intTypePromotion=1
ADSENSE

Nghiên cứu tích hợp tính năng bảo mật cho bộ chuyển mạch Openflow trên nền tảng NetFPGA-10G

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:6

12
lượt xem
0
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Công trình này nghiên cứu và phân tích các lỗ hổng an ninh mạng trong mạng SDN, qua đó đề xuất giải pháp phát hiện và phòng chống các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Services – DDoS) nhắm vào lớp điều khiến của hệ thống SDN/NetFPGA-10G OpenFlow Switch.

Chủ đề:
Lưu

Nội dung Text: Nghiên cứu tích hợp tính năng bảo mật cho bộ chuyển mạch Openflow trên nền tảng NetFPGA-10G

  1. Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học NGHIÊN CỨU TÍCH HỢP TÍNH NĂNG BẢO MẬT CHO BỘ CHUYỂN MẠCH OPENFLOW TRÊN NỀN TẢNG NETFPGA-10G Lê Tấn Long*, Lưu Chí Bảo Trường Đại học Bách Khoa – Đại học Quốc gia TP. Hồ Chí Minh * Tác giả liên lạc: 51302134@hcmut.edu.vn TÓM TẮT Software-Defined Networking (SDN) là phương pháp tiếp cận mới trong thiết kế, xây dựng, cấu hình và quản lý hệ thống mạng máy tính. Trong SDN, thành phần điều khiển mạng (control plane) được tách bạch khỏi các khối phần cứng (data plane) để trở thành một nền tảng quản lý tập trung, có khả năng điều khiển các luồng mạng trực tiếp dựa trên phần mềm. SDN là kiến trúc mang lại sự linh động, tính đáp ứng cao, dễ dàng quản lý và hiệu quả về chi phí, tuy nhiên, những thách thức về bảo mật và an ninh mạng vẫn đang là trở ngại khiến kiến trúc này chưa thể được triển khai phổ biến vào thực tế. Công trình này nghiên cứu và phân tích các lỗ hổng an ninh mạng trong mạng SDN, qua đó đề xuất giải pháp phát hiện và phòng chống các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Services – DDoS) nhắm vào lớp điều khiến của hệ thống SDN/NetFPGA-10G OpenFlow Switch. Giải pháp bao gồm một khối bảo mật được hiện thực trên bộ điều khiển SDN giúp phát hiện và phòng chống tấn công an ninh mạng và một ứng dụng mạng quản lý khối bảo mật giúp người dùng giám sát ra quyết định khi có tấn công xảy ra. Giải pháp được hiện thực trên bộ điều khiển OpenDayLight và đánh giá trên môi trường mạng tốc độ cao. Kết quả thực nghiệm cho thấy, giải pháp giúp phát hiện tấn công một cách nhanh chóng (khoảng 40 mili giây) với độ chính xác cao (khoảng 95%), đồng thời giúp ngăn chặn tấn công một cách hiệu quả, ổn định khả năng hoạt động của bộ điều khiển SDN khi tài nguyên CPU được phục hồi từ 90% trong điều kiện bị tấn công xuống còn xấp xỉ 20%. Từ khóa: An ninh mạng, DDoS, NetFPGA-10G, OpenDayLight. A SECURITY SOLUTION FOR SDN OPENFLOW SWITCH IMPLEMENTED ON THE NETFPGA-10G PLATFORM Le Tan Long*, Luu Chi Bao University of Technology – VNU Ho Chi Minh City * Corresponding Author: 51302134@hcmut.edu.vn ABSTRACT Software-Defined Networking (SDN) is seen as a novel networking approach for facilitating and simplifying network control and management. In SDN networks, the control plane is decoupled from the data-plane devices and logically centralized in a software-based controller. SDN provides the fexibility, automation and cost-efficiency, however, this architecture brings many security challenges. In this study, we make a survey on security threats in SDN and propose an solution to detect and mitigate Controller-aimed Distributed Denial of Service (DDoS) attcks. Our methodology consists of two components including a controller network service for detecting and mitigating attacks and a network application for monitoring the SDN system. We implement the proposal on 174
  2. Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học OpenDayLight controller and evaluate using a high-speed test-bed network. The results show that our solution has the ability to detect attacks early (avg. 40 miliseconds) with the accuracy of detection process is around 95%. Moreover, the solution also helps mitigate attacks effectively, stabling the operability of SDN controller when reducing the CPU Utilization from high (approx. 90%) to low (approx. 20%). Keywords: DDoS, NetFPGA-10G, Network Security, OpenDayLight. ĐẶT VẤN ĐỀ năng ảo hóa và tự động hóa ở mức Các hệ thống mạng máy tính hiện nay mạng. SDN được đánh giá là mô hình liên tục phân cấp và mở rộng quy mô linh động, triển khai nhanh chóng, để đáp ứng sự bùng nổ nhu cầu sử dụng quản lý tập trung, dễ thích nghi và hiệu Internet, điều này khiến cho kiến trúc quả về chi phí. Tuy nhiên, việc áp dụng mạng máy tính ngày càng trở nên phức SDN vào thực tế vẫn đang là một bài tạp, cấu hình mạng tốn nhiều thời gian, tóa n khó giải đối với các tổ chức, dễ bị lỗi, gây tổn hao chi phí, khó khăn doanh nghiệp khi kiến trúc này mặc dù trong việc triển khai, vận hành và quản lý tưởng nhưng vẫn còn sơ khai, tồn tại lý. Bên cạnh đó, kiến trúc mạng truyền nhiều vấn đề cấp thiết cần được các đội thống cũng còn cho thấy nhiều mặt hạn ngũ khoa học nghiên cứu, giải quyết. chế khác như việc sử dụng các thiết bị Một trong những thách thức không nhỏ mạng được tạo ra và đóng gói theo các mà SDN đang phải đối mặt, đó là các tiêu chuẩn, công nghệ khác nhau từ về vấn đề về bảo mật an ninh mạng. nhiều nhà sản xuất gây khó khăn trong Trong SDN, bộ não của mạng được tập việc nghiên cứu, thử nghiệm các chuẩn trung hóa trên các Controller, khi đó mạng mới cũng như các giao thức mới, các thiết bị mạng sẽ trở thành những hay để những thiết bị mạng có thể hoạt thiết bị chuyển tiếp gói tin đơn thuần động đúng với chức năng thì cần phải và có thể được lập trình thông qua các có những thiết lập, cấu hình cụ thể, gây lớp giao tiếp mở. Quá trình tập trung khó khăn trong việc tái cấu hình. hóa này mang lại nhiều lợi ích nhưng Nhằm khắc phục những khó khăn gặp cũng rất rủi ro khi Controller sẽ trở phải trong kiến trúc mạng truyền thành điểm trung tâm của các cuộc tấn thống, đồng thời ứng dụng những công công an ninh mạng. Với mục đích giúp nghệ mạng tiên tiến định hướng tương tăng cường độ an toàn bảo mật cho lai, Software-Defined Networking SDN Controller, công trình này sẽ tập (SDN) được đề xuất như một kiến trúc trung tìm hiểu một số vấn đề về bảo mạng mới, xuất phát từ ý tưởng “mạng mật an ninh mạng, qua đó đề xuất giải có khả năng lập trình”. Với cơ chế tách pháp để tích hợp tính năng phòng bạch chức năng điều khiển và chuyển chống tấn công DDoS gây bão hòa hệ tiếp của mạng thành hai phần riêng thống SDN/OpenFlow Switch hiện biệt, SDN cho phép quản lý mạng một thực trên nền tảng NetFPGA-10G. Đây cách tập trung thông qua bộ điều khiển là một hình thức tấn công mới, nhắm bằng phần mềm (Controller). Ngoài ra, vào các hệ thống SDN nhằm gây bão cơ chế này còn cung cấp khả năng lập hòa tài nguyên của các bộ điều khiển, trình trực tiếp, trừu tượng hóa cơ sở hạ thiết bị chuyển mạch cũng như băng tầng bên dưới để phục vụ cho các ứng thông đường truyền giữa các thành dụng và dịch vụ mạng ở các lớp trên, phần mạng. Giải pháp bao gồm khả hay nói cách khác SDN cung cấp khả năng phát hiện tấn công dựa trên sự 175
  3. Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học tính tóa n Entropy thông tin kết hợp tốc triển và sử dụng rộng rãi không chỉ độ gia tăng tỷ lệ thông điệp trong nghiên cứu mà còn trong các sản PACKET_IN truyền nhận giữa Switch phẩm thương mại. và Controller và khả năng xử lý làm Phương pháp nghiên cứu giảm nhẹ tấn công dựa trên một số Dựa trên các kiến thức liên quan về phương pháp thống kê đặc tính điều SDN và OpenFlow, chúng tôi tiến khiển tập trung của SDN. hành phân tích các nguy cơ bảo mật có khả năng xảy ra trong kiến trúc mạng NGUYÊN LIỆU VÀ PHƯƠNG này và nhận thấy sự tồn tại của rất PHÁP NGHIÊN CỨU nhiều lỗ hổng bảo mật, phân bố trên tất Nguyên liệu cả các lớp. Trong đó những lỗ hổng có SDN là kiến trúc mạng mới, gồm ba nguy cơ bị khai thác để tấn công cao lớp riêng biệt: lớp chuyển tiếp, lớp điều nhất chủ yếu nằm ở kênh giao tiếp giữa khiển, lớp ứng dụng. Mỗi lớp thực hiện các lớp và lớp điều khiển. một chức năng mạng khác nhau, giao Trong mạng SDN, các Controller sẽ tiếp với nhau thông qua các chuẩn hoặc chịu trách nhiệm theo dõi các kết nối các giao thức riêng biệt. OpenFlow, mới, ra quyết định để gói tin lưu thông một trong những hiện thực đầu tiên của trong mạng một cách linh hoạt, hiệu SDN (SDN/OpenFlow), là cơ chế giao quả, chính xác. Cụ thể, các gói tin mới tiếp giữa bộ điều khiển SDN lần đầu đi vào mạng sẽ được gửi lên (OpenFlow Controller) và các thiết bị thông qua thông điệp PACKET_IN chuyển tiếp (OpenFlow Switch) sử của giao thức OpenFlow để SDN dụng giao thức OpenFlow. Trong đó, Controller xử lý. Quá trình xử lý này sẽ OpenFlow Controller là thành phần làm tiêu tốn một lượng nhỏ tài nguyên đóng vai trò then chốt, bộ não của của Controller nếu mật độ các thông mạng SDN. Thành phần này chịu trách điệp PACKET_IN không quá lớn, hay nhiệm duy trì tất cả các quy tắc đặt ra nói cách khác, Controller hoàn toàn có cho mạng và phân phối các chỉ thị thích thể xử lý được đầy đủ các gói tin mới hợp cho các thiết bị mạng. trong trường hợp hoạt động bình Trong công trình này, chúng tôi sử thường của mạng. Tuy nhiên, trong dụng OpenFlow Switch được hiện thực trường hợp phải xử lý một lượng lớn trên nền tảng NetFPGA-10G, một nền thông điệp PACKET_IN, tài nguyên tảng lý tưởng cho việc thiết kế hiện Controller tiêu thụ sẽ lớn hơn và có khả thực các thiết bị mạng có tốc độ và hiệu năng bị quá tải. Lợi dụng đặc điểm này, suất cao. Bên cạnh đó, chúng tôi cũng kẻ có chủ đích xấu hoàn toàn có thể tiến hành khảo sát một số SDN thực hiện một cuộc tấn công DoS nhằm Controller phổ biến để so sánh về chức vào hệ thống bằng cách tạo ra một năng, hiệu suất, khả năng bảo mật, khả lượng khổng lồ các gói tin mới để gửi năng tương thích với NetFPGA-10G vào mạng. Hình thức tấn công này còn OpenFlow Switch và chọn được gọi là tấn công DDoS gây bão OpenDayLight (ODL) Controller để sử hòa lớp điều khiển trên mạng SDN. dụng trong nghiên cứu, hiện thực, triển Đây là một loại DDoS mới, chỉ xuất khai thử nghiệm hệ thống. Đây là một hiện trên kiến trúc SDN, do đó, chưa dự án mã nguồn mở được đóng góp từ có giải pháp nào ngăn chặn triệt để. rất nhiều cá nhân tổ chức khác nhau, Với tính chất quan trọng của Controller tạo nên một bộ điều khiển SDN có kiến cũng như mức độ nguy hiểm cao của trúc tương đối hoàn thiện, được phát dạng tấn công DoS này, chúng tôi cũng 176
  4. Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học đã tiến hành tìm giải pháp để tích hợp FloodGuard (Haopei Wang et al., nhằm nâng cao tính bảo mật cho hệ 2015) có thể sử dụng để chống lại các thống SDN. cuộc tấn công ngập lụt thông thường. Qua khảo sát một số công trình liên SDNShield (Kuan-yin Chen et al., quan trong và ngoài nước, chúng tôi 2017) một giải pháp kết hợp để bảo vệ ghi nhận được một số công trình đã đưa toàn diện hơn chống lại các cuộc tấn ra giải pháp phòng chống tấn công công DoS tại lớp điều khiển SDN. DDoS gây bão hòa trên mạng SDN. Avant⁃Guard (Seungwon Shin et al., Trong nước, nghiên cứu của An Le và 2013) bổ sung cho lớp chuyển tiếp một đồng tác giả (2015) xây dựng hệ thống cơ chế di cư kết nối. phát hiện và ngăn chặn xâm nhập mạng Giải pháp đề xuất sử dụng với kiến trúc SDN để tăng độ Hình 1 mô tả sơ đồ thiết kế và hiện thực linh hoạt cho hệ thống. Một nhóm giải pháp trên OpenDayLight nghiên cứu về khả năng phòng chống Controller. bảo mật của bộ chuyển mạch Trong phát hiện tấn công, chúng tôi sẽ OpenFlow hiện thực trên nền tảng sử dụng kết hợp nhiều phương pháp để phần cứng khả cấu hình (Bao Ho et al., phát hiện những lưu lượng tấn công 2016) cũng đã đạt được một số thành khác nhau. Phương pháp phát hiện đầu quả nhất định khi bộ chuyển mạch tiên là dựa trên sự gia tăng tỷ lệ thông được tích hợp một số kỹ thuật như điệp PACKET_IN gửi đến Controller. Ingress/Egress Filtering (Paul Ở phương pháp này, chúng tôi tiến Ferguson, 2000), Hop-Count Filtering hành theo dõi tốc độ mà Controller tiếp (Cheng Jin et al., 2003) ,… để tăng khả nhận thông điệp PACKET_IN từ các năng phòng chống hình thức tấn công OpenFlow Switch. giả mạo địa chỉ. Ngoài nước, A. Sơ đồ giải pháp B. Hiện thực giải pháp trên ODL Hình 1. Thiết kế và hiện thực giải pháp bảo mật trên ODL Controller Khi bị tấn công một lượng lớn thông biến đổi Entropy thông tin của các gói điệp PACKET_IN sẽ được tạo ra và tin trong mạng. Entropy thông tin là gửi đi, do đó tốc độ này sẽ có sự gia một đại lượng đo lường sự ngẫu nhiên tăng đột ngột, vượt qua mức cho phép trong các tín hiệu. Ta có thể sử dụng của Controller và sẽ được xem là dấu khái niệm này để áp dụng cho các gói hiệu của mạng bị tấn công. Phương tin nhằm đo độ ngẫu nhiên trong địa pháp phát hiện thứ hai là dựa trên sự chỉ đich của các gói tin. Ở mạng hoạt 177
  5. Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học động bình thường, lưu lượng mạng tạo ra các 5 OpenFlow Switch ảo, sau được phân phối ngẫu nhiên, phụ thuộc đó sử dụng công cụ Hping để tạo ra các vào lượng người dùng trong mạng. Do lưu lượng tấn công. Trên môi trường đó, độ ngẫu nhiên (tức Entropy) sẽ cao. thực tế, chúng tôi sử dụng 2 NetFPGA Khi lưu lượng mạng tập trung càng OpenFlow Switch với tốc độ truyền tải nhiều vào một đích đến nào đó trong của mỗi cổng lên đến 10Gbps, đồng mạng, Entropy sẽ càng giảm. Sử dụng thời sử dụng Open Source Network Entropy ta có thể phát hiện được các Tester (ONST) (G.Antichi, 2014), một lưu lượng tấn công nhắm vào một hoặc công cụ hỗ trợ tạo lưu lượng cho nền một số đích đến trong mạng, đặc biệt là tảng NetFPGA để tạo ra các cuộc tấn một số lưu lượng phổ biến như TCP công thử nghiệm. Hệ thống được thử SYN Flood, UDP Flood, ICMP nghiệm qua ba trường hợp tấn công Flood,… Việc sử dụng kết hợp hai DDoS (TCP Flooding, UDP Flooding phương pháp sẽ làm tăng độ chính xác và Random Flooding) với các tốc độ trong phát hiện tấn công, giúp phát tấn công khác nhau. Kết quả thực hiện sớm tấn công để có thể xử lý kịp nghiệm cũng được phân tích trên nền thời. tảng OSNT. Phương pháp phân tích Trong xử lý tấn công, chúng tôi chia thống kê so sánh được sử dụng để đánh thành 4 giai đoạn: lọc lưu lượng tấn giá độ hiệu quả hệ thống. công, xác định nguồn gốc lưu lượng tấn công, ngăn chặn lưu lượng tấn công KẾT QUẢ VÀ THẢO LUẬN và khôi phục mạng. Khi phát hiện có Thời gian phát hiện tấn công và thời tấn công xảy ra, việc lọc lưu lượng gian trễ nhằm giúp phân biệt các gói tin tấn Nhờ sử dụng các phương pháp phát công và gói tin hợp lệ, cung cấp khả hiện tấn công sớm, khối phát hiện có năng hoạt động bình thường cho các thể nhanh chóng phát hiện các hoạt người dùng trong mạng. Xác định động bất thường trong hệ thống. Với N nguồn gốc lưu lượng tấn công nhằm = 100 (có nghĩa là chúng ta sử dụng xem xét những thiết bị ở lớp điều khiển 500 gói tin để phân tích), Controller có bị lợi dụng, thỏa hiệp để gây ra cuộc khả năng phát hiện các cuộc tấn công tấn công. Sau khi xác định được thiết DDoS trong thời gian rất ngắn (0,02 bị bị tấn công, chúng tôi tiến hành chặn giây - 0,05 giây). Có thể thấy rằng, không cho lưu lượng tấn công tiếp tục kích thước N càng lớn thì thời gian đi vào mạng, đồng thời theo dõi hoạt phát hiện càng dài. Do đó, cần lựa chọn động của mạng để xác định tấn công giá trị N phù hợp, tùy thuộc vào quy còn xảy ra hay không. Nếu cuộc tấn mô của từng hệ thống. công đã kết thúc, mạng sẽ được khôi Tài nguyên Controller phục bằng cách xóa các luồng chặn, Khi tấn công DDoS bão hòa xảy ra, ở cho phép gói tin lưu thông trở lại. các tốc độ tấn công khác nhau thì tài Thực nghiệm và đánh giá nguyên Controller sẽ chịu những mức Giải pháp được hiện thực và tích hợp thiệt hại khác nhau. Với các cuộc tấn vào OpenDayLight Controller để trở công hệ thống bằng 400 triệu gói tin thành một tính năng bảo mật của mạng. tốc độ xấp xỉ lần lượt 150Mbps, tài Chúng tôi tiến hành đánh giá kiểm thử nguyên tính tóa n trung bình của tính năng trên môi trường ảo và môi Controller bị chiếm đến khoảng 90%, trường thực tế. Trên môi trường ảo, hay nói cách khác gần như toàn bộ tài chúng tôi sử dụng công cụ Mininet để nguyên Controller sẽ dành để phục vụ 178
  6. Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học cho việc xử lý thông điệp pháp phát hiện và giảm nhẹ tấn công, PACKET_IN. Thông thường, một sau khi phát hiện các cuộc tấn công, cuộc tấn công DoS có thể kéo dài từ lưu lượng truy cập tấn công sẽ bị chặn 10-15 phút, tốc độ tấn công, lưu lượng tạm thời, do đó băng thông sẽ nhanh tấn công và độ đa dạng trong lưu lượng chóng phục hồi và tiếp tục tiếp nhận tấn công có thể lớn hơn nhiều lớn so các luồng lưu lượng hợp lệ. với thử nghiệm. Do đó, việc một lượng lớn tài nguyên bị chiếm trong một KẾT LUẬN khoảng thời gian dài như vậy có thể Kết quả thu được cho thấy, khi tấn khiến Controller bị mất toàn bộ tài công hệ thống không có tính năng bảo nguyên, từ đó mất khả năng điều khiển mật bằng 400 triệu gói tin được sinh ra mạng. ngẫu nhiên với các tốc độ lần lượt xấp Kết quả cho thấy khi các cuộc tấn công xỉ 500Mbps và 1Gbps, tài nguyên tính xảy ra, tài nguyên CPU tăng đột ngột, tóa n trung của Controller bị chiếm đến và đạt đỉnh (khoảng 80%) trong 90%. Với hệ thống có tích hợp tính khoảng 3 giây do phát sinh tài nguyên năng bảo mật, cuộc tấn công sẽ bị phát trong suốt quá trình phát hiện tấn công. hiện trong khoảng thời gian nhỏ hơn 5s Băng thông mạng và sẽ bị chặn ngay sau đó. Do đó, tài Chúng tôi cung cấp các đường kết nối nguyên Controller sẽ được khôi phục tốc độ cao có thể đạt tốc độ tối đa lại một cách nhanh chóng. Qua quá 1Gbps cho giao tiếp giữa các trình tìm hiểu, hiện thực, triển khai và OpenFlow Switch và OpenDayLight đánh giá, giải pháp ban đầu đã cho thấy Controller. Khi mạng bị tấn công, băng một số hiệu quả nhất định trong việc thông đường truyền giữa hai lớp gần phòng chống tấn công. Tuy vẫn còn như bị chiếm dụng hoàn toàn bởi hàng nhiều vấn đề tồn đọng nhưng những trăm nghìn gói tin giả mạo được gửi từ kết quả nghiên cứu trong đề tài này sẽ những kẻ tấn công. Sự bão hòa băng góp phần tạo ra tiền để để có thể phát thông ngăn chặn lưu lượng mạng hợp triển các vấn đề liên quan đến bảo mật lệ tiếp cận bộ điều khiển. Với phương trong tương lai. TÀI LIỆU THAM KHẢO C. P.-Q. T. N. T. N. T. BAO HO. A Secured Open Flow-Based Switch Architecture. in Advanced Computing and Applications (ACOMP), Can Tho, 2016. H. W. A. K. G. S. C. JIN. Hop-count filtering: An effective defense against spoofed DDoS traffic. In Proceedings of the 10th ACM conference on Computer and communications security, New York, 2003. K. CHEN, A. R. JUNUTHULA, I. K. SIDDHRAU, Y. XU, AND H. J. CHAO. SDNShield: Towards more comprehensive defense against DDoS attacks on SDN control plane. In Proc. IEEE Conference on Communications and Network Security(CNS), Philadelphia, USA, 2016. 179
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2