3.1. Ý tưởng
Cấu hình tĩnh có thé dễ dàng bị tan công thậm chí từ một mạng từ xa. Những kẻ tan
công gửi thăm dò sử dụng các công cụ quét khác nhau cho các máy chủ ngẫu nhiên
trong mạng dé xác định các nạn nhân và tan công họ. Theo nghiên cứu, cấp phát địa chỉ IP có thể được thực hiện bằng cách sử dụng giao thức DHCP hoặc NAT. Mặc dù NAT và DHCP cung cấp lược đồ gan địa chi IP động đối với máy chủ, tuy nhiên, chúng không thé cung cấp bảo mật hoàn toàn vì việc thay đổi IP không thực hiện thường xuyên và cũng có thể bị theo dõi.
Trong đồ án này, MTD được triển khai bằng cách sử dụng openflow random host mutation. Khia cạnh quan trọng của đồ án là cung cấp sự minh bạch về ip mutation (đột biến IP) tới các host. Sự minh bạch này đạt được bằng cách giữ IP thực còn nguyên vẹn và ánh xạ IP ảo tới chúng. Các thời gian tồn tại của địa chỉ ảo là ngắn để giữ cho sự biến đôi tốt nhất và không thể đoán trước. IP thực của nguồn là ánh xạ tới
IP ảo thông qua bộ điều khién OpenFlow, đã thay đôi định kỳ bằng cách sử dụng sự kiện hẹn giờ va được gửi đi. Vì dia chi IP đích của gói đến là ảo, bộ điều khiển sẽ chuyên gói thông qua các thiết bị chuyển mạch cho đến khi nó nhận ra chuyên đôi tương ứng với máy chủ đích và từ đó ánh xạ IP ảo này trở lại IP trước đó đến máy đích. Dé cung cấp tỷ lệ không thé đoán trước cao cho sự biến đổi, một trình tạo số ngẫu nhiên được sử dụng dé chọn các ip đột biến từ nhóm các IP không sử dụng.
Cơ sở hạ tầng mạng truyền thống thường không cho hiệu suất cao. Các thành phần mạng cần phải được thêm vào kiến trúc mạng khá tốn kém. Ngoài ra, quản lý mạng cũng trở thành một thách thức. Do đó, nhu cầu sử dụng mạng SDN (mạng xác định bang phần mềm) tăng lên, trong đó, data plane va control plane tách biệt với plane khác. Quản lý tập trung không giống như mạng tuyén thống kiểm soát phi tập trung. SDN cung cấp tính mở và khả năng lập trình của toàn mạng. SDN là giải pháp tốt nhất đề trién khai kỹ thuật openflow random host mutation dé ngăn chặn quét IP, tan
38
công từ chối dịch vụ và quản lý mạng ở mức độ bảo mật cao. Rất nhiều chi phí hoạt động có thé được giảm thiêu khi sử dụng SDN.
Dé chạy một mang SDN, chúng ta cần 1 bộ điều khiến hiệu quả, xử lý lưu lượng hiệu quả, chúng tôi đã lập trình cơ sở hạ tầng bằng cách sử dụng bộ điều khiển RYU controller. RYU là một khung SDN dé phát triển ứng dụng mạng, nó được nhúng với nhiều thành phần phần mềm được kiên kết với hai giao diện ứng dụng đã xác định được sử dụng dé phát triển các ứng dụng quản lý mang tập trung. Nó hỗ trợ các giao thức truyền thông khác nhau dé giao tiếp với các bộ dịnh tuyên và chuyên mạch mạng, bao gồm openflow, OF-config, Netconf và nhiều giao thức khác, RYU hỗ trợ tat các
phiên ban OF 1.5 và Nicira.
Sử dung Docker dé tạo các host giả lập là các End-Users nhờ vào docker container
có thể giảm chỉ phí tài nguyên đáng kê. Việc sử dung Docker giúp tan dung tài nguyên
từ máy vật lý, các micro service được triển khai dé dang và mang lại hiệu suất dang
kể. Triển khai mô hình và mô phỏng mô hình mạng với nhiều End-Users trở nên khả thi khi tài nguyên vật lý bị hạn chế. Sự linh hoạt của nền tảng công nghệ Docker còn giúp người quản trị mạng có thê quản lý từng host dễ dàng, từ việc xây dựng từng container đến việc vận hành, nhà quản trị mạng nắm bắt thông tin của container dễ dàng dựa vào nhiều công cụ bồ trợ của Docker. Ngoài ra, các container mới được xây dựng dựa trên các image được build sẵn từ các nhà phát triển khác hoặc tự build những image với cấu hình và dịch vụ phù hợp với từng mô hình. Giảm được đáng ké chi phí, thời gian và tăng hiệu suất vận hành cho hệ thống.
Công cụ hỗ trợ người quản trị mạng quản lý những End-Users của hệ thống đó là Zabbix. Được biết đến là một mã nguồn mở được phát triển từ năm 2001 trải qua rất nhiều phiên bản cải tiến, Zabbix trở thành công cụ trực quan và đáng tin cậy dé áp dụng cho mô hình. Giám sát các hosts được tạo ra bằng cách cai đặt các Zabbix-Agent vào các Docker Container, và từ đó các Agent gửi thông tin của các hosts về cho
Zabbix Server thông qua phương thức OpenFlow và FlowTable được tạo ra bởi
OpenvSwitch và RYU controller. Zabbix phân loại được nhiều nhóm hosts nên khi
39
tham gia giám sát, Zabbix đưa ra được tình trạng trực quan và tổng quát của host, thé hiện được những thông số đáng chú ý cho người quản trị mạng. Kết hợp giám sát các hosts thông qua Zabbix và MTD IP Mutation bằng cách sử dụng Zabbix API để thay
đổi thông tin các hosts mỗi khi chuyền đôi IP. Hơn thế nữa, Zabbix có tính năng phát
cảnh báo cho hệ thống và người quản tri mạng khi có sự cố xảy ra trong hệ thống. Vì
thế công cụ này được triển khai nhằm tăng tối đa hiệu suất vận hành và quản tri hệ thống cho người quản trị mạng.
Bộ điều khiển Ryu hỗ trợ Switch với các tính năng tích hợp công cụ Snort được lập trình một cách thích hợp. Các cơ chế phát hiện và phản ứng được thực hiện trong trình điều khiến xử lý sự kiện được tạo bởi Snort và được gửi đến bộ điều khiển RYU.
Đề cho phép lưu trữ đữ liệu được tạo bưởi công cụ Snort, nó đã được sử dụng cơ sở
dữ liệu MySQL. Đóng vai trò là công cụ hỗ trợ đắc lực cho chiến lược MTD trong việc phát hiện tan công, Snort phát huy hiệu quả và kết hợp voi IP mutation dé tăng khả năng phòng chống tan công cho hệ thống mang SDN.
3.2. Hoạt động của MTD
Hệ thống được thiết kế và triển khai bằng cách sử dụng bộ điều khiển Ryu. Kiến trúc MTD bao gồm 4 hosts và 2 switchs. Sự giao tiếp giữa host 1 và host 3 được mô tả
như trong hình dưới đây.
Controller
==
Host 3 iL=
Src: Real Dst: Virtual
12
Src: Virtual Dst: Virtual
Sre: Virtual Src: Real BB
Dst Real Dst: Virtual
22 1
Host Attachment
Host 1 mga
——I
=.
Hình 3.1: Gói tin từ host 1 đến host 3
40
Hoạt động của mạng như sau:
1. Gói đến s1 với sre addr: real & dst addr: virtual
2. Thông báo gói đến bộ điều khién
3. Bộ điều khiển kiểm tra host attachment nếu đích địa chỉ được kết nối trực tiếp với Switch hiện tại. (1)
4. Bộ điều khiển nhận được một thông báo False.
5. Thông báo gói tin yêu cầu địa chi src đã thay đồi thành ảo vì nó là Real_IP
6. Gói tin đến s2 với sre addr: virtual & dst addr: virtual.
7. Thông báo gói đến bộ điều khiển
8. Bộ điều khién kiểm tra host attachments nếu đích địa chỉ được kết nối trực tiếp với switch hiện tại (2)
9. Bộ điều khiên nhận được thông báo True
10. Packet_out thông báo dé thay đôi địa chỉ đích sang real
11. Gói tin đến đích (host 3)
12. Máy chủ đích phản hồi bang sre addr: real & dst addr: virtual.
13. Gói tin nhắn tới bộ điều khiến.
14. Bộ điều khiển kiểm tra host attachment nếu địa chi đích được kết nối trực tiếp với switch hiện tại (2)
15. Bộ điều khiển nhận được một thông báo False.
16. Thông báo gói tin yêu cầu địa chỉ src thay đôi thành ảo vì nó là thật.
17. Gói đến Switch 1 với sre addr: virtual & dst addr: virtual
18. Gói tin nhắn đến bộ điều khiển
4I
19. Bộ điều khiển kiểm tra host attackments nếu địa chỉ đích được kết nối trực tiếp với switch hiện tại (1)
20. Bộ điều khiển nhận được thông báo True.
21. Gói tin nhắn dé thay đổi điểm đến dia chỉ real
22. Gói tin đến đích (tức host 1) Các bước tiếp theo dé triển khai hostattachment cho MTD như sau:
1.
2.
9.
Gói tin đến Switch 1 với SRC Addr: Real & dst: Virtual Thông báo gói đến bộ điều khiển. Hệ thống tìm hiểu xem chuyền đổi nào là host được đính kèm với thư viện ‘HostAttachment’ nói địa chi
IP thực với đường dẫn ID cho để vận chuyền gói tin thành công. Mô hình luồng cho việc học MTD.
Bộ điều khiển : Kiểm tra ‘HostAttachment’ nếu địa chỉ nguồn được kết nối đến switch
hiện tại. (1)
Bộ điều khiển nhận tin nhắn đứng về điểm đến được kết nối trực tiếp
với switch. Vì không có mục nao cho dia chỉ đích.
. Thông báo gói tin yêu cầu địa chỉ SRC thay đôi thành ảo vì nó là thực
và thay đôi địa chỉ đích thành real.
Gói đến switch 2 với SRC Addr: virtual & dst add: real vào gói thông báo cho bộ điều khiển
Thông báo gói đến bộ điều khiển
Bộ điều khiển tra ‘HostAttachment’ nếu địa chỉ đích được kết nói với
switch hiện tại.
Bộ điêu khiên nhận được thông báo True vì có mục nào.
10. Gói tin đến switch 2 với SRC Addr: virtual & dst addr: real
11. Gói tin được chuyền tiếp đến host 3.
12. Host đích phản hồi với SRC Addr: real & dst addr: virtual
42
13. Gói tin tới bộ điều khiển
14. Bộ điều khiến thực hiện hai việc: kiểm tra ‘hostattachment’ nếu điểm
đến địa chỉ được kết nối trực tiếp với switch hiện tại (2). Không có tức
là không phải.
15. Thông báo gói tin yêu cầu đại chi SRC được thay đổi thành ảo vì nó là
thực.
16. Gói tin đến switch 2 với SRC Addr: virtual
17. Gói tin chuyển đến switch 1 với SRC Addr: virtual & dst addr: virtual
18. Gói tin đến bộ điều khiển
19. Bộ điều khiển kiểm tra ‘HostAttachment’ nếu địa chỉ đích được kết nối
trực tiếp với switch hiện tại (1).
20. Bộ điều khiển nhận được thông báo true
21. Gói tin nhắn dé thay đôi điểm đến địa chỉ Real
22. Gói tin đến đích (tức host 1) Trong nghiên cứu của chúng tôi vòng đời của địa chỉ IP thực - ảo được thê hiện trong
hình dưới đây. Vòng đời của địa chỉ IP là một khía cạnh cực kì quan trọng của phương
thức phòng thủ di chuyền mục tiêu băng chiến lược Random host mutation. Nó được triển khai dựa trên sự kiện hết thời gian của phương thức MTD. Sự kiện này được tạo bởi bộ hen gio, cứ sau mỗi 10 phút hoặc khi snort IDS phát hiện tấn công, được lắng nghe đề thực hiện hai chức năng sau:
e - Địa chỉ IP ảo tương ứng với dia chỉ IP thực hiện được cập nhật ngẫu nhiên với
các gái trị IP từ bảng ánh xa địa chi IP. Điều này để thay đổi ánh xa Real-
Virtual (thực- ảo) và Virtual- Real (ảo — thực), giữ nguyên IP thực nhưng làm
thay đổi ngẫu nhiên được nhiều IP ảo để bảo mật được ở mức độ tốt nhất.
e_ Xoá tất cả các luồng IP cũ khỏi tất cả chuyên đôi về đồng bộ hoá phù hợp với
ánh xạ cập nhat và luồng gói tin. Do đó, sau thời gian chờ, lần đầu tiên gói tin được gửi đến bộ điều khién Ryu dé gan đúng luồng gói.
43
Switch 1
Hình 3.2: Vòng đời của một IP thực - ảo khi không phát hiện tan công
44
VM4
|
|
aia
;
Switch 2
Switch 1 cơ
= Function Update Resources
Resources Attacker
Hình 3.4: Vòng đời cua IP thực- do khi phát hiện tan công
Ở đây chúng tôi thiết kế để Ryu nhận được gói cảnh báo Snort qua Unix Domain Socket. Đề giám sát các gói giữa HostA và HostB, cài đặt một luồng phản chiếu các
gói tới Snort.
3.3. Chỉ tiết thuật toán
Trong nghiên cứu này, các thành phan của mạng được an khỏi những kẻ tan công cả bên ngoài và bên trong môi trường mạng. Bộ điều khiển OpenFlow được lập trình thông minh để thực hiện kỹ thuật IP mutation. Kỹ thuật này thay đổi địa chi IP thực của các máy chủ cơ bản bằng cách gán cho chúng một địa chỉ IP ảo với tỷ lệ đột biến cao. Các IP ảo được trích xuất từ nhóm các địa chỉ IP chưa được chỉ định, mà được tạo ra bang cách sử dụng trình tạo số ngẫu nhiên giả dé đảm bao tính không thé đoán
trước.
- _ Mục tiêu chính của nghiên cứu là ngăn chặn việc quét IP bằng cách phân bổ
địa chỉ động.
- Trong so đồ, mỗi host trong mạng sẽ có hai địa chỉ, một là thực và địa chỉ kia
là ảo.
45
- Giao tiếp giữa địa chi IP thực bi chặn và chỉ cho phép giao tiếp trên địa chi IP
ảo.
-_ Vì vậy, ngay cả khi kẻ tan công nhận được thông tin về mục tiêu, nó sẽ bị thay
đổi bằng hàm Update_Resources() sau mỗi 10 phút hoặc ngay khi Snort phát
Cm)
hiện ra có sự cô tân công.
lf SNORT
Ỷ
Update_ Resources() IAddFlow()
Hình 3.5: Thuật toán về vòng đời cua IP trong chiến lược IP mutation
Update_Resources() RESTFUL_API UPDATE HOST
|AddFlow() OF ZABBIX ZA B B X
Hinh 3.6: Quy trinh IP mutation
- Viéc thiết lập chiến lược phòng thủ bao gồm RYU là bộ điều khiển SDN và
OpenvSwitch làm thiết bị dataplane.
- _ Khi một host muốn gửi một gói tin đến host khác, yêu cầu này sẽ được chặn
bởi bộ điều khiển và hoạt động như một proxy. Nó tạo ra một phản hồi với địa chỉ ảo đề trả lời.
- Bên trong, bộ điều khién SDN nắm giữ một tập hợp các ánh xa Ip từ thực sang
ảo và ngược lại.
- Nhung van đề là một host cuối sẽ không trả lời một gói tin được gửi đến một
địa chi IP ảo.
46
- Bộ điều khién SDN chặn tat cả các gói tin xâm nhập và hoán đổi địa chỉ IP sre
thực với địa chỉ ảo của nó.
- Tai đầu ra, nó hoán đôi địa chỉ IP dich ảo với dia chỉ thực của nó.
- Bộ điều khiển cũng quan tâm đến việc cai đặt các quy tắc luồng sử dụng giao
thức OpenFlow dé xử lý tình huống tương tự ở dataplane cho thời gian sau đó.
- Sau một quãng thời gian nhất định, sánh xạ địa chỉ IP thực sang IP ao được
thay thé bằng một tập hợp mới, các quy tắc luồng trong bộ chuyền mach bị loại bỏ và các gói tin bắt đầu giảm.
- Chương trình của bộ điều khiển được thực hiện bằng cách sử dụng phương
pháp lường đề có sự đồng bộ hoá.
- Va quá trình phát triển được thực hiện bằng Python va Ryu API.
Packet_In
SRC: Virtual
DST: Virtual
FALSE
IF DST is Directly
Packet_Out
a to SRC: Virtual
iF SRC is Real_IP = DST: Virtual
FALSE Packet_Arrived
IF DST is Real_IP DROP SRC: Virtual
DST: Real
Change SRC to
Virtual_IP
IF DST is Directly
Hình 3.7: Sơ đồ hoạt động của chiến lược IP mutation