Công trình này nghiên cứu và phân tích các lỗ hổng an ninh mạng trong mạng SDN, qua đó đề xuất giải pháp phát hiện và phòng chống các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Services – DDoS) nhắm vào lớp điều khiến của hệ thống SDN/NetFPGA-10G OpenFlow Switch.
Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học NGHIÊN CỨU TÍCH HỢP TÍNH NĂNG BẢO MẬT CHO BỘ CHUYỂN MẠCH OPENFLOW TRÊN NỀN TẢNG NETFPGA-10G Lê Tấn Long*, Lưu Chí Bảo Trường Đại học Bách Khoa – Đại học Quốc gia TP Hồ Chí Minh * Tác giả liên lạc: 51302134@hcmut.edu.vn TÓM TẮT Software-Defined Networking (SDN) phương pháp tiếp cận thiết kế, xây dựng, cấu hình quản lý hệ thống mạng máy tính Trong SDN, thành phần điều khiển mạng (control plane) tách bạch khỏi khối phần cứng (data plane) để trở thành tảng quản lý tập trung, có khả điều khiển luồng mạng trực tiếp dựa phần mềm SDN kiến trúc mang lại linh động, tính đáp ứng cao, dễ dàng quản lý hiệu chi phí, nhiên, thách thức bảo mật an ninh mạng trở ngại khiến kiến trúc chưa thể triển khai phổ biến vào thực tế Cơng trình nghiên cứu phân tích lỗ hổng an ninh mạng mạng SDN, qua đề xuất giải pháp phát phịng chống công từ chối dịch vụ phân tán (Distributed Denial of Services – DDoS) nhắm vào lớp điều khiến hệ thống SDN/NetFPGA-10G OpenFlow Switch Giải pháp bao gồm khối bảo mật thực điều khiển SDN giúp phát phòng chống công an ninh mạng ứng dụng mạng quản lý khối bảo mật giúp người dùng giám sát định có cơng xảy Giải pháp thực điều khiển OpenDayLight đánh giá môi trường mạng tốc độ cao Kết thực nghiệm cho thấy, giải pháp giúp phát cơng cách nhanh chóng (khoảng 40 mili giây) với độ xác cao (khoảng 95%), đồng thời giúp ngăn chặn công cách hiệu quả, ổn định khả hoạt động điều khiển SDN tài nguyên CPU phục hồi từ 90% điều kiện bị cơng xuống cịn xấp xỉ 20% Từ khóa: An ninh mạng, DDoS, NetFPGA-10G, OpenDayLight A SECURITY SOLUTION FOR SDN OPENFLOW SWITCH IMPLEMENTED ON THE NETFPGA-10G PLATFORM Le Tan Long*, Luu Chi Bao University of Technology – VNU Ho Chi Minh City * Corresponding Author: 51302134@hcmut.edu.vn ABSTRACT Software-Defined Networking (SDN) is seen as a novel networking approach for facilitating and simplifying network control and management In SDN networks, the control plane is decoupled from the data-plane devices and logically centralized in a software-based controller SDN provides the fexibility, automation and cost-efficiency, however, this architecture brings many security challenges In this study, we make a survey on security threats in SDN and propose an solution to detect and mitigate Controller-aimed Distributed Denial of Service (DDoS) attcks Our methodology consists of two components including a controller network service for detecting and mitigating attacks and a network application for monitoring the SDN system We implement the proposal on 174 Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 Kỷ yếu khoa học OpenDayLight controller and evaluate using a high-speed test-bed network The results show that our solution has the ability to detect attacks early (avg 40 miliseconds) with the accuracy of detection process is around 95% Moreover, the solution also helps mitigate attacks effectively, stabling the operability of SDN controller when reducing the CPU Utilization from high (approx 90%) to low (approx 20%) Keywords: DDoS, NetFPGA-10G, Network Security, OpenDayLight ĐẶT VẤN ĐỀ Các hệ thống mạng máy tính liên tục phân cấp mở rộng quy mô để đáp ứng bùng nổ nhu cầu sử dụng Internet, điều khiến cho kiến trúc mạng máy tính ngày trở nên phức tạp, cấu hình mạng tốn nhiều thời gian, dễ bị lỗi, gây tổn hao chi phí, khó khăn việc triển khai, vận hành quản lý Bên cạnh đó, kiến trúc mạng truyền thống cho thấy nhiều mặt hạn chế khác việc sử dụng thiết bị mạng tạo đóng gói theo tiêu chuẩn, cơng nghệ khác từ nhiều nhà sản xuất gây khó khăn việc nghiên cứu, thử nghiệm chuẩn mạng giao thức mới, hay để thiết bị mạng hoạt động với chức cần phải có thiết lập, cấu hình cụ thể, gây khó khăn việc tái cấu hình Nhằm khắc phục khó khăn gặp phải kiến trúc mạng truyền thống, đồng thời ứng dụng công nghệ mạng tiên tiến định hướng tương lai, Software-Defined Networking (SDN) đề xuất kiến trúc mạng mới, xuất phát từ ý tưởng “mạng có khả lập trình” Với chế tách bạch chức điều khiển chuyển tiếp mạng thành hai phần riêng biệt, SDN cho phép quản lý mạng cách tập trung thơng qua điều khiển phần mềm (Controller) Ngồi ra, chế cung cấp khả lập trình trực tiếp, trừu tượng hóa sở hạ tầng bên để phục vụ cho ứng dụng dịch vụ mạng lớp trên, hay nói cách khác SDN cung cấp khả ảo hóa tự động hóa mức mạng SDN đánh giá mơ hình linh động, triển khai nhanh chóng, quản lý tập trung, dễ thích nghi hiệu chi phí Tuy nhiên, việc áp dụng SDN vào thực tế tóa n khó giải tổ chức, doanh nghiệp kiến trúc lý tưởng sơ khai, tồn nhiều vấn đề cấp thiết cần đội ngũ khoa học nghiên cứu, giải Một thách thức không nhỏ mà SDN phải đối mặt, vấn đề bảo mật an ninh mạng Trong SDN, não mạng tập trung hóa Controller, thiết bị mạng trở thành thiết bị chuyển tiếp gói tin đơn lập trình thơng qua lớp giao tiếp mở Quá trình tập trung hóa mang lại nhiều lợi ích rủi ro Controller trở thành điểm trung tâm công an ninh mạng Với mục đích giúp tăng cường độ an tồn bảo mật cho SDN Controller, cơng trình tập trung tìm hiểu số vấn đề bảo mật an ninh mạng, qua đề xuất giải pháp để tích hợp tính phịng chống cơng DDoS gây bão hịa hệ thống SDN/OpenFlow Switch thực tảng NetFPGA-10G Đây hình thức cơng mới, nhắm vào hệ thống SDN nhằm gây bão hòa tài nguyên điều khiển, thiết bị chuyển mạch băng thông đường truyền thành phần mạng Giải pháp bao gồm khả phát công dựa 175 Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 tính tóa n Entropy thông tin kết hợp tốc độ gia tăng tỷ lệ thông điệp PACKET_IN truyền nhận Switch Controller khả xử lý làm giảm nhẹ công dựa số phương pháp thống kê đặc tính điều khiển tập trung SDN NGUYÊN LIỆU VÀ PHƯƠNG PHÁP NGHIÊN CỨU Nguyên liệu SDN kiến trúc mạng mới, gồm ba lớp riêng biệt: lớp chuyển tiếp, lớp điều khiển, lớp ứng dụng Mỗi lớp thực chức mạng khác nhau, giao tiếp với thông qua chuẩn giao thức riêng biệt OpenFlow, thực SDN (SDN/OpenFlow), chế giao tiếp điều khiển SDN (OpenFlow Controller) thiết bị chuyển tiếp (OpenFlow Switch) sử dụng giao thức OpenFlow Trong đó, OpenFlow Controller thành phần đóng vai trị then chốt, não mạng SDN Thành phần chịu trách nhiệm trì tất quy tắc đặt cho mạng phân phối thị thích hợp cho thiết bị mạng Trong cơng trình này, chúng tơi sử dụng OpenFlow Switch thực tảng NetFPGA-10G, tảng lý tưởng cho việc thiết kế thực thiết bị mạng có tốc độ hiệu suất cao Bên cạnh đó, chúng tơi tiến hành khảo sát số SDN Controller phổ biến để so sánh chức năng, hiệu suất, khả bảo mật, khả tương thích với NetFPGA-10G OpenFlow Switch chọn OpenDayLight (ODL) Controller để sử dụng nghiên cứu, thực, triển khai thử nghiệm hệ thống Đây dự án mã nguồn mở đóng góp từ nhiều cá nhân tổ chức khác nhau, tạo nên điều khiển SDN có kiến trúc tương đối hồn thiện, phát Kỷ yếu khoa học triển sử dụng rộng rãi khơng nghiên cứu mà cịn sản phẩm thương mại Phương pháp nghiên cứu Dựa kiến thức liên quan SDN OpenFlow, chúng tơi tiến hành phân tích nguy bảo mật có khả xảy kiến trúc mạng nhận thấy tồn nhiều lỗ hổng bảo mật, phân bố tất lớp Trong lỗ hổng có nguy bị khai thác để công cao chủ yếu nằm kênh giao tiếp lớp lớp điều khiển Trong mạng SDN, Controller chịu trách nhiệm theo dõi kết nối mới, định để gói tin lưu thông mạng cách linh hoạt, hiệu quả, xác Cụ thể, gói tin lần đầu vào mạng gửi lên thông qua thông điệp PACKET_IN giao thức OpenFlow để SDN Controller xử lý Quá trình xử lý làm tiêu tốn lượng nhỏ tài nguyên Controller mật độ thơng điệp PACKET_IN khơng q lớn, hay nói cách khác, Controller hồn tồn xử lý đầy đủ gói tin trường hợp hoạt động bình thường mạng Tuy nhiên, trường hợp phải xử lý lượng lớn thông điệp PACKET_IN, tài nguyên Controller tiêu thụ lớn có khả bị tải Lợi dụng đặc điểm này, kẻ có chủ đích xấu hồn tồn thực công DoS nhằm vào hệ thống cách tạo lượng khổng lồ gói tin để gửi vào mạng Hình thức cơng cịn gọi cơng DDoS gây bão hịa lớp điều khiển mạng SDN Đây loại DDoS mới, xuất kiến trúc SDN, đó, chưa có giải pháp ngăn chặn triệt để Với tính chất quan trọng Controller mức độ nguy hiểm cao dạng công DoS này, 176 Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 tiến hành tìm giải pháp để tích hợp nhằm nâng cao tính bảo mật cho hệ thống SDN Qua khảo sát số cơng trình liên quan ngồi nước, chúng tơi ghi nhận số cơng trình đưa giải pháp phịng chống cơng DDoS gây bão hòa mạng SDN Trong nước, nghiên cứu An Le đồng tác giả (2015) xây dựng hệ thống phát ngăn chặn xâm nhập mạng sử dụng với kiến trúc SDN để tăng độ linh hoạt cho hệ thống Một nhóm nghiên cứu khả phịng chống bảo mật chuyển mạch OpenFlow thực tảng phần cứng khả cấu hình (Bao Ho et al., 2016) đạt số thành định chuyển mạch tích hợp số kỹ thuật Ingress/Egress Filtering (Paul Ferguson, 2000), Hop-Count Filtering (Cheng Jin et al., 2003) ,… để tăng khả phịng chống hình thức cơng giả mạo địa Ngoài nước, Kỷ yếu khoa học FloodGuard (Haopei Wang et al., 2015) sử dụng để chống lại công ngập lụt thông thường SDNShield (Kuan-yin Chen et al., 2017) giải pháp kết hợp để bảo vệ toàn diện chống lại công DoS lớp điều khiển SDN Avant⁃Guard (Seungwon Shin et al., 2013) bổ sung cho lớp chuyển tiếp chế di cư kết nối Giải pháp đề xuất Hình mơ tả sơ đồ thiết kế thực giải pháp OpenDayLight Controller Trong phát công, sử dụng kết hợp nhiều phương pháp để phát lưu lượng công khác Phương pháp phát dựa gia tăng tỷ lệ thông điệp PACKET_IN gửi đến Controller Ở phương pháp này, tiến hành theo dõi tốc độ mà Controller tiếp nhận thông điệp PACKET_IN từ OpenFlow Switch A Sơ đồ giải pháp B Hiện thực giải pháp ODL Hình Thiết kế thực giải pháp bảo mật ODL Controller Khi bị công lượng lớn thông biến đổi Entropy thơng tin gói điệp PACKET_IN tạo tin mạng Entropy thông tin gửi đi, tốc độ có gia đại lượng đo lường ngẫu nhiên tăng đột ngột, vượt qua mức cho phép tín hiệu Ta sử dụng Controller xem dấu khái niệm để áp dụng cho gói hiệu mạng bị cơng Phương tin nhằm đo độ ngẫu nhiên địa pháp phát thứ hai dựa đich gói tin Ở mạng hoạt 177 Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 động bình thường, lưu lượng mạng phân phối ngẫu nhiên, phụ thuộc vào lượng người dùng mạng Do đó, độ ngẫu nhiên (tức Entropy) cao Khi lưu lượng mạng tập trung nhiều vào đích đến mạng, Entropy giảm Sử dụng Entropy ta phát lưu lượng cơng nhắm vào đích đến mạng, đặc biệt số lưu lượng phổ biến TCP SYN Flood, UDP Flood, ICMP Flood,… Việc sử dụng kết hợp hai phương pháp làm tăng độ xác phát cơng, giúp phát sớm cơng để xử lý kịp thời Trong xử lý công, chia thành giai đoạn: lọc lưu lượng công, xác định nguồn gốc lưu lượng công, ngăn chặn lưu lượng công khôi phục mạng Khi phát có cơng xảy ra, việc lọc lưu lượng nhằm giúp phân biệt gói tin cơng gói tin hợp lệ, cung cấp khả hoạt động bình thường cho người dùng mạng Xác định nguồn gốc lưu lượng công nhằm xem xét thiết bị lớp điều khiển bị lợi dụng, thỏa hiệp để gây công Sau xác định thiết bị bị công, tiến hành chặn không cho lưu lượng công tiếp tục vào mạng, đồng thời theo dõi hoạt động mạng để xác định cơng cịn xảy hay khơng Nếu công kết thúc, mạng khơi phục cách xóa luồng chặn, cho phép gói tin lưu thơng trở lại Thực nghiệm đánh giá Giải pháp thực tích hợp vào OpenDayLight Controller để trở thành tính bảo mật mạng Chúng tiến hành đánh giá kiểm thử tính mơi trường ảo mơi trường thực tế Trên môi trường ảo, sử dụng công cụ Mininet để Kỷ yếu khoa học tạo OpenFlow Switch ảo, sau sử dụng cơng cụ Hping để tạo lưu lượng công Trên môi trường thực tế, sử dụng NetFPGA OpenFlow Switch với tốc độ truyền tải cổng lên đến 10Gbps, đồng thời sử dụng Open Source Network Tester (ONST) (G.Antichi, 2014), công cụ hỗ trợ tạo lưu lượng cho tảng NetFPGA để tạo công thử nghiệm Hệ thống thử nghiệm qua ba trường hợp công DDoS (TCP Flooding, UDP Flooding Random Flooding) với tốc độ công khác Kết thực nghiệm phân tích tảng OSNT Phương pháp phân tích thống kê so sánh sử dụng để đánh giá độ hiệu hệ thống KẾT QUẢ VÀ THẢO LUẬN Thời gian phát công thời gian trễ Nhờ sử dụng phương pháp phát công sớm, khối phát nhanh chóng phát hoạt động bất thường hệ thống Với N = 100 (có nghĩa sử dụng 500 gói tin để phân tích), Controller có khả phát công DDoS thời gian ngắn (0,02 giây - 0,05 giây) Có thể thấy rằng, kích thước N lớn thời gian phát dài Do đó, cần lựa chọn giá trị N phù hợp, tùy thuộc vào quy mô hệ thống Tài ngun Controller Khi cơng DDoS bão hịa xảy ra, tốc độ cơng khác tài nguyên Controller chịu mức thiệt hại khác Với công hệ thống 400 triệu gói tin tốc độ xấp xỉ 150Mbps, tài ngun tính tóa n trung bình Controller bị chiếm đến khoảng 90%, hay nói cách khác gần tồn tài nguyên Controller dành để phục vụ 178 Giải thưởng Sinh viên nghiên cứu khoa học Euréka lần 20 năm 2018 cho việc xử lý thông điệp PACKET_IN Thơng thường, cơng DoS kéo dài từ 10-15 phút, tốc độ công, lưu lượng công độ đa dạng lưu lượng cơng lớn nhiều lớn so với thử nghiệm Do đó, việc lượng lớn tài nguyên bị chiếm khoảng thời gian dài khiến Controller bị toàn tài nguyên, từ khả điều khiển mạng Kết cho thấy công xảy ra, tài nguyên CPU tăng đột ngột, đạt đỉnh (khoảng 80%) khoảng giây phát sinh tài nguyên suốt q trình phát cơng Băng thơng mạng Chúng cung cấp đường kết nối tốc độ cao đạt tốc độ tối đa 1Gbps cho giao tiếp OpenFlow Switch OpenDayLight Controller Khi mạng bị công, băng thông đường truyền hai lớp gần bị chiếm dụng hoàn toàn hàng trăm nghìn gói tin giả mạo gửi từ kẻ cơng Sự bão hịa băng thơng ngăn chặn lưu lượng mạng hợp lệ tiếp cận điều khiển Với phương Kỷ yếu khoa học pháp phát giảm nhẹ công, sau phát công, lưu lượng truy cập công bị chặn tạm thời, băng thơng nhanh chóng phục hồi tiếp tục tiếp nhận luồng lưu lượng hợp lệ KẾT LUẬN Kết thu cho thấy, cơng hệ thống khơng có tính bảo mật 400 triệu gói tin sinh ngẫu nhiên với tốc độ xấp xỉ 500Mbps 1Gbps, tài ngun tính tóa n trung Controller bị chiếm đến 90% Với hệ thống có tích hợp tính bảo mật, cơng bị phát khoảng thời gian nhỏ 5s bị chặn sau Do đó, tài nguyên Controller khơi phục lại cách nhanh chóng Qua trình tìm hiểu, thực, triển khai đánh giá, giải pháp ban đầu cho thấy số hiệu định việc phịng chống cơng Tuy nhiều vấn đề tồn đọng kết nghiên cứu đề tài góp phần tạo tiền để để phát triển vấn đề liên quan đến bảo mật tương lai TÀI LIỆU THAM KHẢO C P.-Q T N T N T BAO HO A Secured Open Flow-Based Switch Architecture in Advanced Computing and Applications (ACOMP), Can Tho, 2016 H W A K G S C JIN Hop-count filtering: An effective defense against spoofed DDoS traffic In Proceedings of the 10th ACM conference on Computer and communications security, New York, 2003 K CHEN, A R JUNUTHULA, I K SIDDHRAU, Y XU, AND H J CHAO SDNShield: Towards more comprehensive defense against DDoS attacks on SDN control plane In Proc IEEE Conference on Communications and Network Security(CNS), Philadelphia, USA, 2016 179 ... độ linh hoạt cho hệ thống Một nhóm nghiên cứu khả phòng chống bảo mật chuyển mạch OpenFlow thực tảng phần cứng khả cấu hình (Bao Ho et al., 2016) đạt số thành định chuyển mạch tích hợp số kỹ thuật... an tồn bảo mật cho SDN Controller, cơng trình tập trung tìm hiểu số vấn đề bảo mật an ninh mạng, qua đề xuất giải pháp để tích hợp tính phịng chống cơng DDoS gây bão hòa hệ thống SDN /OpenFlow. .. triển sử dụng rộng rãi khơng nghiên cứu mà cịn sản phẩm thương mại Phương pháp nghiên cứu Dựa kiến thức liên quan SDN OpenFlow, chúng tơi tiến hành phân tích nguy bảo mật có khả xảy kiến trúc mạng