Tổng quan về mạng sdn và những vấn đề bảo mật

I.Sự cần thiết của một kiến trúc mạng mới Trong một kiến trúc mạng truyền thống data plane và control plane đều cùng nằm trên một thiết bị vật lý chế độ tự trị và mỗi thiết bị độc lập v

Tổng quan về mạng SDN và những vấn đề bảo

mật

THÀNH VIÊN

2

I.TỔNG QUAN

VỀ MẠNG SDN

I.Sự cần thiết của một kiến

trúc mạng mới

Trong một kiến trúc mạng truyền thống data plane và control plane đều cùng nằm trên

một thiết bị vật lý (chế độ tự trị) và mỗi thiết bị độc lập với nhau, các chính sách chuyển

tiếp lưu lượng nằm riêng trên mỗi thiết bị, vì vậy không có khả năng hiển thị toàn bộ

mạng, các chính sách chuyển tiếp có thể không phải là tốt nhất Nếu số lượng thiết bị

càng nhiều, càng gây nên sự phức tạp trong mạng và điều đó cũng gây khó khăn cho

người quản trị mạng trong quá trình vận hành và điều khiển.

4

Các yếu tố hạn chế:

 Phức tạp

 Chính sách không nhất quán

 Khả năng mở rộng quy mô kém

 Phụ thuộc vào nhà cung cấp

I.Sự cần thiết của một kiến

trúc mạng mới

II.SDN là gì? Tại sao lại là

SDN

6

1 Khái niệm SDN

Software-Definded Networking (SDN) là một cách tiếp cận mới trong

việc thiết kế, xây dựng và quản lý hệ thống mạng Về cơ bản, SDN chia

tách độc lập hai cơ chế hiện đang tồn tại trong cùng một thiết bị mạng:

Control Plane (cơ chế điều khiển, kiểm soát luồng mạng), Data Plane

(cơ chế chuyển tiếp dữ liệu, luồng dữ liệu) để có thể tối ưu hoạt động của

hai cơ chế này

SDN tách việc định tuyến và chuyển tiếp các luồng dữ liệu riêng rẽ và

chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi là thiết bị

kiểm soát luồng (Flow Controller) Điều này cho phép luồng các gói dữ

liệu đi qua mạng được kiểm soát theo lập trình

Controller quản lý tập trung các thiết bị switch thông

qua API

2.Sự khác biệt giữa SDN và

mạng truyền thống

Có thể thấy sự khác biệt cơ bản giữa mạng truyền thống và mạng SDN là:

 Phần điều khiển và phần vận chuyển dữ liệu trên mạng truyền thống đều được tích hợp trong thiết bị

mạng trong khi trong mạng SDN, phần điều khiển được tách riêng khỏi thiết bị mạng và được chuyển

đến một thiết bị được gọi là bộ điều khiển SDN.

 Phần thu thập và xử lý các thông tin: Đối với mạng truyền thống, phần này được thực hiện ở tất cả

các phần tử trong mạng còn trong mạng SDN, phần này được tập trung xử lý ở bộ điều khiển SDN.

 Mạng truyền thống không thể được lập trình bởi các ứng dụng Các thiết bị mạng phải được cấu hình

một cách riêng lẽ và thủ công Trong khi đối với mạng SDN, mạng có thể lập trình bởi các ứng dụng, bộ

điều khiển SDN có thể tương tác đến tất cả các thiết bị trong mạng.

10 2.Sự khác biệt giữa SDN và

mạng truyền thống

phần điều khiển (Control Layer) và phần

thiết bị hạ tầng (Infrastructure Layer) Các

phần sẽ liên kết với nhau thông qua giao

thức hoặc các API

Cấu trúc của SDN

1 Application layer

Lớp ứng dụng: là các ứng dụng được triển khai trên mạng, kết nối tới

lớp điều khiển thông qua các API, cung cấp khả năng cho phép lớp ứng

dụng lập trình lại (cấu hình lại) mạng (điều chỉnh các tham số trễ, băng

thông, định tuyến, …) thông qua lớp điều khiển lập trình giúp cho hệ

thống mạng để tối ưu hoạt động theo một yêu cầu nhất định

2 Control layer

Lớp điều khiển: là nơi tập trung các controller thực hiện việc điều

khiển cấu hình mạng theo các yêu cầu từ lớp ứng dụng và khả năng của

mạng Các controller này có thể là các phần mềm được lập trình

3 Infrastructure layer

Lớp vật lý (lớp cơ sở hạ tầng) của hệ thống mạng, bao gồm các thiết

bị mạng thực tế (vật lý hay ảo hóa) thực hiện việc chuyển tiếp gói tin theo

sự điều khiển của lớp điểu khiển Một thiết bị mạng có thể hoạt động theo

sự điều khiển của nhiều controller khác nhau, điều này giúp tăng cường

khả năng ảo hóa của mạng

IV Các bước triển khai SDN

14

1 Bước thứ nhất

Doanh nghiệp phải tích hợp mọi thiết bị, gồm bộ cân bằng tải, tường lửa, hệ

thống truyền thông, thiết bị không dây hoặc hệ thống lưu trữ… vào các SDN

controller Mọi thiết bị trên mạng đều phải hỗ trợ SDN Đây là yếu tố rất

quan trọng bởi vì bây giờ doanh nghiệp đang tạo ra một chức năng mạng

SDN duy nhất, phủ khắp mọi thiết bị của mọi nhà sản xuất và nền tảng

IV Các bước triển khai SDN

1 Bước thứ nhất

Doanh nghiệp phải tích hợp mọi thiết bị, gồm bộ cân bằng tải, tường lửa, hệ

thống truyền thông, thiết bị không dây hoặc hệ thống lưu trữ… vào các SDN

controller Mọi thiết bị trên mạng đều phải hỗ trợ SDN Đây là yếu tố rất

quan trọng bởi vì bây giờ doanh nghiệp đang tạo ra một chức năng mạng

SDN duy nhất, phủ khắp mọi thiết bị của mọi nhà sản xuất và nền tảng

IV Các bước triển khai SDN

2 Bước thứ hai

Chạy thử nghiệm cẩn thận và triển khai các SDN controller Có thể tạo một

môi trường thử nghiệm gồm các thiết bị mạng giao tiếp được với SDN

controller để chắc chắn mọi thứ đều chạy tốt Các thiết bị đều phải cùng

chung một giao thức, hoặc OpenFlow hoặc OpenStack và doanh nghiệp cần

đảm bảo bước thứ 2 này là các thiết bị trong mạng và controller giao tiếp

thành công với nhau.

IV Các bước triển khai SDN

3 Bước thứ ba

Là bước quan trọng nhất, cấu hình SDN tương tác được với ứng

dụng Để ứng dụng hoàn toàn tận dụng được mạng SDN, đầu tiên cần áp

dụng các chính sách như ưu tiên lệnh thực thi cao hơn lệnh báo cáo để cho

luồng dữ liệu quan trọng nhất chạy mượt mà trong hệ thống mạng Khi SDN

đã sẵn sàng, có thể cho các ứng dụng gửi các bộ nhận diện bổ sung vào

header, không chỉ đơn giản là các giao thức, TCP/UDP và cổng dữ liệu nữa

Các SDN controller sẽ phải nhận diện được các gói dữ liệu thông qua header

mà không phải đọc toàn bộ dữ liệu để nhận diện loại dữ liệu.

IV Các bước triển

khai SDN

4 Bước thứ tư

Thiết lập bảo mật vào các lớp ứng dụng Doanh nghiệp có thể thêm bảo mật

dạng rule ở lớp thứ 7 bằng cách đầu tiên là nhận diện tương tác ứng dụng

thích hợp và không thích hợp, sau đó áp dụng các rule bổ sung dựa trên

hành vi (nếu hành vi này xuất hiện) Một khi đã thiết lập được mạng SDN,

nên giám sát mạng thông qua các SDN controller Vài công ty tách chức

năng giám sát ra khỏi controller, ví dụ như tách riêng giám sát ứng dụng và

giám sát gói dữ liệu Tách ra như vậy phải sử dụng các công cụ giám sát

chạy ở cấp cao hơn và phải có giao diện của controller, mạng và ứng dụng

SDN Doanh nghiệp cũng nên giám sát cả các chính sách bảo mật.

V Ưu điểm của mạng SDN

 Controller có thể được lập trình trực tiếp.

 Mạng được điều chỉnh, thay đổi một cách nhanh chóng thông qua việc

thay đổi trên controller

 Mạng được quản lý tập trung do phần điều khiển được tập trung trên

controller.

 Cấu hình lớp cơ sở hạ tầng có thể được lập trình trên lớp ứng dụng và

truyền đạt xuống các lớp dưới.

 Giảm CapEx: SDN giúp giảm thiểu các yêu cầu mua phần cứng theo mục

đích xây dựng các dịch vụ, phần cứng mạng trên cơ sở ASIC và hỗ trợ mô

hình pay-as-yougrow (trả những gì bạn dùng) để tránh lãng phí cho việc

dự phòng

 Giảm OpEx: thông qua các phần tử mạng đã được gia tăng khả năng lập

trình, SDN giúp dễ dàng thiết kế, triển khai, quản lý và mở rộng mạng



V Ưu điểm của

mạng SDN

20

 Truyền tải nhanh chóng và linh hoạt: giúp các tổ chức triển khai nhanh hơn các ứng dụng, các

dịch vụ và cơ sở hạ tầng để nhanh chóng đạt được các mục tiêu kinh doanh

 Cho phép thay đổi: cho phép các tổ chức tạo mới các kiểu ứng dụng, dịch vụ và mô hình kinh

doanh, để có thể tạo ra các luồng doanh thu mới và nhiều giá trị hơn từ mạng.

 Mở ra cơ hội cho các nhà cung cấp thiết bị trung gian khi phần điều khiển được tách rời khỏi phần

cứng

VI Thách thức đối với mạng SDN

• Hiệu suất và tính linh hoạt: Làm thế nào để lập trình chuyển mạch đạt được hiệu suất cao nhất và

linh hoạt?

• Khả năng mở rộng: Làm thế nào để cho phép Controller cung cấp một cái nhìn toàn bộ mạng?

• Bảo mật: Làm thế nào để SDN được bảo vệ từ các cuộc tấn công?

• Khả năng tương thích: Làm thế nào các giải pháp SDN được tích hợp vào mạng hiện tại?

• Liệu công nghệ SDN có thể thực hiện được không, khi mà thị trường Data Center còn trì trệ?

• Liệu SDN sẽ định hình tương lai cho hệ thống mạng như thế nào? Liệu giao thức nguồn mở có đủ sức

bật, hay vẫn chịu lép vế trước một giao thức nào khác?

• Việc chuyển đổi sang hệ thống mạng mới này sẽ phải là một quá trình lâu dài, giống như ảo hóa

Chương 2

Ứng dụng SDN và OPENFLOW

22

Ứng dụng SDN

- Phạm vi doanh nghiêp:

SDN cho phép các tài nguyên mạng

được cấp phát theo phương thức linh

hoạt cao, cho phép dự phòng nhanh

các dịch vụ đám mây và chuyển giao

linh hoạt hơn với các nhà cung cấp

đám mây bên ngoài

- Phạm vi các nhà cung cấp hạ tầng và dịch vụ viễn thông

Cung cấp khả năng mở rộng và tự động cần thiết để triển khai mô hình tính toán

có ích cho IT as-a-service Mô hình tâp trung, dự phòng và điều khiển tự động của SDN dễ dàng hỗ trợ cho thuê linh hoạt các tài nguyên, đảm bảo được tối ưu

Tương lai của SDN: Phù hợp với những môi trường hệ thống mạng tập trung và có mức lưu lượng cực kỳ lớn như:

- Các hệ thống mạng doanh nghiệp: Campus, Data Center

- Hệ thống điện toán đám mây: Cloud

Tổng quan về OPENFLOW

Là tiêu chuẩn đầu tiên, cung cấp

khả năng truyền thông giữa cấc

giao diện của lớp điều khiển và

lớp chuyển tiếp trong kiến trúc

thêm vào thư viện của OpenFlow

là có thể tham gia hoạt động trong

mạng OpenFlow

Nhiệm vụ:

- Giám sát hoạt động của các thiết bị mạng: Lưu lương mạng, trạng thái hoạt động của các nút mạng, các thông tin cơ bản về các thiết bị

- Điều khiển hoạt động của thiết

bị mạng: Điều khiển luồng dữ liệu (routing), Bảo mật, Quality of Service

26

Có thể dử dụng ứng

dụng ngoài để điều

khiển plane của các

thiết bị mạng, được

triển khai trên cả hai

giao diện kết nối giữa

các thiết bị hạ tầng

mạng và phần điều

khiển SDN

Sử dụng khái niệm Flow để nhận dạng lưu lượng mạng (tĩnh or động theo SDN control) Cho phép lập trình trên cơ sở luồng lưu lượng, phản hồi sự thay đổi theo thời gian thực, phân luồng theo các tham số, không giống như mạng IP, tất

cả lưu lượng giữa 2 điểm cuối phải theo cùng 1 đường thông qua mạng

Cho phép điều khiển các plane của thiết bị mạng, khởi đầu từ Ethernet đến các mạng đang tồn tại, cả vật lý

và ảo hóa Kiến trúc SDN có thể tích hợp dần với cơ sở hạ tầng mạng hiện có của các doanh nghiệp thông qua việc nâng cấp phần mềm or triển khai firmware đơn giản

CÁC ĐẶC TRƯNG CỦA OpenFlow

CẤU TẠO VÀ HOẠT ĐỘNG

- Flow Table: một liên kết hành động với mỗi luồng, giúp thiết bị xử lý các luồng thế

nào

- Secure Channel: kênh kết nối thiết bị tới controller (controller), cho phép các lệnh và

các gói tin được gửi giữa controller và thiết bị

- OpenFlow Protocol: giao thức cung cấp phương thức tiêu chuẩn và mở cho một

controller truyền thông với thiết bị

- OpenFlow tách phần data path và control path làm 2

 Phần Data vẫn nằm trên thiết bị mạng, còn control thì chuyển đến một server

Controller

 Các data được trình bày rõ rang trong Flow Table, khi một OpenFlow Switch nhận

được một gói tin lạ, nó sẽ check với FlowTable, sau đó gửi gói tin lên Controller

Server, ở đây, Controller sẽ đưa ra quyết định nên xử lý gói tin thế nào

LỢI ÍCH KHI SỬ DỤNG OpenFlow

- Phần mềm điều khiển SDN có thể điều khiển bất kì thiết bị nào cho phép

OpenFlow từ nhà cung cấp thiết bị > Tính tập trung

- Giảm sự phức tạp thông qua tự động hóa, kiến trúc SDN trên cơ sở OpenFlow

cung cấp framework quản lý mạng tự động và linh hoạt

- Tốc độ đổi mới cao: Áp dụng OpenFlow cho phép các nhà khai thác mạng lập

trình lại mạng trong thời gian thực và yêu cầu từ người dùng khi thay đổi

- Gia tăng độ tin cậy và khả năng an ninh mạng: Có thể tạo các policies thông

qua OpenFlow, đảm bảo điều khiển truy nhập, định hình lưu lượng QoS

- Điều khiển mạng chi tiết hơn: Cho phép quản trị viên áp dụng chính sách chi

tiết, bao gồm phiên, người dùng, thiết bị và mức ứng dụng

- Trải nghiệm người dùng tốt hơn: Kiến trúc SDN trên cơ sở OpenFlow đáp ứng

cho các nhu cầu thay đổi của người dùng

Data plane có khả năng xử lý

và chuyển tiếp lưu lượng

mạng Các giao thức được

thiết kế để thích ứng với

khái niệm mới mà không bị

hạn chế đối với các công

là cổng dành riêng Ngược lại với các cổng vật lý (trên giao diện phần cứng của thiết bị) cổng logic có số lượng rất nhiều Nó được ánh xạ tới một cổng vật lý và được sử dụng cho các dịch

vụ mạng

Pipeline: Trái tim của mỗi switch OpenFlow là các đường ống dẫn OpenFlow, một dãy của một hoặc nhiều bảng flow Các bảng flow và các mục của chúng được lưu trữ trong Ternary Content Addressable Memory (TCAM) Nếu gói dữ liệu phù hợp nhiều lần trong một bảng flow, chỉ mục với các

ưu tiên cao nhất sẽ được chọn

Các giao thức OpenFlow

tự đại diện cho

southbound interface của

các mạng, một phương

thức truyền thông tiêu

chuẩn hóa lẫn nhau giữa

các switch và controller

Trong giao diện

OpenFlow, kênh điều

khiển từ xa cấu hình danh

sách bảng và cung cấp

Là bộ chỉ huy trung tâm trong SDN và một khía cạnh quan trọng trong sự thành công và triển khai các phần mềm mạng được định nghĩa Nó được đại diện bởi thành phần kiểm soát các thiết bị

Controller có thể được chia thành hai loại riêng biệt Loại thứ nhất là một controller vật lý và loại thứ hai là logic tập trung với hiệu suất cá nhân cao liên kết với nhiều switch Để đảm bảo khả năng chịu lỗi

và khả năng phục hồi, điều khiển phân tán sử dụng kết nối nhiều-nhiều

32Một mạng OpenFlow

Chương III

CÁC MỐI NGUY HIỂM BẢO MẬT

I Các mối nguy hiểm bảo mật

SDN xuất hiện như là một công nghệ có thể giải quyết tất cả những khó khăn,

vướng mắc của mạng truyền thống

Tuy nhiên, những nghiên cứu phần lớn được thử nghiệm trong môi trường an toàn,

quy mô nhỏ, không có môi trường thực tế doanh nghiệp hoặc trung tâm dữ liệu

Các kiểu tấn công và mối đe dọa :

Spoofing: (Giả mạo)

Tampering: (Thay đổi dữ liệu)

Repudiation: (Chối bỏ trách nhiệm)

Information disclosure: (Làm lộ thông tin)

Denial of service: (Từ chối dịch vụ)

Elevation of privilege: (Leo thang đặc quyền)

II Chi tiết các kiểu tấn công

1 Spoofing ( Giả mạo)

 Bước đầu tiên của một cuộc tấn công

 Spoofing là cố gắng đánh lừa các thiết bị khác để trở thành một thành viên hợp

pháp của các mạng (ví dụ như switch, controller hoặc ứng dụng) mà không cần

Controller hợp nhất với tất cả các logical plane và có quyền kiểm soát toàn bộ

mạng Không cần các certificate tin cậy, kẻ tấn công vẫn dễ dàng có được kết nối

như là một phần tử mạng hợp pháp

So sánh với kiến trúc truyền thống

36

 Mặc dù kẻ tấn công phải sử dụng phương pháp truyền thống

để xác minh mình trong mạng, khả năng thành công được

mở rộng đáng kể

 Các thành phần logic mới có khả năng tiêu thụ một lượng lớn tài

nguyên trên toàn bộ mạng và do đó sẽ là mục tiêu chính

 Các giao diện lập trình có khả năng chứa vô số các lỗ hổng bảo mật

mới và việc ảo hóa các thiết bị mạng vật lý

 Giao thức xác thực truyền thống tồn tại như là những biện pháp đối

phó.Tuy nhiên, như đã nhấnmạnh trong báo cáo mối đe dọa an ninh,

chúng có thể không đủ để bảo vệ các controller và switch khỏi bị tấn

công

 Sự tác động gia tăng làm cho Spoofing là một mối đe dọa lớn trong

SDN, nhiều hơn so với các mạng truyền thống

 Một khả năng mới của SDN là việc triển khai các ứng dụng phức

tạp, trong đó có thể phát hiện và vô hiệu hóa Spoofing trong toàn bộ

mạng