Jeverson Barbieri - Jornal da Unicamp - 10/11/2010
Anomalias na rede
Com mais de 60 milhões de usuários, a internet brasileira é considerada atualmente a quinta maior do mundo em número de conexões.
Isso pressupõe um tráfego intenso de dados que, em determinados momentos, são responsáveis por causar desvios súbitos e acentuados no comportamento das redes, conhecidos como anomalias.
Exemplos comuns disso são os bugs em softwares, o uso abusivo dos recursos computacionais, as falhas nos equipamentos, as configurações erradas e, ainda, os ataques feitos por hackers. Esses acontecimentos fizeram surgir a expressão "caiu a rede".
Para contra-atacar todo esse conjunto de problemas potenciais, o analista de sistemas Bruno Bogaz Zarpelão desenvolveu na Unicamp (Universidade Estadual de Campinas) um sistema computacional de detecção de anomalias.
Além de identificar de maneira mais simplificada a ocorrência, o software oferece ao administrador de rede um cenário completo do problema, facilitando a busca pela origem da anomalia e sua consequente solução no menor espaço de tempo possível.
Monitoramento da rede
Zarpelão explicou que nas redes de computadores atuais, que assumiram uma posição de grande importância no cotidiano de ambientes acadêmicos, governamentais e corporativos, detectar e tratar essas ocorrências de maneira eficiente se tornou uma tarefa fundamental.
Uma das chaves do trabalho foi considerar o que é ou não uma anomalia. Esse limite, de acordo com o analista, foi deixado em aberto sob a justificativa de que cada administrador sabe o que quer para sua rede.
Dessa maneira, através da observação do número de bytes e pacotes que trafegam diariamente, é possível fazer uma análise estatística determinando o padrão de comportamento daquela rede.
A partir daí, a percepção de um comportamento anormal pode gerar um alarme para o responsável tomar as devidas providências.
Em grandes ambientes, explicou Zarpelão, é humanamente impossível tomar conta de todo o parque computacional, uma vez que o número de máquinas é bastante elevado.
Após o acionamento do alarme, as ações previstas no plano de contingência são tomadas, como a ativação de um servidor de backup ou mesmo a troca de um equipamento queimado.
Objetos de gerência
Em cada equipamento são monitorados diferentes indicadores, conhecidos como objetos de gerência.
Um problema na rede afeta, em geral, o comportamento de vários objetos de gerência em vários equipamentos. Entregar ao administrador de redes os alarmes gerados para cada um destes objetos acabaria por sobrecarregá-lo.
No trabalho de Zarpelão, foram levantados os relacionamentos entre estes indicadores, de forma que os alarmes gerados para cada um deles possam ser analisados em conjunto, levando à geração de um único alarme que traz informações sobre o comportamento de toda a rede.
"Uma situação na qual o sistema gerou, inicialmente, 170 alarmes ao monitorar os objetos de gerência, pode, a partir da análise destes alarmes iniciais, ter uma redução para apenas 15, os quais trazem o panorama de toda a rede, sem que se perca qualquer informação", assegurou.
Alarme da rede
Ainda com relação ao alarme, o pesquisador explicou que ele pode ser configurado para tocar em determinados dias quando a quantidade de tráfego da rede está pouco acima do padrão ou mesmo somente quando a situação já se encontre em um nível de gravidade bastante adiantado.
"O software dá a liberdade ao administrador de escolher quando quer ser alertado sobre as mudanças de comportamento de sua rede", afirmou Zarpelão.
Isso significa que o produto da pesquisa é permissível a alterações de sensibilidade, que na literatura é chamada de "níveis de sensibilidade de detecção". Assim, o administrador pode configurá-lo para que ele se adapte à sua política de gerenciamento.
Ele citou um caso exemplar, ocorrido em 11 de setembro de 2001, durante o ataque terrorista às torres gêmeas, em Nova Iorque (EUA). O portal de notícias da rede CNN foi repentinamente acessado por muitas pessoas em busca de informações. O resultado foi que o portal caiu e ninguém mais conseguia acessá-lo por causa de uma sobrecarga.
Nesse caso, o software desenvolvido por Zarpelão poderia emitir um alarme quando o número de acessos estivesse acima do padrão. O administrador teria condições de distribuir a carga para outras máquinas ociosas, ajudando a liberar o tráfego. "É uma coisa de momento, que pode gerar uma decisão capaz de ajeitar o cenário", disse.
Protocolo SNMP
Pela natureza das redes municipais existentes - locais onde o software deve ter sua utilização mais acentuada - o analista de sistemas contou que o desenvolvimento do programa se deu muito em função do padrão de gerência de redes, que é um protocolo chamado SNMP (Simple Network Management Protocol).
Não há, segundo Zarpelão, uma solução no âmbito da literatura que trate o problema do começo ao fim, como o que foi feito por ele utilizando apenas o SNMP. "Tentamos explorar ao máximo esse padrão", ressaltou.
Esse direcionamento deu uma tranquilidade ao pesquisador, uma vez que o SNMP está disponível na maioria dos equipamentos comercializados, portanto, isso reduz um possível problema de implantação do software nas redes.
Ele disse também que existem outros trabalhos publicados que usam como base para coleta de informações da rede métodos mais sofisticados como o NetFlow. "São métodos realmente melhores, no entanto, não são padrão e, dessa forma, não estão em todos os equipamentos. Isso dificulta a adoção de outras propostas", ressaltou Zarpelão.
Rede real
Os testes do sistema computacional foram feitos com dados reais da rede da Universidade Estadual de Londrina (UEL). Como aquela Universidade já possui um projeto de pesquisa relacionado a esse tema, o pesquisador pode utilizar os dados daquela rede. "Está composta por cerca de seis mil estações de trabalho, unindo todos os departamentos, com bastante tráfego agregado, tornando-se assim, um ambiente bom de trabalhar", resumiu.
Ele contou que, também na UEL, já houve sobrecarga do servidor por conta da divulgação do resultado do vestibular. Todo mundo quer acessar ao mesmo tempo e, segundo o analista, ficou perceptível que a utilização do software poderia ter contribuído para que esse problema não ocorresse. O sistema identificou ainda situações como download de arquivos feitos por determinadas máquinas, o que pode ou não ser permitido pela gerência de rede.
Zarpelão tem como objetivo agora evoluir esse estudo um pouco mais, não só na questão da interface gráfica como na aplicação prática do software. Ele informou que outros alunos do Laboratório de Redes de Comunicações (LaRCom) da Feec já estão trabalhando no sentido de fornecer uma ferramenta ao administrador que contenha gráficos, que mostre o diagrama da rede e os respectivos alarmes.