CHƯƠNG 3 : SDN TRONG CÁC MÔI TRƯỜNG KHÁC
3.3. Campus Network
3.3.2. SDN trong khuôn viên: Thiết bị bảo mật và người dùng
Các xu hướng công nghệ như BYOD, kiểm sốt truy cập và bảo mật cũng có thể được giải quyết bằng cơng nghệ SDN. Ví dụ: một trong những u cầu để đăng ký hệ thống BYOD của người dùng và khách liên quan đến việc sử dụng cổng cố định.
Đây là cơ chế mà yêu cầu trình duyệt của người dùng được chuyển hướng đến một trang web đích khác. Trang web khác này có thể dành cho mục đích đăng ký thiết bị hoặc quyền truy cập của khách. Cổng cố định được thực hiện theo cách truyền thống bằng cách mã hóa logic chuyển hướng vào phần sụn công tắc hoặc bằng các thiết bị trong dịng. Để thực hiện điều này trong mơi trường trước SDN có thể địi hỏi phải nâng cấp lên các thiết bị chuyển mạch có khả năng này, nghĩa là các thiết bị phức tạp hơn hoặc bằng cách lắp đặt các thiết bị nội tuyến chuyên biệt, làm tăng thêm độ phức tạp của mạng. Cấu hình mà người dùng cần được xác thực thơng qua cổng cố định sẽ địi hỏi phải định cấu hình tất cả thiết bị nơi người dùng có thể vào mạng. Dưới đây là mơ tả giải pháp SDN đơn giản hơn cho giải pháp cổng bị khóa:
• Người dùng kết nối với mạng và cố gắng thiết lập kết nối mạng.
• Khơng có quy tắc truy cập nào được áp dụng cho người dùng này, vì vậy bộ điều khiển SDN sẽ được thơng báo.
• Các chương trình bộ điều khiển SDN chảy trong thiết bị cạnh sẽ khiến lưu lượng truy cập HTTP của người dùng
• được chuyển hướng đến một cổng bị khóa.
• Người dùng được chuyển hướng đến cổng bị khóa và tham gia vào trao đổi thích hợp để có quyền truy cập vào mạng.
• Khi q trình trao đổi cổng bị khóa hồn tất, bộ điều khiển SDN được thông báo
để thiết lập các quy tắc truy cập một cách thích hợp.
• Người dùng và / hoặc thiết bị BYOD hiện có cấp độ truy cập thích hợp.
Hình 3.6 cho thấy một ứng dụng dựa trên cổng thông tin cố định dựa trên SDN.
Thiết bị biên mạng ban đầu là được lập trình để định tuyến các yêu cầu ARP, DNS và DHCP đến máy chủ thích hợp. Trong hình, người dùng cuối kết nối với mạng và thực hiện yêu cầu DHCP để lấy địa chỉ IP. Khi mà phản hồi DHCP được trả lại cho người dùng, một bản sao sẽ được gửi đến bộ điều khiển SDN. Sử dụng địa chỉ MAC của người dùng cuối làm khóa tra cứu, bộ điều khiển sẽ hỏi ý kiến cơ sở dữ liệu của người dung. Nếu thiết bị của người dùng hiện đã được đăng ký, thiết bị đó sẽ được phép vào mạng. Nếu khơng, thì các quy tắc OpenFlow được lập trình để chuyển tiếp lưu lượng HTTP của người dùng đó tới bộ điều khiển. Khi nhận được lưu lượng HTTP của người dùng chưa được xác thực tại bộ điều khiển, phiên web đó được chuyển hướng đến máy chủ web cổng bị khóa. Sau khi hồn tất xác thực người dùng hoặc đăng ký thiết bị, bộ điều khiển cập nhật (các) luồng của người dùng để các gói được phép vào mạng. Lưu ý rằng đây cũng là thời điểm thích hợp để cấu hình các quy tắc liên quan đến chính sách của
người dùng, điều mà có thể bao gồm các cấp độ quyền truy cập và mức độ ưu tiên, trong số các mục khác.
Hình 3.6: Một ứng dụng dựa trên cổng thông tin cố định dựa trên SDN
Loại chức năng này, như chính sách, được áp dụng thích hợp ở rìa mạng. Loại ứng dụng này càng cố gắng thâm nhập sâu hơn vào mạng, thì nó càng trở nên có vấn đề hơn, với việc tràn bảng luồng trở thành một vấn đề thực sự.
Phương pháp bảo vệ mạng khỏi sự lây nhiễm của người dùng cuối bằng cách cài đặt phần mềm chống phần mềm độc hại trên thiết bị của người dùng cuối không khả thi trong trường hợp BYOD vì phần mềm trên khơng nằm dưới sự kiểm sốt của ban quản trị mạng. Ứng dụng SDN cung cấp một giải pháp bằng cách biến toàn bộ cơ sở hạ tầng mạng thành một thiết bị thực hiện bảo mật bằng cách sử dụng các cơ chế được cải tiến và phiên bản phức tạp hơn của các phương pháp cơ bản để bảo mật khuôn viên. Sentinel là một ứng dụng SDN hoạt động với cơ sở dữ liệu về mối đe dọa TippingPoint của HP để bảo mật và áp dụng chính sách cho mạng nội bộ như sau:
1. Xác định các botnet trên mạng nội bộ và vơ hiệu hóa chúng bằng cách chặn các yêu cầu DNS và kết nối IP tới các botnet master của chúng trên Internet. 2. Xác định và ngăn người dùng hoặc máy móc truy cập các trang bị nhiễm
hoặc bị cấm trên Internet bằng cách giám sát và chặn các yêu cầu DNS và kết nối IP.
3. Xác định và cách ly các máy bị nhiễm trong mạng nội bộ để có thể khắc phục chúng.
Trong khi các giải pháp NAC truyền thống cung cấp chức năng tương tự, vì một ứng dụng SDN, Sentinel có thể được triển khai mà khơng cần cài đặt thêm phần cứng và nó có thể cung cấp khả năng bảo vệ ở rìa mạng.