Implementando segurança e controle em redes de computadores / Implementing security and control in computer networks

Bertholdo, Leandro Márcio

January 1997

O crescimento e proliferação da Internet nos últimos anos tem trazido à tona vários problemas relativos à segurança e operacionabilidade das máquinas de universidades e empresas. Inúmeras invasões são realizadas anualmente. Entretanto, a grande maioria delas não possui registro algum, sendo muitas vezes de total desconhecimento do administrador local. Para prover soluções para estes problemas foi realizado um estudo, aqui apresentado, que tem como principal objetivo propor uma filosofia de gerência de segurança. São utilizados para isso conceitos de gerenciamento de redes como SNMPv2, aliado à implementação de um conjunto de ferramentas que garantam a integridade dos vários sistemas envolvidos. O resultado foi um sistema denominado CUCO1, que alerta sobre tentativas de ataque e situações de risco. CUCO foi projetado para permitir a um administrador, protegido ou não por uma firewall, dispor de um controle maior e melhor sobre acessos e tentativas de acessos indevidos à sua rede. O sistema usa uma estratégia de monitoração de eventos em diferentes níveis e aplicações, tentando com isto detectar e alertar a ocorrência de ataques tradicionais. Também está incorporado um bloco de funções que visam identificar um agressor situado em algum lugar da Internet, e obter maiores informações sobre ele e o domínio onde esta localizado. / The Internet increase and proliferation in the last years has brought a lot of problems related to the security and handling of hosts in universities and corporations. Many break-ins are done each year, without any record or knowledge by the site’s administrator. To give solutions to this problems was made up a study, here presented, has as the main goal the proposal of a security management philosophy. Are used network management concepts, joined with a toolkit to ensure the integrity of many systems envolved. The result was a system named CUCO2, that alerts about attacks and risks situations. CUCO was designed to allow an administrator, protected or not by firewall, to have a bigger and better access control in his network. The system uses an event monitor strategy in different levels and applications, trying to detect and alert the occurrence of common attacks. Moreover, it is also incorporated by a set of functions that attempt to identify aggressor’s location in any place in the Internet, and get information about him and the domain where he is located.

Redes : Computadores

Seguranca : Redes : Computadores

Gerencia : Redes : Computadores

Firewall

Computer networks

Network management

Data security

System security

Security management

Tools

Um projeto de gestão e engenharia de conhecimento para controle da produção : um estudo de caso na fabricação de papel / A knowledge engineering and management project : an study in paper production

Dummer, Edson

January 2003

Gestão de conhecimento busca criar, adquirir, compartilhar e utilizar ativos de conhecimento produzidos ou dispersos na organização, de forma a garantir o controle pela organização de um importante componente de seu produto ou serviço. A engenharia de conhecimento fornece os instrumentos que permitem identificar as fontes de conhecimento, e ajuda a extrair e modelar esse conhecimento, quando de fontes humanas, de forma a utilizá-lo de forma independente das pessoas. Este trabalho apresenta um estudo de caso no desenvolvimento de um projeto de gestão de conhecimento para a área de produção de uma empresa que atua na fabricação de papel, com um modelo de processo contínuo. O modelo de produção é particularmente interessante pelo fato de sofrer permanente monitoração e eventuais ações de reparo, cujo efeito será sentido apenas no final do processo produtivo. Ações erradas ou ineficientes acarretam significativas perdas de produto, com grande impacto no ganho da empresa. O objetivo deste trabalho é a identificação dos conhecimentos envolvidos na detecção de desvios de padrão no processo produtivo e nas ações de reparo para produção de papel. A partir do estudo do processo e da identificação dos insumos de conhecimento, foi proposto um modelo da área de produção onde são mapeados os ativos de conhecimentos, os processos e agentes que utilizam esses conhecimentos. Esse modelo foi racionalizado de forma a otimizar a utilização do conhecimento e homogeneizar o processo de solução de problemas de acordo com o padrão desejado pela empresa. A Metodologia CommonKADS foi utilizada para conduzir o desenvolvimento desse modelo. Esse trabalho demonstrou que a tarefa de monitoração e reparo da linha de produção utiliza conhecimentos tácitos ou não estruturados para a solução de problemas, juntamente com o conhecimento explícito obtido através de treinamento ou orientação da organização. Como resultado, a qualidade da solução será diferente dependendo do agente responsável pela monitoração naquele momento. Através das técnicas de entrevistas, análise de protocolo, observações e repertory grid, esses conhecimentos foram explicitados e formalizados, sendo disponibilizados como normas para todos os agentes, atingindo uma desejável homogeneidade no processo produtivo que leva a diminuição do refugo de produção. A suite de modelos da organização, tarefa, comunicação e agentes de Common KADS foi avaliada como ferramenta de suporte à identificação e formalização dos insumos de conhecimento da organização. Foi proposto um modelo OM-6 a ser incluído como um modelo da organização para avaliação dos procedimentos de correção. O modelo obtido é a etapa inicial para o projeto de um sistema de conhecimento que automatize a tarefa de monitoração e reparo do processo de produção de papel. / Knowledge management aims to create, acquire, share and employ knowledge issues produced or disseminated in the organisation, in order to guarantee the full control over an important component of the organisation product and service. Knowledge engineering provides adequate tools to identify the knowledge sources and helps in extracting and modelling the knowledge, allowing to be employed in human independent way. This work presents the results of a detailed study about the development of a knowledge management project for a production area in a filter paper factory, whose production line is carry out as a continuous process. The production model is particularly interesting because the process demands continuous and permanent monitoring, but the effectiveness of the corrective actions can be perceived only in the final stage of the production process. Wrong actions cause significant amount of the product rejection with strong impact in the company returns. The goal of this study is identifying the knowledge applied by agents in detecting pattern deviation in the production process and in the repair actions during the paper production. A model of the production area, mapping knowledge issues, agents and tasks, was proposed from the acknowledgement of the process and the knowledge assets. This model was rationalised in order to improve the effectiveness of the knowledge application and guarantee an homogeneous problem-solving process, according to the company standard. The CommonKADS methodology defines the model development. This work demonstrates that, during the monitoring and repair task, the agents apply tacit unstructured knowledge, besides the explicit knowledge acquired through training into the organisation, to achieve the solution. The result will be a dependence between the agent and the quality of the production. These knowledge were made explicit and formalised through the use of interviews, protocol analysis and repertory grid, and was further shared as norms to the whole team of agents. These norms provide a desirable homogeneity in the production process leading to a reduction on the production refuse. The CommonKADS model suit – organisation, task, communication and agent models – was evaluated as a supporting tool to the identification and formalisation of organisation knowledge. An additional model, called OM-6, was proposed as an extension to the CommonKADS suit to support for valuation of the correction procedures. The obtained organization model is the first step in a knowledge system project for the automation of the monitoring and repair tasks in the paper production process.

Inteligência artificial

Engenharia : Conhecimento

Gerencia : Conhecimento

Fabricacao : Papel

Knowledge management

Knowledge engineering

CommonKADS methodology

Continuous process monitoring

Um serviço de self-healing baseado em P2P para manutenção de redes de computadores / A P2P based self-healing service for coputer networks maintenance

Duarte, Pedro Arthur Pinheiro Rosa

January 2015

Observou-se nos últimos anos um grande aumetno na complexidade das redes. Surgiram também novos desa os para gerenciamento dessas redes. A dimensão atual e as tendências de crescimento das infraestruturas tem inviabilizado as técnicas de gerencimento de redes atuais, baseadas na intervenção humana. Por exemplo, a heterogeneidade dos elementos gerenciados obrigam que administradores e gerentes lidem com especi cidades de implanta ção que vão além dos objetivos gerenciais. Considerando as áreas funcionais da gerência de redes, a gerência de falhas apresenta impactos operacionais interessantes. Estima-se que 33% dos custos operacionais estão relacionados com a prevenção e recuperação de falhas e que aproximadamente 44% desse custo visa à resolução de problemas causados por erros humanos. Dentre as abordagens de gerência de falhas, o Self-Healing objetiva minimizar as interações humanas nas rotinas de gerenciamento de falhas, diminuindo dessa forma erros e demandas operacionais. Algumas propostas sugerem que o Self-Healing seja planejado no momento do projeto das aplicações. Tais propostas são inviáveis de aplicação em sistemas legados. Otras pesquisas sugerem à análise e instrumentação das aplicações em tempo de execução. Embora aplicáveis a sistemas legados, análise e instrumentação em tempo de execução estão fortemente acopladas as tecnologias e detalhes de implementação das aplicações. Por esse motivo, é difícil aplicar tais propostas, por exemplo, em um ambiente de rede que abrange muitas entidades gerenciadas implantadas através de diferentes tecnologias. Porém, parece plausível oferecer aos adminitradores e gerentes facilidades através das quais eles possam expressar seus conhecimentos sobre anoamlias e falhas de aplicações, bem como mecanismos através dos quais esses conhecimentos possam ser utilizado no gerenciamento de sistemas. Essa dissertação de mestrado tem como objetivo apresentar e avaliar uma solução comum que introduza nas redes capacidades de self-healing. A solu- ção apresentada utiliza-se de workplans para capturar o conhecimento dos administradores em como diagnosticar e recuperar anomalias e falhas em redes. Além disso, o projeto e implementação de um framework padrão para detecção e noti cação de falhas é discutido no âmbito de um sistema de gerenciamento baseado em P2P. Por último, uma avaliação experimental clari ca a viabilidade do ponto de vista operacional. / In recent years, a huge raise in networks' complexity was witnessed. Along the raise in complexity, many management challenges also arose. For instance, managed entities' heterogeneity demands administrators and managers to deal with cumbersome implementation and deployment speci cities. Moreover, infrastructures' current size and growth-trends show that it is becoming infeasible to rely on human-in-the-loop management techniques. Inside the problem domain of network management, Fault Management is appealing because of its impact in operational costs. Researches estimate that more than 33% of operational costs are related to preventing and recovering faults, where about 40% of this investment is directed to solve human-caused operational errors. Hence, addressing human interaction is mostly unarguably a need. Among di erent approaches, Self-Healing, a property of Autonomic Network Management's proposal, targets to avoid humans' interactions and decisions on Fault Management loops, thereupon unburden administrators and managers from performing Fault Management-related tasks. Some researches on Self-Healing enabling approaches suppose that Fault Management capabilities should be planned in design-time. These approaches are impossible to apply on legacy systems. Other researches suggest runtime analysis and instrumentation of applications' bytecode. Albeit applicable to some legacy systems, these last proposals are tightly-coupled to implementation's issues of underlaying technologies. For this reason, it is hard to apply such proposals end-toend, for example, in a scenario encompassing many managed entities implemented through di erent technologies. However, it is possible to o er to administrators and managers facilities to express they knowledge about networks' anomalies and faults, and facilities to leverage this knowledge. This master dissertation has as objective to present and evaluate a solution to imbue network management systems with self-healing capabilities. The solution relies on workplans as a mean to gather administrators and managers' knowledge on how to diagnose and heal networks' anomalies and faults. Besides that, the design and implementation of a standard framework for fault detection and noti cation customization is discussed while considering a P2P-Based Network Management System as its foundations. At last, an experimental evaluation renders clear the proposal's feasibility from the operational point of view.

Redes : Computadores

Redes P2P

Gerencia : Redes : Computadores

Autonomic network management

P2P-based network management

Self-healing systems

Um modelo de dados temporal orientado a objetos para gerenciar configurações de software / A temporal object-oriented data model to manage software configurations

Silva, Fabrício Ávila da

January 2005

Gerência de Configuração de Software é a disciplina que define conceitos e métodos baseados nos quais engenheiros de software conseguem manter sob controle a evolução de complexos produtos de software. Todos os princípios básicos da GCS foram implementados com sucesso em diversas ferramentas comerciais, mas as abordagens mais avançadas propostas nos últimos anos ainda não são utilizadas em ambientes reais de desenvolvimento, principalmente pela alta complexidade destas propostas – impedindo a sua implementação e utilização de forma adequada. Com o objetivo de introduzir uma solução simples e flexível para gerenciar configurações de software, este trabalho apresenta o SCM_TOO – Software Configurations Managed using a Temporal Object-Oriented data model, cuja principal característica é o uso da orientação a objeto para modelar o produto de software e as modificações aplicadas a ele durante o seu tempo de vida. Além de disponibilizar mecanismos específicos para manipular arquivos e usuários do sistema, o SCM_TOO aplica técnicas de bancos de dados temporais para suportar a evolução da aplicação e armazenar o histórico de modificações realizadas ao longo do tempo. O modelo define também um mecanismo de versionamento baseado em mudanças, no qual cada alteração realizada no software é identificada como uma entidade lógica no repositório de dados e pode ser utilizada na geração de novas baselines do produto. Esta proposta complementa o tradicional versionamento baseado em estados e aumenta a eficiência e flexibilidade do modelo sem acrescentar uma complexidade desnecessária. / Software Configuration Management is the discipline that defines concepts and methods based on which software engineers keep under control the evolution of complex software products. All the basic SCM principles have been successfully implemented in several commercial tools, but none of the advanced approaches proposed in the last years is currently used in real development environments, due to their high complexity – making the proper implementation and utilization almost impossible. Aiming to introduce a simple, flexible and powerful solution to manage software configurations, this work presents SCM_TOO – Software Configurations Managed using a Temporal Object-Oriented data model, whose main characteristic is using the object-oriented paradigm to model the software product and the modifications applied to it during its lifetime. Along with specific mechanisms to handle files and system users, SCM_TOO applies temporal databases techniques to support the application evolution and store the modifications realized on it. The model also defines a change-based versioning mechanism, in which every modification performed on the software is identified as a logical entity in the data repository and can be used to generate new product baselines. This approach complements the traditional state-based versioning and increases the model efficiency and flexibility without imposing unnecessary complexity.

Engenharia de software

Modelo temporal

Gerencia : Software

Orientacao : Objetos

Banco : Dados temporais

Software configuration management

Object-oriented

Temporal databases

Software engineering

Projeto de um serviço configurável de detecção de defeitos / Design of a configurable failure detection service

Balbinot, Jeysonn Isaac

January 2007

A detecção de defeitos pode ser usada como base no projeto de algoritmos e aplicações distribuídas que dependem, de alguma forma, de informações de estado sobre processos distribuídos. O problema de acordo entre processos (consenso), que é um dos problemas fundamentais da computação distribuída, bem como difusão atômica (atomic broadcast), eleição de líder (leader election) e gerenciamento de grupos (membership) necessitam de informações de estado dos processos envolvidos, portanto, do resultado da atividade dos detectores. Esses protocolos, geralmente, são usados como blocos básicos para a construção de outros algoritmos, serviços ou aplicações distribuídas tolerantes a falhas. Os detectores de defeitos, de forma prática, têm sido desenvolvidos com base em parâmetros funcionais de redes locais e não operam bem no contexto de sistemas distribuídos de larga escala e de redes de longa distância (WANs). Sistemas conectados por WANs, geralmente, oferecem um ambiente mais hostil do que as LANs e clusters, devido aos atrasos longos e variáveis e à maior probabilidade de ocorrência de defeitos de temporização (flutuações na latência de comunicação) e omissão (perdas de mensagens), impondo um desafio na concepção de mecanismos que detectem defeitos de forma completa, precisa e que atendam a requisitos de dependabilidade exigidos pelas aplicações. A detecção de defeitos, também, pode ser oferecida na forma de um serviço, podendo ser este serviço utilizado por diferentes aplicações, sem que estas necessitem agregar a implementação do detector em seus projetos. Neste trabalho, foram pesquisadas estratégias aplicáveis à organização e à comunicação entre módulos de detecção de defeitos, focando sistemas de larga escala que operem sobre WANs. Está sendo proposto um modelo de serviço configurável que opera sob demanda das aplicações, e utiliza uma organização hierárquica dos módulos detectores de defeitos. Com base nesse modelo, foi implementado e testado um protótipo, utilizando o framework de simulação Neko. Os testes avaliaram a utilização da estratégia hierárquica com base no tipo e número de mensagens trocadas pelo serviço durante sua operação. Os resultados mostraram que adotar a hierarquia em dois níveis (LAN e WAN) resulta em poucas mensagens adicionais de controle e significativa redução do número de mensagens trafegando entre redes locais. O serviço tirou proveito do conhecimento da topologia da rede e escalou bem, quando um número maior de máquinas foi utilizado. Adicionalmente, para ajustar dinamicamente a detecção aos atrasos impostos pelas WANs, foi utilizado o pacote de predição de timeout do AFDService. / The failure detection may be used as basis for the design of algorithms and distributed applications that need information about the state of distributed processes. The agreement problem among processes (consensus) is one of the fundamental problems in distributed computing as well as other protocols such as atomic broadcast, leader election and membership that also need information about involved processes and consequently need also the results from the failure detector activity. These protocols are generally used as basic blocks to design other algorithms, services or fault-tolerant distributed applications. The failure detectors, in practice, have been developed based on local network parameters; consequently they are not tuned for the context of large-scale distributed systems nor wide area networks (WANs). Systems interconnected by WANs generally are environments more adverse than LAN and traditional clusters, due to variable and long delays and more prone to timing and omission failures. A natural consequence is that it is challenging to develop mechanisms that can accurately detect failures and give the needed support for dependability requirements of the applications. The failure detection may also be offered as a service for the different applications, which do not need to include their own detectors in their design. In this work are investigated strategies previously defined and applied on the communication of failure detector modules, focusing the analysis on large scale systems on WANs. From this, we propose a configurable failure detection service model that works on demand of applications and adopts the hierarchical organization of failure detection modules. Based on this model, a prototype implementation has been developed and tested using Neko simulation framework. The tests evaluate the utilization of hierarchical strategy based on the type and number of messages exchanged by the service during its operation. The experiments show that the two-level (LAN and WAN) hierarchical structure adopted results in a few additional control messages and a significant reduction on the message traffic between local networks. The service uses the knowledge of the topology and scales well when many machines are used. Additionally, to dynamically adjust the delay imposed by WANs on time detection, the timeout prediction package of AFDService has been used.

Redes : Computadores

Gerencia : Redes : Computadores

Tolerancia : Falhas

Fault tolerance

Failure detection service

WAN

Large-scale distributed systems

Suporte a cooperação em sistemas de gerenciamento de redes utilizando tecnologias peer-to-peer / Cooperation support in network management systems using peer-to-peer technologies

Rosa, Diego Moreira da

January 2007

O gerenciamento das redes de comunicações modernas frequentemente requer que operadores de diferentes domínios administrativos interajam uns com os outros de modo a realizar uma tarefa de gerenciamento de maneira cooperativa. Nesse contexto, pode-se observar que há distribuição tanto na execução das ações como na tomada das decisões pelos operadores participantes da sessão de gerenciamento. As soluções tradicionais de gerenciamento de redes praticamente não oferecem suporte algum ao gerenciamento baseado na cooperação entre humanos, pois foram concebidas levando em consideração um único domínio administrativo sendo gerenciado por um único operador ou por um grupo de operadores pertencentes a uma mesma organização. Visando solucionar esse problema, é introduzido nesse trabalho o uso de tecnologias peer-to-peer (P2P) em soluções de gerenciamento de redes de modo a permitir o gerenciamento baseado na cooperação entre humanos. Nessa abordagem, operadores de rede usam ferramentas híbridas que, ao mesmo tempo, gerenciam os seus domínios locais e fazem parte de um sistema P2P de gerenciamento. A proposta de gerenciamento apresentada foi implementada através de uma ferramenta chamada ManP2P, a qual combina funcionalidades de gerenciamento de redes e trabalho cooperativo. / Modern networks not rarely require human operators from different administrative domains to interact with one another in order to accomplish a management task in a cooperative fashion. In this scenario one observes that not only management actions are executed in a distributed way, but also the management decisions are cooperatively taken by all autonomous operators participating in a management session. Traditional management solutions fail to support human centered cooperative management because they were conceived considering a single administrative domain being managed by a single operator or by a group of operators belonging to the same organization. In order to address this issue, we introduce in this paper the use of peer-to-peer (P2P) technologies in network management solutions to enable human-centered cooperative management. In this approach, network operators use hybrid tools that both manage their local domains and are peers of an overlay management system. We have implemented the proposed management approach through a tool called ManP2P, which combines network management and groupware functionalities.

Redes : Computadores

Redes P2P

Gerencia : Redes : Computadores

Trabalho cooperativo

Cooperative network management

Collaboration

Peer-to-peer

Overlay networks

Uso de gerenciamento por delegação para controle e administração de no-breaks / Use of management by delegation for control and administration of UPS

Polina, Everton Rafael

January 2007

Atualmente há grande investimento por parte das empresas em sistemas que não podem parar e, conseqüentemente, em sistemas de gerenciamento para perceber a ocorrência de falhas ou prevê-las e evitar que elas aconteçam. Para amenizar os efeitos de falhas no fornecimento de energia elétrica, que são ainda comuns no país e em boa parte do mundo, são utilizados os no-breaks. Esses equipamentos são projetados para garantir o fornecimento de energia por um tempo definido e limitado nos momentos em que a concessionária de energia elétrica interrompe esse fornecimento. O objetivo principal do presente trabalho é investigar uma solução de gerenciamento de no-breaks que possui como grande diferencial a utilização do paradigma de gerenciamento distribuído por delegação, com o uso do protocolo SNMP, apresentando as vantagens desse paradigma. Para a distribuição de tarefas, a solução utiliza a MIB Script e uma implementação deste padrão (JASMIN – Java Script MIB Implementation) de forma que toda a interatividade com a ferramenta e a automatização dos processos que compõem a solução foi implementada com o uso das ferramentas livres Apache e PHP. O trabalho apresenta uma breve descrição sobre o funcionamento dos no-breaks e destaca a UPS-MIB, MIB padrão para gerenciamento desses equipamentos, além de objetos importantes disponibilizados em outras MIBs proprietárias utilizadas para o gerenciamento de no-breaks. Além disso, o presente estudo sugere o uso de ferramentas para que o sistema de gerência seja responsável pelas estações alimentadas pelos nobreaks, ou seja, quando identificado que está próximo o momento do no-break não conseguir mais alimentar a carga, deve-se desligar a carga com segurança para que não ocorra uma perda de dados maior nem haja danos em componentes. Nota-se que o gerenciamento utilizado neste trabalho, realizado através da ferramenta desenvolvida, facilita a detecção de falhas no sistema de fornecimento de energia, de modo a interagir satisfatoriamente com no-breaks para verificar condições da rede elétrica e tomar decisões pró-ativas com o intuito de manter uma rede de computadores em funcionamento, sem que haja percalços por problemas de falta de energia. / Nowadays most companies are investing in non-stop systems, which leads to investments in management systems to know when a fault occurs or to foresee and avoid them. To reduce the effects of power supply faults (which are common in Brazil and in other parts of the world), people use UPS systems. These equipments are designed to guarantee the power supply for a pre-defined limited time, just in case the power company interrupts the supply. The main goal of this work is to present the implementation of a management application for UPS systems, which has the differential of using the management-bydelegation paradigm, based on SNMP, showing the advantages of this paradigm. The application uses Script MIB and an implementation of this standard (JASMIN - Java Script MIB Implementation) for task distribution, in such a way that all the tool interactivity and process automation was done using the free tools Apache and PHP. The work also presents a brief description about the UPS functioning, and shows UPS-MIB, the standard MIB for UPS management. Additionally the work presents some important objects available in some custom MIBs that are used for UPS management too. This study suggests the use of a set of tools to make the management system responsible for the workstations plugged on the UPS, which means that when the UPS is about to be unable to maintain the load, it should be turned off safely to avoid data losses or hardware faults. One can note that the management done in this work through the developed tool makes easy the fault detection in the power supply system. This leads to a good interaction with the UPS to verify the conditions of the power network in order to take decisions to maintain the computer network running safely.

Redes : Computadores

Gerencia : Redes : Computadores

Network management

Distributed management

UPS

Power management

SNMP

Script MIB

Management application

Uma proposta para medição de complexidade e estimação de custos de segurança em procedimentos de tecnologia da informação / An approach to measure the complexity and estimate the cost associated to Information Technology Security Procedures

Moura, Giovane Cesar Moreira

January 2008

Segurança de TI tornou-se nos últimos anos uma grande preocupação para empresas em geral. Entretanto, não é possível atingir níveis satisfatórios de segurança sem que estes venham acompanhados tanto de grandes investimentos para adquirir ferramentas que satisfaçam os requisitos de segurança quanto de procedimentos, em geral, complexos para instalar e manter a infra-estrutura protegida. A comunidade científica propôs, no passado recente, modelos e técnicas para medir a complexidade de procedimentos de configuração de TI, cientes de que eles são responsáveis por uma parcela significativa do custo operacional, freqüentemente dominando o total cost of ownership. No entanto, apesar do papel central de segurança neste contexto, ela não foi objeto de investigação até então. Para abordar este problema, neste trabalho aplica-se um modelo de complexidade proposto na literatura para mensurar o impacto de segurança na complexidade de procedimentos de TI. A proposta deste trabalho foi materializada através da implementação de um protótipo para análise de complexidade chamado Security Complexity Analyzer (SCA). Como prova de conceito e viabilidade de nossa proposta, o SCA foi utilizado para avaliar a complexidade de cenários reais de segurança. Além disso, foi conduzido um estudo para investigar a relação entre as métricas propostas no modelo de complexidade e o tempo gasto pelo administrador durante a execução dos procedimentos de segurança, através de um modelo quantitativo baseado em regressão linear, com o objetivo de prever custos associados à segurança. / IT security has become over the recent years a major concern for organizations. However, it doest not come without large investments on both the acquisition of tools to satisfy particular security requirements and complex procedures to deploy and maintain a protected infrastructure. The scientific community has proposed in the recent past models and techniques to estimate the complexity of configuration procedures, aware that they represent a significant operational cost, often dominating total cost of ownership. However, despite the central role played by security within this context, it has not been subject to any investigation to date. To address this issue, we apply a model of configuration complexity proposed in the literature in order to be able to estimate security impact on the complexity of IT procedures. Our proposal has been materialized through a prototypical implementation of a complexity scorer system called Security Complexity Analyzer (SCA). To prove concept and technical feasibility of our proposal, we have used SCA to evaluate real-life security scenarios. In addition, we have conducted a study in order to investigate the relation between the metrics proposed in the model and the time spent by the administrator while executing security procedures, with a quantitative model built using multiple regression analysis, in order to predict the costs associated to security.

Redes : Computadores

Gerencia : Redes : Computadores

Serviços Web

Network and service management

Complexity analysis

Computer and network security

Cost models

Regression analysis

Uma arquitetura baseada em políticas para o provimento de QoS utilizando princípios de Autonomic Computing / A policy-based architecture for QoS provisioning using autonomic computing principles

Franco, Theo Ferreira

January 2008

Sistemas corporativos modernos cada vez mais dependentes da rede e a integração de serviços entorno do modelo TCP/IP elevam a exigência de Qualidade de Serviço da infraestrutura de TI. Neste cenário, o dinamismo das redes atuais em conjunto com os novos requisitos de QoS exigem que a infra-estrutura de TI seja mais autônoma e confiável. Para tratar esta questão, o modelo de Gerenciamento de Redes Baseado em Políticas, proposto pelo IETF, vem se consolidando como uma abordagem para controlar o comportamento da rede através do controle das configurações dos seus dispositivos. Porém, o foco deste modelo é o gerenciamento de políticas internas a um domínio administrativo. Esta característica faz com que o modelo possua algumas limitações, tais como a incapacidade de estabelecer qualquer tipo de coordenação entre diferentes PDPs e a impossibilidade de reagir a eventos externos. Visando agregar autonomia ao modelo de gerenciamento baseado em políticas, este trabalho propõe uma arquitetura em camadas que empregue os conceitos de Autonomic Computing relacionados a: i) adaptação dinâmica dos recursos gerenciados em resposta às mudanças no ambiente, ii) integração com sistemas de gerenciamento de outros domínios através do recebimento de notificações destes, iii) capacidade de planejar ações de gerenciamento e iv) promoção de ações de gerenciamento que envolvam mais de um domínio administrativo, estabelecendo uma espécie de coordenação entre PDPs. Para a implementação destes conceitos, a arquitetura prevê o uso de uma camada peerto- peer (P2P) sobre a plataforma de políticas. Desta forma, a partir de uma notificação recebida, a camada P2P planeja ações visando adaptar o comportamento da rede aos eventos ocorridos na infra-estrutura de TI. As ações planejadas traduzem-se em inclusões ou remoções de políticas da plataforma de políticas responsável por gerenciar a configuração dos dispositivos de rede. Para notificações que envolvam recursos de mais de um domínio administrativo, os peers de gerenciamento agem de forma coordenada para implantar as devidas ações em cada domínio. A arquitetura proposta foi projetada com foco em prover QoS em uma rede com suporte à DiffServ, embora acredite-se que a sua estrutura seja genérica o bastante para ser aplicada a outros contextos. Como estudo de caso, foi analisado o emprego da arquitetura em resposta a eventos gerados por uma grade computacional. Foi elaborado ainda um protótipo da arquitetura utilizando o Globus Toolkit 4 como fonte de eventos. / Modern corporative systems becoming more dependent of the network and the integration of services around the TCP/IP model increase the requirement of Quality of Service (QoS) of the IT infrastructure. In this scene, the dynamism of current networks together with the new requirements of QoS demands a more autonomous and reliable IT infrastructure. To address this issue, the model of Police Based Network Management, proposed by IETF, has been consolidated as an approach to control the behavior of the network through the control of the configurations of its devices. However, the focus of this model is the management of the policies internal to an administrative domain. This feature brings some limitations to the model, such as the incapacity to establish any kind of coordination between different PDPs and the impossibility to react to external events. Aiming at to add autonomy to the model of Policy Based Network Management, this work proposes a layered architecture based on the concepts of Autonomic Computing related to: i) the dynamic adaptation of the managed resources in response to changes in the environment, ii) integration with management systems of other domains through the reception of notifications of these systems, iii) ability of planning the management actions and iv) execution of multi-domain management actions, establishing a kind of coordination between PDPs. To implement these concepts, the architecture was designed with a peer-to-peer layer above the policy platform. Thus, from a received notification, the P2P layer plans actions aiming to adapt the network behavior in response to the events occurred in the IT infrastructure. The planned actions are, actually, inclusions or removals of policies in the policy platform responsible for the management of the network devices configuration. For notifications related with resources of more than one administrative domain, the management peers act in a coordinated way in order to establish the suitable actions in each domain. The proposed architecture was designed with focus in providing QoS in a network with support to DiffServ, although we believe that its structure is generic enough to be applied to other contexts. As case study, it was analyzed the use of the architecture in response to events generated by a computational grid. Additionally, a prototype of the architecture was build making use of Globus Toolkit 4 as an event source.

Redes : Computadores

Gerencia : Redes : Computadores

Network management

Autonomic computing

Peer-to-peer networks

Policy based network management

Grid computing

GERAP : gerenciamento de redes de alta performance / GERAP - high performance netwoks management

Lima, Maria de Fatima Webber do Prado

January 1997

Este trabalho apresenta um estudo dos mecanismos de policiamento de tráfego ATM (Asynchronous Transfer Mode) mais conhecidos e uma analise das condições de seu gerenciamento utilizando o protocolo SNMP (Simple Network Management Protocol). Para este fim foram considerados os objetos gerenciados integrantes de MIBs (Management Information Base) propostas por vários grupos de trabalho com o objetivo de averiguar a viabilidade de gerenciar o processo de policiamento de trafego mediante manipulação de tais objetos. Realizando este gerenciamento pode-se acompanhar o estado da rede e utilizar estas informações no planejamento da capacidade da rede, pois muitas vezes, o congestionamento não ocorre apenas por excesso de trafego e sim pelo mau dimensionamento dos componentes da rede de computadores. Foram estudados diversos mecanismos de controle de trafego e congestionamento. Estes mecanismos pertencem basicamente a dois procedimentos sugeridos pelo Fórum ATM: controle dos mecanismos de use/rede e controle de realimentação de fluxo. Os algoritmos estudados no processo de controle dos mecanismos de use/rede foram: balde furado, balde furado virtual, balde furado com memória, janelas saltitantes, janelas deslizantes, contadores de pico, escalonamento virtual, balde furado de estado continuo. No processo de controle de realimentação do fluxo existem dois mecanismos básicos: o credit-based e o rate-based. Como o segundo mecanismo foi melhor aceito internacionalmente, surgiram vários algoritmos que seguiam seus princípios. Entre eles pode-se citar: controle de fluxo baseado na taxa, controle de taxa explicita, VS/VD (Virtual Source Virtual Destination), PRCA (Proportional Rate Control Algorithm), EPRCA (Enhanced Proporcional Rate Control Algorithm), ERICA (Explicit Rate Indication for Congestion Avoidance) e CAPC (Congestion Avoidance using Proportional Control). Este trabalho estuda os dois mecanismos básicos assim como os algoritmos que seguem a filosofia rate-based. As MIBs inspecionadas para este trabalho foram: MIB da RFC 1695 [AHM 94], MIB dos objetos suplementares [LY 96], MIB da especificação UNI 3.1 do Fórum ATM[CHA 96], MIB da interface M4 do Fórum ATM [ATM 96] MIB da empresa Bay Networks [BAY 96] e MIBs da empresa Cisco [WAN 96] [CHA 96a], [GRO 96], [GRO 96a], [RBH 96] e [BAK 96]. Em resultado ao estudo dos mecanismos de controle de trafego e congestionamento e a análise das MIBs selecionadas, foram construídas tabelas que tentam relacionar os parâmetros necessários para controlar os mecanismos de tráfego e congestionamento com os objetos das MIBs selecionadas. A cada parâmetro de controle é verificado se existe um objeto gerenciado ou uma combinação de objetos que podem fornecer o valor do parâmetro. A partir desta análise é verificado se os objetos gerenciados podem monitorar os mecanismos de tráfego e congestionamento. / This work presents a study of the best known ATM traffic policing mechanism and an analysis of management conditions using the SNMP (Simple Network Management Protocol). For this reason the managed objects were considerated pertaining to MIBs (Management Information Base) proposed by many working groups. This work inquires the possibility of managing the traffic policing process using the objects of this selected MIBs. Realizing this management, it can follow the network state and to utilize these informations in the planning of network capacity, because many times, the congestion only not happen for traffic excess but it occurs by worse dimension of the computer networks components. It was studied many traffic and congestion control mechanisms. These mechanisms belong to two procedures proposed by the ATM Forum: usage/network parameter control and feedback control mechanism. The algorithms studied for the usage/network parameter control were: leaky bucket, virtual leaky bucket, buffered leaky bucket, jumping window, moving window, peak counters and generic cell rate algorithm. The feedback control has two variations: credit-based and rate-based. The second mechanism was better accepted internationally, and many algorithms followed its principles. The algorithms were: rate based flow control, explicit rate control, VS/VD (Virtual Source / Virtual Destination), PRCA (Proportional Rate Control Algorithm), EPRCA (Enhanced Proporcional Rate Control Algorithm), ERICA (Explicit Rate Indication for Congestion Avoidance) e CAPC (Congestion Avoidance using Proportional Control). This work studies the two basic mechanism and the rate-based algorithms. The inspected MIBs for this work were: RFC I695's MIB [AHM 94], definitions of supplemental managed objects for ATM management [LY 96], ATM Forum ATM UNI 3.1 Specification's MIB [CHA 96], ATM Forum M4 interface's MIB [ATM 96] , Bay Networks enterprise's MIB [BAY 96] and Cisco enterprise's MIB [WAN 96] [CHA 96a], [GRO 96], [GRO 96a], [RBH 96] e [BAK 96]. As a result of the study of the traffic and congestion control mechanisms and the analysis of selected MIBs, table were built that try to relate the necessary parameters to control traffic and congestion mechanisms with the managed objects. Each control parameter is examined if it has a managed object or a object arrangement that can supply the parameter value. This analysis will verify if managed objects can control traffic and congestion control.

Redes : Computadores

Gerencia : Redes : Computadores

Redes atm

Controle : Trafego

Computer networks

Network management

ATM networks

ATM traffic

Congestion control mechanisms