre si, sendoelas:

Aplicação: Responsável pela interface entre a pilha de protocolos e o aplicativo que

solicitou ou receberá a informação. Exemplo de protocolos dessa camada: HTTP,

FTP, SMTP;

Apresentação: Responsável por converter os dados recebidos da camada de

aplicação em um formato comum para ser usado pela transmissão desse dado, nessa

camada que ocorre a compressão de dados e também a criptografia, o SSL é um

protocolo dessa camada;

Sessão: Responsável por estabelecer uma sessão de comunicação e sincronização;

Transporte: Responsável por receber os dados vindo da camada de sessão, dividi-

los em pacotes de dados, repassar e assegurar que todos chegarão à camada de rede.

Os protocolos mais conhecidos dessa camada são o TCP e o UDP;

Rede: Responsável pelo endereçamento lógico dos pacotes de dados (comunicação

entre diferentes arquiteturas de rede, por exemplo um pacote de dados saindo de

uma rede Ethernet e chegando, com sucesso, a uma rede Token Ring) e pela tradução

de endereços lógicos em endereços físicos, é responsabilidade da camada de Rede

saber qual a rota que os pacotes terão que realizar para chegar ao seu destino. O protocolo IP pertence a essa camada;

Enlace: Ou link de dados é responsável por receber os pacotes da camada de rede e

transformá-los em quadros ou células que irão trafegar pela rede, adicionando

informações como endereço da placa de rede de destino e checksum. É

responsabilidade dessa camada, verificar se o meio está disponível para uso;


31/92

30

Física: É a responsável por tratar a transmissão dos bits puros, ou seja transmite os

quadros em sinais elétricos, luminosos ou de radiofrequência. Assim como a camada

de Enlace, a camada Física é controlada por hardware. Fazem parte dessa camada

os protocolos Ethernet, Token Ring, FDDI, X.25, Retransmissão de Quadros, RS-

232, v.3;

Figura 8: O modelo de referência OSI

Fonte: (TANENBAUM 2003)

A figura 8 demonstra, de acordo com (TANENBAUM, 2003), como estão dispostas

as camadas do modelo OSI e qual caminho segue seus protocolos.

Cabe observar, que essas definições foram tratadas de forma resumida, visto que

elas são assunto para livros inteiros.


32/92

31

2.2.3 Modelo de referência TCP/I P

O conjunto de protocolos TCP / IP funciona em um modelo de rede OSI. Cada

camada tem sua própria funcionalidade definida de forma muito clara. O TCP é um protocolo da camada de transporte, e o IP é uma camada de rede. O TCP gerencia a conexão

e a integridade dos dados, enquanto que o IP é responsável pela entrega de dados para o

destino correto.

A camada de enlace controla a transmissão e recepção de pacotes de dados através

da conversão em sinais digitais e conversão de sinais em dados digitais. O meio físico, na

verdade, carrega todos os dados e sinais de controle, sob a forma de tensão ou ondas, (SETH

e VENKATESULU, 2008).

O IP, por outro lado, transporta dados TCP através da internet. O IP tem muitas

funcionalidades, como roteamento, enviando de volta mensagens de erro para o remetente,

criptografia de pacotes, NAT, e assim por diante. O modelo TCP/IP baseia-se em quatro

camadas, todos os protocolos que pertencem ao conjunto de protocolos TCP/IP estão

localizados nas três camadas superiores.

Figura 9: O Modelo TCP/IP Fonte: (MICROSOFT TECHNET, 2015)

Aplicação: Define os protocolos de aplicativos TCP/IP e como os

programas host estabelecem uma interface com os serviços de camada de


33/92

32

transporte para usar a rede. HTTP, HTTPS, FTP, e muitos outros conhecidos

fazem parte desta camada;

Transporte: Fornece gerenciamento de sessão de comunicação entre

computadores host. Define o nível de serviço e o status da conexão usada

durante o transporte de dados, exemplo de pacotes são TCP, UDP, RTP;

Internet: Empacota dados em quadros IP, que contêm informações de

endereço de origem e de destino usadas para encaminhar quadros entre hosts

e redes. Executa o roteamento de quadros IP. Os protocolos IP, ICMP, ARP,

RARP pertencem a essa camada;

Interface com a Rede: Especifica os detalhes de como os dados são

enviados fisicamente pela rede, inclusive como os bits são assinalados

eletricamente por dispositivos de hardware que estabelecem interface com

um meio da rede, como cabo coaxial, fibra óptica ou fio de cobre de par

trançado. Os protocolos Ethernet, Token Ring, FDDI, X.25, Retransmissão

de Quadros, RS-232, v.3 fazem parte desta camada.

Figura 10: Comparação OSI / TCPFonte: (TORRES, 2014)


34/92


35/92

34

Gerenciamento de falha: O gerenciamento de falha engloba: detecção da falha,

isolamento e correção de operações anormais do ambiente OSI. Falhas causam sistemas

abertos a não conseguirem atingir seus objetivos operacionais, e elas podem ser constantes

ou momentâneas. Falhas se manifestam em eventos particulares, como erros, na operação

de um sistema aberto. A detecção de erros fornece a capacidade de identificar falhas.

Funções do gerenciamento de falhas incluem:

Manter e examinar logs de erros

Agir de acordo com notificações de detecção de erros

Rastrear e identificar falhas

Realizar sequências de testes de diagnóstico

Corrigir falhas

Gerenciamento de configuração: O gerenciamento de configuração identifica,

exerce controle, coleta e fornece dados para sistema abertos com o objetivo de preparar,

inicializar, prover a contínua operação e terminar serviços de interconexão. Funções do

gerenciamento de configuração incluem:

Definir os parâmetros que controlam a operação cotidiana do sistema aberto

Associar nomes com objetos gerenciados e conjuntos de objetos gerenciados

Inicializar e encerrar objetos gerenciados

Coletar informações da demanda sobre o estado atual do sistema aberto

Obter informações sobre mudanças significativas no estado do sistema

aberto

Alterar a configuração do sistema aberto

Gerenciamento de contabilidade: O gerenciamento de contabilidade possibilita

que sejam estabelecidas cobranças pelo uso dos recursos no ambiente OSI, e que os custos

sejam identificados. Funções do gerenciamento de contabilidade incluem:

Informar aos usuários sobre custos gerados ou recursos consumidos

Possibilitar que sejam estabelecidos limites de contabilidade e tarifas

diferenciadas associadas ao uso dos recursos


36/92

35

Permitir que os custos sejam combinados quando múltiplos recursos forem

requisitados para alcançar um determinado objetivo de comunicação

Gerenciamento de desempenho: Para permitir a avaliação do comportamento dos

recursos no ambiente OSI, assim como a eficácia nas atividades de comunicação, existe o

gerenciamento de desempenho. Suas funções incluem:

Coletar informações estatísticas

Manter e examinar logs dos estados do sistema

Determinar o desempenho do sistema sob condições naturais e artificiais

Modificar os modos de operação do sistema com o objetivo de conduzir

atividades de gerenciamento de desempenho

Gerenciamento de segurança: O objetivo do gerenciamento de segurança é apoiar

a aplicação de políticas de segurança através de funções que incluem:

A criação, deleção e controle de serviços e mecanismos de segurança

A distribuição de informações de segurança

A descrição de eventos relacionados à segurança

FAULT

(Falha)

CONFIGURATION

(Configuração)

ACCOUNTING

(Contabilidade)

PERFORMANCE

(Desempeho)

SECURITY

(Segurança)

F

C

A

P

S

Figura 11: O modelo de gerência FCAPS



37/92

36

2.3.2 SNMP

Devido a evolução dos ambientes computacionais, houve também um aumento na

complexidade de gerenciar e monitorar. Para resolver esse problema, surgiram váriassoluções para auxiliar no gerenciamento de redes. Esses programas de gerenciamento de

rede reúnem várias ferramentas de monitoramento e de controle. Sua função é coletar

estatísticas do movimento dos dados e vigiar as condições que excederem o limite dos

programas. Ao detectar algum problema, alertam o programa de gerenciamento central, o

que pode desencadear ações de reinicialização, roteamento ou em pedido de ajuda através

de alarmes e avisos, (MAURO e SCHMIDT, 2005).

De uma forma geral, os fabricantes adotam padrões que permitem a operação de

programas gerenciadores. Dentre esses o mais conhecido é SNMP. O SNMP foi

apresentado em 1988 para atender a demanda por um protocolo que pudesse gerenciar

dispositivos IP. É um protocolo da camada de aplicação que tem como objetivo coletar e

transportar informações dos dispositivos encontrados na rede. Com isso ele possibilita ao

administrador gerenciar o desempenho da rede monitorando hardware de equipamentos

como interfaces de redes, processadores, memória, além de outros dados como fabricante,

modelo e temperatura. Ele usa um simples conjunto de comandos para recuperar econfigurar informações.

Muitos tipos de dispositivos suportam SNMP, incluindo roteadores, switches,

servidores, estações de trabalho, impressoras, modem e fontes de alimentação ininterrupta

(nobreaks). A informação que você pode monitorar varia de itens relativamente simples e

padronizados, como a quantidade de tráfego de uma interface de rede a informações como

a temperatura do ar dentro de um roteador, MAURO e SCHMIDT (2005)

O SNMP trabalha com basicamente cinco comandos:

GET: Leitura de um valor de uma ou mais variáveis

SET: Atribui um valor a uma variável

GET-NEXT: permite ler o valor de uma ou mais instâncias de variáveis sem

conhecer o nome exato da mesma

GET-RESPONSE: retorna o resultado de uma operação de leitura


38/92

37

TRAP: Um comando que o dispositivo gerenciado envia ao agente com

alguma informação. É um evento disparado pelo objeto gerenciado envia ao

NMS

A topologia de uma rede gerenciada por meio de SNMP inclui 03 (três) elementos:

1. Dispositivos Gerenciados: São os dispositivos da rede que serão gerenciados e que

possuem suporte ao protocolo SNMP, exemplo: roteadores, switches, dispositivos

wireless, servidores entre outros menos comum como catracas e câmeras IP.

2.

Agentes: Módulos de software que armazenam informações dos dispositivosgerenciados (roteadores, switches...) em uma base de informações altamente

estruturada conhecida como MIBs ( Management information base). Em um

roteador pode-se ler a quantidade de pacotes que passam por uma interface, estes

dados são armazenados pelos agentes em uma base local (MIBs) dentro do próprio

roteador. Os agentes também podem armazenar informações como quantidade de

processamento, ocupação de memória, temperatura do dispositivo,

quantidade mensagens de erro, número de bytes e de pacotes recebidos e enviados,quantidade de mensagens de broadcast enviadas e recebidas entre ouras varáveis de

gerenciamento.

3. Sistemas de Gestão de Redes (NMS - Network-Management Systems): Sistema

responsável pelo monitoramento e controle dos dispositivos gerenciados. Permite

que os administradores de redes visualizem as informações de leitura SNMP, através

de gráfico, tabelas, relatórios, alertas por e-mail ou envio de SMS. Um exemplo de

NMS é o Zabbix ou Nagios.


39/92

38

NMS

Estação de

Gerenciamento

Dispositivo de

Rede

COMUNIDADE SNMPMIB

Management

Information Base

MIB

Management

Information Base

SNMP TRAP

SNMP SET

SNMP GET / GET - NEXT

Figura 12: Funcionamento do SNMPFonte: Elaborado pelo próprio autor

O Internet Engineering Task Force13 (IETF) é responsável pela definição do padrão

de protocolos que regem o tráfego de Internet, incluindo SNMP. O IETF é quem publica os

RFC ( Requests for Comments), que são as especificações para muitos protocolos existentes.

A seguinte lista inclui todas as versões do SNMP atuais.

SNMP versão 1 (SNMPv1): O SNMPv1 tem sua origem no protocolo SGMP

(Simple Gateway Monitor Protocol) que está definido na RFC 1028. É a versão inicial do

protocolo SNMP e está definido na RFC 1157. A segurança da SNMPv1 é baseada em

comunidades, que nada mais são do que as senhas de texto simples: uma sequência de

caracteres que permite que qualquer aplicação baseada em SNMP que a conheça possa

ganhar o acesso à informação de gestão de um dispositivo. Há tipicamente três comunidades

em SNMPv1: somente leitura, leitura e escrita, e trap, (MAURO e SCHMIDT, 2005).

O SNMPv1 consiste de três documentos:

RFC 1155 define o Structure of Management Information (SMI). Ou

seja, os mecanismos usados para descrever e nomear os objetos que serão

gerenciados

RFC 1212 define um mecanismo de descrição mais conciso mas é

inteiramente consistente ao SMI.

RFC 1157 define o Simple Network Management Protocol (SNMP)

13 https://www.ietf.org/


40/92

39

SNMP versão 2 (SNMPv2): Na versão 2 do SNMP foram introduzidas várias

melhorias em relação à versão anterior, entre elas vale a pena destacar a possibilidade de

comunicação entre entidades gerentes através das mensagens InformRequest, que tornou

possível o gerenciamento distribuído. É definido na RFC 3416, RFC 3417 e RFC 3418.

O SNMPv2 possui algumas vantagens sobre o SNMPv1. São elas:

Melhora na eficiência e na performance: operador GetBulkRequest;

Notificação de evento confirmado: operador InformRequest ;

Maior detalhamento dos erros;

Modos facilitados de criação e deleção de linhas na MIB;

Melhorias na definição da linguagem de dados.

Alguns objetivos iniciais do projeto não foram implementados. Os objetivos não

alcançados incluem o fornecimento de segurança tais como:

Autenticação: identificação da origem, integridade da mensagem;

Privacidade: confidencialidade;

Autorização e controle de acesso.

SNMP versão 3 (SNMPv3): Além de ser a mais recente versão do SNMP, O SNMP

versão 3 foi criado para suprir uma necessidade de padronização que se fez necessária com

as várias variações do SNMPv2 que tentavam criar soluções de segurança para o protocolo.

Sua principal contribuição, a gestão da rede, é a segurança. Ele adiciona suporte para

autenticação forte e comunicação privada entre entidades gerenciadas. Em 2002, ele

finalmente fez a transição do projeto de norma para a norma completa. Os seguintes RFC

definiram a norma: RFC 3410, RFC 3411, RFC 3412, RFC 3413, RFC 3414, RFC 3415,

RFC 3416, RFC 3417, RFC 3418 e RFC 2576, (MAURO e SCHMIDT, 2005).

Além das definições das questões de segurança, o projeto do SNMPv3 também

objetivou uma padronização de implementação das entidades (agente/gerente),

modularizando suas funcionalidades, o que facilita a evolução de alguns mecanismos do

protocolo sem exigir que novas versões sejam lançadas. Outros objetivos eram a manutenção


41/92

40

de uma estrutura simples, facilitar a integração com outras versões e, sempre que possível,

reaproveitar as especificações existentes.

O SNMPv3 incorporou o SMI e o MIB do SNMPv2, assim como também utilizou asmesmas operações do SNMPv2, apenas com uma reescrita da norma para uma

compatibilização da nomenclatura. Novas ferramentas foram adicionadas no SNMPv3. São

elas:

Segurança;

Autenticação e privacidade;

Autorização e controle de acesso;

Modelo administrativo;

Nomeação das entidades;

Gerência das chaves;

Notificação dos destinos;

2.3.3 Sistemas de Monitoramento e Gerência

Um sistema de gerência de rede pode ser definido como um conjunto de ferramentas

integradas para o monitoramento e controle, que oferece uma interface única e que traz

informações sobre o status da rede podendo oferecer ainda um conjunto de comandos que

visam executar praticamente todas as atividades de gerenciamento sobre o sistema em

questão.

Segundo (FRY e NYSTROM, 2009), a arquitetura geral dos sistemas de

gerenciamento de redes apresenta quatro componentes básicos: “Os elementos gerenciados,as estações de gerência, os protocolos de gerenciamento e as informações de gerência.”

Os elementos gerenciados são dotados de um software chamado agente, que permite

o monitoramento e controle do equipamento através de uma ou mais estações de gerência.

A princípio, qualquer dispositivo de rede (impressoras, roteadores, repetidores, switches,

etc.) pode ter um agente instalado.

Nas estações de gerência encontramos o software gerente, responsável pela

comunicação direta desta estação com os agentes nos elementos gerenciados. Claro que

para que aconteça a troca de informações entre o gerente e os agentes é necessário ainda um


42/92

41

protocolo de gerência que será o responsável pelas operações de monitoramento e de

controle, (FRY e NYSTROM, 2009).

Gerentes e agentes podem trocar tipos específicos de informações, conhecidas como

informações de gerência. Tais informações definem os dados que podem ser utilizados nas

operações do protocolo de gerenciamento.

O sistema de gerenciamento de uma rede é integrado e composto por uma coleção

de ferramentas para monitorar e controlar seu funcionamento. Uma quantidade mínima de

equipamentos separados é necessária, sendo que a maioria dos elementos de hardware e

software para gerenciamento está incorporada aos equipamentos já existentes.

Grande parte das ferramentas de gerência de redes utiliza o RRDTool, um sistemade base de dados Round-Robin criado por Tobias Oetiker sob licença GNU GPL. Foi

desenvolvido para armazenar uma série de dados numéricos sobre o estado de redes de

computadores, porém pode ser empregado no armazenamento de qualquer outra série de

dados como temperatura, CPU e outros. RRD é a abreviação de Round Robin Database.

Alguns dos principais Sistemas de monitoramento da atualidade, são:

NAGIOS: É uma aplicação de monitoramento de redes de código aberto bastante

popular. Ele permite monitorar tanto hosts quanto serviços, alertando o administrador

quando ocorrerem problemas na rede. É utilizado por administradores de redes para que

possam ter um controle sobre os serviços e equipamentos de sua rede. Foi idealizado

inicialmente para ser utilizado em sistemas operacionais Linux e, a partir da versão 3.0.4,

tornou-se compatível com outros Sistemas Operacionais, (KOCJAN, 2014).

A características principais do Nagios são: o monitoramento de serviços de rede

como tráfego de dados de host e serviços que podem ser definidos pelo administrador da

rede, além de monitorar serviços como SMTP (Simple Mail Transfer Protocol), POP3 (Post

Office Protocol), HTTP (HyperText Transfer Protocol), NNTP (Network News Transfer

Protocol), ICMP (Internet Control Message Protocol) e SNMP (Simple Network

Management Protocol). O Nagios monitora também os recursos de servidores como logs

do sistema, carga do processador, uso de memória e uso de disco. O Nagios também trabalha

com plug-ins, permitindo adicionar novas funcionalidades ao mesmo. Os plug-ins podem

ser desenvolvidos em qualquer linguagem, mas a grande maioria é desenvolvida em perl e

python, (BENINI e DAIBERT, 2013).


43/92

42

Um de seus pontos negativos é sua interface web, que não foi atualizada com o

passar dos anos e tornou-se pouco amigável, principalmente para a configuração do sistema.

Suas principais características são:

Monitoramento de serviços de rede;

Monitoramento de recursos de dispositivos;

Monitoramento de sensores;

Diversos plug-ins criados pela comunidade

Notificação de usuários sobre falhas

Possibilidade de armazenar dados em arquivos de texto ao invés de banco de

dados.

Figura 13: Tela Inicial – Nagios

Fonte: (BENINI e DAIBERT, 2013)

ZENOSS: O ZenOSS foi desenvolvido em 2002. Trata-se de um sistema robusto, e

uma de suas características é sua facilidade na configuração, gráficos de qualidade e uma

comunidade ativa, (MOHR, 2012).

Toda sua coleta de dados é feita via SNMP, bastando o servidor buscar essas

informações no dispositivo a ser monitorado. Isso afeta um pouco a questão de flexibilidade


44/92

43

já que os únicos dados capturados são os disponíveis nas tabelas MIB do dispositivo com

SNMP.

Seu ponto negativo é a segurança, pois não há uma documentação específica neste

quesito, além de seu front-end ser web e não possuir o mesmo nível de segurança de seus

concorrentes. Sua instalação é mais complexa que os demais o que exige um conhecimento

mais profundo em ambientes Unix- Like.

Outro ponto ruim é que sua versão Open Source é limitada, necessitando adquirir a

versão paga para ter acesso a todos os recursos da ferramenta

Sua interface também é a que mais se destaca, pois é atrativa e bem trabalhada.

Entretanto, sua interface web é lenta devido a ser desenvolvida em Zope, (BADGER, 2008).

Figura 14: Interface do ZenOSS

Fonte: Zenoss Inc.14

CACTI: É uma ferramenta que recolhe e exibe informações sobre o estado de uma

rede de computadores através de gráficos, sendo um front-end para a ferramenta RRDTool,

que armazena todos os dados necessários para criar gráficos e inseri-los em um banco de

dados MySQL. Foi desenvolvido para ser flexível de modo a se adaptar facilmente a

diversas necessidades, bem como ser robusto e fácil de usar. Monitora o estado de elementos

da rede e programa bem como a largura de banda utilizada e uso de CPU. O Front-end é

14 http://www.zenoss.com/


45/92

44

escrito em PHP e contém suporte as três versões do protocolo SNMP. Sua arquitetura prevê

expansão através de plug-ins criadas pela comunidade que adicionam novas

funcionalidades, (BLACK, 2008).

Dentre os principais recursos destacam-se

Manipulação de dados em gráficos;

Suporte à SNMP

Templates para gráficos;

Templates para fonte de dados

Templates para dispositivos;

Autenticação por LDAP.

Entretanto, uma grande dificuldade encontrada pelos usuários do CACTI é o fato do

mesmo não possuir agente de descoberta automático, assim o administrador de rede tem

que adicionar cada host manualmente à ferramenta.

Figura 15: Painéis do CACTI

Fonte: CACTIC.NET15

15 http://www.cacti.net


46/92

45

Essas soluções possuem suas vantagens e desvantagens e são semelhantes entre si, e seu

desempenho poderá variar dependendo do escopo em que forem implantadas. Entretanto, todas

são concorrentes da solução escolhida, o Zabbix.

2.4 Segurança da Informação e de Redes

O Security Handbook NIST Computer (NIST, 1995) define a segurança da

computação seguinte forma:

A proteção conferida a um sistema de informação automatizada, a fim de atingir osobjetivos aplicáveis de preservação da integridade, disponibilidade econfidencialidade dos recursos do sistema de informação (inclui hardware, software,firmware, informações / dados e telecomunicações).

A gestão de segurança de TI evoluiu consideravelmente ao longo das últimas

décadas. Isso tem ocorrido em resposta ao rápido crescimento e dependência de sistemas

informáticos de trabalho e do aumento associado em riscos para esses sistemas. Na última

década, foram publicadas uma série de normas nacionais e internacionais. Estes

representam um consenso sobre a melhor prática no campo. A Organização Internacional

de Normalização (ISO) reviu e consolidou um número destas normas na série ISO 27000,

(BOSWORTH e JACOBSON, 2014). A informação é um ativo que, como qualquer outro

ativo importante, tem um valor para a organização e, consequentemente necessita ser

adequadamente protegido.

De acordo com (CARUSO e STEFFEN, 2006), independente do setor da economia

em que a organização atue, as informações estão relacionadas intimamente com seus

processos de produção e de negócios. Hoje, a crescente complexidade do mercado, a forte

competição e a velocidade imposta pela modernização das relações corporativas elevaram

a importância estratégica da informação para os negócios. De sua gestão, pode depender o

sucesso ou fracasso de uma organização

A descentralização da informação em compartimento em redes, a necessidade de

conexão entre parceiros, o acesso rápido, a atualização constante da base de dados, a

integração de unidade de negócios e colaboradores internos, a disponibilidade para o cliente,

tudo isto incluindo na grande trama digital em constante expansão que é a internet, são

apenas alguns dos fatores que transformaram a informação na principal moeda de troca do

mundo corporativo.


47/92

46

A Segurança da informação é caracterizada, de acordo com (FERREIRA, 2003) e

também (STALLINGS, 2012) por três propriedades principais:

Confidencialidade: Propriedade que limita o acesso àinformação a entidades legítimas, ou seja, àquelas autorizadas pelo proprietário

de tal informação

Disponibilidade: Se refere ao acesso à informação quando é

preciso, com fácil localização e disseminação. Propriedade que garante que a

informação esteja sempre disponível para seu uso legítimo, ou seja, pelos

usuários autorizados pelo proprietário da informação.

Integridade: Se refere à garantia que a informação não sofreu

nenhum tipo de fraude. Propriedade que garante que a informação manipulada

mantenha todas as características originais definidas pelo proprietário da

informação, incluindo o controle de mudanças e a garantia de seu ciclo de vida

(nascimento, manutenção e destruição).

Figura 16: A pirâmide da Segurança da InformaçãoFonte: (STALLINGS, 2012)

O maior desafio da indústria mundial de segurança é, e talvez sempre tenha sido,

oferecer soluções no tempo mais curto possível, a partir da descoberta de determinada

ameaça ou problema. É importante ressaltar que muitas empresas não sobrevivem mais do

que poucos dias a um colapso em seu fluxo de informação, (CARUSO e STEFFEN, 2006).

Uma das principais portas de entrada para incidentes de segurança no setor

corporativo é a Internet. Isto se deve ao fato de que a maioria das empresas permite que seus


48/92


49/92

48

Ameaças Intencionais: Propositais, como vírus de computador, fraude,

vandalismo, roubo de informações, etc;

Ameaças Involuntárias: Acidentes, falhas não voluntárias, causado por falta

de conhecimento ou sem intenção.

Vulnerabilidades são falhas ou deficiências do sistema de origens diversas, que

quando não identificadas a tempo ou não devidamente tratadas podem revelar brechas para

ataques, (NAKAMURA, 2000). Essas vulnerabilidades provém de diversas origens, como

lista SEMOLA16 apud (SOUZA, 2007):

Agentes da Natureza: Poeira, calor excessivo, humidade, elementos que

causam dano a ativos;

Hardware: Hardware antigo, tecnologia ultrapassada, mal fixação;

Software: Falhas no desenvolvimento;

Mídias de armazenamento: Falhas no armazenamento e inclusão de

malwares, são alguns exemplos;

Meios de comunicação: Cabeamento corrompido, baixa segurança em

Hotspots.

Humanas: Aspectos relacionados ao vazamento de informações, má

utilização de equipamento e software, falta de treinamento, etc.

2.4.2 Mecani smos de Segurança de Redes

São chamadas de ferramentas de segurança de informação o conjunto de software,

hardware e técnicas empregadas com o objetivo de combater ataques à rede, diminuir

vulnerabilidades e, consequentemente, aumentar a segurança da rede, (SOUZA, 2007). O

desenvolvimento de bons mecanismos de segurança para redes é, geralmente, baseado nos

princípios de STALLINGS:

O Antivírus: Ferramentas antimalware são aquelas que procuram detectar e, então,

anular ou remover os códigos maliciosos de um computador. O antivírus é o termo

16 http://www.semola.com.br/


50/92

49

mais utilizado para esse tipo de software pois, apesar do nome indicar que o

programa apenas irá atuar contra vírus, a grande maioria dos novos aplicativos

antivírus também faz varreduras de outras pragas virtuais como worms, trojans e

adwares, como apontado pela cartilha do (CERT.BR, 2014). Faz varredura de

arquivos maliciosos disseminados pela internet ou por correio eletrônico.

Basicamente, sua função se relaciona com a ponta do processo, ou seja, com o

usuário que envia e recebe dados; as vezes pode estar no servidor ou inclusive em

um provedor de serviços, garantindo assim, a integridade dos dados.

Balanceamento de Carga: Ferramentas relacionadas com a capacidade de operar

de cada servidor da empresa. Permitem que, em horários de grande utilização da

rede, seja possível determinar a hierarquia do que está sendo trafegado, assim como

o equilíbrio da carga disseminada entre os servidores. Um dos papéis da segurança

corporativa é garantir a disponibilidade da informação, algo que pode ser

comprometido, se não houver um controle preciso da capacidade de processamento

da empresa.

Firewall: É uma solução de segurança baseada em hardware ou software que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para

determinar quais operações de transmissão ou recepção de dados podem ser

executadas. Atua como uma barreira e tem a função de controlar os acessos. São

soluções que administram tudo o que deve entrar e sair da rede corporativa.

Tecnicamente, a definição de firewall é algo simples. “Firewall é todo esforço físico

e lógico utilizado para prover segurança de uma rede de computadores”, (FILHO,

2013). Os Firewalls podem ser dividos em duas grandes classes: Filtros de pacotese servidores proxys, (LAUREANO, 2005):

o Filtros de Pacotes: A filtragem de pacotes é um dos principais

mecanismos que, mediante regras definidas pelo administrador

do firewall, permite ou não a passagem de datagramas IP’s em

uma rede. Por exemplo, filtrar pacotes SSH impedindo que o

trafego SSH seja realizado na rede.

o Servidores Proxy: Permite executar a conexão ou não a serviços

de uma rede indiretamente. Normalmente os proxies são


51/92

50

utilizados também como caches de conexão com serviços web,

dessa forma acelerando a resposta a certos serviços e páginas da

web.

Sistema Detector de Intrusão (IDS): É uma ferramenta que tem como função

monitorar o tráfego contínuo da rede e identificar ataques em tempo real. É um

complemento do firewall. O IDS se baseia em dados dinâmicos para realizar sua

varredura como por exemplo, pacotes de dados com comportamentos suspeitos e

códigos de ataque, (FILHO, 2013).

Varredura de vulnerabilidade: Os portscan são produtos que permitem realizar

verificações regulares em determinados componentes de sua rede, tais como

servidores e roteadores. O objetivo dessas ferramentas é encontrar brechas de

sistemas ou de configurações. Seu funcionamento consiste em realizar uma

varredura no alvo buscando portas abertas, essa técnica é utilizada tanto por

atacantes que buscam descobrir brechas para invasão quanto por profissionais de SI

que procuram verificar quais portas realmente necessitam estar abertas para

funcionamento de determinado serviço. Um exemplo de scanner de rede é oconhecido Wireshark 17. Algumas portas lógicas que podem ser descobertas por uma

ferramenta de varredura:

o SSH: Porta 22;

o HTTP: Porta 80;

o Telnet: Porta 23.

Rede virtual privada (VPN): VPNs são redes virtuais sobrepostas às redes

públicas, mas com a maioria das propriedades das redes privadas, (TANENBAUM,

2003). São chamadas de virtuais por criarem, na internet, uma conexão entre pontos

como se fosse uma rede local. O conceito de VPN surgiu da necessidade de se

utilizar redes de comunicação não confiáveis para trafegar informações de forma

segura. As redes públicas são consideradas não confiáveis, tendo em vista que os

17 https://www.wireshark.org/


52/92

51

dados que nelas trafegam estão sujeitos a interceptação e captura. As VPNs provêm

confidencialidade, devido a utilização de chaves públicas de criptografia,

integridade e autenticidade, já que, para se ter acesso ao conteúdo trafegado ambos

os lados precisam ser autorizados a trafegar pela rede. Uma das principais vantagens

das VPNs é a redução de custos com comunicações corporativas, pois elimina a

necessidade de links dedicados de longa distância que podem ser substituídos pela

Internet, (LAUREANO, 2005).

Criptografia: A criptografia fornece base para implementação de serviços de

segurança como a confidencialidade, integridade, autenticidade e não repúdio.

Trata-se de um processo de codificar os dados de um arquivo, mensagem ou dado

qualquer, de forma a torná-lo ilegível; para reverter esse processo precisa-se de uma

chave que possui a codificação para tornar o dado legível novamente. As chaves

criptográficas podem ser simétricas (privadas) ou assimétricas (públicas). Na

criptografia simétrica, a chave utilizada para criptografar é a mesma utilizada para

descriptografar. Já as chaves assimétricas, a chave utilizada para criptografar não

pode ser a usada para reverter o processo; isso é somente possível com outra chave,

(CARUSO e STEFFEN, 2006).

Autenticação: Processo de identificação de pessoas habilitadas para acessos. A

autenticação, e consequente autorização da manipulação dos dados, pode se basear

em algo que o indivíduo sabe (senha por exemplo), que tem (dispositivos tais como

tokens de segurança, cartões inteligentes, certificados digitais) ou com alguma

característica física que o define (leitura de íris, linhas das mãos)

Observando os mecanismos de segurança de uma rede de dados notamos como a SI

é intimamente ligada à gerência de redes, entretanto nas bibliografias de autores consultados

como (FERREIRA, 2003), (STALLINGS, 2012) e (CARUSO e STEFFEN, 2006) não citam

ferramentas de gerência e monitoramento de redes com a finalidade de apoiar os mecanismos

de segurança da informação. A ferramenta de monitoramento Zabbix atua como um

complemento para as ferramentas de SI, monitorando e gerenciando todos os ativos da rede,

verificando portas abertas, serviços rodando e sua disponibilidade. Com a análise de hash é

possível verificar a integridade de arquivos de senhas, pode atuar em conjunto ao firewall e


53/92

52

ao proxy monitorando páginas acessadas ou mesmo o uso de proxies externos. O Zabbix

implantado e trabalhando em conjunto com as outras soluções que a Câmara já possui, que

será muito mais rápido e fácil localizar um erro ou falha quando o mesmo ocorrer e tomar

medidas preventivas.

3 O ZABBIX

O Zabbix é uma solução de código livre de monitoramento para empresas. É um

software que monitora diversos parâmetros de diversos ativos em uma rede de

computadores.

Zabbix foi criado por Alexei Vladishev em 1998. A ideia

Documents

MONITORAMENTO E SEGURANÇA