Professional Documents
Culture Documents
1/26
Segurana em Infra-estrutura
Prof. Ricardo Bernardo Santos
Ps-graduao lato sensu
Gesto em Segurana da Informao
BELO HORIZONTE
FACE
Universidade FUMEC
2009
Sumrio
1. Introduo......................................................................................................................2
2. O CACTI..........................................................................................................................5
3. A Suite Trauma Zero.....................................................................................................19
4. COMPARATIVO..............................................................................................................23
REFERNCIAS BIBLIOGRFICAS E DE CONSULTA..............................................................25
1. Introduo
40
50
2. O CACTI
O Cacti, outrora projetado para ser uma soluo de front-end para o RRDtool, torna-se
uma plataforma completa e extremamente funcional para monitorao de infra-estrutura de TI
e aderncia com normas e melhores prticas de mercado. Sua extensibilidade, alcanada com
100um framework de plugins pode torna o sistema pronto para monitorar ambientes de grande
porte e complexidade. Vamos entender mais sobre o Cacti ao longo deste documento.
2.1. Introduo ao RRD Tool
O Cacti uma soluo de front-end para o RRDTool, o que por si s j uma proposta
de soluo de gesto de infra-estrutura elaborada, pois o RRDTool foi criado por Tobias
Oetiker como sucessor direto do MRTG (Multi-Router Traffic Grapher). O MRTG, tambm
de autoria de Tobias Oetiker (ou Tobi como gosta de ser chamado) estabeleceu-se ao longo
das ltimas dcadas como uma das principais e mais utilizadas soluoes de gesto de infra110estrutura de TI. Seja de forma independente e isolada, ou combinado com outros componentes
de soluo, o MRTG sempre foi uma soluo recomendada e adotada como de-facto standard
pela indstria, devido a sua facilidade de uso, integrao com o padro SNMP, flexibilidade
para gerar grfico tendo outras fontes de dados que no SNMP (como shell scripts, aplicaes
WMI e qualquer coisa que pudesse ser chamada automaticamente e gerasse algum resultado
mensurvel), e devido a ser uma soluo essencialmente aberta. Escrito em linguagem Perl e
de licena livre, o MRTG poderia estar disponvel em praticamente qualquer ambiente.
Todavia, o MRTG dispunha de inmeras limitaes, conhecidas por todos,
especialmente seu criador, Tobi Oetiker. Dentre as principais limitaes, MRTG no plotava
grficos de informaes numricas no inteiras (numeros reais), no plotava grficos
120negativos, no dispunha de funes matemticas pre-definidas flexveis, to pouco dispunha
de recursos para customizar funes matemticas. MRTG ainda uma soluo baseada em
componentes de captura e de atualizao de origem de dados, e a cada obteno/caputura de
informaes e atualizao na base de origem de dados, o MRTG gerava novos grficos,
independente se seriam utilizados naquele momento. Por ltimo a incapacidade de gerar
grficos de intervalos aleatreos de tempo, complementa apenas algumas das principais
limitaes que o MRTG tinha.
Afim de eliminar essas e flexibilizar uma soluo como o MRTG, seu autor criou o
Round Robin Database Tool, uma sute de aplicaes baseada em um formato de banco de
dados matricial constante, com adio/incluso de dados alternados (round-robin), com o
130objetivo de substituir completamente o MRTG.
O RRDTool foi construdo de forma mais elaborada. A sute capaz de gerenciar base
dados constante e plotar grficos de informaes dos mais variados tipos, como contadores
incrementais que zeram seu valor aps crescimento de sua matriz (como um odmetro de
automvel), indicadores de ocilao linear no previsvel (como temperatura, nveis de
humidade, etc), entre outros tipos de informaes, lineares ou no, previsveis ou no,
padronizadas ou no.
A sute RRDTool conta ainda com recursos de deteco de anomalias
(comportamentos incoerentes e inesperados), com consolidao de informaes e formatao/
converso de unidades de medida e mtricas formais. Permite a customizao de funes
140matemticas, e elimina com imensa extensibilidade todas as limitaes do MRTG.
Tal qual o MRTG o RRDTool se tornou um padro de-facto na indstria. Hoje desde
solues comerciais como produtos da Cisco, da Computer Associates solues Open
Source como Cacti, Nagios e NTOP, usam o RRDTool. Talvez o principal diferencial do
RRDTool no entanto, seja a forma como armazena as informaes sendo monitoradas: em um
banco de dados de tamanho constante e categorizado, indexado de forma matricial: suficiente
para armazenar, analisar, cruzar e entender as informaes coletadas para gerar de fato,
informao de gesto de qualquer tipo de origem de dados (Data Source).
2.2. Motivao para o Cacti
150
Embora o RRDTool seja poderoso e flexivel, ele perdeu uma das principais vantagens
que o MRTG tinha: a facilidade de entendimento e uso da ferramenta. RRDtool deixou de ser
uma ferramenta baseada em um arquivo centralizado de configurao, e se tornou uma sute,
onde cada ferramenta tem sua funo, e seu uso deve ser sistematizado e repetitivo.
esse o ponto onde entram o Cacti e outras ferramentas disponveis: na definio
sistmica de como utilizar o RRDtool de maneira uniforme, funcional, e novamente de forma
fcil.
O Cacti portanto, a princpio, apenas um front-end completo para o RRDTool, que
armazena todas as informaes sistmicas necessrias para obter informaes, popular dados,
160criar e plotar grficos. Apesar do RRDTool ter sua prpria base de dados (Round Robin
Archive), o Cacti utiliza o MySQL como base de dados auxiliar, armazenando nesta
Com Cacti voc consegue manter os grficos, as origem de dados e os banco de dados
RRA para cada grfico sendo monitorado. Por fim, o Cacti tem suporte a SNMP, garantindo
todo o potencial que voc tinha originalmente com o MRTG.
2.3. Origem de Dados Data Sources
Afim de garantir melhor controle de manuseio de processos de obteno de dados,
possvel utilizar alm de consultas a MIBs/OIDs SNMP, qualquer outro dado obtido de fontes
externas. Comandos externos, scripts, dados SNMP, qualquer forma de obter informaes
uma forma vlida para monitorar aquele recurso. Dados obtidos dessa forma so capturados
Tendo uma ou N origens de dados, possvel plotar grficos com base nas
informaes coletadas. O Cacti suporta praticamente qualquer tipo de grfico imaginvel que
possa ser modelado e plotado com o RRD Tool, seja utilizando os tipos de grficos e funes
de consolidao existentes, ou customizando suas prprias funes de consolidao
matemtica. Permite a customizao de cores, adio de reas de texto aleatrias alm de
Viso em Lista: onde voc v uma lista de grficos, lado-a-lado, de todos os grficos
disponveis, paginandos no navegador de N em N grficos, e na periodicidade desejada
(dirio, semanal, mensal, hora-em-hora, etc); similar a forma indexada padro de
apresentao do saudoso MRTG;
Viso Preview: Voc seleciona quais grficos quer ver e em que periodicidade.
Customiza da forma que desejar visualizar.
210
Viso em rvore: Talvez uma das disposies mais funcionais, pois permite a
configurao de apresentao hierrquica das informaes monitoradas, em formato
de rvore.
Os grficos no Cacti so plotados em tempo real. Isso quer dizer que os grficos que
230
Dessa forma possvel, por exemplo, criar um usurio que consiga enxergar alguns
grficos e modificar os parmetros de configuraes de apenas um conjunto ainda menor
dentre os que ele consegue visualizar, sem ter qualquer tipo de acesso a todos os outros
grficos ou demais componentes do sistema.
Cada usurio tem ainda suas prprias customizaes e preferncias, no havendo
interveno entre eles, e to pouco o padro utilizado em um causando impacto de usabilidade
ou acrscimo na curva de aprendizado/adaptao do usurio.
Como se no fosse o suficiente, o sistema multi-usurio do Cacti permite ainda a
customizao da origem dos usurios, suportando autenticao com base de usurios do tipo:
240
250
2.5. Templating
A repetio sistmica de atividades no Cacti extremamente poderosa e funcional.
baseada no conceito de templates, onde podemos criar templates das mais variadas
combinaes de dados, facilitando a escalabilidade da implantao (deployment) de uma
soluo baseada em Cacti em um ambiente muito grande, com literalmente milhares de ativos
sendo monitorados. possvel criar os seguintes tipos de templates por padro:
260
10
270
280
290
percebemos ser exclusivamente, um front-end para o RRDTool, que por sua vez
exclusivamente, uma ferramenta de gerenciamento de grficos. Talvez uma das mais
elaboradas e poderosas, mas so apenas isso. Dessa forma, o Cacti normalmente utilizado
em conjunto com outras ferramentas, como Nagios e Zabbix que fazem uma monitorao de
forma que o Cacti no faz.
No entanto, a facilidade que o Cacti oferece para gerar grficos de praticamente
300qualquer tipo de informao, torna-o ferramenta com grande potencial para monitorar
essencialmente tudo que as demais ferramentas abrangem, mas de uma forma diferenciada.
Tendo observado as limitaes existentes no Cacti e ao mesmo tempo o potencial da
ferramenta, a comunidade de usurios Cacti criou um framework de extensibilidade para ele,
e o batizou de Plugin Archicture for Cacti, que , de fato, exatamente o que o nome sugere,
uma arquitetura de plugins, que permite adio de recursos base do cacti
Esse framework de extenses foi projetado com objetivo de ser simples, em sua plena
natureza, e ao mesmo tempo robusto. De fato a abordagem permite interveno em
praticamente qualquer componente crtico do Cacti, de forma plenamente estruturada e bem
documentada. A facilidade de crar hooks (ligaes) estratgicas no Cacti atravs de sua
310Arquitetura de Plugins segundo os criadores, a clareza de design e excelncia de codificao
do Cacti. Pouca mudana foi necessria para ter o framework criado e mantido.
A arquitetura de plugin do Cacti est prevista para ser integrada com o produto
quando este sair da verso 0.8 e chegar na verso 0.9 (ou 1.0 diretamente). Portanto o
framework que extende o Cacti com plugins, hoje, no nativo. Precisar ser instalado
separadamente atravs da aplicao de patches ou sobreposio de arquivos.
O uso desse framework adiciona o recurso de Gerncia de Plugins, atravs do qual
possvel instalar, ativar e desligar cada um dos plugins disponveis no sistema, alm de
acompanhar a verso do plugin instalado, o Copyright e qual o autor de cada extenso do
Cacti.
320
acompanhamento de tendncia de demanda de servios gerncia de necessidades tornouse questo de tempo. E uma boa parte das principais demandas foram alcanadas com alguns
330poucos plugins de extenso.
Vejamos alguns dos principais plugins de extenso do Cacti:
340
350
360
Cycle: Permite que o sistema fique alternando de forma cclica entre todos os grficos
380
Docs: Com esse plugin voc consegue criar e associar notas e documentaes
especficas a cada device (ativo) monitorado, enriquecendo sua documentao interna
e adicionando aderncia as prticas ITIL;
390
Host Info: Oferece uma viso estratgia ao centro de operaes de rede apresentando
que recursos esto instalados e configurados naquela instncia do Cacti. Com esse
plugin voc consegue facilmente identificar a verso PHP instalada, verso SNMP,
todos os plugins instalados, entre outras informaes internas.
400
Mac Track: Oferece recurso de inventrio de Mac Address. Permite que o gestor
cadastre, autorize ou rejeite alguns endereos MAC na rede. Permite a criao de
alertas; tem base de dados de associao dos primeiros 24 bits de MAC por fabricantes
de acordo com o associado pela IANA. Faz varredura automatizada (tipo discovery) de
endereos MAC. Permite que voc tenha controle sobre que MACs esto em que
endereos IP e sobre apario de MACs desconhecidos. Permite tambm rastrear que
IP estava em que MAC em uma data anterior, consolidando informaes em setups
que envolvam configurao de ambiente DHCP ou outro protocolo dinmico de
endereamento;
410
Monitor: Esse um dos principais plugins de extenso para o Cacti; com ele
possvel ter uma viso estratgica de todos os ativos sendo monitorados. Os ativos
podem ser apresentados de forma agrupada, por setor da organizao; pode refletir o
agrupamento das rvores de grficos; pode ser apresentado em formato de lista, em
formato compactado, com ou sem legenda. Apresenta de forma visual (caixas
coloridas) o estado dos ativos monitorados, sendo verde para ativos plenamente
disponveis, vermelho para ativos indisponveis, amarelo para ativos disponveis mas
com mtricas de qualidade quebradas (integrao com o plugin thold), azul para ativos
que estavam indisponveis e agora esto se recuperando. Apresenta informaes de
alerta em conformidade com a NBR ISO/IEC 27001 e NBR ISO/IEC 27002, bem
420
de
hosts
seja
seletiva,
podendo
desabilitar
monitorao
430
440
boto ao lado de cada grfico sendo plotado; o sistema acompanha um poller de relatime utilizado em Ajax para plotar os grficos; as janelas so criadas com tamanho
dinmico, automaticamente de acordo com o tamanho do grfico; oferece a
sincronizao de informaes entre janelas.
RouterConfigs: Outro plugin que consolida o uso do Cacti com suas gerncia ITIL,
especificamente controle de mudanas e gesto de cpias de segurana de roteadores.
O plugin em questo faz backup automtico, noturno, de todos os roteadores de sua
rede. Permite a configurao de usurios para cada ativo que tenha poder de leitura das
configuraes; mantm backup de configuraes por um perodo de tempo
configurvel (em dias), e para completar a gesto de mudanas, tem recursos para
450
SSL: Fora o uso de conexo sobre SSL em todos os links auto-gerados pelo Cacti;
Syslog / Haloe: Com essa extenso o Cacti fica em aderncia as melhores prticas e
normas supracitadas, no que tange a gesto centralizada de logs; esse plugin permite a
470
Thold / SLA: provavelmente o mais til e poderoso plugin disponvel por padro.
Com ele possvel definir e configurar mtricas de nveis de qualidade de servio
(Service Level Agreeement) com alertas por e-mail, por SMS, alertas visuais e sonoros.
Permite configurao de alertas por mtricas de valores elevados (high thresholds)
demais, valores baixos demais (low thresholds) e por desvio-padro ponderado,
configurvel em porcentagens. Pode gerar alertas com base em qualquer informao
sendo monitorada, e tambm com base em rotinas/programas externos. Permite a
visualizao estratgica de tholds de SLA em monitor especfico e integrado com o
plugin de monitor, permitindo visualizao cruzada de disponibilidade de ativos e de
qualidade de servio acordado. Trabalha com o conceito de templates de alertas,
estendendo e facilitando a criao de alertas em nveis amplos e facilitando demais a
480
490
Alm desses plugins mencionados, existem outros inmeros, disponibilizados por outros
grupos de usurios, empresas ou indivduos. Destes, destacamos:
500
na
indstria;
open
source,
completamente
livre;
Superlinks: Atua como wrapper para console e abas cacti, permitindo a integrao e
chamada de documentos e outras reas de dentro do Cacti; permitindo assim a criao
520
FlowGraph: Esse plugin oferece na verdade uma nova aba e um novo menu no
console do Cacti. A aba permite a plotagem de grficos com base nas informaes
recebidas pelo NetFlow. Os grficos incluem informaes de flows por redes, por
roteadores, por endereos IP, por portas, por protocolos, por servios, por Type of
530
540
ITIL Reports: Esse plugin permite a gerao de relatrios mensais, semanais, anuais,
quinzenais, dirios, e em qualquer outra periocidiade, de mtricas de disponibilidade,
qualidade de ativos e de itens de SLA monitorados. amplamente customizvel e
trabalha com o conceito de templates. Tem aderncia as principais gerencias ITIL que
o Cacti engloba.
ServDesk: Plugin que integra os alertas disparados pelo Cacti com o sistema open
source Ocomon (Brasileiro), oferecendo soluo integrada de Service Desk padro
ITIL com sistema de monitorao; permite configurao inclusive de responsveis por
cada alerta disparado.
composta por diversos mdulos distintos, cada qual com sua funo especfica
dentro de um ambiente tecnolgico. Consolidada no mercado como a melhor soluo para
gerenciamento do ciclo de vida de TI e reconhecida pela relao custo x benefcio,
desenvolvida nos idiomas Portugus do Brasil, Ingls e Espanhol. Emprega alta tecnologia e
prima pela performance de rede e segurana de dados, proporcionando retorno significativo e
reduo do custo de investimentos em ativos.
Baseada na estrutura cliente/servidor, a suite possui um agente extremamente leve,
nico para todos os mdulos. Sua instalao pode ser executada de forma transparente para os
usurios, sem causar qualquer tipo de parada crtica nas estaes, facilitando sua distribuio
e utilizao imediata das solues.
Tendo em vista que nem todos os mdulos esto relacionados ao tema de
monitoramento, o nvel de detalhamento no ser feito para os mdulos no relacionados.
Entretanto, uma apresentao genrica de todos eles feita aqui.
Orientada ao atendimento do ciclo de vida dos ativos de TI, a suite possui mdulos
que atuam nas atividades detalhadas na prxima figura:
560
20
590
Tz0 Remote Control: controle remoto de estaes.
Tz0 Sniffer Rescue: captura e reconstruo de pacotes de rede. Analisa a velocidade
em tempo real do link de dados entre sites distintos. No depende de agentes instalados nas
estaes para realizar as capturas. Possibilita a reconstruo de qualquer pacote trafegado na
rede: udio, vdeo, executveis, arquivos compactados, e-mails, etc.
Monitora em tempo real a utilizao de aplicaes como ICQ, MSN Messenger,
Kazaa e navegadores, a fim de identificar o percentual de utilizao sobre o link corporativo.
Monitora qualquer plataforma na rede: Linux, Solaris, Windows e MAC.
Identifica em tempo real quais os responsveis pelo uso excedente da rede.
Permite descer nveis da banda at chegar ao monitoramento on-line, verificando o IP,
rerecursos do sistema.
Viabiliza anlises tcnicas sobre a utilizao de hardware em estaes e servidores.
Coleta as variveis e tendncias nas cargas de trabalho e no uso de recursos.
Diagnostica problemas, podendo, a partir da, definir componente ou processo como
alvo de otimizao ou soluo.
Viabiliza, atravs de relatrios, a criao de comparativos entre equipamento sobre a
utilizao de determinados perifricos de hardware.
Permite a gerao de alertas sobre picos de utilizao de qualquer objeto, controlando
o intervalo das verificaes.
630
Permite coletar informaes de performance atravs de SNMP.
Tz0 Phoenix: recuperao de desastres e backup.
Tz0 Software Delivery and Deploy: distribuio de software.
Tz0 Web Desktop: verso web dos aplicativos.
4. COMPARATIVO
Recurso
Open Source / Licena Livre
Cacti
Sim, licena GPLv2; Plugins
Trauma Zero
Licena proprietria
Sim, em PHP
Sim
Sim
Grficos on-demand
Sim
No. Processos
mltiplos em paralelo
mas no MT.
Sim
Sim
Sim
Sim
Sim
No. O agente/cliente
tem que ter todos os
recursos.
Template de Grficos
No.
Template de Ativos
No.
Template de Usurios
Sim
Parcial.
Sim
No
No
Sim
No
No.
No.
Sim
Sim
Sim
No.
Relatrios ITIL
Sim
Grficos Netflow
No.
Customizao de Aparncia
No.
Sim
Monitorao de Ativos
Sim
No.
Parcial
No.
No.
Monitorao de tempo-real
Sim
No.
No.
No.
No.
No.
Sim
Sim
No.
No.
Sim
5. CONCLUSO
640
670
www.ivirtua.com.br acessado em 07/09/2009.
CLEMENTE, DURVAL. Porque monitorar um ambiente de TI? acessado em
http://www.ipnews.com.br/voip/fique-por-dentro/opini-o/por-que-monitorar-um-ambiente-deti.html, 04/09/2009.
Documento tcnico REDHAT. Porque devo monitorar minha infra-estrutura de TI? acessado
em
http://www.br.redhat.com/pdf/command_center/Why_Systems_Monitoring.pdf,
04/09/2009.