BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Đào Việt Hùng TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Chuyên ngành: Kỹ thuật truyền thông LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT TRUYỀN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC TS Trương Thu Hương Hà Nội – Năm 2015 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN LỜI CAM ĐOAN Tôi xin cam đoan luận văn công trình nghiên cứu thực cá nhân tôi, thực hướng dẫn khoa học TS Trương Thu Hương Các số liệu, kết nghiên cứu luận văn trung thực Tôi xin chịu trách nhiệm nghiên cứu Học viên Đào Việt Hùng Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH SÁCH HÌNH VẼ DANH SÁCH BẢNG BIỂU DANH SÁCH THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG GIỚI THIỆU VỀ CÔNG NGHỆ MẠNG LẬP TRÌNH ĐƯỢC - SDN 11 1.1 Mạng lập trình (SDN) 11 1.1.1 Giới thiệu 11 1.1.2 Kiến trúc SDN 11 1.1.3 Khả năng, lợi ích SDN 13 1.2 Giao thức OpenFlow 14 1.2.1 Tổng quan 14 1.2.2 Kiến trúc Openflow 15 1.3 Các tin trao đổi Controller (POX) OpenvSwitch 16 1.3.1 Bản tin StatisticRequest 19 1.3.2 Bản tin StatisticResponse 20 1.3.3 Bản tin FlowMod 21 1.4 Kết luận 22 CHƯƠNG THỰC TRẠNG HỆ THỐNG MẠNG CỦA NHÀ CUNG CẤP DỊCH VỤ INTERNET (ISP) TẠI VIỆT NAM 23 2.1 Sơ đồ hệ thống mạng VDC Online 23 2.2 Giám sát quản trị mạng 24 2.3 Các hình thức công mạng 26 2.4 Phân tích tình công DDOS thực tế VDC Online 28 2.5 Đề xuất sơ đồ hệ thống cho ISP 32 2.6 Kết luận 34 CHƯƠNG XÂY DỰNG HỆ THỐNG THÍ NGHIỆM 35 3.1 Sơ đồ hệ thống thí nghiệm 35 3.2 Bộ điều khiển POX 36 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN 3.2.1 Mục đích phương thức hoạt động 36 3.2.2 Khối chức GetStats 38 3.2.3 Khối chức Bandwidth Calculation 39 3.2.4 Khối chức Flow Modification 40 3.2.5 Cài đặt sử dụng 41 3.3 OpenvSwitch 41 3.3.1 Giới thiệu tổng quan 41 3.3.2 Cài đặt sử dụng 41 3.4 Cấu hình hệ thống thử nghiệm 44 3.4.1 Cấu hình OpenvSwitch 44 3.4.2 Cấu hình POX Controller thực kết nối tới OpenvSwitch 46 3.5 Kết luận 47 CHƯƠNG KỊCH BẢN THÍ NGHIỆM, ĐÁNH GIÁ KẾT QUẢ 48 4.1 Kịch thí nghiệm 48 4.1.1 Kịch thí nghiệm 48 4.1.2 Công cụ sử dụng 50 4.2 Mô công 51 4.2.1 Giả lập hệ thống hoạt động tốt 51 4.2.2 Giả lập công server 52 4.2.3 Xử lý công 54 4.3 Đánh giá kết 55 4.3.1 Nhận xét, đánh giá: 55 4.3.2 Hướng phát triển hệ thống: 55 4.4 Kết luận 56 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 59 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN DANH SÁCH HÌNH VẼ Hình 1.1 Kiến trúc SDN 12 Hình 1.2 Cấu trúc Switch truyền thống 14 Hình 1.3 Cấu trúc Openflow Switch 15 Hình 1.4 Kiến trúc Openflow 16 Hình 1.5 Các tin sử dụng để thống kê gửi lệnh từ POX xuống OpenvSwitch 16 Hình 1.6 Lưu đồ thuật toán tổng quan trình ứng dụng Controller 18 Hình 1.7 Cấu trúc bàn tin StatisticRequest-Flow 19 Hình 1.8 Cấu trúc tin StatisticResponse – Flow 20 Hình 1.9 Cấu trúc trường match tin StatisticResponse 21 Hình 1.10 Cấu trúc tin FlowMod 21 Hình 2.1 Sơ đồ tổng quát hệ thống mạng VDC Online 23 Hình 2.2 Giám sát băng thông hệ thống Cacti (Nguồn: [18]) 25 Hình 2.3 Giám sát trạng thái hệ thống Nagios (nguồn: Viettel IDC) 26 Hình 2.4 Tấn công vào băng thông (nguồn: VDC Online) 27 Hình 2.5 Tấn công vào khả xử lý thiết bị (Nguồn: VDC Online) 27 Hình 2.6 Sơ đồ công DDOS 29 Hình 2.7 Biểu đồ băng thông có công DDOS thực tế ISP Việt Nam (Nguồn: VDC Online) 30 Hình 2.8 Kết bắt gói tin xảy công 31 Hình 2.9 Sơ đồ hệ thống đề xuất cho ISP 32 Hình 3.1 Sơ đồ khối hệ thống thử nghiệm 35 Hình 3.2 Lưu đồ thuật toán khôi chức GetStats 38 Hình 3.3 Lưu đồ thuật toán khối chức Bandwidth Calculation 39 Hình 3.4 Lưu đồ thuật toán khối chức Flow Modification 40 Hình 3.2 Flow-table OpenvSwitch 47 Hình 4.1 Mô hình thí nghiệm phân tích liệu chạy qua hệ thống 48 Hình 4.2 Sơ đồ bố trí thí nghiệm thực tế 49 Hình 4.3 Giao diện Iperf 50 Hình 4.4 Download từ server với tốc độ 10Mbps 51 Hình 4.5 Giao diện quản trị chưa có công 52 Hình 4.6 Bắn luồng liệu băng thông 200Mbps vào server 53 Hình 4.7 Giao diện quản trị bắt đầu có công 53 Hình 4.9 Giao diện quản trị hệ thống sau xử lý công 54 DANH SÁCH BẢNG BIỂU Bảng 1.1 Các loại thông tin điều khiển tin FlowMod 22 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN DANH SÁCH THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng anh Ý nghĩa SDN Software Defined Network Mạng lập trình Open Flow Luồng mở FPGA Field-Programmable Gate Arrays IP MAC Internet Protocol Media Access Control SSL Secure Sockets Layer GUI AP PC VIP Graphical User Interface Access Point Personal Computer Very Important Person Controller Server, Client Control Path Data Path StatsRequest StatsResponse FlowMod Internet Service Provider Switch Router Control Plane Data Plane Virtulization ISP BGP Border Gateway Protocol MRTG Multi Router Traffic Grapher DOS DDOS Ae Denial of Service Distributed Denial of Service aggregated ethernet Mảng cổng lập trình dạng trường Giao thức liên mạng Điều khiển đa truy nhập Giao thức bảo mật cá mã hóa thông tin Giao diện người dùng Điểm truy cập không dây Máy tính cá nhân Người quan trọng Bộ điều khiển Máy chủ, máy trạm Mặt điều khiển Mặt liệu Bản tin yêu cầu thông số Bản tin trả lời thông số Bản tin chỉnh sửa Nhà mạng viễn thông Thiết bị chuyển mạch Thiết bị định tuyến Mặt phẳng điều khiển Mặt phẳng liệu Ảo hóa Giao thức định tuyến liên vùng Công cụ giám sát mạng biểu đồ Từ chối dịch vụ Từ chối dịch vụ phân tán Cổng mạng tổng hợp Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Traffic SSDP Simple Service Discovery Protocol ARP CAM Core Distribute Access Address Resolution Protocol Content Addressable Memory ACL Access Control List VLAN Virtual Local Area Network TCP Transmission Control Protocol UDP User Datagram Protocol CPU RAM Central Processing Unit Random Acccess Memory Thông lượng Giao thức phát dịch vụ đơn giản Lõi Phân tán Truy nhập Giao thức phân giải địa Bộ nhớ địa nội dung Danh sách điều khiển truy cập Mạng riêng ảo Giao thức điều khiển vận chuyển Giao thức liệu ngắn người dùng Khối xử lý trung tâm Bộ nhớ truy cập ngẫu nhiên Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN LỜI NÓI ĐẦU Trong thời đại bùng nổ thông tin nay, ta bắt gặp doanh nghiệp lớn nhỏ hệ thống truyền tin với đầy đủ yếu tố cấu thành hệ thống mạng Đặc biệt, nhà cung cấp, hệ thống mạng lên tới hàng trăm, hàng nghìn thiết bị với mô hình kết nối từ đơn giản tới phức tạp Nhưng cho dù hệ thống có phức tạp tới đâu, mục đích cuối đảm bảo chức truyền tin nhanh an toàn Nói tới vấn đề bảo mật nói tới vấn đề cốt lõi, quan tâm lĩnh vực thông tin Kiến trúc mạng truyền thống ngày trở nên không phù hợp với nhu cầu kinh doanh doanh nghiệp, nhà khai thác mạng người dùng cuối Các nhà nghiên cứu đưa khái niệm hoàn toàn lĩnh vực điều khiển mạng, SDN – Software Define Network – Mạng lập trình Mạng lập trình hay SDN, kiến trúc mạng mới, mà đó, thiết bị chuyển mạch (Switch, Router …) tách làm hai phần riêng biệt: Mặt phẳng điều khiển (Control Plane) Mặt phẳng liệu (Data Plane) Control Plane triển khai server bên ngoài, chịu trách nhiệm điều khiển việc chuyển tiếp gói tin chức tích hợp khác Data Plane thực việc chuyển tiếp gói tin dựa theo lệnh mà Control Plane đưa SDN sử dụng giao thức Openflow để giao tiếp Control Plane Data Plane Openflow bắt đầu phát triển từ năm 2008 Đại học Stanford, California, Mỹ Với đời Openflow, việc trao đổi Control Plane Data Plane trở lên dễ dàng, thuận tiện xác Nhờ đó, SDN bắt đầu áp dụng để thay cho kiến trúc mạng thông thường Thực tế SDN triển khai nhiều phòng Lab trường đại học, trung tâm nghiên cứu ưu mà Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN đem lại Các tập đoàn lớn Google, HP bắt đầu sử dụng kiến trúc SDN mạng lõi Với kinh nghiệm thân làm việc nhà cung cấp dịch vụ viễn thông (Internet Service Provider – ISP) lớn Việt Nam, người làm đồ án tiếp xúc với hàng chục công từ Internet tháng Việc phân tích phát cố công vấn đề quan trọng then chốt ISP nhằm đảm bảo toàn hệ thống vận hảnh an toàn ổn định giảm thiểu rủi ro cho khách hàng để từ có phương án phòng tránh hiệu Chính vậy, em lựa chọn đề tài luận văn thạc sỹ viết vấn đề nóng bỏng với cách xử lý hoàn toàn (ít Việt Nam): “Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN” Trong trình thực hiện, hạn chế mặt thời gian kiến thức, nên đề tài tránh khỏi thiếu sót Em mong nhận đóng góp thầy cô bạn để đề tài hoàn thiện Em xin trân trọng cảm ơn thầy, cô trường Đại học Bách Khoa Hà Nội, Viện Điện Tử Viễn Thông, Viện Đào Tạo Sau Đại Học giúp đỡ em nhiều suốt trình học cao học Em xin chân thành cảm ơn Tiến sỹ Trương Thu Hương trực tiếp hướng dẫn em thực thành công đề tài nghiên cứu Xin cảm ơn anh, em Future Network Lab 618 thư viện Tạ Quang Bửu hỗ trợ nhiều việc xây dựng hệ thống test công cụ mô thí nghiệm Xin cảm ơn Trung tâm dịch vụ Giá trị gia tăng – công ty Điện toán truyền số liệu VDC Công ty Viettel IDC cung cấp cho số liệu để làm sở thực tế áp dụng vào đề tài Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Cuối cùng, xin gửi lời cảm ơn sâu sắc tới toàn thể gia đình tảng, người theo sát, chăm sóc động viên cho suốt trình học tập thực đề tài Sau mục tiêu bố cục luận văn: Mục tiêu:  Nghiên cứu công nghệ SDN sử dụng OpenFlow, vấn đề kỹ thuật ứng dụng hệ thống mạng  Ứng dụng kỹ thuật SDN sử dụng OpenFlow vào việc bảo mật mô hình mạng ISP, cụ thể phân tích liệu công đưa cảnh báo phát cho người quản trị Bố cục luận văn: Luận văn chia thành chương:  Chương 1: Giới thiệu công nghệ mạng lập trình – SDN Chương cung cấp kiến thức công nghệ mạng lập trình (SDN), giao thức Openflow tin trao đổi hệ thống mạng sử dụng OpenFlow  Chương 2: Thực trạng hệ thống mạng nhà cung cấp dịch vụ Internet (ISP) Việt Nam Chương đưa thực trạng hệ thống mạng chung nhà cung cấp dịch vụ Internet Việt Nam với đại diện VDC Online [21], phân tích trường hợp công DDOS băng thông thực tế gặp phải Chương đưa mô hình đề xuất triển khai OpenFlow Switch kết hợp với hệ thống tại VDC Online  Chương 3: Xây dựng hệ thống thí nghiệm Chương đưa sơ đồ hệ thống mạng thử nghiệm dùng OpenFlow xây dựng phòng thí nghiệm Future Internet Đại học Bách Khoa Hà Nội, thành phần, khối chức hệ thống Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Controller "tcp:10.0.10.1:6633" fail_mode: secure Port "nf2c2" Interface "nf2c2" Port "nf2c3" Interface "nf2c3" Port "br0" Interface "br0" type: internal Port "nf2c0" Interface "nf2c0" Port "nf2c1" Interface "nf2c1" ovs_version: "2.3.1" 3.4.2 Cấu hình POX Controller thực kết nối tới OpenvSwitch Cấu hình IP tĩnh cho cổng eth0 # ifconfig eth0 10.0.10.1 netmask 255.255.255.0 Kiểm tra kết nối tới OpenvSwitch: Vào thư mục chứa POX chạy lệnh: #./pox.py forwarding.l2_learning #POX 0.2.0(carp)/Copyright 2011-2013 James McCauley, et al INFO:core:POX 0.2.0 (carp) is up INFO:openflow.of_01:[00-4e-46-32-43-00 1] connected Nếu Teminal báo connected kết nối thành công Sau thực kết nối thành công ta kiểm tra OpenvSwitch hoạt động chưa cách cấu hình IP tĩnh Client (cùng giải mạng), kết nối vào cổng 46 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN NetFPGA thực câu lệnh ping hai Client, sau thực câu lệnh sau Terminal OpenvSwitch ovs-vsctl dump-flows br0 Nếu Terminal hiển thị thông tin hình OpenvSwitch thực chức Hình 3.2 Flow-table OpenvSwitch 3.5 Kết luận Qua mục chương nắm sơ đồ hệ thống mạng thử nghiệm chạy OpenFlow, hiểu thành phần hệ thống mạng đó, nắm khối chức điều khiển POX, cách thức cài đặt sử dụng thiết bị Openvswitch 47 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN CHƯƠNG KỊCH BẢN THÍ NGHIỆM, ĐÁNH GIÁ KẾT QUẢ Trong chương này, ta xây dựng kịch thí nghiệm mô trình tân công DDOS server, thông tin hệ thống xuất hình quản trị trước, sau công 4.1 Kịch thí nghiệm 4.1.1 Kịch thí nghiệm Hình 4.1 Mô hình thí nghiệm phân tích liệu chạy qua hệ thống Hình 4.1 mô tả luồng liệu chạy qua hệ thống Một luồng liệu truy cập bình thường từ người dùng tới địa website qua Internet Một luồng công từ Internet tới khách hàng Tất qua hệ thống nhà cung cấp dịch vụ cụ thể qua khối phân tích liệu đề xuất (OpenFlow Switch) Tại hệ thống phân tích liệu đưa cảnh báo thông tin cần thiết cho người quản trị Mô hình thử nghiệm thực tế mô tả hình 4.2 bên Để thực thí nghiệm, em sử dụng mô hình kinh điển khối bao gồm: - Openvswitch: máy tính gắn card NetFPGA, chạy hệ điều hành Centos Trên máy tính cài đặt module OpenFlow Switch IP Openvswitch 10.0.10.2/24 48 Luận văn thạc sĩ - Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN POX: máy tính chạy hệ điều hành Ubuntu có cài module Controller để điều khiển hoạt động Openvswitch hiển thị kết hình IP Pox 10.0.10.1/24 - Client: máy tính chạy hệ điều hành Windows có cài công cụ giả lập công Iperf IP Client 10.0.1.10/24 - Server: máy tính chạy hệ điều hành Windows Server 2008 có cài FTP server Webserver IP Server 10.0.2.100/24 Hình 4.2 Sơ đồ bố trí thí nghiệm thực tế Với mô hình này, ta thực việc trao đổi gói tin Client Server thông qua Openvswitch Bộ điều khiển POX đọc gói tin trao đổi phân tích, so sánh với thông số tiêu chuẩn để định trạng thái trao đổi bình thường hay 49 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN có công DDOS Trong phạm vi luận văn, em tập trung vào loại hình công hay gặp môi trường làm việc thực tế - công từ chối dịch vụ băng thông Kịch thí nghiệm mô hệ thống có lưu lượng gói tin bình thường qua có lưu lượng tăng đột biến băng thông Mục đích kiểu công phun traffic làm tăng băng thông, nghẽn đường truyền nạn nhân, khiến dịch vụ nạn nhân bị gián đoạn, chí quyền quản trị Trong thí nghiệm, ta giả lập thông số ngưỡng sau: - Traffic Server mức bình thường: 10Mbps - Traffic Server mức cảnh báo: 150Mbps 4.1.2 Công cụ sử dụng Trên client cài đặt phần mềm giả lập công Iperf [19] Iperf phần mềm mã nguồn mở, chạy Windows Linux Giao diện sử dụng Iperf Command Dos Hình 4.3 Giao diện Iperf Iperf phát gần không giới hạn luồng băng thông tới Server Ta tùy chỉnh nhiều tham số đầu vào giao thức (TCP/UDP), băng thông phát, thời gian phát, IP server, window size, Ipv4/Ipv6, length of buffer 50 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Cú pháp sử dụng Iperf [20] sau: Trong folder chứa file Iperf.exe, gõ dòng lệnh vào giao diện CMD: C:\Users\HungDV>iperf.exe -c 10.0.2.100 -b 200000000 -t 60 Với tham số tương ứng: 10.0.2.100: IP đích cần bắn traffic tới 200000000: dung lượng cần đẩy tới (tính theo bit/s) tương đương 200Mbps 60: thời gian đẩy dung lượng tới host đích (tính theo s) 4.2 Mô công 4.2.1 Giả lập hệ thống hoạt động tốt Trên client, tiến hành download file từ server Tốc độ download đạt 10Mbps (tương đương khoảng 1.2MBps) Hình 4.4 Download từ server với tốc độ 10Mbps Trên giao diện quản trị, ta đọc đồ thị đo băng thông thông báo hệ thống hình 4.5: 51 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Hình 4.5 Giao diện quản trị chưa có công Giải thích thông số hình 4.5: Bandwidth Threshold : Mức ngưỡng băng thông IPServer : Địa IP server BW Status: Cung cấp thông tin trạng thái băng thông hệ thống Kết chạy cho thấy hệ thống hoạt động chức POX đo băng thông qua Openvswitch xuất hình Băng thông trung bình mức bình thường hệ thống đạt khoảng 10Mbps Trạng thái hệ thống thông báo “đang hoạt động tốt” Bước tiếp theo, ta tiến hành mô công từ Client vào Server phân tích kết thu 4.2.2 Giả lập công server Trên client, song song với việc download, sử dụng Iperf để bắn liệu vào server Băng thông bắn 200Mbps.Hình 4.6 bên thể trình bắn liệu từ client vào server: 52 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Hình 4.6 Bắn luồng liệu băng thông 200Mbps vào server Trên giao diện quản trị xuất cảnh bảo vượt ngưỡng băng thông, đồng thời kèm đồ thị mô tả biến thiên băng thông đột ngột hình 4.7: Hình 4.7 Giao diện quản trị bắt đầu có công Kiểm tra kết nối tới server lệnh Ping: 53 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Hình 4.8 Kết nối tới server lệnh Ping Hình 4.8 cho thấy server truy cập đường truyền bị nghẽn Toàn dịch vụ mà server cung cấp hoạt động Đây kết việc công từ chối dịch vụ (DOS) 4.2.3 Xử lý công Sau phát công, người quản trị thao tác điều khiển POX, lệnh đẩy tin Flow Modification xuống Switch, yêu cầu hủy gói tin có nguồn IP công Trên giao diện giám sát hiển thị thông báo hệ thống bình thường, với đồ thị traffic giảm mức trước có công giống hình 4.9 bên dưới: Hình 4.9 Giao diện quản trị hệ thống sau xử lý công Kết cho thấy tính xác hệ thống việc phát xử lý công mạng 54 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN 4.3 Đánh giá kết 4.3.1 Nhận xét, đánh giá: Khi giả lập với băng thông nhỏ, khoảng 10Mbps kết nối tới server hoàn toàn bình thường, không vượt ngưỡng 150Mbps Khi băng thông công lên tới 200Mbps băng thông đường truyền vượt mức 150Mbps máy mô server bị công bị kết nối nghẽn đường truyền Mọi truy cập tới server không thành công Điều hoàn toàn phù hợp với lý thuyết kết kiểu công Đồ thị băng thông xảy công có trồi sụt mạnh, có thời điểm vọt lên 300Mbps có lúc giảm xuống khoảng 50Mbps Lý phần phụ thuộc đường truyền, băng thông cao đường truyền không ổn định Bên cạnh phụ thuộc công cụ giả lập Iperf, với nguồn phát khó phát ổn định thời gian dài Tuy nhiên băng thông trung bình mức 200Mbps, đảm bảo tính xác kết thu Sau kết thúc công, đồ thị giám sát cho thấy băng thông giảm mức ổn định 10Mbps Kết nối tới server thông trở lại Kết thí nghiệm phản ánh xác luồng hoạt động xử lý hệ thống xảy công mạng 4.3.2 Hướng phát triển hệ thống: Do thời gian xử lý toàn hệ thống phụ thuộc nhiều vào thời gian xử lý POX, vậy, muốn nâng cao chất lượng, giảm thời gian xử lý hệ thống ta cần tối ưu hóa module nâng cao cấu hình Controller CPU, RAM Trong đồ án này, Controller (POX) xây dựng máy tính chạy hệ điều hành Ubuntu có nhiều dịch vụ, chương trình chạy song song với POX Do vậy, để nâng cao khả làm việc Pox, ta triển khai Controller Pox máy chủ độc lập có cấu hình cao 55 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Mặt khác phạm vi thí nghiệm thực khâu phân tích liệu, cảnh báo cho người quản trị chưa thực tác vụ tự động ngăn chặn có dấu hiệu công, mục tiêu tới thực khâu áp dụng vào thực tế cho ISP 4.4 Kết luận Kết đo thực thử nghiệm hệ thống phụ thuộc nhiều vào cấu hình thiết bị giả lập Chính vậy, cần phải tối ưu hóa khối chức trình ứng dụng để nâng cao hiệu suất toàn hệ thống 56 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN KẾT LUẬN Trong thời đại bùng nổ công nghệ thông tin nay, mạng Internet phần thiếu sống, từ trường học tới bệnh viện, từ hộ gia đình tới nhà máy xí nghiệp Internet phát triển kéo theo tiện nghi truyền thông giao tiếp, đem lại lợi ích khó đong đếm cho phát triển toàn xã hội Sự phụ thuộc vào Internet đem tới không nguy cho người sử dụng, nguy hiểm việc bị công Song song với phát triển công nghệ Internet, công mạng ngày tinh vi, hậu gây ngày nghiêm trọng Từ ông lớn công nghệ giới Apple, Facebook tới doanh nghiệp có truyền thống Việt Nam VCcorp, BKAV nạn nhân công mạng gây thiệt hại hàng triệu đô la Bởi vậy, không nói vấn đề an ninh mạng luôn vấn đề thiết nhất, quan trọng tốn nhà cung cấp dịch vụ Trên nhu cầu ấy, phát minh, công nghệ Internet muốn đánh bại công nghệ cũ cách thuyết phục chiến thắng vấn đề bảo mật SDN công nghệ Với phẩm chất mình, SDN có đủ tiềm để phát triển rộng rãi, dần thay cho hệ thống mạng cũ Sự linh hoạt, mềm dẻo quản lý, phát triển tính không giới hạn nhờ lập trình cộng thêm tính tương thích hoàn hảo ưu điểm vượt trội SDN Với sở liệu đầu vào, thiết bị SDN có khả tự phân tích, đánh giá để sớm phát nguy công mạng, từ tự động đưa phương án ngăn chặn phòng chống công Ý thức tầm quan trọng an ninh mạng ưu điểm vượt trội mà SDN mang lại, em nghiên cứu lựa chọn đề tài “Bảo mật ISP sử dụng kỹ thuật điều khiển phần mềm OpenFlow/SDN“ nhằm đưa số phương án áp dụng SDN vào mô hình mạng truyền thống ISP Mặc dù cố gắng thực đề tài môi trường điều kiện khác nhằm tìm tính đắn 57 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN khả hệ thống để từ đưa kết sơ kết luận thực nghiệm, nhiên trình làm không tránh khỏi thiếu sót hạn chế Tuy vậy, tiền đề để em tiếp tục nghiên cứu phát triển đề tài thêm tương lai, hoàn thiện mô hình để áp dụng thực tế ISP Em xin đưa số định hướng nghiên cứu phát triển đề tài tương lai sau: - Thiết lập hệ thống tự động xử lý phát dấu hiệu công mạng - Đưa thêm liệu đầu vào loại công mạng khác - Đo đạc nâng cao hiệu xử lý điều khiển: đo thời gian xử lý, trễ xử lý, khối lượng liệu đầu vào tiếp nhận - Nâng cao khả chuyển mạch Switch, đo tốc độ chuyển mạch tối đa, tốc độ định tuyến gói tin - Đưa vào mô hình thực tế chạy song song với hệ thống cũ, kiểm tra đánh giá tính tương thích, so sánh hiệu năng, khả bảo mật từ đưa kết luận có nên sử dụng thiết bị SDN hay không - Phát triển thêm hệ thống hiển thị hình giám sát (hiện để POX) tách biệt với điều khiển để đảm bảo an toàn hệ thống 58 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN TÀI LIỆU THAM KHẢO [1] ONF White Paper (2012, April 13), Software-Defined Networking: The New Norm for Networks [Online] Available: https://www.opennetworking.org [2] http://archive.openflow.org/, truy cập cuối ngày 27/05/2015 [3] James Hamilton (2011, May 20), Software Load Balancing using Software Defined Networking [Online] Available: http://perspectives.mvdirona.com [4] http://info.ssl.com/, truy cập cuối ngày 27/05/2015 [5] POX, Github; URL: https://github.com/noxrepo/pox, truy nhập cuối ngày 27/05/2015 [6] http://openvswitch.org/, truy nhập cuối ngày 27/05/2015 [7] http://netfpga.org/site/#/systems/4netfpga-1g/details/, truy nhập cuối ngày 27/05/2015 [8] http://flowgrammable.org/sdn/openflow/message-layer/, truy nhập cuối ngày 27/05/2015 [9] Python, Python tutorial, URL: http://docs.python.org/2/tutorial/, truy nhập lần cuối ngày 27/05/2015 [10] MRTG MRTG Doc, URL https://oss.oetiker.ch/mrtg/doc/index.en.html, truy nhập lần cuối ngày 01/06/2015 [11] Cacti, Cacti download, URL: http://www.cacti.net/download_cacti.php truy nhập lần cuối ngày 04/06/2015 [12] Nagios, Nagios Documentation, URL: http://www.cacti.net/download_cacti.php truy nhập lần cuối ngày 15/05/2015 [13] Opsview, Opsview Documentation, URL: https://docs.opsview.com/doku.php truy nhập lần cuối ngày 20/4/2015 [14] Zabbix, Zabbix Documentation, URL: http://www.zabbix.com/documentation/ truy nhập lần cuối ngày 10/08/2015 59 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN [15] SSDP, https://wiki.wireshark.org/SSDP truy nhập lần cuối ngày 01/08/2015 [16] Wireshark https://www.wireshark.org/download.html truy nhập lần cuối ngày 1/4/2015 [17] Catalyst Switched Port Analyzer http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-seriesswitches/10570-41.html truy nhập lần cuối ngày 10/8/2015 [18] https://en.wikipedia.org/wiki/Cacti_%28software%29, truy nhập lần cuối ngày 15/08/2015 [19] Iperf URL: https://iperf.fr/ truy nhập lần cuối ngày 10/7/2015 [20] Iperf Documentation, URL https://iperf.fr/iperf-doc.php truy nhập lần cuối ngày 10/7/2015 [21] VDC Online, URL http://vdconline.vn/ truy nhập lần cuối ngày 10/09/2015 60 ... sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN Hình 1.6 Lưu đồ thuật toán tổng quan trình ứng dụng Controller 18 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều. .. giá trị từ mạng  Mở hội cho nhà cung cấp thiết bị trung gian phần điều khiển tách rời khỏi phần cứng 13 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN 1.2... nghiên cứu luận văn trung thực Tôi xin chịu trách nhiệm nghiên cứu Học viên Đào Việt Hùng Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển phần mềm SDN MỤC LỤC LỜI CAM ĐOAN