CHƯƠNG 3 : SDN TRONG CÁC MÔI TRƯỜNG KHÁC
3.3. Campus Network
3.3.3. SDN trong khuôn viên: Cản lưu lượng truy cập
Có các quy tắc bảng lưu lượng ở biên mạng mang lại lợi ích bổ sung là có thể ngăn chặn lưu lượng truy cập không mong muốn. Lưu lượng truy cập khơng mong muốn đó
có thể là lành tính, chẳng hạn như đa tuyến khám phá dịch vụ hoặc nó có thể độc hại, chẳng hạn như các thiết bị bị nhiễm mang vi rút vào mạng. Với các bảng lưu lượng ở biên của mạng, lưu lượng khám phá dịch vụ có thể được thiết bị biên thu nhận và chuyển tiếp đến bộ điều khiển. Bộ điều khiển sau đó có thể giữ một kho lưu trữ các dịch vụ và người yêu cầu dịch vụ, có thể được sử dụng để đáp ứng các yêu cầu mà không cần phải chuyển tiếp tất cả các đa tuyến đó ngược dịng để làm ngập mạng có thể bị q tải.
Khả năng thiết lập chính sách và bảo mật cho người dùng cuối với các cơ chế dựa trên luồng chi tiết cao tạo điều kiện cho các bức tường lửa hiệu quả cho mỗi người dùng. Chỉ một số loại lưu lượng nhất định (ví dụ: lưu lượng dành cho các cổng UDP hoặc TCP nhất định) mới được phép đi qua thiết bị biên. Tất cả các loại lưu lượng khác sẽ bị loại bỏ ở biên của mạng. Đây là một phương tiện hữu hiệu để chặn một số loại lưu lượng độc hại. Lưu ý rằng việc triển khai tường lửa cho mỗi người dùng yêu cầu bộ điều khiển biết người dùng là ai. Nếu giải pháp NAC đang chạy trong bộ điều khiển SDN, thì đây khơng phải là vấn đề. Nếu giải pháp NAC, chẳng hạn như RADIUS, được triển khai bên ngồi SDN, thì có một thách thức là mối quan hệ giữa giải pháp NAC bên ngồi đó và OpenFlow khơng được tiêu chuẩn hóa hoặc khơng được hiểu rõ.
Một khía cạnh của tường lửa cho mỗi người dùng là một ứng dụng được gọi là danh sách đen. Công nghệ danh sách đen chặn người dùng cuối cố gắng truy cập vào các tên máy chủ và địa chỉ IP độc hại hoặc có hại đã biết. Các giải pháp danh sách đen truyền thống dựa vào các thiết bị nội tuyến, vốn dò tất cả lưu lượng truy cập và cố gắng bẫy và chặn các nỗ lực tiếp cận những điểm xấu này. SDN có thể triển khai giải pháp danh sách đen mà không cần chèn thêm các thiết bị vào mạng. Điều này cung cấp cả tiết kiệm CAPEX do ít thiết bị mạng hơn và tiết kiệm OPEX do mạng dễ quản lý hơn. Một ứng dụng SDN để chặn các nỗ lực truy cập vào các tên máy chủ cụ thể đòi hỏi phải thiết lập các quy tắc bảng luồng trong các thiết bị cạnh để nắm bắt các yêu cầu DNS và gửi chúng đến bộ điều khiển. Bộ điều khiển SDN tham vấn một cơ sở dữ liệu về các tên máy chủ không mong muốn và sẽ chặn gửi yêu cầu DNS khi gặp phải một tên máy chủ nằm trong danh sách đen.
Hình 3.7 cho thấy cách thức đơn giản mà danh sách đen DNS có thể được thực
hiện. Bộ điều khiển thiết lập các dòng chảy trong các thiết bị cạnh hướng chúng chuyển tiếp tất cả các yêu cầu DNS tới bộ điều khiển. Khi các yêu cầu DNS đến bộ điều khiển, nó sẽ tham khảo một cơ sở dữ liệu cục bộ hoặc từ xa của các trang web độc hại đã biết. Nếu kết quả là tên máy chủ sạch, thì bộ điều khiển sẽ trả về yêu cầu DNS kèm theo hướng dẫn tới thiết bị biên để chuyển tiếp gói tin như bình thường. Nếu tên máy chủ được coi là khơng an tồn, bộ điều khiển sẽ hướng dẫn thiết bị cạnh bỏ gói tin, từ chối quyền truy cập của người dùng vào máy chủ đó.
Hình 3.7: Cách thức đơn giản mà danh sách đen DNS có thể được thực hiện.
Một người dùng hiểu biết có thể vượt qua ứng dụng danh sách đen đầu tiên này nếu họ biết địa chỉ IP của máy chủ đích. Bằng cách chỉ định trực tiếp địa chỉ IP thay vì tên máy chủ, khơng có u cầu DNS nào được gửi. Hình 3.8 cho thấy một triển khai SDN đơn giản cho biến thể này của vấn đề danh sách đen. Trong giải pháp thứ hai này, các gói có địa chỉ IP đích khơng xác định được chuyển tiếp đến bộ điều khiển, bộ điều khiển sẽ kiểm tra các gói và cho phép địa chỉ IP (để các gói đến và đi từ máy chủ đó bây giờ sẽ tự động được cho phép) hoặc thiết bị khác được lập trình để thả các gói này và các gói trong tương lai được gửi đến địa chỉ xấu đó. Nếu gói được cho phép, ứng dụng sẽ cài đặt một luồng nhất thời cho phép các u cầu đến địa chỉ IP đích đó.
Hình 3.8: Một triển khai SDN đơn giản cho biến thể này của vấn đề danh sách đen.
Lưu ý với giải pháp thứ hai này, thiết kế ứng dụng là rất quan trọng. Nếu địa chỉ IP đích cho phép các quy tắc có bộ định thời quá ngắn, thì chúng sẽ kém đi giữa các yêu cầu và do đó, mỗi khi một điểm đến được truy cập, sẽ có độ trễ và chi phí liên quan đến việc xác minh và cho phép các gói đến đích đó. Nếu các quy tắc đó có bộ hẹn giờ q
dài, thì thiết bị có nguy cơ bị q tải với các mục nhập luồng, thậm chí có thể vượt q kích thước tối đa của bảng lưu lượng.
Danh sách đen thực sự là một tường lửa cấp máy chủ đơn giản. Ứng dụng HP’s Sentinel được mơ tả trước đó cung cấp tính năng danh sách đen như một thành phần của ứng dụng bảo mật SDN thương mại của nó.