Università degli Studi di Napoli Federico II. Facoltà di Scienze MM.FF.NN. Corso di Laurea in Informatica

Transcript

1 Università degli Studi di Napoli Federico II Facoltà di Scienze MM.FF.NN. Corso di Laurea in Informatica Tesi Sperimentale di Laurea Triennale Un sistema per il monitoraggio dell'utilizzo della rete WiFi Unina Relatori Candidato Prof. Guido Russo Silverio Miscino Dr. Ing. Catello Di Martino Matricola: 566/947 Anno Accademico 2008/2009

2 Indice generale 1 Introduzione La rete Wireless Unina Sviluppo del Wi-Fi Organizzazione Monte Sant'angelo Policlinico Centro Storico Apparati Apparati Wired Apparati per la connessione Apparati per l'autenticazione Apparati per il Management Aspetti funzionali Servizi forniti Organizzazione gerarchica apparati Autenticazione Monitoraggio della rete Wi-Fi Unina Informazioni a disposizione L'approccio proposto Motivazioni Interoperabilità di sistemi di Monitoring Confronto tra le varie tecnologie software disponibili Cacti Nagios&Nagvis Interrogazioni Java con librerie SNMP Descrizione dell'approccio Sviluppo di WiFed WebMon Requisiti dell'applicazione Casi d'uso L'architettura di WiFed WebMon Diagramma dei componenti Interazione tra i componenti L'interfaccia Web Implementazione Scelta della piattaforma Funzioni, librerie e strutture utilizzate Le Google Maps Api I servizi offerti da Cacti Descrizione della base di dati di Cacti Documentazione del software Deployement Casi d'uso...80 Silverio Miscino 566/947 Pagina 2 di 156

3 5.1 Test di laboratorio Descrizione dell'ambiente Risultati Risultati su Wi-Fi Unina Test portale Monitoraggio Unina Conclusioni Sviluppi futuri Bibliografia Appendici Manuale d'installazione di Cacti Immagini dettagliate della topologia Elenco degli Access Point/Wds Codice realizzato Il Cd-Rom in allegato Silverio Miscino 566/947 Pagina 3 di 156

4 Ringraziamenti E dopo un bel pò di tempo...eccomi qui, laureato!!! Un traguardo che sembrava così lontano fino a qualche tempo fa e all'improvviso è stato raggiunto, lascandomi quasi incredulo. Un grazie di cuore va innanizitutto al mio professore di reti nonchè relatore Guido Russo che mi ha sopportato sopratutto nel primo periodo di tirocinio dove come dice lui non capivo un c...avolo!!..beh spero di aver recuperato con il passar del tempo!! Non sarei mai riuscito nel mio lavoro senza l'aiuto e l'appoggio dell'ing. Catello Di Martino che ha sempre saputo darmi consigli e linee guida perfette e sempre giuste. Durante questo percorso ho dovuto affrontare tante situazioni, belle e meno belle, ma che alla fine mi hanno portato comunque ad essere quello che sono, e forse mi hanno anche aiutato a crescere. Incoraggiamenti ne ho avuti pochi, sopratutto nei primi periodi dove sembrava troppo dura, troppo ripida la salita che stavo affrontando, e a rendere lo sforzo ancora più duro ci hanno pensato altre persone; ma forse è proprio durante questi momenti che mi sono reso conto di potercela fare davvero. Da queste difficoltà, in questi ambienti poco confortevoli ho trovato la sorgente di energia dove potermi ricaricare, combattere e andare avanti. Diciamo che ad un certo punto mi sono creato anche una barriera di gomma, dove facevo rimbalzare tutto e tutti in modo da lasciare fuori dal mio mondo qualsiasi "Virus" che potesse minacciare il mio sistema nervoso!!! Antipatico eh?? Lo ametto, ad un certo punto sono risultato pure asociale, ma se è vero che il fine giustifica i mezzi,ed il mio fine era la laurea, allora ritengo di aver fatto la cosa più giusta. I ringraziamenti (che preciso non sono in ordine di importanza) vanno ovviamente a voi, mamma e papà, che per prima cosa avete reso possibile questo sogno mettendomi al mondo, e che avete finanziato il mio lento percorso. Io cercherò di ricambiare in qualche modo, nel frattempo spero di avervi dato già una piccola soddisfazione, con la Silverio Miscino 566/947 Pagina 4 di 156

5 promessa (accompagnata da una sincera forza di volontà), di darvene ancora, cosi da rendervi sempre più orgogliosi di me. Un grazie di cuore anche a mio fratello Francesco che ha fatto, secondo me, la cosa più giusta da fare quando si è consapevoli che una persona (conoscente, amico, fratello) sta studiando: non mi ha mai chiesto quanti esami avevo fatto fino a quel momento, o quanto mi mancava, o ancora perchè per qualche periodo non riuscivo a studiare ecc ecc, ma si è limitato a farmi i complimenti e gli auguri ad ogni passo fatto. Ringrazio sentitamente anche tutti i miei zii che mi hanno supportato psicologicamente contribuendo alla crescita della mia auto stima e dandomi la forza di andare avanti. Un grazie va anche a tutti i miei amici (più che colleghi) del centro S.Co.P.E che tra uno script e una pagina di tesi, hanno fatto si che questi 4 mesi volassero. Concludo col ringraziare la mia ragazza e, cosa secondo me più importante, AMICA Fiorella che mi ha supportato sia moralmente non facendomi mai mancare il suo amore nemmeno per un secondo, sia tecnicamente correggendomi quando spesso la mia grammatica risultava non impeccabile!! Un ringraziamento anche ai suoi genitori che spesso dopo le mie giornate di lavoro mi hanno ospitato e sopportato.. Insomma, se ho scordato qualcuno mi perdonerete, ma i ringraziamenti dovevano essere almeno più corti del resto della tesi!!! Grazie ancora, di cuore. Silverio Miscino 566/947 Pagina 5 di 156

6 1 Introduzione L'obiettivo del lavoro, effettuato presso il Data Center S.Co.P.E. nell'ambito del progetto WiFed finanziato sui fondi WiFi Sud, è di offrire a tutta la comunità un sistema di Monitoraggio della rete Wi-Fi di Ateneo che ad oggi ancora mancava. La proposta prevedeva la creazione di un'applicazione in grado di mostrare lo stato della rete in qualsiasi momento agli utenti, ed una successiva suddivisione di questi ultimi in due tipologie differenti: Utente non esperto ed Utente esperto. Per i due utenti-tipo sono state implementate quindi due diverse visualizzazioni: una pagina statica per il primo tipo di utente, ed una mappa navigabile e cliccabile per l'utente di secondo tipo accessibile solo con l'inserimento di credenziali opportune, il tutto incorporato in un portale creato apposta e dedicato interamente al Monitoraggio della rete Unina. L'applicazione nasce con il nome di WiFed WebMon, ed essendo, come detto prima, il primo sistema di monitoraggio della rete sulla parte Wireless, si è presentato con molti requisiti mancanti. Innanzi tutto è stato necessario approfondire le conoscenze sulla struttura della rete in maniera da conoscerne apparati,domini e organizzazione, e ciò è stato possibile anche con l'ottenimento di un Account sui 3 Wlse, gli apparati che conservano informazioni e stati di tutti gli apparati Wi-Fi della rete UNINA, suddividendoli per categorie, versione software ecc. Il compito iniziale (non facile) è stato quello di convincere gli amministratori di rete a concedere i permessi necessari all'interrogazione degli apprati che gestiscono il management e le connessioni della rete Wi-Fi Unina, ed una volta ottenuti questi ultimi il lavoro è proceduto approfondendo le conoscenze sulla struttura delle MIB di tali apparati. La MIB, detto semplicemente, è un "contenitore" di informazioni che è configurato in ogni elemento hardware della rete. Durante lo studio di tale MIB si sono riscontrati problemi anche sulle versioni software, così da procedere con la richiesta di un aggiornamento ed avere il più alto numero di strumenti disponibili. Si è proceduto poi con lo studio del Silverio Miscino 566/947 Pagina 6 di 156

7 protocollo interessato, visto che tutte le richieste utilizzano l'snmp V2 (seconda versione software). Un altro dei compiti è stato quello di studiare per bene quali potessero essere le informazioni interessanti per le tipologie di utenti in gioco e andare a controllare la realizzabilità del lavoro. I dati interessanti cercati e trovati sono stati: Il numero di persone connesse alla rete Wireless ed il numero di Access Point attivi (per l'utente medio) ed informazioni come il traffico Tcp, Udp, Ip, Snmp ed il numero di Autenticazioni avvenute con successo (per l'utente esperto). La raccolta di tali informazioni è avvenuta utilizzando un sistema di Monitoraggio chiamato "Cacti" che riesce ad interrogare tramite SNMP gli apparati inseriti e oltre a conservare i risultati in una base di dati, offre, grazie alla collaborazione di un tool grafico che prende il nome di RRDTools, anche una visualizzazione grafica delle informazioni. Dopo aver effettuato l''installazione di tale software, si è ritenuto di effettuare alcuni test su apparati presenti nel centro di sviluppo S.Co.P.E. così da entrare in confidenza con lo strumento. Considerato il fatto che Cacti offre la possibilità di integrare nel suo sistema degli scripts creati dall'esterno, è stato necessario studiare il linguaggio PERL e creare così piccoli plug-in che potessero portare a dei risultati un pò più complessi di quelli offerti dal sistema di monitoraggio, come ad esempio grafici composti da più interrogazioni fatte su diverse sedi o in modo da ottenere risultati diversi da quelli disponibili già in Cacti. Il lavoro riguardava l'intera rete Unina composta dalle sedi di: Monte Sant'Angelo, Ingegneria-ViaClaudio, Ingegneria-Agnano, Ingegneria-P.le Tecchio, Zona ospedaliera e Centro Storico, ma è stato chiesto di approfondire il lavoro sopratutto sulla zona di Fuorigrotta (Montesantangelo e le 3 sedi di Ingegneria) ed offrire in questi nodi un Monitoraggio più accurato e visibile nei particolari. Il tutto è stato creato sfruttando le potenzialità delle API di Google Maps che hanno permesso di scendere nei minimi dettagli anche graficamente, ed offrendo così ad un utente provvisto di credenziali un servizio preciso ed anche gradevole graficamente. E' stato inoltre necessario uno studio Silverio Miscino 566/947 Pagina 7 di 156

8 dell'rrdtools per la creazione della pagina statica citata precedentemente. Infatti essa ha richiesto una modifica essenziale del codice in modo da far visualizzare all'utente finale solo dei valori numerici,senza assistenza grafica del diagramma. I linguaggi utilizzati per lo sviluppo dell'applicazione sono stati: HTML per la presentazione delle pagine. RRDTools per l'esportazione dei grafici e per le informazioni numeriche. MySql per la creazione e l'utilizzo dei dati raccolti dalle interrogazioni. PERL per la creazione di scripts importati in Cacti. BASH per l'aggiornamento delle immagini. Java/Javascript per la comprensione delle Google Maps API. E' stato necessario l'utilizzo di un Web Server, quale Apache per la disponibilità in rete dei servizi offerti da Cacti e per la successiva integrazione dell'applicazione sul portale del monitoraggio Unina. La tesi si suddivide in 8 capitoli, dove nei primi due viene spiegato come è organizzata la rete Wi-Fi Unina e quali sono gli apparati coinvolti spiegando i ruoli di competenza che hanno nella rete. Nel terzo capitolo si comincia a spiegare come e in che modo ci si è avvicinati alla soluzione, parlando dei vari sistemi di monitoraggio disponibili e provati con le relative motivazioni che ci hanno portato a questo tipo di approccio. Il quarto capitolo si occupa dell'analisi della applicazione, espondnedo i vari diagrammi, funzioni e librerie utilizzate oltre che il modo in cui è stata creata l'interfaccia Web. In questo capitolo viene analizzata anche la struttura del Database di Cacti ed il suo rilascio sul server centrale. Il quinto capitolo riguarda tutta la serie di test effettuati in laboratorio, sia su apparati interni e poi sulla rete Wi.Fi Unina. Inoltre in questo capitolo si mette sotto pressione anche la scalabilità del portale. Il sesto capitolo Silverio Miscino 566/947 Pagina 8 di 156

9 riguarda le considerazioni principali e le conclusioni. Nel settimo capitolo sono riportati i testi di riferimento che sono stati usati per approfondire gli argomenti, mentre nell'ottavo (Appendici) sono riportati il manuale di uso di Cacti, il codice realizzato, schemi della topologia presenti nei vari WLSE, la lista degli apparati presenti nella rete Wi-Fi Unina ed una Bibliografia di riferimento. Silverio Miscino 566/947 Pagina 9 di 156

10 2 La rete Wireless Unina 2.1 Sviluppo del Wi-Fi Il sistema Wireless-Fidelity, meglio conosciuto con il termine Wi-Fi, nasce alla fine degli anni '90 come estensione delle reti LAN (rete locale), per fornire connessioni senza filo (wireless) in analogia a quanto avviene invece per le reti via cavo (wired). Il protocollo IEEE che fu implementato consentiva lo scambio dati a 1-2 Mbit/s a infrarossi o radiofrequenza (2.4 Ghz). Nel '99 nacquero altri standard, come in particolare l'802.11b con una capacità di trasmissione di 11Mbit/s, al quale venne assegnato il nome di Wi-Fi. Negli anni a venire i produttori si sono impegnati a migliorare il protocollo cercando di aumentare la velocità e diminuire la probabilità di errori. Più semplicemente, tentando di utilizzare vocaboli di facile comprensione, possiamo affermare che il Wi-Fi consente di essere collegati ad una rete informatica senza la necessità di cavi. Oltre alla diffusione progressiva nelle grandi aziende e Università, questo sistema sta spopolando anche tra le normali reti domestiche, dove la presenza di cavi è sempre stato un grosso problema. In tutti gli uffici, ma anche nelle case, è facile trovare due o più computer collegati tra di loro con un cavo. Questi Pc sono collegati in rete e possono quindi scambiarsi dati e condividere risorse come le stampanti o l'accesso a Internet. Il tipo di collegamento impiegato è quasi sempre Ethernet. Questo nome rappresenta lo standard di comunicazione via cavo più diffuso al mondo utilizzato per collegare elaboratori tra loro. Per rendere più chiare le idee potremmo prendere come riferimento concreto la porta di rete 10/100 base TX, oggi presente su quasi tutti i computer portatili di nuova generazione, essendo una vera e propria porta Ethernet. Affermiamo così che il sistema Wi-Fi non è altro che l'estensione della rete Ethernet in chiave Wireless, o più Silverio Miscino 566/947 Pagina 10 di 156

11 semplicemente, senza fili. Utilizzando un collegamento radio, infatti, due o più computer possono comunicare tra loro senza fili,anche se le velocità sono comunque inferiori a quelle offerte dallo standard Ethernet. Nel caso della nostra rete Wi-Fi Unina, si utilizzano degli opportuni dispositivi chiamati Access Point che ci permettono di collegare un troncone di rete Wireless ad uno cablato facendo lavorare insieme i computer collegati con o senza fili, questo processo può essere effettuato ovviamente anche su altri apparecchi situati in aziende o luoghi diversi dall'università. Con il termine WLAN (wireless local area network) si indica una rete locale senza fili idonea per la connessione reciproca degli host della rete, senza l'uso dei cavi. Come abbiamo detto prima, per creare queste grosse reti si utilizzato apparecchi chiamati Access Point (AP) di tipo b, ciascuno dei quali solitamente può comunicare con circa 30 client situati in un raggio di 100 metri. Questa caratteristica però varia a seconda di molti fattori, come per esempio il posizionamento, la presenza di ostacoli, l'interferenza con altri campi elettromagnetici, la potenza dei dispositivi. Per ovviare a questi problemi è possibile aumentare la distanza di trasmissione, utilizzando dei ripetitori che amplifichino i segnali radio. Il principale problema delle reti Wi-Fi è sicuramente la sicurezza. Infatti i segnali radio essendo diffusi nell'etere possono essere intercettati senza grande difficoltà. E' necessario quindi proteggersi facendo ricorso a svariati metodi, come ad esempio la crittografia. Inizialmente proprio a questo scopo lo standard proposto era il WEP a 40 o 104 bit. Quest' ultimo però era molto debole e quindi poco sicuro, fu così sostituito con il WPA che utilizza una variante dell'algoritmo WEP da cui sono stati rimossi i punti deboli noti. Per avere un livello maggiore di sicurezza è necessario implementare sistemi di autenticazione ad un livello della pila ISO/OSI superiore, come ad esempio l'autenticazione basata su RADIUS server (utilizzata anche nella rete WiFi Unina), la creazione di tunnel PPPoE o ancora le VPN crittografate. Diventa necessario per la Silverio Miscino 566/947 Pagina 11 di 156

12 realizzazione di questo obiettivo l'utilizzo di un sistema di monitoraggio che permetta di controllare lo stato degli apparati e la loro attività. Può infatti risultare interessante, ma sopratutto utile, verificare se tutti gli apparati della rete stiano eseguendo la loro mansione e se stiano lavorando su client e parametri validi e nei limiti. Ci viene in soccorso, per il compimento di questo scopo, un protocollo appartenente alla suite di protocolli Internet, e cioè il Simple Network Management Protocol o più semplicemente l'snmp. Operando al livello 7 del modello OSI, esso consente la gerenza e la supervisione degli apparati di rete che, se risultano mal funzionanti, possono essere causa di un blocco totale della rete o parte di essa, o sennò degradare le performance a livelli inaccettabili. Fino agli anni '80, la misurazione delle performance di una rete veniva effettuata attraverso programmi a linea di comando come il PING (Packet InterNet Groper) che invia pacchetti e attende risposte misurando il tempo che intercorre tra l'invio e la ricezione. La crescita esponenziale di dispositivi facenti parte di una rete determinò, con il passare del tempo, la necessità di un protocollo standard per la misurazione ed il controllo degli apparati. L'SNMP è un protocollo di rete che permette di raccogliere dati, controllare e gestire il funzionamento degli elementi di una rete di tipo TCP/IP, attraverso la rete stessa. Nacque praticamente nel Maggio del 1990 alla pubblicazione dell'rfc 1157 ad evoluzione del già esistente SGMP ( Simple Gateway Monitoring Protocol ) progettato nell'87 ma limitato alla sola gestione di router e gateway. Nel 1995, al fine di migliorare le imperfezioni venute alla luce nel frattempo, venne definito l'snmpv2, e nel 1998 l'ultima versione: l'snmpv3. Quest'ultima nacque per risolvere sopratutto problemi legati alla sicurezza. L'SNMP è un protocollo di livello di applicazione che usa UDP come protocollo di trasporto. E' stato preferito UDP a TCP in modo da minimizzare il traffico di rete, infatti TCP essendo orientato alla connessione avrebbe richiesto più risorse di rete. Come si può facilmente presumere, il lato negativo è che con UDP non si ha la Silverio Miscino 566/947 Pagina 12 di 156

13 certezza che il messaggio arrivi a destinazione. La scelta di questo protocollo è stata dettata anche dal fatto che SNMP è nato per gestire e monitorare le prestazioni di rete e un' eventuale congestione di quest'ultima, sarebbe aggravata dall'utilizzo di TCP. L'architettura di cui il protocollo SNMP fa parte prende il nome di Internet Network Management Framework, ed ha tre componenti fondamentali: 1. Sistema gestito (managed object). 2. Agente di gestione (management agent). 3. Sistema di gestione (manager). In ogni configurazione, il manager avvia il programma che gestisce SNMP. Il manager rappresenta l applicazione remota che prende la decisione di gestione, per esempio sotto controllo diretto dell operatore umano. I sistemi gestiti sono dotati di un programma di management agent, ospitano quindi un agente di gestione. L agente è responsabile dell accesso alla base dati MIB, che rappressenta le risorse e le attività nel nodo considerato, cioè rappresenta lo stato del sottosistema gestito, o meglio, una proiezione di tale stato limitata agli aspetti di cui si vuole consentire la gestione. Il funzionamento di SNMP è incredibilmente semplice. La piattaforma della gestione di rete invia interrogazioni (query) all'agente, e lui a sua volta risponde. Interrogazioni e risposte si riferiscono a variabili accessibili da parte del management agent. Come già detto, le variabili d'agente sono memorizzate nella base di dati conosciuta come MIB. Il management agent ritrova la variabile nella MIB utilizzando un identificatore (Object ID-OID) organizzato gerarchicamente. Silverio Miscino 566/947 Pagina 13 di 156

14 Figura 1: Principio di funzionamento SNMP 2.2 Organizzazione La rete Wi-Fi Unina si rifà al modello logico Cisco Swan che ha un' organizzazione gerarchica dove il livello più basso è occupato dai device client e dagli apparati che tentano la connessione alla rete. Chiameremo questo strato Wireless Client Layer (Strato dei client Wireless). Uno strato più su troviamo il livello degli Access Point (AP). Un Access Point è un dispositivo che permette ai client di connettersi alla rete Wi-Fi. L'Access Point può essere collegato ad una rete cablata o ad un altro Access Point (via radio). Esso invia e riceve segnali radio all'utente permettendo così la connessione. Denomineremo questo strato Infrastructure Access Point Layer (Strato delle infrasttrutture Access Point). Silverio Miscino 566/947 Pagina 14 di 156

15 Arriviamo cosi al livello di dominio WDS (Wireless Distribution System). Il WDS è un sistema che permette l'interconnessione di Access Point attraverso la rete Wireless. Inoltre permette l'espansione di una rete senza fili senza aver bisogno di un collegamento cablato, ma usando Access Point multipli. Tutti gli Access Point facenti parte del dominio WDS devono essere configurati in modo da condividere lo stesso canale radio. Chiameremo questo strato Wireless Domain Services Layer (Strato dei servizi del dominio Wireless). Il Livello più alto della struttura gerarchica è rappresentato dal WLSE (Wireless LAN Solution Engine). Il WLSE è un archivio centralizzato che controlla e gestisce tutti i dati e informazioni provenienti dai WDS e Access Point che ne fanno parte. Appelleremo questo strato Management Layer (Strato di Management). La rete Wireless Unina è radicata in 3 nodi: Monte Sant'Angelo, Centro Storico e Policlinico; vantando un grandissimo numero di client che ogni giorno si connettono ad essa. Questo ovviamente fa rendere l'idea di quanti Access Point sia minuta e di che accurata gestione debba avere per garantire un accesso sicuro e controllato. Da qui l'esigenza di avere ben tre WLSE installati appunto nei nodi citati prima. Ognuno di essi ha il controllo sui WDS (vedremo che sono duplicati per far si che abbiano una funzione di backup) e AP che gli competono, in questo modo la gestione risulta più centralizzata e quindi più semplice. Gli utenti di ogni ateneo possono connettersi scegliendo da una lista di reti Wireless disponibili(ssid). SSID (service set identifier) è il nome con il quale una rete Wi-Fi si mostra ai suoi utenti. Ovviamente stiamo parlando di una rete protetta, quindi tutti i client che tentano la connessione condivideranno la stessa chiave d'accesso. E' normale che più Access Point condividano lo stesso SSID se forniscono accesso alla stessa rete, ed è possibile che uno stesso Access Point si presenti con più SSID se fornisce accesso a diverse reti. Silverio Miscino 566/947 Pagina 15 di 156

16 2.2.1 Monte Sant'angelo Nel nodo di Monte Sant'Angelo (che chiameremo MSA) abbiamo il primo dei tre WLSE. Qui vi sono registrati due blocchi di WDS, uno è rappresentato dai WDS attivi e l'altro dai WDS di Backup (riserva). Questa coppia dei WDS come vedremo è utilizzata anche negli altri WLSE. Fa parte del WLSE di MSA anche la locazione di Ingegneria (quindi Ingegneria Agnano, Ingegneria P.le Tecchio e Ingegneria Via Claudio). Qui riscontriamo difficoltà nei fine settimana a monitorare il nodo di P.le Tecchio, dove evidentemente avviene lo stacco degli apparati per gli interi Week-end. In generale comunque notiamo un utilizzo maggiore della rete senza fili per la sede di Via Claudio. MSA invece comprende MSA Aulario, MSA Centri Comuni, MSA DICHI (Dipartimento di Chimica), MSA DMA (Dipartimento di matematica ed applicazioni), MSA Dipartimenti e Spot location. In totale il WLSE di Monte Sant'Angelo gestisce 9 WDS attivi e 10 di backup e ben 221 Access Point di cui 55 solo nell'aulario diventando così l'area più popolata, seguita da Centri comuni (38) e Dipartimenti (33). Il numero di connessioni che avvengono in questa sede è molto elevato, e in media i Centri comuni detengono il più alto numero giornaliero di utenti che utilizzano la rete Wireless. Gli utenti di Monte Sant'Angelo a seconda di dove si trovano possono effettuare la connessione da uno dei SSID che copre l'area di loro competenza. In totale MSA mette a disposizione 21 SSID. Silverio Miscino 566/947 Pagina 16 di 156

17 Figura 2: Organizzazione Montesantangelo Policlinico Il secondo WLSE è quello del Policlinico (Pansini). Quest'ultimo ha in gestione due WDS attivi e altrettanti di Backup. Le locazioni che fanno parte del WLSE del Policlinico sono: Wi-fi1 e Wi-fi2 che includono rispettivamente 2 WDS a testa (uno attivo e l'altro di Backup). In totale il WLSE-Pansini gestisce un numero di 68 AP, distribuiti in 32 Access Point nella zona Wi-fi1 e 36 Access Point nella zona Wi-fi2. Ovviamente tutti gli AP sono configurati in modo da comunicare il loro SSID di appartenenza, permettendo così la connessione da parte degli utenti (con nome utente e password) alla rete Wi-Fi. Nel caso del WLSE-Pansini gli Access Point sono organizzati in 3 SSID. Silverio Miscino 566/947 Pagina 17 di 156

18 Figura 3: Organizzazione Pansini-Zona Ospedalliera Centro Storico Il WLSE del Centro Storico è un nodo cruciale per tante altre sedi. Esso infatti, racchiude un gran numero di sottonodi e un notevole numero di client che si connettono ad un altrettanto elevato numero di Access Point. Ecco perchè il nodo del Centro Storico si presenta con ben 14 domini Wireless (WDS) attivi e 12 di Backup. Difatti gli Access Point di questo WLSE sono ben 192. La sola facoltà di Scienze Politiche ne vanta 55, seguita dalla facoltà di Architettura FVECCHIO che ne possiede 18 e Farmacia 17. Per un nodo così vasto è ovvio inoltre che i SSID siano copiosi. Gli Silverio Miscino 566/947 Pagina 18 di 156

19 utenti dispongono, infatti, di ben 12 nomi di reti dal quale scegliere e connettersi, ovviamente sempre con accesso sicuro. Figura 4: Organizzazione Centro Storico 2.3 Apparati Apparati Wired Tutti gli Access Point, compreso il WDS, sono collegati fisicamente a degli apparati che fungono da Switch verso l'esterno. Nelle sedi Wi-Fi Unina ne torviamo di 3 modelli differenti, tutti della Cisco: Cisco Catalyst 2960G. Cisco Catalist 3560G -POE. Cisco Catalyst Silverio Miscino 566/947 Pagina 19 di 156

20 -Gli Switch Cisco Serie Catalyst 2960 hanno le seguenti caratteristiche: (i) supporto per comunicazioni voce, dati e wireless che permette di risolvere tutte le esigenze di comunicazione con un'unica rete; (ii) capacità PoE (Power-over- Ethernet) che consente di implementare facilmente le nuove funzionalità quali voce e wireless senza dover ricorrere a un nuovo cablaggio, scelta tra Fast Ethernet (trasferimento dati a 100 Mbps) e Gigabit Ethernet (trasferimento dati a 1000 Mbps); (iii) varie opzioni di configurazione, con la possibilità di connettere desktop, server, telefoni IP, punti di accesso wireless, telecamere a circuito chiuso o altri dispositivi di rete; (iv) possibilità di installare delle VLAN per consentire ai dipendenti di essere connessi in base a funzioni organizzative, progetti o applicazioni piuttosto che alla loro sede fisica o geografica; (v) sicurezza integrata; (vi) capacità di monitoraggio di rete e funzioni avanzate per la risoluzione dei problemi di connessione. Figura 5: Catalyst 2960 Gli Switch Cisco Serie Catalyst 3560g hanno le seguenti caratteristiche: (i) switch ideale per accessi alla rete LAN di piccole imprese e altri ambienti; (ii) consente lo sviluppo di nuove applicazioni come la telefonia IP, sorveglianza Silverio Miscino 566/947 Pagina 20 di 156

21 wireless, accesso video, sistemi di gestione degli edifici, e video remoto; (iii) i client possono implementare servizi intelligenti, come la qualità del servizio (QoS), rate limiting, liste di controllo degli accessi (ACL), gestione multicast, e il routing IP ad alte prestazioni, pur mantenendo la semplicità di switching LAN tradizionali; (iv) disponibilità del Cisco Network Assistant, un'applicazione di gestione centralizzata che semplifica i compiti di gestione per gli switch Cisco, router e Access Point wireless; (v) supportano connessioni 10/100/1000 a 24 e 48-porte con supporto opzionale dello standard PoE e dell'ieee 802.3af; (vi) sono in grado di abilitare le più ampie opzioni di implementazione 10/100/1000 e PoE con funzionalità di sicurezza, disponibilità e qualità del servizio (QoS) integrate. Figura 6: Catalyst 3560g Gli Switch Cisco Catalyst 2950 hanno le seguenti caratteristiche: (i) sono a configurazione fissa, stackable(immissibile in un rack), autonome o aggregabile; (ii) velocità di connessione Fast Ethernet e Gibabit Ethernet; (iii) due gruppi diversi di funzionalità del software e una vasta gamma di configurazioni per consentire in ambienti di piccole e medie industrie, ed imprese, di selezionare la giusta combinazione del perimetro della rete utilizzabile; (iv) per le reti con requisiti di sicurezza supplementari, qualità superiore del servizio (QoS), e alta disponibilità, grazie a Enhanced Image Software, che fornisce servizi intelligenti come il rate limiting e il filtro di protezione per la distribuzione alla periferia della rete; (v) disponibilità del Silverio Miscino 566/947 Pagina 21 di 156

22 Cisco Network Assistant, un'applicazione gratuita di gestione centralizzata che semplifica il compito di gestione degli switch Cisco, router e Access Point wireless. Cisco Network Assistant, con un'interfaccia grafica user-friendly per configurare facilmente, risolvere i problemi, attivare e monitorare la rete. Figura 7: Catalyst Apparati per la connessione Gli apparati che permettono la connessione wireless agli utenti li possiamo individuare negli Access Point e nei WDS che, come sappiamo, sono in numero abbastanza elevato in tutta le rete Wi-Fi Unina. Siamo infatti nell'ordine dei 500 Access Point e di 20 WDS (Attivi); nel corso del 2010 gli Access Point supereranno le 600 unità. I modelli installati in tutta la rete sono della Cisco e fanno parte tutti della serie Aironet Gli AP della serie 1200 rappresentano uno standard a livello enterprise nell'ambito delle reti WLAN (Wireless Local Area Network). Assicurano un networking wireless sicuro, gestibile e affidabile. La serie Cisco Aironet 1200 crea un'infrastruttura Wireless che offre agli utenti la massima mobilità e flessibilità, garantendo una connessione continua a tutte le risorse di rete, praticamente da qualsiasi punto viene Silverio Miscino 566/947 Pagina 22 di 156

23 installato. Gli Access Point conformi allo standard IEEE b/g supportano velocità massima di trasmissione dati pari a 11/54 Mbps. Questa serie prevede configurazioni sia single-band che dual-band, oltre a una possibilità di aggiornamento on-site per modificare tali configurazioni non appena i requisiti utente cambiano inseme alla tecnologia. Con la serie Cisco Aironet 1200, un singolo Access Point può dialogare contemporaneamente con un dispositivo basato sul protocollo b ed uno basato sull'802.11g. I modelli nello specifico dei WDS e degli Access Point (presenti equamente in tutti i nodi) sono il Cisco Aironet 1210 il Cisco Aironet Figura 8: Cisco Aironet Apparati per l'autenticazione Per la parte dell'autenticazione lo schema generale della Cisco prevede un unico server che provvede ad autenticare sia gli Access Point che i client. Visto però l'alto numero di dispositivi Aironet e di client, la rete Wi-Fi Unina dispone di 2 server separati. Uno assegnato all'autenticazione degli AP, l'altro a quella dei client. I server che si occupano di tutto ciò sono: Silverio Miscino 566/947 Pagina 23 di 156

24 Il Server Radius Unina e il Netmanager unina (ACS manager Cisco). Il server RADIUS ha tre funzioni: -Autenticare utenti o dispositivi per il loro accesso in rete. -Autenticare utenti e dispositivi per determinati servizi di rete. -Autenticare per l'utilizzo di tali servizi. RADIUS è un protocollo client/server eseguito a livello di applicazione utilizzando il trasporto UDP. Figura 9: Principio di funzionamento dell'autenticazione con Server Radius Apparati per il Management Al primo strato dell'architettura Cisco Swan (Management Layer) troviamo gli apparati che ne fanno parte, identificati nel CiscoWorks WLSE e nei Server Radius, prima citati, incaricati di autenticare Access Point e clients. Il WLSE non è altro che un Pc, avente il ruolo di server, che possiede tutte le informazioni e dati riguardanti la sua area. Questa soluzione migliora la sicurezza ed ottimizza la disponibilità di rete, Silverio Miscino 566/947 Pagina 24 di 156

25 riducendo notevolmente i costi operativi. CiscoWorks WLSE, in parole povere, è un archivio centralizzato dei sistemi a livello di applicazione che gestisce un' infrastruttura Wlan Cisco. I vantaggi di questa soluzione sono molteplici, infatti: (i) riduce la distribuzione e le spese di funzionamento; (ii) semplifica il funzionamento e le gestione delle piccole e grandi reti Wlan Cisco, (iii) implementa la sicurezza di rete ad alto livello visto che rileva, individua e scarta Access Point e apparati non autorizzati; (iv) migliora le prestazioni e la disponibilità della Wlan; (v) monitora performance e difetti (vi) consentendo, infine, di risparmiare tempo e risorse. Tant' è vero che, grazie al WLSE la configurazione di Access Point Aironet e bridges è automatizzata. La rete Wi-Fi Unina di questi archivi centralizzati ne possiede tre, come accennato prima, e questo per il gran numero di apparati e client da gestire. I WLSE posseggono una loro interfaccia Web alla quale si accede con un opportuno Account. Qui si può constatare come, oltre la lista dei vari apparati AP e WDS, si può anche monitorare in tempo reale lo stato degli Access Point e il numero di client a essi associati. In pratica grazie a questo strumento si può navigare nei dati conservati dal WLSE che, tramite opportune interrogazioni agli apparati, riesce ad ottenere le informazioni di stato, mostrandole attraverso l'interfaccia citata prima. 2.4 Aspetti funzionali Servizi forniti La rete Unina offre diversi servizi di rete come: (i) Posta elettronica ed accesso alle risorse informatiche;(ii) Hosting di siti Web;(iii) liste di distribuzione (non sono altro Silverio Miscino 566/947 Pagina 25 di 156

26 che indirizzi di posta elettronica nella forma ai quali sono associati elenchi di indirizzi di posta. Ciò consente di inviare un solo messaggio di posta all'indirizzo delle lista ed ottenere che quest'ultimo sia inviato a tutti gli indirizzi in elenco);(iv) Licenze software(grazie a degli accordi che l'ateneo ha preso con molte case produttrici di software, la comunità può usufruire di molti programmi e applicazioni in modo totalemente gratuito). Esiste anche il servizio Contact center di Ateneo, punto di accesso unificato per: 1) Richiedere informazioni e documentazioni su servizi e procedure informatiche. 2) Chiedere assistenza e attivazione circa l'utilizzo dei servizi e delle procedure informatiche. 3) Segnalare guasti e malfunzionamenti. L'Ateneo, ai fini della didattica o della ricerca, assicura a tutta la comunità universitaria l'accesso alle risorse informatiche e il servizio di Posta Elettronica. Ovviamente l'accesso e le modalità di abilitazione a tali servizi cambiano in base alla categoria del rapporto con l'ateneo (Personale, Studenti, Altri utenti). Il Servizio è offerto all'intera comunità universitaria (strutture, personale, studenti, collaboratori). Silverio Miscino 566/947 Pagina 26 di 156

27 2.4.2 Organizzazione gerarchica apparati Figura 10: Organizzazione gerarchica degli apparati Gerarchicamente gli apparati della rete Wi-Fi Unina sono, come già visto in precedenza, in forma piramidale o ad albero, con il WLSE a radice di ogni suo dominio (ricordiamo che la rete Wi-Fi Unina è gestita in 3 WLSE separati). Metteremo allo stesso livello logico anche il Server RADIUS che come vedremo, avrà un ruolo da protagonista per quanto riguarda l'autenticazione di Access Point e clients. Scendendo Silverio Miscino 566/947 Pagina 27 di 156

28 di un gradino troviamo i domini Wireless (WDS) e i Cisco Catalyst a cui sono collegati gli Access Point che, come sappiamo, occupano il livello immediatamente dopo. All'ultima fascia, posta inferiormente alla nostra piramide, troviamo le foglie del nostro albero che identifichiamo negli apparati che chiedono la connessione, riferendoci ai vari Personal computer, palmari o ancora telefoni ip. I WLSE, Server, WDS e Access Point dello schema comunicano tra loro usando messaggi di protocollo. Questo protocollo è chiamato WLCCP (Wireless Lan Context Control Protocol) Autenticazione L'autenticazione comprende a livello di apparati uno Switch Catalist 3550, un server RADIUS, i Client e come standard quello IEEE Quest'ultimo definisce un'architettura nella quale possono essere usate varie metodologie, per questo uno dei suoi principali vantaggi è la versatilità. La sua rapida diffusione è stata dovuta, in larga parte, alla possibilità di utilizzo di standard come l'eap (Extensible Authentication Protocol). Il controllo degli accessi alla rete basato sulle porte fa uso delle caratteristiche di accesso fisico alle infrastrutture LAN, che usano standard IEEE 802, così da fornire autenticazione e autorizzazione tramite dispositivi connessi a una porta della LAN, che abbia caratteristiche di connessione punto-punto e prevenzione dell accesso a tale porta, nel caso in cui autenticazione ed autorizzazione falliscano. Una porta, in questo contesto, è un singolo punto di accesso all infrastruttura della LAN. La specifica 802.1x definisce il passaggio dell autenticazione tra il client wireless (chiamato supplicant), un Access Point wireless (o uno Switch autenticatore) e un RADIUS (Remote Authentication Dial-In Silverio Miscino 566/947 Pagina 28 di 156

29 User Service) Server (server di autenticazione). In pratica, il client wireless viene autenticato dal server RADIUS e l Access Point o lo Switch, giocano il ruolo di intermediario. Quando un nuovo nodo wireless richiede l accesso alle risorse di una LAN, l Access Point (AP) ne richiede l identità. Nessun altro tipo di traffico è consentito oltre a EAP, prima che il nodo sia autenticato (la porta è chiusa). Il nodo wireless che richiede l autenticazione è spesso denominato supplicant, tuttavia sarebbe più corretto dire che esso contiene un supplicant. Il supplicant ha il compito di fornire risposte all autenticatore che ne verificherà le credenziali. Lo stesso vale per l Access Point; l autenticatore non è l Access Point. Invece, l Access Point contiene un autenticatore. L autenticatore non deve necessariamente trovarsi all interno dell Access Point; può essere un componente esterno. EAP, che è il protocollo utilizzato per l autenticazione, fu usato inizialmente per il dial-up PPP. L identità era l'username, ed era utilizzata l autenticazione PAP o CHAP per verificare la password dell utente. Poiché l identità è inviata in chiaro, uno sniffer malintenzionato può venirne facilmente a conoscenza. Si utilizza quindi un mascheramento dell identità, che non viene inviata finché non sia instaurato un tunnel TLS crittato. Dopo l invio dell identità, comincia il processo di autenticazione. Il protocollo utilizzato tra il supplicant e l autenticatore è EAP o, più correttamente, EAP incapsulato su LAN (EAPOL). L autenticatore re-incapsula i messaggi EAP in formato RADIUS, e li passa al server di autenticazione. Durante l autenticazione, l autenticatore, semplicemente ritarda i pacchetti tra il supplicant e il server di autenticazione. Quando il processo di autenticazione si conclude, il server di autenticazione invia un messaggio di successo (o di fallimento, se l autenticazione fallisce). L autenticatore quindi apre la porta al supplicant. Dopo un autenticazione andata a buon fine, viene garantito al supplicant l accesso alle altre risorse della LAN e/o ad Internet. Silverio Miscino 566/947 Pagina 29 di 156

30 Figura 11: Componenti in gioco L'autenticazione è iniziata dallo switch o dal client. Se si inizia l'autenticazione sulla porta utilizzando il dot1x port-control auto, lo switch deve avviare l'autenticazione quando lo stato della porta transita da down ad up. Si invia un frame EAP-request/identity per chiedergli la sua identità. Tipicamente lo switch invia la richiesta di identità, seguita da una o più richieste di autenticazione. Al ricevimento del frame il client risponde con un EAPresponse/identity. Tuttavia, se il client all'avvio non riceve il frame EAP-request/identity dallo switch, esso può iniziare l'autenticazione inviando un frame EAPOL-start che induce lo switch a richiedere le identità del client. Quando il client fornisce la propria identità lo switch inizia il suo ruolo da intermediario, passando i pacchetti EAP dal client al server RADIUS, fino all'esito finale dell'autenticazione (positivo o negativo). Se l'esito è positivo la porta dello switch diventa accessibile (autorizzata). Lo scambio di messaggi EAP dipende dal metodo di autenticazione utilizzato. La figura sottostante mostra uno scambio di messaggi avviato dal client con metodo di autenticazione one-time-password (OTP) con un server RADIUS. Silverio Miscino 566/947 Pagina 30 di 156

31 Figura 12: Sequenza scambio messaggi per l'autenticazione 2.5 Monitoraggio della rete Wi-Fi Unina Il monitoraggio della rete Wi-Fi Unina attualmente avviene tramite aggiornamenti periodici sui vari WLSE che, come abbiamo già detto, è una macchina che funge da Server per i dati provenienti dagli apparati(wds, AP e clients). La sua interfaccia grafica (per 3 WLSE abbiamo altrettante interfacce grafiche Web) consente di consultare informazioni come lo stato dei device (funzionanti, malfunzionanti e rotti), il numero di client connessi ad ognuno di essi, il modello hardware e software dell'apparato e, per quanto riguarda gli Access Point, anche il WDS di appartenenza; mentre per questi ultimi si può usufruire del numero di AP ad esso associati. Il WLSE Silverio Miscino 566/947 Pagina 31 di 156

32 è diviso in zone e per ogni zona è associato il numero di apparati presenti in essa. Inoltre un' applicazione del WLSE consente anche un monitoraggio in real time(tempo reale) delle strutture, per ottenere dati come: (i) Carico di Cpu, (ii) Memoria utilizzata, (iii)statistiche sui pacchetti, (iv)client associati, ecc. Altra applicazione interessante è il Launch Location Manager, che permette di visitare alcuni edifici piano per piano su mappe reali della struttura, visionando i luoghi in cui sono posizionati gli Access Point. Figura 13: Esempio pagina WLSE lista Access Point 2.6 Informazioni a disposizione Come già accennato, la nostra unica fonte di informazioni è chiamata MIB, che nella sua struttura ad albero capovolto conserva una serie di parametri utili al monitoraggio Silverio Miscino 566/947 Pagina 32 di 156

33 degli apparati. Nel nostro caso questi ultimi li identifichiamo in Wlse, Wds e Access Point. La maggior parte delle informazioni, di più rilevante interesse sono situate sotto il ramo enterprises e più dettagliatamente quello cisco, sono riportate in seguito attraverso una tabella con la struttura della MIB ed una serie di interessanti dati da monitorare. CCITT 0 unname ISO 1 Join ISO/CCITT 2 Org 3 Dod 6 Internet 1 Private 4 Enterprises 1 Cisco 9 CiscoMgmt 9 CiscoWdsInfoMib 509 Disegno 1: Una Parte della MIB Cisco che interessa i WDS Silverio Miscino 566/947 Pagina 33 di 156

34 Tabella 1: Dati Monitorati Dati per gli apparati (WLSE/WDS/AP) Nome Oid Descrizione sysuptime Il tempo(in centesimi di secondo) tcpcurrestab Il numero di connessioni TCP,per il quale allo stato attuale è stabilito o in attesa di chiusura (CLOSE-WAIT). tcpinsegs Il numero totale di segmenti ricevuti,compresi quelli ricevuti per errore. Questo conteggio include i segmenti ricevuti sulle connessioni attualmente stabilite. tcpoutsegs Il numero totale di segmenti inviati,compresi quelli relativi le connessioni,ma esclusi quelli che contengono solo ottetti ritrasmessi. tcpretranssegs Ii numero totale dei segmenti ritrasmessi,cioè il numero di segmenti TCP trasmessi contenenti uno o più ottetti precedentemente trasmessi. tcpinerrs Il numero totale di segmenti ricevuti per errore (come ad esempio Bad Checksum TCP). udpindatagrams Il numero totale di datagrammi UDP consegnati a UDP utenti. udpinerrors Il numero di datagrammi UDP ricevuti che non potrebbero essere consegnati per motivi diversi dalla mancanza di un'applicazione presso la porta di destinazione... udpoutdatagrams Il numero totale di datagrammi UDP inviati da questa Entità. iftable Se Tipo Tipo di interfaccia Se Velocità Attuale larghezza di banda in bit per sec. Se in Ottetti Numero totale di ottetti ricevuti Se in Errore Ingresso pacchetti in errore Se senza Ottetti Trasmessi Dati per i WDS/AP Nome Oid Descrizione cdot11activedevicestable cdot11attiviwirelessclient Questo è il numero di client Wireless attualmente associati con questo dispositivo su questa interfaccia. Silverio Miscino 566/947 Pagina 34 di 156

35 Dati per i WDS Nome Oid Descrizione cdot11activedevicestable cdot11attiviwirelessclient Questo è il numero di client Wireless attualmente associati con questo dispositivo su questa interfaccia. cwdsiapnum Questo oggetto specifica il numero di Access Point attualmente registrati in questo WDS. cwdsimnnum Questo ogetto specifica il numero di nodi mobili associato al Wds cwdsiaaaauthattemptcoun t cwdsiaaaauthfailurecount cwdsimacspoofingblockco unt Questo oggetto specifica il numero di AAA tentativi di autenticazione(esempio LEAP) fatta dal WDS, Access Point autenticati e Nodi Mobili. Questo oggetto specifica il numero di AAA autenticazione tentativi falliti da parte del WDS verso gli Access Point autenticati e Nodi Mobili Questo oggeto specifica il numero di tentativi di MAC Spoofing rilevati e bloccati da WDS. IpForwDatagrams Il numero di datagrammi in ingresso per il quale questa entità non è stata IPv4 la loro destinazione finale, a seguito della quale un Si è tentato di trovare una via di trasmettere loro che destinazione finale. In soggetti che non agiscono come IPv4 router, questo contatore includerà solo i pacchetti che sono stati source-routed via questa entità, e la fonte-route opzione di trattamento ha avuto successo. ipfragcreates Il numero di frammenti di datagramma IPv4 che sono stati generati come risultato della frammentazione di questa entità. ipfragfails Il numero di datagrammi IPv4 che sono stati scartati perché avevano bisogno di essere frammentati in questa entità, ma non lo sono stati a causa del flag. Silverio Miscino 566/947 Pagina 35 di 156

36 ipfragoks Il numero di datagrammi IPv4 che sono stati frammentati con successo. ipinaddrerrors Il numero di datagrammi in ingresso scartata perché l'ipv4 l'indirizzo nel campo loro IPv4 di destinazione non è un indirizzo valido per essere ricevuti da tale entità. ipindiscards Il numero di datagrammi Ipv4 in ingresso per cui nessun problema Sono stati incontrati per evitare la loro trasformazione continua, ma che sono stati scartati (ad esempio, per mancanza di spazio di buffer). ipinhdrerrors Il numero di datagrammi in ingresso scartati a causa di errori nella le loro intestazioni IPv4, compresi Bad checksum, numero di versione mismatch, errori di altro formato, time-tolive superato, gli errori scoperto nella trattazione delle opzioni IPv4, ecc. ipinunknownprotos Il numero di datagrammi localmente indirizzata ricevuto successo, ma scartato a causa di uno sconosciuto o non supportato protocollo. ipoutdiscards Il numero di datagrammi IPv4 in uscita per i quali nessun problema è stato incontrato per evitare la loro trasmissione ai loro destinazione, ma che sono stati scartati (ad esempio, per mancanza di spazio di buffer). ipoutnoroutes Il numero di datagrammi IPv4 scartato perché nessun percorso è stato trovato per trasmettere alla loro destinazione. ipreasmfails Il numero di errori rilevati dal riassemblaggio IPv4 algoritmo (per qualsiasi motivo: timeout, errori, ecc.) ipreasmoks Il numero di datagrammi IPv4 con successo ri-assemblati. ipreasmreqds Il numero di frammenti IPv4 ricevuto che doveva essere riassemblati a questa entità. iproutingdiscards Il numero di voci di routing che sono stati scelti per essere scartati anche se sono validi. Una possibile ragione per scartare tale Silverio Miscino 566/947 Pagina 36 di 156

37 iscrizione potrebbe essere quello di "liberare" buffer spazio per le altre voci di routing. ipinreceives Il numero totale di datagrammi contributi ricevuti dal interfacce, compresi quelli ricevuti per errore. udpindatagrams Il numero totale di datagrammi UDP consegnati a UDP utenti. icmpinmsgs Il numero totale di messaggi ICMP che l'ente ha ricevuto. snmpinpkts Il numero totale di messaggi consegnati al SNMP entità dal servizio di trasporto. ipoutrequests Il numero totale di datagrammi IPv4 che l'utente IPv4 locale protocolli (compresi ICMP) forniti a IPv4 a richieste di trasmissione. udpoutdatagrams Il numero totale di datagrammi UDP inviati da questo entità. icmpoutmsgs Il numero totale di messaggi ICMP che questa entità tentato di inviare. snmpoutpkts Il numero totale di SNMP messaggi che sono stati passato dal soggetto protocollo SNMP per il servizio di trasporto ". snmpinasnparseerrs Il numero totale di ASN.1 BER o errori incontrati da l'entità SNMP quando si decodifica i messaggi ricevuti, SNMP. snmpinbadvalues Il numero totale di SNMP PDU che sono stati consegnato l'entità protocollo SNMP e per che il valore dell'errore campo è `badvalue. snmpinbadversions Il numero totale di messaggi SNMP, che sono stati consegnati per l'entità SNMP e sono stati per un SNMP con una versione non supportata. snmpingenerrs Il numero totale di SNMP PDU che sono state consegnate per l'entità del protocollo SNMP e per i quali il valore dell'errore-campo di stato è 'generr '. snmpingetnexts Il numero totale di SNMP Get-PDU Silverio Miscino 566/947 Pagina 37 di 156

38 successiva che sono stati accettati ed elaborati dall'ente protocollo SNMP. snmpingetrequests Il numero totale di SNMP Get-Richiesta di PDU che sono stati accolti e trattati dall' SNMP snmpingetresponses Il numero totale di SNMP Get-PDU di risposta che sono stati accolti e trattati con il protocollo SNMP snmpinreadonlys Il numero totale di SNMP PDU validi che sono state consegnate per l'entità del protocollo SNMP e per i quali il valore dell'errore-campo di stato è»readonly '. snmpinsetrequests Il numero totale di SNMP Set-Richiesta di PDU che sono stati accolti e trattati con il protocollo SNMP. snmpintoobigs Il numero totale di SNMP PDU che sono stati consegnato l'entità protocollo SNMP e per che il valore dell'errore campo è `toobig. snmpintraps Il numero totale di SNMP Trap PDU che sono stati accettati e trattati da parte dell'ente protocollo SNMP. snmpintotalsetvars Il numero totale di oggetti MIB che sono stati modificati con successo da parte dell'ente protocollo SNMP il risultato di ricevere valido SNMP Set -Richiesta PDU. snmpintotalreqvars Il numero totale di oggetti MIB che sono stati recuperato con successo da parte dell'ente protocollo SNMP snmpoutbadvalues Il numero totale di SNMP PDU che sono stati generati da parte dell'ente protocollo SNMP e per i quali il valore dell'errore-campo di stato è 'badvalue. snmpoutgenerrs Il numero totale di SNMP PDU che sono stati generati da parte dell'ente protocollo SNMP e per i quali il valore dell'errore -campo di stato è»generr. snmpoutgetnexts Il numero totale di SNMP Get-PDU Next, che sono generati da parte dell'ente protocollo SNMP. snmpoutgetrequests Il numero totale di SNMP Get-Richiesta di PDU che sono stati generati da parte dell'ente protocollo SNMP. snmpoutnosuchnames Il numero totale di SNMP PDU che sono Silverio Miscino 566/947 Pagina 38 di 156

39 stati generati da parte dell'ente protocollo SNMP e per i quali il valore dell'errore, è`nosuchname '. snmpoutsetrequests Il numero totale di SNMP Set-Richiesta di PDU che sono stati generati da parte dell'ente protocollo SNMP. snmpouttoobigs Il numero totale di SNMP PDU che sono stati generati da parte dell'ente protocollo SNMP e per i quali il valore dell'errore -campo di stato è 'toobig. snmpouttraps Il numero totale di SNMP Trap PDU che hanno stato generato da parte dell'ente protocollo SNMP. snmpoutgetresponses Il numero totale di SNMP Get-PDU di risposta che sono stati generati da parte dell'ente protocollo SNMP. tcpactiveopens Il numero di volte che le connessioni TCP hanno fatto una diretta transizione verso il SYN-stato inviato dal stato CLOSED. tcpattemptfails Il numero di volte che le connessioni TCP hanno fatto una diretta transizione allo stato CHIUSO sia dal SYN-SENT dello Stato o della SYN-Stato RCVD, più il numero di volte che Connessioni TCP hanno effettuato un passaggio diretto al LISTEN stato dalla SYN-Stato RCVD. tcpestabresets Il numero di volte che le connessioni TCP hanno fatto una diretta transizione allo stato CHIUSO sia dal SEDE Stato o il vicino stato di attesa. tcpoutrsts Il numero di segmenti TCP inviato contenente il flag RST. tcppassiveopens Il numero di volte connessioni TCP hanno fatto una diretta transizione verso il SYN-Stato RCVD dallo stato LISTEN. udpnoports Il numero totale di datagrammi UDP ricevuti per che non vi era alcuna applicazione a destinazione. Silverio Miscino 566/947 Pagina 39 di 156

40 3 L'approccio proposto 3.1 Motivazioni Monitorare un gruppo di apparati, richiede una serie di interrogazioni SNMP che possono essere fatte in tantissimi modi(il modo più semplice e voloce ad esempio è tramite SNMPGET da terminale). In questo modo riusciamo ad ottenere un' insieme di dati interessanti che potremmo utilizzare ai fini del nostro monitoraggio.ovviamente però essere in possesso dei semplici dati ottenuti da un interrogazione da terminale serve a poco, se non per la curiosità istantanea del risultato.stesso discorso vale per il semplice script, che al nostro posto si occupa di interrogare allo stesso modo gli apparati. Per la nostra causa serve uno strumento in grado di effettuare interrogazioni, filtrarle in modo da ottenere il dato pulito e conservarle in modo da costruire poi un grafico che indichi, istantaneamente e in futuro, l'andamento dei risultati ottenuti. Si è quindi provveduto all'utilizzo di uno strumento il cui nome è Cacti (spiegheremo in seguito in cosa consiste) che, integrato con plug-in, fa tutto o quasi tutto quello che ci interessa.ovviamente la raccolta dei dati può essere fatta con altri strumenti che però sono risultati meno semplici e intuitivi, ad esempio l'applicazione Java o l'utilizzo di Nagios&Nagvis(approfondiremo successivamente). Si è anche provveduto a due tipi di presentazione dei dati. Una dedicata ad una serie di persone più esperte e quindi interessate a dati più tecnici, ed una prevista per l'utente comune che cerca dati più diretti e semplici. 3.2 Interoperabilità di sistemi di Monitoring Un sistema di monitoraggio interagisce con molti altri componenti software per far si che,ad esempio, i dati catturati dalla MIB siano conservati ed elaborati in diversi modi. Il nostro strumento di monitoraggio (Cacti), utilizza Apache come Web Server Silverio Miscino 566/947 Pagina 40 di 156

41 permettendo di visualizzare il suo lavoro tramite un browser. Cacti utilizza Php come estensione di Apache e come cli (common line interpreter). Php è un linguaggio di scripting originariamente concepito per la realizzazione di pagine web dinamiche. Attualmente è però utilizzato per sviluppare applicazioni web lato server, per scrivere script a linea di comando e applicazioni standalone (capaci di funzionare indipendentemente da altri oggetti) con interfaccia grafica. Il sistema di Monitoring usufruisce anche di un database Mysql per la memorizzazione di alcuni paramentri come gli utenti registrati, i settaggi, il poller, i colori disponibili ecc. Altro strumento software importantissimo, che offre praticamente l'interfaccia all'utente finale e ci permette di raccogliere e visualizzare graficamente dati temporali è RRDTool (Round Robin Database). Questo è un programma che consente di memorizzare misurazioni effettuate nel tempo e ricavarne diagrammi. Si basa sull'idea del Round Robin una tecnica che utilizza un numero finito di elementi e un puntatore all'elemento corrente. I vecchi elementi vengono sovrascritti dai più nuovi.in pratica, come si evince dal nome, è un database circolare. Le variabili ottenute dalle interrogazioni SNMP fatte dal nostro sistema di Monitoring sono riferite ai Round Robin Archives (RRA), che conserveranno questi valori in modo da poter essere letti nel tempo, e costruire il diagramma ad essi associati. Come detto in precedenza poi questi valori nel tempo cambieranno per la sovrascrizione di valori più recenti. 3.3 Confronto tra le varie tecnologie software disponibili Cacti Cacti è uno strumento completo (open source) per monitorare apparati di rete. E' preferibile impiegarlo rispetto a tanti altri concorrenti per la sua facilità di configurazione e di uso, in generale, senza tralasciare la sua grande flessibilità. La sua Silverio Miscino 566/947 Pagina 41 di 156

42 installazione è molto semplice. Necessita di un database Mysql a cui appoggiarsi per memorizzare i dati e di un server snmpd per accedere ai dati da elaborare; oltre a questi programmi risulta necessario installare, o avere già configurato, il webserver Apache con l'estensione PhP. Cacti sfrutta a pieno le potenzialità di RrdTools che, grazie alle sue funzioni, riesce a presentare grafici di buon livello e di diverse tipologie. Com'è possibile intuire dai requisiti citati prima, l'interfaccia è completamente creata in Php. Ricordiamo che, oltre ad essere in grado di mantenere i grafici, fonti di dati, archivi in un database Round Robin, Cacti gestisce la raccolta dei dati. C'è anche il supporto SNMP per creare grafici di traffico con MRTG. Cacti gia di suo offre una serie di interrogazioni come ad esempio traffico, pacchetti danneggiati o persi; ma fornisce comunque la possibilità all'utente di creare propri script/plug-in da importare nel sistema, e una volta creata la fonte dati, essa viene gestita ad intervalli di 5 minuti. I grafici possono essere visualizzati in più modi. Insieme ad uno standard viste elenco e una modalità anteprima,infatti, vi è una visione albero che consente di inserire grafici su di un albero gerarchico organizzato. Cacti da anche l'opportunità di creare più utenti e dare loro i permessi necessari. Ad esempio ad un utente può essere concesso di modificare ed inserire diversi grafici, mentre ad altri può essere dato solamente il permesso di lettura del monitoraggio. Cacti è in grado di scalare un gran numero di fonti dati e grafici attraverso l'utilizzo di Template. Questo permette la creazione di un unico grafico per più fonti di dati o anche per un' unica fonte. Le operazioni di Cacti possono essere suddivise in 3 parti: Data Retrieval. Data Storage. Data Presentation. Il primo task (Data Retrieval) è quello che riguarda il recupero dei dati.cacti lo Silverio Miscino 566/947 Pagina 42 di 156

43 effettua utilizzando il suo Poller, che viene eseguito dallo scheduler del sistema operativo (es:contrab per Linux). Per la raccolta dati, e quindi per le interrogazioni ai vari dispositivi, Cacti si avvarrà dell'snmp (Simple Network Management Protocol) in modo da monitorare tutti gli apparati che usufruiranno di tale protocollo. Il secondo task (Data Storage) può essere effettuato con diversi approcci: Alcuni possono utilizzare un database Sql, altri file flat. Cacti utilizza il database di RRDTool per memorizzare i dati. RRD è l'acronimo di Round Robin Database, ed è un sistema per memorizzare e visualizzare nel tempo una serie di dati (ad esempio ampiezza di banda, traffico ecc.). I dati vengono memorizzati in modo molto compatto e non rimarranno nel tempo, creando grafici di un certo livello e con diverse opzioni associate come: Dato massimo, minimo, media e LAST (ultima). Il terzo ed ultimo task (Data Presentation) riguarda la parte grafica. Una delle caratteristiche più apprezzate di RrdTool è sicuramente la funzione grafica di built-in. Ciò diventa interessante quando si associa il lavoro ad un webserver di uso comune, in modo da accedere ai grafici da qualsiasi browser. La grafica può essere gestita in modi diversi: Si può, ad esempio, creare un grafico per più dati o viceversa creare più grafici per un solo dato. Si può, inoltre, completare il diagramma creato con una legenda che rappresenti ad esempio il massimo o il minimo valore ottenuto da una interrogazione. Creazione di un Device: Il primo passo per la creazione di grafici è l'aggiunta di un dispositivo. Quest ultimo è rappresentato da un nome, un indirizzo Ip, o ancora parametri SNMP. Una volta riempiti tutti i campi riguardanti il tipo di host, si può procedere alla creazione di un grafico associato ad esso. Nell'elenco dei device, gli apparati aggiunti possono assumere stati differenti: Enalbled, Disabled, Unknown, Up, Down. I primi due compaiono se noi, manualmente, decidiamo di attivare o disattivare il device dal monitoraggio; lo stato "Unknown" appare sia inizialmente dopo aver aggiunto il device, sia se il nostro sistema non riesce a riconoscerlo. Una Silverio Miscino 566/947 Pagina 43 di 156

44 volta avvenuto il riconoscimento, lo stato passa ad "Up". Ben diversa la situazione se lo stato è "Down". In questo caso, l'apparato presenta problemi che possono essere riconducibili ad errori Snmp o mancanza di risposte in generale (anche se l'apparato ad esempio è staccato totlamente non fornirà risposte nemmeno sul ping). Figura 14: Pagina inserimento host Cacti da monitorare Cacti mette a disposizione sul proprio portale una serie di script e template già scritti e funzionanti importabili nel sistema, in modo da espandere le tipologie di dati da monitorare.inoltre questo sistema di monitoraggio da la possibilità agli utenti di scrivere propri script in vari linguaggi (perl, bash, php..) ed importarli all'interno del sistema. Per la successiva creazione del grafico Cacti mette a disposizione una semplicissima Silverio Miscino 566/947 Pagina 44 di 156

45 pagina caricabile, dove cliccando semplicemente sul link crea grafico per questo Host, arriveremo ad una schermata di questo tipo. Figura 15: Pagina creazione Grafico Dopo aver inserito i dati riguardanti il tipo di grafico prescelto, basterà cliccare sul pulsante crea situato nella parte inferiore della pagina. Ovviamente tutti i grafici creati possono essere rimossi tranquillamente, selezionando dal menu la voce delete associata al grafico. Una volta creato il grafico si può inserire in un albero, che conterrà tutti i grafici e sarà consultabile in qualsiasi momento. Inoltre lo stesso diagramma può essere modificato tramite uno specifico menu; in caso, ad esempio, di cambiamenti di obiettivi,e quindi magari passando in argomento a RrdTool altri dati. Silverio Miscino 566/947 Pagina 45 di 156

46 La pagina che racchiude i grafici di un dato device può essere questa: Figura 16: Pagina elenco grafici per un device La rappresentazione grafica dello stato della rete può essere offerta all'utente in modo semplice, tramite un plug-in creato per cacti il cui nome è Weathermap. Quest'ultima applicazione permette di inserire nodi su una mappa (caricata dall'utente o standard) e di visualizzare, ad esempio, il traffico che c'è tra di essi, indicando lo stato ed anche una legenda. Lo stato può essere controllato attraverso il cambiamento del colore delle freccie, mutevole a seconda del traffico, e addirittura, lo stesso Weathermap, esporta la mappa in modo da essere inserita in qualsiasi contesto. Una soluzione facile e veloce che può Silverio Miscino 566/947 Pagina 46 di 156

47 evitare, ad esempio, di esportare manualmente i grafici creati; procedimento comunque consentito. Figura 17: Esempio rapprestazione grafica con Weathermap Nagios&Nagvis Nagios è, come Cacti, un' applicazione Open source creata per il monitoraggio di risorse di rete e di computer. La sua funzione principale è quella di controllare nodi, reti e servizi; avvertendo quando questi risultino non disponibili e quando ritornino attivi. Fu creato sotto il nome Netsaint e mantenuto da Ethan Galstad, fu sviluppato Silverio Miscino 566/947 Pagina 47 di 156

48 originariamente per Linux, ma può funzionare senza problemi anche su altre varianti di Unix. In generale Nagios offre: Monitoraggio servizi di rete(smtp,pop3,http,nntp,icmp,snmp,ftp,ssh) Monitoraggio delle risorse di sistema(carico del processore,uso hard disk,ecc). Monitoraggio remoto attraverso SSH o SSL. Plug-in che danno l'opportunità agli utenti di sviluppare facilmente nuovi controlli per i servizi in base alla proprie esigenze,usando Bash,C+ +,Perl,Ruby,Python,Php,C# ecc. Possibilità di effettuare controlli in parallelo sui servizi. Si possono definire gerarchie di nodi di rete usando nodi parent,così da visualizzare e differenziare i nodi che sono down e quelli non raggiungibili. Messaggi di notifica quando l'applicazione riscontra problemi. Si possono definire azioni automatiche che vengono attivate all'apparire o alla risoluzione di un problema. Rotazione automatica dei file di log. Implementazione di monitoring ridondato Interfaccia Web opzionale per visualizzare lo stato, le notifiche, lo storico ecc. La necessità della creazione di Nagios, è stata l'appartenenza di difetti della versione precedente (Netsaint) che richiedevano la riscrittura del codice. Nagios non contiene funzioni per la gestione della rete, ma solo per il monitoraggio di apparecchiature e servizi, infatti è in grado di monitorare anche Switch, Router, stampanti. Come intuibile, Nagios è fortemente personalizzabile, in quanto permette l'importazione di plug-in e scripts. Nagios può essere, esaltando la citazione precedente, complementato Silverio Miscino 566/947 Pagina 48 di 156

49 con un Plug-in chiamato Nagvis. Quest'ultimo è un addon di visualizzazione per Nagios; può essere usato per offrire a tutti gli utenti una rappresentazione grafica e personalizzata dei dati di Nagios. Richiede l'installazione di PhP ed altre librerie. In seguito è riportato un esempio di pagina Nagios che rappresenta una serie di host monitorati: Figura 18: Monitoraggio di host con Nagios Come detto in precedenza, Nagios può essere integrato con un plug-in (NagVis) che sia in grado di portare alla vista dell'utente lo stato della rete e del monitoraggio in generale. Con la versione 1.4 è stato introdotto il concetto di Gadgets, che sono script PhP dinamici in grado di leggere i dati di performance degli host presenti in Nagios. I Silverio Miscino 566/947 Pagina 49 di 156

50 Gadgets, permettono la creazione di grafici e charts dinamici sullo stato e performance degli host configurati in Nagios. Per rendere lo scambio dei Gadgets Nagvis più semplice, è stato creato un repositoory per la gestione dei vari Gadget di nome NagVis Exchange nello stile di Nagios Exchange. Un esempio di ciò che offre Nagvis è riportato nella figura che segue: Figura 19: Stato rete con NagVis Interrogazioni Java con librerie SNMP Il monitoraggio di apparati di rete può essere effettuato in maniera più articolata ed elaborata creando un applicazione Java nella quale facciamo tutte le nostre richieste SNMP, per poi elaborare i dati e rappresentarli. Il lavoro è un po' diverso e richiede un piccolo sforzo in più. Infatti, per raggiungere il nostro obiettivo di presentare all'utente Silverio Miscino 566/947 Pagina 50 di 156

51 dei dati nella maniera più semplice possibile, dobbiamo far si che la nostra applicazione java abbia gli strumenti necessari per lavorare. Il primo passo è quello di ricavare ed importare tutte le librerie necessarie per il protocollo SNMP. Per Java in generale esistono le librerie SNMP4J o SNMP, che danno la possibilità di fare le snmpget ed interrogare gli apparati. Ovviamente nel codice andrà specificata la community, la versione del protocollo e l'oid da ricercare. Una volta ottenuto il valore o i valori, potrebbaro dover essere memorizzati in un database che andrà creato (magari in sql) manualmente, e con il quale lavoreremo in java tramite un'altra libreria chiamata JDBC. In questo modo con le varie insert tipiche del linguaggio sql potremo inserire i dati ottenuti e conservarli. La rappresentazione grafica la potremmo pensare importando un altra libreria creata per il linguaggio Java, ossia Jfreechart (open source che necessita anche la libreria Jcommon). Quest'ultima permette di creare grafici bidimensionali e tridimensionali, bar charts (orizzontali e verticali) serie temporali, istogrammi, grafici a torta ecc ecc. Figura 20: Esempio grafico a torta Jfreechart Silverio Miscino 566/947 Pagina 51 di 156

52 Nel caso utilizzassimo quest'ultimo metodo (Interrogazioni Java con librerie SNMP), dovremmo provvedere alla creazione di una pagina Web per rappresentare tutti i grafici. Infatti in questo caso non si beneficia dell'aiuto di plug-in, tipo Weathermap o Nagvis. La scelta del modo in cui si vuole creare la pagina Web è lasciato al creatore dell applicazione. 3.4 Descrizione dell'approccio Dopo aver lavorato per un periodo con l'ultimo metodo visto (Java con librerie SNMP), si è deciso di usare le potenzialita del sistema di monitoraggio offerto da Cacti per la sua completezza e velocità. Le nostre fonti di lavoro sono stati i 3 WLSE (Monte Sant'Angelo, Centro Storico e Pansini) dove abbiamo preso inizialmente la lista di tutti i Wds da monitorare. Il primo passo, ha riguardato un approfondito studio della MIB Cisco installata sugli apparati e la comprensione/individuazione di tutti gli OID di particolare interesse. Dapprima, per verificare la funzionalità dello strumento di monitoraggio, è stato deciso di effettuare alcuni test su dei router presenti nel centro Scoope, monitorando il loro traffico e creando grafici associati. In questo modo si è potuto prendere confidenza con Cacti, effettuando una serie di esperimenti. Una volta verificata l'applicabilità dei dati raccolti al primo passo dalla MIB per i Wds, si è passati all'integrazione in Cacti creando anche script e template per particolari risultati che si ritenevano rilevanti. Infatti, visto che la zona di Fuorigrotta era stata prescelta per un' analisi più approfondita (si è sceso di livello fino ad analizzare i vari dipartimenti di Monte Sant'Angelo e le tre sedi di Ingegneria, individualmente ed insieme), è stato necessario creare script e template in grado di rappresentare, ad esempio, su un diagramma un quadro completo dei risultati di tutti i dipartimenti per avere un feedback immediato; senza quindi girovagare tra i vari nodi, dove comunque è possibile avere risultati individuali. Successivamente stesso con Cacti, grazie all'appoggio di RRDTool, si è passato alla creazione dei grafici associati provvisti Silverio Miscino 566/947 Pagina 52 di 156

53 anche di legenda che potevano fornire il valore minimo, massimo e attuale dei dati. I diagrammi creati sono stati esportati, sempre tramite codice RrdTool, ed inseriti in script che periodicamente aggiornano il loro stato. I dati dedicati all'utente meno esperto sono stati esportati grazie al codice RrdTool, modificato in maniera idonea. Infatti l'exporting del codice che genera cacti sulle immagini comprende l'intero grafico composto sia dalla legenda (Numero, Minimo e Massimo valore), che dal diagramma. Visto e considerato che l'utente medio non è interessato in generale all'andamento grafico, si è deciso di modificare provvidenzialmente il codice in modo da far visualizzare all'utente soltanto la legenda con il valore numerico. In pratica, è bastato cancellare (sempre tramite codice) sia gli assi che il flusso colorato delle informazioni, così da restringere la visualizzazione solo al nome della sede interessata e al valore numerico. Nel passo successivo si può notare come il codice sia diverso per i due tipi di rappresentazioni: /usr/bin/rrdtool graph - \ --imgformat=png \ --start= \ --end=-300 \ --title="numero Clients Totali Montesantangelo" \ --base=1000 \ --height=120 \ --width=500 \ --alt-autoscale-max \ --lower-limit=0 \ --vertical-label="numero Nodi" \ --slope-mode \ --font TITLE:12: \ --font AXIS:8: \ --font LEGEND:10: \ --font UNIT:8: \ DEF:a="/var/www/cacti/rra/total_users_352.rrd":total_users:AVERAGE \ LINE1:a#3D168BFF:"" \ GPRINT:a:LAST:"Numero Clients\:%8.0lf" \ AREA:a#ffff00FF:"" > cliemontesa.png Questo codice genera un grafico completo (sia di diagramma colorato che di legenda) del numero di client di Monte Sant'Angelo. Si noti come si stabilisce il formato (.PNG) la dimensione del grafico, degli assi, del titolo, della scritta sull'asse verticale ed il Silverio Miscino 566/947 Pagina 53 di 156

54 colore di tutti gli oggetti che lo compongono. Inoltre nella variabile "DEF a" viene richiamato il file ".rrd" ad ogni ciclo di poller ed associata,tramite la funzione GPRINT, una legenda che in questo caso raffigurerà la scritta "Numero di Clients",ed è proprio quest' ultima che l'utente non esperto dovrà vedere. Riporto il codice modificato per far si che questo avvenga: /usr/bin/rrdtool graph - \ --imgformat=png \ --start= \ --end=-300 \ --title="numero Clients Totali Montesantangelo" \ --base=1024 \ --height=80 \ --width=1000 \ --alt-autoscale \ --lower-limit=0 \ --slope-mode \ --font TITLE:18: \ --font LEGEND:45: \ --font UNIT:0: \ --y-grid none \ --x-grid none \ --alt-y-grid \ --color ARROW#FFFFFF \ --color AXIS#FFFFFF \ DEF:a="/var/www/cacti/rra/total_users_352.rrd":total_users:AVERAGE \ GPRINT:a:LAST:"Numero Clients\:%8.0lf" > cliemontesant.png In questo caso viene modificato il codice precedente in modo da rendere invisibile gli assi e le frecce, eliminare la griglia del diagramma, aumentare la dimensione della legenda e del titolo e permettere che l'area colorata non venga visualizzata. Il codice sembra addirittura più corposo di quello che serve per presentare l'intera immagine completa di andamento grafico, ma alcune delle righe di codice sono servite proprio ad eliminare oggetti non interessanti. I dati anche in questo caso sono relativi al numero di clients della sede di Monte Sant'Angelo. L'ultimo passo ha riguardato l'inserimento dei grafici e dei dati in due paginette diverse (utente esperto/meno esperto) la quale spiegazione però troveremo argomentata nel capitolo sull'interfaccia Web. Silverio Miscino 566/947 Pagina 54 di 156

55 4 Sviluppo di WiFed WebMon 4.1 Requisiti dell'applicazione La nostra applicazione è stata creata per dare l'opportunità a tutti i tipi di utenti (esperti e meno esperti) di poter consultare il traffico della rete Wifi Unina. Il sistema deve poter garantire una visualizzazione delle mappe e dello stato generale in maniera aggiornata, ogni qualvolta l'utente accede al portale, e ogni tot di tempo se l'accesso è già avvenuto. Wifed WebMon consente ad un utente "comune" di consultare lo stato della rete attraverso una schermata statica dove non è concessa navigabilità e quindi permette che le informazioni siano leggibili subito(pro), ma nello stesso tempo non da la possibilità di andare più nel dettaglio(contro).questa consultazione avviene senza dover inserire nè un nome utente, nè una password, ma basta semplicemente digitare il sito del portale e recarsi nella sezione "Stato della rete" ed il sistema dovrà visualizzare la suddetta pagina con tutte le informazioni accessibili. Ecco spiegata la semplicità ma, allo stesso tempo, la limitazione dell'applicazione. Viceversa, se un utente è in possesso delle credenziali adatte al Log del sito, allora il sistema dovrà presentare una schermata diversa da quella prevista per il normal user; provvista di sezioni aggiuntive come la visualizzazione della Mappa avanzata, gestione del profilo, ed altre informazioni. Nel momento in cui, dopo il log, l'utente decidesse di visualizzare la Mappa avanzata, l'applicazione (creata con la Api di Google maps) deve poter permettere questa operazione di navigazione, in modo tale che che il super user possa visualizzare tutte le informazioni a lui consentite. Al click di un nodo il sistema risponderà aprendo una nuvoletta con la foto della zona in questione, e nel caso di Fuorigrotta due link. Il primo che dovrà portare direttamente al Monitoraggio generale del nodo, ed il secondo che deve poter permettere l'entrata nello specifico della zona. Quest ultimo punto, se selezionato, azionerà l'apertura di un' altra mappa ancor più dettagliata da parte del sistema in modo da visualizzare meglio i nodi in questione. In Silverio Miscino 566/947 Pagina 55 di 156

56 modo analogo cliccando su ognuno di essi si aprirà un' altra nuvoletta con la foto del nodo ed il link al Monitoraggio. Il Sistema deve poter permettere, dopo una navigazione approfondita, il ritorno alla pagina iniziale e quindi permettere la navigabilità del sito. Ovviamente alla fine della consultazione del portale sarà concesso il log-out dell'account, e all' utente si ripresenterà la pagina per il normal user. I requisiti citati fino ad ora hanno mostrato servizi e funzioni che riguardano la parte funzionale dell'applicazione, ma esiste anche una parte che coinvolge i requisiti non funzionali. Il sistema, infatti, deve poter garantire un aggiornamento costante delle mappe e delle figure mostrate ogni tot di tempo, mentre il log-in con nome utente e password si classifica tra i requisiti di dominio del sistema. Silverio Miscino 566/947 Pagina 56 di 156

57 4.1.1 Casi d'uso Figura 21: Diagramma dei Casi D'uso Silverio Miscino 566/947 Pagina 57 di 156

58 4.2 L'architettura di WiFed WebMon Diagramma dei componenti Interazione tra i componenti I componenti del diagramma come visto nel paragrafo precedente utilizzano, sono usati e sono composti da altri componenti: spieghiamo un po' cosa accade tra essi e in che modo interagiscono. L'elemento che più si nota è sicuramente il Portale del Silverio Miscino 566/947 Pagina 58 di 156

59 Monitoraggio che include 2 componenti: la pagina Html dello stato e quella avanzata. Il senso di questa inclusione è ovvio, infatti tutto il sito è stato creato per far si che gli utenti possano godere della visualizzazione di questi 2 elementi. Sia la prima, che la seconda pagina come si nota dal diagramma, sono formate da immagini (.png) che raffigurano graficamente l'andamento del monitoraggio. Queste immagini fanno uso di un componente che è impegnato in un lavoro essenziale, infatti parliamo di uno script bash (.sh) che ha il compito di aggiornarle periodicamente così da poter offrire immagini sempre recenti. Mentre la pagina dello stato è formata dalle sole immagini png, la mappa avanzata fa uso delle Google Maps Api,altro componente che notiamo nel diagramma.quest'ultima libreria offerta da Google permette che la mappa risulti zoomabile, navigabile ecc ecc. Tutti i grafici che poi esportiamo in.png e che compongono le mappe e le pagine, vengono creati grazie ad un tool grafico: RRdTools. Ecco spiegata la forte relazione che c'è tra gli scripts ed il software. Più semplicemente, Rrdtools ci offre il codice e lo script lo esegue in intervalli di tempi prefissati creando sempre immagini nuove, sovrascrivendo le vecchie. Il componente Cacti svolge un ruolo essenziale nel diagramma. Infatti, è l'elemento che svolge il lavoro di Back-end (raccolta dati). Esegue le interrogazioni Snmp (c'è la relazione nel diagramma Cacti-->Net-Snmp) e conserva i dati nel database e quindi nei file.rrd. Questa affermazione rande gia l'idea del rapporto che c'è tra il nostro Cacti ed il componente MySql.Le informazioni viaggiano frequentemente tra questi due oggetti in modo che i dati possano essere conservati per un certo periodo di tempo. Cacti interagisce con molti altri componenti, come una serie di moduli PhP per la rappresentazione delle pagine. Esplicitandoli, potremmo suddividere il componente in tre parti: Php, Php-Mysql e Php-Snmp. Ritornando ad un livello più in alto, notiamo le interazioni che hanno il Portale Monitoraggio Unina e Cacti con il Web server Apache. Ciò è inevitabile tenendo conto che entrambe le interfacce Web devono essere visibili agli utenti che usano una connessione Internet, Silverio Miscino 566/947 Pagina 59 di 156

60 infatti sul Web Server Apache, che permette la condivisione di file e altro da locale a remoto, andranno sia Cacti che il Portale L'interfaccia Web Gli utenti possono utilizzare l'applicazione Wifed WebMon attraverso l'interfaccia Web del Portale Monitoraggio Unina. Quest'ultima è stata creata usando le potenzialità di un software di content management realizzato tutto in Php: Joomla. La home si presenta semplice ed intuitiva, subito si riescono a distinguere le varie funzioni grazie ai menu laterali e superiori. In risalto si nota una schermata di benvenuto con il simbolo della Federico II e una spiegazione veloce su cosa il portale permette di visualizzare: Figura 22: Pagina di Benvenuto Silverio Miscino 566/947 Pagina 60 di 156

61 Nella parte alta dell'interfaccia Web (header) è rappresentato il logo del progetto con il simbolo dell'università di Napoli Federico II, aggiunto in sostituzione del vecchio logo predefinito di Joomla. Nel Top Menu l'utente potrà navigare tra 3 diverse opzioni: Tornare alla Home Page, visitare il Portale Unina (in questo caso avverrà la reindirizzazione su un altro sito), ed accedere alle informazioni generali: Figura 23: Opzioni del Top menu Nella parte sinistra del sito Web è stata inserita la sezione principale dove è possibile far utilizzo dei servizi offerti dall'applicazione. In questo caso il menù si presenta in forme diverse per utenti diversi. Una persona senza account, ha accesso a meno servizi e quindi può solamente guardare una descrizione sintetica dell'applicazione osservando in tempo reale lo stato della rete Wi-Fi Unina. Diversa l'interfaccia offerta ad un utente con account autorizzato.la visualizzazione sarà molto più ingente di servizi e la scelta quindi più ampia con possibilità di selezionare tutte le opzioni concesse all'utente precedente, più la consultazione della Mappa avanzata e l'accesso a tutte le sedi divise per zone. In seguito sono mostrate le due visualizzazioni (Utente/Utente con Account): Silverio Miscino 566/947 Pagina 61 di 156

62 Menu Utente Menu Utente con Account Cliccando su una delle voci presenti nel menu di scelta, sarà possibile accedere alle pagine di descrizione e a quelle HTML di Monitoraggio della rete; che sarà diversa a seconda dei permessi concessi all'utente in questione. La parte di Login si trova immediatamente al di sotto del Menu di navigazione, ed è composta da un campo per l'inserimento del nome utente e da un altro per l'immissione della password. Infine, nella Home sulla parte destra vengono riportate informazioni generali sull'ip che sta visitando il sito, il numero di utenti in totale, ed altre informazioni sul traffico del sito. Tutto il questo lavoro (pagine, menu, login,ecc..) è stato eseguito in pochi passi grazie alle potenzialità di Joomla, che offre la possibilità di utilizzare una struttura di un sito già creato, e modellarlo a seconda delle esigenze dell'amministratore; a cui sarà offerto un pannello di controllo dal quale potrà gestire l'intero sito inserendo articoli, menu, categorie, cambiare template, sfondi e offrendo la gestione totale sugli utenti, creandone in numero illimitato e dando loro i permessi necessari alla lettura delle informazioni o limitandone l'accesso. Quest'ultimo servizio risulta molto importante in termini di sicurezza, rendendo la gestione e la manutenzione del sito più affidabile. Silverio Miscino 566/947 Pagina 62 di 156

63 Nella Mappa Avanzata sono visibili tutte le zone e nei punti di interesse diretti sono stati inseriti dei marker che portano direttamente al monitoraggio. Le zone dove si può scendere nello specifico sono state evidenziate con rettangoli ben visibili e cliccabili. La Figura che segue aiuterà a capire meglio il lavoro fatto: Figura 24: Mappa Avanzata Le zone evidenziate in blu rappresentano Monte Sant'Angelo e Ingegneria, mentre i marker sono i punti di Centro Storico e Zona ospedaliera. Facoltà di Ingegneria Cliccando sul link della Facoltà di Ingegneria, non si aprirà direttamente la pagina del monitoraggio, ma si andrà in una Mappa più specifica come mostra la figura che Silverio Miscino 566/947 Pagina 63 di 156

64 segue: Figura 25: Ingegneria nello specifico I tre Marker porteranno al Monitoraggio diretto di: Via Claudio, Agnano e P.le Tecchio. Sede di Monte Sant'Angelo Il Link immediatamente successivo mostra, invece, i dettagli di Monte Sant'Angelo, mentre prima avevamo tre punti di interesse (visto che parliamo di tre sedi differetnti) in questo caso si è deciso di scegliere 3 Marker che raffigurano degli edifici apartenenti alla stessa struttura. La visualizzazione è riportata nella figura qui sotto: Silverio Miscino 566/947 Pagina 64 di 156

65 Figura 26: Monte Sant'Angelo nello specifico Le casette in giallo portano al Monitoraggio diretto dei vari dipartimenti che nel nostro caso sono: Centricomuni, Matematica, Aulario e Chimica. Silverio Miscino 566/947 Pagina 65 di 156

66 4.3 Implementazione Scelta della piattaforma Dopo aver esamintato varie soluzioni, analizzando le potenzialità delle piattaforme in gioco, si è giunti alla conclusione che per raggiungere il nostro scopo la scelta migliore era improntata sull'uso di Cacti. "Wifed WebMon" doveva risultare un applicazione in grado di monitorare ed offrire in tempo reale agli utenti uno stato della rete Wi-Fi Unina in termini di numero utenti, Access Point attivi ed altre informazioni, ma senza provocare situazioni critiche o futili allarmismi. Il confronto, per esempio tra Cacti e Nagios, si è risolto sopratutto su questo punto. La nostra scelta è stata in grado di conservare dati storici e disegnare contestualmente il grafico associato, mentre ad esempio Nagios ha bisogno di plug-in ed altri servizi per offrire questa prestazione. Inoltre, ultimamente, si sta cercando di creare applicazioni per Cacti che gli permettano di eseguire le funzioni proprie del suo più noto concorrente: addirittura sarà possibile installare come plug-in di Cacti, lo stesso Nagios! Quest'ultimo svolge principalemente il ruolo di "Monitoraggio delle soglie" visualizzando allarmi e situazioni critiche come, ad esempio, il superamento della soglia limite per la larghezza di banda, cosa che per il nostro proposito risulta abbastanza esiguo. Più interessante per la nostra applicazione è far visualizzare graficamente il numero di clients o di Access Points e questo Cacti lo esegue automaticamente, senza aver bisogno di plug-in o installazioni di software esterni (facendo uso di RrdTools); cosa di cui invece necessitano i suoi principali rivali (vedi Nagios che necessita di Nagvis). Anche la stessa applicazione creata in Java necessitava, oltre alle varie librerie per eseguire le interrogazioni SNMP, anche di una libreria per la creazione del diagramma: Jfreechart. Questo significava dedicare un certo numero di giorni (preziosi) solo alla raccolta dei dati e alla creazione di grafici presentabili, mentre scegliendo come piattaforma Cacti, metà del lavoro viene eseguito automaticamente e più velocemente. Silverio Miscino 566/947 Pagina 66 di 156

67 In più, il nostro sistema di monitoraggio dà l'opportunità di esportare tutti i grafici creati con Rrdtool tramite il codice generato da quest'ultimo, e manipolarli come si desidera. Quest'ultima potenzialità ha permesso di creare scripts adeguati capaci di creare immagini che vengono aggiornate ogni Tot di tempo. Limiti superiori molto alti anche per quanto riguarda l'espandibilità e la scalabilità di Cacti, che permettono di gestire e monitorare contemporaneamente di più di 200 dispositivi Funzioni, librerie e strutture utilizzate Le Google Maps Api Google da l'opportunità di creare mappe complete con punti di interesse, grafici e foto grazie alle sue librerie Api. Per utilizzare direttamente questi elementi, è necessario registrarsi ed ottenere una API Key che verrà inserita nel codice del nostro portale. Per la creazione di Mappe attraverso le Google Maps Api è richiesta una certa dimistichezza ed esperienza con Javascript, applicazione indispensabile per il risultato finale. La potenzialità di questo strumento permette di utilizzarlo per molte finalità anche commerciali, infatti è di grande aiuto per decisioni e movimenti importanti nell'interesse di qualsiasi azienda. Le Google Maps Api usano le impostazioni del browser, ad esempio, per caricare informazioni che riguardano la lingua ed informazioni testuali come le indicazioni stradali, ma ciò e modificabile tramite il codice javascript, specificando la lingua e il dominio da utilizzare. L'avvalersi delle Google Maps Api richiede l'impiego di un localizzatore (Gps), anche se l'applicazione fa uso di un sensore per determinare la posizione dell'utente. E' importante, prima di passare alla creazione vera e propria della Mappa, verificare tutte le compatibilità con il bowser. Questo Google lo fa fornendo un metodo GBrowserIsCompatible che Silverio Miscino 566/947 Pagina 67 di 156

68 verifica proprio la compatibilità. Variabili sono ovviamente anche le versioni delle Api di Google, infatti nell'url principale c'è il parametro v che indica proprio la versione della libreria. La versione più utilizzata è la 2, ma si può ottenere una versione più aggiornata passando al parametro v il valore 2.x. Se si vuole una versione stabile basta passargli invece il parametro 2.s. Come si può notare, la creazione di una mappa da zero è abbastanza impegnativa e dispendiosa, ma Google, constatando il grande uso di queste librerie, ha aggiunto proprio nella sua pagina Web un applicazione bella e fatta: Crea la tua mappa. Quest'ultima consentendo all'utente di creare graficamente (quindi senza conoscenze di codice javascript) una Mappa completa e che non ha nulla da invidiare ad una generata con codice da zero. Figura 27: Creazione mia mappa Con il link Le mie mappe è possibile entrare in una sezione dedicata alla gestione o alla creazione di Mappe a cui posono essere aggiunti marker, foto e tutto ciò di cui abbiamo bisogno. Una volta avvenuta la creazione,si può in qualsiasi momento modificare il lavoro cliccando sul tasto Modifica che permette di cambiare graficamente la mappa, o utilizzando anche il codice html corrispondente. Silverio Miscino 566/947 Pagina 68 di 156

69 Figura 28: Pagina di modifica mappa La modifica riguarda anche l'insieme dei Marker, immagini nelle nuvolette associate a questi ultimi, livelli di zoom della Mappa, foto, link ecc ecc. La foto seguente rende di l'idea della potenzialità di questo strumento: Figura 29: Pagina di Modifica Mappa con elementi L'ultimo passo riguarda l'integrazione del lavoro (della mappa) in una pagina Web. Silverio Miscino 566/947 Pagina 69 di 156

70 Sembrerebbe in effetti che ci sia assenza quasi totale di codice realizzato,ma non è così. Infatti mentre noi lavoriamo alla creazione di tutti gli elementi, Google procede in background alla generazione del codice sorgente, che richiamerà semplicemente tutte le funzioni e le librerie richiamate. Basterà copiare tutto il codice creato e incollarlo in una pagina rinominata ad esempio: Mappa.html. Figura 30: Codice da copiare nella pagina Web I servizi offerti da Cacti Cacti offre una serie di servizi utili ma nello stesso tempo semplici da usare. Inoltre, oltre alla creazione di mappe associate a device con monitoraggio standard, permette l'integrazione di elementi esterni creati dall'utente. Il primo servizio elencato nella pagina Home di Cacti è New Graphs ; con questo strumento abbiamo la possibilità Silverio Miscino 566/947 Pagina 70 di 156

71 di inserire, selezionando il device da associare, un nuovo grafico. L'operazione è semplice ed intuitiva, basterà infatti selezionare il tipo di diagramma, casomai la porta del router o dell'access Point desiderata e cliccare su create. Abbiamo anche una serie di servizi di Management che permettono di controllare e gestire per esempio i device monitorati. Nella sezione Graph Management ci vengono elencati tutti i grafici attivi in quel momento e nel suo sotto menu la lista dei colori utilizzati, le funzioni disponibili e le legende, che possono essere associate ai grafici (Normal,Exact number e Load Average). Con il servizio Graph tree c'è la possibilità di creare un albero di grafici per garantire la gestione al di fuori della console. In questo modo si può accedere ai grafici dell'albero semplicemente cliccando su graph, in alto nel menu principale. Data source (fonte di dati) da la possibilità all'utente di scegliere il tipo di dati da gestire (ad esempio un valore SNMP), ed oltre ad esserci già una lista abbastanza ricca di data source, Cacti lascia all'utente la creazione di nuovi elementi da aggiungere a questo insieme di funzioni. Allo stesso modo esiste l'opportunità di scegliere da una lista di Metodi predefinita, grazie a script creati manualmente, e di creare metodi esterni. Il servizio Graph Template è stato creato per una gestione dei grafici che vengono creati da RrdTools, infatti, qui si definiscono i parametri necessari da passare al nostro tool grafico (intervalli di acquisizione, range di valori accettabili, il tipo di grandezza ecc). Questi valori verranno utilizzati anche per creare gli Rra (archivi di dati RrdTools). Tutti i template creati e già in possesso di Cacti sono utilissimi per graficare moltissime variabili, in particolare gli Host Template che aiutano l'amministratore perché caratterizzano l'host da monitorare. In genere sono composti da script per la collezione dei dati e da graph template per la presentazione. Ce ne sono moltissimi e, come già detto, sono facili da modificare e adattare a specifiche esigenze. Per queste ultime funzioni, Cacti offre un servizio di importazione/esportazione che permette di portare dei template scritti in formato XML all'interno del nostro sistema, e allo stesso modo di averli al di fuori su file sempre Silverio Miscino 566/947 Pagina 71 di 156

72 dello stesso formato. Tutti i risultati delle Query e del poller sono riportati nei file di Log, che possiamo consultare grazie al servizio di System Utilities messo a disposizione da Cacti in modo da gestire eventuali mal funzionamenti. Per quanto riguarda la gestione degli utenti, possiamo crearne più di uno, dando i permessi giusti all'amministratore e, ad esempio, a chi può visitare la console senza poter modificarne i contenuti. Basterà utilizzare il servizio User Management Descrizione della base di dati di Cacti Cacti utilizza un database Cacti in mysql per la memorizzazione di parametri, dati e informazioni da utilizzare nel corso del lavoro. In Generale nel Database vengono mantenuti i grafici, le fonti di dati, archivi e round robin. In totale il numero delle tabelle presenti nella base di dati Cacti è pari a 43, ognuna ben definita. Tra le più importanti sicuramente c'è la tabella che riguarda gli host, contenente la lista degli host monitorati, la tabella snmp_query che contiene tutti i tipi di interrogazioni possibili, la tabella host template che racchiude i tipi di template associabili ad un host, la tabella graph_templates che conserva tutti i tipi di grafici che è possibile creare e la tabella rra detentrice delle informazioni da conservare riguardanti i dati. In seguito è riportata la rappresentazione dettagliata delle tabelle del Database: 1 cdef 2 cdef_items 3 colors 4 data_input 5 data_input_data 6 data_input_fields 7 data_local 8 data_template 9 data_template_data 10 data_template_data_rra Silverio Miscino 566/947 Pagina 72 di 156

73 11 data_template_rrd 12 graph_local 13 graph_templates 14 graph_templates_graph 15 graph_templates_item 16 graph_template_input 17 graph_template_input_defs 18 graph_tree 19 graph_tree_items 20 host 21 host_snmp_cache 22 host_snmp_query 23 host_template 24 host_template_graph 25 poller 26 poller_command 27 poller_item 28 poller_output 29 poller_reindex 30 poller_time 31 rra 32 rra_cf 33 settings_graphs 34 settings_tree 35 snmp_query 36 snmp_query_graph 37 snmp_query_graph_rrd 38 snmp_query_graph_rrd_sv 39 snmp_query_graph_sv 40 user_auth 41 user_auth_perms 42 user_auth_realm 43 Relational schema Questa lista delle tabelle presenti nel database Mysql Cacti, la cui struttura interna ha la classica forma con l'id di ognuna di essa ed i vari campi. Osserviamo la rappresentazione grafica della struttura delle tabelle più importanti: Silverio Miscino 566/947 Pagina 73 di 156

74 Tabella degli host Tabella dei tipi di Grafici Tabella delle interrogazioni Snmp Silverio Miscino 566/947 Pagina 74 di 156

75 Inoltre esiste uno strumento totalmente free fornito da MySQL AB, per generare, eseguire ed ottimizzare query in un ambiente grafico. è creato per amministrare un server Mysql; mentre MySQL Query Browser è progettato per effettuare Query ed analizzare dati presenti nel database. Questo software consente di modificare dati ed effettuare query attraverso un interfaccia grafica. La finestra principale delle query è divisa in varie sezioni: Barra delle query, dove è possibile creare le nostre query. E' composta da tre pulsanti di navigazione (INDIETRO,AVANTI,AGGIORNA), l'area per le query, due pulsanti di azione (ESEGUI e STOP), ed un indicatore di stato Barra degli strumenti avanzati, che contiene tre insiemi di pulsanti: i pulsanti di Transazione (AVVIA, CONSEGNA, ANNULLA), i pulsanti di gestione delle query (SPIEGA, CONFRONTA), e i pulsanti di costruzione delle query (SELECT, FROM, WHERE, e così via.). Area dei risultati, dove sono riportati i risultati delle query. L'area dei risultati può essere divisa verticalmente e orizzontalmente per effettuare confronti. Browser degli oggetti, che fa parte della barra laterale, e consente di gestire i vostri database, i segnalibri, e la cronologia. Potete scegliere su quale database e su quale tabella effettuare la query, aggiungere query di uso comune alla collezione dei segnalibri, e navigare tra le query fatte precedentemente per riusarle in seguito. Browser delle informazioni, che fa parte della barra laterale, ed è usato per cercare le funzioni built-in, e per gestire query che contengono parametri. Un esempio di questo, si ha quando si stabilisce una coppia di query master-detail. Il dato nella master query è disponibile come parametro alla detail query. Figura 31: Esempio pagina query con Query Browser Silverio Miscino 566/947 Pagina 75 di 156

76 4.3.4 Documentazione del software Wifed WebMon è il primo sistema di monitoraggio Wi-Fi della rete Unina disponibile su un portale pubblico; è realizzato grazie allo strumento Cacti e all'esportazione dei suoi grafici in pagine Html e in Mappe Google visitabili dal portale Monitoraggio Unina (creato con Joomla). Lo scopo del software è quello di presentare, in qualsiasi momento, lo stato della rete agli utenti comuni e a quelli esperti. Per consultare la sua esecuzione basta recarsi sul portale digitando l'indirizzo della pagina Web. Si presenterà la Home di Benvenuto con il logo della Federico II in primo piano. Il sito permette di vistare più sezioni, ma ci concentreremo sulla parte che riguarda il Monitoraggio Wi-Fi di Ateneo. Il suo menu si trova nella parte sinistra del portale, e si può presentare in due forme diverse. La prima è dedicata all'utente comune e la seconda ad un utente più esperto. Per il primo risulterà molto semplice visualizzare lo stato della rete, basterà infatti cliccare sul relativo link che comporta la visualizzazione di una pagina contenente, in formato testuale, la lista dei nodi con i relativi dati monitorati. Figura 32: Pagina presentata al normal user Silverio Miscino 566/947 Pagina 76 di 156

77 Figura 33: Esempio balloons Mappa Avanzata Diverse, invece, le possibilità concesse ad un utente in possesso di account che potrà visualizzare tutte le informazioni precedenti, ed in più una Mappa Avanzata con la quale è possibile scendere in dettagli più tecnici e modulati per tutte le varie zone. L'accesso a quest'ultima è possibile prima loggandosi, e dopo cliccando nel menu laterale il link Mappa Avanzata che aprirà la Google Map. La pagina si presenterà all'utente divisa nelle varie zone (Monte Sant'Angelo, Ingegneria, Centro Storico e Zona ospedaliera) cliccabili e visitabili nel dettaglio, come previsto dalla funzione zoom delle Api di Google. Cliccando su una zona scelta si aprirà un balloons (nuvoletta) con la foto della zona selezionata e le possibili scelte concesse che si divideranno in Guarda Monitoraggio, per consultare immediatamente i dati generali, mentre nel caso dei nodi di Monte Sant'Angelo e di Ingegneria, apparirà il link Vai nello specifico che attiverà l'apertura di un' altra mappa contenente i sotto-nodi Silverio Miscino 566/947 Pagina 77 di 156

78 specifici; per i quali sarà possibile, tramite il link Guarda Monitoraggio,la visualizzazione di dati semplici e di dati più tecnici riguardanti ad esempio il traffico. 4.4 Deployement La fase di deployement e la relativa messa in atto del software ed è composta da molteplici passi ben specifici. Si è deciso di esportare l'applicazione su un server centrale, situato in un centro chiamato CSI (Centro di Ateneo per i Servizi Informativi), dove sono presenti altre applicazioni e server. Uno di questi ultimi è stato portato nel centro Scoope ed è un INTEL Xeon dual, con processore da 3.6 Ghz e 3 dischi Serial ATA Western Data con controller RAID 5 da 250 Hard disk l'uno, per una capacità totale di disco pari a 750 Gb e 4Gb di RAM. I passi per la configurazione sono riportati di seguito: Formattazione della macchina. Aggiornamento del Bios della scheda madre. Installazione Firmware per i controller Raid dei dischi. Installazione Sistema operativo Redhat 5 Enterprice. Installazione macchina virtuale con assegnazione Ip sbloccato per l'snmp. Come abbiamo già detto, Cacti conserva i suoi dati e le informazioni in un database ( cacti ) creato durante l'installazione. Al suo interno, oltre ad esserci le informazioni relative alla struttura vera e propria di Cacti, ci sono anche tutti i template importati dall'esterno che verranno integrati nel nuovo sistema, senza essere reimportati nuovamente dall'esterno. Nel momento dell'esportazione del lavoro su un server centrale risulta, quindi, indispensabile: -Effettuare una copia di tale database (backup). Da terminale, aprendo la shell basterà digitare il seguente comando: shell> mysqldump cacti > ~/cacti.sql In questo modo, avremo la copia dell'intera base di dati nel file "mysql.cacti". Quando nel nuovo server ci verrà chiesto il database da usare si importerà quello esportato dal nostro vecchio server, eseguendo il comando: mysql cacti < ~/cacti.sql -Il secondo passo comprende la copia dei vecchi file e directory di Cacti. Silverio Miscino 566/947 Pagina 78 di 156

79 -Il terzo passaggio, forse quello più delicato, consiste nel convertire tutti i file della cartella "rra" in un file ".xml". Rechiamoci nella cartella "rra"(sempre da shell) di cacti ed eseguiamo il seguente comando: ls -1 *.rrd awk '{print "rrdtool dump "$1" > "$1".xml"}' sh -x -Il prossimo passo consiste nello zippare i file XML, usando il comando: tar -czvf ~/rrd.tgz *.rrd.xml -Ora bisogna portare nel nuovo Server tutti i file ".rrd"(ora sottoforma di XML) e riconvertirli nella carella "rra" quindi, recandoci nella carella prima citata, eseguiremo il comando: ls -1 *.rrd.xml sed 's/\.xml//' awk '{print "rrdtool restore "$1".xml "$1}' sh -x -Cambiamo le proprietà dei file rrd con il comando: chown www-data:www-data *-rrd Adesso basterà, una volta conclusa l'installazione del Software e di tutti i componenti sul nuovo Server, accedere alla sua Home Page e loggarsi come accadeva sul vecchio sistema. Silverio Miscino 566/947 Pagina 79 di 156

80 5 Casi d'uso 5.1 Test di laboratorio Per effettuare interrogazioni Snmp sugli apparati da monitorare (i principali Wds delle sedi Unina) c'era bisogno delle autorizzazioni necessarie e di informazioni che ci permettessero di ottenere i dati, il tutto risolvibile con lo sblocco dell'indirizzo IP della mia macchina. Nell'attesa di tali privilegi, si è proceduto ad una serie di test su apparati presenti nel centro di sviluppo SCoPE. Ovviamente anche gli Access Point non ci davano accesso alla MIB per il solito discorso relativo ai permessi, gestiti da un organo centrale che ha il controllo sull'intero sistema di protezione. Viste le ovvie limitazioni iniziali, si è proseguito con l'interrogazione di due Switch al quale avevo già accesso, anche se la loro MIB era configurata in modo diverso da quelle di un Access Point o di un Wds; infatti mi è risultato impossibile usare gli stessi Oid pensati per il monitoraggio Wi-Fi come ad esempio numero Access Point attivi o numero clients connessi. Inoltre, Cacti monitora di per sè già un apparato: Il localhost sul quale si sta lavorando, ma anche in questo caso i risultati ottenuti sono bel lontani da quelli pensati per una rete Wireless. Comunque in generale, tutto è servito per testare un po' il sistema di monitoraggio e per verificarne il funzionamento con RrdTools. Gli Switch, che sono due Linksyssrw(uno 2048 ed uno 2024), hanno permesso un monitoraggio del traffico sia in entrata che in uscita, mentre la nostra macchina locale è stata monitorata di: Numero di utenti loggati, Memoria in uso, Processi, ed in generale di tutto ciò che era possibile per una macchina linux locale. Una volta ottenuto lo sblocco dell'indirizzo IP (non su tutti gli apparati), è stato necessario un controllo generale sulle versioni del protocollo SNMP installato sui vari apparati, perché nel caso di una versione diversa dalla 1 o dalla 2, vigeva il bisogno di ulteriori permessi; visto il livello di protezione dell'snmp V3. Il passo successivo ha riguardato la verifica degli effettivi moduli MIB installati sui vari Wds che hanno Silverio Miscino 566/947 Pagina 80 di 156

81 constatato, in molti casi, mancanze importanti sopratutto per molti apparati di grosso interesse come ad esempio quello che gestisce il dominio di Access Point del Centro Storico o quello di Mezzocannone, senza dimenticare tutti i Wds della Zona Ospedaliera. Il problema di queste MIB è risultato nella loro versione vecchia, quindi non aggiornata ai parametri attuali. Viste le notevoli difficoltà incontrate per questi apparati, e non solo, si è dovuta effettuare un' altra serie di test riguardando i singoli Access Point registrati nei Wds, prima citati, nella speranza che scendendo di un livello nella gerarchia della Cisco, si potessero ottenere risposte confortanti. Queste apparecchiature hanno una MIB diversa da quella dei WDS, ma è possibile risalire a campi comuni come ad esempio il numero di client associati. Muniti di shell (terminale) e della lista di Access Point, ricavata dai WLSE, sono state effettuate le interrogazioni manuali con una serie di SNMPGET per verificarne le risposte. I test sono risultati abbastanza esaustivi sopratutto per la Zona Ospedaliera, dove tralasciando qualche apparato non raggiungibile, si é ottenuto un flusso di dati non trascurabile. Viceversa, sui Wds non ancora raggiungibili, anche scendendo di livello ai relativi Access Point, non si sono ottenute risposte. Di seguito, sono riportate due figure riguardanti le risposte negative ottenute nei test: Figura 34: Risposta di un Wds con versione MIB non aggiornata Silverio Miscino 566/947 Pagina 81 di 156

82 Figura 35: Risposta di un Wds non raggiungibile Descrizione dell'ambiente I test effettuati nel centro Scoope hanno coinvolto pochi apparati di rete, oltre la macchina dal quale venivano inviate le richieste SNMP. Come detto in precedenza, gli apparati di rete monitorati per i test sono: Uno Switch Cisco LinksysSRW2048 (48 porte EN, Fast EN, Gigabit EN, 10Base-T, 100Base-TX, 1000Base-T+4xSFP condiviso -1U-montabile in rack) con velocità di trasmissione pari ad 1Gbps e con protocolli di gestione remota come SNMP 1, SNMP 2, SNMP3, oltre ad HTTP, Telnet,HTTPS ecc. L'altro Switch usato per i test è sempre della Cisco ed è un LinksysSRW2024 (24 porte EN 10Base-T,EN 100Base-TX,EN 1000Base-T) con velocità di trasferimento pari a 1 Gbps, montabile in rack e con protocollo di gestione remota HTTP. Il Client che ha effettuato le richieste è una macchina della Sun, con Sistema operativo Scientific Linux a 64 bit visto il processore ad altrettanti bit, 4gb di memoria volatile e 500gb di disco rigido. Gli apparati sono collegati tra loro con cavi Ethernet a porte Rj-45 cat 5. Sullo Switch Linksys2024 è stata necessaria l'installazione del protocollo SNMP, vista la sua assenza, per effettuare le interrogazioni appropriate. Nell'ambiente SC.o.P.E. in realtà è presente anche di un Access Point 1240 registrato al Wds di Matematica, ma il suo accesso diretto è negato, Silverio Miscino 566/947 Pagina 82 di 156

83 mentre per fortuna quello del Wds al quale è registrato no Risultati I risultati ottenuti dai test effettuati in laboratorio hanno mostrato, in maniera considerevole, statistiche riguardanti il traffico per quanto concerne il monitoraggio dei due Switch; mentre per quanto riguarda la macchina Linux, i risultati hanno riguardato più che altro il lavoro interno della macchina coinvolta. I dati relativi al traffico degli apparati di rete sono stati divisi in due parti (traffico in entrata e traffico in uscita), ovviamente raffigurati sullo stesso diagramma creato da RrdTools. L'interesse di questo tipo di monitoraggio, non sta solo nel controllo della banda utilizzata per verificarne il corretto utilizzo, ma anche per molti dati statistici che subito risaltano all'occhio come l'incremento delle curve del grafico nelle ora mattutine ed il decremento constante con il passare delle ore fino alla notte; dove si va quasi a formare una retta nel diagramma, come se constatasse una costante di byte ricevuti ed inviati. Ecco riportato un esempio con i risultati del monitoraggio di una porta (la G3) dello Switch Linksys2048: Figura 36: Risultati Traffico dello Switch Linksys2048 Silverio Miscino 566/947 Pagina 83 di 156

84 5.2 Risultati su Wi-Fi Unina I Test effettuati sulla rete Wi-Fi Unina, hanno prodotto risultati molto interessanti in termini di clients e di Access Point presenti nell'intero Ateneo. Infatti anche persone molto vicine all'ambiente sono rimaste sbalordite nel notare, attraverso i grafici, il grande numero di persone che giornalmente utilizza la rete Wireless e come i vari dipartimenti si comportino in maniera numerica molto diversa, ma con andamento quasi identico. Infatti, in termini di numero client, constatiamo che la curva cresce dal primo mattino fino all'ora di pranzo per poi subire un calo ed un incremento nel pomeriggio; fino ad arrivare a numeri di poco superiori o,nella maggior parte dei casi, pari allo 0. Risultati di questo tipo sono molto utili oltre per la semplice statistica, anche per decisioni architetturali. Nell'Aulario di Monte Sant'Angelo (dove prima erano presenti circa una trentina di Access Point),ad esempio, notiamo un numero giornaliero di client molto basso quasi mai superiore alle persone. Tenere manutenzione di un così alto numero di apparati per un utilizzo non ottimizzato risultava oneroso; quindi si è deciso di diminuire il numero di Access Point nell'aulario che oggi risulta essere pari a 11. In generale, è interessante vedere come si comportano gli utenti della rete Wi-Fi di una sede nei vari dipartimenti, ma altrettanto curioso è stato, per esempio, il risultato del numero di nodi connessi del monitoraggio della Zona Ospedaliera che, evidentemente per chiare necessitudini, anche nelle ore notturne ha apparati Wireless connessi. Questo per sottolineare che i dati permettono anche un confronto a distanza tra le diverse sedi, per rilevare il diverso comportamento degli utenti. Il tutto è visibile sia guardando l'andamento del diagramma (ed in questo caso si notano subito le statistiche ed il comportamento graduale con il passare del tempo),sia osservando direttamente la legenda al di sotto del grafico, in modo da ottenere solo il dato numerico (in questo caso risalta all'occhio solo il risultato elevato o basso del monitoraggio). Riportando un esempio riguardante il risultato del monitoraggio di Monte Sant'Angelo per il numero di client, si nota subito come il solo Silverio Miscino 566/947 Pagina 84 di 156

85 lato dei Centricomuni influenzi notevolmente l'intero diagramma di Montesantangelo, mettendo in mostra l'alto numero di persone connesse senza fili: Figura 37: Risultati numero clients combinato Montesantangelo Figura 38: Risultati numero clients complessivo Montesantangelo I test di laboratorio, hanno mostrato comportamenti non proprio ottimali per quanto riguarda il monitoraggio della facoltà di Ingegneria (Via Claudio,Agnano,P.le Tecchio) Silverio Miscino 566/947 Pagina 85 di 156

86 sopratutto all'inizio. Infatti, dopo lo sblocco per i permessi sul mio indirizzo IP, si monitorava senza problemi solamente la sede di Via Claudio e quella di Agnano; mentre il Wds che gestiva P.le Tecchio risultava constantemente non raggiungibile. Grazie all'intervento a livello di amministrazione, si è potuto accedere a quest'ultimo nodo per completare il monitoraggio dell'intera zona Fuorigrotta. A volte, però, nei giorni lavorativi o nel Week-end accadeva una cosa curiosa: I grafici di P.le Tecchio si fermavano per riprendere solo il lunedi. Il primo dubbio che sopraggiunse era anche quello esatto: in pratica, durante il fine settimana, gli apparati venivano spenti per poi essere riavviati il lunedi. Questo risulta non essere proprio ottimale per una rete che, comunque, dovrebbe essere attiva sempre. Rimane invariato ciononostante questo problema, che si verifica puntualmente dal venerdi sera al lunedi mattina. Osserviamo un esempio del grafico di Ingegneria, dove si può notare l'arresto della linea che riguarda il numero di clients di P.Le Tecchio: Figura 39: Grafico che mostra l'arresto di P.le Tecchio Silverio Miscino 566/947 Pagina 86 di 156

87 Si può notare come la curva di P.le Tecchio (quella blu) si fermi poco dopo le ore 18.00, bloccando così i monitoraggi riguardanti la sua sede. Altro risultato evidenziato dai test sulla rete Wifed Unina, mette in mostra l'ingente numero di autenticazioni fallite rispetto a quelle riuscite. Questo può essere dovuto a più elementi, come la non conoscenza dell'esatto iter di connessione, l'immissione errata della password, o anche ad un tentativo di accedere alla rete non essendo autorizzato. Fatto sta che, comunque il numero di autenticazioni non andate a buon fine è costantemente superiore a quelle riuscite (in pratica circa il 75% delle autenticazioni va a buon fine) e questo dato, in ogni modo, fa riflettere. Successivamente, ecco riportato il diagramma che mostra i risultati delle autenticazioni effettuate: Figura 40: Figura che mostra le autenticazioni riuscite e non L'area colorata di verde rappresenta le autenticazioni OK dell'area di Monte Sant'Angelo, mentre la linea rossa è la soglia della autenticazioni non riuscite. Nella legenda, al di sotto del grafico, sono inseriti entrambi i contatori per avere anche l'idea numerica della differenza che vige tra le due informazioni. Visto l'andamento del grafico che ritrae il numero di clients connessi alal rete Wi-Fi Silverio Miscino 566/947 Pagina 87 di 156

88 Unina per Montesantangelo, è curioso vedere se l'andamento della curva risulta analogo per gli interi utenti di tutto il servizio, e non per il solo nodo citato prima. Osserviamo che i risultati sono analoghi. Dunque anche qui si nota come la curva cresce, per poi calare durante le ore di pranzo e successivamente accrescere nuovamente. In seguiito è mostrato un grafico che rappresenta il numero dei clients Unina totali e il numero di Access point attivi dell'intera rete: Figura 41: Monitoraggio Totale rete Wi-Fi Unina 5.3 Test portale Monitoraggio Unina Riportiamo una serie di test effettuati al fine di testare il portale Monitoraggio Unina. Velocità di accesso al sito: La prima tabella mostra la velocità di download della pagina effettuato da vari tipi di connessione. Ovviamente altri fattori potrebbero influenzare i tempi di risposta come, ad esempio, l'apparato per la connessione o la qualità della connessione. Silverio Miscino 566/947 Pagina 88 di 156

89 Analisi della sintassi del codice: In questo caso non si sono presentati problemi, tutte le righe del codice generatrici del sito sono risultate corrette. Analisi dei link spezzati: Il test ha riportato un numero di 46 broken link (collegamenti rotti) che reindirizzano l'utente del sito ad una pagina di errore. In altre parole, i broken link sono collegamenti spezzati che non portano in nessuna altra pagina, infatti, l'unica pagina visualizzata sarà del tipo: Page not fund (pagina non trovata). Silverio Miscino 566/947 Pagina 89 di 156

90 Mappa del sito: Silverio Miscino 566/947 Pagina 90 di 156

91 Tutte le pagine per tipo di risultato: Stress Test per il Web site: Questo tipo di test stressa il sito creando clients virtuali che fanno richieste random (a caso), così da valutare il comportamento in termini di velocità e risposta del portale. I test si suddividono in 3 differenti passi: 1. CLICKS (test effettuato con carico costante, fino a quando ogni utente genera un numero costante di clicks) Esecuzione con 150 clicks per utente,10 utenti,20 secondi tra ogni click(random) User No. Clicks Hits Errors Avg. Bytes kbit/s Cookies Click Time [ms] , , , , , ,04 Silverio Miscino 566/947 Pagina 91 di 156