TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu bảo mật hệ thống mạng SDN VŨ XUÂN TRƯỜNG truongvx2406@gmail.com Ngành Kỹ thuật viễn thông Giảng viên hướng dẫn: TS Nguyễn Trung Dũng Chữ ký GVHD Viện: Điện tử - Viễn thông HÀ NỘI, 10/2020 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu bảo mật hệ thống mạng SDN VŨ XUÂN TRƯỜNG truongvx2406@gmail.com Ngành Kỹ thuật viễn thông Giảng viên hướng dẫn: TS.Nguyễn Trung Dũng Chữ ký GVHD Viện: Điện tử - Viễn thông HÀ NỘI, 10/2020 LỜI CAM ĐOAN Tơi xin cam đoan, tồn kiến thức nội dung luận văn kiến thức tự nghiên cứu từ tài liệu tham khảo ngồi nước, khơng có chép hay vay mượn hình thức để hoàn thành luận văn tốt nghiệp cao học chuyên ngành Điện tử Viễn thông Tôi xin chịu trách nhiệm cơng trình nghiên cứu riêng Hà Nội, ngày tháng năm 2020 Học viên Vũ Xuân Trường i LỜI CẢM ƠN Trong suốt trình nghiên cứu thực Luận văn, nhận động viên, giúp đỡ tận tình TS Nguyễn Trung Dũng, người trực tiếp hướng dẫn tơi hồn thành luận văn Đầu tiên, xin gửi lời cảm ơn sâu sắc đến thầy Tôi xin trân trọng cảm ơn Phòng Đào tạo, Viện điện tử - Viễn thông Trường Đại học Bách khoa Hà Nội tạo điều kiện giúp đỡ mặt thủ tục Tôi xin cảm ơn trợ giúp, động viên to lớn mặt vật chất tinh thần gia đình, người thân, bạn bè đồng nghiệp, tạo điều kiện cho tơi hồn thành luận văn Trong trình thực đề tài nghiên cứu, cố gắng hết sức, song Luận văn không tránh khỏi thiếu sót Tơi mong nhận thơng cảm đóng góp chân thành q thầy bạn để tơi hồn thiện Luận văn tốt nghiệp Hà Nội, ngày tháng năm 2020 Học viên Vũ Xuân Trường ii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC TỪ VIẾT TẮT v DANH MỤC HÌNH VẼ viii DANH MỤC BẢNG BIỂU x MỞ ĐẦU xi CHƯƠNG 1: TỔNG QUAN VỀ SDN 1.1 Giới thiệu SDN 1.1.1 Những hạn chế mơ hình mạng truyền thống 1.1.2 Mơ hình mạng SDN 1.1.3 Sự khác biệt SDN với mạng truyền thống 1.2 Kiến trúc mạng SDN 1.2.1 Lớp ứng dụng 1.2.2 Lớp điều khiển 1.2.3 Lớp liệu 1.3 Các đặc trưng mạng SDN 1.4 Ưu nhược điểm SDN 13 1.5 Trung tâm liệu quản lý mạng SDN 15 1.6 Mơ hình triển khai SDN 16 1.7 Ứng dụng xu phát triển SDN 16 CHƯƠNG 2: GIAO THỨC OPENFLOW 18 2.1 Giới thiệu OpenFlow 18 2.2 Các đặc trưng hoạt động OpenFlow 19 2.2.1 Các đặc trưng Openflow 19 2.2.2 Hoạt động OpenFlow 20 2.3 Openflow switch 21 2.4 Lợi ích sử dụng OpenFlow 24 CHƯƠNG 3: CÁC VẤN ĐỀ BẢO MẬT TRONG SDN 26 3.1 Các vấn để bảo mật SDN 26 3.1.1 Phân tích bảo mật SDN 26 3.1.2 Các vấn đề bảo mật lỗ hổng SDN 28 iii 3.2 Giải pháp bảo mật SDN 33 3.2.1 Giải pháp bảo mật tổng thể cho mạng SDN 33 3.2.2 Giải pháp bảo mật cho vấn đề 35 3.3 Tấn công DDOS số giải pháp ngăn chặn SDN 51 3.3.1 Phân loại công DDoS 51 3.3.2 Các kỹ thuật phát công DDOS 54 3.3.3 Các kỹ thuật ngăn chặn, giảm thiểu công DDOS 55 CHƯƠNG 4: THỬ NGHIỆM VÀ MÔ PHỎNG TRONG MÔI TRƯỜNG ẢO MININET 58 4.1 Giới thiệu công cụ sử dụng demo 58 4.1.1 Mininet 58 4.1.2 OpenDaylight 58 4.2 Cài đặt cơng cụ mơ hình triển khai 58 4.2.1 Cài đặt Mininet 58 4.2.2 Cài đặt Opendaylight 58 4.2.3 Mơ hình triển khai 60 4.3 Thử nghiệm số tính bảo mật 60 4.3.1 Thay đổi mật cho điều khiển SDN 60 4.3.2 Tấn cơng, phịng chống DDOS SDN 63 KẾT LUẬN 76 TÀI LIỆU THAM KHẢO 77 iv DANH MỤC CÁC TỪ VIẾT TẮT Ký hiệu Tiếng Anh Tiếng Việt 3HS Three ways Handshake Bắt tay ba bước ACK ACKnowledgement Gói tin xác nhận kết nối API Application Programming Giao diện lập trình ứng dụng Interface ASIC Application-specific integrated Vi mạch tích hợp chuyên dụng circuit BGP Border Gateway Protocol Giao thức BGP Capital Expenditure Chi phí đầu tư Client ACKnowledgement Gói tin xác nhận kết nối từ client Data Center Trung tâm liệu DDoS Distributed Denial of service Tấn công từ chối dịch vụ phân tán DNS Domain Name System Hệ thống tên miền DoS Denial of Service Từ chối dịch vụ DPI Deep Packet Inspection Kiểm tra gói tin EAP Extensible Authentication Giao thức xác thực mở rộng CapEx CliACK DC Protocol ESP Encapsulating Security Bảo mật đóng gói HIP Host Identity Protocol Giao thức nhận dạng máy chủ HOC Half Open Connection Kết nối dang dở HTTP HyperText Transfer Protocol Giao thức HTTP ICMP Internet Control Message Giao thức ICMP Protocol IDS Intrusion Detection Systems Hệ thống phát xâm nhập IP Internet Protocol Giao thức IP IPS Intrusion Prevention Systems Hệ thống ngăn chặn xâm nhập IRC Internet Relay Chat Dịch vụ chat Internet LAN Local Network Area Mạng cục LPM Layered Policy Management Quản lý sách phân lớp v MD5 Message-Digest algorithm NETCONF The Network Configuration Thuật toán MD5 Giao thức cấu hình mạng Protocol NFV Network Function Virtualization Ảo hóa chức mạng NOS Network Operating System Hệ điều hành mạng NTP Network Time Protocol Giao thức đồng thời gian mạng OpenFlow Giao thức OpenFlow Open Networking Foundation Tổ chức chuẩn hóa mạng OF ONF ONOS Open Network Operating System Hệ điều hành mã nguồn mở OpEx Operating Expenditur Chi phí hoạt động Operating system Hệ điều hành OVSDB Open vSwitch Database Giao thức quản lý SDN SDMN Software-defined mobile Mạng di động định nghĩa networking phần mềm Software Defined Network Mạng định nghĩa phần mềm Simple Network Management Giao thức SNMP OS SDN SNMP Protocol SSL Secure Sockets Layer Giao thức bảo mật SSL SYN SYNchronous Gói tin yêu cầu kết nối SYN-ACK SYNchronize Gói tin trả lời yêu cầu kết nối ACKnowledgement TCB Transmission Control Block Khối điều khiển truyền TCP Transmission Control Protocol Giao thức TCP TLS Transport Layer Security Giao thức bảo mật TLS UDP User Datagram Protocol Giao thức UDP Virtual source address validation Xác thực địa nguồn ảo VAVE edge vFirewall VLAN VPN vRouter Virtual Firewall Firewall ảo Virtual Local Area Network Mạng LAN ảo Virtual Private Network Mạng riêng ảo Virtual Router Router ảo vi Virtual Switch Switch ảo WAN Wide Area Network Mạng diện rộng XMPP Extensible Messaging and Giao thức XMPP vSwitch Presence Protocol vii DANH MỤC HÌNH VẼ Hình 1: So sánh mơ hình mạng truyền thống SDN Hình 2: Kiến trúc mạng SDN Hình 3: Lớp điều khiển SDN Hình 4: Các đặc trưng SDN Hình 5: Kiến trúc chức SDN mô tả lớp giao diện 13 Hình 6: Một ví dụ Flow Table thiết bị 20 Hình 7: Sơ đồ quan hệ Controller thiết bị Openflow switch 21 Hình 8: Các thành phần OpenFlow switch 22 Hình 9: Cơ chế xử lý gói tin openflow switch 23 Hình 10: Các kiểu cơng lỗ hổng bảo mật SDN 29 Hình 11: Các giải pháp bảo mật chung 34 Hình 12: Phân loại kỹ thuật công DDoS 52 Hình 13: Quá trình bắt tay ba bước kết nối TCP (a) chế công TCP SYN Flood (b) 53 Hình 14: Trang đăng nhập Opendaylight Controller 59 Hình 15: Mơ hình triển khai demo 60 Hình 16: Cài đặt tính restconf opendaylight 61 Hình 17: Thực cài đặt idmtool 62 Hình 18: Thay đổi mật khấu cho điều khiển Opendaylight 62 Hình 19: Tạo mơ hình demo mininet 64 Hình 20: Thơng tin IP host mininet 64 Hình 21: Thơng tin port link kết nối mơ hình mininet 64 Hình 22: Mơ hình mạng Opendaylight 65 Hình 23: Thơng tin nodes, liên kết, luồng Opendaylight 65 Hình 24: Thơng tin kết nối switch 66 Hình 25: Thơng tin trao đổi gói tin, lưu lượng switch 66 Hình 26: Bảng luồng switch 67 Hình 27: Cài đặt SFlow-RT 68 Hình 28: Cài đặt Wireshark mininet 68 Hình 29: Giao diện phần mềm theo dõi SFlow-RT 68 viii Hình 19: Tạo mơ hình demo mininet Sau tạo xong, thông tin IP, địa MAC, port switch host kết nối với hiển thị hình bên Hình 20: Thơng tin IP host mininet Hình 21: Thông tin port link kết nối mơ hình mininet 64 Bước 2: Đăng nhập vào giao diện quản lý Opendaylight để xem mơ hình tạo bước bao gồm thông tin node, port, liên kết, bảng luồng Hình 22: Mơ hình mạng Opendaylight Hình 23: Thơng tin nodes, liên kết, luồng Opendaylight 65 Hình 24: Thơng tin kết nối switch Hình 25: Thơng tin trao đổi gói tin, lưu lượng switch 66 Hình 26: Bảng luồng switch Bước 3: Cài đặt công cụ giám sát SFlow-RT, Wireshark để theo dõi giám sát lưu lượng, gói tin cổng để phát bất thường có cơng DDOS sử dụng số cơng cụ có sẵn mininet để theo dõi tiến trình //Tải cài đặt SFlow-RT $wget https://inmon.com/products/sFlow-RT/sflow-rt.tar.gz $tar -xvzf sflow-rt.tar.gz $./sflow-rt/start.sh //Cài đặt Wireshark $sudo Wireshark //Enable Sflow cổng $sudo ovs-vsctl id=@sflow create sflow agent=eth1 target=\"127.0.0.1:6343\" sampling=10 polling=20 set bridge s1 sflow=@sflow Sau thực đăng nhập vào giao diện quản lý SFlow-RT theo địa localhost:8008/html/index.html 67 Hình 27: Cài đặt SFlow-RT Hình 28: Cài đặt Wireshark mininet Hình 29: Giao diện phần mềm theo dõi SFlow-RT 68 Bước 4: Thực công DDOS ICMP Flood TCP SYN Flood Trên mininet $xterm h2 h3 //Thực công DDOS ICMP flood TCP SYN Flood Trên h2 h3: ICMP flood: ping 10.0.0.1 –f TCP SYN flood: hping 10.0.0.1 –S –flood –c Sau bị công DDOS, sử dụng số cơng cụ phân tích, giám sát SFlow-RT, Wireshark, top command, system monitor mininet để phát cơng DDOS Qua kiểm tra phân tích, ta thấy sau: Trên wireshark, cổng kết nối tới host1-eth1 (host bị cơng) có số lượng gói tin TCP tăng cao đột biến nguồn công từ IP 10.0.0.2 hình Hình 30: Gói tin từ Wireshark TCP SYN Flood 69 Hình 31: Số lượng gói tin cơng TCP SYN Flood wireshark Hình 32: Gói tin từ Wireshark ICMP Flood 70 Trên công cụ system monitor top, CPU tăng cao bất thường vào thời điểm bị công DDOS Hình 33: Theo dõi tiến trình với top command mininet Hình 34: Cơng cụ System Monitor 71 Trên SFlow-RT, lưu lượng cổng tăng cao bất thường bị cơng DDOS Hình 35: Giám sát lưu lượng cổng host1 cơng ICMP Flood Hình 36: Giám sát lưu lượng cổng host1 công TCP SYN Flood 72 Sau sử dụng cơng cụ để phân tích phát bất thường, phát nguồn công cách thức công Bước 5: Thực ngăn chặn giảm thiểu cơng //xử lý tiến trình gây DDOS $kill 7779 //chặn IP công $sudo ovs-ofctl –O OpenFlow13 add-flow s1 nw_dst=10.0.0.2,actions=drop $sudo ovs-ofctl –O OpenFlow13 add-flow s1 nw_dst=10.0.0.3,actions=drop Sử dụng câu lệnh kill tiến trình bất thường khiến CPU tăng cao Hình 37: Xử lý tiến trình gây DDOS Hình 38: Chặn IP công vào H1 73 Sau bị xử lý, lưu lượng CPU giảm ngăn chặn DDOS thành cơng Hình 39: Tiến trình sau xử lý Hình 40: CPU sau xử lý Hình 41: Lưu lượng sau xử lý công ICMP Flood 74 Hình 42: Lưu lượng sau xử lý cơng TCP SYN Flood c Kết luận: Thử nghiệm sử dụng công cụ Sflow-RT Wireshare để phát công DDOS sử dụng tập lệnh drop gói tin chặn IP cơng điều khiển để ngăn chặn thành công công DDOS vào hệ thống mạng SDN Đây số công cụ hỗ trợ cho việc phát ngăn chặn công DDOS cách thủ công sau phát Trên thực tế, để đảm bảo hệ thống sẵn sàng, phải kết hợp thêm với hệ thống bên phát xâm nhập IDS, firewall, load-balancing… để việc ngăn chặn công DDOS diễn cách tự động hiệu 75 KẾT LUẬN Xu hướng người sử dụng ngày như: ưa chuộng tính di động, ảo hóa máy chủ, yêu cầu đáp ứng cách nhanh chóng với điều kiện cơng việc ln thay đổi đặt ngày nhiều yêu cầu hệ thống mạng Kiến trúc mạng thông thường nhiều không đáp ứng kịp Mạng điều khiển phần mềm (SDN) cung cấp kiến trúc mạng mới, động, có khả thay đổi mạng xương sống truyền thống sang tảng có khả cung cấp dịch vụ phong phú Tương lai mạng dựa nhiều vào phần mềm Sở hữu nhiều lợi tiềm công nghiệp hấp dẫn, mạng SDN đường để trở thành chuẩn cho mạng tương lai Tuy nhiên, song song với vấn đề đảm bảo an tồn chống mát liệu hệ thống mạng SDN Nhiều mối đe dọa, nhiều công lỗ hổng bảo mật SDN xem xét nghiên cứu Luận văn Đó vấn đề mang tính thời sự, đặt nhiều thách thức cho chuyên gia an ninh mạng thời gian tới Từ chối dịch vụ xác thực lỗ hổng quan trọng SDN Để giải vấn để, Luận văn thực test số kịch phần mềm mô để thử nghiệm với vấn đề bảo mật Do giới hạn điều kiện triển khai hệ thống thực tế, Luận văn số hạn chế sau: • Về phần lý thuyết: Luận văn cịn nhiều thiếu sót chưa tập trung sâu vào giải pháp cho mối đe dọa lỗ hổng SDN • Về phần demo: Luận văn xây dựng test số tính bảo mật hệ thống SDN phần mềm mô phỏng, chưa có hội triển khai mơi trường thực tế Mục đích Luận văn đánh giá tình trạng bảo mật SDN Do đó, cần triển khai nhiều kịch bảo mật mạng SDN để ước tính đánh giá mức độ thực tế mối đe dọa lỗ hổng gặp phải cơng Từ đó, có thêm giải pháp triển khai SDN vào thực tế 76 TÀI LIỆU THAM KHẢO [1] Scott-Hayward, S., Natarajan, S., & Sezer, S., "A Survey of Security in Software Defined Networks," pp 623-654, 2016 [2] OpenFlow [Online] Available: https://en.wikipedia.org/wiki/OpenFlow [3] K B T Thành, "SOFTWARE DEFINED NETWORKING – CÔNG NGHỆ MỚI LÀM THAY ĐỔI CẤU TRÚC MẠNG," [Online] Available: https://www.academia.edu/9426394 [4] T C MINH, 2019 [Online] Available: https://thinhcaominh.wordpress.com/2019/05/04/sdn-openflow-switch-trong-kien-trucsdn/ [5] D Kreutz, F Ramos, and P Verissimo, "Towards secure and dependable software-defined networks," in Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking, ACM, 2013, p 55–60 [6] D Li, X Hong, and J Bowman, "Evaluation of Security Vulnerabilities by Using ProtoGENI as a Launchpad," in Global Telecommunications Conference, IEEE, 2011, pp 1-6 [7] S Shin and G Gu, "Attacking Software-Defined Networks: The First Feasibility Study," in Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking, ACM, 2013, pp 165-166 [8] L Schehlmann, S Abt, and H Baier, "Blessing or curse? Revisiting security aspects of Software-Defined Networking," in Network and Service Management (CNSM), IEEE, 2014, pp 382-387 [9] R Smeliansky, "SDN for network security," in Science and Technology Conference, IEEE, 2014, pp 1-5 [10] A Y Ding, J Crowcroft, S Tarkoma, and H Flinck, "Software defined networking for security enhancement in wireless mobile networks," vol 66, Computer Networks, 2014, pp 94-101 [11] M Tsugawa, A Matsunaga, and J A Fortes, in Cloud Computing Security: What Changes with Software-Defined Networking?, Springer, 2014, pp 77-93 [12] "OpenFlow Switch Specification Version 1.4," Open Networking Foundation, [Online] Available: https://www.opennetworking.org [13] O O MM and K OKAMURA, "Securing Distributed Control of Software Defined Networks," in International Journal of Computer Science, vol 13, 2013 [14] H Li, P Li, S Guo, and S Yu, "Byzantine-resilient secure softwaredefined networks with multiple controllers," in Communications (ICC), IEEE, 2014, pp 695-700 [15] J McCauley, A Panda, M Casado, T Koponen, and S Shenker, "Extending SDN to largescale networks," in Open Networking Summit, 2013, pp 1-2 [16] F Botelho, A Bessani, F M Ramos, and P Ferreira, "On the design of practical faulttolerant sdn controllers," vol 14, in Proc of the 3rd European Workshop on Software Defined NetworksEWSDN, 2014 [17] X Wen, Y Chen, C Hu, C Shi, and Y Wang,, "Towards a secure controller platform for openflow applications," in Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking, ACM, 2013, pp 171-172 [18] Scott-Hayward, C Kane, and S Sezer, "OperationCheckpoint:," in 22nd IEEE International Conference on Network Protocols (ICNP), IEEE, 2014, pp 618-623 77 [19] "OPENFLOWSEC.ORG," [Online] Available: www.openflowsec.org [20] D M F Mattos, L H G Ferraz, and O C M B Duarte, "AuthFlow:Authentication and Access Control Mechanism for Software Defined" [21] J Naous, R Stutsman, D Mazieres, N McKeown and N Zeldovich, "Delegating network security with more information," in Proceedings of the 1st ACM workshop on Research on enterprise networking, ACM, 2009, pp 19-26 [22] S Mukkamala, G Janoski, and A Sung, "Intrusion detection using neural networks and support vector machines," vol 2, in Proceedings of the 2002 International Joint Conference on Neural Networks, 2002, pp 1702-1707 [23] C Kruegel, D Mutz, W Robertson, and F Valeur, "Bayesian event classification for intrusion detection," in 19th Annual Computer Security Applications Conference, 2003., 2003, pp 14-23 [24] K Giotis, C Argyropoulos, G Androulidakis, D Kalogeras, and V Maglaris, "Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments," vol 62, Comput Netw, 2014, pp 122-136 [25] A F M Piedrahita, S Rueda, D M F Mattos, and O C M B Duarte, "Flowfence: a denial of service defense system for software defined networking," in Proceedings of the 2015 Global Information Infrastructure and Networking Symposium, Guadalajara, 2015, pp 1-6 [26] C.-J Chung, P Khatkar, T Xing, J Lee, and D Huang, "NICE: Network Intrusion Detection and Countermeasure Selection in Virtual Network Systems," vol 10, IEEE, 2013, p 198– 211 [27] L von Ahn, M Blum, N J Hopper, and J Langford, "CAPTCHA: Using Hard AI Problems for Security," in Proceedings of the International Conference on the Theory and Applications of Cryptographic Techniques - Advances in Cryptology — EUROCRYPT 2003, Warsaw, 2003, pp 294-311 [28] G Yao, J Bi, and P Xiao, "Source address validation solution with OpenFlow/NOX architecture," in 2011 19th IEEE International Conference on Network Protocols, 2011 , pp 7-12 [29] Sufian Hameed and Hassan Ahmed Khan, "SDN Based Collaborative Scheme for Mitigation of DDoS Attacks," vol 10, 2018, p 23 [30] D Yu, A W Moore, C Hall, and R Anderson, in Authentication for, Springer, 2013, pp 3944 78 ... CÁC VẤN ĐỀ BẢO MẬT TRONG SDN 26 3.1 Các vấn để bảo mật SDN 26 3.1.1 Phân tích bảo mật SDN 26 3.1.2 Các vấn đề bảo mật lỗ hổng SDN 28 iii 3.2 Giải pháp bảo mật SDN ... pháp bảo mật SDN 3.2.1 Giải pháp bảo mật tổng thể cho mạng SDN Với phát triển ngày mạnh mẽ mở rộng SDN, vấn đề bảo mật mạng SDN ngày quan tâm nhiều câu hỏi đặt liệu giải pháp bảo mật có đủ bảo. .. để bảo vệ tính bí mật liệu bảo mật nhạy cảm Tính bảo mật độ tin cậy SDN xem xét tập trung cụ thể vào tính bảo mật OpenFlow biện pháp đối phó với mối đe dọa bảo mật mạng OpenFlow Lỗ hổng mạng SDN