Software defined networking và ứng dụng vào giải pháp bảo mật các hệ thống thông tin (tt)

Nhu cầu kinh doanh yêu cầu mạng phải đáp ứng việc thay đổi nhanh chóng các thông số về độ trễ, băng thông, định tuyến, QoS, bảo mật… Hầu hết các mạng thông thường đều theo kiến trúc phân

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS Hoàng Lê Minh

Phản biện 1:

Phản biện 2:

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Ngày nay, kiến trúc mạng truyền thống đang ngày càng trở nên không phù hợp với nhu cầu kinh doanh của các doanh nghiệp, nhà khai thác mạng cũng như người dùng cuối Nhu cầu kinh doanh yêu cầu mạng phải đáp ứng việc thay đổi nhanh chóng các thông số về độ trễ, băng thông, định tuyến, QoS, bảo mật… Hầu hết các mạng thông thường đều theo kiến trúc phân cấp, được xây dựng với thiết bị chuyển mạch Ethernet theo các tầng và được xắp xếp trong một cấu trúc cây Thiết kế này thực

sự hiệu quả khi mô hình tính toán khách – chủ chiếm ưu thế, nhưng kiến trúc tĩnh như vậy không phù hợp với yêu cầu tính toán đa dạng, năng động và nhu cầu lưu trữ dữ liệu tại các trung tâm dữ liệu của doanh nghiệp, trường học và trong môi trường của nhà cung cấp dịch vụ Với sự bùng nổ của thiết bị di động và nội dung, ảo hóa máy chủ, và sự ra đời của dịch vụ điện toán đám mây là một trong những xu hướng trong tương lai khiến cho ngành công nghiệp mạng phải xem xét lại kiến trúc mạng truyền thống [4]

Software Defined Networking (SDN) là một phương pháp tiếp cận mới làm thay đổi kiến trúc mạng hiện nay nhằm đáp ứng các nhu cầu kinh doanh mới Trong kiến trúc SDN,thành phần điều khiển và thành phần kiểm soát dữ liệu được tách riêng biệt trong đó thành phần kiểm soát dữ liệu thuộc về phần

cứng còn thành phần điều khiển được tách rời khỏi phần cứng

và được thực thi thông qua ứng dụng phần mềm gọi là thiết bị kiểm soát luồng (Flow Controller) Điều này cho phép luồng các gói dữ liệu đi qua mạng được kiểm soát một theo một cách thức có lập trình, và giao thức hỗ trợ giữa thành phần điều khiển và phần cứng có tên gọi là OpenFlow OpenFlow là giao diện tiêu chuẩn đầu tiên được thiết kế đặc biệt cho SDN [4] Với phương pháp này cho phép kỹ sư mạng và người quản trị

có thể điều khiển các thiết bị mạng của họ thông qua một giao diện phần mềm thay vì phải tự cấu hình phần cứng và có các tác động vật lý đến các thiết bị mạng

Bộ điều khiển mạng SDN cung cấp khả năng hiển thị đầy

đủ về kiểm soát qua mạng Điều này đảm bảo rằng việc kiểm soát truy cập, lưu lượng, chất lượng dịch vụ, an ninh và các chính sách khác được thực thi nhất quán trên các cơ sở hạ tầng mạng của các tổ chức Bởi vậy, sẽ giảm chi phí hoạt động, khả năng cấu hình linh hoạt, ít gặp lỗi, thực thi chính sách và cấu hình thống nhất

Áp dụng công nghệ SDN vào dịch vụ điện toán đám mây, Viện Công nghiệp phần mềm và nội dung số Việt Nam (NISCI) là tổ chức khoa học và công nghệ công lập, trực thuộc

Bộ Thông tin và Truyền thông đã xây dựng và phát triển giải pháp điện toán đám mây “Rồng thông minh Việt Nam”

iDragon®Clouds, đây là giải pháp tổng thể xây dựng, quản lý

và khai thác hạ tầng mạng dùng riêng (nội bộ) và các kết nối cổng dịch vụ đám mây iDragon®CloudGate

Nội dung của luận văn này là tìm hiểu về kiến trúc SDN và giải pháp bảo mật các hệ thống thông tin ứng dụng SDN cùng với việc phân tích về tính bảo mật của ứng dụng điện toán đám mây “Rồng thông minh Việt Nam” iDragon®Clouds

Đó là lý do em chọn đề tài: “Software Defined

Networking và giải pháp bảo mật các hệ thống thông tin”

làm luận văn tốt nghiệp

Cấu trúc của luận văn được chia làm ba chương, với nội dung chính của mỗi chương như sau:

 Chương 1:Giới thiệu về kiến trúc SDN, trong đó

có giao thức OpenFlow và ứng dụng của SDN

 Chương 2: Khả năng bảo mật trong SDN

 Chương 3: Ứng dụng SDN trong giải pháp bảo

mật của dịch vụ iDragon®Clouds

CHƯƠNG I: TỔNG QUAN VỀ CÔNG NGHỆ

SDN 1.1 Giới thiệu về SDN

Software Defined Networking (SDN) là một kiến trúc mạng đang dần nổi lên trong những năm gần đây và ngày càng được phát triển một cách mạnh mẽ Nhờ có sự nỗ lực đi đầu của tổ chức Open Networking Foundation (ONF), SDN biến đổi kiến trúc mạng hoàn toàn khác so với kiến trúc mạng truyền thống

Trong kiến trúc SDN thành phẩn điều khiển mạng đã được tách riêng ra khỏi chức năng chuyển tiếp dữ liệu và trở thành lập trình trực tiếp [6] SDN bao gồm khả năng ảo hóa các nguồn lực mạng Các nguồn lực mạng được ảo hóa được biết đến như là một “ngăn mạng” (network slice) Một ngăn có thể

mở rộng nhiều thành phần mạng bao gồm đường trục mạng, bộ định tuyến và các host Khả năng kiểm soát nhiều luồng lưu lượng một cách lập trình sẽ tạo ra sự linh hoạt và nguồn lớn hơn trong tay người sử dụng

Hình 1.1: Kiến trúc của SDN [9]

Lớp ứng dụng(Applycation Layer): Là các ứng dụng

kinh doanh được triển khai trên mạng, được kết nối tới lớp điều khiển thông qua các API, cung cấp khả năng lập trình mở (cấu hình lại được các tham số trễ, băng thông, định tuyến, ) thông qua lớp điều khiển

Lớp điều khiển (Control Layer): Là nơi tập trung các bộ

điều khiển thực hiện việc điều khiển cấu hình mạng của tất cả các thiết bị trong lớp cơ sở hạ tầng theo các yêu cầu từ lớp ứng

dụng và khả năng của mạng Các bộ điều khiển này có thể là các phần mềm được lập trình cho phép các nhà quản trị mạng thiết lập chương trình một cách dễ dàng, linh hoạt và mở rộng trong môi trường mạng của họ Nó cũng cung cấp các giao diện chương trình ứng dụng (APIs) cho các nhà phát triển bên thứ

ba để tùy chỉnh tích hợp các ứng dụng

Lớp cơ sở hạ tầng: là các thiết bị mạng thực tế (vật lý hay

ảo hóa) thực hiện việc chuyển tiếp gói tin theo sự điểu khiển của lớp điều khiển thông qua giao thức Open Flow Chức năng SDN mới trong lớp cơ sở cho phép người quản trị đơn giản cấu hình mạng, mang đến một giao diện linh hoạt và khả năng lập trình theo tiêu chuẩn Một thiết bị mạng có thể hoạt động theo

sự điều khiển của nhiều bộ điều khiển khác nhau, điểu này giúp tăng cường khả năng ảo hóa của mạng

1.3 Tại sao cần đến SDN

1.3.1 Mạng thông tin theo mô hình truyền thống

Trong các mạng kiểu truyền thống (hình 1.2), các thành phần điều khiển và mặt phẳng dữ liệu được kết hợp trong một node mạng

Hình 1.2: Mô hình mạng theo hướng tiếp cận truyền thống

1.3.2 Mạng thông tin theo mô hình SDN

Thành phần điều khiển được đưa ra khỏi phạm vi một node mạng cụ thể và đưa vào một bộ điều khiển tập trung và độc lập Các bộ chuyển SDN được điều khiển bởi Hệ điều hành mạng (NOS) khi nó thu thập thông tin, bằng cách sử dụng API như (hình 1.3), và điều khiển mặt phẳng chuyển tiếp của chúng, qua

đó cung cấp một mô hình bao quát về cấu trúc hình học của mạng thông tin cho bộ điều khiển SDN lưu trữ các ứng dụng

Hình 1.3: Mô hình mạng theo hướng tiếp cận SDN

1.3.3 Ứng dụng SDN vào đâu

Việc thực hiện SDN mở ra các phương pháp cho ý tưởng mới và các ứng dụng mới Sự kiểm soát mạnh mẽ cấu trúc hình học (dynamic topology control), tức sự điều chỉnh việc sử dụng

bộ chuyển theo mức tải và việc lập bản đồ lưu lượng dữ liệu sẽ trở nên khả thi ở cấp độ mạng toàn cầu Điều nay sẽ đem lại triển vọng cho việc kiểm soát truy cập mạng, quản lý năng lượng và mạng gia đình, những thứ mà xem mạng là không có lợi ích song lại tuyệt đối cần thiết

1.4 Giao thức Open Flow

OpenFlow được định nghĩa là chuẩn đầu tiên về giao diện truyền thông tin giữa lớp điều khiển và lớp truyền dữ liệu trên kiến trúc SDN [4] OpenFlow cho phép truy cập trực tiếp và thao tác trên mặt phẳng chuyển tiếp của các thiết bị mạng như switch và router, cả dạng vật lý và ảo hóa

1.4.1 Các đặc trưng của OpenFlow

 OpenFlow có thể được so sánh với một tập lệnh của CPU [4]

 Giao thức OpenFlow được triển khai trên cả hai giao diện của kết nối giữa các thiết bị cơ sở hạ tầng mạng và phần mềm điểu khiển SDN

 Một giao thức OpenFlow bao gồm ba thành phần: Flow Table, Secure Channel, OpenFlow Protocol

1.4.2 Lợi ích khi sử dụng OpenFlow

1.5 Ứng dụng của SDN

Với những lợi ích mà SDN đem lại, chúng ta có thế thấy được SDN có khả năng triển khai trong phạm vi các doanh nghiệp hoặc cho các nhà cung cấp hạ tầng và dịch vụ viễn thông để giải quyết các yêu cầu của các nhà cung cấp tại mỗi phân khúc thị trường

1.5.1 Phạm vị doanh nghiệp

1.5.2 Phạm vi các nhà cung cấp hạ tầng và dịch vụ viễn thông

1.6 Kết luận chương

Ngày nay xu hướng của người sử dụng như: ưu chuộng tính di động, ảo hóa máy chủ, yêu cầu đáp ứng một cách nhanh chóng với điều kiện công việc luôn thay đổi đã đặt ra ngày càng nhiều yêu cầu đối với hệ thống mạng Kiến trúc mạng thông thường nhiều khi không đáp ứng kịp, SDN cung cấp một kiến trúc mạng mới, năng động, có khả năng thay đổi mạng xương sống truyền thống sang một nền tảng có khả năng cung cấp dịch vụ phong phú hơn

Tương lại của mạng sẽ dựa nhiều hơn nữa vào các phần mềm Việc này sẽ giúp đẩy nhanh tốc độ đổi mới cho hệ thống mạng như no đã từng xảy ra trong lĩnh vực máy tính và lưu trữ SDN hứa hẹn sẽ biến đổi mạng cố định hiện nay thành nền tảng dựa trên lập trình với khả năng phân bổ nguồn lực một cách năng động, trở nên linh hoạt hơn, đủ quy mô để hỗ trợ các trung tâm dữ liệu khổng lồ với sự ảo hóa cần thiết cho một môi trường điện toán đám mây tự động hóa cao, năng động và an toàn

Sở hữu nhiều lợi thế và tiềm năng công nhiệp hấp dẫn, mạng SDN đang trên đường để trở thành một chuẩn mới cho mạng trong tương lai Tuy nhiên, song song với nó là vấn đề đảm bảo an toàn và chống mất mát dữ liệu trên hệ điều hành

mạng Đó là vấn đề mang tính thời sự, đặt ra nhiều thách thức cho các chuyên gia an ninh mạng trong thời gian tới

Và trong chương tiếp theo sẽ phân tích về khả năng bảo mật trong kiến trúc mạng SDN

CHƯƠNG II: KHẢ NĂNG BẢO MẬT

TRONG SDN

2.1 Tổng quan về bảo mật mạng

2.1.1 Giới thiệu về bảo mật

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin rất quan tâm, một khi internet ra đời và phát triển đặc biệt là thị trường thương mại điện tử đang có xu hướng phát triển mạnh mẽ trong những năm gần đây, nhu cầu trao đổi thông tin, giao dịch trực tuyến trở nên phổ biến

Mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tự vào giao dịch trực tuyến…

2.1.2 Những tài nguyên cần được bảo vệ

 Tài nguyên đầu tiên chính là dữ liệu

 Tài nguyên thứ hai là những tài nguyên còn lại, đó là hệ

thống máy tính, bộ nhớ, hệ thống ổ đĩa, máy in và nhiều tài nguyên trên hệ thống máy tính

2.1.3 Các phương thức tấn công điển hình

 Tấn công từ chối dịch vụ (DoS)

 Nghe trộm

2.2 Xây dựng cơ chế tự phòng chống tấn công DoS trong mạng SDN

2.2.1 Tổng quan về bảo mật trong SDN

2.2.2 Mô hình tấn công DoS trong SDN

Mô hình tấn công DOS trong SDN bao gồm 2 bước đó là nhận diện đối tượng và thực hiện tấn công

Hình 2.1: Mô hình tấn công DoS mạng SDN [10]

2.2.3 Cơ chế tự phòng chống tấn công DoS

Hình 2.2: Cơ chế tự phòng chống tấn công DoS

2.3 Kết luận chương

SDN dự kiến sẽ là cấu trúc thay thế các mạng truyền thống hiện có với nhiều tính năng tiên tiến Mặc dù có nhiều cái tiến trong việc bảo mật mạng nhưng SDN vẫn phải đối mặt với nhiều thách thức an ninh trong tương lai Trong chương này ngoài việc này nói ra tầm quan trọng của bảo mật mạng cũng

đã đưa ra giải pháp chống lại hình thức tấn công phổ biến nhất

là tấn công DoS tuy nhiên nó chỉ có tác dụng khi chống lại các

cuộc tấn DoS có lưu lượng bình thường chứ không đủ khi

chống lại các cuộc tấn công có lưu lượng là rất lớn

CHƯƠNG III: ỨNG DỤNG SDN TRONG GIẢI PHÁP BẢO MẬT CỦA DỊCH VỤ

iDragon®Clouds

KẾT LUẬN

1 Kết quả đạt đƣợc

Luận văn cơ bản đã đạt được mục tiêu đề ra:

 Trình bày được tổng quan về kiến trúc SDN, mô tả chi tiết mô hình 3 lớp trong SDN từ đó đưa ra điểm khác biệt so với kiến trúc mạng truyền thống Tính cấp thiết của kiến trúc SDN đối với thời đại công nghệ thông tin hiện nay Đồng thời giới thiệu về giao thức Open Flow

là chuẩn đầu tiên về giao diện truyền thông tin giữa lớp điều khiển và lớp truyền dữ liệu trong kiến trúc SDN

 Trình bày được phương pháp bảo mật, an toàn thông tin trong SDN

 Giới thiệu tổng quan về phần mềm iDragon®Clouds và phân tích khả năng bảo mật của phần mềm iDragon®Clouds nhờ việc áp dụng kiến trúc SDN

 Phần demo mặc dù đã được triển khai một thời gian dài nhưng vẫn chưa thể áp dụng rộng rãi cho các doanh nghiệp

3 Hướng nghiên cứu tiếp theo

 Tiếp tục nghiên cứu thêm về kiến trúc SDN, khả năng bảo mật của kiến trúc và tìm hiểu thêm để có thể xây

dựng một hệ thống áp dụng kiến trúc SDN

 Mặc dù SDN là một công nghệ không còn xa lạ với các hãng công nghệ thông tin trên thế giới, nhưng tại Việt Nam số doanh nghiệp, số người dùng biết đến chưa nhiều, vì thế phải cố gắng xây dựng kiến trúc sao cho phù hợp với nhu cầu và chi phí đối với các doanh

nghiệp Việt Nam

Luận văn là kết quả của quá trình học hỏi, nghiên cứu và làm việc nghiêm túc của bản thân Song không thể không mắc phải những thiếu sót Tôi rất mong nhận được sự đóng góp ý kiến của Thầy - Cô, bạn bè, đồng nghiệp để luận văn được hoàn thiện hơn

TÀI LIỆU THAM KHẢO

Tiếng Việt:

[1] Hoàng Lê Minh (2014), Mô hình hạ tầng CNTT hỗ trợ bảo

hộ quyền tác giả, quyền sở hữu trí tuệ trên mạng Internet và vai trò của nhà nước, Tạp chí phần mềm và nội dung số

[2] Dương Thái Sơn (2014), Cổng đám mây kết nối các thiết bị

[4] Open Networking Foundation, Whitepaper,

Software-Defined Networking: The New Norm for Networks; 2012

[5] Open Networking Foundation,

Whitepaper,Software-Defined Networking: OpenFlow Switch Specification; 2013

[6] Open Networking Foundation, Whitepaper, What is ONF

Website:

[9] https://www.opennetworking.org [10] http://antoanthongtin.vn