Discussão do Modelo

O modelo aqui projetado tem como pressuposto a ação preventiva sobre a rede, pelo uso de técnicas CEP. Evitou-se incorporar a ele elementos já presentes em ferramentas, tais como os previamente discutidos na revisão da literatura. Preferiu-se o enfoque de trabalho com fluxos, minimizando o uso de totalizadores simples, estes últimos fartamente disponíveis em sistemas de monitoramento e dispositivos de rede. Não se deseja, aqui, sobrepor recursos aos diversos mecanismos de controle de rede existentes. Trata-se de uma nova óptica sobre a questão de gerenciamento, que une a noção de fluxos às técnicas CEP, com a intenção de antecipar as ações corretivas de maneira que os problemas sejam detectados e sanados antes de sua efetiva ocorrência.

Dos atributos definidos para o modelo estatístico, somente o número de bytes e o número de pacotes presentes na rede são valores que se possa obter diretamente da observação. São, em verdade, totalizadores simples, mas cuja ausência provocaria uma sensível queda na qualidade da análise, já que trazem a informação sobre o uso de largura de banda e uma indicação sobre o tamanho médio dos pacotes observados, importante para otimização de configurações.

Os demais atributos são relativos aos fluxos observados e, portanto, são variáveis que não podem ser observadas diretamente na rede. Este é um diferencial em relação à maior parte das ferramentas disponíveis para gerenciamento de rede. Considerar fluxos significa agrupar dados e, portanto, reduzir o volume de informações que devem ser interpretadas pelo administrador, consoante ao que se discutiu em capítulos anteriores.

Mantiveram-se no modelo indicadores de quantidade de fluxos, bytes e pacotes segundo determinados critérios (início e final, protocolos de rede e transporte, etc.). Ainda que haja uma tendência em que tais variáveis sofram o mesmo tipo de variação ao longo do tempo, não se pode garantir uma correlação linear entre estes comportamentos. Como exemplo, um aumento do número de fluxos tende a ser acompanhado por um aumento no número de bytes e pacotes transferidos pela rede. Porém, a proporção do aumento de cada indicador é independente da dos demais. Com efeito, preferiu-se incorporar as três grandezas nos diferentes critérios adotados, de forma a ampliar as possibilidades de análise. Cuidou-se para que o número de atributos se mantivesse pequeno o suficiente para que as análises sejam viáveis.

Exceção é feita aos atributos que tratam de bytes e pacotes transmitidos da fonte ao destino e no sentido contrário, sobre protocolo

IP. Neste caso, não se pode contar separadamente os fluxos, pois que um fluxo envolve comunicação bidirecional. Neste caso, o totalizador de fluxos IP é o atributo correspondente ao conjunto das 2 grandezas citadas.

Dada a importância dos protocolos TCP e UDP e as diferenças na situação de escolha de uso de ambos, o modelo incorpora contadores de fluxos para cada um deles, o que permite um monitoramento mais acurado do tráfego. Ressalta-se que foi citada na revisão da literatura, a respeito de [4], a conveniência de análise individual destes protocolos.

Espera-se, atualmente, um tráfego de rede que tende para o uso exclusivo do IP. Porém, alguns outros protocolos de rede ainda são encontrados em produção, a exemplo do IPX da Novell. Optou-se por incluir no modelo um totalizador para protocolos não-IP, sem discriminação específica de tipo. Considera-se esta decisão segura tendo em vista a direção em que as redes são configuradas atualmente e os dados coletados durante este trabalho.

Uma preocupação embutida no modelo é a origem e o final de cada fluxo, em relação à rede sob exame. Definiu-se como interna toda a interface de rede cujo endereço IP pertence à rede observada. É externo todo o dispositivo cujo endereço IP, nos mesmos moldes, não pertence à rede analisada. No caso do IFSC, por exemplo, são internos todos os endereços pertencentes às várias sub-redes da rede do Instituto (143.106.0.0). Resultaram daí quatro combinações possíveis para origem e destino de tráfego: interno-interno, interno-externo, externo-interno e externo- externo.

A primeira delas caracteriza o tráfego da rede local, usualmente entre estações e servidores ou gerado pela comunicação estação-estação ou servidor-servidor, além de trânsito de informações de controle da rede.

A segunda combinação abrange todas as comunicações executadas para rede externas, mas iniciadas internamente, como é o caso de acesso WWW, POP3, etc. Em geral, são solicitações a máquinas servidoras.

A terceira possibilidade carateriza o tráfego de entrada na rede local, por iniciativa externa. Em condições normais, significa a solicitação de serviços às máquinas da rede local com origem externa. Este indicador é de extrema importância ao se considerar aspectos de segurança e prevenção de ataques à rede.

Finalmente, o tráfego externo-externo é uma combinação que deve ser encontrada tão somente em redes de trânsito ou que aceitem retransmissão de pacotes de uma rede a outra, atuando como interconexão. É uma situação rara uma rede local que seja, simultaneamente, backbone para outras. Assim, este

indicador deveria ser ter valores positivos em provedores de interconexão e zero em redes locais. No decorrer deste trabalho, foi detectado tráfego externo-externo no IFSC, ainda que em pequeno montante. Visto que não se trata de uma rede de interconexão, este fato causou estranheza e mereceu uma investigação mais detalhada, precedida pela imediata comunicação da descoberta aos administradores. Apurou-se que, durante algum tempo, uma rede montada exclusivamente para tarefas de administração acadêmica da USP utilizou a mesma infra-estrutura da rede local do IFSC, compartilhando cabos, roteadores e demais dispositivos. O endereçamento IP desta rede, distinto do endereçamento do IFSC, levou todo o tráfego da mesma para a categoria externo-externo, rigorosamente correspondendo à transformação temporária da rede do IFSC em rede de interconexão. Entretanto, os fluxos decorrentes destes acontecimentos eram insuficientes para explicar a quantidade detectada nesta combinação. Novas análises mostraram que havia uma parcela de fluxos correspondente a redes privadas (10.0.0.0, 172.16.0.0, 192.168.0.0), RFC 1918, utilizadas por pesquisadores e outros para criação de sub-redes particulares para determinados propósitos e configurações, situação plenamente justificada no ambiente do Instituto. À vista destas considerações, o indicador provou-se de grande valia e foi o primeiro dos atributos do modelo a ser empregado com sucesso em situações reais.

A alta complexidade das redes de computadores dificilmente seria plenamente incorporada a um modelo sem que este se tornasse também complexo. Com efeito, o modelo aqui desenvolvido capta parcialmente este ambiente e se propõe a uma atitude preventiva em relação a uma série de atributos escolhidos, segundo critérios já mencionados. Em nenhum momento pretendeu-se uma solução exaustiva ou que substitua completamente as técnicas existentes. Ao contrário, trata-se de um mecanismo que adiciona recursos ao ferramental de gerência de redes, com base em técnicas e fundamentação teórica bem estabelecidas, combinadas entre si com o máximo rigor matemático.

6 RESULTADOS

Neste capítulo são apresentados gráficos e tabelas com os resultados obtidos neste trabalho, convenientemente agrupados e resumidos. A exibição dos registros coletados de fluxos é impraticável, já que somam aproximadamente 10,8 milhões de entradas nas bases de dados. Um pequeno segmento do arquivo de dados brutos é apresentado, restrito a poucas linhas, com finalidade única de contextualizar o leitor.

Analogamente, os testes de normalidade são extensos e sua inclusão no texto seria de pouco benefício. Com efeito, as planilhas com teste qui- quadrado são colocadas como apêndice deste trabalho e apenas os totais consolidados constam deste capítulo.

Os resultados mostrados a seguir estão divididos em dois grupos. O primeiro deles tem informações sobre os dados colhidos diretamente, classificados segundo critérios de interesse. No segundo grupo, estão informações geradas a partir de processamento mais complexo dos dados recolhidos e que não poderiam ser verificadas unicamente a partir da observação do tráfego da rede.