Nghiên cứu tích hợp tính năng bảo mật cho bộ chuyển mạch Openflow trên nền tảng NetFPGA-10G

Công trình này nghiên cứu và phân tích các lỗ hổng an ninh mạng trong mạng SDN, qua đó đề xuất giải pháp phát hiện và phòng chống các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Services – DDoS) nhắm vào lớp điều khiến của hệ thống SDN/NetFPGA-10G OpenFlow Switch.
Nội dung trích xuất từ tài liệu:
Nghiên cứu tích hợp tính năng bảo mật cho bộ chuyển mạch Openflow trên nền tảng NetFPGA-10G Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học NGHIÊN CỨU TÍCH HỢP TÍNH NĂNG BẢO MẬT CHO BỘ CHUYỂN MẠCH OPENFLOW TRÊN NỀN TẢNG NETFPGA-10G Lê Tấn Long*, Lưu Chí Bảo Trường Đại học Bách Khoa – Đại học Quốc gia TP. Hồ Chí Minh * Tác giả liên lạc: 51302134@hcmut.edu.vn TÓM TẮT Software-Defined Networking (SDN) là phương pháp tiếp cận mới trong thiết kế, xây dựng, cấu hình và quản lý hệ thống mạng máy tính. Trong SDN, thành phần điều khiển mạng (control plane) được tách bạch khỏi các khối phần cứng (data plane) để trở thành một nền tảng quản lý tập trung, có khả năng điều khiển các luồng mạng trực tiếp dựa trên phần mềm. SDN là kiến trúc mang lại sự linh động, tính đáp ứng cao, dễ dàng quản lý và hiệu quả về chi phí, tuy nhiên, những thách thức về bảo mật và an ninh mạng vẫn đang là trở ngại khiến kiến trúc này chưa thể được triển khai phổ biến vào thực tế. Công trình này nghiên cứu và phân tích các lỗ hổng an ninh mạng trong mạng SDN, qua đó đề xuất giải pháp phát hiện và phòng chống các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Services – DDoS) nhắm vào lớp điều khiến của hệ thống SDN/NetFPGA-10G OpenFlow Switch. Giải pháp bao gồm một khối bảo mật được hiện thực trên bộ điều khiển SDN giúp phát hiện và phòng chống tấn công an ninh mạng và một ứng dụng mạng quản lý khối bảo mật giúp người dùng giám sát ra quyết định khi có tấn công xảy ra. Giải pháp được hiện thực trên bộ điều khiển OpenDayLight và đánh giá trên môi trường mạng tốc độ cao. Kết quả thực nghiệm cho thấy, giải pháp giúp phát hiện tấn công một cách nhanh chóng (khoảng 40 mili giây) với độ chính xác cao (khoảng 95%), đồng thời giúp ngăn chặn tấn công một cách hiệu quả, ổn định khả năng hoạt động của bộ điều khiển SDN khi tài nguyên CPU được phục hồi từ 90% trong điều kiện bị tấn công xuống còn xấp xỉ 20%. Từ khóa: An ninh mạng, DDoS, NetFPGA-10G, OpenDayLight. A SECURITY SOLUTION FOR SDN OPENFLOW SWITCH IMPLEMENTED ON THE NETFPGA-10G PLATFORM Le Tan Long*, Luu Chi Bao University of Technology – VNU Ho Chi Minh City * Corresponding Author: 51302134@hcmut.edu.vn ABSTRACT Software-Defined Networking (SDN) is seen as a novel networking approach for facilitating and simplifying network control and management. In SDN networks, the control plane is decoupled from the data-plane devices and logically centralized in a software-based controller. SDN provides the fexibility, automation and cost-efficiency, however, this architecture brings many security challenges. In this study, we make a survey on security threats in SDN and propose an solution to detect and mitigate Controller-aimed Distributed Denial of Service (DDoS) attcks. Our methodology consists of two components including a controller network service for detecting and mitigating attacks and a network application for monitoring the SDN system. We implement the proposal on 174 Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học OpenDayLight controller and evaluate using a high-speed test-bed network. The results show that our solution has the ability to detect attacks early (avg. 40 miliseconds) with the accuracy of detection process is around 95%. Moreover, the solution also helps mitigate attacks effectively, stabling the operability of SDN controller when reducing the CPU Utilization from high (approx. 90%) to low (approx. 20%). Keywords: DDoS, NetFPGA-10G, Network Security, OpenDayLight. ĐẶT VẤN ĐỀ năng ảo hóa và tự động hóa ở mức Các hệ thống mạng máy tính hiện nay mạng. SDN được đánh giá là mô hình liên tục phân cấp và mở rộng quy mô linh động, triển khai nhanh chóng, để đáp ứng sự bùng nổ nhu cầu sử dụng quản lý tập trung, dễ thích nghi và hiệu Internet, điều này khiến cho kiến trúc quả về chi phí. Tuy nhiên, việc áp dụng mạng máy tính ngày càng trở nên phức SDN vào thực tế vẫn đang là một bài tạp, cấu hình mạng tốn nhiều thời gian, tóa n khó giải đối với các tổ chức, dễ bị lỗi, gây tổn hao chi phí, khó khăn doanh nghiệp khi kiến trúc này mặc dù trong việc triển khai, vận hành và quản lý tưởng nhưng vẫn còn sơ khai, tồn tại lý. Bên cạnh đó, kiến trúc mạng truyền nhiều vấn đề cấp thiết cần được các đội thống cũng còn cho thấy nhiều mặt hạn ngũ khoa học nghiên cứu, giải quyết. chế khác như việc sử dụng các thiết bị Một trong những thách thức không nhỏ mạng được tạo ra và đóng gói theo các mà SDN đang phải đối mặt, đó là các tiêu chuẩn, công nghệ khác nhau từ về vấn đề về bảo mật an ninh mạng. nhiều nhà sản xuất gây khó khăn trong Trong SDN, bộ não của mạng được tập việc nghiên cứu, thử nghiệm các chuẩn trung hóa trên các Controller, khi đó mạng mới cũng như các giao thức mới, các thiết bị mạng sẽ trở thành những hay để những thiết bị mạng có thể hoạt thiết bị chuyển tiếp gói tin đơn thuần động đúng với chức năng thì cần phải và có thể được lập trình thông qua các có những thiết lập, cấu hình cụ thể, gây lớp giao tiếp mở. Quá trình tập trung khó khăn trong việc tái cấu hình. hóa này mang lại nhiều lợi ích nhưng Nhằm khắc phục những khó khăn gặp cũng rất rủi ro khi Controller sẽ trở phải trong kiến trúc mạng truyền thành điểm trung tâm của các cuộc tấn thống, đồng thời ứng dụng những công công an ninh mạng. Với mục đích giúp nghệ mạng tiên tiến định hướng tương tăng cường độ an toàn bảo mật cho lai, Software-Defined Networking SDN Control ...