Mục đích của Luận văn là nghiên cứu các phương pháp phòng chống tấn công SDN và áp dụng công nghệ SDN/OpenFlow vào việc phòng chống tấn công, nâng cao bảo mật. Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ***** TRẦN TRUNG HàQUỐC Nội – 2019 GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM Chuyên ngành : Kỹ thuật viễn thơng Mã số: 8.52.02.08 TĨM TẮC LUẬN VĂN THẠC SĨ Hà Nội – 2019 + Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS NGÔ ĐỨC THIỆN Phản biện 1: Phản biện 2: Luận văn bảo vệ trước Hội đồng chấm luận văn Thạc sĩ Học viện Cơng nghệ Bưu Viễn Thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: Thư viện Học viện Cơng nghệ Bưu Viễn thông MỞ ĐẦU Lý chọn đề tài Với phát triển không ngừng Internet ngày nay, nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lượng thiết bị mạng ngày lớn, từ kiến trúc mạng truyền thống bộc lộ nhiều khuyết điểm Sự phức tạp hệ thống, khả mở rộng mạng kém, sách khơng quán, chi phí triển khai tốn kém, nhiều điểm yếu bảo mật Nhu cầu đặt cần có kiến trúc mạng đảm bảo tích hợp linh hoạt, kết hợp với giải pháp bảo mật an tồn cho hệ thống Chính vậy, cơng nghệ mạng định nghĩa phần mềm (SDN) đời giải pháp cho hệ thống mạng tương lai Bên cạnh đó, SDN cịn lựa chọn cho việc triển khai giải pháp đảm bảo an ninh mạng, trước phức tạp công không ngừng thay đổi cách thức độ nguy hại, cản trở nhiều hoạt động giao dịch, dịch vụ mạng Những hạn chế bảo mật kiến trúc mạng truyền thống để lộ lỗ hổng cho kẻ công, tổ chức tội phạm thực hành vi phá hoại tới hệ thống, gây hậu cho doanh nghiệp, quan, tổ chức, nhà cung cấp dịch vụ Vì lý em xin chọn đề tài "Giải pháp chống công mạng định nghĩa phần mềm" làm đề tài luận văn tốt nghiệp Tổng quan vấn đề nghiên cứu SDN đời vào năm 2008 Đại học Stanford tạo cách mạng giới công nghệ Ưu điểm SDN việc tách phần logic điều khiển mạng khỏi chuyển mạch, thúc đẩy điều khiển tập trung cung cấp khả lập trình cho mạng Hiện tại, Google Facebook đầu tư mạnh cho SDN dự đoán năm tới thay toàn mạng truyền thống Vấn đề nghiên cứu mạng SDN nghiên cứu rộng rãi giới năm gần Từ nhiều năm trở lại đây, có báo giới đưa nhiều giải pháp nhằm nâng cao hiệu cho trình sử dụng mạng Internet Trong SDN giải pháp kỳ vọng cao Tại Việt Nam, có cơng trình nghiên cứu áp dụng SDN vào việc thiết kế áp dụng cho việc điều khiển mạng Luận văn nghiên cứu công nghệ SDN/OpenFlow, ưu điểm mà SDN cung cấp so với cấu trúc mạng truyền thống Bên cạnh tìm hiểu hình thức cơng SDN cách phịng chống hình thức cơng Từ đưa phương thức phịng chống cơng dựa cơng nghệ SDN/OpenFlow Mục đích nghiên cứu Nghiên cứu phương pháp phòng chống công SDN áp dụng công nghệ SDN/OpenFlow vào việc phịng chống cơng, nâng cao bảo mật Đối tượng phạm vi nghiên cứu Đối tượng: Công nghệ mạng định nghĩa nội dung (SDN) 3 Phạm vi: Phịng chống cơng SDN dựa SDN/OpenFlow Phương pháp nghiên cứu Nghiên cứu tìm hiểu lý thuyết từ tài liệu, báo, cơng trình nghiên cứu SDN công SDN Xây dựng kiến trúc mạng sử dụng phịng chống cơng SDN, tiến hành mô công server testbed Mobifone, sử dụng card phần cứng phầm mềm, công cụ hỗ trợ Dựa kết mô đưa giải pháp giảm thiểu công vào SDN Nội dung đề tài Nội dung luận văn bao gồm chương với cấu trúc sau: Chương Tổng quan SDN: Chương Xây dựng kiến trúc mạng SDN/OpenFlow sử dụng phòng chống công Chương Kết mô chống công SDN CHƯƠNG TỔNG QUAN VỀ SDN 1.1 Tổng quan SDN 1.1.1 Định nghĩa Software-Definded Networking (SDN) cách tiếp cận việc thiết kế, xây dựng quản lý hệ thống mạng Về bản, SDN chia tách độc lập hai chế tồn thiết bị mạng: Cơ chế điều khiển (Control Plane controller – thành phần điều khiển), chế chuyển tiếp liệu (Data Plane - data forwarding plane – thành phần chuyển tiếp liệu) nhằm tối ưu nhiệm vụ chức hai thành phần (Hình 1.1) Mục đích phân tách tạo mạng lập trình quản lý cách tập trung SDN kiến trúc mạng linh hoạt, dễ quản lý, hiệu suất cao, khả chịu lỗi thích nghi tốt,… Điều làm cho cơng nghệ thật lý tưởng cho ứng dụng địi hỏi băng thơng cao cần linh hoạt Mục đích truyền thông mạng truyền tải thông tin từ điểm tới điểm khác với SDN liệu mạng truyền tải node với hỗ trợ từ ứng dụng dịch vụ nên việc truyền thông trở nên hiệu tối ưu nhiều 1.1.2 Kiến trúc SDN Kiến trúc SDN gồm lớp riêng biệt: lớp ứng dụng, lớp điều khiển, lớp sở hạ tầng (lớp chuyển tiếp) 5 Lớp ứng dụng: Là ứng dụng kinh doanh triển khai mạng, kết nối tới lớp điều khiển thông qua API, cung cấp khả cho phép lớp ứng dụng lập trình lại (cấu hình lại) mạng (điều chỉnh tham số trễ, băng thông, định tuyến, …) thông qua lớp điều khiển Lớp điều khiển: Là nơi tập trung điều khiển thực việc điều khiển cấu hình mạng theo yêu cầu từ lớp ứng dụng khả mạng Các điều khiển phần mềm lập trình Lớp sở hạ tầng: Là thiết bị mạng thực tế (vật lý hay ảo hóa) thực việc chuyển tiếp gói tin theo điều khiển lớp điểu khiển Một thiết bị mạng hoạt động theo điều khiển nhiều điều khiển khác nhau, điều giúp tăng cường khả ảo hóa mạng 1.1.3 So sánh kiến trúc mạng truyền thống kiến trúc SDN Hình 1.1 So sánh mạng SDN mạng truyền thống Mơ hình so sánh kiến trúc mạng truyền thống kiến trúc SDN (hình 1.1) cho thấy kiến trúc mạng truyền thống Control Plane Data Plane ghép chung vào Network Node Trong Control Plane có nhiệm vụ cấu hình Node mạng lập trình đường (định tuyến) để vận chuyển Data Flow Data Flow (luồng liệu) đẩy xuống Data Plane thông qua API chuyển tiếp tới thiết bị phần cứng dựa thông tin điều khiển Control Plane Trong kiến trúc mạng truyền thống sách Forwarding thơng qua cách để điều chỉnh lại sách theo ý muốn phải cấu hình lại tất thiết bị vật lý (Switch, Router, Firewall, …) Điều khơng thời gian mà cịn phiền toái kiến trúc hệ thống mạng truyền thống đặc biệt hệ thống mạng quy mô doanh nghiệp việc xác định vị trí thiết bị tiến hành cấu hình điều chỉnh phức tạp có nhiều rủi ro sai sót ảnh hưởng tới nhiều hoạt động quan trọng khác hệ thống mạng 1.1.4 Lợi ích SDN SDN đem lại lợi ích sau: Giảm CapEx: SDN giúp giảm thiểu yêu cầu mua phần cứng theo mục đích xây dựng dịch vụ, phần cứng mạng sở ASIC, hỗ trợ mơ hình pay-as-you-grow (trả bạn dùng) để loại bỏ lãng phí cho việc dự phịng 7 Giảm OpEx: thơng qua phần tử mạng gia tăng khả lập trình, SDN giúp dễ dàng thiết kế, triển khai, quản lý mở rộng mạng Khả phối hợp dự phòng tự động giảm thời gian quản lý tổng thể, mà giảm xác suất lỗi người tới việc tối ưu khả độ tin cậy dịch vụ Truyền tải nhanh chóng linh hoạt: giúp tổ chức triển khai nhanh ứng dụng, dịch vụ sở hạ tầng để nhanh chóng đạt mục tiêu kinh doanh Cho phép thay đổi: cho phép tổ chức tạo kiểu ứng dụng, dịch vụ mơ hình kinh doanh, để tạo luồng doanh thu nhiều giá trị từ mạng 1.1.5 Ứng dụng SDN - Áp dụng mạng doanh nghiệp: Mơ hình tập trung, điều khiển dự phịng tự động SDN hỗ trợ việc hội tụ liệu, voice, video, việc truy cập thời điểm nào, đâu Điều thực thông qua việc cho phép nhân viên IT thực thi sách quán sở hạ tầng khơng dây có dây Hơn nữa, SDN hỗ trợ việc quản lý giám sát tự động tài nguyên mạng, xác định hồ sơ cá nhân yêu cầu ứng dụng, để đảm bảo tối ưu trải nghiệm người dùng với khả mạng - Áp dụng Data Center (DC): Việc ảo hóa thực thể mạng kiến trúc SDN cho phép việc mở rộng DC, di cư tự động máy ảo, tích hợp chặt chẽ với kho lưu trữ, sử dụng server tốt hơn, sử dụng lượng thấp hơn, tối ưu băng thông - Áp dụng dịch vụ Cloud: Khi sử dụng để hỗ trợ môi trường đám mây riêng tích hợp, SDN cho phép tài nguyên mạng cấp phát theo phương thức linh hoạt cao, cho phép dự phòng nhanh dịch vụ đám mây hand off linh hoạt với nhà cung cấp đám mây bên ngồi Với cơng cụ để quản lý an tồn mạng ảo mình, doanh nghiệp đơn vị kinh doanh tin vào dịch vụ đám mây 1.2 Giao thức OpenFlow 1.2.1 Định nghĩa OpenFlow giao thức chuẩn mở cho phép nhà nghiên cứu thử nghiệm, kiểm chứng giao thức mạng môi trường thực tế với quy mô lưu lượng thật, giúp cho việc học tập, nghiên cứu dễ dàng kiểm nghiệm mà không cần thiết bị thật phức tạp OpenFlow giao thức giúp điều khiển giao tiếp, cấu hình, điều khiển chuyển mạch phía dưới, cung cấp giao diện đồng cho thiết bị nhiều hãng khác hoạt động điều khiển 9 1.2.2 Kiến trúc OpenFlow Switch Một thiết bị chuyển mạch OpenFlow bao gồm thành phần: Bảng luồng (Flow table), Kênh an toàn (Secure Chanel) Giao thức Openflow (OpenFlow Protocol) 1.2.3 Hoạt động OpenFlow Switch Giao thức OpenFlow mô tả tin trao đổi OpenFlow Controller OpenFlow switch Giao thức triển khai Secure Socket Layer (SSL) Transport Layer Security (TLS), cung cấp kênh OpenFlow bảo mật Giao thức OpenFlow cho phép controller thực thao tác bổ sung, cập nhật xóa hành động vào flow entry flow tables 1.3 Các tin trao đổi OpenFlow 1.3.1 Bản tin PacketIn PacketIn tin gửi từ switch lên Controller Có hai lý để thực điều này: Một gói tin match với flow entry flow entry có action gửi lên Controller gói tin match với table_miss table_miss có action gửi lên Controller 1.3.2 Bản tin PacketOut Bản tin PacketOut gửi từ Controller tới Switch dùng để hướng dẫn gói tin mạng Bản tin không dùng để thiết lập entry Switch mà gửi gói tin ngồi Switch 10 1.3.3 Bản tin FlowRemoved FlowRemoved tin gửi tới Controller từ Switch có flow entry flow table bị xóa 1.3.4 Bản tin FlowMod Đây tin hay sử dụng Controller Switch Nó gửi từ Controller xuống Switch cho phép Controller sửa đổi trạng thái Openflow Switch 1.3.5 Bản tin StatsRequest Bản tin StatsRequest sử dụng để yêu cầu thông tin flow, table Switch 1.3.6 Bản tin StatsResponse StatsResponse dùng để trả lời tin StatsRequest 11 CHƯƠNG XÂY DỰNG KIẾN TRÖC MẠNG SDN/OPENFLOW SỬ DỤNG TRONG PHÕNG CHỐNG TẤN CÔNG 2.1 Giả lập kiến trúc mạng SDN/OpenFlow Kiến trúc tổng quan hệ thống thể bên (Hình 2.1) Controller OpenFlow Protocol Traffic in Hình 2.1 OpenFlow Switch User-Victim Kiến trúc mạng SDN/OpenFlow giả lập 2.2 Nguyên lý hoạt động hệ thống 2.2.1 Cách thức hoạt động Controller Bộ điều khiển SDN Controller có nhiệm vụ định cho khối chuyển mạch OpenFlow Switch thực thi thông qua giao thức OpenFlow Nhận thông báo phân tích flow entry vào mạng, xảy công, SDN Controller nhận thơng báo kèm theo dãy địa IP nguồn tin truy 12 vấn có tần suất cao tới hệ thống, đa số nguồn tin thực việc công hệ thống, cần phải ngăn chặn Khi nhận thơng báo có cơng với danh sách địa IP, SDN Controller gửi tin điều khiển xuống khối chuyển mạch OpenFlow Switch để làm rớt tất gói tin từ địa IP bị nghi ngờ, từ lưu lượng qua chuyển mạch khống chế, đảm bảo cho thiết bị phía người dùng khơng bị ảnh hưởng SDN Controller gửi tin FlowMod xuống cho chuyển mạch để thực việc hủy bỏ gói tin 2.2.2 Cách hoạt động chuyển mạch OpenFlow Switch Bộ chuyển mạch thực việc chuyển tiếp lưu lượng lưu thông mạng, lưu giữ bảng trạng thái Khi Flow entry đến chuyển mạch OpenFlow Switch đối chiếu với bảng trạng thái Flow table để thực việc định tuyến chuyển tiếp gói tin, tất hoạt động chịu giám sát SDN Controller, giao tiếp Controller với chuyển mạch OpenFlow Switch thực thông qua giao thức OpenFlow Bên cạnh đó, chuyển mạch cịn tích hợp thêm khối giám sát lưu lượng sFlow, gói tin đến lấy mẫu để theo dõi, kiểm soát xử lý, phân tích liệu gửi lên controller theo định kỳ đế đảm bảo kịp thời phát có cơng xảy 13 2.2.3 Cách thức hoạt động kiểm soát lưu lượng sFlow – Network Monitoring Bộ kiểm sốt lưu lượng có chức thực giám sát kiểm sốt phân tích lưu lượng vào hệ thống mạng, chuyển tiếp tồn thơng tin phân tích lên điều khiển Là phần mềm nhúng khối OpenFlow Switch tảng NetFPGA Hoạt động dựa công nghệ sFlow với cấu trúc Agent – Collector Các sFlow Agent thực nhiệm vụ thu thập lưu lượng theo chu kỳ thời gian lấy mẫu, đưa lên khối sFlow Collector, giúp Collector bao quát toàn lưu lượng mạng theo thời gian thực 2.3 Kịch công giải pháp giảm thiểu công khuyếch đại DNS 2.3.1 Xây dựng hệ thống Hệ thống bao gồm thiết bị : SDN Controller, OpenFlow Switch tảng NetFPGA(tích hợp khối Network Monitoring), máy phát lưu lượng giả lập lưu lượng thời gian thực (bao gồm lưu lượng cơng lưu lượng bình thường), Server đóng vai trị nạn nhân cơng (Victim) 2.3.2 Công cụ hỗ trợ Các công cụ hỗ trợ bao gồm: Bonesi, Wireshark, TCPReplay, Moba Sterm, Editcap, Speedometer, Tcpdump 14 2.3.3 Kịch phát công Sử dụng công cụ Bonesi để phát công trực tiếp vào FPT Server đóng vai trị máy nạn nhân, đồng thời dùng Wireshark để thu thập liệu lưu lại dạng file pcap Tác giả có liệu cơng giống đặc tính mạng Botnet Sử dụng TCPReplay để phát lại lưu lượng từ máy phát lưu lượng vào hệ thống giả lập xây dựng, tiến hành công máy FPT Server Lưu lượng phải chuyển tiếp qua OpenFlow Switch kiểm soát controller Tiến hành phát ghi lại kết hai trường hợp : không chạy giải pháp giảm thiểu cơng trường hợp có chạy giải pháp giảm thiểu công Floodlight Controller Sử dụng công cụ Speedometer để đo thông lượng lưu lượng đầu vào đầu khối chuyển mạch công nghệ sFlow để giám sát lưu lượng 15 CHƯƠNG KẾT QUẢ MÔ PHỎNG CHỐNG TẤN CƠNG TRONG SDN 3.1 Mơ hình xây dựng hệ thống 3.1.1 Tổng quan hệ thống Tác giả xây dựng mơ hình giả lập cơng nghiên cứu phần lý thuyết Hình 3.1 cho thấy khối chức hệ thống giả lập Hình 3.1 Mơ hình lý thuyết 3.1.2 Triển khai hệ thống Traffic Generator: Chúng ta tiến hành bật traffic generator lên để chuẩn bị cho việc phát lưu lượng mẫu Kiểm tra lại kết nối mạng từ traffic generator mạng internet để bắt đầu dùng MobaXterm để SSH vào điều khiển máy 16 OpenFlow Switch (super-switch): Sau tiến hành bật máy lên, phải tiến hành nạp code cho NetFPGA, bước đầu để máy tính nhận cổng NetFPGA cổng máy Sau tiền hành nạp file code đầu tiên, phải khởi động lại máy để máy hoàn thành tác vụ chuyển cổng FPGA thành cổng máy Sau máy bật lên trở lại, tiến hành nạp file code thứ hai Sau chạy xong file nạp code trên, cấu hình để máy tính hoạt động OpenFlow Switch ServerFarm: Sau máy ServerFarm bật, tiến hành bật Wireshark lên chuẩn bị tiến hành đo lưu qua cổng enp10s0f0 3.2 Mô công biện pháp giảm thiếu công Trước tiên sử dụng Bonesi để phát lưu lượng giả lập, chứa nguồn địa IP khác từ file 50k-bots với tối độ 1500 gói/s tới địa Victim 192.168.20.30 Đồng thời dùng phần mềm wireshark thu lại lịch sử kết nối phát công thành file dns.pcap Sau thu file dns.pcap đóng vai trị file chứa lưu lượng cơng cho mơ hình giả lập Tiếp theo tác giả sử dụng công cụ TCPReplay để phát lại file dns.pcap vào mơ hình 3.2.1 Phát lưu lượng bình thường khơng có giải pháp giảm thiểu Trước tiến hành phát lưu lượng, tiến hành bật controller tiến hành gửi lưu lượng từ OpenFlow Switch lên 17 controller Sau đó, tiến hành chạy controller mà khơng có giải pháp giảm thiểu Hình 3.1 Lưu lượng cơng chưa chạy giải pháp giảm thiểu 3.2.2 Hệ thống sử dụng giải pháp giảm thiểu Quy trình tương tự phát lưu lượng bình thường, lúc SDN Controller ta bắt đầu chạy giải pháp phát giảm thiểu công cho ta thấy khác biệt trường hợp sử dụng giải pháp phát giảm thiểu công trường hợp không sử dụng Ta thấy rằng, file 50k-bots với tối độ 1500 gói/s khơng sử dụng giải pháp giảm thiểu công, số lượng flow-entry switch lớn lớn khoảng 700Mb/s thời gian tồn flow entry Switch kéo dài Điều gây tốn tài nguyên Switch cơng với cường độ lưu lượng lớn dẫn tới Switch khơng cịn khả xử lý Trong sử dụng giải pháp 18 giảm thiểu cơng với file 50k-bots với tối độ 1500 gói/s số lượng flow-entry Switch công xảy đạt giá trị lớn khoảng 5Mb/s Ngoài trạng thái flow tồn Swich ngắn so với trường hợp không sử dụng giải pháp giảm thiểu Hình 3.2 Lưu lượng cơng chạy qua giải pháp giảm thiểu 3.3 Nhận xét kiến nghị Hệ thống giả lập xây dựng hiệu việc phát phòng chống công Dựa kiến trúc mạng SDN/OpenFlow với công nghệ sFlow, hệ thống phát truy vấn giả mạo để thực ngăn chặn cơng thời gian ngắn, nhanh chóng giảm thiểu flow entry vào chuyển mạch OpenFlow Switch, giúp Server nhanh phục hồi để phục vụ dịch vụ thông thường công xảy 19 Qua đề tài luận văn này, ta nhận thấy hiệu việc phát phòng chống công hệ thống giả lập Tác giả xin kiến nghị thử nghiệm mơ hình hệ thống vào hệ thống SDN hoạt động đơn vị thời gian tới 20 KẾT LUẬN Các kết đề tài luận văn: - Đưa nhìn tổng quan kiến trúc mạng SDN, giao thức OpenFlow tin trao đổi OpenFlow Switch Controller - Xây dựng kiến trúc mạng SDN/OpenFlow server testbed Đồng thời giả lập công hệ thống mô phỏng, kỹ thuật giám sát lưu lượng giảm thiểu cơng tích hợp - Hệ thống mơ phát ngăn chặn công thời gian ngắn, giúp server nhanh chóng phục hồi để phục vụ dịch vụ công xảy Hướng phát triển đề tài: Thử nghiệm mơ hình với liệu thu thập từ thực tế chứa nhiều hình thức cơng hơn, để đánh giá hiệu hệ thống giả lập phát triển giải pháp phịng chống loại cơng khác SDN Controller Đồng thời, nâng cấp cấu hình Controller để tăng tốc độ xử lý gói tin công, giảm thời gian đáp ứng hệ thống, tối ưu hóa hiệu hệ thống, cung cấp hệ thống hoàn thiện 21 DANH MỤC TÀI LIỆU THAM KHẢO [1] Thuyết minh dự thảo tiêu chuẩn quốc gia – Các yêu cầu hướng dẫn bảo mật DNS (DNSSEC)-2016 [2] Open Networking Foundation, Software-Defined Networking: The New Norm for Networks, April 13, 2012 [3] OpenFlow Specification v1.3.0, June 25, 2012 [4] Marios Anagnostopoulos, Georgios Kambourakis, Panagiotis Kopanos, Georgios Louloudakis, Stefanos Gritzalis, DNS Amplification Attack Revisited, An article in Computer&Security, December 2013 [5] FERGUSON, P., AND SENIE, D.BCP 38 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing RFC 2827, May 2000 [6] Muhammad Afaq, Shafqat Rehman, Wang-Cheol Song, Large Flows Detection, Marking, and Mitigation based on sFlow Standard in SDN, Journal of Korea Multimedia Society Vol 18, No 2, February 2015 (pp 189-198) ... với giải pháp bảo mật an tồn cho hệ thống Chính vậy, công nghệ mạng định nghĩa phần mềm (SDN) đời giải pháp cho hệ thống mạng tương lai Bên cạnh đó, SDN cịn lựa chọn cho việc triển khai giải pháp. .. xin chọn đề tài "Giải pháp chống công mạng định nghĩa phần mềm" làm đề tài luận văn tốt nghiệp Tổng quan vấn đề nghiên cứu SDN đời vào năm 2008 Đại học Stanford tạo cách mạng giới công nghệ Ưu điểm... dựng kiến trúc mạng sử dụng phòng chống công SDN, tiến hành mô công server testbed Mobifone, sử dụng card phần cứng phầm mềm, công cụ hỗ trợ Dựa kết mô đưa giải pháp giảm thiểu công vào SDN Nội