Sensor de monitorización SNMP integrado en RedBorder

Abstract

Para entender este proyecto, es necesario disminuir el zoom desde el que se mira y englobarlo en el proyecto para el que se ha desarrollado. SIGMONA1 es un proyecto encargado de integrar todos los conocimientos de red actuales (computación, enrutado y arquitectura de red) en la red LTE / EPC móvil de banda ancha (3GPP). La misión del equipo de ENEO Tecnología2 será la de ofrecer y adaptar sus herramientas de seguridad en red para proporcionar una defensa activa sobre las posibles vulnerabilidades además de ofrecer una actuación ante la aparición de fallos de seguridad. Focalizando el trabajo del equipo de ENEO Tecnología en la primera fase del proyecto, vemos el siguiente esquema, el cual podemos estructurar en “Recopilación”, “Procesamiento” y “Actuación”. En la recopilación de datos nos encargaremos de desarrolar una sonda snmp, que reciba los objetos a monitorizar y algunos parámetros adicionales. Esta sonda recogerá periódicamente los datos y los incorporará a un flujo de datos mediante técnicas “Big Data”. A partir de estos datos y de otros que se incluirán en la primera fase del proyecto (como la información de los logs), el manager actuará sobre la red a través de la recién liberada herramienta “Defense4All”3. La primera fase del desarrollo de este proyecto será una fase de investigación. Buscando una herramienta apta para nuestro propósito, trabajaremos principalmente con la herramienta de monitorización y de software libre “Zabbix”4, más cocretamente con su versión “Zabbix proxy”. La simplicidad de “Zabbix proxy” con respecto a su producto principal “Zabbix Server” nos hizo pensar en esta herramieta como una posible solución a nuestro problema. Tras su intento de adaptación y de modelado para adaptarla a nuestro proyecto, observamos varias barreras que, para lo que buscábamos, se antojaban insalvables. Continuando con la investigación y tras trabajar con varias herramientas de software libre y diferentes proyectos y librerías subidos a la plataforma GitHub, de forma unánime, el equipo de Eneo Tecnología ecargado de los objetivos del proyecto SIGMONA, decidimos partir desde cero en el desarrollo de la sonda, adaptándola así a las necesidades concretas del proyecto. Tras la toma de decisión en un punto decisivo en este proyecto, planteamos las características deseadas en la herramienta, que de forma general son las siguientes:  La sonda debe de recibir del manager la configuración y los objetos a monitorizar mediante SNMP. Siguiendo la dinámica de trabajo del equipo de ENEO Tecnología, se concluyó que estos ficheros tendrían un formato JSON, por lo que la sonda SNMP se encargará de parsearlos y procesarlos.  Esta configuración deberá poder ser recargada en cualquier momento de la ejecución del programa. La sonda por tanto estará a la escuha de las señales definidas para la recarga de la configuración.  Al trabajar en una red de gran extensión, el número de objetos a monitorizar será muy elevado. Para sacar el máximo rendimiento a la máquina donde se ejecute la sonda, se hace indispensable que el funcionamiento de esta sea multihilo.  Además de su ejecución multihilo, se hace indispensable usar la funcionalidad asíncrona de la librería “net-snmp” para aumentar el rendimeinto de la sonda.  La incorporación de los datos recibidos al flujo de datos del manager deberá ser mediante la librería “librdkafka”5, ya que es la usada por las herramientas desarrollladas por ENEO Tecnología. Observando el esquema general del proyecto, entendemos el objetivo final de esta herramienta. Una herramienta pensada para estar siempre en ejecución incorporando un gran fujo de datos al manager, que será el encargado de su procesado y de realizar una acción en la red si así se requiere Teniendo estas como características principales, el resto del proyecto es el desarrollo de la herramienta, adaptándola en todo momento a las necesidades de la empresa y del proyecto para el que se desarrolla.

This project is a way between all alternatives in the snmp monitoring in order to adapt a tool to the data flow of RedBorder6. All starts in Eneo Tecnología where they are developing a network security tool called RedBorder in cooperation with other companies like Nextel SA7. RedBorder consists in a high number of sensors witch gather some type of information across the network which is send to a central process called RedBorder manager. The RedBorder manager process is where this amount of data is processed in order to make differents actions on the net and where they show the results to users in a web frontend. This project is how we made a RedBorder sensor which compile information using SNMP protocol. The main idea was use a free software snmp tool called Zabbix8. The strategy of ENEO is adapt this types of free software tools to the work flow of RedBorder, working on the necessary parts for the integration. Our tool is going to be used for a project in which ENEO is working on, SIGMONA9. The SIGMONA project, SDN Concept in Generalized Mobile Network Architectures, will study network architectures and functions for evolution of the LTE/EPC (3GPP) mobile networks. The objective of ENEO is to implement RedBorder into the SIGMONA´s network in order to manage, prevent and protect important security risks. As we can see in Fig 3, there are two importants parts in the gathering data process. Vault in which system log information will be sent to the manager, and SNMP, a tool which gather all monitored information from the network using this protocol. During the project we are going to see how some problems made us to reconsider the possibility of use Zabbix, so we started to look for other alternatives. One of them, and the one we took, was to develop the tool using some basic libraries, like net-snmp, which help us with an abstraction of the SNMP monitoring. Now, we are going to describe all the alternatives and how we develop the final solution.