1. Trang chủ
  2. » Luận Văn - Báo Cáo

TÍCH hợp các GIẢI PHÁP bảo mật CHO hệ THỐNG MẠNG SDN

10 683 4

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 10
Dung lượng 247,09 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Các giải pháp bảo mật tổng thể cho hệ thống mạng sdn Với sự phát triển ngày càng mạnh mẽ và mở rộng của SDN, các vấn đề về bảo mật trong mạng SDN ngày càng được quan tâm và nhiều câu hỏi

Trang 1

Dàn ý

TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG SDN

1 Các giải pháp bảo mật tổng thể cho hệ thống mạng sdn

Với sự phát triển ngày càng mạnh mẽ và mở rộng của SDN, các vấn đề về bảo mật trong mạng SDN ngày càng được quan tâm và nhiều câu hỏi được đặt ra liệu các giải pháp bảo mật hiện tại có đủ bảo vệ hệ thống mạng SDN

Cơ sở hạ tầng CNTT đang di chuyển sang cloud, tạo ra sự thay đổi lớn trong các Trung tâm dữ liệu Mạng lưới hoạt động được chuyển đổi từ quản lý điều hành chuyên sâu sang tự động hóa cao Các trung tân dữ liệu trong tương lai là một môi trường ảo phải giải quyết đa dạng tập hợp các nhu cầu của người sử dụng, bất cứ lúc nào, bất cứ nơi nào truy cập vào dữ liệu của họ Vấn đề bảo mật luôn là một mối quan tâm lớn trong các trung tâm dữ liệu Trong khi đó dữ liệu người dùng là hết sức quan trọng phải luôn được đảm bảo Trong doanh nghiệp, các thiết bị đầu cuối, các tài nguyên trung tâm dữ liệu bao gồm các thiết bị lưu trữ, máy chủ, switch và các bộ định tuyến phải được đảm bảo

Các mối nguy hiểm đe dọa rất đa dạng, việc ảo hóa mạng dẫn đến nhiều mối nguy hiểm mới cần phải được tìm hiểu và có các chiến lược bảo mật phù hợp để hạn chế tối đa những rủi ro bảo mật có thể xảy ra

Các giải pháp bảo mật hiện nay được tích hợp để bảo vệ hệ thống mạng:

• Tường lửa cho phòng thủ và kiểm soát vùng miền nội bộ

• Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) khỏi các họat động giám sát mạng, hoạt động độc hại hoặc vi phạm chính sách và cố gắng để ngăn chặn các cuộc tấn công

• Secure Sockets Layer (SSL), mạng riêng ảo (SSL VPN) cung cấp các giải pháp an toàn cho khách hàng và các miền riêng biệt khi truy cập từ xa

• Các giải pháp quản lý mạng cố gắng để quản lý tập trung rất nhiều các chức năng bảo mật thông qua một giao diện điều khiển

• IEEE 802.1X xác thực dựa trên port và kiểm soát truy cập

• IPsec để xác thực end-to-end và mã hóa các gói dữ liệu IP trong một phiên truyền thông

• Transport Layer Security (TLS) cho lớp ứng dụng mã hóa thông tin liên lạc bảo mật ở tầng Transport

Trang 2

• Các truy cập từ xa sử dụng dịch vụ RADIUS, trong đó cung cấp chứng thực tập trung, ủy quyền và xác thực (AAA) quản lý cho các thiết bị cuối để sử dụng một dịch vụ mạng

Hình 3.3: Các giải phát bảo mật chung

SDN dựa trên Openflow cung cấp một số thuộc tính đặc biệt thích hợp cho việc thực hiện một môi trường an toàn cao và dễ quản lý:

• Các mô hình luồng là lý tưởng cho việc xử lý an toàn bởi vì nó cung cấp một kết nối end-to-end, mô hình dịch vụ có định hướng kết nối mà không bị ràng buộc bởi chế

độ định tuyến truyền thống

• Controller logic tập trung cho phép thực hiện có hiệu quả và giám sát mối đe dọa trên toàn bộ mạng

Trang 3

• Quản lý chính sách có thể dựa trên ứng dụng, dịch vụ, tổ chức và các tiêu chí địa lý chứ không phải là cấu hình vật lý

• Các chính sách an ninh tài nguyên dựa trên nguyên tắc quản lý hợp nhất đa dạng các thiết

bị với các mối đe dọa có nguy cơ khác nhau, từ tường lửa bảo mật cao và bảo mật các thiết bị để truy cập vào thiết bị

• Linh động và điều chỉnh linh hoạt các chính sách bảo mật được cung cấp dưới chương trình kiểm soát

• Tấn công được ngăn chặn nhanh chóng và cô lập của sự xâm nhập mà không ảnh hưởng đến người sử dụng mạng khác

Bằng cách kết hợp dữ liệu trạng thái mạng và hiệu suất cao và thời gian thực, SDN tạo điều kiện cho việc ra quyết định thông minh, khả năng linh hoạt, vận hành dễ dàng và cải thiện an ninh cho cơ sở hạ tầng chung Để đảm bảo một hệ thống dựa trên SDN an toàn ta cần quan tâm bảo mật cho cả 3 lớp của một kiến trúc SDN

2 Bảo mật Data plane

Xác định rõ các vùng ranh giới an toàn và tin cậy

Đảm bảo danh tính mạnh mẽ

Xây dựng bảo mật dựa trên tiêu chuẩn mở

Bảo vệ an toàn thông tin Traid

Bảo vệ dữ liệu các hoạt động liên quan

Làm cho hệ thống mặc định an toàn

Bảo vệ trách nhiệm và truy xuất nguồn gốc

Các tính chất quản lí an ninh tập trung

3 Bảo mật Control Plane

Controller là một mục tiêu tấn công chính và do đó nó cần phải được bảo vệ an toàn Các tổ chức sẽ muốn theo dõi chặt chẽ các controller của họ đối với các hoạt động đáng ngờ, ngăn chặn truy cập trái phép vào mạng điều khiển SDN Hệ thống SDN cần cho phép cấu hình truy cập quản trị và điều khiển một cách bảo mật và xác thực Role-Based Access Control (RBAC) thậm chí có thể được yêu cầu đối với người quản trị Đăng nhập và kiểm tra có thể hữu ích cho việc kiểm tra cho những thay đổi trái phép bởi người quản trị hoặc kẻ tấn công Nếu có một cuộc tấn công DoS vào controller, controller cần có khả năng sẵn sàng cao (high availability) SDN sử dụng controller dự phòng khi một controller chính đang chịu những tổn hại và tiếp tục hoạt động Điều này sẽ yêu cầu

kẻ tấn công phải cố gắng nhiều hơn để DoS tất cả các controller trong hệ thống Bên cạnh

Trang 4

đó, cuộc tấn công đó sẽ không phải lén lút và mục tiêu tiếp theo của kẻ tấn công không bị phát hiện

Bảng mô tả các giải pháp đề xuất

3.1 Replication – Dự phòng

Bất kỳ hệ thống lớn phụ thuộc vào một thực thể duy nhất đều không thể được coi là đáng tin cậy Như một hệ quả, các yêu cầu đề nghị đầu tiên là sao lưu dự phòng bất kỳ tài sản mạng cần thiết và sự ra đời của cơ chế fall-back Các controller cần phải được nhân đôi để đảm bảo phục hồi nhanh chóng Mặc dù switch và các kết nối vật lý phải được bảo đảm là tốt, các biện pháp có sẵn như tập hợp liên kết hoặc đường vòng đường dẫn là thông thường và không phải là một thách thức mới trong SDN Các kênh điều khiển bản thân nó là an toàn nhờ sử dụng các kết nối bổ sung Một mối quan tâm thực tế rằng các liên kết chính là một điểm duy nhất của thất bại Nếu kẻ tấn công tiêm nhiễm thành công một gói tin TCP FIN để làm gián đoạn thông tin liên lạc chính, tất cả kết nối phụ trợ thành lập trước đó sẽ bị chấm dứt Switch không thể tự động chọn một kết nối chính mới Trọng tâm của khả năng sẵn có và phục hồi là trên các phân phối controller, một vấn đề trung tâm trong SDN Không chỉ do an ninh mà còn do khả năng mở rộng và hiệu quả mối quan tâm

Do đó controller được mở rộng thêm chức năng như một thiết bị phân phối nguyên bản, có khả năng quản lý các phần khác nhau của mạng trên cơ sở dữ liệu được chia sẻ Controller phức tạp, hoặc hoạt động như cụm kết hợp một giao diện truyền thống hoặc

Trang 5

được xây dựng bởi một lớp proxy hoặc ứng dụng SDN Với mục đích nhân rộng, phân tán về vật lý, nhưng logic tiếp cận tập trung với cơ chế dự phòng là triết lý phù hợp nhất

Nó là điều cần thiết mà các kiến trúc controller thực hiện các khái niệm master / slave của giao thức OpenFlow và cung cấp khả năng chịu lỗi tối thiểu

Controller được thiết kế để thích nghi với các thiết kế mạng cơ bản và cung cấp khả năng kết nối các kiểu mạng khác nhau Trong trường hợp controller bị tấn công, controller lân cận được thông báo và tính toán lại đường đi cho phù hợp, tương tự như hành vi của các giao thức định tuyến truyền thống DISCO không cung cấp cơ chế tái tạo hoặc khả năng chịu lỗi DISCO không làm giảm tải trên controller bằng cách phân vùng mạng vào lĩnh vực duy nhất, do đó chỉ là một phần của giải pháp để ngăn chặn DoS và đảm bảo vững mạnh Việc phân định trách nhiệm kiểm soát cung cấp khả năng mạnh mẽ chống lại quá tải kênh và làm giảm tác động trên một mạng bị tấn công Tootoonchian et al., 2014 xác định một vấn đề trong thiết kế controller phân phối hiện tại Onix và các kiến trúc tương tự không giải quyết được tải cao trên các controller duy nhất, cũng được xác định là một sơ suất an toàn trong giao thức OpenFlow Để tiếp cận vấn đề cân bằng tải, một controller phân phối động trong đó chia sẻ tải mạng trong một tập hợp các controller Sử dụng phương pháp đàn hồi, một cuộc tấn công DoS có thể bị suy yếu đáng

kể khi chia sẻ khối lượng công việc giữa nhiều thiết bị Thiết kế controller tập trung rất nhiều vào các khái niệm master / slave của giao thức OpenFlow Là thiết bị bổ sung được kết nối với các switch, khả năng chịu lỗi của control plane được đảm bảo

Một nhược điểm của thiết kế là kết nối TCP ngang hàng của các controller thiếu xác thực Các controller duy trì phân phối dữ liệu qua kết nối TCP, trong đó một thiết bị độc hại cũng có thể thao tác Các ứng dụng phối hợp với các controller tiêu chuẩn là một phương pháp khác để phân phối Hyperflow là một ví dụ về một nền tảng phân phối linh hoạt Các ứng dụng được cài đặt trên mỗi controller và kết nối đến một controller phân phối dữ liệu Sau khi kết nối, các controller lưu trữ hoặc lấy thông tin trong cơ sở dữ liệu một cách định kỳ Nếu một controller không còn tự broadcast, các ứng dụng Hyperflow giả lập thiết bị bị tấn công và kết nối lại các switch để tiếp tục điều khiển Nhìn chung,

Trang 6

một khía cạnh quan trọng của SDN từ chối dịch vụ, sự thất bại của control plane có thể được giải quyết bằng cách triển khai nhiều controller đồng bộ trong mạng

Tích hợp bảo vệ mạng với Replication và Diversity

3.2 Diversity – Đa dạng

Động lực chính cho sự ra đời của SDN là xóa bỏ việc phụ thuộc nhà cung cấp và áp dụng các tiêu chuẩn mở Mạng bao gồm một tập hợp rộng các phần cứng khác nhau và phần mềm ít bị lỗi được phát triển chung hoặc dành riêng cho thiết bị cụ thể Các nhà khai thác có thể tận dụng các lựa chọn rộng lớn của phần mềm và hệ điều hành để thực hiện một cấu hình mạng tối ưu Sự tập trung vào các giải pháp mã nguồn mở trong SDN cho thấy tiềm năng rất lớn để triển khai một loạt các giải pháp chuyên biệt và đa dạng để tăng độ vững chắc và an ninh trong mạng Cơ sở hạ tầng khác nhau có thể yêu cầu thiết

kế controller chuyên dụng cho hiệu suất cũng như tính năng bảo mật riêng

Nếu đa dạng có mặt trong mạng, các yếu tố tác động của lỗ hổng bảo mật độc lập được giảm thiểu đáng kể Đa dạng giải quyết cụ thể các mối đe dọa từ chối dịch vụ bằng cách giảm các khả năng chung của switch và controller lỗi cho những kẻ tấn công Số lượng lỗ hổng an ninh và nguy cơ giả mạo phần mềm có thể tăng với các loại controller khác nhau, nhưng một lỗi phần mềm sẽ không ảnh hưởng đến tất cả các thành phần mạng Nếu một switch hoặc controller là mất khả năng do một cuộc tấn công, một thiết bị miễn dịch lý thuyết có thể tiến hành tải trong mạng và ngăn chặn tấn công từ chối dịch vụ

Trang 7

Mặt khác, đa dạng cao có thể vi phạm các nguyên tắc thiết kế an toàn Saltzer & Schroeder trong việc giữ các hệ thống đơn giản Nhiều controller và switch khác nhau trong mạng gia tăng sự phức tạp và xác suất lỗi mà SDN đã cố gắng để giải quyết Tóm lại, sự đa dạng hiện đang bị bỏ quên trong SDN và không phải là bắt buộc đối với vấn đề

an ninh, nhưng độ tin cậy đủ để có thể triển khai trong mạng Tuy nhiên, không chắc rằng nguyên tắc này có thể được thực hiện, như controller có khả năng tương tác đòi hỏi các tiêu chuẩn cũng như một quy trình như giao diện hướng Nam Tại thời điểm này đa dạng

là không thực tế

3.3 Self-Healing Mechanisms – Cơ chế tự phục hồi

Cơ chế tự phục hồi (self-healing mechanisms) là vấn đế phức tạp nhất trong xây dựng các thiết kế mạng an toàn Có thể giả định rằng cơ chế Self-Healing dựa trên các quy định bảo mật trước đây Sao lưu và giám sát controller có thể cô lập và thay thế các thiết bị bị tấn công hoặc chuyển hướng tấn công đến các máy chủ mạnh mẽ hơn

Khía cạnh đầu tiên của tự phục hồi lỗi là khả năng tự động sửa lỗi của thiết bị trong data plane, ví dụ như sau khi phát hiện switch bị lỗi hoặc kết nối bởi một kẻ tấn công Controller liên tục duy trì một cái nhìn về toàn bộ mạng và có thể triển khai các cơ chế phục hồi định tuyến và độ tin cậy giao thức truyền thống một cách hoàn thiện và hiệu quả Tuy nhiên, do thực tế rằng switch phải chờ đợi lệnh điều khiển trước khi có thể chuyển tiếp vào một đường dẫn sao lưu, OpenFlow phải đối mặt với những thách thức của việc đạt cần 50 ms thời gian phục hồi Một phương pháp thiết thực để giải quyết vấn

đề này trong các mạng lớn là việc cài đặt chủ động fail-over (chế độ dự phòng) trong các switch Các luồng được liên kết với một nhóm bảng chuyên biệt, trong đó hỗ trợ khả năng để phù hợp với luồng gói tin dựa trên hiện trạng port liên quan Khi một liên kết trực tiếp đi xuống, việc chuyển đổi ngay lập tức đến đường dẫn ít ưu tiên hơn, mặc dù phù hợp, đường dẫn sao lưu và phục hồi ngay lập tức cung cấp mà không cần phải bổ sung tính toán Thứ hai, là kết hợp được thực hiện dựa trên trạng thái cổng, switch OpenFlow có thể không nhận ra hoặc được thông báo về bất kỳ tấn công nào và chuyển tiếp lưu lượng truy cập vào một ngõ cụt cho đến khi control plane đã được tính toán lại các cấu trúc liên kết Trong trường hợp controller bị tấn công, switch bị ảnh hưởng có thể

Trang 8

chọn một controller dự phòng hoặc được điều khiển bởi các controller bằng còn lại Sau khi liên kết chính đã bị tấn công, các kết nối phụ là dễ bị tổn thương do thiếu một kết nối sao lưu Một vấn đề mới là việc xác minh và sửa chữa các bảng flow bị thay đổi cấu trúc liên kết trong mạng Trong khi các tài liệu về bảo mật của ONF hiện nay đưa ra xác thực

và xác minh tính toàn vẹn cho các thông điệp giao thức, thiết bị bị tấn công vẫn có thể đưa dữ liệu vào controller độc hại hoặc switch

3.4 Dynamic Device Association – Kết hợp các thiết bị

Cơ chế bảo mật thứ tư xung quanh các nguyên tắc của Dynamic Device Association Theo nhóm nghiên cứu, switch sẽ có thể tự do kết hợp với nhiều controller để có thể chịu tấn công để tăng cường tổng thể vững mạnh của mạng Cách tiếp cận này, tuy nhiên, phần lớn được bao phủ với sự ra đời của Replication và cơ chế Self-Healing Một khía cạnh mới là những gợi ý để cung cấp switch có thể lập trình các CPU đa mục đích Mục đích là để tạo ra switch thông minh, có khả năng phát hiện mã độc điều khiển và tự động kênh điều khiển cân bằng tải Nhóm nghiên cứu cho rằng data plane hữu ích trong việc cung cấp bảo mật và khả năng chịu lỗi Switch lập trình có thể bị hướng tấn công mới hoặc lỗi phần mềm Switch có thể cần phải được cấu hình riêng để hoạt động đúng Ngoài ra, sự phát triển của các switch lập trình hoặc các thiết bị tương thích chuyên dụng phải dựa vào sự chấp nhận của nhà cung cấp, đó là một rào cản mà các thiết kế mạng không vượt qua được trong quá khứ Switch có thể cần được điều chỉnh để thích ứng với các mô hình mới và có khả năng cung cấp tự báo cáo của các cấu trúc liên kết, lỗ đen hay các nút quan trọng trong mạng Thật vậy, một số lượng đáng kể các biện pháp và thiết kế chuyển đổi nhằm đưa ra tự động cân bằng tải và định tuyến chọn lọc trên mặt phẳng dữ liệu đã được công bố

3.5 Xây dựng mối tin tưởng giữa controller và các thiết bị

Các nhà nghiên cứu đề xuất các cơ chế điều tra và phát hiện bất thường để tìm và theo dõi hành vi đáng ngờ trong mạng Switch và các controller duy trì một ngưỡng sự tin tưởng xứng đáng của thiết bị bất kỳ Một khi nó đã đạt đến giới hạn, các thiết bị sẽ tự động được phân lập, bất chấp nó có được xác thực hay không Các thuật toán, các ứng

Trang 9

dụn và controller nhằm phát hiện và báo cáo hành vi bất thường trong mạng đang được phát triển

3.6 Xây dựng mối tin tưởng giữa controller và các phần mềm

Do sự đa dạng và cấu hình trong mạng, các ứng dụng là một trong những điểm yếu nhạy cảm nhất của SDN Cơ chế bảo mật để xác minh và theo dõi tính hợp pháp của các ứng dụng trong mạng là cần thiết Vì lý do này, nguyên tắc thiết kế thứ năm đòi hỏi một mối quan hệ tin cậy giữa các ứng dụng và phần mềm điều khiển

Ứng dụng bất kỳ tích hợp trực tiếp vào controller đã được ký kết bởi một người quản trị và đóng gói với các thông tin trước khi chúng có thể được thực hiện Tất cả các ứng dụng được chia thành các cấp độ đặc quyền, gồm APP (mặc định), SEC (ứng dụng bảo mật) và ADMIN Tùy thuộc vào vai trò của ứng dụng, nó được cho phép để thực hiện một tập hợp các quy tắc thay đổi hoặc yêu cầu Hoạt động nhưng vượt quá các đặc quyền được giao sẽ bị từ chối Nếu một quy tắc xung đột phát sinh do lệnh bắt nguồn từ các ứng dụng khác nhau, SE-Floodlight chọn các hoạt động đặc quyền cao hơn, cung cấp hiệu quả các ứng dụng đặc biệt với khả năng ghi đè lên các flow rule của một tầng thấp hơn Các ứng dụng đã đăng ký là duy nhất được nhận dạng và tất cả các hoạt động được ghi nhận cho mục đích kiểm soát và điều tra

Tuy nhiên, các ứng dụng cũng được chia thành các nhóm admin và chế độ không admin dựa trên xác thực của chúng và phải yêu cầu sự cho phép cho các nhiệm vụ khác nhau trước Nếu vai trò không phù hợp, yêu cầu bị từ chối ID ứng dụng và các bản ghi hoạt động là một tính năng của ONOS và nhiều khả năng có thể được sử dụng để phân tích điều tra Các phương pháp xác thực và dựa trên vai trò làm giảm đáng kể các mối đe dọa của các ứng dụng xấu trong SDN Hơn nữa, sự khác biệt cấp độ truy cập hạn chế các nguy cơ của leo thang đặc quyền

3.7 Security Domain

Miền bảo mật là một trong những kỹ thuật hữu hiệu để hạn chế sự tiếp cận với SDN

Cụ thể để SDN cần thiết phải tách riêng các bộ điều khiển khỏi các ứng dụng và các dịch

vụ mạng còn lại Khai thác ứng dụng điều khiển đi đôi với kiểm soát truy cập chặt chẽ làm giảm nguy cơ hư hỏng phần mềm và ngăn chặn nhiều mối đe dọa control plane Tăng

Trang 10

cường kiểm soát truy cập mạng, xác minh máy chủ và hạn chế dịch vụ trong SDN là một trong những cách hữu hiệu đối an toàn của mạng

3.8 Secure Component

Để đảm bảo bí mật và toàn vẹn dữ liệu, các thành phần bên trong của SDN thiết bị cần phải được bảo vệ Các dữ liệu nhạy cảm như chính sách, thông tin và mô tả dịch vụ Một cuộc tấn làm lộ thông tin về các cơ sở dữ liệu có thể tiết lộ một số lượng lớn thông tin về mạng Hai biện pháp xác thực TLS và SSH được sử dụng, tuy nhiện hai yếu tố biện pháp xác thực có thể là không cần thiết Việc mã hóa gây độ trễ dòng chảy và hiệu suất

Do đó, nguyên tắc bảo mật này có thể là dư thừa

Căn cứ vào các dữ liệu của các gói tin, một đồ thị mạng và cơ sở dữ liệu lưu lượng được xây dựng Bất kỳ sai lệch trong cấu trúc liên kết tin cậy, cố gắng để giới hạn các mục bảng switch, hoặc mô hình lưu lượng quá mức ngay lập tức được báo cáo cho quản trị viên

4 Bảo mật Application Plane

Application Plane cho phép ta lập trình các dịch vụ ứng dụng bảo mật thông qua giao diện điều khiển hướng Bắc

DefenseFlow là một ứng dụng phát hiện mạng DDoS tấn công và dòng lưu lượng được triển khai trong lớp ứng dụng SDN Sử dụng TLS hay SSH để bảo đảm thông tin liên lạc trên các hướng Bắc được xem là cách tốt nhất ở đây Một cách khác để giúp bảo mật cuối cùng này là đảm bảo các ứng dụng hướng bắc được mã hóa an toàn Điều này cũng có nghĩa là các phương pháp xác thực và mã hóa nên được triển khai trên tất cả các thông tin liên lạc giữa các ứng dụng và các dịch vụ yêu cầu dịch vụ SDN và dữ liệu và các điều khiển phục vụ những yêu cầu này

Ngày đăng: 01/07/2016, 12:53

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 3.3: Các giải phát bảo mật chung - TÍCH hợp các GIẢI PHÁP bảo mật CHO hệ THỐNG MẠNG SDN
Hình 3.3 Các giải phát bảo mật chung (Trang 2)
Bảng mô tả các giải pháp đề xuất - TÍCH hợp các GIẢI PHÁP bảo mật CHO hệ THỐNG MẠNG SDN
Bảng m ô tả các giải pháp đề xuất (Trang 4)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w