LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành đến Khoa công nghệ thông tin trường Đại học công nghệ thông tin truyền thông Thái Nguyên tạo điều kiện,tốt cho em thực đồ án tốt nghiệp đại học năm Tiếp theo, em xin gửi lời cảm ơn chân thành sâu sắc đến Thầy ThS Trần Duy Minh – người tận tình hướng dẫn, quan tâm bảo chúng em suốt thời gian thực đề tài Ngoài ra, không quên cảm ơn quý thầy cô khoa tận tình giảng dạy, trang bị cho em kiến thức quý báu năm học vừa qua Cuối cùng, em xin gởi lời biết ơn sâu sắc đến cha mẹ, bạn bè ủng hộ, giúp đỡ, động viên chúng em suốt trình học thời gian làm đồ án Một lần xin cảm ơn mong nhận đóng góp chân thành quý thầy cô, bạn bè LỜI CAM ĐOAN Sau trình học tập trường Đại học công nghệ thông tin truyền thông Thái Nguyên, có kết hợp, vận dụng lý thuyết thực tế, em tìm hiểu nghiên cứu tập hợp tài liệu để hoàn thành đồ án tốt nghiệp Em xin cam đoan đồ án tốt nghiệp công trình sức lực than em tự tìm hiểu, nghiên cứu hoành thành hướng dẫn thầy giáo ThS Trần Duy Minh Em xin cam đoan đồ án chưa sử dụng để bảo vệ học vị Thái Nguyên, tháng năm 2016 Sinh viên Ma Quang Thượng DANH MỤC HÌNH ẢNH Hình 1.1 Khó khăn cho người vận hành Hình 1.2 Controller quản lý tập trung thiết bị switch thông qua API Hình 1.3 Quản lý tập trung thông qua controller 9 Hình 1.4 Cấu trúc SDN – mô hình 11 Hình 1.5 Cấu trúc SDN - mô hình 11 Hình 2.1 Phân phối logical plane hệ thống mạng truyền thống 27 Hình 2.2 Các giải pháp bảo mật chung 29 Hình 2.3 Sử dụng tường lửa để tăng cường an toàn cho host SDN 34 Hình 2.4 Bảng mô tả giải pháp đề xuất 35 Hình 2.5 Các phiên controller hỗ trợ Replication faul-tolerance Hình 2.6 Tích hợp bảo vệ mạng với Replication Diversity 39 Hình 3.1 Sơ đồ logic 52 Hình 3.2 Sơ đồ công ty 53 Hình 3.3 Sơ đồ vật lý tầng 53 Hình 3.4 Sơ đồ vật lý tầng 54 Hình 3.5 Trang đăng nhập OpenDaylight…………………………………61 Hình 3.6 Kết ping host Hình 3.7 Topo mạng 64 Hình 3.8 Các kết nối 65 63 Hình 3.9 Bắt gói tin Wireshark 65 Hình 3.10 Công cụ system monitor 66 39 DANH MỤC TỪ VIẾT TẮT AAA Authentication Authorization and Accounting ACL Access Control List API Application Programming Interface BYOD Bring-Your-Own-Device DDoS Distributed Denial of Service DFD Data Flow Diagram IaaS Infrastructure as a Service IDS Intrusion Detection System ONF Open Networking Foundation SDN Software-Defined Networking SDO Standard Organisation SIEM Security Information and Event Management TCAM Ternary Content-Addressable Memory TLS Transport Layer Security LỜI NÓI ĐẦU Ngày mạng máy tính ngày phát triển vượt bậc Nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lượng thiết bị ngày lớn gây nhiều khó khăn cho người quản trị Hệ thống mạng phức tạp, sách không quán, khả mở rộng kém, chi phí cao, nhiều nguy bảo mật Sự phức tạp việc tích hợp giải pháp bảo mật cho hệ thống mạng vấn đề quan tâm hàng đầu Công nghệ SDN - Software Defined Networking (Mạng định nghĩa phần mềm) đời giải pháp cho hệ thống mạng Do em định chọn đề tài “Ứng dụng mô hình điều khiển mạng SDN thiết kế mạng cho công ty TNHH thương mại dịch vụ quốc tế hoàng gia” Mục đích nghiên cứu đưa nhìn tổng quan kiến trúc mạng hoàn toàn mới, tìm hiểu vấn đề bảo mật hệ thống mạng SDN,demo mô hệ thống mạng đơn giản Nội dung đồ án chia thành 3chương: Chương I : Tổng quan SDN – Software Defined Networking Chương II : Các vấn đề bảo mật SDN Chương III : Khảo sát hệ thống xây dựng demo chương trình Chương : TỔNG QUAN VỀ SDN – Software Defined Networking 1.1 Sự cần thiết kiến trúc mạng Trong kiến trúc mạng truyền thống data plane control plane nằm thiết bị vật lý (chế độ tự trị) thiết bị độc lập với nhau, sách chuyển tiếp lưu lượng nằm riêng thiết bị, khả hiển thị toàn bộmạng, sách chuyển tiếp tốt Nếu số lượng thiết bị nhiều, gây nên phức tạp mạng điều gây khó khăn cho người quản trị mạng trình vận hành điều khiển Hình 1.1 Khó khăn cho người vận hành Các thay đổi mô hình lưu thông, gia tăng dịch vụ đám mây nhu cầu phát triển nhà khai thác băng thông dịch vụ cần tìm giải pháp Vì công nghệ mạng truyền thống đáp ứng nhu cầu nảy sinh vấn đề Các yếu tố hạn chế: Phức tạp Chính sách không quán Khả mở rộng quy mô Phụ thuộc vào nhà cung cấp 1.2 Định nghĩa SDN Software-Definded Networking (SDN) cách tiếp cận việc thiết kế, xây dựng quản lý hệ thống mạng Về bản, SDN chia tách độc lập hai chế tồn thiết bị mạng: Control Plane (cơ chế điều khiển, kiểm soát luồng mạng), DataPlane (cơ chế chuyển tiếp liệu, luồng liệu) để tối ưu hoạt động hai chế SDN dựa giao thức mã nguồn mở (Open Flow) kết nghiên cứu Đại học Stanford California Berkeley SDN tách việc định tuyến chuyển tiếp luồng liệu riêng rẽ chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi thiết bị kiểm soát luồng (Flow Controller) Điều cho phép luồng gói liệu qua mạng kiểm soát theo lập trình Hình 1.2 Controller quản lý tập trung thiết bị switch thông qua API Trong SDN, control plane tách từ thiết bị vật lý chuyển đến controller Controller nhìn thấy toàn mạng cho phép 10 Bước khởi tạo mạng sử dụng câu lệnh mn terminal Ví dụ câu lệnh sau khởi tạo mạng switch OpenFlow: mn –switch ovsk –controller nox –topo tree –test pingall Ở ví dụ trên, switch Open vSwitch kernel kết nối với theo đồ hình hình điều khiển NOX, kèm theo lệnh test pingall để kiểm tra liên thông mạng.Đểthiết lập mạng này, Mininet mô liên kết, host, switch controller Mininet sửdụng chế ảo hóa nhẹ (lightweight virtualization mechanisms) có sẵn hệ điều hành Linux: tiến trình chạy network namespaces cặp Ethernet ảo Nhược điểm Mininet: chạy Linux, hạn chế mặt hiệu chạy Laptop/PC nên hiệu phụ thuộc vào tài nguyên Laptop/PC Tuy nhiên, tương lai hạn chế sớm khắc phục cách phát triển Mininet chạy nhiều PCs có khả chạy hệ điều hành Windows Dưới thành phần Mininet:  Links: liên kết mạng Mininet cặp Ethernet ảo hoạt động sợi dây kết nối hai giao diện ảo Các packet gửi từ giao diện tới giao diện kia, giao diện tượng trưng hoàn toàn giống cổng Ethernet cho tất hệ thống phần mềm ứng dụng  Hosts: Các Network namespaces chứa trạng thái mạng (network state) Chúng cung cấp tiến trình (hoặc nhóm tiến trình) với quyền điều khiển giao diện, port bảng định tuyến Mỗi host có giao diện Ethernet riêng (khởi tạo cài đặt lệnh ip link add/set) đường kết nối tới tiến trình Mininet, mn, tiến trình gửi lệnh hiển thị thông tin mạng  Switches: Các switch mềm OpenFlow cung cấp ngữ nghĩa cho việc gửi packet giống switch phần cứng  Controllers: Controllers đâu mạng thật môi trường mô 69 d Khả mở rộng Mininet Ảo hóa nhẹ (lightweight virtualization) chìa khóa đề mở rộng mạng Mininet tới hang trăm node mà trì hiệu tương tác Bảng thời gian cần thiết để tạo topo khác Mininet.Trên thực tế, thời gian khởi động mạng Fattree đầy đủtrong khoảng 10 giây hoàn toàn khả thi (nhanh thời gian khởi động switch phần cứngthật) Mininet có khả mở rộng tới mạng chứa hàng ngàn node chạy máy tính có cấu hình mạnh e Một số lệnh tương tác với Host Switch  Bắt đầu với mô hình tối thiểu nhập lệnh sudo mn vào CLI Mô hình mặc định mô hình tối thiểu, bao gồm switch kernel Openflow kết nối với host điều khiển Openflow liên kết Ngoài sử dụng lệnh –topo=minimal Có tất thực thể chạy máy ảo (2 tiến trình host, tiến trình switch, tiến trình controller) Bộ điều khiển nằm bên máy ảo hướng dẫn cho bên  Thực thi code mô hình mạng  Hiển thị lệnh mininet : mininet> help  Hiển thị node : mininet> nodes  Hiển thị liên kết : mininet> net  Hiển thị thông tin toàn node : mininet> dump  Hiển thị thông tin cấu hình mạng host : mininet> h1 ifconfig –a  Hiển thị thông tin cấu hình mạng switch : mininet> s1 ifconfig –a  Các tiến trình host : mininet> h1 ps –a  Các tiến trình switch : mininet> s1 ps –a  Kiểm tra ping host toàn host : mininet> pingall f Cấu hình mô hình mạng Xây dựng mô hình mạng đơn giản 70 sudo mn topo linear,3 mac controller=remote, ip=192.168.56.101, port=6633 switch ovs, protocols=OpenFlow13 3.2.2 OpenDaylight Hiện nay, thị trường có nhiều controller sử dụng SDN như: OpenDaylight, Floodlight, POX, NOX, HP VAN Trong OpenDaylight ý lớn từcộng đồng người quan tâm công nghệ SDN, OpenDaylight có giao diện thân thiện, dễ thao tác, phù hợp cho người bước đầu tìm hiểu hiểu SDN OpenDaylight dự án mã nguồn mở hợp tác với Linux Foundation, với mục tiêu trở thành thành phần cốt lõi kiến trúc SDN, cho phép người sử dụng làm giảm phức tạp mạng lưới hoạt động, dễ dàng mở rộng sở hạ tầng mạng Controller viết dựa Java có hỗ trợ OpenFlow 3.3 Cài đặt công cụ 4.3.1 Cài đặt Mininet $sudo apt-get install git $git clone git://github.com/mininet/mininet $sudo mininet/util/install.sh –a 4.2.2 Cài đặt Opendaylight Tải OpenDaylight từ trang chủ: http://www.opendaylight.org/software/downloads Sau giải nén: $unzip ~/Download/distribution-karaf-0.4.2-Beryllium-SR2.tar.gz Để chạy OpenDaylight, cần phải cài đặt Java $ sudo apt-get install openjdk-7-jdk Khởi động OpenDaylight $cd distribution-karaf-0.4.2-Beryllium-SR2 $./bin/karaf Sau mở trình duyệt đăng nhập vào OpenDaylight theo đường dẫn mặc định, 71 http://localhost:8080 user: admin - password: admin Hình 3.5 Trang đăng nhập OpenDaylight Đăng nhập vào Mininet tạo tập tin python, có nội dung sau: #!/usr/bin/python from mininet.net import Mininet from mininet.node import Controller, OVSSwitch, RemoteController from mininet.cli import CLI from mininet.log import setLogLevel def multiControllerNet(): net = Mininet( controller=Controller, switch=OVSSwitch ) print "*** Creating (reference) controllers" c1 = net.addController( 'c1', controller=RemoteController, ip='192.168.56.101', port=6653 ) 72 print "*** Creating switches" s1 = net.addSwitch( 's1' ) s2 = net.addSwitch( 's2' ) s3 = net.addSwitch( 's3' ) s4 = net.addSwitch( 's4' ) s5 = net.addSwitch( 's5' ) s6 = net.addSwitch( 's6' ) s7 = net.addSwitch( 's7' ) print "*** Creating hosts" h1 = net.addHost( 'h1', ip='10.0.0.1' ) h2 = net.addHost( 'h2', ip='10.0.0.2' ) h3 = net.addHost( 'h3', ip='10.0.0.3' ) h4 = net.addHost( 'h4', ip='10.0.0.4' ) h5 = net.addHost( 'h5', ip='10.0.0.5' ) h6 = net.addHost( 'h6', ip='10.0.0.6' ) h7 = net.addHost( 'h7', ip='10.0.0.7' ) print "*** Creating links" net.addLink( h1, s2 ) net.addLink( h2, s3 ) net.addLink( h3, s4 ) net.addLink( h4, s5 ) net.addLink( h5, s6 ) net.addLink( h6, s7 ) net.addLink( s4, s1 ) net.addLink( s2, s1 ) net.addLink( s5, s1 ) net.addLink( s6, s1 ) net.addLink( s7, s1 ) 73 net.addLink( s3, s1 ) net.addLink( h7, s1 ) print "*** Starting network" net.build() c1.start() s1.start( [ c1 ] ) s2.start( [ c1 ] ) s3.start( [ c1 ] ) s4.start( [ c1 ] ) s5.start( [ c1 ] ) s6.start( [ c1 ] ) s7.start( [ c1 ] ) print "*** Testing network" net.pingAll() print "*** Running CLI" CLI( net ) print "*** Stopping network" net.stop() if name == ' main ': setLogLevel( 'info' ) multiControllerNet() Thực thi đoạn mã câu lệnh $ sudo pyhton tenfile.py 74 Hình 3.6 Kết ping host Kết ping host thông 75 Hình 3.7 Topo mạng 76 Hình 3.8 Các kết nối 77 Hình 3.9 Bắt gói tin Wireshark 78 Hình 3.10 Công cụ system monitor Ở demo ta dùng wireshar để bắt gói tin dùng công cụ system monitor để kiểm tra lưu lượng từ đưa đánh giá giải pháp thích hợp để điều khiển mạng 79 KẾT LUẬN SDN tầm nhìn kiến trúc mạng tương lai nhanh chóng, với giao thức OpenFlow đại diện cho thành phần cốt lõi cho việc phát triển Tuy nhiên, nhà phát triển mạng hoài nghi mối quan tâm lớn bảo mật họ Đồ án cung cấp nhìn tổng quan vấn đề cụ thể nói chung giải pháp Đồ án cho thấy cấu trúc mạng truyền thống bản, vấn đề bảo mật phận mạng Sự đời SDN giao thức OpenFlow làm thay đổi kiến trúc mạng SDN không cung cấp khả thấy đầu cuối sở hạ tầng CNTT, SDN tập trung thông qua giao diện điều khiển cho nhìn tổng quan mạng, nhiều yếu tố cần phải liên kết với thành điểm đầu cuối đến đầu cuối ứng dụng như: ứng dụng máy chủ lưu trữ mạng Trong SDN góp phần việc giao tiếp với phần mềm quản lý sở hạ tầng CNTT tổng thể mà thao dõi ứng dụng thông qua máy chủ, phần tử mạng Sẽ có nhiều đe dọa, nhiều công, cáclỗi bảo mật SDN Từ chối dịch vụ thiếu xác thực lỗ hổng quan trọng SDN Nhìn chung, SDN lựa chọn khả thi cho công ty để thay cho kiến trúc thông thường, vấn đề bảo mật đưa hợp lí 80 HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI Mục đích đồ án ứng dụng SDN vào mô hình mạng Cài đặt Openflow Mininet Cách tiếp cận để làm bật mức độ mối đe dọa bảo mật xác định cung cấp đánh giá thực tế Các giải pháp tích hợp nên thực để giảm thiểu lỗ hổng Các mạng sau quan sát dựa tác động liên quan đến hiệu suất khả tương tác đánh giá tổng thể tiềm hay thiếu sót chế bảo mật Những hạn chế biện pháp lỗ hổng thiết kế tương lai hay rào cản việc triển khai chế bảo mật tốt cho SDN Hầu hết giải pháp bảo mật riêng lẻ, khả thi trình cài đặt, nghiên cứu tích hợp bảo mật toàn diện để có hiệu tốt Nhiều công ty, tổ chức nghiên cứu nhà cung cấp dịch vụ không cài đặt SDN, triển khai hoàn toàn phải di chuyển từ mạng thông thường, đánh giá giải pháp bảo mật có thể cung cấp nhìn sâu sắc vào tình trạng thực tế an ninh SDN 81 82 TÀI LIỆU THAM KHẢO [1] ONF Solution Brief, “SDN Security considerations in the data center”, 2013 [2] Robert M Hinden, “SDN and Security : why take over the hosts when you can take over the network”, RSA Conference, 2014 [3] Cisco White Paper, “Software-Defined Networking: Why We Like It and How We Are Building On It”, 2013 [4] Bùi Trung Thành, “Software Defined Networking – Công nghệ làm thay đổi cấu trúc mạng” [5] http://stackoverflow.com/ [6] http://www.brianlinkletter.com/ 83 ... điều khiển mạng SDN thiết kế mạng cho công ty TNHH thương mại dịch vụ quốc tế hoàng gia Mục đích nghiên cứu đưa nhìn tổng quan kiến trúc mạng hoàn toàn mới, tìm hiểu vấn đề bảo mật hệ thống mạng. .. bước thứ thiết bị mạng controller giao tiếp thành công với 1.5.3.Bước thứ Là bước quan trọng nhất, cấu hình SDN tương tác với ứng dụng Để ứng dụng hoàn toàn tận dụng mạng SDN, cần áp dụng sách... khai thác mạng đạt thông qua kiến trúc SDN sởOpenFlow bao gồm:  Tập trung hóa điều khiển môi trường nhiều nhà cung cấp thiết bị: phần mềm điều khiển SDN điều khiển thiết bị mạng cho phép OpenFlow