Đang tải... (xem toàn văn)
Bài viết Nghiên cứu ứng dụng một số giải pháp công nghệ trong thiết kế thiết bị điều khiển lưu lượng mạng SDN trình bày tổng quan về SDN, kiến trúc của VNTC, chọn công nghệ bắt gói tin trên card mạng, các chức năng tường lửa và mã hóa.
Kỷ yếu Hội nghị Quốc gia lần thứ VIII Nghiên cứu ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 9-10/7/2015 DOI: 10.15625/vap.2015.000187 NGHIÊN CỨU ỨNG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TRONG THIẾT KẾ THIẾT BỊ ĐIỀU KHIỂN LƯU LƯỢNG MẠNG SDN Nguyễn Ái Việt, Lưu Thị Huy, Lâm Thị Sen Nguyễn Văn Nghiệp Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội Trường Đại học CNTT&TT, Đại học Thái Ngun June 16, 2015 TĨM TẮT - Cơng nghệ SDN trở nên chín muồi hội để xây dựng thiết bị mạng Trên sở đó, thiết bị điều khiển lưu lượng mạng VNTC [1] đề nghị thay tường lửa hệ cũ nhằm bảo vệ mạng LAN, trung tâm liệu IDC hạ tầng tính tốn mây Chúng nghiên cứu phối hợp công nghệ khác thiết kế tối ưu để tăng tốc độ xử lý với giá thành cho sản phẩm hợp lý I ĐẶT VẤN ĐỀ Công nghệ mạng nội (LAN) truyền thống xây dựng để chia sẻ dùng chung tài nguyên thiết bị tổ chức Trước hết, LAN giảm đầu tư phần cứng, chia sẻ thiết bị ngoại vi máy in, kết nối internet Một số ứng dụng liệu dùng chung chia sẻ máy chủ, cho phép đầu tư nhiều lần tiện lợi Cuối việc bảo hành bảo trì, cấu hình từ xa, tiết kiệm tối đa Tuy nhiên, từ đầu, mạng LAN khơng thiết kế để an tồn Ngày nay, việc phơi nhiễm mạng LAN công phá hoại từ internet nguyên nhân gây tổng thiết hại hàng trăm tỷ la năm Hầu tài nguyên quý tổ chức có mạng LAN Bảo vệ an toàn mạng LAN hướng nghiên cứu Viện CNTT VIEGRID JSC, khn khổ dự án phát triển sản phẩm công nghệ cao quốc gia Hiện nay, đa số mạng LAN sử dụng công nghệ máy chủ Windows giới bảo vệ tường lửa Microsoft Forefront TMG 2010 tiền thân trước tường lửa ISA Tuy nhiên từ ngày 14 tháng năm 2015, Microsoft tuyên bố ngừng hỗ trợ chung cho sản phẩm (vốn ngừng bán từ năm 2012), trách nhiệm hỗ trợ kỹ thuật mở rộng Microsoft với sản phẩm chấm dứt vào năm 2020 Thực tế bắt buộc tổ chức phải tìm cho giải pháp Đồng thời hội thị trường cho sản phẩm tường lửa Việc Microsoft rút lui khỏi thị trường tường lửa việc thị trường dịch chuyển sang tường lửa hệ tương lai NGF, mà nhà sản xuất thiết bị phát ngăn chặn xâm nhập (IDS IPS) có ưu cạnh tranh Tuy nhiên, có lẽ lý quan trọng việc Microsoft từ bỏ thị trường tương lai, thiết bị mạng nói chung thiết bị tường lửa nói riêng thành phần điều khiển mạng mạng SDN Bên cạnh đó, cơng nghệ mạng xác định phần mềm SDN (Software Defined Network) khởi động cách mạng thực công nghệ mạng tảng hạ tầng tính tốn đám mây xu hướng ảo hóa thiết bị Trong báo [1], tác giả đề xuất việc sản xuất thiết bị điều khiển lưu lượng mạng VNTC (Viegrid Network Traffic Controller) đáp ứng yêu cầu thị trường Bên cạnh chức tường lửa hệ mới, có khả phân tích đợt cơng hướng ứng dụng, thiết bị có thêm chức điều khiển lưu lượng hướng tới máy chủ ứng dụng Các công nghệ cốt lõi nghiên cứu áp dụng phát triển, cải tiến để phục vụ cho thiết bị là: a Phân tích liệu lớn với tốc độ cao để phát sớm mẫu hình công Đồng thời, thu thập khai thác sở liệu lớn mẫu hình cơng b Tối ưu chức tường lửa hệ giải pháp truy cập internet an toàn cho mạng LAN V-AZUR [2], trao quyền mã hóa giải mã cho giao thức an toàn https c Bắt gói tin để xử lý tốc độ cao card mạng d Tăng tốc tốc độ xử lý thiết bị nhờ ứng dụng tính tốn GPU, công nghệ nhúng FPGA số phần cứng e Thiết bị VNTC thiết kế phù hợp với chuẩn mạng SDN, nhằm chuẩn bị cho việc thiết bị tham gia vào cách mạng công nghệ mạng Trong báo cáo số kết nghiên cứu công nghệ liên quan tới việc phát triển thiết bị VNTC II TỔNG QUAN VỀ SDN 2.1 Xu hướng đổi công nghệ mạng Truyền thông xã hội, thiết bị di động, phân tích liệu lớn tính tốn đám mây (SMAC) địi hỏi thay đổi có tính chất cách mạng công nghệ mạng truyền thống 502 NG GHIÊN CỨU ỨN NG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TR RONG THIẾT K KẾ THIẾT BỊ ĐIỀ ỀU KHIỂN… Trên hạạ tầng đám mâây, việc tính ttốn lưu ữ liệu có rấất nhiều đổi m cơng nghệệ việc ảo o hóa tự động đ hóa Tuyy nhiên đếnn lúc việc đổi m bị lạc hậu công nghệ mạạng cản trở Các nhà quản trị mạạng tạoo cấu hìn nh nhiều máy m chủ, máyy trạm ảo, tạo sở liệu dự phịng, p chí c tồn hạạ tầng tính tốán thời gian g ngắn Tuy y nhiên, việc quản trị mạngg phải làm m tay trrên thiết bị b có nnhiều tuần choo thay đổii SDN chho phép làm m cáchh mạng trung tâm m liệu, choo phép việc điiều khiển mạng m c thiết bị mạạng đặc biệệt điều khhiển ảo giống máy m chủ, máy trạm sởở liệu SDN thhay đổi công nghệ điều khiển lưu lượng g mạng tạại Cisco bbằng cách tácch phần điều khiển khỏi phần p chuyển d liệu Phần điều khiển trrong mạng SD DN tập trung t tối ưưu hóa Chínhh hiệu nâng n cao nhhiều 2.2 Kiến trúcc SDN Opeen Flow Trong m mơ hình SDN, điềuu khiển SDN tập trun ng hóa, đưa raa định ttối ưu tồn cụ ục thay cho th huật tốn bestt-effort mỗỗi thiết bị địnhh tuyến Bộ điềều khiển SDN N tập trung đượợc gắn với haai giao diện lập p trình ứng dụng d (API) hư ướng Nam hhướng Bắc [3]] a Bộ API A hướng Naam: Sử dụng giao thứ ức riêng gọi làà Open Flow để gửi thôngg tin điều khiể ển cho chuyển c mạch v định tuyến b Bộ API A hướng Bắắc: Giao tiếp vvới trình ứng dụng để xây dựng cácc ứng dụng giiúp nhà qu uản trị cấu hình, h thiết lập quy tắc m mạng Ngày nay, n việc chuyyển sang SDN N cho phép cácc quan doanh d nghiệp sang hạ tầng mạng mới, với chức c mạnng ảo hóóa, tối ưu cuung cấp theo nhu n cầu 2.3 Ảo hóa ch hức mạn ng NFV NFV làà phương phápp thiết kế, triểển khai quảản trị dịch vụ mạng mớii mạạng SDN NFV tách chức c mạạng dịch đđịa mạng (NAT), tường g lửa, phát hiệện xâm nhập, dịch vụ tên m miền (DNS) r khỏi th hiết bị mạng truyền t thống vvà triển khai cchúng ph hần mềm [4] Như vậậy với NFV nggười ta có m mơi trườn ng hạ tầng đượ ợc ảo hóa hồnn tồn từ máy chủ, lưu trữ v mạng ảo hóa h Hiện nay,, NFV hìnhh thành m chuẩn côn ng nghiệp cho phép: a Giảm m chi phí đầuu tư: Khơng ccần phải mua phần cứng g có chứcc định sẵẵn trước, hỗ trợ mơ hình h triển khai k có nhhu cầu, tránh vviệc đầu tư vào o chức năn ng chưa cần b Giảm m chi phí vậnn hành: Giảm yyêu cầu ch hỗ, lượng g làm lạnh,, đơn giản hóaa việc triển kh hai quản trrị mạng c Rút ngắn thời giaan triển khai: T Triển khai cácc dịch vụ mạn ng không thời gian, chớớp thời giảm thiểu rủi r ro thử nghiệm n triểển khai công nnghệ d Linhh hoạt: Có thểể mở rộng hoặặc thu hẹp dịch vụ theo yêu y cầu thay đđổi, hỗ trợ cácc cải tiến thiết bị, bớt b phụ thuuộc vào phần ccứng chuyên ddụng Nguyễn N Ái Việt, Lưu L Thị Huy, Lâm m Thị Sen Nguuyễn Văn Nghiệp p 503 2.4 Vấn đề an n ninh mạng SDN Trong mạng m SDN, vvấn đề an ninhh quan trọng g chỗ v cần xxây dựng ngayy kiến trrúc Do đó, vấn v đề an ninhh khắc pphục cácc khó khăn vềề an ninh từ gố ốc mạng L LAN An toànn an ninh mạng g cần xem x dịch d vụ bảo vệệ tính sẵn sàngg, tồn vẹn vàà riêng tư v tài nguuyên thôngg tin kết nối [5] Truy cậập điềều khiển tập ttrung cần an toàn Kh hi điều khiiển SDN bị tấấn công (chẳn ng hạn DDoS), D toàn b mạng bị đánh sập Việệc triển khai c quy định an a toàn mạng thống nhấtt đồng Khi xảy s cố việc khắắc phục dễ ddàng m lần Cho đến có hai cách tiệm m cận việc bảo b vệ an toàn n mạng L LAN: cách thhứ bảo vệ an toàn an a ninh trrong mạng, cáách thứ hai bảo vệ máy chủ thhiết bị tính tốnn Trong c hai trường hợp, môi trườ ờng hệ tươ ơng lai bảo o vệ an ninh xxác định phần mềm SD DSec, tách việc v điều khiểnn an toàn khỏii việc xử lý ann toàn hoàn toàn tương tự với kiến trúc S DN Do đó, ccác chức điều khiển c thiết bị an toàn truyềền thống cũngg tách tập trun ng hóa Vấn đềề phải có nhhững thiết bị m xây dựng để hướ ớng tới giải quuyết vấn đề ann ninh tạii mạng LAN, L trung tâm m liệu tíchh hợp (IDC) vvà hướng tới hạ tầng đám m mây với SD DN tươnng lai đảm phải tính đơn giản, g tiết kiệm m an toàn III KIẾN TRÚC CỦA VNTC Tronng tương lai V VNTC hướnng tới điều khiển lư ưu lượng mạngg tập trung baao gồm nhiều chức với v tốc độ caoo, chạyy m mơi trường nàào Trước mắt, VNTC pphải ứng dụnng mạng LAN, trrung tâm tích hợp liệu, pphịng máy chhủ Do đó, úng tơi đề ngh hị tập trung m số chức năăng tường lửa hệ mới, m chuyển chức mã giải mã phhiên máy chủ sang tườn ng lửa để tăngg tính bảo mậtt linh hoạt Chúng c đề nghị tách t việc lọc,, định tuyến ggói tin theo cáác luật khỏi k việc pháát mẫẫu hình ơng xây dựng d tập luật m Do đó, V VNTC thiết bị bảo vệ máy chủ ứng g dụng, mạạng bên , cách giiảm tải cho c máy chủ bên trong, vừa có chức năngg tường lửa thếế hệ vừa lọc l gói tinn theo ứng dụnng Trong thực t tế, VNTC C phốối hợp với giảải pháp V-AZU UR triểnn khai để thànnh giả ải pháp bảo vệ v mạng LAN L có chất llượng hiệuu cao Vì V vậy, VNTC đề nnghị triển khaai theo kiến trúc thiết kế n hìnhh vẽ sau [1] Việc nggăn chặn đđợt công vvào mạng cần xử lý nh hanh giải pháp có giá thành hợp lý Do đó, chúng c tập trung t vào việcc sử dụng ggiải pháp tăng g tốc, phù hợp IV V CHỌN CƠ ƠNG NGHỆ BẮT B GĨI TIN N TRÊN CAR RD MẠNG Việc phhân tích ggói tin tiến hành bằn ng ứng dụ ụng cài đặt trêên hệ điều hànnh Do tốc c độ tư ương đối chậm m Intel phát triển cơơng cụ bắt góii tin n card mạng làà dpdk để tăngg tốc độ xử lý gói tin mức cao nhấất Chúng tơi đđã tiến hành trriển khai việc bắt gói tin n theo kiến trúúc sau [6] Trên cùùng máy,, m mô tươn ng tác máy m tưường lửa che chắn cho mộtt máy chủ Chúng C tơi tiến hành bắt gói tin tườngg lửa cổ Chúng sử dụng m máy chủ vớ ới cấu hình 16 core, 32 GB RAM, có c ard mạng, chạạy hệ điều u hành tinh giản g TinyOS, để đ đảm bảo tốối ưu tốc độộ Mơ hìnnh có ưu đđiểm bắt góói tin linh hoạt có thểể tùy biến theoo giao thứ ức tầng khác Các C gói tin bắắt được, mặt chuyển t luật tườnng lửa hệ mới, mặt ác chuyển c tới phân tíchh Khi phát hiệện mẫu hình h cơng, phân tích ccập nhật lại cáác luật V CÁC C CHỨC NĂNG G TƯỜNG LỬA L VÀ MÃ HĨA Sau khii phân tích cácc chức củủa tường lử ửa hệ mã nguồn mởở Suricata [7] quy yết định sử dụng d công nghhệ làm sở để phát triển chức tường lửaa VNTC Trong giải g pháp V-A AZUR, mạng L LAN chiia làm mạng trrong mạngg ngồi, VNTC đượ ợc áp dụng vị trí tư ường lửa trongg tường lửaa 504 NG GHIÊN CỨU ỨN NG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TR RONG THIẾT K KẾ THIẾT BỊ ĐIỀ ỀU KHIỂN… Hiện tạại, V-AZUR ápp dụng chhính sách an tồn t an ninh chặt chẽ doo sử dụụng chức n tường lử ửa tầng thấpp Tuy nhiên, số trường hợp, chẳng c hạn khii phát triển cáác ứng dụng W Web, c ứng dụng cần c có kết nối mạng, ccần sử dụng ccác chức tường lửa tầầng ứng dụng Chúng xem xéét thiết kế VNT TC cho phù hợp h với kiến trrúc VAZU UR Thậm chí, việc chuyển chức mã m hóa cho cáác giao thức aan tồn hhttps đư ược chuyển vềề VNTC VNT TC có cchức phân tải, cho trrường hợp cầnn nhiều máy cchủ có hiệu năăng lớn tham gia g vào việc điiều khiển lưu llượng mạng VI CÁC GIẢ ẢI PHÁP TĂ ĂNG TỐC Trên thhế giới nnay, việc xây dựng điều khiển hiệu h caoo sử dụngg phần mềm m nhúng chuyên c dụng, giá thàành cao (kkhoảng 1-2 trriệu USD mộtt điều khiểển) Tuy nhiênn, hạ tần ng doanh d nghiệp v tổ chức, đặặc biệt Việtt Nam, không tới 10% chức c củaa điều kkhiển cần c thiết đ sử dụng VNTC nhằm đáp ứnng nhu cầuu cấp thiết củaa hạ tầng mạng quan doanh nnghiệp, trước mắt nhu cầu c thay tư ường lửa M Microsoft ttường lửa ASA A Cisco Với V mức giá tthành phù hợpp, ẽ phát triển c công nghệ tăng tốc VNT TC theo hư ướng sau đây:: a Chọọn nhân hhệ điều hành ttối thiểu tối ưu hóa dần dần: Qua nghhiên cứu chúngg chọn TinyOS hệ h điều hành mã m nguồn mở gốc Linux đãã tối ưu hóa, với quy mơ cực nhỏ gọn, tốc độ tốốt, chạy ổn định, có khả n nhúng đư ược vào chhip chuyên dụụng sử dụ ụng FPGA b Sử dụng d cơng nghhệ Hadoop, phhân tích liệệu song song theo t thuật toánn Map&Reducce c Sử dụng d cơng nghhệ tính tốn G GPU để tăng tố ốc tính tốn tạại thiết bị V VNTC d Chuuyển số chhức lên xxử lý card mạng đ lập trìnhh nhúng FPGA A Hiện naay, làm chủ đđược công ngh hệ Hadoop tiếp tụcc phát triển viiệc phân tích d liệu lớn c gói tinn với tốc độ caao Trong thời t gian qua, có số kếết viiệc tăng tốc nh hờ ứng dụng ttính tốn GPU U, có triển vọn ng áp dụng vào v VNTC VII ỨNG G DỤNG CƠ ƠNG NGHỆ TÍNH T TỐN GPU Do việcc mã hóa đượcc chuyển VN NTC để tiến hành h kiểm soátt lọc tầng ứnng dụng đối vớới gói tin sử dụng giao g thức an tồàn https C Chúng tiến hhành nghiên ứu việc sử dụn ng GPU để tăngg tốc cho việc m mã hóa VN NTC Chúng tơi t thử nghiệm m so sánh thời gian tính tốn cho mã hóa v giải mã dùngg thuật tốn A AES CPU GPU Kết quảả trình bày bbảng sau: Bảng So sánh thời gian mã hó óa CPU vàà GPU Nguyễn N Ái Việt, Lưu L Thị Huy, Lâm m Thị Sen Nguuyễn Văn Nghiệp p 505 Bảảng So sánh thời gian giải mã m CPU vàà GPU VIIII KẾT LUẬN N VNTC thiết bbị cần thiết hiệện có khảả thay th hế tường llửa Microosoft ngừng g hỗ trợ c Cisco, bằnng bổ sungg tính nănng tường lử ửa hệ tươn ng lai Việc tăăng tốc ccác giải pháp phù p hợp có th hể giảm giá thhành thiết bị SDN cũũng đem lại nnhiều công cụ tư tưởng thiết t kế mới, để đ VNTC có tthể có tương llai ứng dụng lâu dài chuyển c sang hạ tầng mạng vvới công nghệệ ÀI LIỆU THA AM KHẢO IX TÀ [1] Nguyen Ai A Viet and N Ngo Doan Lapp, Application of SDN in th he Informationn Security Prootection for th he IDC and the clouud computingg infrastructurre, in Proceeedings of In nternational S Symposium oon GIS and Advanced Technoloogies 2014, Thhai Nguyen (22014) [2] Công ty VIEGRID, T Tài liệu hướngg dẫn sử dụng giải pháp V-A AZUR (2012)), Bằng sáng cchế bảo hộ Cục Sở hữu trrí tuệ cấp (20115) [3] Open Neetworking Fouundation Softw ware-Defined Networking: The T New Norrm for Networrks White paper (2012) [4] ETSI Neetwork Functioons Virtualisaation - Introductory White Paper P (2012) [5] S.Scott-H Hayard, G.O-C Callaghan andd S Seizer, A survey: s SDN security s IEEE E Communicattion Magazine e (2013) [6] Nguyễn Văn Nghiệp, Nghiên cứu vviệc ứng dụng g phần mềm ng guồn mở DPD DK để theo dõõi lưu lượng mạng m SDN Luận án Kỹ K sư CNTT, trường Đại học CNTT&TT T, Đại học Tháái Nguyên (20015) [7] Lưu Thị Huy, "Nghiêên cứu chức tường lửa thếế hệ Suriccata ứng ddụng mạ ạng nội doanh ngghiệp", Luận áán Kỹ sư CNT TT, trường Đạii học CNTT& &TT, Đại học T Thái Nguyên ((2015) [8] Giorgos Vasiliadis, S Spiros Antonaatos, Michaliss Polychronak kis, Evangeloos P, Sotiris Ioannidis, Gn nort: High performaance network intrusion dettection using graphics pro ocessors in Prroceedings off the 11th International Symposiuum on Recentt Advances in Intrusion Detection (2009) [9] S Singhh and S Sikalaari, A Survey oof Cyber Attack Detection Systems S Internnational Journnal of Computter Science and Netw work Security (2009), mputing ứn ng dụng, Luận án Kỹ sư CN NTT, Trường Đ Đại học CNTT T&TT, Đại [10] Lâm Thị Sen, Tìm hiểuu GPU Com học Thái Nguyên (2015) ...502 NG GHIÊN CỨU ỨN NG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TR RONG THIẾT K KẾ THIẾT BỊ ĐIỀ ỀU KHIỂN… Trên hạạ tầng đám mâây, việc tính ttốn lưu ữ liệu có rấất nhiều đổi m công nghệ? ?? việc ảo o... tư ường lửa trongg tường lửaa 504 NG GHIÊN CỨU ỨN NG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TR RONG THIẾT K KẾ THIẾT BỊ ĐIỀ ỀU KHIỂN… Hiện tạại, V-AZUR ápp dụng chhính sách an tồn t an ninh chặt chẽ... chủ, máy trạm sởở liệu SDN thhay đổi công nghệ điều khiển lưu lượng g mạng tạại Cisco bbằng cách tácch phần điều khiển khỏi phần p chuyển d liệu Phần điều khiển trrong mạng SD DN tập trung t