HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - Nguyễn Viết Thắng SOFTWARE DEFINED NETWORKING VÀ ỨNG DỤNG VÀO GIẢI PHÁP BẢO MẬT CÁC HỆ THỐNG THƠNG TIN Chun ngành: Khoa học máy tính Mã số: 60.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2016 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Hoàng Lê Minh Phản biện 1: Phản biện 2: Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Ngày nay, kiến trúc mạng truyền thống ngày trở nên không phù hợp với nhu cầu kinh doanh doanh nghiệp, nhà khai thác mạng người dùng cuối Nhu cầu kinh doanh yêu cầu mạng phải đáp ứng việc thay đổi nhanh chóng thơng số độ trễ, băng thông, định tuyến, QoS, bảo mật… Hầu hết mạng thông thường theo kiến trúc phân cấp, xây dựng với thiết bị chuyển mạch Ethernet theo tầng xắp xếp cấu trúc Thiết kế thực hiệu mơ hình tính tốn khách – chủ chiếm ưu thế, kiến trúc tĩnh không phù hợp với u cầu tính tốn đa dạng, động nhu cầu lưu trữ liệu trung tâm liệu doanh nghiệp, trường học môi trường nhà cung cấp dịch vụ Với bùng nổ thiết bị di động nội dung, ảo hóa máy chủ, đời dịch vụ điện toán đám mây xu hướng tương lai khiến cho ngành công nghiệp mạng phải xem xét lại kiến trúc mạng truyền thống [4] Software Defined Networking (SDN) phương pháp tiếp cận làm thay đổi kiến trúc mạng nhằm đáp ứng nhu cầu kinh doanh Trong kiến trúc SDN,thành phần điều khiển thành phần kiểm soát liệu tách riêng biệt thành phần kiểm sốt liệu thuộc phần cứng cịn thành phần điều khiển tách rời khỏi phần cứng thực thi thông qua ứng dụng phần mềm gọi thiết bị kiểm soát luồng (Flow Controller) Điều cho phép luồng gói liệu qua mạng kiểm sốt theo cách thức có lập trình, giao thức hỗ trợ thành phần điều khiển phần cứng có tên gọi OpenFlow OpenFlow giao diện tiêu chuẩn thiết kế đặc biệt cho SDN [4] Với phương pháp cho phép kỹ sư mạng người quản trị điều khiển thiết bị mạng họ thông qua giao diện phần mềm thay phải tự cấu hình phần cứng có tác động vật lý đến thiết bị mạng Bộ điều khiển mạng SDN cung cấp khả hiển thị đầy đủ kiểm soát qua mạng Điều đảm bảo việc kiểm soát truy cập, lưu lượng, chất lượng dịch vụ, an ninh sách khác thực thi quán sở hạ tầng mạng tổ chức Bởi vậy, giảm chi phí hoạt động, khả cấu hình linh hoạt, gặp lỗi, thực thi sách cấu hình thống Áp dụng cơng nghệ SDN vào dịch vụ điện tốn đám mây, Viện Công nghiệp phần mềm nội dung số Việt Nam (NISCI) tổ chức khoa học công nghệ công lập, trực thuộc Bộ Thông tin Truyền thông xây dựng phát triển giải pháp điện toán đám mây “Rồng thơng minh Việt Nam” iDragon®Clouds, giải pháp tổng thể xây dựng, quản lý khai thác hạ tầng mạng dùng riêng (nội bộ) kết nối cổng dịch vụ đám mây iDragon®CloudGate Nội dung luận văn tìm hiểu kiến trúc SDN giải pháp bảo mật hệ thống thơng tin ứng dụng SDN với việc phân tích tính bảo mật ứng dụng điện tốn đám mây “Rồng thơng minh Việt Nam” iDragon®Clouds Đó lý em chọn đề tài: “Software Defined Networking giải pháp bảo mật hệ thống thông tin” làm luận văn tốt nghiệp Cấu trúc luận văn chia làm ba chương, với nội dung chương sau:  Chƣơng 1:Giới thiệu kiến trúc SDN, có giao thức OpenFlow ứng dụng SDN  Chƣơng 2: Khả bảo mật SDN  Chƣơng 3: Ứng dụng SDN giải pháp bảo mật dịch vụ iDragon®Clouds 4 CHƢƠNG I: TỔNG QUAN VỀ CÔNG NGHỆ SDN 1.1 Giới thiệu SDN Software Defined Networking (SDN) kiến trúc mạng dần lên năm gần ngày phát triển cách mạnh mẽ Nhờ có nỗ lực đầu tổ chức Open Networking Foundation (ONF), SDN biến đổi kiến trúc mạng hoàn toàn khác so với kiến trúc mạng truyền thống Trong kiến trúc SDN thành phẩn điều khiển mạng tách riêng khỏi chức chuyển tiếp liệu trở thành lập trình trực tiếp [6] SDN bao gồm khả ảo hóa nguồn lực mạng Các nguồn lực mạng ảo hóa biết đến “ngăn mạng” (network slice) Một ngăn mở rộng nhiều thành phần mạng bao gồm đường trục mạng, định tuyến host Khả kiểm soát nhiều luồng lưu lượng cách lập trình tạo linh hoạt nguồn lớn tay người sử dụng 1.2 Kiến trúc SDN Kiến trúc SDN bao gồm lớp riêng biệt: Lớp ứng dụng (Applycation Layer), lớp điểu khiển (Control Layer), lớp sở hạ tầng (Infrastructure Layer) 5 Hình 1.1: Kiến trúc SDN [9] Lớp ứng dụng(Applycation Layer): Là ứng dụng kinh doanh triển khai mạng, kết nối tới lớp điều khiển thông qua API, cung cấp khả lập trình mở (cấu hình lại tham số trễ, băng thông, định tuyến, ) thông qua lớp điều khiển Lớp điều khiển (Control Layer): Là nơi tập trung điều khiển thực việc điều khiển cấu hình mạng tất thiết bị lớp sở hạ tầng theo yêu cầu từ lớp ứng dụng khả mạng Các điều khiển phần mềm lập trình cho phép nhà quản trị mạng thiết lập chương trình cách dễ dàng, linh hoạt mở rộng môi trường mạng họ Nó cung cấp giao diện chương trình ứng dụng (APIs) cho nhà phát triển bên thứ ba để tùy chỉnh tích hợp ứng dụng Lớp sở hạ tầng: thiết bị mạng thực tế (vật lý hay ảo hóa) thực việc chuyển tiếp gói tin theo điểu khiển lớp điều khiển thông qua giao thức Open Flow Chức SDN lớp sở cho phép người quản trị đơn giản cấu hình mạng, mang đến giao diện linh hoạt khả lập trình theo tiêu chuẩn Một thiết bị mạng hoạt động theo điều khiển nhiều điều khiển khác nhau, điểu giúp tăng cường khả ảo hóa mạng 1.3 Tại cần đến SDN 1.3.1 Mạng thông tin theo mơ hình truyền thống Trong mạng kiểu truyền thống (hình 1.2), thành phần điều khiển mặt phẳng liệu kết hợp node mạng 7 Hình 1.2: Mơ hình mạng theo hƣớng tiếp cận truyền thống 1.3.2 Mạng thơng tin theo mơ hình SDN Thành phần điều khiển đưa khỏi phạm vi node mạng cụ thể đưa vào điều khiển tập trung độc lập Các chuyển SDN điều khiển Hệ điều hành mạng (NOS) thu thập thơng tin, cách sử dụng API (hình 1.3), điều khiển mặt phẳng chuyển tiếp chúng, qua cung cấp mơ hình bao qt cấu trúc hình học mạng thơng tin cho điều khiển SDN lưu trữ ứng dụng 8 Hình 1.3: Mơ hình mạng theo hƣớng tiếp cận SDN 1.3.3 Ứng dụng SDN vào đâu Việc thực SDN mở phương pháp cho ý tưởng ứng dụng Sự kiểm soát mạnh mẽ cấu trúc hình học (dynamic topology control), tức điều chỉnh việc sử dụng chuyển theo mức tải việc lập đồ lưu lượng liệu trở nên khả thi cấp độ mạng toàn cầu Điều đem lại triển vọng cho việc kiểm soát truy cập mạng, quản lý lượng mạng gia đình, thứ mà xem mạng khơng có lợi ích song lại tuyệt đối cần thiết 1.4 Giao thức Open Flow OpenFlow định nghĩa chuẩn giao diện truyền thông tin lớp điều khiển lớp truyền liệu kiến trúc SDN [4] OpenFlow cho phép truy cập trực tiếp thao tác mặt phẳng chuyển tiếp thiết bị mạng switch router, dạng vật lý ảo hóa 1.4.1 Các đặc trưng OpenFlow  OpenFlow so sánh với tập lệnh CPU [4]  Giao thức OpenFlow triển khai hai giao diện kết nối thiết bị sở hạ tầng mạng phần mềm điểu khiển SDN  Một giao thức OpenFlow bao gồm ba thành phần: Flow Table, Secure Channel, OpenFlow Protocol 1.4.2 Lợi ích sử dụng OpenFlow 1.5 Ứng dụng SDN Với lợi ích mà SDN đem lại, thấy SDN có khả triển khai phạm vi doanh nghiệp cho nhà cung cấp hạ tầng dịch vụ viễn thông để giải yêu cầu nhà cung cấp phân khúc thị trường 1.5.1 Phạm vị doanh nghiệp 1.5.2 Phạm vi nhà cung cấp hạ tầng dịch vụ viễn thông 10 1.6 Kết luận chƣơng Ngày xu hướng người sử dụng như: ưu chuộng tính di động, ảo hóa máy chủ, u cầu đáp ứng cách nhanh chóng với điều kiện cơng việc thay đổi đặt ngày nhiều yêu cầu hệ thống mạng Kiến trúc mạng thông thường nhiều không đáp ứng kịp, SDN cung cấp kiến trúc mạng mới, động, có khả thay đổi mạng xương sống truyền thống sang tảng có khả cung cấp dịch vụ phong phú Tương lại mạng dựa nhiều vào phần mềm Việc giúp đẩy nhanh tốc độ đổi cho hệ thống mạng no xảy lĩnh vực máy tính lưu trữ SDN hứa hẹn biến đổi mạng cố định thành tảng dựa lập trình với khả phân bổ nguồn lực cách động, trở nên linh hoạt hơn, đủ quy mô để hỗ trợ trung tâm liệu khổng lồ với ảo hóa cần thiết cho mơi trường điện tốn đám mây tự động hóa cao, động an toàn Sở hữu nhiều lợi tiềm công nhiệp hấp dẫn, mạng SDN đường để trở thành chuẩn cho mạng tương lai Tuy nhiên, song song với vấn đề đảm bảo an toàn chống mát liệu hệ điều hành 11 mạng Đó vấn đề mang tính thời sự, đặt nhiều thách thức cho chuyên gia an ninh mạng thời gian tới Và chương phân tích khả bảo mật kiến trúc mạng SDN 12 CHƢƠNG II: KHẢ NĂNG BẢO MẬT TRONG SDN 2.1 Tổng quan bảo mật mạng 2.1.1 Giới thiệu bảo mật Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm, internet đời phát triển đặc biệt thị trường thương mại điện tử có xu hướng phát triển mạnh mẽ năm gần đây, nhu cầu trao đổi thông tin, giao dịch trực tuyến trở nên phổ biến Mục tiêu bảo mật không nằm gói gọn lĩnh vực bảo vệ thơng tin mà nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tự vào giao dịch trực tuyến… 2.1.2 Những tài nguyên cần bảo vệ  Tài nguyên liệu  Tài ngun thứ hai tài ngun cịn lại, hệ thống máy tính, nhớ, hệ thống ổ đĩa, máy in nhiều tài nguyên hệ thống máy tính 2.1.3 Các phương thức cơng điển hình  Kỹ thuật đánh lừa  Tấn công lỗ hổng bảo mật  Tấn công vào vùng ẩn  Tấn cơng vào hệ thống máy có cấu hình khơng an tồn 13  Tấn cơng từ chối dịch vụ (DoS)  Nghe trộm 2.2 Xây dựng chế tự phòng chống công DoS mạng SDN 2.2.1 Tổng quan bảo mật SDN 2.2.2 Mơ hình cơng DoS SDN Mơ hình cơng DOS SDN bao gồm bước nhận diện đối tượng thực cơng Hình 2.1: Mơ hình cơng DoS mạng SDN [10] 2.2.3 Cơ chế tự phịng chống cơng DoS 14 Hình 2.2: Cơ chế tự phịng chống cơng DoS 2.3 Kết luận chƣơng SDN dự kiến cấu trúc thay mạng truyền thống có với nhiều tính tiên tiến Mặc dù có nhiều tiến việc bảo mật mạng SDN phải đối mặt với nhiều thách thức an ninh tương lai Trong chương việc nói tầm quan trọng bảo mật mạng đưa giải pháp chống lại hình thức công phổ biến công DoS nhiên có tác dụng chống lại 15 DoS có lưu lượng bình thường không đủ chống lại công có lưu lượng lớn 16 CHƢƠNG III: ỨNG DỤNG SDN TRONG GIẢI PHÁP BẢO MẬT CỦA DỊCH VỤ iDragon®Clouds 17 KẾT LUẬN Kết đạt đƣợc Luận văn đạt mục tiêu đề ra:  Trình bày tổng quan kiến trúc SDN, mơ tả chi tiết mơ hình lớp SDN từ đưa điểm khác biệt so với kiến trúc mạng truyền thống Tính cấp thiết kiến trúc SDN thời đại công nghệ thông tin Đồng thời giới thiệu giao thức Open Flow chuẩn giao diện truyền thông tin lớp điều khiển lớp truyền liệu kiến trúc SDN  Trình bày phương pháp bảo mật, an tồn thơng tin SDN  Giới thiệu tổng quan phần mềm iDragon®Clouds phân tích khả bảo mật phần mềm iDragon®Clouds nhờ việc áp dụng kiến trúc SDN Hạn chế Bên cạnh vấn đề đạt đươc, luận văn tồn nhiều hạn chế:  Mặc dù SDN định hướng tương lai, song chưa thống tập chuẩn tương tác chung cho tất sản phẩm mạng 18  Phần demo triển khai thời gian dài chưa thể áp dụng rộng rãi cho doanh nghiệp Hƣớng nghiên cứu  Tiếp tục nghiên cứu thêm kiến trúc SDN, khả bảo mật kiến trúc tìm hiểu thêm để xây dựng hệ thống áp dụng kiến trúc SDN  Mặc dù SDN công nghệ không cịn xa lạ với hãng cơng nghệ thơng tin giới, Việt Nam số doanh nghiệp, số người dùng biết đến chưa nhiều, phải cố gắng xây dựng kiến trúc cho phù hợp với nhu cầu chi phí doanh nghiệp Việt Nam Luận văn kết trình học hỏi, nghiên cứu làm việc nghiêm túc thân Song không mắc phải thiếu sót Tơi mong nhận đóng góp ý kiến Thầy - Cô, bạn bè, đồng nghiệp để luận văn hoàn thiện 19 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Hồng Lê Minh (2014), Mơ hình hạ tầng CNTT hỗ trợ bảo hộ quyền tác giả, quyền sở hữu trí tuệ mạng Internet vai trị nhà nước, Tạp chí phần mềm nội dung số [2] Dương Thái Sơn (2014), Cổng đám mây kết nối thiết bị di động, Tạp chí Phần mềm Nội dung số [3] Bùi Trung Thành, Software Defined Networking – Công nghệ làm thay đổi cấu trúc mạng, Học viện bưu viễn thơng Tiếng Anh: [4] Open Networking Foundation, Whitepaper, SoftwareDefined Networking: The New Norm for Networks; 2012 [5] Open Networking Foundation, Whitepaper,SoftwareDefined Networking: OpenFlow Switch Specification; 2013 [6] Open Networking Foundation, Whitepaper, What is ONF ?; 2013 [7] Nick McKeown, Tom Anderson, Hari Balakrishnan, Guru Parulkar, Larry Peterson, Jenifer Rexford, Scott Shenker, Jonathan Turner, OpenFlow: Enabling Innovation in Campus Networks; 2008 [8] Open Networking Specification; 2013 Foundation, OpenFlow: Switch 20 Website: [9] https://www.opennetworking.org [10] http://antoanthongtin.vn ... SDN giải pháp bảo mật hệ thống thông tin ứng dụng SDN với việc phân tích tính bảo mật ứng dụng điện toán đám mây “Rồng thơng minh Việt Nam” iDragon®Clouds Đó lý em chọn đề tài: ? ?Software Defined. .. OpenFlow ứng dụng SDN  Chƣơng 2: Khả bảo mật SDN  Chƣơng 3: Ứng dụng SDN giải pháp bảo mật dịch vụ iDragon®Clouds 4 CHƢƠNG I: TỔNG QUAN VỀ CƠNG NGHỆ SDN 1.1 Giới thiệu SDN Software Defined Networking. .. đổi thông tin, giao dịch trực tuyến trở nên phổ biến Mục tiêu bảo mật khơng nằm gói gọn lĩnh vực bảo vệ thơng tin mà cịn nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật