Nghiên cứu giải pháp bảo mật cho hệ thống mạng SDN

Phương pháp giảm thiểu tấn công thông thường bằng firewall chỉ giảm thiểu cuộc tấn công từ bên ngoài, tốn chi nhiều chi phí mua thiết bị và duy trì. Đó cũng là lý do tôi nghiên cứu phương pháp áp dụng Suricata IDS/IPS, controller RYU và sử dụng script cho sFlow-RT để giảm thiểu cuộc tấn công từ bên ngoài và bên trong mạng hệ thống mạng SDN.
Nội dung trích xuất từ tài liệu:
Nghiên cứu giải pháp bảo mật cho hệ thống mạng SDN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG SDN Cô Hảo Đức Khoa Công nghệ Thông tin, Trường Đại học Công nghệ TP. Hồ Chí Minh GVHD: TS. Huỳnh Quốc Bảo TÓM TẮT Software Defined Networking là một kiến trúc mạng tách lớp điều khiển của thiết bị ra khỏi phần cứng và được thực hiện bằng ứng dụng phần mềm gọi là bộ điều khiển nhằm mục đích làm cho mạng trở nên linh hoạt hơn và mở ra nhiều tiềm năng phát triển. Tuy nhiên, SDN là một hệ thống mạng khá mới nên vấn đề bảo mật cần được quan tâm nhiều hơn. Phương pháp giảm thiểu tấn công thông thường bằng firewall chỉ giảm thiểu cuộc tấn công từ bên ngoài, tốn chi nhiều chi phí mua thiết bị và duy trì. Đó cũng là lý do tôi nghiên cứu phương pháp áp dụng Suricata IDS/IPS, controller RYU và sử dụng script cho sFlow-RT để giảm thiểu cuộc tấn công từ bên ngoài và bên trong mạng hệ thống mạng SDN. Từ khóa: controller ryu, ips, sdn, sflow-rt, suricata. 1 GIỚI THIỆU SDN Software Defined Networking (SDN) được công bố lần đầu tiên vào năm 2010 như một mạng có thể lập trình trực tiếp nhằm đơn giản hóa việc kiểm soát và quản lý. SDN là một kiến trúc quản lý mạng tập trung không cần phải thiết lập trên từng thiết bị riêng lẻ trong mạng. Về cơ bản, SDN chia tách độc lập hai lớp gồm lớp điều khiển và lớp hạ tầng để có thể tối ưu hoạt động. SDN là một kiến trúc linh hoạt, dễ quản lý, hiệu suất cao và thích nghi tốt, công nghệ này lý tưởng cho các ứng dụng đòi hỏi băng thông cao và cần sự linh hoạt hiện nay. 2 KIẾN TRÚC CỦA SDN SDN được chia làm ba lớp lớn: lớp ứng dụng (Application Layer), lớp điều khiển (Control Layer) và lớp hạ tầng (Infrastructure Layer). Các lớp sẽ liên kết với nhau thông qua giao thức hoặc các API [1]. Như hình 1 có thể thấy kiến trúc SDN. 2.1 Lớp ứng dụng (Application layer) Bao gồm các ứng dụng quản trị, tối ưu hóa và bảo mật các chính sách xử lý lưu lượng trên hệ thống mạng. Các ứng dụng có thể chạy trên máy chủ độc lập kết nối với bộ điều khiển thông qua giao diện API hoặc có thể chạy trực tiếp trên bộ điều khiển tùy theo quy mô của hệ thống mạng và quy mô dữ liệu của ứng dụng. Giúp quản lý và giám sát tài nguyên mạng tập trung, SDN có thể cung cấp cho các phần mềm ứng dụng toàn bộ thông tin về lớp hạ tầng mạng. Trên cơ sở đó, các phần mềm có thể đưa ra các chính sách áp dụng đồng bộ, thống nhất, tối ưu trên toàn bộ hệ thống mạng. 65 2.2 Lớp điều khiển (Control layer) Lớp điều khiển là nơi tập trung các bộ điều khiển (controller) thực hiện việc điều khiển cấu hình mạng theo các yêu cầu từ lớp ứng dụng và khả năng của mạng. Các bộ điều khiển có thể là các phần mềm được lập trình. Một bộ điều khiển là một ứng dụng quản lý kiểm soát luồng lưu lượng trong môi trường mạng. Để quản lý và điều khiển lớp hạ tầng, lớp điều khiển sử dụng các giao thức như OpenFlow, ONOS, PCEP, NETCONF, SNMP hoặc thông qua các giao thức riêng biệt. Hầu hết các bộ điều khiển SDN hiện nay dựa trên giao thức OpenFlow. Bộ điều khiển SDN hoạt động như một loại hệ điều hành (OS) mạng. Tất cả thông tin liên lạc giữa các ứng dụng và các thiết bị phải đi qua bộ điều khiển. Bộ điều khiển sử dụng giao thức OpenFlow để cấu hình các thiết bị mạng và chọn đường đi tốt nhất cho các lưu lượng ứng dụng. 2.3 Lớp hạ tầng (Infrastructure layer) Bao gồm các thiết bị mạng thực tế (vật lý hay ảo hóa) thực hiện việc chuyển tiếp gói tin theo sự điều khiển của lớp điểu khiển. Một thiết bị mạng có thể hoạt động theo sự điều khiển của nhiều bộ điều khiển khác nhau, điều này giúp tăng cường khả năng ảo hóa của mạng. Hình 1. Kiến trúc của SDN [2] 3 ƯU NHƯỢC ĐIỂM CỦA MẠNG SDN SO VỚI MẠNG TRUYỀN THỐNG Ưu điểm Nhược điểm SDN cho phép các ứng dụng truy cập trực tiếp thông qua Tốn chi phí: Quá trình triển các API. Đặc điểm này cho phép các nhà phát triển ứng khai SDN không thể hoàn dụng lập trình cho các mạng một cách trực tiếp. thiện một lần mà phải theo từng bước. Không thể một - Chính sách mạng tập trung. lúc thay thế toàn bộ các thiết - SDN có nhiều khả năng hơn trong việc giao tiếp với các bị hiện có thành OpenFlow thiết bị trong toàn bộ hạ tầng mạng. Cho phép các tài switch được bởi vì điều đó nguyên được cấp phát từ một điểm tập trung và các nhà rất tốn kém. quản trị mạng dễ dàng kiểm soát dòng lưu lượng. SDN là một kiến trúc mạng - Các thay đổi trong hệ thống mạng được tự động hóa bằng kiểu mới, các giao thức cách chuyển trách nhiệm về các thay đổi cho bộ điều khiển tương tác giữa các bộ điều tập trung, các sai sót của con người có thể tránh được. khiển chưa được phát triển - Một lợi thế quan trọng hơn nữa của mạng SDN là làm toàn diện. giảm chi phí vận hành.[1] 66 4 GIAO THỨC OPENFLOW Giao thức Openflow đóng vai trò là lớp giao tiếp giữa lớp điều khiển và lớp hạ tầng, cung cấp các API cho phép khả năng lập trình cho lớp điều khiển, Open Networking Foundation (ONF) sử dụng giao thức OpenFlow tiêu chuẩn đầu tiên. OpenFlow cho phép truy cập trực tiếp và điều khiển lớp hạ tầng như switch, router, bao gồm cả thiết bị vật lý và thiết bị ảo, do đó giúp di chuyển lớp điều khiển ra khỏi các switch thực tế tới phần mềm điều khiển trung tâm. OpenFlow là giao thức hoạt động giữa lớp điều khiển (Control Layer) và lớp hạ tầng (Infrastructure Layer). Trong kiến trúc của SDN, tất các thiết bị được liên kết với tầng điều khiển và thông qua OpenFlow. OpenFlow có 2 nhiệm vụ chính: - Giám sát hoạt động của các thiết bị ...