Bài viết Nghiên cứu về an ninh công nghệ mạng định nghĩa bằng phần mềm SDN và ứng dụng tập trung nghiên cứu công nghệ mạng định nghĩa bằng phần mềm (Software Defined Network - SDN) và khả năng ứng dụng của nó. SDN được xây dựng dựa trên một kiến trúc linh hoạt, dễ quản lý, hiệu suất cao và thích nghi tốt.
Vietnam J Agri Sci 2022, Vol 20, No 8: 1084-1096 Tạp chí Khoa học Nơng nghiệp Việt Nam 2022, 20(8): 1084-1096 www.vnua.edu.vn NGHIÊN CỨU VỀ AN NINH CÔNG NGHỆ MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM SDN VÀ ỨNG DỤNG Nguyễn Thị Thảo*, Trần Vũ Hà, Lương Minh Quân Khoa Công nghệ thông tin, Học viện Nông nghiệp Việt Nam * Tác giả liên hệ: ntthao81@vnua.edu.vn Ngày nhận bài: 02.08.2021 Ngày chấp nhận đăng: 15.08.2022 TÓM TẮT Trong báo tập trung nghiên cứu công nghệ mạng định nghĩa phần mềm (Software Defined Network - SDN) khả ứng dụng SDN xây dựng dựa kiến trúc linh hoạt, dễ quản lý, hiệu suất cao thích nghi tốt Cơng nghệ lý tưởng cho ứng dụng địi hỏi băng thơng cao cần linh hoạt Tuy nhiên, đặt thách thức việc đảm bảo an ninh an toàn liệu Để hiểu rõ SDN, nghiên cứu đặc điểm, ưu điểm, nhược điểm mạng, sau so sánh mạng SDN với mạng truyền thống Tiếp theo, thảo luận mối đe dọa bảo mật mà mạng SDN gặp phải kỹ thuật sử dụng để ngăn chặn giảm thiểu rủi ro cho mạng Để xem xét khả ứng dụng thực tế, nhóm cài đặt thử nghiệm xây dựng mạng SDN trên phần mềm Mininet Onos để có nhìn tổng qt cơng nghệ mạng SDN lỗ hổng bảo mật mạng Từ khóa: Mạng định nghĩa phần mềm, SDN Research on Security of Software-definednetworking (SDN) and Application ABSTRACT In this article, we focus on software-defined networking (SDN) technology SDN is a flexible, manageable, highperformance, and adaptable architecture SDN has shown its potentials for application that require high bandwidth and flexibility However, it also poses challenges in terms of data security To better understand SDN, we study the characteristics, advantages and disadvantages of SDN, compare it with traditional network Next, we discuss the security threats in a SDN-based network We also present some techniques that can be used to prevent and mitigate the risks to the network Along with theory about SDN, we implement a demo SDN system using Mininet and Onos This virtual system is simple but it shows all the advantage and disadvantage of a typical software-defined network Keywords: Software Defined Network, SDN ĐẶT VẤN ĐỀ Mäng Internet đąi täo nên cách mäng công nghị thơng tin Nó giúp să giao tiïp trao i kiùn thc, thụng tin cỷa ngỵi tr nên dđ dàng hĄn täo nỵn tâng cho nỵn kinh tï tri thĀc hiòn Tuy nhiên, kiïn trúc mäng trun thống khơng hỵ có să thay đổi nhiỵu nëm qua ngày trć nên khơng phù hợp vĆi nhu cæu kinh doanh cûa doanh nghiũp, cỏc nh khai thỏc mọng cỹng nhỵ ngỵi dựng cuối Hiịn nhu 1084 cỉu vỵ nghiịp vý ngày phĀc täp cûa doanh nghiòp mĀc độ đa däng vỵ Āng dýng ngày gia tëng, nhu cổu khỏc cỷa ngỵi dựng vợ mọng kùt nối Mäng cỉn phâi đáp Āng viịc thay đổi nhanh chúng cỏc thụng s vợ trủ, bởng thụng, ữnh tuyïn, bâo mêt,„ theo yêu cæu cûa Āng dýng Hũ thng mọng truyợn thng cũn phc tọp, chỵa ng nhỗt, khú m rng, cũn phý thuc nhiợu vo cỏc nh cung cỗp thiùt bữ, chi phớ cao cựng vi nhiỵu nguy cĄ vỵ an tồn bâo mêt Các khù khën phĀc täp viịc tích Nguyễn Thị Thảo, Trần Vũ Hà, Lương Minh Quân hợp giâi phỏp bõo mờt hũ thng mọng l mt vỗn ợ quan trng hng ổu Trỵc nhng bỗt cờp cũn tn täi hiịn cơng nghị mäng đ÷nh nghưa bìng phổn mợm ỵc ỵa bi Cisco Inc, White paper (2013) (SDN - Software Defined Network) giâi pháp cho cơng nghị mäng hiịn Cơng nghị SDN kiùn trỳc linh hoọt, dủ quõn lý, hiũu suỗt cao v thớch nghi tt, khiùn cụng nghũ ny lý tỵng cho Āng dýng đøi húi bëng thông cao cỉn să linh hột hiịn nay, đồng thąi nù cüng đặt nhĂng thách thĀc viòc đâm bâo an ninh v an ton d liũu tỵng lai Cụng nghị SDN cơng nghị cịn mĆi hiịn nhỵng ó ỵc nhiợu cụng ty v tờp on ln chỳ trng phỏt trin, t ự ta thỗy SDN l mt tổm nhỡn cỷa kiùn trỳc mọng tỵng lai, vĆi giao thĀc OpenFlow thành phỉn cốt lõi cûa viòc phát triðn mäng SDN hiòn Kiïn trúc phân tách phỉn điỵu khiðn mäng (Control Plane) chĀc nëng vên chuyðn dĂ liòu (Forwarding Plane hay Data Plane), điỵu cho phép viịc điỵu khiðn mọng cú th lờp trúnh ỵc dủ dng v c sć hä tæng mäng độc lêp vĆi Āng dýng d÷ch vý mäng” 2.1.1 Ý tưởng mạng SDN Trong mọng truyợn thng, cỏc thiùt bữ mọng ựng cõ vai trứ logic ữnh tuyùn, iợu khin hoọt ng cỷa mäng chun tiïp stream gói tin, dĂ liịu Mi thiùt bữ ợu cú cõ hai chc nởng ny Do ự, cỗu hỡnh mt hũ thng mọng nhiợu thnh phổn, quõn trữ viờn phõi cỗu hỡnh thỷ cụng tÿng thiït b÷ bìng tay thiït b÷ khơng hỵ có să liên hị vĆi vỵ mặt qn trữ Do ự viũc cỗu hỡnh, vờn hnh tr nờn đặc biịt khù khën, thiït b÷ hồn tồn độc lờp ự chừ cú th thay i cỗu hỡnh tÿng thiït b÷ thû cơng cách tn tă ỏp dýng ỵc linh hoọt, hiũu quõ cụng nghũ mọng mi trờn, cổn hiu ỵc cỗu trỳc cỹng nhỵ hột động cûa giao thĀc OpenFlow hị thống mäng SDN, t ự ỵa giõi phỏp thiùt kù vờn hnh cỹng nhỵ khớc phýc li, cỏc l hng hũ thng mọng SDN; ỵa ỵc li ụch, ỵu nhỵc im cỷa hũ thng mọng SDN, nhng thuờn li khù khën triðn khai mäng SDN Tÿ đù ỵa ỵc cỏc im yùu, im nhọy cõm dủ bữ tỗn cụng mọng SDN Thỗy ỵc mi nguy him mọng v cỏch thc tỗn cụng cỷa hacker t ự ỵa giõi phỏp phũng chng mọng Cụng nghũ mọng ỵc ữnh nghửa bỡng phổn mợm (Software-defined network - SDN) l mt cỏch tiùp cờn theo hỵng điịn tốn đám mây, tĀc têp trung hóa viịc qn tr÷ thiït b÷ mäng, giâm thiðu cơng viịc riêng lờ, tn nhiợu thi gian trờn tng thiùt bữ cý thð, täo điỵu kiịn thn lợi cho viịc qn lý mọng v cho phộp cỗu hỡnh mọng hiũu quõ bỡng cỏc chỵng trúnh ỵc lờp trúnh cõi thiũn hiũu suỗt v tởng cỵng khõ nởng giỏm sỏt mọng SDN nhỡm mýc tiờu giõi quyùt vỗn ợ kiùn trỳc tửnh, phi têp trung, phĀc täp cûa mäng trun thống khơng phù hợp vĆi u cỉu vỵ tính linh hột xā lý să cố dđ dàng cûa hị thống mäng hiịn täi (Hình 1) PHƯƠNG PHÁP NGHIÊN CU Cú th thỗy s khỏc biũt c bõn gia mäng trun thống mäng SDN là: 2.1 Cơng nghệ mng SDN Hiũn cú rỗt nhiợu ữnh nghửa vợ mọng SDN nhỵng theo ONF (Open Networking Foundation - mt tổ chĀc phi lợi nhuên hỗ trợ viòc phát triðn SDN thơng qua viịc nghiên cĀu tiêu chn m phự hp) thỡ mọng SDN ỵc ữnh nghửa nhỵ sau: Mọng ữnh nghửa bỡng phổn mợm hay Sofware Defined Network (SDN) kiðu kiïn trúc mäng mĆi, nëng động, dđ qn lý, chi phí hiịu q, dđ thích nghi v rỗt phự hp vi nhu cổu mọng ngy tëng - Phỉn điỵu khiðn phỉn vên chun d liũu trờn mọng truyợn thng ợu ỵc tớch hp thiùt bữ mọng mọng SDN, phổn iợu khin ỵc tỏch riờng khỳi thiùt bữ mọng v ỵc chuyn ùn mt thiùt bữ ỵc gi l b iợu khiðn SDN - Phæn thu thêp xā lý thụng tin: i vi mọng truyợn thng, phổn ny ỵc thc hiũn tỗt cõ cỏc phổn t mọng cũn mọng SDN, phổn ny ỵc tờp trung x lý ć điỵu khiðn SDN 1085 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng Ghi chú: Traditional Network Architecture: Kiến trúc mạng truyền thống; Distributed Control Plane: điều khiển phân tán; SDN Architecture: Kiến trúc mạng SDN; Centralized Control Plane: điều khiển tập trung; Control Plane: phần điều khiển; Data Plane: phần vận chuyển liệu Hình So sánh kiến trúc mạng truyền thống mạng SDN - Mäng truyợn thng khụng th ỵc lờp trỡnh bi cỏc ng dýng Cỏc thiùt bữ mọng phõi ỵc cỗu hỡnh mt cách riêng lê thû công Trong đối vĆi mäng SDN, mäng có thð lêp trình bći Āng dýng, b iợu khin SDN cú th tỵng tỏc ùn tỗt cõ cỏc thiùt bữ mọng Phổn iợu khin ỵc tỏch ri v ỵc tờp trung b iợu khin SDN iợu ny cự nghửa l cỏc thiùt bữ mäng ć lĆp thiït b÷ phỉn cĀng khơng cỉn phâi hiðu xā lý giao thĀc phĀc täp mà chúng chõ nhên vên chuyðn dĂ liòu theo ỵng no ự dỵi s chừ huy cỷa b iợu khiðn SDN Dăa vào điỵu khiðn SDN mà nhà khai thác qn tr÷ mäng có thð lêp trỡnh cỗu húnh trớn ự thay vú phõi thc hiũn thỷ cụng hng ngn cõu lũnh cỗu hỡnh trờn cỏc thiùt bữ riờng lờ iợu ny giỳp trin khai cỏc Āng dýng mĆi d÷ch vý mäng cách nhanh chóng 2.1.2 Kiến trúc mạng SDN Vỵ cĄ bân kiïn trúc cûa SDN bao gồm ba lĆp: lĆp Āng dýng (Appication Layer), lĆp điỵu 1086 khiðn (Control Layer) (Infrastructure Layer) lĆp hä tæng LĆp Āng dýng chĀa Āng dýng chĀc nëng mäng điðn hình mà cỏc t chc s dýng nhỵ cỏc hũ thng phỏt hiũn xõm nhờp, cõn bỡng tõi hoc tỵng la iợu khác vĆi mäng trun thống, vĆi kiïn trúc mäng trun thống, đð thăc hiịn chĀc nëng này, mäng së cỉn sā dýng thiït b÷ chun dýng, nhỵ tỵng la hoc thiùt bữ cõn bỡng tõi riờng biịt Trong vĆi SDN thiït b÷ së ỵc thay thù bỡng mt ng dýng phổn mợm s dýng điỵu khiðn đð qn lý xā lý dĂ liịu LĆp điỵu khiðn đäi diịn cho phỉn mỵm điỵu khin SDN tờp trung Nú hoọt ng nhỵ b nóo cûa mäng Bộ điỵu khiðn nìm máy chû v quõn lý cỏc chớnh sỏch v lung lỵu lỵng tồn mäng LĆp hä tỉng bao gồm thiït b÷ chuyðn mäch vêt lý mäng Thiït b÷ chuyðn mọch nhờn chừ thữ v quy tớc ữnh hỵng cỉn thiït tÿ điỵu khiðn Các chun mäch sở cung cỗp cho b iợu khin thụng tin vợ lỵu lỵng m nú x lý Nguyn Th Tho, Trn Vũ Hà, Lương Minh Quân Ghi chú: Appication Layer: Lớp ứng dụng; Control Layer: Lớp điều khiển; Infrastructure Layer: Lớp hạ tầng Hình Kiến trúc phân tầng mạng SDN Khi nhíc đïn SDN, cỉn đỵ cêp đïn OpenFlow, thc chỗt thỡ OpenFlow chớnh l mt giao thc SDN, cho phép giao tiïp giĂa lĆp hä tổng v lp iợu khin Trờn thc tù cú rỗt nhiợu cỏc giao thc khỏc tn tọi, nhỵng OpenFlow vộn tỵng i ph biùn vỡ lớ lữch s v tiêu chn đỉu tiên cho giao diịn lêp trình Āng dýng API cỉu nam (southbound API) (Hình 2) Nhỵ húnh ó chừ ra, mọng SDN gm ba tỉng, ba tỉng giao tiïp vĆi bìng cách sā dýng giao diịn lêp trình Āng dýng API cỉu bíc (northbound API) cỉu nam (southbound API) Các phỉn mỵm tỉng Āng dýng giao tiïp vĆi lĆp điỵu khiðn thơng qua northbound API, lĆp điỵu khiðn thiït b÷ chun mäch (thuộc lĆp hä tỉng) giao tiïp thông qua southbound API Southbound API sā dýng giao thĀc OpenFlow, northbound API chỵa cự tiờu chuốn chung 2.1.3 u điểm mạng SDN Khâ nëng lêp trình cho mäng: SDN cho phép kiðm sốt hành vi mäng bìng phỉn mỵm nỡm ngoi cỏc thiùt bữ cung cỗp kùt ni vờt lý cûa mäng Do đù, nhà khai thác mäng có thð lêp trình, điỵu chõnh hành vi cûa mäng đð hỗ trợ d÷ch vý mĆi hỗ trợ khách hàng cá nhân cách dñ dàng (Sama & cs., 2015) Bìng cách tách phỉn cĀng khúi phỉn mỵm, nhà khai thác có thð giĆi thiịu d÷ch vý mĆi nhanh chóng, khơng b÷ ràng buộc bći nỵn tâng đùng độc qun cûa nhà cung cỗp thiùt bữ mọng Tờp trung vo s kim soỏt thụng minh: SDN ỵc xõy dng trờn cỏc cỗu trỳc liên kït mäng têp trung logic, cho phép kiðm soát v quõn lý thụng minh ti nguyờn mọng Phỵng phỏp iợu khin mọng truyợn thng l phỵng phỏp phồn tỏn đù thiït b÷ hột động độc lêp vĆi nhên thĀc hän chï vỵ träng thái chung cûa tồn mäng Do đù, thiït b÷ së khơng thð tối þu đþợc hiòu nëng dăa träng thái chung mà chõ có thð hột động riêng biịt dén tĆi khâ nëng làm giâm hiịu nëng chung cûa tồn mäng SDN cung cỗp khõ nởng iợu khin tờp trung, quõn lý bëng thơng, khơi phýc, bâo mêt đù có th xõy dng cỏc chớnh sỏch thụng minh, ti ỵu cù tổ chĀc dăa träng thái tồn diịn cỷa mọng Tru tỵng húa mọng: Cỏc dữch vý v ng dýng chọy trờn cụng nghũ SDN ỵc tru tỵng hóa tÿ cơng nghị phỉn cĀng cĄ bân cung cỗp kùt ni vờt lý t b iợu khin mọng Cỏc ng dýng sở tỵng tỏc vi mọng thụng qua 1087 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng API, thay vỡ cỏc giao diũn quõn lý ỵc kùt hợp chặt chë vĆi phæn cĀng Kiïn trúc SDN mć kỷ nguyên mĆi cûa să cći mć, cho phộp khõ nởng tỵng tỏc cỷa nhiợu nh cung cỗp cỹng nhỵ thỳc ốy mt hũ sinh thỏi trung lờp vi nh cung cỗp S ci m ùn t chớnh cách tiïp cên SDN Các API mć hỗ trợ loọt cỏc ng dýng, bao gm cõ iợu phi dữch vý ỏm mồy, OSS/BSS v cỏc ng dýng ỵc kùt nối quan trọng Ngồi ra, phỉn mỵm thơng minh có th kim soỏt phổn cng t nhiợu nh cung cỗp vi giao diũn lờp trỡnh m nhỵ OpenFlow Cui cựng, tÿ bên SDN, Āng dýng d÷ch vý mọng thụng minh cú th chọy mụi trỵng phổn mỵm chung Một lợi thï cûa cơng nghị SDN khâ nëng cho nhà khai thác mäng viït chỵng trỡnh s dýng API cỷa SDN v cung cỗp cho Āng dýng qun kiðm sốt hành vi mäng SDN cho phộp ngỵi dựng phỏt trin cỏc ng dýng nhờn biït mäng, theo dõi thơng minh träng thái hột động cỷa mọng v t ng iợu chừnh cỗu hỡnh mọng cæn 2.1.4 Nhược điểm mạng SDN Theo Dabbagh & cs (2015), mọng SDN cú th gp vỗn ợ vợ trủ Mi thiùt bữ ỵc s dýng trờn mäng đỵu chiïm khơng gian đù Tốc độ tỵng tỏc gia cỏc thiùt bữ v mọng phý thuc vo s lỵng ti nguyờn õo hựa iợu ny cú thð dén đïn độ trđ đáng kð Hiịn täi, khơng cú bỗt k giao thc bõo mờt tiờu chuốn no cho SDN Mc dự cú mt s nh cung cỗp dữch vý bờn th ba, nhỵng vộn cũn nhiợu lo ngäi vỵ bâo mêt Cỉn có nhiỵu kiïn thĀc chun mơn đð xā lý hị thống SDN mĆi có th ngởn chn nhng cuc tỗn cụng ln SDN khụng sā dýng đ÷nh tuyïn thiït b÷ chuyðn mọch thụng thỵng Do ự, bõo mờt i kốm vi chỳng thỵng bữ họn chù iợu ny dộn ti mọng dủ bữ tỗn cụng hn trỵc cỏc mi e da bờn ngoi 2.2 An ninh mng SDN Vỗn ợ an ninh, bâo mêt không chõ lợi thï mà cüng thách thĀc đối vĆi cơng nghị SDN SDN ỵc quõn lý v iợu khin thụng 1088 qua b điỵu khiðn trung tâm, theo ONF Solution Brief (2013) Hacker cú th tỗn cụng vo b iợu khin v dủ dàng chiïm qun điỵu khiðn tồn mäng Một thách thĀc khác vĆi SDN đù nù cù tín l ỵc ữnh nghửa nhỵng nự lọi thc s khụng cự ữnh nghửa no thng nhỗt v tiờu chuốn chung Cỏc nh cung cỗp khỏc ợ xuỗt cỏc cỏch tiïp cên khác cho SDN, tÿ mơ hình têp trung vào phỉn cĀng, nỵn tâng âo hùa cho ùn cỏc thiùt kù mọng v phỵng thc khụng s dýng b iợu khin Cú rỗt nhiợu cỏc thiùt kù v ữnh hỵng khỏc Mc dự SDN cú th làm viịc vĆi cơng nghị quy trónh này, nhỵng vợ bõn chỗt nú vộn l mt cụng nghũ riêng biòt 2.3 Nghiên cứu phần mềm thực nghiệm 2.3.1 Phần mềm ONOS Phỉn mỵm ONOS (Hị điỵu hành mäng mć) nỵn tâng mã nguồn mć đð phát triðn Āng dýng giâi pháp điỵu khiðn mọng Nú ỵc thiùt kù ỏp ng nhu cổu cỷa cỏc mọng cỷa nh cung cỗp dữch vý, nự cỹng cự th ỵc ỏp dýng cho mọng trung tõm d liũu hoc mọng trỵng hc Phổn mợm ỵc viùt bỡng Java v cung cỗp nợn tõng ng dýng SDN phõn tỏn trờn Apache Karaf OSGi Hũ thng ỵc thiùt kù hoọt ng nhỵ mt cým cỏc nỳt ging hịt vỵ ngën xïp phỉn mỵm cûa chúng cú th chữu ỵc s c cỷa cỏc nỳt riờng lê mà khơng gây gián độn khâ nëng kiðm sốt hột động mäng cûa Trong ONOS chû u dăa vào giao thĀc mơ hình tiêu chn, ví dý: OpenFlow, NETCONF, OpenConfig, kiïn trúc hị thống cûa khơng b÷ ràng buộc trăc tiïp vĆi chúng Thay vo ự, ONOS cung cỗp tờp hp cỏc mụ hỡnh v mụ hỡnh tru tỵng cỗp cao cỷa riờng mỡnh, m nú cung cỗp API cho cỏc lờp trỡnh viờn ng dýng Cỏc mụ hỡnh ny cú th ỵc m rộng bći Āng dýng täi thąi điðm chäy 2.3.2 Phần mềm Mininet Mininet công cý giâ lêp mäng, bao gồm têp hợp hosts đæu cuối, chuyðn Nguyễn Thị Thảo, Trần Vũ Hà, Lương Minh Quân mäch (switches), đ÷nh tuyïn (routers) liên kït Linux kernel Mininet sā dýng công nghị âo hóa (ć mĀc đĄn giân) đð täo nên hị thống mäng hồn chõnh, chäy chung kernel, hò thống user code Các máy chû (host) âo, chuyðn mäch (switch), liên kït controller Mininet l cỏc thc th ỵc giõ lờp dỵi dọng phỉn mỵm thay phỉn cĀng Trong đù, host Mininet cú th chọy bỗt kỡ phổn mợm no ó ci trớn hũ thng Linux (mụi trỵng m Mininet ang chọy) Các phỉn mỵm có thð gāi gói tin thơng ethernet interface cûa mininet vĆi tốc độ liên kït v trủ t trỵc Mininet cho phộp tọo mọng nhanh chúng, tựy chừnh ỵc mọng, chọy ỵc cỏc phổn mợm thc s nhỵ web servers, TCP monitoring, Wireshark; tựy chừnh ỵc viũc chuyn tiùp gúi tin Mininet cỹng dủ dng s dýng v khụng yờu cổu cỗu húnh c biũt vỵ phỉn cĀng đð chäy: Mininet có thð cài laptop, server, VM, cloud (Linux) Hình Mơ hệ thống Mininet Hình Mạng LAN ảo SDN với controller switch 1089 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng KẾT QUẢ VÀ THẢO LUẬN 3.1 Kết 3.1.1 Thử nghiệm 01 (tạo mạng SDN ảo) Dùng Mininet đð mô phúng Switch host, controller dùng mã nguồn mć ONOS đð mơ phúng (Hình 3) Xây dăng switch kït nối vi controller lổn lỵt l: 172.17.0.5, 172.17.0.6, 172.17.0.7 (Hỡnh 4) Tuy nhiờn, hiũn tọi cỏc mỏy chỵa thụng, kim tra läi bìng lịnh pingall, kït q 100% dropped tc khụng gi ỵc cỏc gúi tin (Hỡnh 5) Thc hiũn ý tỵng SDN, trờn controller cú cỏc phổn mợm tọo cỏc hũ thng hoọt ng ỵc, tc l máy thông vĆi Sā dýng Reactive Forwarding đð kích hột kiðm tra läi (Hình 6) Hình Kiểm tra hệ thống chưa thơng mạng Hình Kích hoạt hệ thống Reactive Forwarding 1090 Nguyễn Thị Thảo, Trần Vũ Hà, Lương Minh Quân Hình Kiểm tra lại hệ thống sau kích hoạt Hình Hình ảnh mạng sau thiết bị mạng kết nối Kiðm tra läi bìng lịnh pingall, 0% dropped tc ton b gựi tin ợu ỵc chuyn (Hình 7) Thā nghiịm tít controller 172.17.0.7 kiðm tra läi hị thống (Hình 10, 11) Kiðm tra läi cỏc mỏy hiũn tọi ó ỵc kùt ni (Hỡnh 8) Khi controller b÷ húng hị thống mäng vén hột ng búnh thỵng nh vo cým cỏc controller Vi mọng SDN cù controller điỵu khiðn tồn mäng, nïu controller húng tồn mäng së húng thï triðn khai thăc tï cæn cým cluster giâi pháp cỉn thiït đð đâm bâo hị thống mäng hột ng n ữnh nhỗt cú th 3.1.2 Th nghim to cluster controller Täo mäng LAN âo gồm controller 172.17.0.5, 172.17.0.6, 172.17.0.7, host ỵc kùt ni vi (Hỡnh 9) 1091 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng Hình Mạng LAN SDN ảo gồm controller switch Hình 10 Hình ảnh mạng SDN ảo sau tắt controller 3.1.3 Thử nghiệm giám sát hệ thống mạng Trong mäng SDN máy tính có thð đùng vai trũ controller, viũc giỏm sỏt controller mọng SDN rỗt quan trng, nùu controler hỳng thỡ mọng sở cú vỗn ợ Th nghiũm dựng tỗn cụng vo mỏy tớnh nọn nhân 192.168.80.138 (Hình 12) 1092 Kiðm tra Task Manager, lúc ny mỏy nọn nhõn liờn týc nhờn ỵc gúi tin cỷa bờn tỗn cụng, CPU hoọt ng cụng suỗt cao (Hỡnh 13) Th nghiũm dng tỗn cụng, nhỗn Stop flooding, kiðm tra läi bên máy nän nhân, bít gói tin nhờn thỗy thỵa tht hn, rỗt ớt gúi tin t phớa tỗn cụng, trọng thỏi CPU hoọt ng khụng bữ tâi, chõ ć mĀc 6-7% (Hình 14) Nguyễn Thị Thảo, Trần Vũ Hà, Lương Minh Quân Hình 11 Kiểm tra thơng mạng sau tắt controller Hình 12 Thử nghiệm cơng vào máy tính nạn nhân Trín đåy hai cơng cý Task manager Wireshark có sẵn máy tính giúp có thð kiðm tra giám sát hột động cûa máy tơnh, qua đù cự th chuốn oỏn cỹng nhỵ x lý thớch hp hũ thng mọng cú vỗn ợ 3.2 Tho lun Qua cỏc th nghiũm ỵc xõy dng trờn trờn phổn mỵm Mininet Onos, nhóm nghiên cĀu cù thím nhón tổng qt hĄn vỵ cơng nghị mäng SDN v cỏc l hng bõo mờt Tỗn cụng DoS ồy ỵc dựng chung cho cỏc kiu tỗn cụng t chi dữch vý nhỵ DoS, DDoS, DrDos Tỗn cơng DoS làm cho thành phỉn điỵu khiðn q tâi xā lý gói tin mĆi, chiïm dýng bëng thơng, gõy trn v ngờp lýt ỵng truyợn Kờ tỗn cụng gāi liên tiïp gói tin u cỉu thiït lêp kït nối giâ mäo thąi gian khâ dýng Trong thąi gian ngín, tồn tài ngun hị thống b÷ chiïm dýng đð xā lý gói tin giâ mäo, gây tê liòt hò thống Dăa nhĂng nghiên cĀu này, nhóm tiïn hành xây dăng ngun tíc thiït kï mäng SDN kït hợp vĆi giâi pháp bâo mêt tồn diịn nhìm làm cho mäng SDN bâo mêt tốt hĄn, an toàn hĄn 1093 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng Hình 13 CPU hoạt động cơng suất cao bị cơng Hình 14 Trạng thái máy nạn nhân sau hết bị cơng Trong đó, nguyên tíc, giâi pháp thiït kï: - Nâng cao khâ nëng ch÷u lỗi cûa tồn hị thơng bìng cách sā dýng nhiỵu Controller (nói cách khác xây dăng mt cluster cỷa cỏc controller) - t thớm cỏc tỵng lāa chuyên dýng cho máy controller server có kït nối đïn Internet 1094 Các giâi pháp bâo mêt, nhóm dùng SDN controller đð: - Thiït lêp qun truy cêp tĆi tÿng thiït b÷ cý thð Ví dý hị thống mäng cûa Khoa Cơng nghị thơng tin có mt mỏy in t tọi vởn phứng khoa, ngỵi quõn tr÷ có thð thiït lêp đð chõ máy tính cûa nhån viín vën phøng cûa ban chû nhiịm khoa có thð truy cêp tĆi Nguyễn Thị Thảo, Trần Vũ Hà, Lương Minh Quân máy in Viòc kiðm sốt truy cêp có thð áp dýng vĆi server khỏc nhỵ file server, email server, web server cỷa ton hũ thng, ng thi giõm lỵu lỵng mọng khơng cỉn thiït - Thiït lêp quy tíc (rule) đð kiðm sốt q trình truy cêp Internet cûa mỏy mọng ni b Hoc theo chiợu ngỵc lọi: quân lý truy cêp cûa máy tÿ Internet vào mäng mäng cýc bộ, đặc biòt server cýc - Vai trò cûa controller đặc biịt quan trọng nín nù cüng trć thành điðm dđ bữ tỗn cụng Chớnh vỡ thù viũc s dýng cluster gồm nhiỵu controller khác cỉn thiït Trong phỉn 3.1.2, nhóm tác giâ täo cluster controller thā nghiịm controller b÷ húng (nhùm thā ngít controller), lỳc ny hũ thng vộn hoọt ng ỵc n ữnh SDN ngoi kù tha phỵng phỏp bõo mờt mọng truyợn thng nhỵ xồy dng c chù phũng chng nhỵ tỵng la Firewall, IPsec, TLS cũn b sung thớm phỵng phỏp nhỵ xồy dng c chù d phũng Controller, ngun tíc xây dăng hị thống mäng cĄ chï phýc hồi Cơng nghị mäng SDN sā dýng giao thĀc OpenFlow phát triðn nhanh chóng hiũn Vi nhng ỵu thù vỵt tri hn so vĆi cơng nghị mäng trun thống vỵ tốc độ, khâ nëng mć rộng cûa mäng SDN giúp cho quân tr÷ hị thống trć nên dđ qn lý hĄn Chơnh vó vờy, cụng nghũ ny ang ỵc cỏc nh phỏt trin đùn nhên tích căc hĀa hìn së cụng nghũ ỵc s dýng vỵt tri tỵng lai gỉn Qua nghiên cĀu triðn khai thăc tï, nhóm tỏc giõ ó nhờn thỗy cú nhng ỵu im v nhỵc im mọng SDN nhỵ sau: u im v nhc im: u im: - Quõn trữ tờp trung: Ngỵi quõn tr÷ khơng cỉn phâi tĆi tÿng thiït b÷ tÿng server quõn lý v cỗu húnh nhỵ cỏch quõn lý mäng trun thống, thay vào đù họ chõ cỉn truy cêp vào giao diịn qn tr÷ cûa controller cú th cỗu hỡnh cho ton b hũ thng mọng - Khâ nëng mć rộng linh hoät: Các chĀc nëng cỷa hũ thng mọng cú th ỵc thờm vo thụng qua viịc lêp trónh cài đặt gói phỉn mợm lờn controller Nùu so vi thiùt bữ phổn cng truyợn thng trỵc ồy thú cỏc thiùt bữ ny khụng thð mć rộng thêm chĀc nëng - Các thiït lêp liớn quan ùn viũc truy cờp cú th ỵc thc hiũn vi tng thiùt bữ cý th mọng, iợu së tëng khâ nëng bâo mêt Nhược điểm: - Viịc sā dýng nhiỵu controller së tốn chi phơ ổu tỵ v dự khụng phự hp vi cỏc doanh nghiịp đĄn v÷ nhú Trong khn khổ kinh phớ cỗp phỏt cho ợ ti cỗp Hc viũn, nhúm chỵa th trin khai thc tù tọi khoa vỗn đỵ kinh phí triðn khai thăc tï q lĆn - Cụng nghũ cũn khỏ mi v lỵng khỏch hng chỵa cao nín viịc tìm sā dýng thiït b÷ ớt tiợn cỹng nhỵ phổn mợm cứn khự khởn (do chỵa nhiợu n vữ cung cỗp giõi phỏp cho SDN) Vì vêy, nhóm nghiên cĀu sā dýng viịc mơ phúng thiït b÷ chäy thā nghiịm bìng phỉn mỵm Mininet Onos KẾT LUẬN Trong nghiên cĀu ny, chỳng tụi ó tng quỏt húa cỗu trỳc cỹng nhỵ c chù hoọt ng cỷa hai hũ thng mọng truyợn thng v mọng SDN Da trờn cỗu trỳc cỹng nhỵ hoọt ng cỷa giao thc OpenFlow v hũ thng mọng SDN, nhúm ỵa cỏc giõi phỏp thiùt kù vờn hnh cỹng nhỵ khớc phýc cỏc li, cỏc l hng hũ thng mọng SDN, ỵa ỵc cỏc li ụch, cỏc ỵu nhỵc im cỷa hũ thng mọng SDN trin khai Viũc túm ỵc cỏc im yùu, im dủ bữ tỗn cụng mọng SDN, cỏc mi nguy him mọng v cỏch thc tỗn cụng cỷa cỏc hacker giỳp nhúm nghiờn cu ỵa cỏc giâi pháp phịng chống mäng Nhóm nghiên cĀu tiïn hành thā nghiịm mơ hình mäng SDN hị điỵu hành Linux tÿ đù cù kiïn thĀc thăc tï hĄn, vỵ q trình xây dăng mäng, tiïn trình chäy thā nghiịm mơ hónh Đåy cơng nghò mäng mĆi 1095 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng giai đoän phát triðn thā nghiũm nớn chỵa ỵc ỏp dýng nhiợu thc tù Nhóm nghiín cĀu viịc áp dýng mäng SDN vào thăc tï täi Khoa Cơng nghị thơng tin, Học viịn Nụng nghiũp Viũt Nam, nhiờn, viũc ổu tỵ mt hũ thng mi cổn mua thờm nhiợu thiùt bữ mi Trong thąi gian tĆi, nhóm së tiïp týc tiïn hành trin khai theo hỵng ỏp dýng tọi Khoa CNTT dă án mĆi Chúng tơi së cỉn nhiỵu nghiên cu hn na v trin khai trớn mụi trỵng mọng thc tù ỏnh giỏ ỵc chớnh xỏc cỏc mi đe dọa an ninh mäng Hæu hït giâi pháp bâo mêt cịn riêng lê, số có khâ thi nhỵng cỹng cự nhiợu biũn phỏp chỵa ọt ỵc kùt quõ nhỵ mong mun Cổn cú mt nghiờn cu tng th ỵa mt phỵng phỏp ton diũn nhỡm ọt kùt quõ tt nhỗt bõo mờt LI CẢM ƠN Nhóm nghiên cĀu xin chân thành câm Ąn Học viịn Nơng nghiịp Viịt Nam tài trợ nghiên cĀu thơng qua đỵ tài nghiên cĀu khoa học cỗp Hc viũn mó s T2020-10-49 1096 TI LIU THAM KHẢO Baran P (1964) On Distributed Communications Networks IEEE Transactions on Communications Systems Ben Kepes (2015) The Software-defined Data Center in the Enterprise Nimboxx Dabbagh M., Hamdaoui B., Guizani M & Rayes A (2015) Software-Defiened Networking Security: Pros and Cons IEEE Communications Magazine Feamster Rexford J & Zegura E (2014) The Road to SDN: An Intellectual History of Programmable Networks SIGCOMM Comput Commun Rev ONF Solution Brief (2013) SDN Security considerations in the data center Mike McBride, Editor Robert M.H (2014) SDN and Security: why take over the hosts when you can take over the network RSA Conference Sama M.R, Contreras L., Kaippallimalil J., Akiyoshi I., Haiyang Q & Hui N (2015) Software-defined control of the virtualized mobile packet core IEEE Communications Magazine 53(2): 107-115 Thomas D.N & Ken Gray (2013) SDN Software Defined Network Chapter 13 O’Reilly White Paper (2013) Software-Defined Networking: Why we like it and how we are building on it Cisco Inc ... Mininet Hình Mạng LAN ảo SDN với controller switch 1089 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng KẾT QUẢ VÀ THẢO LUẬN 3.1 Kết 3.1.1 Thử nghiệm 01 (tạo mạng SDN ảo) Dùng... cũn mọng SDN, phổn ny ỵc tờp trung xā lý ć điỵu khiðn SDN 1085 Nghiên cứu an ninh công nghệ mạng định nghĩa phần mềm SDN ứng dụng Ghi chú: Traditional Network Architecture: Kiến trúc mạng truyền... Täo mäng LAN âo gồm controller 172.17.0.5, 172.17.0.6, 172.17.0.7, host ỵc kùt ni vi (Hình 9) 1091 Nghiên cứu an ninh cơng nghệ mạng định nghĩa phần mềm SDN ứng dụng Hình Mạng LAN SDN ảo gồm