NGHIÊN cứu TÍCH hợp các GIẢI PHÁP bảo mật CHO hệ THỐNG MẠNG SDN

SỰ CẦN THIẾT CỦA MỘT KIẾN TRÚC MẠNG MỚI Trong một kiến trúc mạng truyền thống data plane và control plane đều cùng nằm trên một thiết bị vật lý chế độ tự trị và mỗi thiết bị độc lập với

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG



BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH

ĐỀ TÀI : NGHIÊN CỨU TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG

SDN

Giảng viên hướng dẫn: TS Đàm Quang Hồng Hải

Sinh viên thực hiện:

 Võ Hoàng Phúc - 12520320

 Trần Trí Khang - 12520189

LỜI CẢM ƠN

Lời đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Khoa “Mạng Máy Tính & Truyền Thông” cũng như trường Đại Học Công Nghệ Thông Tin, TP Hồ Chí Minh đã tạo mọi điều kiện tốt nhất cho chúng em thực hiện đồ án chuyên ngành năm nay

Tiếp theo, chúng em xin gửi lời cảm ơn chân thành và sâu sắc đến Thầy TS Đàm Quang Hồng Hải – người đã tận tình hướng dẫn, quan tâm chỉ bảo chúng em trong suốt thời gian thực hiện đề tài Ngoài ra, không quên cảm ơn quý thầy cô trong khoa đã tận tình giảng dạy, trang

bị cho chúng em những kiến thức quý báu trong những năm học vừa qua

Cuối cùng, chúng em xin gởi lời biết ơn sâu sắc đến cha mẹ, bạn bè đã ủng hộ, giúp đỡ, động viên chúng em trong suốt quá trình học cũng như thời gian làm đồ án

Một lần nữa xin cảm ơn và rất mong nhận được sự đóng góp chân thành của các quý thầy cô, bạn bè và độc giả

MỤC LỤC

LỜI CẢM ƠN 2

MỤC LỤC 3

MỤC LỤC HÌNH ẢNH 5

DANH MỤC TỪ VIẾT TẮT 6

LỜI NÓI ĐẦU 7

CHƯƠNG I : TỔNG QUAN VỀ SDN – Software Defined Networking 8

I SỰ CẦN THIẾT CỦA MỘT KIẾN TRÚC MẠNG MỚI 8

II SDN LÀ GÌ? TẠI SAO LẠI LÀ SDN? 8

III ƯU ĐIỂM CỦA SDN 10

IV KIẾN TRÚC CỦA SDN 11

1 Application layer: 11

2 Control layer: 12

3 Infrastructure layer: 12

V CÁC BƯỚC TRIỂN KHAI SDN 13

1 Bước thứ nhất 13

2 Bước thứ 2 13

3 Bước thứ 3 13

4 Bước thứ 4 14

VI CÁC THÁCH THỨC ĐẶT RA VỚI SDN 14

VII ỨNG DỤNG CỦA SDN 14

1 Phạm vi doanh nghiệp 14

2 Phạm vi các nhà cung cấp hạ tầng và dịch vụ viễn thông 15

VIII TƯƠNG LAI CỦA SDN 15

CHƯƠNG II : OPENFLOW 16

I TỔNG QUAN VỀ OPENFLOW 16

II CÁC ĐẶC TRƯNG CỦA OPENFLOW 16

III CẤU TẠO VÀ HOẠT ĐỘNG CỦA OPENFLOW 17

IV LỢI ÍCH KHI SỬ DỤNG OPENFLOW 19

V OPENFLOW VÀ OPENSTACK 20

1 So sánh OpenFlow và OpenStack 20

2 Các thành phần trong OpenFlow switch 21

CHƯƠNG III : CÁC VẤN ĐỀ BẢO MẬT TRONG SDN 28

I CÁC MỐI NGUY HIỂM BẢO MẬT 28

1 Các kiểu tấn công và mối đe dọa 28

2 Chi tiết về các kiểu tấn công 30

a Spoofing 30

b Repudiatiton 32

c Information Disclosure 33

d Denial of Service 35

e Elevation of Privilege 38

II TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG VÀ CƠ SỞ DỮ LIỆU 39

1 So sánh với việc tích hợp các giải pháp bảo mật cho hệ thống mạng truyền thống 39

2 Tích hợp các giải pháp bảo mật cho hệ thống mạng SDN 42

a Các giải pháp bảo mật tổng thể cho hệ thống mạng SDN 42

b Bảo mật Data Plane 44

c Bảo mật Control Plane : 47

d Bảo mật Application Plane : 64

CHƯƠNG IV : TRIỂN KHAI TRONG MÔI TRƯỜNG ẢO MININET 66

I GIỚI THIỆU VỀ CÁC CÔNG CỤ SỬ DỤNG TRONG DEMO VÀ CẤU HÌNH MÔ PHỎNG MẠNG: 66

1 Công cụ mô phỏng mạng Mininet 66

2 OpenDaylight 74

II CÀI ĐẶT CÔNG CỤ : 74

1 Cài đặt Mininet 74

2 Cài đặt Opendaylight 74

III THỬ NGHIỆM MỘT SỐ TÍNH NĂNG BẢO MẬT 75

1 Triển khai mạng SDN với nhiều controller: 75

2 Tấn công, phòng chống DoS cho mạng SDN 79

IV KẾT QUẢ 85

CHƯƠNG IV : KẾT LUẬN 86

I TÓM TẮT 86

II ĐÁNH GIÁ 88

III KẾT LUẬN 91

IV HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI 92

TÀI LIỆU THAM KHẢO 93

MỤC LỤC HÌNH ẢNH Hình 1 Khó khăn cho người vận hành 8

Hình 2 Controller quản lý tập trung các thiết bị switch thông qua API 9

Hình 3 Quản lý tập trung thông qua controller duy nhất 10

Hình 4 Cấu trúc của SDN – mô hình 1 11

Hình 5 Cấu trúc của SDN - mô hình 2 11

Hình 6 Một ví dụ về Flow Table 17

Hình 7 Các trường trong bảng flow và cách thức hoạt động 18

Hình 8 Cấu trúc của một switch OpenFlow 18

Hình 9 Mô hình Private Cloud trên nền OpenStack và SDN 20

Hình 10 Sơ đồ cơ chế hoạt động của một OpenFlow switch 21

Hình 11 Quá trình xử lý pipeline của OpenFlow 23

Hình 12 Các hành động xử lý đối với một entry trong bảng flow 23

Hình 13 Một mạng OpenFlow 27

Hình 14 Phân phối logical plane trong hệ thống mạng truyền thống 41

Hình 15 Các giải pháp bảo mật chung 43

Hình 16 Sử dụng tường lửa để tăng cường an toàn cho các host trong SDN 47

Hình 17 Bảng mô tả các giải pháp đề xuất 48

Hình 18 Các loại controller 49

Hình 19 Các phiên bản controller hỗ trợ Replication và faul-tolerance trong SDN 51

Hình 20 Tích hợp bảo vệ mạng với Replication và Diversity 52

Hình 21 Sơ đồ tổng quan về kiến trúc của Security-Enhanced-Floodlight và cơ chế xác thực 59

Hình 22 Cơ chế phát hiện và luồng dữ liệu của lớp bảo mật SPHINX 61

Hình 23 Bảo mật lớp Application 64

Hình 24 DenfenseFlow 64

Hình 25 Trang đăng nhập OpenDaylight 75

Hình 26 Mô hình mạng triển khai demo 75

Hình 27 Hiển thị mô hình mạng trong OpenDaylight 77

Hình 28 Kiểm tra kết nối giữa các host 77

Hình 29 Bảng Flow hiển thị Action của h1 và h2 78

Hình 30 Kiểm tra kết nối giữa h1 và h2 78

Hình 31 Flow Table 78

Hình 32 Kiểm tra kết nối giữa h1 và h3 79

Hình 33 Hiển thị mô hình mạng trong OpenDaylight 81

Hình 34 Kiểm tra IP h1 và h8 81

Hình 35 Kiểm tra kết nối giữa các host 81

Hình 36 Bảng Flow Table 82

Hình 37 Công cụ tấn công DDoS 82

Hình 38 Bắt gói tin bằng Wireshark 83

Hình 39 Công cụ System Monitor 84

Hình 40 Công cụ đo băng thông mạng 84

Hình 41 Công cụ đo băng thông mạng 85

Hình 42 Mô hình thiết kế tích hợp bảo mật cho SDN 88

DANH MỤC TỪ VIẾT TẮT

AAA Authentication Authorization and Accounting

ACL Access Control List

API Application Programming Interface

BYOD Bring-Your-Own-Device

DDoS Distributed Denial of Service

DFD Data Flow Diagram

IaaS Infrastructure as a Service

IDS Intrusion Detection System

ONF Open Networking Foundation

SDN Software-Defined Networking

SDO Standard Organisation

SIEM Security Information and Event Management

TCAM Ternary Content-Addressable Memory

TLS Transport Layer Security

LỜI NÓI ĐẦU

Ngày nay mạng máy tính ngày càng phát triển vượt bậc Nhu cầu mở rộng mạng ngày càng tăng, đòi hỏi số lượng thiết bị ngày càng lớn gây ra nhiều khó khăn cho người quản trị Hệ thống mạng phức tạp, chính sách không nhất quán, khả năng mở rộng kém, chi phí cao, nhiều nguy cơ về bảo mật Sự phức tạp trong việc tích hợp các giải pháp bảo mật cho hệ thống mạng

là vấn đề được quan tâm hàng đầu Công nghệ SDN - Software Defined Networking (Mạng

định nghĩa bằng phần mềm) ra đời như một giải pháp cho hệ thống mạng hiện nay

Software-Defined Networking là một cách tiếp cận cơ bản khác với phương pháp thông

thường và có rất nhiều tiềm năng Tuy nhiên, sự thay đổi trong cấu trúc mạng này có rất nhiều tác động trọng yếu đến vấn đề bảo mật cho các nhà khai thác Nó cũng đặt ra những thách thức trong việc đảm bảo an ninh và an toàn dữ liệu trong thời gian tới

Do đó nhóm quyết định chọn đề tài “Nghiên cứu tích hợp các giải pháp bảo mật cho

hệ thống mạng SDN”

Mục đích chính nghiên cứu này là đưa ra cái nhìn tổng quan về một kiến trúc mạng hoàn toàn mới, tìm hiểu các mối nguy hiểm đối với SDN và tích hợp các giải pháp bảo mật cho hệ thống mạng này

Đồ án này tập trung tìm hiểu các vấn để chính: Tìm hiểu về SDN và Openflow; Các mối nguy hiểm bảo mật SDN; Tích hợp các giải pháp bảo mật cho hệ thống mạng truyền thống và

hệ thống mạng SDN; Kết luận và đánh giá

Nội dung của đồ án được chia thành 5 chương:

 Chương I : Tổng quan về SDN – Software Defined Networking

 Chương II : OpenFlow

 Chương III : Các vấn đề bảo mật trong SDN

 Chương IV : Triển khai trong môi trường ảo Mininet

 Chương V : Kết luận

CHƯƠNG I : TỔNG QUAN VỀ SDN – Software Defined Networking

I SỰ CẦN THIẾT CỦA MỘT KIẾN TRÚC MẠNG MỚI

Trong một kiến trúc mạng truyền thống data plane và control plane đều cùng nằm trên một thiết bị vật lý (chế độ tự trị) và mỗi thiết bị độc lập với nhau, các chính sách chuyển tiếp lưu lượng nằm riêng trên mỗi thiết bị, vì vậy không có khả năng hiển thị toàn bộ mạng, các chính sách chuyển tiếp có thể không phải là tốt nhất

Nếu số lượng thiết bị càng nhiều, càng gây nên sự phức tạp trong mạng và điều đó cũng gây khó khăn cho người quản trị mạng trong quá trình vận hành và điều khiển

Hình 1 Khó khăn cho người vận hành

Các thay đổi mô hình lưu thông, sự gia tăng của các dịch vụ đám mây và nhu cầu phát triển của các nhà khai thác băng thông dịch vụ cần tìm ra giải pháp mới Vì công nghệ mạng truyền thống không thể đáp ứng những nhu cầu đó và nảy sinh các vấn đề Các yếu tố hạn chế:

 Phức tạp

 Chính sách không nhất quán

 Khả năng mở rộng quy mô kém

 Phụ thuộc vào nhà cung cấp

II SDN LÀ GÌ? TẠI SAO LẠI LÀ SDN?

Software-Definded Networking (SDN) là một cách tiếp cận mới trong việc thiết kế, xây

dựng và quản lý hệ thống mạng Về cơ bản, SDN chia tách độc lập hai cơ chế hiện đang tồn tại

trong cùng một thiết bị mạng: Control Plane (cơ chế điều khiển, kiểm soát luồng mạng), Data

Plane (cơ chế chuyển tiếp dữ liệu, luồng dữ liệu) để có thể tối ưu hoạt động của hai cơ chế này

SDN dựa trên giao thức mã nguồn mở (Open Flow) và là kết quả nghiên cứu của Đại học

Stanford và California Berkeley SDN tách việc định tuyến và chuyển tiếp các luồng dữ liệu riêng

rẽ và chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi là thiết bị kiểm soát luồng (Flow Controller) Điều này cho phép luồng các gói dữ liệu đi qua mạng được kiểm soát theo lập trình

Hình 2 Controller quản lý tập trung các thiết bị switch thông qua API

Trong SDN, control plane được tách ra từ các thiết bị vật lý và chuyển đến các controller Controller này có thể nhìn thấy toàn bộ mạng và do đó cho phép các kỹ sư mạng làm cho chính sách chuyển tiếp được tối ưu dựa trên toàn bộ mạng Các controller tương tác với các thiết bị mạng vật lý thông qua một giao thức chuẩn OpenFlow Với SDN, việc quản lý mạng có thể được thực hiện thông qua một giao diện duy nhất, trái ngược với việc cấu hình ở mỗi thiết bị mạng riêng lẻ

Hình 3 Quản lý tập trung thông qua controller duy nhất

III ƯU ĐIỂM CỦA SDN

 Controller có thể được lập trình trực tiếp

 Mạng được điều chỉnh, thay đổi một cách nhanh chóng thông qua việc thay đổi trên controller

 Mạng được quản lý tập trung do phần điều khiển được tập trung trên controller

 Cấu hình lớp cơ sở hạ tầng có thể được lập trình trên lớp ứng dụng và truyền đạt xuống các lớp dưới

 Giảm CapEx: SDN giúp giảm thiểu các yêu cầu mua phần cứng theo mục đích xây dựng các dịch vụ, phần cứng mạng trên cơ sở ASIC và hỗ trợ mô hình pay-as-you-grow (trả những gì bạn dùng) để tránh lãng phí cho việc dự phòng

 Giảm OpEx: thông qua các phần tử mạng đã được gia tăng khả năng lập trình, SDN giúp dễ dàng thiết kế, triển khai, quản lý và mở rộng mạng Khả năng phối hợp và dự phòng tự động không những giảm thời gian quản lý tổng thể, mà còn giảm xác suất lỗi do con người tới việc tối ưu khả năng và độ tin cậy của dịch vụ

 Truyền tải nhanh chóng và linh hoạt: giúp các tổ chức triển khai nhanh hơn các ứng dụng, các dịch vụ và cơ sở hạ tầng để nhanh chóng đạt được các mục tiêu kinh doanh

 Cho phép thay đổi: cho phép các tổ chức tạo mới các kiểu ứng dụng, dịch vụ và mô hình kinh doanh, để có thể tạo ra các luồng doanh thu mới và nhiều giá trị hơn từ mạng

 Mở ra cơ hội cho các nhà cung cấp thiết bị trung gian khi phần điều khiển được tách rời khỏi phần cứng

IV KIẾN TRÚC CỦA SDN

Về cơ bản, SDN được chia làm ba phần lớn: phần ứng dụng (Application Layer), phần

điều khiển (Control Layer) và phần thiết bị hạ tầng (Infrastructure Layer) Các phần sẽ liên kết

với nhau thông qua giao thức hoặc các API

Hình 4 Cấu trúc của SDN – mô hình 1

Hình 5 Cấu trúc của SDN - mô hình 2

1 Application layer:

Lớp ứng dụng: là các ứng dụng được triển khai trên mạng, kết nối tới lớp điều khiển

thông qua các API, cung cấp khả năng cho phép lớp ứng dụng lập trình lại (cấu hình lại) mạng (điều chỉnh các tham số trễ, băng thông, định tuyến, …) thông qua lớp điều khiển lập trình giúp cho hệ thống mạng để tối ưu hoạt động theo một yêu cầu nhất định

2 Control layer:

Lớp điều khiển: là nơi tập trung các controller thực hiện việc điều khiển cấu hình mạng

theo các yêu cầu từ lớp ứng dụng và khả năng của mạng Các controller này có thể là các phần mềm được lập trình

Một Controller (bộ điều khiển) là một ứng dụng quản lý kiểm soát luồng lưu lượng trong

môi trường mạng Đnể truyền thông điều khiển lớp cơ sở hạ tầng, lớp điều khiển sử dụng các

cơ chế như OpenFlow, ONOS, ForCES, PCEP, NETCONF, SNMP hoặc thông qua các cơ chế riêng

biệt Hầu hết các SDN controller hiện nay dựa trên giao thức OpenFlow

SDN controller hoạt động như một loại hệ điều hành (OS) cho mạng Tất cả thông tin liên lạc giữa các ứng dụng và các thiết bị phải đi qua controller Controller sử dụng giao thức OpenFlow để cấu hình các thiết bị mạng và chọn đường đi tốt nhất cho các lưu lượng ứng dụng Cùng với chức năng chính, nó có thể tiếp tục được mở rộng để thực hiện thêm các nhiệm vụ quan trọng như định tuyến và truy cập mạng

Vai trò:

 Cung cấp API để có thể xây dựng các ứng dụng cho hệ thống mạng

 Thu nhận thông tin từ hệ thống mạng vật lý, điều khiển hệ thống mạng vật lý

3 Infrastructure layer:

Lớp vật lý (lớp cơ sở hạ tầng) của hệ thống mạng, bao gồm các thiết bị mạng thực tế

(vật lý hay ảo hóa) thực hiện việc chuyển tiếp gói tin theo sự điều khiển của lớp điểu khiển Một thiết bị mạng có thể hoạt động theo sự điều khiển của nhiều controller khác nhau, điều này giúp tăng cường khả năng ảo hóa của mạng

So sánh với kiến trúc mạng truyền thống:

 Trong hệ thống mạng truyền thống, các thiết bị mạng (Layer 2, layer 3) phải mang trên mình nhiều chức năng để đảm bảo hoạt động VD: Các chức năng của Layer Switch hiện nay: VLAN, Spanning tree, Quality of Service, Security và đa số các thiết

bị mạng và các giao thức này hoạt động độc lập với nhau vì mỗi nhà sản xuất cung cấp các giải pháp mạng khác nhau Những điều này tạo ra sự phân mảnh hệ thống mạng, giảm hiệu năng hoạt động

 Với SDN, việc điều khiển được tập trung tại Controller Layer, các thiết bị mạng chỉ có nhiệm vụ chuyển tiếp gói tin do đó sự khác biệt giữa những nhà sản xuất không ảnh hưởng tới toàn hệ thống mạng Điều này cũng giống như sự phát triển của máy tính hiện nay, mỗi máy tính được cung cấp và sản xuất bởi những nhà sản xuất khác nhau (Dell, HP, IBM, Apple, Google ), chạy các hệ điều hành khác nhau (Windows, MacOS, Linux, Unix, ) nhưng đều có khả năng truy cập và sử dụng internet dựa trên giao thức mạng TCP/IP

 Về phía người sử dụng, người dùng không phải có mặt trực tiếp tại các thiết bị mạng

để cấu hình cho các thiết bị mạng, họ chỉ cần thông qua các API đã được cung cấp

cùng với một chút kiến thức về TCP/IP để có thể xây dựng ứng dụng cho toàn hệ thống mạng Với SDN, mọi thứ đều được quản lý tập trung Điều này mang lại nhiều lợi ích tuy nhiên cũng mở ra nhiều nguy cơ về bảo mật hơn so với hệ thống mạng truyền thống

V CÁC BƯỚC TRIỂN KHAI SDN

Doanh nghiệp cần phải bắt đầu một cách thật chính xác SDN là sự chuyển đổi từ một hệ thống mạng có thể cấu hình sang một hệ thống mạng có thể lập trình Do đó, có một số bước

mà doanh nghiệp buộc phải tuân theo

Khi trang bị thiết bị mới, cần cẩn thận về việc các nhà sản xuất hỗ trợ công nghệ SDN nào

và công nghệ SDN nào là tốt nhất cho từng loại triển khai hệ thống khác nhau (thiết bị hỗ trợ OpenFlow hay OpenStack) Chọn lựa giữa OpenFlow và OpenStack ngay từ ban đầu dựa trên hạ tầng hiện thời của doanh nghiệp và loại mạng SDN mà doanh nghiệp cần

Khi di dời, chuyển đổi cấu hình thiết bị, cẩn thận khi định nghĩa các chính sách để di dời hoàn toàn, đủ các chính sách bảo mật cũng như đặt chúng vào SDN controller một cách hoàn chỉnh

2 Bước thứ 2

Chạy thử nghiệm cẩn thận và triển khai các SDN controller Có thể tạo một môi trường thử nghiệm gồm các thiết bị mạng giao tiếp được với SDN controller để chắc chắn mọi thứ đều chạy tốt Các thiết bị đều phải cùng chung một giao thức, hoặc OpenFlow hoặc OpenStack và doanh nghiệp cần đảm bảo bước thứ 2 này là các thiết bị trong mạng và controller giao tiếp thành công với nhau

3 Bước thứ 3

Là bước quan trọng nhất, cấu hình SDN tương tác được với ứng dụng Để ứng dụng hoàn toàn tận dụng được mạng SDN, đầu tiên cần áp dụng các chính sách như ưu tiên lệnh thực thi cao hơn lệnh báo cáo để cho luồng dữ liệu quan trọng nhất chạy mượt mà trong hệ thống mạng

Khi SDN đã sẵn sàng, có thể cho các ứng dụng gửi các bộ nhận diện bổ sung vào header, không chỉ đơn giản là các giao thức, TCP/UDP và cổng dữ liệu nữa Các SDN controller sẽ phải nhận diện được các gói dữ liệu thông qua header mà không phải đọc toàn bộ dữ liệu để nhận diện loại dữ liệu

4 Bước thứ 4

Thiết lập bảo mật vào các lớp ứng dụng Doanh nghiệp có thể thêm bảo mật dạng rule ở lớp thứ 7 bằng cách đầu tiên là nhận diện tương tác ứng dụng thích hợp và không thích hợp, sau đó áp dụng các rule bổ sung dựa trên hành vi (nếu hành vi này xuất hiện) Một khi đã thiết lập được mạng SDN, nên giám sát mạng thông qua các SDN controller Vài công ty tách chức năng giám sát ra khỏi controller, ví dụ như tách riêng giám sát ứng dụng và giám sát gói dữ liệu Tách ra như vậy phải sử dụng các công cụ giám sát chạy ở cấp cao hơn và phải có giao diện của controller, mạng và ứng dụng SDN Doanh nghiệp cũng nên giám sát cả các chính sách bảo mật

 Bảo mật: Làm thế nào để SDN được bảo vệ từ các cuộc tấn công?

 Khả năng tương thích: Làm thế nào các giải pháp SDN được tích hợp vào mạng hiện tại?

 Liệu công nghệ SDN có thể thực hiện được không, khi mà thị trường Data Center còn trì trệ?

 Liệu SDN sẽ định hình tương lai cho hệ thống mạng như thế nào? Liệu giao thức nguồn mở có đủ sức bật, hay vẫn chịu lép vế trước một giao thức nào khác?

 Việc chuyển đổi sang hệ thống mạng mới này sẽ phải là một quá trình lâu dài, giống như ảo hóa

VII ỨNG DỤNG CỦA SDN

Với những lợi ích mà mình đem lại, SDN có thể triển khai trong phạm vi doanh nghiệp (Enterprises) hoặc nhà cung cấp hạ tầng và dịch vụ viễn thông để giải quyết các yêu cầu của các nhà cung cấp tại mỗi phân khúc thị trường

1 Phạm vi doanh nghiệp

Áp dụng trong mạng doanh nghiệp : Khi được sử dụng để hỗ trợ một môi trường đám

mây riêng hoặc tích hợp, SDN cho phép các tài nguyên mạng được cấp phát theo phương thức linh hoạt cao, cho phép dự phòng nhanh các dịch vụ đám mây và chuyển giao linh hoạt hơn với

các nhà cung cấp đám mây bên ngoài Với các công cụ để quản lý an toàn các mạng ảo của mình, các doanh nghiệp và các đơn vị kinh doanh sẽ tin vào các dịch vụ đám mây hơn

2 Phạm vi các nhà cung cấp hạ tầng và dịch vụ viễn thông

SDN cung cấp cho các nhà mạng, các nhà cung cấp đám mây công cộng và các nhà cung cấp dịch vụ khả năng mở rộng và tự động cần thiết để triển khai một mô hình tính toán có ích cho ITaaS (IT-as-a-Service) Điều này được thực hiện thông qua việc đơn giản hóa triển khai các dịch vụ tùy chọn và theo yêu cầu, cùng với việc chuyển dời sang mô mình self-service Mô hình tập trung, dự phòng và điều khiển tự động của SDN dễ dàng hỗ trợ cho thuê linh hoạt các tài nguyên, đảm bảo tài nguyên mạng được triển khai tối ưu, giảm CapEx và OpEx, tăng giá trị và tốc độ dịch vụ

VIII TƯƠNG LAI CỦA SDN

Hiện nay, SDN thực sự là một hướng đi được quan tâm đặc biệt trong cả nghiên cứu lẫn ứng dụng Có thể dễ dàng nhận ra rằng, SDN phù hợp với những môi trường hệ thống mạng tập trung và có mức lưu lượng cực kỳ lớn bao gồm:

 Các hệ thống mạng doanh nghiệp: Mạng Campus và mạng trung tâm dữ liệu (Data Center)

 Hệ thống mạng phục vụ điện toán đám mây - Cloud

SDN đã nhận được sự quan tâm từ những "gã khồng lồ" trong làng công nghệ khi cả Google và Facebook đều đã tham gia nghiên cứu và xây dựng cho riêng mình những trung tâm

dữ liệu sử dụng SDN Theo dự đoán trong một tương lai không xa, SDN sẽ xóa bỏ sự độc quyền thương mại trong lĩnh vực thiết bị mạng vốn lâu nay bị CISCO nắm giữ và sẽ mở ra một cuộc cách mạng như Apple đã làm ra iPhone

CHƯƠNG II : OPENFLOW

I TỔNG QUAN VỀ OPENFLOW

Để tách biệt hẳn phần điều khiển ra khỏi phần chuyển tiếp và cung cấp khả năng lập trình

cho lớp điều khiển, ONF sử dụng giao thức OpenFlow OpenFlow là tiêu chuẩn đầu tiên, cung

cấp khả năng truyền thông giữa các giao diện của lớp điều khiển và lớp chuyển tiếp trong kiến trúc SDN OpenFlow cho phép truy cập trực tiếp và điều khiển mặt phẳng chuyển tiếp của các thiết bị mạng như switch và router, cả thiết bị vật lý và thiết bị ảo, do đó giúp di chuyển phần điều khiển mạng ra khỏi các switch thực tế tới phần mềm điều khiển trung tâm

Sự xuất hiện của OpenFlow thực sự là một cuộc cách mạng, đưa sự phát triển của SDN lên một tầm cao mới OpenFlow là giao thức hoạt động giữa tầng điều khiển (Control Layer) và tầng vật lý (Infrastructure Layer) Trong kiến trúc của SDN, tất các các thiết bị được liên kết với tầng điều khiển và thông qua OpenFlow OpenFlow có 2 nhiệm vụ chính:

 Giám sát hoạt động của các thiết bị mạng: Lưu lương mạng, trạng thái hoạt động của các nút mạng, các thông tin cơ bản về các thiết bị …

 Điều khiển hoạt động của thiết bị mạng: Điều khiển luồng dữ liệu (routing), Bảo mật, Quality of Service

Về cơ bản, OpenFlow cung cấp số lượng lớn các chức năng đã được định nghĩa và thông

qua bởi Open Networking Foundation (ONF) Các thiết bị mạng chỉ cần được thêm vào thư

viện của OpenFlow là có thể tham gia hoạt động trong mạng OpenFlow

Một điểm rất mạnh của OpenFlow là có thể hoạt động tốt giữa cả các thiết bị mạng ảo

và thiết bị mạng vật lý Sự tăng trưởng mạng mẽ của công nghệ ảo hóa hiện nay đã nâng cao vai trò của các thiết bị mạng ảo, do đó, việc đồng bộ giữa các thiết bị mạng ảo và thực là điều hết sức quan trọng

II CÁC ĐẶC TRƯNG CỦA OPENFLOW

 OpenFlow có thể được sử dụng bởi ứng dụng phần mềm ngoài để điều khiển mặt phẳng chuyển tiếp của các thiết bị mạng, giống như tập lệnh của CPU điều khiển một

hệ thống máy tính

 Giao thức OpenFlow được triển khai trên cả hai giao diện kết nối giữa các thiết bị cơ

sở hạ tầng mạng và phần mềm điều khiển SDN

 OpenFlow sử dụng khái niệm các “flow” (luồng) để nhận dạng lưu lượng mạng trên

cơ sở định nghĩa trước các qui tắc phù hợp (được lập trình tĩnh hoặc động bởi phần

mềm điều khiển SDN) Giao thức này cũng cho phép định nghĩa cách mà lưu lượng phải được truyền qua các thiết bị mạng trên cơ sở các tham số, chẳng hạn như mô hình lưu lượng sử dụng, ứng dụng và tài nguyên đám mây Do đó OpenFlow cho phép mạng được lập trình trên cơ sở luồng lưu lượng Một kiến trúc SDN trên cơ sở OpenFlow cung cấp điều khiển ở mức cực kỳ chi tiết, cho phép mạng phản hồi sự thay đổi theo thời gian thực của ứng dụng, người dùng và mức phiên Mạng định tuyến trên cơ sở IP hiện tại không cung cấp mức này của điều khiển, tất cả các luồng lưu lượng giữa hai điểm cuối phải theo cùng một đường thông qua mạng, mặc dù yêu cầu của chúng khác nhau

 Giao thức OpenFlow là một chìa khóa để cho phép các mạng định nghĩa bằng phần mềm và cũng là giao thức tiêu chuẩn SDN duy nhất cho phép điều khiển mặt phẳng chuyển tiếp của các thiết bị mạng Từ việc áp dụng khởi đầu tới mạng trên cơ sở Ethernet, các SDN trên cơ sở OpenFlow có thể được triển khai trên các mạng đang tồn tại, cả vật lý và ảo hóa - OpenFlow đang ngày càng được hỗ trợ rộng rãi bởi các nhà cung cấp cơ sở hạ tầng khác nhau, thông qua việc triển khai một firmware đơn giản hoặc nâng cấp phần mềm Kiến trúc SDN trên cơ sở OpenFlow có thể tích hợp từ từ với cơ sở hạ tầng hiện có của doanh nghiệp hoặc nhà khai thác mạng và cung cấp phương thức tích hợp đơn giản cho các phần của mạng cần đến các chức năng SDN nhất

III CẤU TẠO VÀ HOẠT ĐỘNG CỦA OPENFLOW

1 Cấu tạo

Một thiết bị OpenFlow bao gồm ít nhất 3 thành phần:

Hình 6 Một ví dụ về Flow Table

Hình 7 Các trường trong bảng flow và cách thức hoạt động

 Flow Table: một liên kết hành động với mỗi luồng, giúp thiết bị xử lý các luồng thế nào

 Secure Channel: kênh kết nối thiết bị tới controller (controller), cho phép các lệnh và các gói tin được gửi giữa controller và thiết bị,

 OpenFlow Protocol: giao thức cung cấp phương thức tiêu chuẩn và mở cho một controller truyền thông với thiết bị

Hình 8 Cấu trúc của một switch OpenFlow

2 Hoạt động

Trong router hay switch cổ điển, các gói tin chuyển tiếp nhanh chóng (data path) và các quyết định định tuyến mức độ cao (control path) xảy ra trên cùng một thiết bị OpenFlow Switch tách hai chức năng đó ra Phần data patth vẫn nằm trên switch, trong khi control path được chuyển đến một controller riêng biệt, thường là một máy chủ tiêu chuẩn OpenFlow Switch và Controller giao tiếp thông qua giao thức OpenFlow, trong đó xác định các tin nhắn, chẳng hạn như gói nhận được, gửi gói tin ra, sửa đổi bảng chuyển tiếp và nhận số liệu thống kê

Các data path của một OpenFlow Switch được trình bày rõ ràng trong flow table; mỗi mục flow table chứa một tập các trường gói tin phù hợp và một hành động (như gửi ra cổng, sửa đổi trường hoặc hủy) Khi một OpenFlow Switch nhận được một gói tin nó chưa bao giờ thấy trước đây mà không có trong flow table, nó sẽ gửi gói tin này đến bộ điều khiển Controller sau đó đưa ra quyết định về cách xử lý gói tin này Nó có thể hủy (drop) các gói tin, hoặc nó có thể thêm một flow entry chỉ đạo việc chuyển đổi trên làm thế nào để chuyển tiếp các gói tin tương tự trong tương lai

IV LỢI ÍCH KHI SỬ DỤNG OPENFLOW

Công nghệ SDN trên cơ sở OpenFlow cho phép nhân viên IT giải quyết các ứng dụng băng thông cao và biến đổi động hiện nay, khiến cho mạng thích ứng với các nhu cầu kinh doanh thay đổi và làm giảm đáng kể các hoạt động và quản lý phức tạp Những lợi ích mà các doanh nghiệp và nhà khai thác mạng có thể đạt được thông qua kiến trúc SDN trên cơ sở OpenFlow bao gồm:

 Tập trung hóa điều khiển trong môi trường nhiều nhà cung cấp thiết bị: phần mềm điều khiển SDN có thể điều khiển bất kỳ thiết bị mạng nào cho phép OpenFlow từ bất

kỳ nhà cung cấp thiết bị nào, bao gồm switch, router và các switch ảo

 Giảm sự phức tạp thông qua việc tự động hóa: kiến trúc SDN trên cơ sở OpenFlow cung cấp một framework quản lý mạng tự động và linh hoạt Từ framework này có thể phát triển các công cụ tự động hóa các nhiệm vụ hiện đang được thực hiện bằng tay

 Tốc độ đổi mới cao hơn: việc áp dụng OpenFlow cho phép các nhà khai thác mạng lập trình lại mạng trong thời gian thực để đạt được các nhu cầu kinh doanh và yêu cầu

từ người dùng cụ thể khi có sự thay đổi

 Gia tăng độ tin cậy và khả năng an ninh của mạng: các nhân viên IT có thể định nghĩa các trạng thái cấu hình và chính sách ở mức cao và áp dụng tới cơ sở hạ tầng thông qua OpenFlow Kiến trúc SDN trên cơ sở OpenFlow cung cấp điều khiển và tầm nhìn hoàn chỉnh trên mạng, nên có thể đảm bảo điều khiển truy nhập, định hình lưu lượng, QoS, an ninh và các chính sách khác được thực thi nhất quán trên toàn bộ cơ sở hạ

tầng mạng không dây và có dây, bao gồm cả các văn phòng chi nhánh, các cơ sở chính

và DC

 Điều khiển mạng chi tiết hơn: mô hình điều khiển trên cơ sở flow của OpenFlow cho phép nhân viên IT áp dụng các chính sách tại mức chi tiết, bao gồm phiên, người dùng, thiết bị và các mức ứng dụng trong một sự trừu tượng hóa cao, tự động điều chỉnh thích hợp - Tốt hơn với trải nghiệm người dùng: bằng việc tập trung hóa điều khiển mạng và tạo ra trạng thái thông tin có sẵn cho các ứng dụng mức cao hơn, kiến trúc SDN trên cơ sở OpenFlow có thể đáp ứng tốt hơn cho các nhu cầu thay đổi của người dùng

Hình 9 Mô hình Private Cloud trên nền OpenStack và SDN

 Trong mô hình này, SDN được sử dụng để xây dựng một hệ thống mạng đồng bộ giữa các switch vật lý và các switch ảo nhằm mục đích tạo ra các hệ thống mạng nhỏ

hơn dựa trên các dành cho các máy ảo (Virtual Machine) Tất cả hệ thống mạng sẽ được điều khiển bằng OpenFlow Controller, giúp nâng cao hiệu năng hoạt động của các private cloud

2 Các thành phần trong OpenFlow switch

a Data Plane

Trong OpenFlow, data plane có khả năng xử lý và chuyển tiếp lưu lượng mạng Các giao thức được thiết kế để thích ứng với khái niệm mới mà không bị hạn chế đối với các công nghệ vận chuyển như Ethernet và IP Về mặt kỹ thuật, tiêu chuẩn OpenFlow chỉ xác định các chức năng của các yếu tố chuyển tiếp và thực hiện một API hướng dẫn cho các cấp cao hơn Để kiểm soát,

có thể sử dụng các ngôn ngữ được cung cấp bởi OpenFlow Là một giao diện Southbound, nó thiết lập một kết nối giữa hai plane nhưng không hạn chế tự do dữ liệu, kiểm soát và thiết kế ứng dụng Tuy nhiên, các đặc điểm kỹ thuật chuyển mạch và các yêu cầu cơ bản của nó cho ta cái nhìn rõ ràng về cấu trúc data plane của OpenFlow Để đơn giản ONF đưa bất kỳ đơn vị mà chứa một data path và kết nối điều khiển như chuyển đổi OpenFlow, lớp hai và lớp ba với chức năng định tuyến của mô hình OSI được chuyển đến control plane Để đẩy nhanh tiến độ triển khai, giải pháp OpenFlow switch có thể chứa cả định tuyến thông minh cổ điển và logic OpenFlow độc lập Tuy nhiên, trong tất cả các biến thể thì cấu trúc switch cơ bản vẫn giữ nguyên

Hình 10 Sơ đồ cơ chế hoạt động của một OpenFlow switch

 OpenFlow Switches

Việc chuyển đổi OpenFlow có thể được chia thành nhiều thành phần luận lý: các cổng vật lý và logic, các đường ống dẫn OpenFlow và các kênh truyền thông kiểm soát OpenFlow

 OpenFlow Ports

Một OpenFlow Switch phải có ba loại cổng Cổng vật lý và logic là các biến thể của tiêu chuẩn Loại thứ ba là cổng dành riêng Ngược lại với các cổng vật lý (trên giao diện phần cứng của thiết bị) cổng logic có số lượng rất nhiều Nó được ánh xạ tới một cổng vật lý và được sử dụng cho các dịch vụ mạng

Cổng dành riêng là một loại cổng ảo đặc biệt ảnh hưởng đến hành vi giao nhận của switch Switch có thể đưa một số loại cổng dành riêng vào header của một Datagram OpenFlow

và phân biệt giữa lối vào và đi ra cổng trên các đường ống dẫn Có một số loại cổng đáng chú ý trong một switch OpenFlow Các cổng CONTROLLER chỉ ra rằng một gói tin sẽ được chuyển tiếp đến controller hoặc nếu CONTROLLER được viết như cổng xâm nhập, bắt nguồn từ một controller ALL là một tính năng chung có liên quan cho tất cả các cổng OpenFlow, FLOOD nghĩa các hành vi tương tự như ALL trong các thiết bị lai TABLE chỉ những gì có sẵn như cổng đi ra và được sử dụng bởi các controller để biểu thị rằng một gói nên được xếp hàng và xử lý bởi các đường ống bảng lưu lượng tiêu chuẩn

OpenFlow bao gồm hàng đợi cổng truyền thống Hàng đợi được gắn vào cổng logic và vật lý đầu ra và được xác định bởi số nhận dạng đặc biệt Các gói tin có thể được sắp xếp vào loại hàng đợi khác nhau và được giao cho một cổng để tạo điều kiện các biện pháp QoS hoặc các thuật toán

 OpenFlow Pipeline

Trái tim của mỗi switch OpenFlow là các đường ống dẫn OpenFlow, một dãy của một hoặc nhiều bảng flow Các bảng flow và các mục của chúng được lưu trữ trong Ternary Content Addressable Memory (TCAM) TCAM cung cấp khả năng truy cập nhanh, nhưng khả năng lưu trữ dữ liệu thấp Các trường header của gói tin đến đều được so với mục trong trường tương ứng Thuộc tính có thể bao gồm MAC và IP nguồn và địa chỉ đích hoặc dữ liệu đặc biệt chèn vào hành động trước bảng flow Các trường phù hợp được thiết kế để có thể mở rộng và chứa bất

kỳ thành phần gói tin có thể so sánh Có thể các trường wildcard liên quan cung cấp mở rộng phù hợp Các trường đếm thống kê về mỗi thành phần hợp lý của các thiết bị và số lượng gói tin điều khiển hoặc thời gian cài đặt flow tables Các gói tin được truyền xuống đường ống xử lí đến khi sự phù hợp được tìm thấy trong một bảng Nếu gói dữ liệu phù hợp nhiều lần trong một bảng flow, chỉ mục với các ưu tiên cao nhất sẽ được chọn

Hình 11 Quá trình xử lý pipeline của OpenFlow

Hình 12 Các hành động xử lý đối với một entry trong bảng flow

 Southbound Interface

Các giao thức OpenFlow tự đại diện cho southbound interface của các mạng, một phương thức truyền thông tiêu chuẩn hóa lẫn nhau giữa các switch và controller Trong giao diện OpenFlow, kênh điều khiển từ xa cấu hình danh sách bảng và cung cấp các switch Nó có thể mã hóa các kênh với TLS, tuy nhiên do cân nhắc về hiệu suất, TCP cũng là một lựa chọn Các giao thức hỗ trợ ba loại gói tin cơ bản: controller-to-switch, không đồng bộ hoặc đối xứng

Các đặc điểm kỹ thuật switch không chi tiết cách các controller phối hợp hành động hoặc làm thế nào các cấu trúc liên kết được đồng bộ Nếu kết nối với controller bị mất, việc chuyển

đổi ngay lập tức đi vào chế độ “fail secure” hoặc “fail standalone”, phụ thuộc vào sự hỗ trợ thiết

bị hoặc cấu hình

Trong chế độ fail secure, switch tiếp tục chuyển đổi hoạt động bằng cách sử dụng các

thông tin bảng flow nó đã giữ lại và hủy bất kỳ gói dữ liệu không rõ chỉ định cho các kênh điều

khiển Trong fail standalone chuyển đổi trở lại hành vi chuyển mạch gốc, nếu sẵn sàng và lại tiếp

tục chức năng OpenFlow sau khi kết nối được khôi phục

b Control Plane

Control plane là bộ chỉ huy trung tâm trong SDN và một khía cạnh quan trọng trong sự

thành công và triển khai các phần mềm mạng được định nghĩa Nó được đại diện bởi thành phần kiểm soát các thiết bị Do sự phát triển của các phần mềm và các yếu tố không bị ràng buộc bởi OpenFlow hoặc bị hạn chế bởi các tiêu chuẩn, nhiều phiên bản triển khai đã được phát triển

Mỗi phiên bản cố gắng để thành công trong tầm nhìn của một mạng lưới và thực hiện tốt các khía cạnh khác nhau để phát triển Hơn nữa, các công ty đang tiếp tục đề ra các controller độc quyền của riêng của họ nhằm thích nghi với các thiết bị độc quyền

OpenFlow Controllers

Controller có thể được chia thành hai loại riêng biệt Loại thứ nhất là một controller vật lý

và loại thứ hai là logic tập trung với hiệu suất cá nhân cao liên kết với nhiều switch Để đảm bảo khả năng chịu lỗi và khả năng phục hồi, điều khiển phân tán sử dụng kết nối nhiều-nhiều Để đảm bảo tính nhất quán trong một switch, các ONF khuyến cáo rằng controller hoặc đồng bộ chặt chẽ hoặc quản lý phần lớp của mạng trong khi trao đổi thông tin theo chiều ngang Controller hoặc vận hành trong chế độ proactive hoặc reactive Trong chế độ proactive, controller trước khi cài đặt các luồng dựa trên các cấu trúc liên kết được biết đến, trong đó tiết kiệm thời gian trễ và làm giảm tắc nghẽn dòng chảy được tạo ra bởi controller yêu cầu Trong chế độ reactive, controller sẽ đợi cho đến khi một yêu cầu chuyển đổi về lưu lượng cho một gói tin cụ thể

Mặc dù một loạt các controller tồn tại, một vài triển khai có ảnh hưởng đặc biệt đã xuất hiện

 NOX được dành cho cộng đồng nghiên cứu do Nicira khởi động và là controller mã nguồn mở đầu tiên được thiết kế cho OpenFlow Controller này sử dụng một cách tiếp cận tương đối cơ bản và tập trung và có hai phiên bản tồn tại NOX là phiên bản cổ điển được viết bằng C ++ và dành riêng cho hiệu suất tối đa

 POX ít phức tạp hơn nhưng chậm hơn, viết bằng Python Những phát triển trên các controller có nhiều hiệu quả nhưng đã bị ngưng từ năm 2012 Tuy nhiên, một số nghiên cứu cơ bản và giải pháp bảo mật đã được thực hiện trên cơ sở các phiên bản

 OpenDaylight là một controller mã nguồn mở và một nỗ lực hợp tác của một số thành viên ONF và The Linux Foundation Nó được thiết kế để tương thích với giao diện Southbound của OpenFlow (ví dụ như các giao thức PCE hoặc cấu hình BGP) và được

coi là một trong những ứng cử viên có tiềm năng lớn nhất về tiêu chuẩn API Northbound

 Floodlight đã được phát triển từ controller Beacon và được duy trì bởi Big Switch Networks Nó có tính mô-đun cao, hỗ trợ đa xử lý song song và có chứa một

số thành phần ứng dụng đã được tích hợp như là đường dẫn tính toán và quản lý thiết

bị

 Một controller mới xuất bản và đáng chú ý là ONOS, được thiết kế đặc biệt dựa trên tính sẵn có, khả năng mở rộng và hiệu suất Nó là một controller phân bố tự nhiên và quản lý tập trung

 RYU dựa trên Python, có các tài liệu tốt và được xác định Nó hỗ trợ nhiều Southbound interface cũng như các giao thức OF-switch RYU trong cuộc cạnh tranh với OpenDaylight, Floodlight, Trema và POX là ứng cử viên tốt nhất, dựa trên các tiêu chí như

mô đun, hỗ trợ giao diện điều khiển Floodlight và OpenDaylight giữ vị trí thứ hai và thứ

ba tương ứng Floodlight, NOX / POX, RYU là kiến trúc điều khiển tập trung, trong khi OpenDaylight và ONOS cũng cung cấp chức năng phân phối thông qua phân nhóm SDN controller có thể được chia cắt thành bốn giao diện logic khác nhau mà nó cần để duy trì

 Các giao diện đầu tiên là các giao diện data-control plane (D-CPI), thường được gọi là giao diện hướng Nam (Southbound interface) Do sự ảo hóa OpenFlow của mạng, các controller xem switch như một danh sách kết nối các đường dẫn dữ liệu hoạt động và trạng thái mạng

 Giao diện hướng Đông/ hướng Tây được thực hiện trong các hệ thống điều khiển phân

bố đảm bảo tính nhất quán và sự trao đổi nhanh chóng của dữ liệu Thông thường, Switch điều khiển được chỉ định gián tiếp thông báo về switch liền kề bởi các thông điệp chuyển đổi không đồng bộ và do đó thường không sử dụng một giao diện ngang

OF- Các giao diện cuối cùng là hướng Bắc hay còn gọi là Application-Control Plane Interface (A-CPI), trong đó liên kết đến các ứng dụng điều khiển SDN và các thiết bị cấp cao nhất Tương tự như việc chuyển đổi cung cấp thông tin cho các controller, controller cung cấp dữ liệu cho các ứng dụng mạng qua kết nối về hướng Bắc

Tất cả các controller được yêu cầu cung cấp một chức năng điều phối cho các giao diện quản lý Việc tiếp cận thường được cung cấp trong một secure shell và một CLI (command line interface) và kết hợp với giao diện hướng Bắc của controller (ví dụ như REST) Thông thường, một giao diện người dùng đồ họa (GUI) được hỗ trợ để cải thiện thủ tục cấu hình và tính tiện dụng Ngoài các API được cung cấp bởi các controller, một số ngôn ngữ lập trình đã được phát triển để hỗ trợ các môđun SDN đơn giản Ngôn ngữ SDN có thể được chia thành các lớp ngôn ngữ Ngôn ngữ thấp hơn như Nettle có thể một chương trình điều khiển mạng, mức độ cao hơn như Frenetic được thiết kế để phát triển các ứng dụng trong hợp tác với một controller hiện có

c Application và Management Plane

Các ứng dụng SDN tính toán và phát triển các chính sách và hướng dẫn mà controller cài đặt trên lớp chuyển tiếp Các ứng dụng thường có toàn quyền kiểm soát các mạng con được kết nối với controller phải đồng bộ các chính sách và hành động trái ngược nhau Để tránh quyết định và hoạt động xung đột, các ứng dụng thường được đóng gói với controller, hoặc hợp nhất như một thực thể duy nhất với controller để giải quyết vấn đề xung đột nội bộ

Các ứng dụng mạng hiện tại có thể được nhóm lại thành năm loại: kỹ thuật lưu lượng, di động và không dây, đo lường và giám sát, an ninh và độ tin cậy, dữ liệu mạng trung tâm

Các Management Plane được kết nối với cả ba plane còn lại và liên tục truy vấn trạng thái, sự kiện, hiệu suất mạng Trái ngược với các lớp ứng dụng, các management plane thường được biểu diễn bởi một trạm quản lí giữ duy nhất trên mạng Các quản trị viên thực hiện công việc bằng tay mà controller và các ứng dụng về mặt kỹ thuật không có khả năng hoặc thẩm quyền ban hành Cài đặt các phần tử mạng mới hoặc phần mềm, phân chia và tài nguyên và xác định các vấn đề là một phần trách nhiệm Nói chung, bất kỳ hoạt động Quản trị và Quản lý

(OAM) chức năng được sử dụng trong các Management Plane và các switch nhưng có khả năng

có thể được mở rộng cho các ứng dụng SDN Một ví dụ về một công cụ OpenFlow mà quản trị viên có thể sử dụng là lệnh dpctl, yêu cầu thông tin dòng chảy và có thể tự chèn bảng flow vào một chuyển đổi Các OF-Config đặc tả định nghĩa thêm các chức năng quản lý trực tiếp cấu hình một switch OpenFlow Vì nó là thực tế phổ biến có thể giả định rằng bất kỳ quản lý kết nối được thực hiện trên một thiết bị đầu cuối SSH hoặc kết nối có thẩm quyền

Hình 13 Một mạng OpenFlow

CHƯƠNG III : CÁC VẤN ĐỀ BẢO MẬT TRONG SDN

I CÁC MỐI NGUY HIỂM BẢO MẬT

SDN xuất hiện như là một công nghệ có thể giải quyết tất cả những khó khăn, vướng mắc của mạng truyền thống Tuy nhiên, những nghiên cứu phần lớn được thử nghiệm trong môi trường an toàn, quy mô nhỏ, không có môi trường thực tế doanh nghiệp hoặc trung tâm dữ liệu Vì vậy, cho đến nay SDN vẫn chưa là mối quan tâm lớn đối với những kẻ tấn công và tin tặc

Câu hỏi đặt ra là liệu SDN có khả năng khắc phục các vấn đề bảo mật, độ tin cậy, khả năng mở rộng như đã có hoặc được thừa kế từ các mạng truyền thống hay không Khi SDN thu hút được nhiều sự chú ý hơn, các đánh giá bảo mật và kiểm tra sẽ được thực hiện trên mô hình mới Một số cuộc điều tra toàn diện đã đánh giá về tình hình an toàn của SDN do Jarraya, Madi

và Debbabi đã dành một chương để trình bày về bảo mật và các nghiên cứu trong các cuộc khảo sát của họ Scott-Hayward, O'Callaghan và Sezer tập trung vào những vấn đề bảo mật, những thách thức và cơ hội trong cuộc khảo sát của họ về SDN Đã có nhiều nỗ lực để cụ thể để phân tích giao thức OpenFlow Sử dụng STRIDE và cây tấn công, Kl¨oti vào năm 2014 đã sử dụng một cách tiếp cận tương tự như đồ án này, nhưng không mở rộng phạm vi vượt ra ngoài giao thức OpenFlow 1.0, các switch OpenFlow và chỉ thực hiện ba trong sáu mối đe dọa Trong khuôn khổ của các cuộc điều tra, phần này sẽ cố gắng kiểm tra kỹ lưỡng các vấn đề an ninh của một SDN chuẩn, biên dịch các tài liệu mới nhất

1 Các kiểu tấn công và mối đe dọa

Mô hình mối đe dọa là một phương pháp phổ biến đe dọa mạnh mẽ đến an ninh của hệ thống hoặc toàn bộ công ty Có nhiều loại model khác nhau Cách tiếp cận phù hợp nhất cho

đồ án này là mô hình phần mềm trung tâm (software-centric model), trong đó tách riêng các tài nguyên và các thành phần của hệ thống với mục đích là để làm nổi bật các cấu hình sai tiềm tàng hoặc các thành phần bị trục trặc

Nhiều phương pháp thiết kế an toàn trong công nghệ thông tin là có căn cứ trong tám nguyên tắc thiết kế an toàn do Saltzer và Schroeder đề xuất vào năm 1975 Microsoft Security Development Lifecycle (SDL) bao gồm các nguyên tắc trong mô hình mẫu của họ và sử dụng phương pháp STRIDE Mặc dù không phải là hoàn toàn SDN dựa trên phần mềm, phương pháp tiếp cận SDL cũng được áp dụng cho thiết kế tổng thể của mạng và các thành phần kỹ thuật của

nó

STRIDE mô tả và phân rã một hệ thống để suy ra mâu thuẫn hoặc thiếu hụt tiềm ẩn Để giảm độ phức tạp và để đạt được một cái nhìn tổng quan, STRIDE được chia thành các thành phần nhạy cảm riêng biệt và mô hình hóa thành một sơ đồ luồng dữ liệu (DFD) Thuật ngữ tự

nó là một từ viết tắt của sáu mối đe dọa bảo mật cơ bản: Spoofing, Tampering, Repudiation,

Information Disclosure, Denial of Service, and Elevation of Privilege Những mối đe dọa xâm phạm một số thuộc tính, vốn được coi là cần thiết để thiết lập một hệ thống an toàn:

 Spoofing: (Giả mạo) tấn công vào các thuộc tính xác thực và cho phép kẻ tấn công

che giấu hay giả mạo danh tính để đạt được quyền truy cập vào thông tin hoặc tấn công dữ liệu đám mây Các mục tiêu tiềm năng có thể bị giả mạo trong một hệ thống

là các interactor hay tiến trình hệ thống Việc xác thực không chính xác cho phép kẻ giả mạo truy cập và có thể dẫn đến tấn công man-in-the-middle (MITM) Do sự phụ thuộc lẫn nhau, một mối đe dọa STRIDE duy nhất có thể kích hoạt hoặc gây ra nhiều khả năng tấn công hơn nữa Do đó, các cuộc tấn công MITM được liên kết với một số

lỗ hổng trong mạng

 Tampering: (Thay đổi dữ liệu) là mối đe dọa thứ hai và ảnh hưởng đến tính toàn vẹn

của dữ liệu và hệ thống, các quy trình hệ thống, các luồng dữ liệu hoặc bất kỳ các dữ liệu đã lưu có thể bị sửa đổi Một sự thay đổi trong tính toàn vẹn dữ liệu hoặc các thành phần hệ thống phải được ngay lập tức nhận biết hay nhìn thấy và báo cáo Nếu không kẻ tấn công có thể đạt được lợi thế về tài chính, gây thiệt hại tài sản doanh nghiệp hoặc gây ra các hậu quả pháp lý

 Repudiation: (Chối bỏ trách nhiệm) là một vấn đề liên quan chặt chẽ Interactors và

tiến trình phải không có khả năng từ chối bất kỳ hành động trong hệ thống hoặc truy cập vào các thành phần hoặc các khu vực hạn chế Bất kỳ hành động nào đều phải được theo dõi một cách chính xác Ngoài ra, khả năng làm giả mạo các bản ghi, bản ghi âm và các tài liệu phải được loại bỏ để đảm bảo trách nhiệm tuyệt đối

 Information disclosure: (Lam lộ thông tin) là một lỗ hổng quan trọng và ảnh hưởng

đến tính bảo mật của hệ thống, một khía cạnh cơ bản của IT Security Nếu luồng dữ liệu, quá trình lưu trữ hoặc xử lý vô tình phơi bày thông tin nhạy cảm có thể gây ảnh hưởng nghiêm trọng Nghe lén trên các luồng dữ liệu hay kênh truyền thông khiến người dùng gặp nhiều nguy cơ

 Denial of service: (Từ chối dịch vụ) làm giảm tỷ lệ sẵn sàng của hệ thống, ngăn chặn

khách hàng và người dùng truy cập dữ liệu hoặc dịch vụ Trong khi interactors thường không thể bị quá tải hoặc tắt hoàn toàn, các thành phần kỹ thuật khác cũng rất có thể gặp phải Lợi dụng khả năng của hệ thống là một trong những phương pháp đơn giản nhất và phổ biến để đe dọa hoặc gây tổn hại về tài chính Đảm bảo tính luôn luôn sẵn sàng là một trong những mối quan tâm hàng đầu đối với các nhà mạng và công ty

 Elevation of privilege: (Leo thang đặc quyền) là phương thức cuối cùng và vi phạm

quyền hợp pháp Nếu một kẻ tấn công có thể tự tăng quyền cho mình, kẻ tấn công

có thể truy cập vào phần lớn các hệ thống, vượt qua các cơ chế bảo vệ và làm cho mình không bị phát hiện Mối đe dọa này xuất hiện do thiếu cơ chế kiểm soát truy cập, phân quyền người dùng hoặc Spoofing thành công

Sau khi mô hình hóa các DFD, mỗi thành phần được đánh giá và phân tích các điểm mạnh hoặc các lỗ hổng của nó dựa trên các khía cạnh này STRIDE có thể được mở rộng với cây tấn công để xác định đường lối và hành vi của kẻ tấn công tiềm năng Mô hình này là một phương pháp phổ biến để phản ánh về an ninh tổng thể của kiến trúc hệ thống và đánh giá tính khả thi của các cuộc tấn công khác nhau

2 Chi tiết về các kiểu tấn công

a Spoofing

Spoofing thường là bước đầu tiên của một cuộc tấn công Thông thường ARP Poisoning

được giả định là bị suy yếu do tính chất ARP-agnostic của các OpenFlow switch và việc bỏ qua

tự động chuyển tiếp các gói broadcast Controller dù sao vẫn dễ bị giả mạo địa chỉ của máy chủ nội bộ Trong đồ án này và trong bối cảnh của SDN, Spoofing là cố gắng đánh lừa các thiết bị khác để trở thành một thành viên hợp pháp của các mạng (ví dụ như switch, controller hoặc ứng dụng) mà không cần phải xác thực Spoofing thường là một gateway cho các mối đe dọa STRIDE khác và được coi là một mối đe dọa cơ sở trong các phần sau

Bốn thành phần chính là dễ bị Spoofing trong một phần mềm mạng gồm: switch,

controller, các ứng dụng và thành phần quản lý

Về bản chất, các phần bị ảnh hưởng của switch và controller là interface và các thủ tục xác thực Có thể thấy rằng tấn công hijacking và spoofing các controller của mạng là ưu tiên cao nhất của kẻ tấn công Controller hợp nhất với tất cả các logical plane và có quyền kiểm soát toàn

bộ mạng Không cần các certificate tin cậy, kẻ tấn công vẫn dễ dàng có được kết nối như là một phần tử mạng hợp pháp Việc ảo hóa controller và switch trong mạng SDN đơn giản hóa việc chèn một thành phần độc hại bằng cách cài đặt nó trên một máy chủ bị tấn công

Để chống lại sự đe dọa của Spoofing, mỗi ranh giới tin tưởng trong DFD phải được đảm bảo đầy đủ Các giao thức OpenFlow hỗ trợ TLS là một biện pháp phù hợp Tuy nhiên, các dịch

vụ xác thực thường không được thực hiện đầy đủ, không được kích hoạt theo mặc định trong khi triển khai controller và switch, hoặc chỉ đơn giản là vô hiệu hóa bởi các quản trị mạng do những lo ngại về hiệu suất Sự tập trung vào các trung tâm dữ liệu, thường được coi là "an toàn bản chất”, bỏ quên các biện pháp xác thực nghiêm ngặt và được khuyến nghị Các cuộc khảo sát

về hỗ trợ TLS trong controller và chuyển mạch đã được tiến hành trong năm 2013 nhấn mạnh một thiếu nghiêm trọng của TLS Báo cáo nói rằng hầu hết các nhà cung cấp switch OpenFlow không hỗ trợ TLS Trùng hợp là, kể từ năm 2011 yêu cầu hỗ trợ TLS đã giảm xuống trong các thông số kỹ thuật của OF-Switch và mối liên kết giữa các switch và controller đã được đổi tên từ

“kênh an toàn” (secure channel) thành “kênh điều khiển” (controller channel) TLS là vẫn còn tùy chọn hoặc yêu cầu tự thực hiện trong các controller (ví dụ: Floodlight, NOX hoặc OpenDaylight) Ngoài ra, switch có thể không được chứng thực vì xác thực 2 chiều (mutual authentication) không

bị yêu cầu Nhóm nghiên cứu phát triển của Floodlight hiện không có kế hoạch để triển khai hỗ trợ TLS, vì "control plane thường được cách ly với data plane trong một môi trường an toàn"

Các giao thức đã được cài đặt thủ công và cấu hình sử dụng phần mở rộng bổ sung Từ việc công bố các đánh giá an ninh quan trọng cho OpenFlow vào năm 2013, kiến trúc controller dường như đã ít nhất hỗ trợ cơ bản cho các giao thức TLS Tuy nhiên, một mạng sử dụng TLS vẫn phải đối mặt với những thách thức, như giao thức tồn tại một lỗi hoặc cách khai thác mới Trong thực tế, OpenSSL được coi là một trong những loại phần mềm dễ bị tấn công nhất do được sử dụng phổ biến trong các phiên bản không được hỗ trợ Các ONF không xác định hoặc

uỷ thác cho một phiên bản TLS đặc biệt Một trong những nguy hiểm là khả năng tương thích ngược và rơi trở lại cơ chế không an toàn với các phiên bản cũ Các giao thức OpenFlow hỗ trợ VLAN cũng giới thiệu kênh điều khiển và quản lý riêng biệt, có thể ngăn chặn sự giả mạo của một controller hoặc switch và các cuộc tấn công MITM Cấu hình động và tự động này làm giảm thiểu khả năng cấu hình sai trong các thiết lập VLAN Tuy nhiên, do ảnh hưởng một switch, VLAN hopping, hoặc sửa đổi các thẻ lưu lượng phù hợp, những kẻ tấn công có thể truy cập vào các kênh này Những vấn đề này không phải là riêng đối với SDN, nhưng cấu trúc tập trung của SDN

mở ra các tác động tiềm tàng của một lỗ hổng một cách đáng kể Trong khi chế độ IPSec Tunnel giữa các switch và controller được hỗ trợ về mặt lý thuyết để đảm bảo tính xác thực và bảo mật trong mạng, việc các nhà cung cấp và các nhà phát triển tuân theo là không dễ thấy ngay được,

có thể là do thiếu nhu cầu hoặc sự quan tâm

Northbound interface của controller là một vấn đề trong SDN và rất dễ bị Spoofing Nhiều

hệ điều hành mạng dựa trên HTTP không được mã hóa xác thực cơ bản với mật khẩu yếu hoặc thậm chí không có mật khẩu HTTPS thì không được kích hoạt theo mặc định Controller sử dụng các framework phần mềm phổ biến và các API, mà nếu không được bảo trì đúng theo những đánh giá code, có thể đưa ra một loạt các lỗ hổng đã biết và chưa biết Thông thường, các northbound và southbound API được hỗ trợ, mỗi cái bộc lộ một bộ các điểm yếu khác nhau Một buổi thuyết trình DEFCON vào năm 2014 cho thấy các khả năng khai thác Floodlight và OpenDaylight Các diễn giả truy cập vào giao diện của các controller như switch và tự xác thực mình là đáng tin cậy Những switch đã bị spoof (giả mạo) kiểm soát toàn bộ mạng bằng cách gửi tin nhắn ứng dụng để điều khiển và ngăn chặn bất kỳ các thiết bị phát hiện hoặc người quản trị sửa chữa mạng

Code hardening, các kênh riêng biệt và xác thực chặt chẽ đối với bất kỳ access point nào

là những biện pháp để chống lại các lỗi hổng trong việc thiết kế controller chung Việc phát hiện các hoạt động đáng ngờ sớm là điều cần thiết để ngăn chặn hijacking đối với northbound interface Khi giao diện quản lý switch được truy cập qua SSH theo mặc định, các kết nối có thể được coi là an toàn Việc công bố OF-Config, trong đó bao gồm một đặc điểm kỹ thuật của quản

lý truy cập, đòi hỏi một kết nối SSH hoặc TLS đến switch Cho dù thông qua HTTPS, SSH hoặc một proxy ứng dụng, kết nối quản lý cho các controller phụ thuộc vào sự lựa chọn của các nhà phát triển Tuy nhiên, trước đó đã có những thảo luận cân nhắc liên quan đến việc bất kỳ loại biện pháp xác thực nào cũng được áp dụng

 So sánh với kiến trúc truyền thống

Mặc dù kẻ tấn công phải sử dụng phương pháp truyền thống để xác minh mình trong mạng, khả năng thành công được mở rộng đáng kể SDN giới thiệu controller và các ứng dụng, hai mục tiêu mới có thể giả mạo được trong mạng Các thành phần logic mới có khả năng tiêu thụ một lượng lớn tài nguyên trên toàn bộ mạng và do đó sẽ là mục tiêu chính Các giao diện lập trình có khả năng chứa vô số các lỗ hổng bảo mật mới và việc ảo hóa các thiết bị mạng vật

lý, chẳng hạn như switch và controller làm giảm các rào cản đối với việc giả mạo Giao thức xác thực truyền thống tồn tại như là những biện pháp đối phó Tuy nhiên, như đã nhấn mạnh trong báo cáo mối đe dọa an ninh, chúng có thể không đủ để bảo vệ các controller và switch khỏi bị tấn công Sự tác động gia tăng làm cho Spoofing là một mối đe dọa lớn trong SDN, nhiều hơn

so với các mạng truyền thống Thậm chí giả sử tất cả các ranh giới tin cậy được đảm bảo trong mạng, Spoofing vẫn có thể xảy ra Do đó nó được coi là một lỗ hổng cơ sở cho các mối đe dọa khác Các nhà khai thác mạng có ý thức về bảo mật cần phải giải quyết mối đe dọa này với dịch

vụ chăm sóc đặc biệt và triển khai cơ chế để tự động phát hiện các kết nối giả mạo và các thiết

bị dựa trên hành vi đáng ngờ Một khả năng mới của SDN là việc triển khai các ứng dụng phức tạp, trong đó có thể phát hiện và vô hiệu hóa Spoofing trong toàn bộ mạng

b Repudiatiton

Đây là điều đáng mong muốn đối với các quản trị viên để theo dõi bất kỳ hành động hoặc

sự kiện trong hệ thống đối với một thực thể cho mục đích hợp pháp hoặc gỡ lỗi Đồng thời, người dùng thích được tái khẳng định giao tiếp tin cậy và gói tin của họ xuất hiện tại địa chỉ nhận mong muốn Non-repudiation đảm bảo trách nhiệm giải trình và tính minh bạch của interactors trong hệ thống Từ một quan điểm kỹ thuật, nó không được coi là khả thi để hoàn toàn ngăn ngừa Repudiation, như hệ thống máy tính có thể bị tổn hại hoặc token xác thực được mua lại trái phép Tuy nhiên, các biện pháp để đảm bảo mức độ trách nhiệm đối với các thành phần hệ thống và người dùng vẫn tồn tại Đồ án này xác định non-repudiation như khả năng theo dõi chính xác lại bất kỳ hành động hợp pháp với một thiết bị duy nhất hoặc máy chủ của mạng và kết quả là xác định và chỉ ra các thiết bị độc hại hoặc bị tổn hại Khía cạnh pháp lý hay lưu trữ dựa trên chữ ký và mã hóa không được kiểm tra, vì nằm ngoài phạm vi của mạng OpenFlow OpenFlow hỗ trợ IPSec và chứng thực host là trong lý thuyết để bảo đảm thông tin liên lạc sử dụng end-to-end Trong mạng, các control plane dễ bị tấn công Repudiation nhất Data plane thì không đủ thông minh để tự xử lý và do đó không thực hiện bất kỳ hành động từ chối nào

Tuy nhiên, data plane cần báo cáo tất cả các chỉnh sửa và thay đổi dữ liệu nội bộ tới logical plane cao hơn Các giao thức OpenFlow southbound không thực sự chỉ rõ các thông điệp tự động và báo cáo tất cả những thay đổi của các bảng lưu lượng, trạng thái cổng hoặc các controller trong một switch Tuy nhiên, các thông điệp không đồng bộ không có chi tiết về người

đã thực hiện hoặc chỉ huy một thay đổi cụ thể Điều này đặt ra một vấn đề với nhiều controller

hoặc kết nối quản lý Thậm chí ngay cả khi tất cả các kết nối được xác thực nó dường như không thể để định danh một hành động với người thực thi cụ thể

Controller có thông tin về toàn bộ mạng, các máy và switch trong topology và cơ sở dữ liệu ảo hóa Tuy nhiên, OpenFlow không triển khai đủ cơ chế điều tra và các controller phải đối mặt với một số vấn đề liên quan đến việc xác định trách nhiệm Các triển khai controller duy trì một nhật ký cho mục đích gỡ lỗi, nhưng dường như không phân biệt đầu vào ứng dụng từ northbound interface Porras et al., 2015 kiểm tra kiến trúc Floodlight và nhận thấy việc thiếu sót ứng dụng giải trình trách nhiệm Controller không phân biệt các chính sách hoạt động của nhiều ứng dụng hoặc xác định các xung đột Nếu ứng dụng được thiết kế như khối vững chắc và các lệnh được chuyển tiếp đến các controller một cách thống nhất, xung đột nội bộ và hành xử sai

sẽ không bị phát hiện Nhìn chung, southbound cũng như northbound interface không cung cấp khả năng để theo dõi hành động của các thiết bị cấp cao hơn

Một xem xét bảo mật thứ hai là giả mạo các tập tin log duy trì trong tài nguyên cơ sở dữ liệu Controller hoặc máy chủ bị tấn công chỉ đơn giản là có thể ghi đè lên các mục đăng nhập đáng ngờ, nếu dữ liệu không liên tục được gửi đến OSS hoặc SIEM của mạng Nó cũng có thể cấu hình switch để viết lại một số MAC và địa chỉ IP nguồn lên cloud nguồn gốc chính xác của phần mềm độc hại hoặc các lần thử Distributed Denial of Service (DDoS) Công cụ giám sát mạng hoặc các cơ chế phát hiện xâm nhập cơ bản chỉ đơn giản là có thể bị chặn từ một số đường dẫn

dữ liệu và do đó không báo cáo hoạt động đáng ngờ Nếu các thay đổi controller không được báo cáo ngay lập tức tới quản lý trung tâm bất kể có cấu hình hay không, hoạt động bí mật có thể tồn tại không bị phát hiện trong một thời gian dài

 So sánh với kiến trúc truyền thống

Mối đe dọa Repudiation trong SDN không khác biệt đáng kể so với các mạng truyền thống vì phần lớn các giao thức mã hóa TLS và IPSec về mặt lý thuyết đều được hỗ trợ như là một biện pháp đối phó Các vấn đề repudiation trong OpenFlow phần lớn xuất phát từ giả mạo hoặc do sơ suất thực hiện tổng thể, vì các biện pháp xác thực được hỗ trợ nhưng không được chủ trương sử dụng Tuy nhiên, việc đưa vào ID duy nhất cho controller, các ứng dụng và thông báo cho các thành viên khác trong mạng của các hành động của các thiết bị ngang hàng là những cân nhắc bắt buộc Các hoạt động của controller bị hỏng hóc và các ứng dụng phải được ghi chép tỉ mỉ và theo dõi để cung cấp khả năng tối thiểu theo dõi một cách chính xác hoặc phát hiện hành vi đáng ngờ

c Information Disclosure

Có hai loại Information Disclosure được áp dụng cho SDN Một mặt, lưu lượng người dùng có thể được theo dõi, ghi lại và thu thập dữ liệu quan trọng có được sau đó, mặt khác, thăm dò và xác định các mục tiêu tiềm năng là những bước chuẩn bị cho một cuộc tấn công lớn hơn, thường thấy nhất là DoS Liên quan đến ăn cắp dữ liệu, OpenFlow bị các lỗ hổng tương tự như các mạng truyền thống Một kẻ tấn công có thể sniff mật khẩu và các dữ liệu bí mật, nếu

một thiết bị man-in-the-middle đã được cài đặt và dữ liệu truyền đi không được mã hóa Người quản trị mạng làm giảm bớt các vấn đề bằng cách thực hiện thực và mã hóa giao thức OpenFlow

hỗ trợ TLS và IPSec và do đó có thể triển khai một số giải pháp an ninh trên mạng

Một vấn đề tiềm ẩn mới là việc khai thác các thông tin về các máy chủ controller, như controller phân tán cung cấp nhiều dịch vụ dựa trên XML có khả năng dễ bị tổn thương để phân tích lỗi tấn công Khai thác an toàn trong OpenDaylight, trong đó cung cấp quyền truy cập vào các tập tin nhạy cảm hoặc các thông tin, đã tồn tại và tài liệu Tuy nhiên, NETCONF và truy cập cấu hình tương tự các phương pháp thông thường đòi hỏi một SSH hoặc kết nối TLS, cung cấp một sự bảo vệ đầy đủ, nếu và chỉ nếu các mật khẩu mặc định được thay đổi

Các giao thức OpenFlow tự phơi bầy nhiều khả năng thăm dò mới trong mạng

Theo mặc định, switch và controller lắng nghe trên cổng TCP 6653 cho các kết nối mới và

có thể được truy cập từ các nguồn bên ngoài để cung cấp truy cập từ xa Các cổng truy cập công khai để lộ ra một khả năng mới cho những kẻ tấn công để quét các mạng OpenFlow, như dùng các đoạn script hoặc quét các cổng để nhanh chóng xác định các dịch vụ OpenFlow đang chạy Ngay cả khi quét cổng không có sẵn do các biện pháp an ninh nó vẫn còn có thể fingerprint cho mạng OpenFlow bằng cách đo thời gian phản ứng khác nhau trong các gói tin Sự biến động cao tùy thuộc vào trường header (header field) được chọn cho thấy sự tồn tại của một kênh điều khiển Sau khi đã được tìm thấy mục tiêu phù hợp, kẻ tấn công có thể phân biệt switch và controller bằng cách kiểm tra gói tin bắt tay (handshake maeesage) Một câu hồi đáp OFPT_FEATURES_REQUEST cho gói tin HELLO của OpenFlow chứng tỏ đang giao tiếp với một controller Những cuộc tấn công có thể được ngăn chặn nếu switch drop bất kỳ các gói tin nhắm mục tiêu vào các cổng OpenFlow Tuy nhiên, các cổng này có thể là cần thiết để cho phép các truy cập bên ngoài để điều khiển và thực hiện các hoạt động từ xa Cô lập mạng với VLAN là một biện pháp khả thi, nhưng không đảm bảo an toàn Do đó certificate là một yêu cầu để đảm bảo một mức độ tối thiểu về an ninh đối với các kết nối bên ngoài

Khi kẻ tấn công đã khai thác được một máy chủ kết nối với một switch đã xác thực trong mạng, có một số phương pháp để có được thông tin về các thiết bị và các cấu trúc liên kết mạng Switch lộ dữ liệu mạng trong RDB và các bảng quyết định forwading, các controller cung cấp thông tin về toàn bộ cấu trúc liên kết mạng, danh sách kiểm soát truy cập và các chính sách chung Kẻ tấn công sau đó lấy những tài nguyên này bằng cách lợi dụng xác thực bị lỗi và truy vấn các thiết bị

Ngay cả khi nếu switch và controller được xác thực lẫn nhau và Spoofing bị ngăn chặn,

dữ liệu mạng vẫn có thể được thu thập bằng cách sử dụng kiểu tấn công side-channel timing

Để xác định tiêu đề gói tin tạo ra quy tắc luồng mới, kẻ tấn công gửi các gói tin với các trường (field) thay đổi khác nhau và chờ đợi phản hồi Có sự khác biệt đáng kể về mặt thống kê trong thời gian xác định để gói tin được gửi đến các controller bằng switch và tạo một luồng mới trong bảng

 So sánh với kiến trúc truyền thống

Các thành phần mạng mới đưa ra các khả năng mới để thu thập dữ liệu Sự khác biệt trong thời gian phản hồi giúp kẻ tấn công thu thập bản đồ của mạng mà không cần phải truy cập vào bất kỳ thiết bị nào SDN có nhiều yếu tố duy trì thông tin về toàn bộ mạng trong các bảng cơ sở dữ liệu lưu lượng và ảo hóa Thông tin này có thể được phát hiện bằng các truy vấn

từ xa hoặc khi đạt được quyền truy cập vào một máy chủ Trong khi dữ liệu người dùng được bảo vệ với TLS và IPSec, SDN cơ bản không cung cấp phương pháp thích hợp để che giấu thông tin về cấu trúc mạng tổng thể

d Denial of Service

Mạng SDN đề xuất controller trung tâm, là cơ hội cũng như là “gót chân Achilles” trong mạng Các ONF cũng thừa nhận rằng controller "nổi lên như một điểm tiềm năng duy nhất của cuộc tấn công và thất bại mà cần phải được bảo vệ khỏi các mối đe dọa" Tuy nhiên, controller không phải chỉ là điểm mù trong SDN Từ chối dịch vụ có thể được coi là mối đe dọa phổ biến nhất trong SDN Tất cả các khía cạnh STRIDE là một phần trong sự thành công của DoS, vì bề mặt tấn công rất rộng và một loạt các mục tiêu thì luôn có sẵn

Các thành phần đầu tiên để lộ nhiều điểm yếu là switch Sử dụng phương pháp DoS thông thường một kẻ tấn công có thể chỉ đơn giản là làm ngập các cổng vào và giao diện của switch Điều không chắc là các bảng flow của switch OpenFlow tạo ra nhiều tiến trình tải hơn các bảng định tuyến trong các thiết bị truyền thống Việc phát hiện khớp trong bảng flow, tra cứu trong bảng và áp dụng các hành động tạo ra một chi phí tính toán đáng kể, có thể làm xử lý chậm đối với lượng lớn dữ liệu Trường hợp nghiên cứu tiết lộ rằng CPU switch hiện nay có thể là một yếu

tố hạn chế trong phương pháp phản ứng, vì chúng không thể xử lý với tần suất cao các mục trong bảng flow trong khi đang gửi các PACKET_IN message

Sự thay đổi trong việc định tuyến từ bảng flow và kênh giao tiếp từ controller tới switch đưa ra nhiều tùy chọn mới Kẻ tấn công có thể gửi bất kỳ loại packet nào tới switch đã kết nối, giả sử kẻ tấn công đã đạt được quyền truy cập vào một hoặc nhiều máy chủ trong mạng Với điều kiện là các controller hoạt động trong chế độ phản ứng (reactive) và cho phép các tin nhắn PACKET_IN, các máy chủ độc hại có khả năng gửi các gói tin để chuyển đổi mà không được chứng thực

Information Disclosure cung cấp cơ hội để xác định gói tin nào thực sự tạo ra flow rule Bảng flow sau đó sẽ bị tràn với các entry bị thay đổi Kuznier et al., 2015 đã xác định rằng flow entry lớn ảnh hưởng đến hiệu suất chuyển mạch trong một số thiết bị của nhà cung cấp Nếu bảng flow liên tục được lấp đầy, switch sẽ không hoạt động hiệu quả OF-Switch xác định rằng, thay vì thay thế entry cũ, việc chuyển mạch sẽ trả lời với một thông báo ERROR tới controller Tự động bỏ đi flow entry là có thể, nhưng chỉ có tùy chọn và không phải là một chức năng bắt buộc Như TCAM thường chỉ sử dụng dung lượng thấp vì lợi ích hiệu suất, nó có thể đạt tới kích thước giới hạn trong thời gian ngắn Switch được cho là hỗ trợ khoảng 8K đến 32K entry trong bảng

flow, trong thực tế trung bình tối đa thường khoảng 1.500 phần tử, đó là không đủ cho các mạng lớn hơn Một số switch cho phép ít nhất là 250 CAM entry Các entry định tuyến giả liên tục được thêm vào bảng flow và cản trở các entry đúng, do đó có thể thực hiện tấn công từ chối dịch vụ đối với các dòng mạng cụ thể Để giải quyết những vấn đề chung của kích thước entry bị giới hạn, các nhà cung cấp switch đã được tăng kích thước có sẵn tối thiểu Hơn nữa, flow có thể được gộp chung lại để tiết kiệm không gian Tuy nhiên, các phương pháp này có thể là vô ích, nếu kẻ tấn công hiểu biết các cấu hình của flow entry

Kênh controller-to-switch có nhiều lỗ hổng tấn công DDoS khác nhau Các máy tấn công tạo ra các gói tin giả với header không có thật để switch chuyển tiếp đến các thành phần kiểm soát để được tư vấn Trong khi khả năng tính toán của máy chủ đòi hỏi một lượng lớn lưu lượng

và các gói tin có thể bị drop bởi controller, nó có thể làm chậm sức mạnh xử lý đủ mạnh để gây

ra tình trạng quá tải trong hoạt động kiểm soát Ngoài ra xác thực là không cần thiết cho cuộc tấn công này và thực hiện một mã hóa TLS tính toán nặng có thể khuếch đại các tác động

Tấn công tài nguyên đã được nghiên cứu và chứng minh rộng rãi trong nghiên cứu bảo mật SDN Các controller đã được kiểm tra kỹ lưỡng gồm POX, Floodlight, ONOS và OpenDaylight Nhiều phương pháp đã được thực hiện trên môi trường mạng ảo Mininet, đó là một phần mềm nguồn mở cho mục đích thử nghiệm và nghiên cứu Mặc dù không phải là một mạng thực tế,

nó có thể đại diện và mô phỏng các kiến trúc và hành vi của các thiết bị thực và có thể được sử dụng để làm nổi bật lỗ hổng thiết kế chung Kl¨oti năm 2014 đã kiểm tra một cuộc tấn công trên controller POX trong Mininet Các máy chủ độc hại thay đổi các trường header và ghi thành công vào bảng flow Controller đã không cố gắng để loại bỏ bất kỳ mục không cần thiết, mặc dù nó

đã nhận được trả lời lỗi và hiệu suất giảm sút đáng kể Kiểm tra các tập tin log của controller Mininet, một lỗ hổng mới và trước đó không được xem xét đã được tìm thấy Các bản ghi entry

cũ không được lọc và các tập tin phát triển không giới hạn Một vấn đề tương tự đã được xác định bởi Roma~o et al., 2013 sau khi kiểm tra các switch ảo phổ biến là Open vSwitch Switch đã không thực hiện giới hạn cứng cho các entry trong bảng flow Ngay sau khi chương trình vượt không gian dành riêng trong máy, quá trình switch đã được chấm dứt để tránh lãng phí thêm

bộ nhớ Các mạng kết nối đến switch như vậy thực tế đã bị từ chối dịch vụ

Một cách tấn công khác thay cho tấn công vào tài nguyên là giới hạn kênh giao tiếp controller-to-switch Sau khi mất kết nối, switch chuyển trở lại chế độ “fail secure” hoặc “fail standalone”, chủ yếu giới hạn trong khả năng của switch Các mạng có thể vẫn hoạt động, nhưng switch trong chế độ “fail secure” về bản chất bị đóng băng trong việc forwarding Các switch lai trong chế độ “fail standalone” phải dựa trên các giao thức định tuyến thông thường, có thể được coi là một hành vi tấn công của SDN Khác với việc tiêm các gói tin TCP FIN, nó có thể làm gián đoạn thông tin liên lạc bằng cách giả mạo chuyển đổi mục tiêu và trao đổi thông điệp OFTP Hello Controller thấy sự thay đổi trong topology và hủy bỏ kết nối với switch ban đầu Sau đó, switch bình thường tìm cách kết nối và kết nối giả là bị cắt, các đoạn mã độc hại đăng ký một

thiết bị mới và do đó liên tục ngắt kết nối Shalimov et al., 2013 nghiên cứu triển khai trên các controller khác nhau và thấy rằng các thông điệp bị thay đổi có thể gây gián đoạn hay thất bại

Cuối cùng, một báo cáo nghiên cứu của Dover Networks xác định một lỗi khai thác trong controller Floodlight Những kẻ tấn công đăng ký một switch mới sử dụng bắt tay thông thường Sau khi kết nối thành công, một gói tin không yêu cầu OF_FEATURE_REPLY với một switch ID đã chỉnh sửa được gửi Controller trả lời với một thông báo lỗi nhưng lưu lại ID giả Các kết nối sẽ

bị hủy và quá trình lặp đi lặp lại cho đến khi bảng switch và cơ sở dữ liệu cấu trúc liên kết mạng được đủ đầy Việc thiếu bộ nhớ làm cho controller không thể duy trì các bảng switch Thiết bị sẽ không còn hoạt động và drop các kết nối đang bật, kết quả là rối loạn chức năng mạng

Các vụ tấn công nói trên được coi là không xảy ra nếu TLS đang hoạt động Nó phụ thuộc vào về việc thực hiện và cấu hình cho dù một máy chủ bị nhiễm có thể gửi các gói tin với header OpenFlow bị thay đổi tới controller thông qua một switch đã được xác thực hay không Giả sử switch không drop các gói tin lỗi và chuyển tiếp nó tới các kênh điều khiển qua gói tin PACKET_IN, các controller có thể bị tấn công cho dù sử dụng xác thực hợp lý

Nhìn chung, TLS không đủ trong việc ngăn chặn các cuộc tấn công DoS Để hạn chế, kiểm soát và chỉ đạo luồng lưu lượng, OpenFlow thực hiện chuyển tiếp Những cơ chế này là rất cần thiết để giải quyết lưu lượng khi bị từ chối dịch vụ Một phòng chống hiệu quả đòi hỏi phải có một control plane và kênh thực dụng Trong khi thực hiện kết nối phụ trợ OpenFlow để hỗ trợ các kênh, chúng có thể không đáng tin cậy vì phụ thuộc vào liên kết chính Nếu kết nối chính bị gián đoạn (ví dụ như thông qua một gói tin TCP FIN), tất cả các kết nối phụ trợ sẽ giảm xuống Controller phân tán là một biện pháp cần thiết để tăng cường mạng, nhưng lại phức tạp và gia tăng nguy cơ lỗi và không đồng bộ Switch OpenFlow hỗ trợ nhiều controller và các cơ chế dự phòng để đảm bảo độ tin cậy Tuy nhiên, phản ứng DoS tự động bởi nhiều controller không phải

là phạm vi của các giao thức OpenFlow hoặc giải quyết trong việc triển khai phân phối Trách nhiệm phát hiện và đánh giá hành vi bất thường được giao cho các ứng dụng và không phải là một phần của controller hoặc data plane

 So sánh với kiến trúc truyền thống

SDN khuếch đại nguy cơ tấn công từ chối dịch vụ trong mạng tới một mức độ lớn Các thành phần mạng drop độc lập vì lợi ích nhanh chóng và dễ dàng cấu hình, nhưng nếu bộ xử lý trung tâm thất bại, mạng sẽ bị phá vỡ Khả nặng lập trình và phương pháp tiếp cận software-centric giới thiệu vectơ tấn công mới và các lỗi tiềm ẩn Tuy nhiên, SDN cũng cung cấp nhiều cơ hội để tự động giảm thiểu các cuộc tấn công DoS Ứng dụng có thể cô lập các host zombie, nếu chúng được xác định trong thời hạn Lưu lượng truy cập một cách nhanh chóng có thể được định tuyến lại để tránh tắc nghẽn và switch đo giới hạn tốc độ dữ liệu đến, kết quả là bảo vệ động và nhanh chóng các khu vực mạng nhạy cảm Mạng lưới giám sát liên tục tạo điều kiện xác định nhanh chóng các hành vi bất thường Những khả năng này, tuy nhiên, được dựa trên giả định rằng controller đang hoạt động hoặc sử dụng các công cụ bảo hộ cần thiết OpenFlow

không bao gồm các khả năng này theo mặc định Ứng dụng thông minh và điều khiển phân phối phải được triển khai trong SDN để đảm bảo vệ tấn công đáng tin cậy

e Elevation of Privilege

Các đặc quyền tối thiểu đảm bảo rằng người sử dụng, quy trình và interactors của một

hệ thống không thực hiện bất kỳ hoạt động nhiều hơn so với họ được phép làm Nếu một tiến trình của một hệ thống đạt ủy quyền cao hơn, tức là nâng cao đặc quyền của mình, toàn bộ hệ thống bị xâm nhập Các mối đe dọa ảnh hưởng đến mạng OpenFlow theo hai cách khác nhau Các con đường cơ bản là sự xâm phạm vào vùng tin tưởng rời rạc Nếu kẻ tấn công quản lý để vượt qua các cơ chế xác thực cơ bản của controller và switch, là đã đạt được một mức độ cao hơn của ủy quyền trong mạng

Một gợi ý chung của việc tách mạng trong SDN là ứng dụng FlowVisor, hoạt động như một proxy giữa controll plane và data plane và gán cho controller cho các mạng riêng biệt Mỗi controller chỉ có kiến thức về mạng chỉ định và không có khả năng chèn luồng vào switch bên ngoài Về lý thuyết, nhiều controller được kết nối với FlowVisor, quản lý một phần ảo thiết bị khác nhau có khả năng chồng chéo FlowVisor viết lại thông điệp không đồng bộ và controller-to-switch theo topo mạng được định nghĩa và chuyển tiếp các lệnh hoặc các báo cáo cho các thiết bị có liên quan Mặc dù FlowVisor là một triển khai duy nhất của các mạng riêng biệt và thường được sử dụng cho mục đích nghiên cứu, nó đại diện cho một nguyên tắc thiết kế chung

và các lỗ hổng của nó Giả sử một kẻ tấn công đã thực hiện trên một trong các controller, nó có thể được có thể để đánh lừa FlowVisor theo cách tương tự như switch bị giả mạo trong OpenFlow Một controller giả mạo có thể giả định kiểm soát mạng lưới các thiết bị gốc và chèn thêm bất kỳ flow entry vào các switch Một lỗ hổng khác trong FlowVisor là việc xác minh các hành động Nó có thể chèn các quy tắc vào switch để viết lại ID VLAN và các trường khác của các gói tin Có thể ghi đè lên bảng entry của các controller khác bằng cách chèn cụ thể hơn, các quy tắc ưu tiên cao hơn vào bảng lưu lượng, do đó kiểm soát việc chuyển đổi chia sẻ Những lỗ hổng phải được giải quyết trước khi nó có thể triển khai SDN trong các mạng đa người dùng Tuy nhiên, việc triển khai controller dường như không phân biệt ưu tiên ứng dụng và thẩm quyền Các ứng dụng được không bị giới hạn trong phạm vi cấu hình của chúng, cũng không phải là chúng bị hạn chế trong việc tiếp cận dựa trên quyền Một ứng dụng khách có thể ghi đè lên các quyết định chính và các entry, giả sử các controller có quyền truy cập vào các mạng tương ứng

 So sánh với kiến trúc truyền thống

Sự phát triển của SDN đặt ra một vấn đề trong việc xác định các rủi ro tiềm ẩn trong các mạng dịch vụ chia sẻ Ứng dụng doanh nghiệp chi phối hoặc triển khai chưa xuất hiện để đánh giá các quyết định thiết kế cứng Trong khi Google đã cài đặt một quy mô trung tâm dữ liệu SDN lớn, họ tránh được các vấn đề xung đột ứng dụng sử dụng các khối ứng dụng duy nhất và giải quyết xung đột nội bộ Ngoài ra, không có cơ chế thực tế để chia sẻ nguồn lực điều khiển giữa

người sử dụng mạng khác nhau hoặc các tổ chức có sẵn nào FlowVisor là một giải pháp phổ biến để phân chia mạng lưới an ninh, bảo vệ hoặc điều khiển khác nhau, nhưng đã cho thấy vô

số các lỗ hổng trong thiết kế Nhìn chung, uỷ quyền và phân phối quyền hạn thích hợp là một nền tảng quan trọng trong việc triển khai các phần mềm mạng với quy mô lớn, cần được xem xét phát triển

II TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG VÀ CƠ SỞ DỮ LIỆU

1 So sánh với việc tích hợp các giải pháp bảo mật cho hệ thống mạng truyền thống

Một hệ thống tự trị phân quyền (mạng truyền thống) phải được bảo vệ đầy đủ Tuy nhiên, các biện pháp an ninh chuyên biệt cho mỗi phần tử mạng riêng biệt có thể có một tác động to lớn về hiệu suất và tổng chi phí mạng Việc quản trị do đó dựa trên các thiết bị khác nhau giữa các điểm phân giới biên hoặc vùng quan trọng để làm mạng vững chắc hơn

Một hệ thống mạng doanh nghiệp thường được chia thành các vùng logic khác nhau Phần bên trong của một tổ chức tạo thành mạng nội bộ Bất kỳ thông tin trao đổi, lưu trữ, hoặc xuất bản ở đây được chỉ định là riêng tư và bảo vệ khỏi phạm vi công cộng Nếu công ty muốn trao đổi các dịch vụ và thông tin với các doanh nghiệp khác mà không để lộ mạng riêng của họ, một extranet có thể được thiết lập để kết nối hai trang web trên internet Mặc dù một extranet được dựa trên sự tin tưởng lẫn nhau, nó cho biết thêm cơ hội tấn công mới và phải được bảo vệ một cách độc lập Trong nhiều trường hợp, các tổ chức có tài nguyên mà có thể hoặc cần phải được truy cập bởi mọi người, bao gồm cả các dịch vụ web hoặc email Vì các giao tiếp từ bên ngoài làm cho những máy chủ trở thành một mục tiêu có thể bị tấn công, chúng được nằm trong một khu vực riêng biệt gọi là khu vực phi quân sự (DMZ - demilitarized zone) DMZ nằm giữa hai vùng an ninh và có thể được xem như là các khu vực ngoài của một mạng công ty

Một kỹ thuật đơn giản để thực thi sự tách biệt này và để tăng cường an ninh cho một mạng là gia tăng các bộ công cụ của các thiết bị định tuyến và chuyển mạch Để ngăn chặn ARP spoofing, thiết bị có thể được cấu hình để phản ứng với những địa chỉ MAC được xác định trước Tương tự như vậy, các vùng mạng ảo (VLAN) của một switch có thể giới hạn số lượng các mối đe dọa tiềm năng và hỗ trợ trong việc phân chia mạng thành các cấp độ bảo mật khác nhau Nếu người quản trị mong muốn để ngăn chặn dữ liệu cụ thể hoặc các gói tin người dùng

đi qua mạng, bộ định tuyến và chuyển mạch của họ được trang bị Access Control Lists (ACLs) ACL chỉ định hoặc là Whitelist hoặc là Blacklist cho một giao thức TCP / UDP cụ thể hoặc các địa chỉ IP và bảo vệ máy chủ hoặc trong trường hợp router ngoài cùng ranh giới mạng hay một đoạn của toàn bộ mạng từ các cuộc tấn công Tương tự như vậy, các bộ định tuyến và

chuyển mạch ghi log các hoạt động mạng và cung cấp truy cập thông qua các control plane của các thiết bị Cơ chế để theo dõi thông tin này là một giao diện dòng lệnh tùy chỉnh (CLI) của các nhà cung cấp, các giao thức tiêu chuẩn Simple Network Management Protocol (SNMP) hoặc các giao thức mới, truy cập cấu hình NETCONF dựa trên XML Các kết nối thường được bảo đảm sử dụng TLS hoặc Secure Shell (SSH), nhưng đôi khi có thể bị thiết lập không an toàn như khi sử dụng Telnet Người quản trị có thể sử dụng những công cụ này để xác định hành vi bất thường trong mạng hoặc để cấu hình một router bị ảnh hưởng Các kết nối quản lý có thể được thực hiện out-of-band Một giao tiếp out-of-band vật lí hoặc ảo hầu như tách khỏi mạng và không

đi trên cùng một kênh như là dữ liệu thông thường Mặc dù chi phí cao hơn so với truy cập band, các nhà điều hành vẫn có thể giữ kiểm soát hoàn toàn qua mạng ngay cả khi liên kết bình thường đang quá tải và có thể cấu hình lại các thiết bị cá nhân mà không bị cản trở

in-Tuy nhiên, một kẻ xâm nhập chuyên nghiệp có thể dễ dàng vượt qua các tính năng này Để bảo vệ đầy đủ một mạng thông thường, các nhà khai thác sử dụng các thiết bị chuyên biệt giữa các nút, thường gọi là middleboxes Một công cụ bảo vệ phổ biến và cần thiết là tường lửa Mặc dù các ACL của một router có thể lọc địa chỉ IP và cổng, nó không có khả năng ghi nhớ trạng thái của một kết nối hoặc phản ứng tự động Các nhà quản trị phải cấu hình bằng tay các thiết bị cá nhân để xác định địa chỉ và chỉ có thể phản ứng với các mối đe dọa Tường lửa Stateful cũ có các chức năng tương tự như của ACL và ngăn chặn các hoạt động không mong muốn Các gói tin không phù hợp với các qui trình điển hình của một giao tiếp nào đó (ví dụ như bắt tay TCP bất thường) Phiên bản tường lửa hiện đại thậm chí còn có khả năng ngăn chặn các hành vi không xác định của các ứng dụng đáng tin cậy hoặc phát hiện những nỗ lực do thám như quá trình quét các cổng đang mở trên máy chủ

Thường tích hợp vào tường lửa là Network Address Translation (NAT), trong đó chuyển đổi địa chỉ IP global thành địa chỉ IP local để tiết kiệm không gian địa chỉ IPv4 Mặc dù ban đầu không có ý định để hoạt động như một thiết bị bảo mật, NAT giấu cấu trúc của các mạng nội

bộ và bảo vệ máy chủ từ các cuộc tấn công nhắm vào mục tiêu Như khả năng lưu trữ của thiết

bị định tuyến và chuyển mạch thường được giới hạn, tường lửa bổ sung cung cấp cơ chế logging

và khả năng kiểm toán truy cứu trách nhiệm cho các control plane Chúng thường được đặt giữa chỗ nghẽn mạng hoặc gateway để quan sát số lượng truy cập tối đa, nhưng tuyến phòng thủ hơn nữa cũng có thể bảo vệ các máy hoặc các khu vực mạng có độ nhạy cảm cao

Tường lửa là đủ để ngăn chặn các ứng dụng mạng hoặc lưu lượng truy cập cụ thể trong hầu hết các trường hợp, nhưng không có bất kỳ phương tiện để phát hiện hoạt động đáng ngờ Tính năng phòng thủ mạng này được thực hiện trong một hệ thống phát hiện xâm nhập (IDS) Một IDS có một chức năng tương tự như một chương trình anti-virus đơn giản Nó phát hiện và báo cáo các mối đe dọa dựa trên dấu hiệu gói tin độc hại quen thuộc hay hành vi mạng bất thường Một phiên bản phổ biến là hệ thống phát hiện xâm nhập dựa trên mạng Tương tự