Tuy có nhiều triển vọng là giải pháp tối ưu thay thé hệ thống mang truyền thống trong tương lai, bộ điều khién SDN vẫn còn tồn tại những van đề khiến người ding cá nhân và các dự án lớn
Trang 1ĐẠI HỌC QUOC GIA TP HO CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MAY TÍNH VÀ TRUYEN THONG
VU TRINH KHANG
NGUYEN THI MINH HAI
KHOA LUAN TOT NGHIEP
CYBER MOVING TARGET DEFENSE AND NETWORK
FORENSICS IN SDN NETWORKS
KY SU NGANH AN TOAN THONG TIN
TP HO CHi MINH, 2020
Trang 2ĐẠI HỌC QUOC GIA TP HO CHÍ MINH
TRUONG DAI HOC CONG NGHE THONG TIN KHOA MANG MAY TINH VA TRUYEN THONG
VU TRINH KHANG - 16520574
NGUYEN THI MINH HAI - 16520331
KHOA LUAN TOT NGHIEP
CO CHE PHONG THU DI CHUYEN MUC TIEU VA
DIEU TRA MANG CHO SDN
CYBER MOVING TARGET DEFENSE AND NETWORK
FORENSICS IN SDN NETWORKS
KY SU NGANH AN TOAN THONG TIN
GIANG VIEN HUONG DAN
ThS Phan Thế Duy
TP HÒ CHÍ MINH, 2020
Trang 3DANH SÁCH HOI DONG BẢO VỆ KHÓA LUẬN
Hội đồng cham khóa luận tốt nghiệp, thành lập theo Quyết định số
¬_ eee eeee eee e eae enas ngay của Hiệu trưởng Trường Dai học Công nghệ Thông tin.
¬ eee ce nce e eens eee nena enone ea en — Chủ tịch.
Boece eee nese eee — Ủy viên
Ắ—— cnet denne eee n netted — Uy viên
Trang 4ĐẠI HỌC QUOC GIA TP HO CHÍ MINH CONG HOA XA HOI CHU NGHIA VIET NAM
TRUONG DAI HOC Độc Lập - Tự Do - Hạnh Phúc CÔNG NGHỆ THÔNG TIN
TP HCM, ngay thang nam
NHAN XET KHOA LUAN TOT NGHIEP
(CUA CAN BO HUONG DAN)
Tên khóa luân:
Cơ chế phòng thủ di chuyên mục tiêu và điều tra mạng cho SDN
SV thực hiện: Cán bộ hướng dẫn:
Vũ Trịnh Khang 16520574 ThS Phan Thế Duy
Nguyễn Thị Minh Hải 16520331
Đánh giá Khóa luận
1 Vé cuôn báo cáo:
Số trang Số chương
Số bảng số liệu Số hình vẽ
Số tài liệu tham khảo Sản pham
Một sô nhận xét về hình thức cuôn báo cáo:
Trang 52 Về nội dung nghiên cứu:
Điểm từng sinh viên:
Vũ Trịnh Khang: /10
Nguyễn Thi Minh Hải: /10
Trang 6NHẠN XÉT KHÓA LUẬN TÓT NGHIỆP
(CỦA CÁN BỘ PHẢN BIỆN)
Tên khóa luận:
Cơ chế phòng thủ di chuyển mục tiêu và điều tra mạng cho SDN
SV thực hiện: Cán bộ phản biên:
Vũ Trịnh Khang 16520574
Nguyễn Thị Minh Hải 16520331
Đánh giá Khóa luận
5 Vê cuôn báo cáo:
Số trang Số chương
Số bảng số liệu Số hình vẽ
Số tài liệu tham khảo Sản phẩm
Một sô nhận xét về hình thức cuôn báo cáo:
Trang 8LỜI CẢM ƠN
Lời nói đầu tiên, chúng em xin gửi lời cảm ơn đến Quý Thầy Cô trường Đại họcCông nghệ Thông tin cũng như Quý Thầy Cô khoa Mạng máy tính và Truyền thông
đã truyền đạt kiến thức, kinh nghiệm quý báu, quan tâm, hỗ trợ chúng em trong suốt
thời gian học tại trường Chúng em rat lay làm vinh hạnh và tự hào khi đã là một sinh
viên cua UIT.
Đặc biệt, chúng em xin chân thành cảm on ThS Phan Thế Duy — người đã hướngdẫn, tạo điều kiện thuận lợi cho em thực hiện khóa luận này Trong suốt thời gian làmkhoá luận, thầy đã đồng hành cùng chúng em, dành nhiều thời gian cũng như côngsức dé hỗ trợ chúng em Bên cạnh đó, chúng em xin cảm ơn các anh chị phòng Thínghiệm An toàn thông tin đã giúp đỡ và hỗ trợ chúng em trong suốt thời gian qua
Mặc dù, chúng em đã cố gắng hoàn thành khóa luận nhưng sẽ không tránh khỏinhững sai sót Chúng em kính mong nhận được sự thông cảm và ý kiến đóng góp từQuý Thay Cô dé chúng em có thê hoàn thiện và phát triển khóa luận này
Chúng em xin chân thành cảm ơn!
Thanh phó Hồ Chí Minh, tháng 12 năm 2020
Trang 9ĐẠI HỌC QUOC GIA TP HO CHÍMINH CONG HÒA XÃ HỘI CHỦ NGHĨA VIET NAM
TRƯỜNG ĐẠI HỌC Độc Lập - Tự Do - Hạnh Phúc
CÔNG NGHỆ THÔNG TIN
DE CƯƠNG DE TÀI LUẬN VAN KỸ SƯ
1 Tên đề tài hoặc hướng NC:
Tên tiếng Việt: Cơ chế phòng thủ di chuyển mục tiêu và điều tra mạng cho SDN
Tên tiếng Anh: Cyber moving target defense and network forensics in SDN - enabled
networks.
2 Nganh va ma nganh dao tao:
Ngành đào tạo: An toàn thông tin
Mã ngành đào tạo: D480299
3 Họ tên học viên thực hiện đề tài, khóa-đợt học:
- Sinh viên 1: Vũ Trịnh Khang MSSV: 16520574 Khóa 11
- Sinh viên 2: Nguyễn Thi Minh Hai MSSV:16520331 Khóa 11
Người hướng dẫn: ThS Phan Thế Duy
Địa chỉ email, điện thoại liên lạc của người hướng dẫn:
- ĐỊa chỉ email: duypt@uit.edu.vn
4 Tong quan tình hình NC
SDN (Software-defined networking) hay mạng cấu hình bằng phần mềm là một
hướng tiếp cận mới của kiến trúc mạng hiện đại, nhận được nhiều sự quan tâm
trong những năm gần đây SDN ra đời nhằm đơn giản hóa công việc quản lý mạng
băng cách phân tach data plane (luồng dữ liệu) va control plane (luồng điều khiển)
SDN Controller là trung tâm điều khiển của toàn mạng, được tập trung hóa theo
Trang 10kiểu luận lý để xử lý các yêu cầu từ ứng dụng SDN gửi cho tang chuyên tiếp dữ
liệu và cung cấp cho ứng dụng SDN cái nhìn bao quát toàn mạng (bao gồm các
thong kê, theo dõi su kiện, quan lý thông tin định tuyến, ảo hóa mạng và theo dõi
tính di động của máy chủ trong mạng) Bộ điều khiển là cầu nối giữa ứng dụng
SDN ở tang ứng dung và các thiết bị vật lý ở tầng chuyển tiếp dit liệu (switch,
router, ).
Tuy có nhiều triển vọng là giải pháp tối ưu thay thé hệ thống mang truyền thống
trong tương lai, bộ điều khién SDN vẫn còn tồn tại những van đề khiến người ding
cá nhân và các dự án lớn của các công ty, tập đoàn phải cân nhắc khi triển khai sửdụng trong thực tế, cụ thể là vẫn đề bảo mật về hệ thống mạng và phân tích nguyênnhân sự cô trên bộ điều khiển SDN Với đặc tính tách biệt giữa lớp điều khiến vàlớp dữ liệu khiến thao tác pháp chứng cũng như ở hệ thống mạng truyền thống chỉxét trên mạng và các máy chủ sẽ không còn khả thi và cũng hết sức phức tạp và cóthé tạo thêm rủi ro bảo mật khác do tính quản lí tập trung trên bộ điều khiển SDN.Đồng thời, đối với các trường hợp sử dung đa bộ điều khién và hàng loạt ứng dụng,thiết bị sẽ khiến công cuộc tìm kiếm nguyên nhân sốc kích hoạt sự cố hàng loạthoặc xác định ứng dụng nào đang khai thác lỗ hông và gây ảnh hưởng đến flowcủa hệ thống hết sức khó khăn
Đề giải quyết những thiếu sót của các biện pháp phòng thủ trong mạng SDN, phòngthủ di chuyển mục tiêu (MTD) nổi lên như một phương pháp cung cấp khả năng
phòng thủ chủ động động trước những kẻ thù tiềm ân Mục tiêu của MTD là di
chuyên giữa nhiều cấu hình trong hệ thống mang (chang hạn như mở công mạng,cấu hình mạng, phần mềm, vv) do đó làm tăng sự không chắc chắn cho kẻ tấncông; trên thực tế, làm giảm lợi thể của kẻ tấn công vốn có đã chống lại được các
cơ chế phòng thủ truyền thống Khía cạnh động của MTD là làm tăng độ phức tạptrong việc thực hiện các biện pháp phòng thủ MTD được kết hợp với những tiến
bộ về công nghệ mạng dé giải quyết van đề an toàn, bảo mật trong hệ thống mạng
Đầu tiên, chức năng ảo hoá (NFV) đã xuất hiện như một công nghệ dé cung cấptriển khai ảo hoá thiết bi dựa trên phần cứng như tường lửa, bộ định tuyến, thông
Trang 11qua máy ảo (VM) hoặc các vùng chứa chạy trên đầu của một máy chủ vật lý trongmôi trường điện toán đám mây, MTD thường cần nhiều phần cứng hơn phần mềmthông thường, do đó hệ thống ảo hoa giúp giảm chi phí thực hiện Thứ hai, mạngxác định bằng phần mềm (SDN) đóng vai trò như một công nghệ hỗ trợ NFV, cung
cấp một người thực thi chính sách bảo mật tập trung, có thể lập trình giao diện cho
SDN cung cấp có thể giúp quản trị viên triển khai các chiến lược di chuyền tối ưucho MTD Hơn nữa, cho phép việc triển khai MTD trên quy mô lớn sẽ giúp đánhgiá hiệu quả của các biện pháp phòng thủ này trong môi trường thực tế
s* Tình hình nghiên cứu
Trong tình hình cấp thiết về sự bảo mật của một hệ thong mang SDN, cting nhunhững tinh năng ưu việt của phương thức MTD có thé mang lai dé đáp ứng đượcnhững yêu cầu của một hệ thống mạng Trong những năm qua, đã có rất nhiềunghiên cứu về phương thức MTD và ứng dụng của MTD vào mô hình mạng SDN
Cai và cộng sự đã tiến hành một cuộc nghiên cứu về MTD bằng cách mô tả cácphương pháp tiếp cận, chiến lược dựa trên các đặc điểm chính và phương phápđánh giá được sử dụng trong các phương pháp tiếp cận MTD hiện có Các tác giả
đã cung cấp một mô hình chức năng và phân loại các kỹ thuật MTD một cách có
hệ thống về ba lớp triển khai bao gồm phần mềm, nền tảng đang chạy và mạng
vật lý; chức năng và mô hình chuyên động: và MTD, các chiến lước và đánh giágiá của nó Mặc dù, phần loại này bao quát được phương thức MTD, nhưng nó đã
bỏ lỡ các góc nhìn khác của MTD chang hạn như các phương pháp thử nghiệm,
sự kết hợp của các kỹ thuật MTD, các kiểu tấn công và những hạn chế của nó
Lei và cộng sự đã xuất bản một bài khảo sát kỹ thuật MTD Mặc dù các tác giả đãtiễn hành khảo sát rộng rãi các kỹ thuật MTD hiện có về tạo chiến lược, thực hiện
xáo trộn và đánh giá hiệu suất, công việc này đã bỏ sót nhiều đơn vị phân loại
MTD để phân loại và hiểu các kỹ thuật MTD hiện có Công việc này cũng đãkhông khảo sát phân tích chuyên sâu về kỹ thuật MTD dựa trên các chỉ số bảomật chính được sử dụng dé đánh giá các phương thức tiếp cận MTD hiện đại nhất
Trang 12Phân loại MTD dựa trên nhiều tiêu chí chăng hạn như cơ sở ký thuyết (ví dụ: lý
thuyết trò chơi, máy học, thuật toán), các kỹ thuật (ví dụ: chuyển đổi hoặc xáo
trộn cau hình hệ thống) và mục đích của MTD hiện có các phương pháp tiếp cận,thiếu quan điểm nhất quán đề phân loại và phân tích các công trình MTD hiện có
Gần đây, Sengupta và cộng sự đã tiễn hành nghiên cứu phân loại MTD dựa trên
các công cụ, kỹ thuật và chiến lược Các tác giả đã phân loại MTD tiếp cận theocách có cấu trúc và giới thiệu các phân loại MTD dựa trên phương pháp chínhthức về kỹ thuật sau: thiết kế các chuyên động chính, thực hiện MTD và đánh giá
hiệu qua MTD (vi dụ: định tính và số liệu đo lường) Tuy nhiên, một số khía cạnh
quan trọng của các lớp thực hiện và sự kết hop của các kỹ thuật MTD đã bi thiếu
trong phan loại của họ
5 Tinh khoa học và tính mới của dé tài
Bên cạnh những lợi ích và điểm mạnh mà mạng SDN cũng như phương thức MTDmang lại thì còn một số vấn đề bất cập cần được khai thác và cải thiện Đặc biệt
là van đề các file log và khai thác chúng dé phục vụ cho mục đích pháp chứng kỹthuật số
Đề tài hướng đến xây dựng một cơ chế phòng thủ chủ động trong môi trườngmạng SDN, nghiên cứu và thu thập dữ liệu từ các cuộc tân công, ứng dụng cáccông cụ điều tra tội phạm số (forensic) dé cải thiện phương thức phòng thủ cho
mô hình Ghi nhận các hành vi tan công từ các đối tượng, khai thác và đưa ra cảnh
báo cho hệ thống cũng như quản trị viên mạng, giảm thiểu tối đa rủi ro từ các cuộctan công cho hệ thống
Xây dựng mô hình mang SDN trên nền tảng công nghệ Docker, tối ưu hoá tainguyên của hệ thống, linh hoạt trong việc xây dựng một hệ thống gồm nhiều host
và tài nguyên hạn chê.
Giám sát và theo dõi hệ thong bằng ứng dụng mã nguồn mở Zabbix Ghi nhận log
và phát cảnh báo trực tiếp khi hệ thống xảy ra sự cố cho quản trị viên
Trang 13Sử dụng phương thức phòng chống tan công vào hệ thống, bên cạnh đó khai tháccác logs được ghi nhận tại controller bang công cu Network forensic dé thu thapthêm thông tin về các hành vi liên quan đến hệ thống.
6 Mục tiêu, đối tượng và phạm vi
s* Mục tiêu nghiên cứu
e Ghi nhận các sự kiện và hành vi tấn công bằng Zabbix dé xay dung co ché
phòng chống cho hệ thống mang SDN
e Theo dõi, ghi nhận (recording) log sự kiện, hành vi và trạng thái mang SDN
và áp dụng MTD (Moving Target Defense) dé thực hiện phòng chống tan
công vào mạng SDN.
e Xây dựng cơ chế tự phòng chống tan công băng MTD cho hệ thống, phát
cảnh báo và gửi logs cho người quản trị mạng khi có sự cố
s* Đối tượng nghiên cứu
e Mạng SDN
e Phương thức phòng chống tan công MTD
e Ung dụng mã nguồn mở Zabbix
e Công nghệ ao hoa Docker
s* Pham vi nghiên cứu
e Môi trường mạng SDN, dưới sự giám sát của Zabbix, thực hiện các tác vụ
cảnh báo, ghi logs, theo dõi hệ thống Sử dụng MTD làm phương thứcphòng chống tan công
e Sử dụng các công cụ Network forensic dé điều tra hành vi liên quan đến
môi trường mạng Là chìa khóa dé khai thác những hành vi của ké tan công,
giúp truy tìm mục tiêu.
7 Nội dung, phương pháp
Trang 14Nội dung 1: Tìm hiểu cấu trúc, nguyên tắc hoạt động của mạng SDN
Muc tiêu: Nam được kiến trúc, nguyên tắc hoạt động và triển khai được
hệ thong mạng SDN với docker container, openvswitch, controller Ryu.Phương pháp: Nghiên cứu tài liệu hướng dẫn va thực hiện triển khaidocker và bộ điều khiển Ryu
Nội dung 2: Tìm hiểu nguyên tắc hoạt động, khái niệm, vai trò của phương
thức
phòng thủ MTD.
Mục tiêu: Năm bắt được nguyên tắc hoạt động của MTD, ứng dụng củaMTD trong môi trường mang SDN Ngoài ra, đưa ra phương pháp triểnkhai kỹ thuật MTD dé tận tối đa điểm mang của kỹ thuật này
Phương pháp: Nghiên cứu tài tiệu về cơ chế hoạt động của kỹ thuật
MTD, các bài báo và nghiên cứu đã thực hiện trước đó Tham khảo các
mô hình triên khai có hiệu quả cao đê phân tích và cải thiện.
Nội dung 3: Xây dựng mô hình mạng SDN ứng dụng kỹ thuật MTD, phân
tích kết quá thu được
Mục tiêu: Xây dựng hoàn chỉnh mô hình SDN trên nền tảng công nghệDocker, áp dụng phương thức MTD So sánh đưa ra kết quả trước và
sau khi ứng dụng kỹ thuật MTD Ghi logs và phát cảnh báo khi có hành
vi bất thường trong hệ thống Xây dựng được mô hình có khả năng tựphòng thủ, nhằm giảm thiêu tối đa các cuộc tan công vào hệ thống
Phương pháp: Tham khảo và áp dụng các kỹ thuật của MTD, sử dụng
các khảo sát và kết quả từ nhiều mô hình trước dé cải thiện và ứng dụngcho mô hình Dua ra nhiều so sánh về hiệu quả và hiệu suất mà MTD
mạng lại cho môi trường mạng SDN.
Trang 158 Kế hoạch bố trí thời gian nghiên cứu
10/09/2020 | Gặp giảng viên, khởi động đề tài
Giai đoạn | 11/09/2020- | Xây dựng đề cương và lập kế hoạch thực hiện
2 17/09/2020
Giai đoạn | 18/09/2020- | - Tìm hiểu khái niệm và cơ chế hoạt động trong
1/10/2020 | mang SDN Tìm hiểu về Docker cài đặt trên hệ
điều hành Redhat, Debian, Linux
- Tìm hiêu vê cơ chê va cách cài đặt controller
Ryu, Floodlight, Opendaylight, OpenvSwitch
phát cảnh báo về tình trạng các thành phần trong
mạng SDN.
- Tìm hiểu MTD (Moving Target Defense) cơ
chế hoạt động và cách cài đặt vào mạng SDN
Trang 16Giai đoạn | 2/11/2020- Cài đặt Zabbix và MTD vào mang SDN.
6 16/11/2020
7 -1/12/2020 | dõi log thu thập từ Zabbix.
Hoàn thiện mô hình Việt báo cáo
Giai đoạn |2/12/2020- | Hoàn thiện báo cáo, luyện tập báo cáo trước hội
Trang 17Churong 1 GiGi thigu oo aa 3
LD an - T a ỐỐ 3
1.2 Đối tượng nghiên cứu -¿- 2-2 £+EE+EE+EE£EEE2EESEEEEE2E127171 71.1 EEtreeg 3
1.3 Phương pháp nghiên CỨU - -.- 5 5 + +19 nh nh nh ng tt nưệt 3
1.4 Cấu trúc khoá luận -::+22++t22Ex+tt2EExvtttrrtrtttrtrtrtrrrrrtrrrrrrrriee 4Chương 2 Kiến thức nền tảng -¿- 2-2 2 £+E+E#EE#EESEEEEEEEEEEEEEEEEEEEEEEErkrrrrei 5
2.1 SDN và giao thức OpenIFÏOW - sách ngư 5
"1m" 5Õ 5
2.1.2 Kiến trúc mạng SDN -c -c tk E2 2121111111112 xe 7
2.1.3 Ưu và nhược điểm của SDN - -:-kSt+ESEk+EEESEEEEEEEsEerkerrkererkrree 9
2.1.5 Quy trình hoạt động của OpenIFÌOW - «xxx seseeeseesesseeske 12
2.2 BG didu khién RYU ng guaOO ,Ỏ 15
2.3 Công vụ ảo hoá Docker Container - <5 ‡*+E++se+veeeeeeeseesss 17
"2e 20
2.5.1 Tống quan Z⁄abbix :- 2 £+S£+E+E£EEEEEEEEEEEEE12117121 71212 re 20
2.5.3 Kiến trúc của ZabbiX cccccrcrtitrrrrirrrrtriirrrrrirrrrrrrree 23
"" `." e :.45 25
2.6.2 Nguyên tắc chính của MTTD -¿- ¿©c k+Ek+ESE2E2E2EEEEEEerkerkrree 26
2.6.3 Lợi ích của MTTD Sàn TH HT HH Hiệp 27
Trang 184.1 Mô hình triển khai +:+25+++t22+xvtEEkxrttErttrtttrtrrrrttrrrrtrrrrrrreg 48
4.2 Cài đặt môi trường -c- + n St St kg TH TH HH HH Hi rệt 50
4.3.1 Phan tích nguyên tắc tan công DDOS cscesscsssessessessesssessessesseessesseeses 60
4.3.2 Phương thức va kỹ thuật cua MTD trong mô hình - 60
4.4 Các kịch bản thực hiện tan 20007177 65
4.4.1 Tấn công SYN flooding -¿- 2 + seSkeEk+EE2EE2EE2EEEEEEerkerkerkerkee 654.4.2 Thực hiện Scan port bằng Nmap -22- 2 s+E+£EzEzEerxerxeee 67
Trang 194.4.3 Thực hiện Scan SDN bằng SDN Recon - - << se 734.4.4 Thực hiện triển khai thêm hosts dé mở rộng mạng - 764.5 Đánh giá kết quả các cuộc tan công và khả năng mở rộng - S1
4.5.1 Đánh giá hiệu quả của phương thức MTD với chiến lược 814.5.2 Đánh giá hiệu năng của phương thức MTD với chiến lược 82
4.5.3 Phân tích kết quả các cuộc tấn công khi có Snort và không có Snort 83
4.5.4 Đánh giá về khả năng mở rộng và triển khai quy mô lớn hơn 86Chương 5 Kết luận và hướng phát triỂn - 2 5¿+++2z++£+++zx++zxrsrxeee 88
5.1 Kết luận cccEhnHHHHHHHH HH 885.2 Hướng phát triển ¿-+¿©+++2+++++2E+tEEESEEEExEEEkerkerkrrrrerresree 90TÀI LIEU THAM KHẢO - - c5 EEt SE EEEEESEEEEEEEEEEEEEEEEESEEEESEEErrkrkerrrkrkrxee 91
Trang 20Danh mục hình vẽ
Hình 2.1: Kiến trúc điều khiển của mạng truyền thống và mang SDN 6Hình 2.2: Các thành phan trong SDN 2-22 +222++2E++EE2EE2EEerkeerkeerkrrrree 7Hình 2.3: Mô hình kiến trúc mang SDN tập trung và phân tán - 10Hình 2.4: Tiến trình xử lý của OpenFlow ¿2 + x+S++EE+E++EtzEerkerkerkersrrerree 12
Hình 2.5: Quy trình xử lý gói tin trên một OpenFlow Switch .« s«c<+ 13
Hình 2.6: Tổng quan về bộ điều khiển RYU - 2-2-2 2 2+E££Ee£Ee£xzrxzrszsez l6
Hình 2.8: OpenvSWI(CHh c1 HH HH HH kh 19
Hình 2.9: Kiến trúc của ZabbiX 222cc 23
Hình 2.10: Phân loại MTD theo thời øØ1an - 5 3+ 13+ E+*EESeeEeeerreeeereere 29
Hình 2.11: Mối quan hệ giữa Shuffling, Diversity và Redundancy (SDR) 3lHình 2.12: so sánh các loại tan công/phòng thủ 2-2 2 2 s+x+£x+£szzsse2 31Hình 2.13: Hiệu suất của các phương thức phòng thủ khác nhau - 32Hình 2.14: Cấu trúc Smort sceseccssssseccsssseesessnnecessnnesesssieeceesnneceesnneecessnneseesnnseeessnes 37Hình 3.1: Gói tin từ host 1 đến host 3 ¿2 5¿©5222E+EE+£E2EE+EEerxerxerreerxerkrree 40Hình 3.2: Vòng đời của một IP thực - ảo khi không phát hiện tan công 44Hình 3.3: Kiến trúc RYU và Snort trên một hOSÍ <5 1221 xsssssevs 44Hình 3.4: Vòng đời của IP thực- ảo khi phát hiện tan công - -5: 45Hình 3.5: Thuật toán về vòng đời của IP trong chiến lược IP mutation 46
Hình 3.6: Quy trình IP mufafIOII - G5 1 1E 91H ng ng kh 46
Hình 3.7: Sơ đồ hoạt động của chiến lược IP mutatiOn - - s5 c x+czxez+zxecx2 47
Hình 4.1: Mô hình triển khai - 2-55 SSE£2E2EE2EEEEEEEEEEEEEEEerkerkerrrerkerkrree 48
Hình 4.2: Vai trò của RYU controller trong mô hình -«- «5s <+x+s<+sx+ 50
Hình 4.3: Kiểm tra phiên ban RYU controller cài đặt thành công 50
Hình 4.4: Phiên bản cài đặt của Docker trên cả 2 MAY ¿+5 + ++ss++++exsxx 51
Hình 4.5: Image được dùng dé xây dựng container Zabbix-agent 51
Hình 4.6: 2 container được tạo từ image trên máy Ubuntu 4 - 51
Hình 4.7: Kiểm tra phiên bản OpenvSwitch đã cài 2-25 cccxccxererssee 52
Trang 21Hình 4.8: Nội dung cấu hình của OpenvSwitch 2-2 2 ++xecxerxerxersersxee 52
Hình 4.9: Trang thái hoạt động của Zabbix-server c5 St sssssrsee 53 Hình 4.10: Giao diện web của Zabbix-Serverr c5 5S 23+ vveeezex 53 Hình 4.11: Image chứa ZabbiX-aB€II( - 5 5 +11 HH HH ng ưệp 54
Hình 4.12: Zabbix-agent ở trạng thái hoạt động ¿+55 +Scs++sssessersserree 54
Hình 4.13: Container Zabbix-agent trỏ về địa chi IP của Zabbix-serVer 54Hình 4.14: Cấu hình thành công w.ccceccscscsscssessesseseseseesessessessessssscsscsssssessessessessease 55
Hinh 4.15: Make thanh CONG cee 55
Hinh 4.16: Cai 00 0iiìii0xoi 1n e 55
Hình 4.18: Kiểm tra Snort đã được cài thành công - 2-2 ++2sz+z+cx+rxzez 56
Hình 4.19: Lớp mạng của các host được bảo VỆ - - + sirseereerrrrree 58
Hình 4.20: Các tệp chứa cấu hình các rule của SnOrt 2 25c + s+zs+zs2 s2 58
Hình 4.21: Tép chứa rule được áp dụng - - 6 + +3 1xx 9g re, 58
Hình 4.22: Cấu trúc MTD thực hiện chiến lược IP Mutation -.-: -: 62Hình 4.23: Bắt đầu chạy chương trình và cấp phát IP -¿2s s+zxz=sz 63Hình 4.24: Zabbix giám sát các host hoạt động ồn định :- + +s+x+zsxezesrsrsces 63Hình 4.25: Snort chạy song song dé phát hiện tan công 5s s2 s2 64
Hình 4.26: Ping thành công các host với IP ảO - «55s + + +ssesseeeeseeeesers 64
Hình 4.27: Chiến lược MTD theo thời gian c.ccccccsscsssessessesssessessessessesseesesssseseeseess 66
Hinh 4.28: M6 hinh kich ban 1 0 66
Hình 4.29: Khi phát hiện tan công va update lại resOurCes -2- 2 s52 67
Hình 4.30: Dia chi IP ảo M01 - G5 2 3132221112231 19911119911 ng ng ngư 67
Hình 4.31: Mô hình 3 kiểu Scan bằng Nmap của kịch bản 2 -5-5¿ 68Hình 4.32: Kết quả quá trình scan - 2 2 + +E+EE£EE£EE+EE£EE+EZEEEEerEerkerkrrkrree 69Hình 4.33: IP ảo cấp phát được giám sát ôn định 2 + s+sz+zs+zx+zxzsz 69Hình 4.34: Địa chi IP ảo cũ được cấp giám sát ¿ 2¿- 5c ©2++2xzczxrsrxerxecree 70
Hình 4.35: Cấp phát lại IP ảo mới 2 2 ®+E+EE+EE+EE£EE+2EESEESEEEEEErEkrrkerkrrer 70Hình 4.36: Kết quả của quá trình scan -¿- 2-52 2 E+EE+EE2EE2EEEEEeEEerEkrrkerkrrex 71
Trang 22Ip ảo mới được giám sát ôn định -¿- 2 2 2+ ++E£+xezxerxerxrrssrxee 71
Cấp phát IP ảo mới 2- 2 2 + £+E£+E£EE£EEEEESEEEEEEEEEEEEEEEEEEEErkrrkrrkee 72Kết quả của quá trình Scan -¿- 22 +¿22++2E++Ex+2Exrzrxerxeerxesrxee 72
IP ảo mới được giám sát Ôn định - 2: 5+2 z+zx+zxezEzrsrxerxeres 72
Giao diện ứng dung SDN TecON - 5 S5 SE ESEEseeeeseeereere 74
Thực hiện quét các host bằng SDN recon - 555cc ccccesss 74
Scan port bang ứng dụng SDN recon -2 ¿s¿©2s+cs++cx++cxez 75
Alert từ Snort gửi vào MTD 0 eee eeecceeneceseeceneeceneceeeeceeecsaeeesaeeeneeesaes 75
MTD thực hiện cấp lại địa chỉ IP ảo - 2 252+secx+zxecsvrssreee 75Status của các host với IP ảo được cấp - se z+sezxerxerxersereee 75Giám sát ôn định 6 hOSfS - 2-52 St SE£E‡EEEEEEEEEEEEEEEEEErEeErrkrkerereree 76Thông số CPU của controller và Zabbix server vẫn ồn định 76
Các gói tin Incoming và Outcoming făng - s5 +++ss+s+s++ss+ 77
Sự không ổn định ban đầu của host 4 o cceccscescessesseeseesessessesseesesseeseess 77
Sự bat ồn định ở host 8 ¿5c 22cccEktrttEkrtttrrrrrrrirrrrireriiee 78Giám sát ồn định tat cả 8 hosts cccc-ccccccrkrrrtrkrrrrrrrrrrrrree 78trang thái ôn định của các host khi tăng lên 2 hosts - 78Các gói tin tăng lên ở công sdn_br0 ¿- 5¿©2++2++zx++zxczzxees 79Các gói tin tăng lên rõ rệt ở CONG ØTe _$YS - 2 ¿5c ccccscsvzssceee 79Việc giám sát IP sau đó vẫn ôn định - - ¿tk +keEvErxekerrxexerrrs 80
Zabbix cảnh báo Red status của các hOSt + ssssesseree 83
Thông số CPU Jump ở Controller trong lúc bị tấn công - 83Thông số CPU Jump sau khi bị tấn công -2¿ ©5252 +2 84
Thông số CPU Jump của Controller được phục hồi nhờ Snort 85Thông số CPU load của ControlÏer 2- 2 52 £+x+£x+zE£+E++£x+rxezez 85
Network Traffic đột ngột tăng mạnh rồi trở về trạng thái ôn định 85
Trang 23Danh mục bảng
Bang 2.1: Header của bang Entry được sử dụng trong
OpenFÌow -Bảng 2.2: Các bộ điều khiển hỗ trợ OpenFlow
Bang 4.1: Bảng đánh giá hiệu quả của MTD
Bang 4.2: Bảng đánh giá hiệu nang MTD
Trang 24Simple Network Management Protocol Virtual Local Area Networks
Virtual machine
Trang 25Tóm tắt khoá luận
SDN (Software-defined networking) hay mạng cấu hình bằng phần mềm là mộthướng tiếp cận mới của kiến trúc mạng hiện đại, nhận được sự quan tâm to lớn trongnhững năm gần đây SDN ra đời nhằm đơn giản hóa công việc quản lý mạng bằng
cách phân tách data plane (luồng đữ liệu) và control plane (luồng điều khiển) SDN
Controller là trung tâm điều khiển của toàn mạng, được tập trung hóa theo kiểu luận
lý dé xử lý các yêu cầu từ ứng dụng SDN gửi cho tang chuyên tiếp dit liệu và cungcấp cho ứng dụng SDN cái nhìn bao quát toàn mạng (bao gồm các thống kê, theo dõi
sự kiện, quản lý thông tin định tuyến, ảo hóa mạng và theo dõi tính di động của máychủ trong mạng) Bộ điều khién là cầu nối giữa ứng dụng SDN ở tang ứng dụng và
các thiết bị vật lý ở tầng chuyên tiếp dit liệu (switch, router, )
Tuy có nhiều triển vọng là giải pháp tối ưu thay thế hệ thống mạng truyền thống trong
tương lai, bộ điều khiển SDN vẫn còn tồn tại những van đề khiến người dùng cá nhân
và các dự án lớn của các công ty, tập đoàn phải cân nhắc khi triển khai sử dụng trongthực tế, cụ thể là vấn đề bảo mật về hệ thống mạng và phân tích nguyên nhân sự cốtrên bộ điều khién SDN Với đặc tinh tách biệt giữa lớp điều khiển và lớp dit liệu
khiến thao tác pháp chứng cũng như ở hệ thống mạng truyền thống chỉ xét trên mang
và các máy chủ sẽ không còn khả thi và cũng hết sức phức tạp và có thé tạo thêm rủi
ro bảo mật khác do tính quản lí tập trung trên bộ điều khiển SDN Đồng thời, đối với
các trường hop sử dụng đa bộ điều khiến và hàng loạt ứng dụng, thiết bị sẽ khiếncông cuộc tìm kiếm nguyên nhân gốc kích hoạt sự có hàng loạt hoặc xác định ứngdụng nào đang khai thác lỗ hồng và gây ảnh hưởng đến flow của hệ thống là hết sức
khó khăn
Mục tiêu trong khoá luận là nghiên cứu cơ chế hoạt động của mô hình mạng SDN,kèm theo thực hiện kịch bản các cuộc tấn công đến mô hình, áp dụng kỹ thuật phòngchống tấn công MTD, đưa ra hiệu quả mà kỹ thuật này mạng lại Đề đạt được mục
tiêu nay, khoá luận tan dụng kha năng quan lý tập trung và góc nhìn bao quát mang
của bộ điều khiển trong SDN Cụ thé, dé tài sẽ tập trung nghiên cứu những rủi ro khi
Trang 26ứng dụng SDN vào mô hình mạng thực tế, tích hợp ứng dụng mã nguồn mở Zabbix
dé phát hiện, ghi nhận và phân tích log dé xác định nguồn gốc các cuộc tan công Từ
đó, sử dụng phương thức phòng thủ MTD dé giảm thiểu tối đa các cuộc tan công, xây
dựng được cơ chế tự phòng thủ cho mô hình Phát cảnh báo cho hệ thống và quản trị
viên khi có sự cô xảy ra.
Trang 27Chương 1 Giới thiệu
1.1 Mục tiêu
Theo dõi, ghi nhận (recording) log sự kiện, hành vi và trạng thái mang SDN và ap
dụng MTD (Moving Target Defense) để thực hiện phòng chống tấn công vào mạng
SDN.
Xây dựng cơ chế tự phòng chống tấn công bằng MTD cho hệ thống, phát cảnh báo
và gửi logs cho người quan trị mạng khi có sự cô.
1.2 Đối tượng nghiên cứu
Môi trường mang SDN, dưới sự giám sat của Zabbix, thực hiện các tác vụ cảnh bao,
ghi logs, theo dõi hệ thông Sử dung MTD làm phương thức phòng chống tan công
Sử dụng các công cụ Network forensic dé điều tra hành vi liên quan đến môi trườngmạng Là chìa khóa dé khai thác những hành vi của kẻ tan công, giúp truy tìm mục
tiêu.
1.3 Phương pháp nghiên cứu
e_ Đọc các bai báo, tham khảo nguồn tài liệu từ giáo viên hướng dẫn
e Nghiên cứu thành phần, kiến trúc, cơ chế hoạt động, cài đặt mô hình mạng
SDN.
e Nghiên cứu, sử dụng MTD (Moving Target Defense) áp dụng vào mang SDN
để làm phương thức phòng chống tấn công vào hệ thống, bên cạnh đó khai
thác các logs được ghi nhận tai controller bằng các công cu Network forensic
để thu thập thêm thông tin về các hành vi liên quan đến hệ thống
Trang 28e Tìm hiểu, tận dụng các tính năng Zabbix cai đặt trên hệ điều hành Linux.
e_ Triển khai thực hiện và đánh giá mô hình trên nhiều phương diện: mức độ bảo
mật, khả năng phòng chống, độ linh hoạt phát cảnh cáo cho hệ thống
1.4 Câu trúc khoá luận
Khoá luận được trình bày với câu trúc như sau:
e Chương 1 Giới thiệu tổng quan về dé tài nghiên cứu, mục đích nghiên cứu,
phạm vi nghiên cứu và phương pháp nghiên cứu.
e_ Chương 2 Kiến thức nền tang
e Chương 3 Y tưởng và nguyên tắc hoạt động
© Chương 4 Triển khai, thực nghiệm và đánh giá
e Chương 5 Kết luận và hướng phát triển
Trang 29Chương 2 Kiến thức nền tảng
2.1 SDN và giao thức OpenFlow
Với logic điều khiển phi tập trung, rất khó quản lý và phát triển của mạng truyềnthống Mang SDN (Software Define Networking) hay mạng điều khiển bang phan
mềm là một phương pháp tiếp cận mới, tách đôi thành phan điều khiến (Control
Plane) và thành phan dit liệu (Data Plane) dé đạt được kiến trúc điều khiến tập trunglogic cho phép lập trình dé cấu hình mạng
Một hệ thống mạng bao gồm nhiều thực thé (thiết bị định tuyến, thiết bị chuyển mạch,
các đường kết nối, các máy chủ cuối ) có thê được quản lý và lập trình riêng vớicác logic chuyên tiếp khác nhau Tuy nhiên việc quản lý riêng lẻ từng thực thể nàytrong một hệ thống mạng lớn làm tăng mức độ quản lý cho toàn bộ mạng, từ đó là
tăng chi phí duy trì và bảo trì mạng Giao thức quản lý mạng đơn giản (Simple
Network Management Protocol - SNMP) ra đời vào năm 1988 đã giải quyết các van
dé kế trên bằng cách cung cấp kha năng giám sát và cau hình từ xa cho các thực thé
trong mạng Tuy nhiên, SNMP không phù hợp với các mạng có tính linh hoạt cao,
các tập lệnh của SNMP rất tốn kém và dé lỗi trong việc duy trì vi nó thiếu khả nănglập trình cho các API Thế hệ quản lý mạng tiếp theo được thê hiện băng các kiến trúchướng mô hình hoạt động với các hệ thống quy mô động như đám mây và trung tâm
dữ liệu Các kiến trúc này cung cấp API và mô hình để mô tả không chỉ các yếu tố
mạng mà còn cả các chính sách, dịch vụ và giao dịch trong mạng Một sỐ giao thứcmới này đang nhanh chóng trở nên phô biến, bao gồm RESTCONF, NETCONF và
Trang 30mach, control plane tập trung ở lớp điều khiển Data plane chịu trách nhiệm chuyên
tiếp dữ liệu theo hướng dẫn của Controller Việc tách biệt hai thành phan này cho
phép SDN lập trình điều khiển mạng và quản lý tập trung tại thành phần điều khiển.Đây là khác biệt lớp nhất giữa kiến trúc mạng SDN và mạng IP truyền thống, nơi mà
việc điều khiển mạng và chuyền tiếp dữ liệu cùng do một thiết bị thực hiện
Traditional network architecture SDN network architecture
we forward layer
Hình 2.1: Kiến trúc điều khiển cua mang truyền thốnơg và mang SDN
Trong SDN, việc tập trung điều khiển tại mặt phăng điều khiến là bộ điều khiển đãtạo ra một điểm chịu lỗi duy nhất tại đây Mặc khác, việc có một bộ điều khiển duy
nhât cũng làm giảm khả năng mở rộng của mạng.
Trang 312.1.2 Kiến trúc mạng SDN
silent xa Application layer
SDN application SDN application > Application plane
SDN northbound interfaces (NBIs)
A-CPI: Application-controller plane interface
Control layer
SDN controller ent ating plane
D-CPI: Data-controller plane interface
——————SDN southbound interface——————
ee E=1 Infrastructure layer
điều khiển cho các mục đích ra quyết định Các ứng dung này có thé bao gồm quan
lý mang, phân tích hoặc ứng dụng kinh doanh được sử dụng dé chạy các trung tâm
dữ liệu lớn Ví dụ: một ứng dụng phân tích có thể được xây dựng dé nhận ra hoạt
động mạng đáng ngờ cho mục đích bảo mật, tường lửa,
Lớp điều khiến
SDN controller quan lý điều khiến luồng dé cải thiện hiệu suất quản lý và ứng dụngmạng Nền tảng bộ điều khiển SDN thường chạy trên máy chủ và sử dụng các giaothức dé báo cho các switch biết địa chỉ gửi gói tin Cho phép chuyền tiếp các quyếtđịnh về lưu lượng thông qua SDN domain thay vì phải qua từng hop
Trang 32Bộ điều khiển SDN lưu lượng truy cập trực tiếp theo các chính sách chuyền tiếp mànhà điều hành mạng đặt, do đó giảm thiểu cấu hình thủ công cho các thiết bị mạngriêng lẻ Băng cách loại bỏ control plane khỏi phần cứng mạng và thay vào đó là phầnmềm, bộ điều khién tập trung tạo điều kiện quản lý mạng tự động và giúp tích hợp và
quản lý các ứng dụng dễ dàng hơn Nó cũng cung cấp các giao diện chương trình ứng
dụng (API) cho các nhà phát triển bên thứ ba đề tùy chỉnh tích hợp các ứng dụng.Trong thực tế, bộ điều khiển SDN hoạt động như một loại hệ điều hành cho mạng
Moi giao tiếp với các ứng dụng và thiết bị mạng phải thông qua thông qua các giaodiện phía bắc (North Bound Interface) của bộ điều khiển gồm tường lửa, bộ cân băngtải, hệ thống phát hiện xâm nhập (IDS), routing
Bộ điều khién giao tiếp với tat cả các thiết bi mang bang giao diện hướng nam (SouthBound Interface) Các giao thức hướng nam này cho phép bộ điều khiến cấu hình cácthiết bi mang và chọn đường dẫn mạng tối ưu cho lưu lượng ứng dụng
Lớp hạ tầng cơ sở
Bao gồm tập hợp của các thiết bi phần cứng mạng như switches, router, những
thiết bị này có khả năng xử lý hoặc chuyên tiếp lưu lượng thông tin trong mạng Lớpnày cung cấp việc truy cập có khả năng lập trình mở thông qua OpenFlow, một giaothức mạng giúp tự động cấu hình phần cứng Lớp hạ tang cơ sở giúp đơn giản hóaviệc câu hình mạng cho quản trị viên, mang đến một giao diện linh hoạt và khả năng
- Sir dụng OpenFlow làm giao thức giao tiếp chính, các APIs tại đây hỗ trợ
người dùng cuối có thêm quyền quản lí toàn bộ hệ thống mạng và tăng tính
Trang 33hiệu quả trên bộ điều khiển phục vụ cho như cầu thực tế Ngoài ra, tại đây
cũng có sử dụng các giao thức khác như SNMP, ONOS, PCEP, NETCONF
hoặc thông qua một cơ chế riêng biệt
e_ Northbound API: Giao tiếp giữa bộ điều khiển và lớp ứng dụng (thiết bị cấp
cao)
- _ Chưa có chuẩn giao tiếp chính thức được sử dung bởi lớp ứng dụng dé
giao tiếp với bộ điều khiển, nếu không có API tại đây, sẽ gây rất nhiều khókhăn khi kết nối phải được tạo trực tiếp từ phía lớp ứng dụng gây cản trởcho phát triển và mở rộng Các ngôn ngữ được thực thi tại đây có thé kêđến như Java, Python và Ruby Các API tại đây được áp dụng cho nhiềulĩnh vực khác nhau bao gồm các lĩnh vực phi lợi nhuận, viện giáo dục, công
ty công nghệ thông tin và nhiều lĩnh vực khác
Từ đó có thê nhận thấy, với Northbound API sẽ hỗ trợ trực tiếp phát triểngiải pháp quản lí tự động hoá và hoà hợp giữa trạng thái mạng và phần
cứng và phần mềm ứng dụng trên hệ thống Trong khi đó, Southbound API
sẽ là đảm nhận vai trò vai trò cung cấp các giao thức ảo hóa mạng, tươngtác với cu trúc switch hoặc tích hợp mạng máy tính phân tán
2.1.3 Ưu và nhược điểm của SDN
2.1.3.1 Ưu điểm
Với tính năng phân tách bộ điều khiển và thành phần chuyền tiếp dữ liệu cung cấpkhả năng điều khiển mạng vượt trội thông qua việc hỗ trợ cho lập trình, giúp tạo racác ứng dụng mới hỗ trợ việc vận hành mạng hiệu quả, phù hợp với đặc điểm và mụcđích của từng hệ thống mạng Khả năng tập trung hóa sẽ giúp thiết lập các cấu hìnhmạng một cách tự động và đồng bộ nhanh chóng hơn
Trong hệ thống mạng truyền thống do không có sự đồng bộ, đồng nhất giữa các nhàcung cấp thiết bị khiến thao tác cầu hình mạng hết sức khó khăn, phức tap và có thégây ra các xung đột làm ảnh hưởng nghiêm trọng đến hệ thống trong quá trình hoạt
động Kiến trúc SDN được tin tưởng là một giải pháp giúp hỗ trợ xử lí các vấn đề
Trang 34trên khi được giới thiệu lần đầu tiên Khi được cấu hình, toàn bộ kiến trúc SDN cóthé được lập trình và tối ưu hoá tự động dựa trên cấu trúc mạng hiện thời Bộ điềukhiển (control plane) sẽ hỗ trợ thống nhất các thiết bị mạng được quản lí gồm: switch,router, tường lửa và thiết bi cân bằng tải cho phép toàn bộ hệ thống được cấu hình từmột điểm hoàn toàn tự động và đồng nhất.
2.1.3.2 Nhược điểm
Là thành phan quan trong với chức năng điều khiến và quản lí toàn bộ hệ thống mang,
bộ điều khiển cũng là điểm yếu lớn nhất trong kiến trúc SDN Do tính chất phân tánlàm giảm thiểu khả năng mở rộng mạng Thêm vào đó, lỗi thắt nút cô chai khi lưu
lượng trao đổi giữa các thiết bi mạng trong quá trình tương tác với nhau thông qua
bộ điều khiển Với khả năng sử dụng loại kiến trúc tập trung và kiểu kiến trúc phântán cũng đồng thời đem đến các tính năng và giới hạn nhất định ở mỗi kiểu Trong
mô hình kiến trúc phân tán, các bộ điều khiển sẽ hoạt động đồng thời và sẽ đảm nhiệmđiều khiển một phần mạng tương ứng được chỉ định trước đó Đối với kiểu còn lại,
mô hình kiến trúc tập trung, sẽ có một bộ điều khiến chính thực hiện các chức năng,
hoạt động chính và bộ điều khiển dự phòng hoạt động song song, phòng những trườnghợp xảy ra sự cô đối với bộ chính, đây còn được gọi là hệ thống cluster
_&] "SỞ
Controller Signaling
Controller đ
Kiến trúc SDN tập trung Kiến trúc SDN phân tán
Hình 2.3: Mô hình kiến trúc mạng SDN tập trung và phân tán
Ngoài các vấn đề về cấu trúc, bảo mật là yếu tố quan trọng và quyết định tính toànvẹn và hiệu quả của hệ thống mạng Với chức năng là quản trị nắm quyền cao nhất
và điêu khiên toàn bộ các thiệt bị mạng, bộ điêu khiên luôn là mục tiêu đâu tiên và
10
Trang 35cũng là điêm yêu của hệ thông SDN Vôn là nạn nhân của các cuộc tân công và nơi
cho phép các luồng tiến trình độc hại hoạt động và truy cập tại day
Ngoài ra, do là một hệ thống còn rat mới và vẫn đang trong quá trình phát triển, mạng
SDN vẫn còn tồn tai một số bat cập cần được giải quyết trước khi có thé thay thế hoàntoàn được hệ thống mạng truyền thống Các nhà phát trién cần đồng nhất với mộtchuẩn giao tiếp API giữa các thiết bị, ngôn ngữ lập trình cấp cao tiêu chuẩn cho toàn
bộ ứng dung; người dùng cần được cấp quyền kiểm định tính ôn định trong quá trình
vận hành của các thiết bị, tính riêng tư của quản lí tập trung
2.1.4 Openflow
Southbound API tạo điều kiện kiểm soát mạng và cho phép bộ điều khiển SDN tự
động thực hiện các thay đổi theo nhu cầu và nhu cầu thời gian thực OpenFlow, được
phát triển bởi Tổ chức mạng mở (ONF), là southbound API đầu tiên và có lẽ là nổi
tiếng nhất OpenFlow định nghĩa cách bộ điều khiển SDN sẽ tương tác với mặt phẳngchuyền tiếp dé điều chỉnh mang, dé nó có thé thích ứng tốt hơn với việc thay đổi cácyêu cầu nghiệp vu Với OpenFlow, các mục nhập có thé được thêm và xóa vào bảng
lưu lượng nội bộ của các bộ chuyền mạch và bộ định tuyến dé làm cho mang phan
ứng nhanh hơn với nhu cầu lưu lượng thời gian thực
Tổng quan về OpenFlow
OpenFlow là giao thức SDN chuẩn, được sáng lập tại Đại học Stanford vào năm 2008.Open Networking Foundation (thành lập năm 2011) là tổ chức chịu trách nhiệm cậpnhật và phát triển phần mềm này
OpenFlow Switch bao gom một hoặc nhiều Flow Tables và một Group Table, thựchiện việc tra cứu và chuyển tiếp, và một OpenFlow Channel kết nối với controller
bên ngoài thông qua giao thức TLS.
Hoạt động của OpenFlow Switch
Một Openflow switch bao gồm hai thành phần chính:
11
Trang 36Flow table: thành phần chính nhận nhiệm vụ xử lý các gói tin.
Secure channel: kết nối giữa switch và controller (bộ điều khiến), là thành
phần giao tiếp quản lý giữa người quản trị và switch.
2.1.5 Quy trình hoạt động của OpenFlow
Flow table
Hình 2.4: Tiến trình xử lý của OpenFlow
Bước 1: Gói tin từ máy gửi đến switch và không có flow entry tương ứng
Bước 2: Gói tin bi chuyên đên bộ điêu khiên Bộ điêu khién xem xét các gói
tin và quyết định các hành động thích hợp (chuyên tiếp hoặc hủy bỏ), sau đó
tạo ra một flow entry mới.
Bước 3: Flow entry được gửi đến switch cũng trên đường dẫn gửi gói tin
Bước 4 và 5: Gói tin được gửi đến máy nhận
Bước 6,7 và 8: các gói tin bắt đầu được trao đồi trực tiếp giữa hai switch vì
chúng khớp với entry mới trong flow tables.
12
Trang 37Hình 2.5: Quy trình xử lý gói tin trên một OpenFlow Switch
s* Cấu trúc thông số của bảng ghi luồng
Bộ so khớp của flow table có các thông sô sau:
© Công vào switch
e_ Địa chỉ MAC nguồn
Trang 38Sau khi so khớp flow entry, switch có thé thực thi các hành vi tương ứng:
e_ Chuyển tiếp gói tin đến các công đề truyền gói tin qua mạng
e_ Đóng gói và gửi gói tin đến bộ điều khiển: gói tin được gửi qua một kênh
truyền an toàn đến OpenFlow Controller từ xa, thường được áp dụng cho gói
tin đầu tiên để thiết lập đường dẫn
e- Hủy bỏ: hành vi nhằm mục đích bảo mật, giảm lưu lượng giả mạo từ máy chủ
CuÔi.
14
Trang 39Bảng 2.2: Các bộ điều khiển hỗ trợ OpenFlow
x » Các tính
Tên Nên tảng | Tô chức : Trang chủ
năng
OpenFlow NOX/P | C++/Pytho
Stanford Controller http://www.noxrepo.org/
/display/Beacon/Home Web
Rice Hỗ trợ đa http://code.google.com/p/ma
Maestro | Java \
University luông estro-platform/
Trema | Ruby/C Mạng ảo DSL | http://trema.github.io/trema
2.2 Bộ điều khiến Ryu
Ryu Controller là một bộ điều khiển mạng (SDN) mở, được thiết kế dé tăng tính linhhoạt của mạng bang cách dé dàng quản lý và điều chỉnh cách xử lý lưu lượng truy
cập Nói chung, Bộ điều khiển SDN là bộ não của môi trường SDN , truyền thông tin
15
Trang 40xuống các thiết bị chuyên mạch và bộ định tuyến với các API hướng nam, cũng nhưcác ứng dụng và logic nghiệp vụ với các API hướng bắc .
Bộ điều khiển Ryu cung cấp các thành phan phần mềm, với các giao diện chươngtrình ứng dung (API) được xác định rõ ràng, giúp các nhà phát triển dé dang tạo cácứng dung quản lý và điều khiển mang mới Cách tiếp cận thành phan này giúp các tô
chức tùy chỉnh các triển khai dé đáp ứng nhu cau cụ thé của họ; các nhà phát triển cóthé nhanh chóng và dé dang sửa đôi các thành phan hiện có hoặc triển khai của riêng
họ dé đảm bảo mạng bên dưới có thé đáp ứng các nhu cầu thay đôi của ứng dụng của
họ.
OpenStack User
ri F F
operato cloud orchestration | Apps
RESTful REST API User-defined API
managemnen for Quantum via REST or RPC
Ryu SDN frame work
Built-in Apps: tenant isolation, L2 switch
Libraries: OF REST, topology discovery, firewall
OF protocols parser/ Non-OF protocols
serializer parser/serializer i ray)
OF1.0, 1.2, 1.3 netconf, vrrp, netflow, Qe
` —⁄
OF-Config 1.1 packet lib
OpenFlow
OpenFlow switch
Hình 2.6: Tổng quan về bộ điều khiển RY U
Được việt hoàn toàn băng Python, tat cả mã của code của Ryu đêu có săn giây phép
Apache 2.0 và mở cho mọi người sử dụng Bộ điều khiển Ryu hỗ trợ các giao thức
quản ly mang NETCONF và OF-config, cũng như OpenFlow, là một trong những
tiêu chuẩn truyền thông SDN đầu tiên và được triển khai rộng rãi
Quản trị viên công nghệ thông tin viết các ứng dụng cụ thê giao tiếp với bộ điều khiển
Ryu về cách quản lý thiết bị chuyên mạch và bộ định tuyến Bộ điều khiển Ryu cóthé sử dung OpenFlow hoặc các giao thức khác dé tương tác với mặt phang chuyển
16