LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành đến Khoa công nghệ thông tin trường Đại học công nghệ thông tin truyền thông Thái Nguyên tạo điều kiện,tốt cho em thực đồ án tốt nghiệp đại học năm Tiếp theo, em xin gửi lời cảm ơn chân thành sâu sắc đến Thầy ThS Trần Duy Minh – người tận tình hướng dẫn, quan tâm bảo chúng em suốt thời gian thực đề tài Ngoài ra, không quên cảm ơn quý thầy cô khoa tận tình giảng dạy, trang bị cho em kiến thức quý báu năm học vừa qua Cuối cùng, em xin gởi lời biết ơn sâu sắc đến cha mẹ, bạn bè ủng hộ, giúp đỡ, động viên chúng em suốt trình học thời gian làm đồ án Một lần xin cảm ơn mong nhận đóng góp chân thành quý thầy cô, bạn bè LỜI CAM ĐOAN Sau trình học tập trường Đại học công nghệ thông tin truyền thông Thái Nguyên, có kết hợp, vận dụng lý thuyết thực tế, em tìm hiểu nghiên cứu tập hợp tài liệu để hoàn thành đồ án tốt nghiệp Em xin cam đoan đồ án tốt nghiệp công trình sức lực than em tự tìm hiểu, nghiên cứu hoành thành hướng dẫn thầy giáo ThS Trần Duy Minh Em xin cam đoan đồ án chưa sử dụng để bảo vệ học vị Thái Nguyên, tháng năm 2016 Sinh viên Ma Quang Thượng DANH MỤC HÌNH ẢNH Hình 1.1 Khó khăn cho người vận hành Hình 1.2 Controller quản lý tập trung thiết bị switch thông qua API Hình 1.3 Quản lý tập trung thông qua controller 9 Hình 1.4 Cấu trúc SDN – mô hình 11 Hình 1.5 Cấu trúc SDN - mô hình 11 Hình 2.1 Phân phối logical plane hệ thống mạng truyền thống 27 Hình 2.2 Các giải pháp bảo mật chung 29 Hình 2.3 Sử dụng tường lửa để tăng cường an toàn cho host SDN 34 Hình 2.4 Bảng mô tả giải pháp đề xuất 35 Hình 2.5 Các phiên controller hỗ trợ Replication faul-tolerance Hình 2.6 Tích hợp bảo vệ mạng với Replication Diversity 39 Hình 3.1 Sơ đồ logic 52 Hình 3.2 Sơ đồ công ty 53 Hình 3.3 Sơ đồ vật lý tầng 53 Hình 3.4 Sơ đồ vật lý tầng 54 Hình 3.5 Trang đăng nhập OpenDaylight…………………………………61 Hình 3.6 Kết ping host Hình 3.7 Topo mạng 64 Hình 3.8 Các kết nối 65 63 Hình 3.9 Bắt gói tin Wireshark 65 Hình 3.10 Công cụ system monitor 66 39 DANH MỤC TỪ VIẾT TẮT AAA Authentication Authorization and Accounting ACL Access Control List API Application Programming Interface BYOD Bring-Your-Own-Device DDoS Distributed Denial of Service DFD Data Flow Diagram IaaS Infrastructure as a Service IDS Intrusion Detection System ONF Open Networking Foundation SDN Software-Defined Networking SDO Standard Organisation SIEM Security Information and Event Management TCAM Ternary Content-Addressable Memory TLS Transport Layer Security LỜI NÓI ĐẦU Ngày mạng máy tính ngày phát triển vượt bậc Nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lượng thiết bị ngày lớn gây nhiều khó khăn cho người quản trị Hệ thống mạng phức tạp, sách không quán, khả mở rộng kém, chi phí cao, nhiều nguy bảo mật Sự phức tạp việc tích hợp giải pháp bảo mật cho hệ thống mạng vấn đề quan tâm hàng đầu Công nghệ SDN - Software Defined Networking (Mạng định nghĩa phần mềm) đời giải pháp cho hệ thống mạng Do em định chọn đề tài “Ứng dụng mô hình điều khiển mạng SDN thiết kế mạng cho công ty TNHH thương mại dịch vụ quốc tế hoàng gia” Mục đích nghiên cứu đưa nhìn tổng quan kiến trúc mạng hoàn toàn mới, tìm hiểu vấn đề bảo mật hệ thống mạng SDN,demo mô hệ thống mạng đơn giản Nội dung đồ án chia thành 3chương: Chương I : Tổng quan SDN – Software Defined Networking Chương II : Các vấn đề bảo mật SDN Chương III : Khảo sát hệ thống xây dựng demo chương trình Chương : TỔNG QUAN VỀ SDN – Software Defined Networking 1.1 Sự cần thiết kiến trúc mạng Trong kiến trúc mạng truyền thống data plane control plane nằm thiết bị vật lý (chế độ tự trị) thiết bị độc lập với nhau, sách chuyển tiếp lưu lượng nằm riêng thiết bị, khả hiển thị toàn bộmạng, sách chuyển tiếp tốt Nếu số lượng thiết bị nhiều, gây nên phức tạp mạng điều gây khó khăn cho người quản trị mạng trình vận hành điều khiển Hình 1.1 Khó khăn cho người vận hành Các thay đổi mô hình lưu thông, gia tăng dịch vụ đám mây nhu cầu phát triển nhà khai thác băng thông dịch vụ cần tìm giải pháp Vì công nghệ mạng truyền thống đáp ứng nhu cầu nảy sinh vấn đề Các yếu tố hạn chế: Phức tạp Chính sách không quán Khả mở rộng quy mô Phụ thuộc vào nhà cung cấp 1.2 Định nghĩa SDN Software-Definded Networking (SDN) cách tiếp cận việc thiết kế, xây dựng quản lý hệ thống mạng Về bản, SDN chia tách độc lập hai chế tồn thiết bị mạng: Control Plane (cơ chế điều khiển, kiểm soát luồng mạng), DataPlane (cơ chế chuyển tiếp liệu, luồng liệu) để tối ưu hoạt động hai chế SDN dựa giao thức mã nguồn mở (Open Flow) kết nghiên cứu Đại học Stanford California Berkeley SDN tách việc định tuyến chuyển tiếp luồng liệu riêng rẽ chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi thiết bị kiểm soát luồng (Flow Controller) Điều cho phép luồng gói liệu qua mạng kiểm soát theo lập trình Hình 1.2 Controller quản lý tập trung thiết bị switch thông qua API Trong SDN, control plane tách từ thiết bị vật lý chuyển đến controller Controller nhìn thấy toàn mạng cho phép 10 Bước khởi tạo mạng sử dụng câu lệnh mn terminal Ví dụ câu lệnh sau khởi tạo mạng switch OpenFlow: mn –switch ovsk –controller nox –topo tree –test pingall Ở ví dụ trên, switch Open vSwitch kernel kết nối với theo đồ hình hình điều khiển NOX, kèm theo lệnh test pingall để kiểm tra liên thông mạng.Đểthiết lập mạng này, Mininet mô liên kết, host, switch controller Mininet sửdụng chế ảo hóa nhẹ (lightweight virtualization mechanisms) có sẵn hệ điều hành Linux: tiến trình chạy network namespaces cặp Ethernet ảo Nhược điểm Mininet: chạy Linux, hạn chế mặt hiệu chạy Laptop/PC nên hiệu phụ thuộc vào tài nguyên Laptop/PC Tuy nhiên, tương lai hạn chế sớm khắc phục cách phát triển Mininet chạy nhiều PCs có khả chạy hệ điều hành Windows Dưới thành phần Mininet:  Links: liên kết mạng Mininet cặp Ethernet ảo hoạt động sợi dây kết nối hai giao diện ảo Các packet gửi từ giao diện tới giao diện kia, giao diện tượng trưng hoàn toàn giống cổng Ethernet cho tất hệ thống phần mềm ứng dụng  Hosts: Các Network namespaces chứa trạng thái mạng (network state) Chúng cung cấp tiến trình (hoặc nhóm tiến trình) với quyền điều khiển giao diện, port bảng định tuyến Mỗi host có giao diện Ethernet riêng (khởi tạo cài đặt lệnh ip link add/set) đường kết nối tới tiến trình Mininet, mn, tiến trình gửi lệnh hiển thị thông tin mạng  Switches: Các switch mềm OpenFlow cung cấp ngữ nghĩa cho việc gửi packet giống switch phần cứng  Controllers: Controllers đâu mạng thật môi trường mô 69 d Khả mở rộng Mininet Ảo hóa nhẹ (lightweight virtualization) chìa khóa đề mở rộng mạng Mininet tới hang trăm node mà trì hiệu tương tác Bảng thời gian cần thiết để tạo topo khác Mininet.Trên thực tế, thời gian khởi động mạng Fattree đầy đủtrong khoảng 10 giây hoàn toàn khả thi (nhanh thời gian khởi động switch phần cứngthật) Mininet có khả mở rộng tới mạng chứa hàng ngàn node chạy máy tính có cấu hình mạnh e Một số lệnh tương tác với Host Switch  Bắt đầu với mô hình tối thiểu nhập lệnh sudo mn vào CLI Mô hình mặc định mô hình tối thiểu, bao gồm switch kernel Openflow kết nối với host điều khiển Openflow liên kết Ngoài sử dụng lệnh –topo=minimal Có tất thực thể chạy máy ảo (2 tiến trình host, tiến trình switch, tiến trình controller) Bộ điều khiển nằm bên máy ảo hướng dẫn cho bên  Thực thi code mô hình mạng  Hiển thị lệnh mininet : mininet> help  Hiển thị node : mininet> nodes  Hiển thị liên kết : mininet> net  Hiển thị thông tin toàn node : mininet> dump  Hiển thị thông tin cấu hình mạng host : mininet> h1 ifconfig –a  Hiển thị thông tin cấu hình mạng switch : mininet> s1 ifconfig –a  Các tiến trình host : mininet> h1 ps –a  Các tiến trình switch : mininet> s1 ps –a  Kiểm tra ping host toàn host : mininet> pingall f Cấu hình mô hình mạng Xây dựng mô hình mạng đơn giản 70 sudo mn topo linear,3 mac controller=remote, ip=192.168.56.101, port=6633 switch ovs, protocols=OpenFlow13 3.2.2 OpenDaylight Hiện nay, thị trường có nhiều controller sử dụng SDN như: OpenDaylight, Floodlight, POX, NOX, HP VAN Trong OpenDaylight ý lớn từcộng đồng người quan tâm công nghệ SDN, OpenDaylight có giao diện thân thiện, dễ thao tác, phù hợp cho người bước đầu tìm hiểu hiểu SDN OpenDaylight dự án mã nguồn mở hợp tác với Linux Foundation, với mục tiêu trở thành thành phần cốt lõi kiến trúc SDN, cho phép người sử dụng làm giảm phức tạp mạng lưới hoạt động, dễ dàng mở rộng sở hạ tầng mạng Controller viết dựa Java có hỗ trợ OpenFlow 3.3 Cài đặt công cụ 4.3.1 Cài đặt Mininet $sudo apt-get install git $git clone git://github.com/mininet/mininet $sudo mininet/util/install.sh –a 4.2.2 Cài đặt Opendaylight Tải OpenDaylight từ trang chủ: http://www.opendaylight.org/software/downloads Sau giải nén: $unzip ~/Download/distribution-karaf-0.4.2-Beryllium-SR2.tar.gz Để chạy OpenDaylight, cần phải cài đặt Java $ sudo apt-get install openjdk-7-jdk Khởi động OpenDaylight $cd distribution-karaf-0.4.2-Beryllium-SR2 $./bin/karaf Sau mở trình duyệt đăng nhập vào OpenDaylight theo đường dẫn mặc định, 71 http://localhost:8080 user: admin - password: admin Hình 3.5 Trang đăng nhập OpenDaylight Đăng nhập vào Mininet tạo tập tin python, có nội dung sau: #!/usr/bin/python from mininet.net import Mininet from mininet.node import Controller, OVSSwitch, RemoteController from mininet.cli import CLI from mininet.log import setLogLevel def multiControllerNet(): net = Mininet( controller=Controller, switch=OVSSwitch ) print "*** Creating (reference) controllers" c1 = net.addController( 'c1', controller=RemoteController, ip='192.168.56.101', port=6653 ) 72 print "*** Creating switches" s1 = net.addSwitch( 's1' ) s2 = net.addSwitch( 's2' ) s3 = net.addSwitch( 's3' ) s4 = net.addSwitch( 's4' ) s5 = net.addSwitch( 's5' ) s6 = net.addSwitch( 's6' ) s7 = net.addSwitch( 's7' ) print "*** Creating hosts" h1 = net.addHost( 'h1', ip='10.0.0.1' ) h2 = net.addHost( 'h2', ip='10.0.0.2' ) h3 = net.addHost( 'h3', ip='10.0.0.3' ) h4 = net.addHost( 'h4', ip='10.0.0.4' ) h5 = net.addHost( 'h5', ip='10.0.0.5' ) h6 = net.addHost( 'h6', ip='10.0.0.6' ) h7 = net.addHost( 'h7', ip='10.0.0.7' ) print "*** Creating links" net.addLink( h1, s2 ) net.addLink( h2, s3 ) net.addLink( h3, s4 ) net.addLink( h4, s5 ) net.addLink( h5, s6 ) net.addLink( h6, s7 ) net.addLink( s4, s1 ) net.addLink( s2, s1 ) net.addLink( s5, s1 ) net.addLink( s6, s1 ) net.addLink( s7, s1 ) 73 net.addLink( s3, s1 ) net.addLink( h7, s1 ) print "*** Starting network" net.build() c1.start() s1.start( [ c1 ] ) s2.start( [ c1 ] ) s3.start( [ c1 ] ) s4.start( [ c1 ] ) s5.start( [ c1 ] ) s6.start( [ c1 ] ) s7.start( [ c1 ] ) print "*** Testing network" net.pingAll() print "*** Running CLI" CLI( net ) print "*** Stopping network" net.stop() if name == ' main ': setLogLevel( 'info' ) multiControllerNet() Thực thi đoạn mã câu lệnh $ sudo pyhton tenfile.py 74 Hình 3.6 Kết ping host Kết ping host thông 75 Hình 3.7 Topo mạng 76 Hình 3.8 Các kết nối 77 Hình 3.9 Bắt gói tin Wireshark 78 Hình 3.10 Công cụ system monitor Ở demo ta dùng wireshar để bắt gói tin dùng công cụ system monitor để kiểm tra lưu lượng từ đưa đánh giá giải pháp thích hợp để điều khiển mạng 79 KẾT LUẬN SDN tầm nhìn kiến trúc mạng tương lai nhanh chóng, với giao thức OpenFlow đại diện cho thành phần cốt lõi cho việc phát triển Tuy nhiên, nhà phát triển mạng hoài nghi mối quan tâm lớn bảo mật họ Đồ án cung cấp nhìn tổng quan vấn đề cụ thể nói chung giải pháp Đồ án cho thấy cấu trúc mạng truyền thống bản, vấn đề bảo mật phận mạng Sự đời SDN giao thức OpenFlow làm thay đổi kiến trúc mạng SDN không cung cấp khả thấy đầu cuối sở hạ tầng CNTT, SDN tập trung thông qua giao diện điều khiển cho nhìn tổng quan mạng, nhiều yếu tố cần phải liên kết với thành điểm đầu cuối đến đầu cuối ứng dụng như: ứng dụng máy chủ lưu trữ mạng Trong SDN góp phần việc giao tiếp với phần mềm quản lý sở hạ tầng CNTT tổng thể mà thao dõi ứng dụng thông qua máy chủ, phần tử mạng Sẽ có nhiều đe dọa, nhiều công, cáclỗi bảo mật SDN Từ chối dịch vụ thiếu xác thực lỗ hổng quan trọng SDN Nhìn chung, SDN lựa chọn khả thi cho công ty để thay cho kiến trúc thông thường, vấn đề bảo mật đưa hợp lí 80 HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI Mục đích đồ án ứng dụng SDN vào mô hình mạng Cài đặt Openflow Mininet Cách tiếp cận để làm bật mức độ mối đe dọa bảo mật xác định cung cấp đánh giá thực tế Các giải pháp tích hợp nên thực để giảm thiểu lỗ hổng Các mạng sau quan sát dựa tác động liên quan đến hiệu suất khả tương tác đánh giá tổng thể tiềm hay thiếu sót chế bảo mật Những hạn chế biện pháp lỗ hổng thiết kế tương lai hay rào cản việc triển khai chế bảo mật tốt cho SDN Hầu hết giải pháp bảo mật riêng lẻ, khả thi trình cài đặt, nghiên cứu tích hợp bảo mật toàn diện để có hiệu tốt Nhiều công ty, tổ chức nghiên cứu nhà cung cấp dịch vụ không cài đặt SDN, triển khai hoàn toàn phải di chuyển từ mạng thông thường, đánh giá giải pháp bảo mật có thể cung cấp nhìn sâu sắc vào tình trạng thực tế an ninh SDN 81 82 TÀI LIỆU THAM KHẢO [1] ONF Solution Brief, “SDN Security considerations in the data center”, 2013 [2] Robert M Hinden, “SDN and Security : why take over the hosts when you can take over the network”, RSA Conference, 2014 [3] Cisco White Paper, “Software-Defined Networking: Why We Like It and How We Are Building On It”, 2013 [4] Bùi Trung Thành, “Software Defined Networking – Công nghệ làm thay đổi cấu trúc mạng” [5] http://stackoverflow.com/ [6] http://www.brianlinkletter.com/ 83 [...]... phần ứng dụng (Application Layer), phầnđiều khiển (Control Layer) và phần thiết bị hạ tầng (Infrastructure Layer) Các phần sẽ liên kết với nhau thông qua giao thức hoặc các API 12 Hình 1.4 Cấu trúc của SDN – mô hình 1 Hình 1.5 Cấu trúc của SDN - mô hình 2 1.4.1.Application layer Lớp ứng dụng: là các ứng dụng được triển khai trên mạng, kết nối tới lớp điều khiển thông qua các API, cung cấp khả năng cho. .. các ứng dụng, các dịch vụ và cơ sở hạ tầng để nhanh chóng đạt được các mục tiêu kinh doanh  Cho phép thay đổi: cho phép các tổ chức tạo mới các kiểu ứng dụng, dịch vụ và mô hình kinh doanh, để có thể tạo ra các luồng doanh thu mới và nhiều giá trị hơn từ mạng  Mở ra cơ hội cho các nhà cung cấp thiết bị trung gian khi phần điều khiển được tách rời khỏi phần cứng 1.4.Kiến trúc của SDN Về cơ bản, SDN. .. tấn công khác nhau 2.1.2 So sánh với kiến trúc truyền thống Sự phát triển của SDN đặt ra một vấn đề trong việc xác định các rủi ro tiềm ẩn trong các mạng dịch vụ chia sẻ Ứng dụng doanh nghiệp chi phối hoặc triển khai chưa xuất hiện để đánh giá các quyết định thiết kế cứng Trong khi Google đã cài đặt một quy mô trung tâm dữ liệu SDN lớn, họ tránh được các vấn đề xung đột ứng dụng sử dụng các khối ứng dụng. .. OpenFlow có thể được sử dụng bởi ứng dụng phần mềm ngoài để điều khiển mặt phẳng chuyển tiếp của các thiết bị mạng, giống như tập lệnh của 19 CPU điều khiển một hệ thống máy tính  Giao thức OpenFlow được triển khai trên cả hai giao diện kết nối giữa các thiết bị cơ sở hạ tầng mạng và phần mềm điều khiển SDN  OpenFlow sử dụng khái niệm các “flow” (luồng) để nhận dạng lưu lượng mạng trên cơ sở định... động bởi phầnmềm điều khiển SDN) Giao thức này cũng cho phép định nghĩa cách mà lưu lượng phải được truyền qua các thiết bị mạng trên cơ sở các tham số, chẳng hạn như mô hình lưu lượng sử dụng, ứng dụng và tài nguyên đám mây Do đó OpenFlow cho phép mạng được lập trình trên cơ sở luồng lưu lượng Một kiến trúc SDN trên cơ sởOpenFlow cung cấp điều khiển ở mức cực kỳ chi tiết, cho phép mạng phản hồi sự... (Infrastructure Layer) Trong kiến trúc của SDN, tất các các thiết bị được liên kết với tầng điều khiển và thông qua OpenFlow OpenFlow có 2 nhiệm vụ chính:  Giám sát hoạt động của các thiết bị mạng: Lưu lương mạng, trạng thái hoạt động của các nút mạng, các thông tin cơ bản về các thiết bị …  Điều khiển hoạt động của thiết bị mạng: Điều khiển luồng dữ liệu (routing), Bảo mật, Quality of Service Về cơ... sử dụng dịch vụ RADIUS, trong đó cung cấp chứng thực tập trung, ủy quyền và xác thực (AAA) quản lý cho các thiết bị cuối để sử dụng một dịch vụ mạng Hình 2.2 Các giải pháp bảo mật chung SDN dựa trên Openflow cung cấp một số thuộc tính đặc biệt thích hợp cho việc thực hiện một môi trường an toàn cao và dễ quản lý: 33  Các mô hình luồng là lý tưởng cho việc xử lý an toàn bởi vì nó cung cấp một kết... Controller (bộ điều khiển) là một ứng dụng quản lý kiểm soát luồng lưu lượng trong môi trường mạng Đnể truyền thông điều khiển lớp cơ sở hạ tầng, lớp điều khiển sử dụng các cơ chế như OpenFlow, ONOS, ForCES, PCEP, NETCONF, SNMP hoặc thông qua các cơ chế riêng biệt Hầu hết các SDN controller hiện nay dựa trên giao thức OpenFlow SDN controller hoạt động như một loại hệ điều hành (OS) cho mạng Tất cả thông... cấp hạ tầng và dịch vụ viễn thông SDN cung cấp cho các nhà mạng, các nhà cung cấp đám mây công cộng và các nhà cung cấp dịch vụ khả năng mở rộng và tự động cần thiết để triển khai một mô hình tính toán có ích cho ITaaS (IT-as-a-Service) Điều này được thực hiện thông qua việc đơn giản hóa triển khai các dịch vụ tùy chọn và theo yêu cầu, cùng với việc chuyển dời sang mô mình self-service Mô hình tập trung,... hiện nay, khiến cho mạng thích ứng với các nhu cầu kinh doanh thay đổi và làm giảm đáng kể các hoạt động và quản lý 21 phức tạp Những lợi ích mà các doanh nghiệp và nhà khai thác mạng có thể đạt được thông qua kiến trúc SDN trên cơ sởOpenFlow bao gồm:  Tập trung hóa điều khiển trong môi trường nhiều nhà cung cấp thiết bị: phần mềm điều khiển SDN có thể điều khiển bất kỳ thiết bị mạng nào cho phép OpenFlow ... điều khiển mạng SDN thiết kế mạng cho công ty TNHH thương mại dịch vụ quốc tế hoàng gia Mục đích nghiên cứu đưa nhìn tổng quan kiến trúc mạng hoàn toàn mới, tìm hiểu vấn đề bảo mật hệ thống mạng. .. bước thứ thiết bị mạng controller giao tiếp thành công với 1.5.3.Bước thứ Là bước quan trọng nhất, cấu hình SDN tương tác với ứng dụng Để ứng dụng hoàn toàn tận dụng mạng SDN, cần áp dụng sách... khai thác mạng đạt thông qua kiến trúc SDN sởOpenFlow bao gồm:  Tập trung hóa điều khiển môi trường nhiều nhà cung cấp thiết bị: phần mềm điều khiển SDN điều khiển thiết bị mạng cho phép OpenFlow