ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG  BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI : NGHIÊN CỨU TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG SDN Giảng viên hướng dẫn: TS Đàm Quang Hồng Hải Sinh viên thực hiện:  Võ Hoàng Phúc - 12520320  Trần Trí Khang - 12520189 LỜI CẢM ƠN Lời đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Khoa “Mạng Máy Tính & Truyền Thông” trường Đại Học Công Nghệ Thông Tin, TP Hồ Chí Minh tạo điều kiện tốt cho chúng em thực đồ án chuyên ngành năm Tiếp theo, chúng em xin gửi lời cảm ơn chân thành sâu sắc đến Thầy TS Đàm Quang Hồng Hải – người tận tình hướng dẫn, quan tâm bảo chúng em suốt thời gian thực đề tài Ngoài ra, không quên cảm ơn quý thầy cô khoa tận tình giảng dạy, trang bị cho chúng em kiến thức quý báu năm học vừa qua Cuối cùng, chúng em xin gởi lời biết ơn sâu sắc đến cha mẹ, bạn bè ủng hộ, giúp đỡ, động viên chúng em suốt trình học thời gian làm đồ án Một lần xin cảm ơn mong nhận đóng góp chân thành quý thầy cô, bạn bè độc giả Trang | MỤC LỤC LỜI CẢM ƠN MỤC LỤC MỤC LỤC HÌNH ẢNH DANH MỤC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG I : TỔNG QUAN VỀ SDN – Software Defined Networking I SỰ CẦN THIẾT CỦA MỘT KIẾN TRÚC MẠNG MỚI II SDN LÀ GÌ? TẠI SAO LẠI LÀ SDN? III ƯU ĐIỂM CỦA SDN 10 IV KIẾN TRÚC CỦA SDN 11 Application layer: 11 Control layer: 12 Infrastructure layer: 12 V CÁC BƯỚC TRIỂN KHAI SDN 13 Bước thứ 13 Bước thứ 13 Bước thứ 13 Bước thứ 14 VI CÁC THÁCH THỨC ĐẶT RA VỚI SDN 14 VII ỨNG DỤNG CỦA SDN 14 Phạm vi doanh nghiệp 14 Phạm vi nhà cung cấp hạ tầng dịch vụ viễn thông 15 VIII TƯƠNG LAI CỦA SDN 15 CHƯƠNG II : OPENFLOW 16 I TỔNG QUAN VỀ OPENFLOW 16 II CÁC ĐẶC TRƯNG CỦA OPENFLOW 16 III CẤU TẠO VÀ HOẠT ĐỘNG CỦA OPENFLOW 17 IV LỢI ÍCH KHI SỬ DỤNG OPENFLOW 19 V OPENFLOW VÀ OPENSTACK 20 So sánh OpenFlow OpenStack 20 Trang | Các thành phần OpenFlow switch 21 CHƯƠNG III : CÁC VẤN ĐỀ BẢO MẬT TRONG SDN 28 I CÁC MỐI NGUY HIỂM BẢO MẬT 28 Các kiểu công mối đe dọa 28 Chi tiết kiểu công 30 a Spoofing 30 b Repudiatiton 32 c Information Disclosure 33 d Denial of Service 35 e Elevation of Privilege 38 II TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG VÀ CƠ SỞ DỮ LIỆU 39 So sánh với việc tích hợp giải pháp bảo mật cho hệ thống mạng truyền thống 39 Tích hợp giải pháp bảo mật cho hệ thống mạng SDN 42 a Các giải pháp bảo mật tổng thể cho hệ thống mạng SDN 42 b Bảo mật Data Plane 44 c Bảo mật Control Plane : 47 d Bảo mật Application Plane : 64 CHƯƠNG IV : TRIỂN KHAI TRONG MÔI TRƯỜNG ẢO MININET 66 I GIỚI THIỆU VỀ CÁC CÔNG CỤ SỬ DỤNG TRONG DEMO VÀ CẤU HÌNH MÔ PHỎNG MẠNG: 66 Công cụ mô mạng Mininet 66 OpenDaylight 74 II CÀI ĐẶT CÔNG CỤ : 74 Cài đặt Mininet 74 Cài đặt Opendaylight 74 III THỬ NGHIỆM MỘT SỐ TÍNH NĂNG BẢO MẬT 75 Triển khai mạng SDN với nhiều controller: 75 Tấn công, phòng chống DoS cho mạng SDN 79 IV KẾT QUẢ 85 CHƯƠNG IV : KẾT LUẬN 86 I TÓM TẮT 86 Trang | II ĐÁNH GIÁ 88 III KẾT LUẬN 91 IV HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI 92 TÀI LIỆU THAM KHẢO 93 MỤC LỤC HÌNH ẢNH Hình Khó khăn cho người vận hành Hình Controller quản lý tập trung thiết bị switch thông qua API Hình Quản lý tập trung thông qua controller 10 Hình Cấu trúc SDN – mô hình 11 Hình Cấu trúc SDN - mô hình 11 Hình Một ví dụ Flow Table 17 Hình Các trường bảng flow cách thức hoạt động 18 Hình Cấu trúc switch OpenFlow 18 Hình Mô hình Private Cloud OpenStack SDN 20 Hình 10 Sơ đồ chế hoạt động OpenFlow switch 21 Hình 11 Quá trình xử lý pipeline OpenFlow 23 Hình 12 Các hành động xử lý entry bảng flow 23 Hình 13 Một mạng OpenFlow 27 Hình 14 Phân phối logical plane hệ thống mạng truyền thống 41 Hình 15 Các giải pháp bảo mật chung 43 Hình 16 Sử dụng tường lửa để tăng cường an toàn cho host SDN 47 Hình 17 Bảng mô tả giải pháp đề xuất 48 Hình 18 Các loại controller 49 Hình 19 Các phiên controller hỗ trợ Replication faul-tolerance SDN 51 Hình 20 Tích hợp bảo vệ mạng với Replication Diversity 52 Hình 21 Sơ đồ tổng quan kiến trúc Security-Enhanced-Floodlight chế xác thực 59 Hình 22 Cơ chế phát luồng liệu lớp bảo mật SPHINX 61 Hình 23 Bảo mật lớp Application 64 Hình 24 DenfenseFlow 64 Hình 25 Trang đăng nhập OpenDaylight 75 Hình 26 Mô hình mạng triển khai demo 75 Hình 27 Hiển thị mô hình mạng OpenDaylight 77 Hình 28 Kiểm tra kết nối host 77 Trang | Hình 29 Bảng Flow hiển thị Action h1 h2 78 Hình 30 Kiểm tra kết nối h1 h2 78 Hình 31 Flow Table 78 Hình 32 Kiểm tra kết nối h1 h3 79 Hình 33 Hiển thị mô hình mạng OpenDaylight 81 Hình 34 Kiểm tra IP h1 h8 81 Hình 35 Kiểm tra kết nối host 81 Hình 36 Bảng Flow Table 82 Hình 37 Công cụ công DDoS 82 Hình 38 Bắt gói tin Wireshark 83 Hình 39 Công cụ System Monitor 84 Hình 40 Công cụ đo băng thông mạng 84 Hình 41 Công cụ đo băng thông mạng 85 Hình 42 Mô hình thiết kế tích hợp bảo mật cho SDN 88 DANH MỤC TỪ VIẾT TẮT AAA Authentication Authorization and Accounting ACL Access Control List API Application Programming Interface BYOD Bring-Your-Own-Device DDoS Distributed Denial of Service DFD Data Flow Diagram IaaS Infrastructure as a Service IDS Intrusion Detection System ONF Open Networking Foundation SDN Software-Defined Networking SDO Standard Organisation SIEM Security Information and Event Management TCAM Ternary Content-Addressable Memory TLS Transport Layer Security Trang | LỜI NÓI ĐẦU Ngày mạng máy tính ngày phát triển vượt bậc Nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lượng thiết bị ngày lớn gây nhiều khó khăn cho người quản trị Hệ thống mạng phức tạp, sách không quán, khả mở rộng kém, chi phí cao, nhiều nguy bảo mật Sự phức tạp việc tích hợp giải pháp bảo mật cho hệ thống mạng vấn đề quan tâm hàng đầu Công nghệ SDN - Software Defined Networking (Mạng định nghĩa phần mềm) đời giải pháp cho hệ thống mạng Software-Defined Networking cách tiếp cận khác với phương pháp thông thường có nhiều tiềm Tuy nhiên, thay đổi cấu trúc mạng có nhiều tác động trọng yếu đến vấn đề bảo mật cho nhà khai thác Nó đặt thách thức việc đảm bảo an ninh an toàn liệu thời gian tới Do nhóm định chọn đề tài “Nghiên cứu tích hợp giải pháp bảo mật cho hệ thống mạng SDN” Mục đích nghiên cứu đưa nhìn tổng quan kiến trúc mạng hoàn toàn mới, tìm hiểu mối nguy hiểm SDN tích hợp giải pháp bảo mật cho hệ thống mạng Đồ án tập trung tìm hiểu vấn để chính: Tìm hiểu SDN Openflow; Các mối nguy hiểm bảo mật SDN; Tích hợp giải pháp bảo mật cho hệ thống mạng truyền thống hệ thống mạng SDN; Kết luận đánh giá Nội dung đồ án chia thành chương:  Chương I : Tổng quan SDN – Software Defined Networking  Chương II : OpenFlow  Chương III : Các vấn đề bảo mật SDN  Chương IV : Triển khai môi trường ảo Mininet  Chương V : Kết luận Trang | CHƯƠNG I : TỔNG QUAN VỀ SDN – Software Defined Networking I SỰ CẦN THIẾT CỦA MỘT KIẾN TRÚC MẠNG MỚI Trong kiến trúc mạng truyền thống data plane control plane nằm thiết bị vật lý (chế độ tự trị) thiết bị độc lập với nhau, sách chuyển tiếp lưu lượng nằm riêng thiết bị, khả hiển thị toàn mạng, sách chuyển tiếp tốt Nếu số lượng thiết bị nhiều, gây nên phức tạp mạng điều gây khó khăn cho người quản trị mạng trình vận hành điều khiển Hình Khó khăn cho người vận hành Các thay đổi mô hình lưu thông, gia tăng dịch vụ đám mây nhu cầu phát triển nhà khai thác băng thông dịch vụ cần tìm giải pháp Vì công nghệ mạng truyền thống đáp ứng nhu cầu nảy sinh vấn đề Các yếu tố hạn chế:  Phức tạp  Chính sách không quán  Khả mở rộng quy mô  Phụ thuộc vào nhà cung cấp II SDN LÀ GÌ? TẠI SAO LẠI LÀ SDN? Software-Definded Networking (SDN) cách tiếp cận việc thiết kế, xây dựng quản lý hệ thống mạng Về bản, SDN chia tách độc lập hai chế tồn thiết bị mạng: Control Plane (cơ chế điều khiển, kiểm soát luồng mạng), Data Plane (cơ chế chuyển tiếp liệu, luồng liệu) để tối ưu hoạt động hai chế Trang | SDN dựa giao thức mã nguồn mở (Open Flow) kết nghiên cứu Đại học Stanford California Berkeley SDN tách việc định tuyến chuyển tiếp luồng liệu riêng rẽ chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi thiết bị kiểm soát luồng (Flow Controller) Điều cho phép luồng gói liệu qua mạng kiểm soát theo lập trình Hình Controller quản lý tập trung thiết bị switch thông qua API Trong SDN, control plane tách từ thiết bị vật lý chuyển đến controller Controller nhìn thấy toàn mạng cho phép kỹ sư mạng làm cho sách chuyển tiếp tối ưu dựa toàn mạng Các controller tương tác với thiết bị mạng vật lý thông qua giao thức chuẩn OpenFlow Với SDN, việc quản lý mạng thực thông qua giao diện nhất, trái ngược với việc cấu hình thiết bị mạng riêng lẻ Trang | Hình Quản lý tập trung thông qua controller III ƯU ĐIỂM CỦA SDN  Controller lập trình trực tiếp  Mạng điều chỉnh, thay đổi cách nhanh chóng thông qua việc thay đổi controller  Mạng quản lý tập trung phần điều khiển tập trung controller  Cấu hình lớp sở hạ tầng lập trình lớp ứng dụng truyền đạt xuống lớp  Giảm CapEx: SDN giúp giảm thiểu yêu cầu mua phần cứng theo mục đích xây dựng dịch vụ, phần cứng mạng sở ASIC hỗ trợ mô hình pay-as-yougrow (trả bạn dùng) để tránh lãng phí cho việc dự phòng  Giảm OpEx: thông qua phần tử mạng gia tăng khả lập trình, SDN giúp dễ dàng thiết kế, triển khai, quản lý mở rộng mạng Khả phối hợp dự phòng tự động giảm thời gian quản lý tổng thể, mà giảm xác suất lỗi người tới việc tối ưu khả độ tin cậy dịch vụ  Truyền tải nhanh chóng linh hoạt: giúp tổ chức triển khai nhanh ứng dụng, dịch vụ sở hạ tầng để nhanh chóng đạt mục tiêu kinh doanh  Cho phép thay đổi: cho phép tổ chức tạo kiểu ứng dụng, dịch vụ mô hình kinh doanh, để tạo luồng doanh thu nhiều giá trị từ mạng  Mở hội cho nhà cung cấp thiết bị trung gian phần điều khiển tách rời khỏi phần cứng T r a n g | 10 h8 = net.addHost( 'h8', ip='10.0.0.8' ) s1 = net.addSwitch( 's1' ) s2 = net.addSwitch( 's2' ) s3 = net.addSwitch( 's3' ) s4 = net.addSwitch( 's4' ) s1.linkTo( s2 ) s2.linkTo( s3 ) s3.linkTo( s4 ) s4.linkTo( s1 ) s1.linkTo( h1 ) s1.linkTo( h2 ) s2.linkTo( h3 ) s2.linkTo( h4 ) s3.linkTo( h5 ) s3.linkTo( h6 ) s4.linkTo( h7 ) s4.linkTo( h8 ) net.build() c1.start() s1.start([c1]) s2.start([c1]) s3.start([c1]) s4.start([c1]) net.start() net.staticArp() CLI( net ) net.stop() if name == ' main ': setLogLevel( 'info' ) emptyNet() Sau thực thi ta mô hình: T r a n g | 80 Hình 35 Hiển thị mô hình mạng OpenDaylight Kiểm tra IP host Hình 36 Kiểm tra IP h1 h8 Kiểm tra kết nối host Hình 37 Kiểm tra kết nối host T r a n g | 81 Bảng Flow Table Hình 38 Bảng Flow Table Ta tiến hành công DDoS vào controller cách gửi nhiều gói tin TCP yêu cầu kết nối đến controller Hình 39 Công cụ công DDoS Kiểm tra lưu lượng Wireshark T r a n g | 82 Hình 40 Bắt gói tin Wireshark Để kiểm tra khả phòng chống DDoS controller ta sử dụng công cụ monitor để theo dõi băng thông mạng T r a n g | 83 Hình 41 Công cụ System Monitor Hình 42 Công cụ đo băng thông mạng T r a n g | 84 Hình 43 Công cụ đo băng thông mạng IV KẾT QUẢ  Ở demo thứ nhất, với hệ thống mạng bao gồm nhiều controller, làm cho mạng hoạt động liên tục hơn, không bị ngưng trệ, điều xảy lỗi, controller lại đảm nhiệm nhiệm vụ Đây giải pháp phòng chống DDoS cho demo thứ hai  Ở demo thứ hai, dựa vào công cụ hỗ trợ, ta phát công vào controller, từ có giải pháp thích hợp để ngăn chặn T r a n g | 85 CHƯƠNG IV : KẾT LUẬN I TÓM TẮT Việc tích hợp yêu cầu bảo mật nguyên tắc thiết kế an toàn thiết lập nên khuôn khổ bảo mật toàn diện Nếu phương pháp tiếp cận cụ thể thực dự đoán đường công mối đe dọa ngăn chặn hoàn toàn Đảm bảo Data plane truyền thông đáng tin cậy bảo mật cho mạng Cơ chế xác thực TLS giúp giao tiếp tin cậy giúp switch điều khiển xây dựng sở bảo mật tối thiểu cho data plane Đảm bảo nguyên tắc dự phòng để ngăn chặn công từ chối dịch vụ lỗi phần mềm, xây dựng sở cho đa dạng, chuyển đổi linh động chế tự sữa chữa Sự đa dạng làm giảm yếu tố tác động đến mạng làm tăng khả bảo vệ tổng thể Hệ thống nên sử dụng ứng dụng tốt Cơ chế tự sửa chữa điều khiển trung tâm thông tin tính đầy hứa hẹn SDN điều cần thiết tránh khỏi mạng SDN Sử dụng dự phòng, thuật toán khác đảm bảo tính đắn sở thông tin mạng xác minh hành vi điều khiển Một control plane bảo mật cao tin cậy cần thiết, phương pháp tự động thay làm giảm ảnh hưởng so với có thiết bị ngăn ngừa lỗi Bộ điều khiển nơi nhận thức toàn trạng thái mạng, giúp phục hồi nhanh Tích hợp ứng dụng kiểm soát phát hiện, điều khiển có khả nhận công từ chối dịch vụ control plane cài đặt biện pháp bảo vệ switch Ngoài ra, điều khiển phối hợp với OpenFlow Switch thiết kế đặc biệt để che chắn máy chủ từ cong DDoS Nguyên tắc tin tưởng tảng quan trọng mạng an toàn Tin tưởng thiết bị điều khiển làm giảm đe dọa công giả mạo đáng kể thúc đẩy độ tin cậy mạng Bộ điều khiển xác định cô lập switch bị lỗi giúp ngăn ngừa Spoofing Tampering data plane hiệu Trong ứng dụng cao Control plane, áp dụng nguyên tắc điều hành hệ thống kiểm soát truy cập, xác thực dựa vai trò quản lý tin tưởng Những biện pháp hạn chế mức độ độc hại ứng dụng kích hoạt tính phân loại vào ứng dụng quan khác Hơn nữa, cá nhân khách hàng tổ chức trách nhiệm hành động họ T r a n g | 86 Security Domain bảo vệ cách ly điều khiển tách công ty vào vùng với mức độ tin cậy khác Bộ điều khiển độc lập với ứng dụng nhu cầu nhớ chúng không bị ảnh hưởng mã độc hại lỗi Hơn nữa, cô lập điều khiển khỏi mạng chấp nhận kết nối từ miền xác thực mạng hạn chế khả truy cập cho kẻ công Các chế máy chủ AAA tăng cường cách hợp tác với trung tâm điều khiển SDN Các thành phần bảo mật đảm bảo sở an ninh tối ưu tăng vững mạnh tổng thể SDN Các thành phần bên switch điều khiển nên kiểm tra tính toàn vẹn cần phải chống chịu lỗi tràn nhớ Kiểm tra code, bảo vệ, làm an toàn thuật toán, đảm bảo tin cậy code không gian nhớ, an toàn thành phần mạng để ngăn chặn công từ chối dịch vụ lạm dụng leo thang đặc quyền Cập nhật vá phần mềm nhanh đáng tin cậy cách tiếp cận phản ứng với lỗ hổng bảo vệ mạng từ công tương lai Bộ điều khiển dễ bị tổn thương cập nhật cách nhanh chóng mà không ảnh hưởng đến mạng Tương tự vậy, điều khiển triển khai cập nhật firmware switch tự động từ vị trí trung tâm mạng Cuối cùng, nghiên cứu bổ sung tăng cường an ninh mạng làm phức tạp trình chuẩn bị công thăm dò lây nhiễm máy chủ bị công làm giảm bớt việc triển khai bảo mật thuật toán ứng dụng mạng Xây dựng mạng SDN an toàn Chín nguyên tắc thiết kế với chiến lược trình bày ta phác họa thiết kế an toàn, quy mô SDN Điều kiện tiên tuyệt đối thiết kế an toàn sử dụng tính xác thực tích hợp cho thông tin liên lạc thiết bị mạng Mọi thông tin liên lạc ứng dụng, điều khiển switch xác thực lẫn nhau, liên kết báo cáo kiểm tra thông tin tính toàn vẹn Cơ sở liệu điều khiển xác nhận để đảm bảo việc sử dụng liệu máy chủ nguyên vẹn Yêu cầu xác thực SDN để đảm bảo tối thiểu an ninh bảo vệ kiểm soát luồng Để tránh phụ thuộc thiết bị nhất, hai điều khiển độc lập nên triển khai mạng, chúng phối hợp hoạt động trường hợp xảy cố Mỗi switch kết nối đến nhiều điều khiển cách hợp lý Nếu loại controller khác thực mạng, lớp proxy hỗ trợ phân phối khả tương tác thiết bị, làm giảm tải controller mạng Control plane nằm khu vực bảo vệ, tương tự sở liệu quan trọng mạng thông thường Sử dụng tường lửa tích hợp bảng luồng để lọc truy cập bất thường Thêm vào đó, switch chuyên biệt bảo vệ DoS che chắn Trung tâm kiểm soát từ công Mặc dù tốn kém, truy cập quản lý ứng dụng bảo mật khuyến khích Ứng dụng từ xa T r a n g | 87 máy chủ cố gắng để truy cập vào vùng máy chủ kiểm chứng dựa vị trí nhận dạng cách sử dụng máy chủ AAA thuật toán kiểm soát Họ giới hạn quyền, mạng lưới phạm vi truy cập hành động Ứng dụng có đặc quyền cao ghi đè định cấp thấp hơn, với quản trị viên ứng dụng sở hữu cấu hình quyền Ứng dụng quản trị báo cáo trạng thái ghi tất điều khiển switch mạng theo dõi hoạt động thiết bị ứng dụng Các máy chủ điều khiển bảo vệ thông qua hệ thống phát xâm nhập tường lửa trạng thái Hệ thống phát báo cáo kết cho điều khiển, nhanh chóng cấu hình lại mạng để cô lập phần bị ảnh hưởng Ngoài ra, controller có khả xác định hành vị mạng đáng ngờ dựa mẫu gói tin vào báo cáo kiện mạng bất thường để ứng dụng quản lí cho SIEM giao diện quản lý Nói chung, mạng bị cấm từ internet chia thành khu vực khác bảo vệ tường lửa mạng Quét cổng ngăn chặn cách sử dụng hệ thống phát xâm nhập địa IP ảo để giấu giao tiếp nội thực Hình 44 Mô hình thiết kế tích hợp bảo mật cho SDN II ĐÁNH GIÁ Sau phát mối đe dọa an ninh kiến trúc SDN thông thường, thiết lập yêu cầu thiết kế an toàn đưa chế bảo vệ cần thiết, để đánh giá an toàn vốn có tiềm SDN so với mạng tiêu chuẩn Mỗi khía cạnh đánh giá theo mối nguy hiểm mạng SDN T r a n g | 88  Spoofing Mặc dù yếu tố bị giả mạo giới thiệu, Spoofing hoàn toàn phòng ngừa thông qua xác thực điều khiển truy cập chế ranh giới tin tưởng Xét yêu cầu thiết kế, giả định SDN triển khai sẵn sàng sử dụng TLS chứng thực tương tự biện pháp đối phó Hơn nữa, SDN cung cấp khả việc nhận loại bỏ thiết bị giả mạo xác định bất thường mạng Việc thiếu ứng dụng xác thực mối đe dọa mà không quan tâm nhiều nhà phát triển Họ phòng ngừa với việc sử dụng thông điệp toàn vẹn ứng dụng bảo mật khác cài đặt control plane  Tampering Kể từ mạng ảo sở liệu bị thay đổi, giả mạo nguy lớn SDN Tuy nhiên, thuật toàn xác thực toàn vẹn liệu bảo vệ điều khiển liệu đầy đủ Ngoài ra, phương pháp control plane chế Self-Healing Ảnh hưởng có hại từ ứng dụng người dùng bị hạn chế sử dụng ủy quyền kiểm soát truy cập dựa vai trò giao diện hướng Bắc, đồng thời cô lập điều khiển ứng dụng Giả mạo mối nguy hiểm đáng kể môi trường SDN mà dựa vào nhìn ảo sở liệu trung tâm Một chút thay đổi ảnh hưởng đáng kể mạng mối đe dọa phải giải phù hợp Các chế, lựa chọn thiết kế có khả bảo vệ kiểm tra sở liệu sách quán SDN có đầy đủ bảo vệ control data plane từ liệu độc hại  Repudiation Mối đe dọa không làm nguy hiểm đến SDN Nhiều hành động từ chối ứng dụng điều khiển xuất hiện, chế tự động ghi log, nhận dạng hành vi cá nhân theo dõi kiểm soát trình làm giảm khả để che giấu hay chối bỏ hành động nguy hiểm Hơn nữa, nhìn tổng quan toàn trạng thái mạng, lưu lượng giao thông kiểm soát truy cập thiết lập công cụ toàn diện cho điều tra công Những khả giám sát lợi kiến trúc  Information Disclosure Tương tự giả mạo, nguy công khai thông tin mang ý nghĩa SDN Các mạng dựa sở thông tin trung tâm lưu trữ liệu phong phú cấu trúc liên kết, sách QoS khu vực cấm truy cập qua giao diện truy vấn Việc trích xuất thông tin khác này, cung cấp cho kẻ công thông tin đáng kể tài nguyên , thiết bị an ninh vị trí liệu nhạy cảm Tuy nhiên, truy cập vào control plane kênh bị hạn chế cách an toàn, thông tin nhạy cảm bảo vệ Đưa điều khiển vào khu vực an toàn hạn chế lựa chọn thiết kế tối ưu Giúp ngăn chặn SDN vô tình bị rò rỉ thông T r a n g | 89 tin Switch data plane bị lộ bảng dòng chúng qua công kênh, số lượng lớn lưu lượng cần thiết để có thông tin dễ dàng bị phát điều khiển tích hợp IDS (ví dụ SPHINX) Nếu điều khiển an toàn tách khỏi mạng, sử dụng proxy linh hoạt tiếp cận OF-RHM Tóm lại, công bố thông tin ngăn chặn thiết kế SDN an toàn kiểm soát kênh plane bảo vệ thích hợp hoàn toàn tách khỏi mạng nội liệu lưu lượng  Denial of Service Từ chối dịch vụ vấn đề SDN, công control plane làm tê liệt toàn mạng Các biện pháp đối phó trình bày thiết kế an toàn, tức hạn chế việc truy cập tới điều khiển, triển khai IDS chuyên dụng xây dựng vành đai bảo vệ, che chắn thiết bị, phá vỡ Do tập trung vào phần mềm nút cổ chai kiểm soát, vô số khả phát sinh để vô hiệu chuyển mạch trung tâm điều khiển Chìa khóa để bảo vệ cô lập, nhân rộng tài nguyên thiết yếu đồng hóa, tất đảm bảo đảm bảo mức độ sẵn có độ tin cậy Việc sử dụng phân phối kho liệu vấn đề, chúng dễ bị lỗi dịch vụ lạm dụng Một vấn đề phổ biến hạn chế số lượng mục bảng lưu phần cứng OpenFlow switch SDN đòi hỏi nhiều mục cụ thể switch cho quản lý mạng Vì vậy, switch trở thành mục tiêu dễ dàng cho kẻ công Từ chối dịch vụ mối đe dọa khuếch đại SDN nguy phổ biến thiết kế an toàn Mặc dù ngăn chặn hầu hết nguy hiểm với phương pháp thảo luận đồ án này, biện pháp lần giới thiệu lỗ hổng Các mối đe dọa đòi hỏi biện pháp bảo vệ tinh vi xem xét cẩn thận để hoàn toàn bảo vệ điều khiển nhạy cảm switch mạng để đảm bảo tính sẵn sàng cao  Elevation of Privilege Khía cạnh cuối yếu tố hoàn toàn mới, mà phải quan sát nghiên cứu triển khai SDN Do nguyên tắc hệ điều hành SDN cho ứng dụng trái phép khách hàng để truy cập vào tài nguyên mạng chia sẻ Cho phép truy cập dựa kiểm soát vai trò hay quyền chế FlowVisor giải mối quan tâm Khách hàng không tin cậy bị hạn chế giám sát chặt chẽ truy cập vào control plane Nghiên cứu SDN NAAS giai đoạn bắt đầu giải pháp có nguy bỏ qua bỏ lỗi bảo mật trình phát triển Để ngăn chặn bảo mật bị rò rỉ, chặt chẽ phát triển hệ thống áp dụng để điều khiển triển khai ảo hóa T r a n g | 90  Kết luận Những tóm tắt, thiết kế SDN an toàn cung cấp bảo mật để đáp ứng nhu cầu quản trị mạng công ty Tuy nhiên, việc bảo mật hoàn toàn phụ thuộc vào lựa chọn thực tế chế bảo mật Các sở tiêu chuẩn mạng OpenFlow lộ nhiều lỗ hổng khả công sở hạ tầng an toàn Tuy nhiên, khái niệm nghiên cứu thiết kế hiển thị khả thi việc mở rộng giải pháp nỗ lực để ngăn chặn rủi ro áp dụng mô hình Đó bắt buộc cho phát triển phần mềm điều khiển để tích hợp bảo mật vào việc triển khai mặc định Nhìn chung, tất chế bảo mật, từ chối dịch vụ điều khiển leo thang đặc quyền mối đe dọa đạt có ý nghĩa so sánh với mạng thông thường Phần mềm giải pháp bảo mật (ví dụ sở liệu phân phối ứng dụng sai) giới thiệu khả công Lỗi sai lầm luôn có thể, đời phần mềm lập trình làm tăng đua không ngừng công phòng thủ Tuy nhiên, lợi ích lớn rủi ro, tập trung hóa tự động hóa nhiệm vụ quản trị dẫn đến xác định nhanh chóng hoàn toàn giảm thiểu bất thường Những vấn đề nên xem xét hiệu suất, độ trễ ổn định Chạy nhiều giải pháp bảo mật ứng dụng, điều phối thiết bị phân phối quản lý đường dẫn an ninh mạng lớn ảnh hưởng nghiêm trọng đến số liệu độ trễ chấp nhận, nguy mà phải tính toán cẩn thận III KẾT LUẬN SDN tầm nhìn kiến trúc mạng tương lai nhanh chóng, với giao thức OpenFlow đại diện cho thành phần cốt lõi cho việc phát triển Tuy nhiên, nhà phát triển mạng hoài nghi mối quan tâm lớn bảo mật họ Đồ án cung cấp nhìn tổng quan vấn đề cụ thể nói chung giải pháp Đồ án cho thấy cấu trúc mạng truyền thống bản, vấn đề bảo mật phận mạng luận lí data, control management plane Sự đời SDN giao thức OpenFlow làm thay đổi kiến trúc mạng Sau đó, tóm tắt trình bày chi tiết chế SDN giao thức OpenFlow Thiết kế điều khiển vấn đề thiết kế SDN Nhiều đe dọa, nhiều công, lỗi bảo mật SDN tìm thấy Từ chối dịch vụ thiếu xác thực lỗ hổng quan trọng SDN Để giải vấn đề, đồ án trình bày phương pháp thiết kế an toàn, nguyên tắc thiết kế đánh giá sửa đổi cần thiết Ngoài ra, đồ án trình bày triển vọng chức ảo hóa mạng sử dụng middleboxes cảm biến mạng SDN T r a n g | 91 Trên tảng kết nghiên cứu, xây dựng thiết kế SDN mẫu an toàn tránh rủi ro Từ chối dịch vụ mối quan tâm leo thang đặc quyền bổ điều khiển lên mối đe dọa trình triển khai NAAS Những thiết kế an toàn SDN ngăn ngừa đầy đủ chí cải thiện bảo vệ chống lại mối nguy hiểm Spoofing, Tampering, chối bỏ trách nhiệm, tiết lộ thông tin từ chối dịch vụ mạng Độ trễ hiệu suất mạng đặt hạn chế việc triển khai bảo mật Nhìn chung, SDN lựa chọn khả thi cho công ty để thay cho kiến trúc thông thường, vấn đề bảo mật đưa hợp lí IV HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI Mục đích đồ án đánh giá tình trạng bảo mật SDN, cần triển khai nhiều kịch mạng SDN Cài đặt Openflow Mininet phần cứng thực để ước tính mức độ thực tế mối đe dọa lỗ hổng gặp phải công Cách tiếp cận để làm bật mức độ mối đe dọa bảo mật xác định cung cấp đánh giá thực tế Các giải pháp tích hợp nên thực để giảm thiểu lỗ hổng Các mạng sau quan sát dựa tác động liên quan đến hiệu suất khả tương tác đánh giá tổng thể tiềm hay thiếu sót chế bảo mật Những hạn chế biện pháp lỗ hổng thiết kế tương lai hay rào cản việc triển khai chế bảo mật tốt cho SDN Hầu hết giải pháp bảo mật riêng lẻ, khả thi trình cài đặt, nghiên cứu tích hợp bảo mật toàn diện để có hiệu tốt Nhiều công ty, tổ chức nghiên cứu nhà cung cấp dịch vụ không cài đặt SDN, triển khai hoàn toàn phải di chuyển từ mạng thông thường, đánh giá giải pháp bảo mật có thể cung cấp nhìn sâu sắc vào tình trạng thực tế an ninh SDN T r a n g | 92 TÀI LIỆU THAM KHẢO [1] P Baran, “On Distributed Communications Communications Systems, 1964 Networks,” IEEE Transactions on [2] N Feamster, J Rexford, and E Zegura, “The Road to SDN: An Intellectual History of Programmable Networks,” SIGCOMM Comput Commun Rev., 2014 [3] N McKeown, T Anderson, H Balakrishnan, G Parulkar, L Peterson, J Rexford, S Shenker, and J Turner, “Openflow: Enabling Innovation in Campus Networks,” SIGCOMM Comput Commun Rev., 2008 [4] Y Jarraya, T Madi, and M Debbabi, “A Survey and a Layered Taxonomy of SoftwareDefined Networking,” IEEE Communications Surveys Tutorials, 2014 [5] ONF Solution Brief, “SDN Security considerations in the data center”, 2013 [6] Robert M Hinden, “SDN and Security : why take over the hosts when you can take over the network”, RSA Conference, 2014 [7] Thomas D Nadeau & Ken Gray, “SDN Software Defined Network”, O’Reilly, 2013 [8] Abdalla Taha, “Software-Defined Networking and its security”, Aalto university, 2014 [9] ONF White Paper, “Software Defined Networking : The new norm for networks”, 2012 [10] Citrix White Paper, “SDN 101 : An introduction to sotware defined networking”, 2014 [11] Raj Jain and Subharthi Paul, “Network Virtualization and Software Defined Networking for Cloud Computing: A Survey”, Washington University, 2013 [12] Cisco White Paper, “Software-Defined Networking: Why We Like It and How We Are Building On It”, 2013 [13] Bùi Trung Thành, “Software Defined Networking – Công nghệ làm thay đổi cấu trúc mạng” [14] Jim Metzler, “Understanding Software-Defined Networks”, Information Week Report, 2012 [15] ONF, “OpenFlow Switch Specification”, 2013 [16] Rahamatullah Khondoker, Adel Zaalouk, Ronald Marx, Kpatcha Bayarou, “Feature-based Comparison and Selection of Software Defined Networking (SDN) Controllers” [17] SdxCentral, “SDN Controllers Report”, 2015 [18] IXIA, “Security-Centric SDN (Software Defined Networking)”, 2014 T r a n g | 93 [19] ONF, “Principles and Practices for Securing Software-Defined Networks”, 2015 [20] ONF, “SDN Security Considerations in the Data Center”, 2013 [21] K Cabaj, J Wytrębowicz, S Kukliński, P Radziszewski, K Truong Dinh, “SDN Architecture Impact on Network Security”, 2014 [22] Siqian Zhao, “Security in Software Defined Networking” [23] Brian Underdahl, “Software Defined Networking for dummies”, 2015 [24] Open Networking Foundation, www.opennetworking.org [25] Ben Kepes, “The Software-defined Data Center in the Enterprise”, 2015 [26] Fabian Ruffy Varga, “Evaluating the State of Security in Software-Defined Networks”, 2015 T r a n g | 94 [...]... phía server mà còn xây dựng hệ thống mạng ảo hóa kết nỗi các máy ảo với nhau Hình 9 Mô hình Private Cloud trên nền OpenStack và SDN  Trong mô hình này, SDN được sử dụng để xây dựng một hệ thống mạng đồng bộ giữa các switch vật lý và các switch ảo nhằm mục đích tạo ra các hệ thống mạng nhỏ T r a n g | 20 hơn dựa trên các dành cho các máy ảo (Virtual Machine) Tất cả hệ thống mạng sẽ được điều khiển bằng... để SDN được bảo vệ từ các cuộc tấn công?  Khả năng tương thích: Làm thế nào các giải pháp SDN được tích hợp vào mạng hiện tại?  Liệu công nghệ SDN có thể thực hiện được không, khi mà thị trường Data Center còn trì trệ?  Liệu SDN sẽ định hình tương lai cho hệ thống mạng như thế nào? Liệu giao thức nguồn mở có đủ sức bật, hay vẫn chịu lép vế trước một giao thức nào khác?  Việc chuyển đổi sang hệ thống. .. có thể xây dựng ứng dụng cho toàn hệ thống mạng Với SDN, mọi thứ đều được quản lý tập trung Điều này mang lại nhiều lợi ích tuy nhiên cũng mở ra nhiều nguy cơ về bảo mật hơn so với hệ thống mạng truyền thống V CÁC BƯỚC TRIỂN KHAI SDN Doanh nghiệp cần phải bắt đầu một cách thật chính xác SDN là sự chuyển đổi từ một hệ thống mạng có thể cấu hình sang một hệ thống mạng có thể lập trình Do đó, có một số... hóa của mạng So sánh với kiến trúc mạng truyền thống:  Trong hệ thống mạng truyền thống, các thiết bị mạng (Layer 2, layer 3) phải mang trên mình nhiều chức năng để đảm bảo hoạt động VD: Các chức năng của Layer Switch hiện nay: VLAN, Spanning tree, Quality of Service, Security và đa số các thiết bị mạng và các giao thức này hoạt động độc lập với nhau vì mỗi nhà sản xuất cung cấp các giải pháp mạng khác... nghiệp phải tích hợp mọi thiết bị, gồm bộ cân bằng tải, tường lửa, hệ thống truyền thông, thiết bị không dây hoặc hệ thống lưu trữ… vào các SDN controller Các nhà sản xuất SDN có các công cụ có thể di dời cấu hình hiện thời sang các SDN controller cho doanh nghiệp Mọi thiết bị trên mạng đều phải hỗ trợ SDN Đây là yếu tố rất quan trọng bởi vì bây giờ doanh nghiệp đang tạo ra một chức năng mạng SDN duy nhất,... trò:  Cung cấp API để có thể xây dựng các ứng dụng cho hệ thống mạng  Thu nhận thông tin từ hệ thống mạng vật lý, điều khiển hệ thống mạng vật lý 3 Infrastructure layer: Lớp vật lý (lớp cơ sở hạ tầng) của hệ thống mạng, bao gồm các thiết bị mạng thực tế (vật lý hay ảo hóa) thực hiện việc chuyển tiếp gói tin theo sự điều khiển của lớp điểu khiển Một thiết bị mạng có thể hoạt động theo sự điều khiển... trường đám mây riêng hoặc tích hợp, SDN cho phép các tài nguyên mạng được cấp phát theo phương thức linh hoạt cao, cho phép dự phòng nhanh các dịch vụ đám mây và chuyển giao linh hoạt hơn với T r a n g | 14 các nhà cung cấp đám mây bên ngoài Với các công cụ để quản lý an toàn các mạng ảo của mình, các doanh nghiệp và các đơn vị kinh doanh sẽ tin vào các dịch vụ đám mây hơn 2 Phạm vi các nhà cung cấp hạ tầng... lớn bao gồm:  Các hệ thống mạng doanh nghiệp: Mạng Campus và mạng trung tâm dữ liệu (Data Center)  Hệ thống mạng phục vụ điện toán đám mây - Cloud SDN đã nhận được sự quan tâm từ những "gã khồng lồ" trong làng công nghệ khi cả Google và Facebook đều đã tham gia nghiên cứu và xây dựng cho riêng mình những trung tâm dữ liệu sử dụng SDN Theo dự đoán trong một tương lai không xa, SDN sẽ xóa bỏ sự độc... của SDN dễ dàng hỗ trợ cho thuê linh hoạt các tài nguyên, đảm bảo tài nguyên mạng được triển khai tối ưu, giảm CapEx và OpEx, tăng giá trị và tốc độ dịch vụ VIII TƯƠNG LAI CỦA SDN Hiện nay, SDN thực sự là một hướng đi được quan tâm đặc biệt trong cả nghiên cứu lẫn ứng dụng Có thể dễ dàng nhận ra rằng, SDN phù hợp với những môi trường hệ thống mạng tập trung và có mức lưu lượng cực kỳ lớn bao gồm:  Các. .. của SDN, tất các các thiết bị được liên kết với tầng điều khiển và thông qua OpenFlow OpenFlow có 2 nhiệm vụ chính:  Giám sát hoạt động của các thiết bị mạng: Lưu lương mạng, trạng thái hoạt động của các nút mạng, các thông tin cơ bản về các thiết bị …  Điều khiển hoạt động của thiết bị mạng: Điều khiển luồng dữ liệu (routing), Bảo mật, Quality of Service Về cơ bản, OpenFlow cung cấp số lượng lớn các ... II TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG VÀ CƠ SỞ DỮ LIỆU 39 So sánh với việc tích hợp giải pháp bảo mật cho hệ thống mạng truyền thống 39 Tích hợp giải pháp bảo mật cho hệ thống mạng. .. truyền thống T r a n g | 41 Tích hợp giải pháp bảo mật cho hệ thống mạng SDN a Các giải pháp bảo mật tổng thể cho hệ thống mạng SDN Với phát triển ngày mạnh mẽ mở rộng SDN, vấn đề bảo mật mạng SDN. .. hiểm SDN tích hợp giải pháp bảo mật cho hệ thống mạng Đồ án tập trung tìm hiểu vấn để chính: Tìm hiểu SDN Openflow; Các mối nguy hiểm bảo mật SDN; Tích hợp giải pháp bảo mật cho hệ thống mạng