- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 1 LỜI CAM ĐOAN Tôi xin cam đoan luận văn này là công trình nghiên cứu thực sự của cá nhân tôi, được thực hiện dưới sự hướng dẫn khoa học của TS. - Các số liệu, kết quả nghiên cứu trong luận văn này là trung thực. - Tôi xin chịu trách nhiệm về nghiên cứu của mình Học viên Nguyễn Minh Đức Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 2 MỤC LỤC LỜI CAM ĐOAN. - 9 CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ OPENFLOW/SDN. - 12 1.1 Mạng lập trình đƣợc (Software-Defined Network. - 12 1.2 Công nghệ Openflow. - 13 1.2.2 Kiến trúc Openflow. - 25 CHƢƠNG 2: THIẾT KẾ HỆ THỐNG VÀ CÀI ĐẶT CÔNG CỤ. - 26 2.1 Sơ đồ hệ thống của một ISP. - 26 2.1.2 Yêu cầu thiết kế hệ thống. - 27 2.1.3 Sơ đồ hệ thống của một đơn vị ISP. - 28 2.2 Sơ đồ khối hệ thống thử nghiệm. - 35 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 3 2.4.2 Cài đặt và sử dụng. - 35 2.5 Cấu hình hệ thống thử nghiệm. - 41 CHƢƠNG 3: CÁC MODULE QUAN TRỌNG VÀ CÁC KỊCH BẢN MÔ PHỎNG ĐỂ THỬ NGHIỆM HỆ THỐNG. - 42 3.1 Các bản tin trao đổi giữa Controller (POX) và OpenvSwitch. - 42 3.1.1 Bản tin StatisticRequest. - 44 3.1.2 Bản tin StatisticResponse. - 45 3.1.3 Bản tin FlowMod. - 48 3.4 Xây dựng Testbed, kịch bản và chạy kiểm thử hệ thống. - 51 3.4.3 Chạy thử nghiệm hệ thống. - 56 CHƢƠNG 4: THỜI GIAN XỬ LÝ CỦA HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ. - 57 4.2 Nhận xét, đánh giá và đƣa ra các hƣớng nâng cao chất lƣợng hệ thống. - 63 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 4 TÀI LIỆU THAM KHẢO. - 64 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 5 DANH SÁCH HÌNH VẼ, ĐỒ THỊ Hình 1.1: Mô hình switch truyền thống. - 14 Hình 1.2: Cấu trúc OpenFlow Switch. - 14 Hình 1.3: Kiến trúc OpenFlow. - 15 Hình 1.4: Flow-table Actions. - 16 Hình 1.5: Kiến trúc của một OpenFlow Switch. - 20 Hình 1.6: Nền tảng NetFPGA. - 23 Hình 2.1: Kiểu tấn công tràn băng thông. - 26 Hình 2.2: Kiểu tấn công khả năng xử lý thiết bị. - 27 Hình 2.3: Sơ đồ hệ thống hiện tại của một đơn vị ISP. - 28 Hình 2.4: Sơ đồ đề xuất hệ thống với khối OpenFlow/SDN. - 29 Hình 2.5: Sơ đồ đấu nối trong từng phòng Lab. - 30 Hình 2.6: Sơ đồ đấu nối tại phòng máy chủ. - 31 Hình 2.7: Sơ đồ khối hệ thống thử nghiệm. - 32 Hình 2.8: Flow-table trong OpenvSwitch. - 41 Hình 3.1: Các bản tin sử dụng để thống kê và gửi lệnh từ POX xuống OpenvSwitch. - 42 Hình 3.2: Lưu đồ thuật toán tổng quan của trình ứng dụng trên Controller. - 43 Hình 3.3: Cấu trúc bàn tin StatisticRequest-Flow. - Cấu trúc bản tin StatisticResponse – Flow. - 45 Hình 3.5: Cấu trúc trường match trong bản tin StatisticResponse. - 46 Hình 3.6: Cấu trúc bản tin FlowMod. - 46 Hình 3.7: Lưu đồ thuật toán của khôi chức năng GetStats. - 47 Hình 3.8: Lưu đồ thuật toán của khối chức năng Flow Modification. - 48 Hình 3.9: Mô hình thử nghiệm phân tích dữ liệu chạy qua hệ thống. - 49 Hình 3.10: Testbed mô phỏng tấn công. - 50 Hình 3.11: Dữ liệu bình thường qua hệ thống. - 51 Hình 3.12: Dữ liệu nghi ngờ tấn công IP . - 51 Hình 3.13: Giao diện phần mềm tấn công AttackPacket. - 53 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 6 Hình 3.14: Giao diện người quản trị. - 54 Hình 3.15: Hệ thống đang hoạt động bình thường. - 55 Hình 3.16: Thay đổi số luồng lên 2000pps. - 55 Hình 3.17: Giao diện cảnh báo hệ thống khi có tấn công. - 58 Đồ thị 4.3: Tổng số luồng tồn tại trong hệ thống ở hai trường hợp. - 59 Đồ thị 4.5: Đồ thị thể hiện số Flow theo thời gian khi hệ thống bình thường. - 60 Đồ thị 4.6: Đồ thị mô tả hệ thống khi có dấu hiệu tấn công. - 61 Đồ thị 4.7: Log hệ thống khi có cảnh báo. - 61 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 7 DANH SÁCH BẢNG BIỂU Bảng 1.1: Cấu trúc Flow-Entry. - 18 Bảng 3.1: Các loại thông tin điều khiển của bản tin FlowMod. - 47 Bảng 3.2: Tên, địa chỉ IP của các thiết bị. - 50 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 8 DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng anh Ý nghĩa SDN Software Defined Network Mạng lập trình được IP Internet Protocol Giao thức liên mạng MAC Media Access Control Điều khiển đa truy nhập SSL Secure Sockets Layer Giao thức bảo mật cá mã hóa thông tin GUI Graphical User Interface Giao diện người dùng AP Access Point Điểm truy cập không dây PC Personal Computer Máy tính cá nhân VIP Very Important Person Người quan trọng Controller Bộ điều khiển Server, Client Máy chủ, máy trạm Control Path Mặt điều khiển Data Path Mặt dữ liệu StatsRequest Bản tin yêu cầu thông số StatsResponse Bản tin trả lời thông số FlowMod Bản tin chỉnh sửa ISP Internet Service Provider Nhà mạng viễn thông Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 9 LỜI NÓI ĐẦU Ngày nay, cùng với sự phát triển nhanh chóng của các công nghệ tiên tiến, nhu cầu kết nối và chia sẻ của con người ngày càng gia tăng cả về tốc độ, chất lượng cũng như tính thuận tiện. - Các kiến trúc mạng và các thiết bị mạng cũ đã phần nào để lộ những nhược điểm như tính cứng nhắc, giá thành cao, thiếu khả năng tích hợp nhiều chức năng, cũng như nhu cầu yêu cầu hệ thống mạng phải đáp ứng việc thay đổi nhanh chóng các thông số về trễ, băng thông, định tuyến, QoS và đặc biệt là vấn đề bảo mật. - Mạng lập trình được hay SDN, là một kiến trúc mạng mới, mà ở đó, các thiết bị chuyển mạch (Switch, Router. - SDN sử dụng giao thức Openflow để giao tiếp giữa Control Plane và Data Plane. - Nhờ đó, SDN đã bắt đầu được áp dụng để thay thế cho các kiến trúc mạng thông thường. - Các tập đoàn lớn như Google, HP đã bắt đầu sử dụng kiến trúc SDN trong mạng lõi của mình. - Việc phân tích và phát hiện các sự cố tấn công là vấn đề quan trọng cũng như then chốt của mỗi ISP nhằm đảm bảo toàn bộ hệ thống được Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 10 vận hảnh an toàn và ổn định nhất cũng như giảm thiểu rủi ro cho khách hàng để từ đó có những phương án phòng tránh hiệu quả nhất Trong quá trình thực hiện, do hạn chế về mặt thời gian cũng như kiến thức, nên đề tài không thể tránh khỏi những thiếu sót. - Em xin trân trọng cảm ơn các thầy, cô trong trường Đại học Bách Khoa Hà Nội, Viện Điện Tử Viễn Thông trong suốt thời gian học cao học qua đã dạy bảo và cung cấp cho em những kiến thức nền tảng rất có ích cho cuộc sống sau này. - Sau đây là phần mục tiêu và bố cục luận văn được tổ chức như sau: Mục tiêu. - Nghiên cứu về công nghệ OpenFlow/SDN, các vấn đề về kỹ thuật và ứng dụng trong hệ thống mạng Ứng dụng kỹ thuật OpenFlow/SDN vào việc bảo mật trong mô hình mạng ISP, cụ thể là phân tích dữ liệu tấn công và đưa ra cảnh báo phát hiện cho quản trị hệ thống Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 11 Luận văn đƣợc chia thành 5 chƣơng. - Chƣơng 1: Tổng quan về công nghệ OpenFlow/SDN Chương này tập trung giới thiệu về công nghệ mạng lập trình được(SDN), giao thức OpenFlow và phần cứng chuyển mạch OpenFlow dùng NetFPGA Chƣơng 2: Thiết kế hệ thống và cài đặt công cụ Chương này sẽ đưa ra sơ đồ hệ thống, mô hình của Internet Service Provider(ISP), sơ đồ thử nghiệm, các thiết bị sử dụng, cách cấu hình hệ thống nhằm thực hiện chức năng phân tích dữ liệu tấn công, chức năng phát hiện các luồng tấn cộng dựa trên sự tăng cao bất thường của số lượng phiên kết nối trong mạng Chƣơng 3: Các Module quan trọng và các kịch bản mô phỏng để thử nghiệm hệ thống Trong chương này chúng ta sẽ tìm hiểu về một số bản tin trao đổi giữa bộ điều khiển Controller và OpenFlow Switch, các khối chức năng và xây dựng Testbed cũng như kết quả chạy thử nghiệm trong việc phân tích dữ liệu tấn công và phát hiện ra dấu hiệu tấn công xảy ra trong mạng Chƣơng 4: Thời gian xử lý hệ thống và đánh giá kết quả Chương này đưa ra các kết quả mô phỏng thực nghiệm và đánh giá tính đúng đắn của đề tài Chƣơng 5: Kết luận và hƣớng mở rộng của đề tài Đưa ra kết quả thu được qua thời gian tìm hiểu đề tài cũng như hướng phát triển của đề tài trong tương lai Hà Nội, tháng năm 2015 Học viên Nguyễn Minh Đức Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 12 CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ OPENFLOW/SDN Chương này sẽ cung cấp các kiến thức cơ bản về công nghệ mạng lập trình được (SDN), giao thức Openflow và phần cứng của chuyển mạch Openflow dùng NetFPGA. - 1.1 Mạng lập trình đƣợc (Software-Defined Network) Các giao thức mạng hiện nay ngày càng được hoàn thiện và hoạt động ổn định. - Những nghiên cứu về giao thức mạng hay các loại lưu lượng mạng ngày càng được mở rộng để đáp ứng nhu cầu ngày càng cao của con người. - Tuy nhiên việc nghiên cứu này gặp phải những khó khăn lớn là không có một môi trường mạng cụ thể để có thể kiểm nghiệm sự chính xác, tính đúng đắn và chứng minh sự hiệu dụng của các giao thức mạng. - Đây chính là mô hình của mạng lập trình được, SDN. - SDN là kiến trúc mạng mới cho phép điều khiển hoạt động của mạng dựa trên việc điều khiển hoạt động của các Switch, sử dụng các ngôn ngữ lập trình và có thể thường xuyên thay đổi bằng cách nạp các đoạn mã nguồn khác vào thay thế. - SDN có lợi thế to lớn mà các kiến trúc mạng hiện tại không có được. - Các kiến trúc mạng hiện nay không cho phép can thiệp vào hoạt động của các thiết bị mạng, hoạt động của các thiết bị này bị phụ thuộc hoàn toàn vào nhà sản xuất quy định. - Chính vì thế, rất khó cho việc thay thế một giao thức cũ bằng các giao thức mới và thử nghiệm chúng trên các thiết bị thật. - Việc này dễ dàng cho việc nghiên Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 13 cứu cũng như triển khai các công nghệ mới vào trong mạng mà không cần thay đổi về phần cứng. - SDN [1] chính là một kiến trúc mạng mang tính cách mạng và là tương lai của công nghệ mạng trong thời gian sắp tới. - 1.2 Công nghệ Openflow 1.2.1 Tổng quan Hiện nay hầu như không có phương pháp nào có tính thực tế để thử nghiệm, kiểm chứng các giao thức mạng mới trong môi trường thực tế với quy mô lưu lượng thật. - Kết quả là hầu hết các ý tưởng mới từ cộng đồng nghiên cứu không được thử nghiệm và kiểm chứng. - Openflow [2][3] là phương tiện cho phép các nhà nghiên cứu chạy các giao thức thử nghiệm trên hệ thống mạng mà ta sử dụng hàng ngày. - Openflow đang được sử dụng rộng rãi bởi nhiều nhà nghiên cứu, các viện nghiên cứu trên thế giới do nó có tính thực tế dựa trên các ưu điểm: cho phép các nhà nghiên cứu chạy các thử nghiệm trên các switch khác nhau theo cùng một cách như nhau, không cần cấu hình triển khai theo cấu hình từng loại switch, hoạt động ở line-rate cùng với mật độ port lớn, hơn nữa các nhà sản xuất vẫn có thể giữ bí mật về thiết kế các switch của họ. - Ngoài việc cho phép các nhà nghiên cứu đánh giá các ý tưởng của họ trong môi trường lưu lượng thế giới thực, Openflow còn là một công cụ hữu hiệu cho triển khai các testbed qui mô rộng như GENI (Global Environment for Network Innovation, network/testbed gồm các tài nguyên chung cho các nhà nghiên cứu, chia sẻ tài nguyên bằng phương pháp ảo hóa- virtulization). - GENI là kiến trúc mạng có khả năng lập trình được. - Mạng có khả năng lập trình cần có các phần tử switch/router có khả năng lập trình để xử lý các packet cho Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 14 nhiều thử nghiệm trên mạng đồng thời không ảnh hưởng lẫn nhau. - Openflow cho phép ta có thể lập trình được switch/router. - Sự khác nhau trong cấu trúc của Switch truyền thống và Switch hỗ trợ công nghệ Openflow: Hình 1.1: Mô hình switch truyền thống Hình 1.2: Cấu trúc OpenFlow Switch Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 15 1.2.2 Kiến trúc Openflow Hình 1.3: Kiến trúc OpenFlow Openflow cung cấp một giao thức mở để lập trình flow-table trong các Switch/Router khác nhau. - Người quản trị mạng có thể chia lưu lượng thành các luồng (flow) cho mạng thông thường và luồng cho việc nghiên cứu. - Bằng cách này, các nhà nghiên cứu có thể thử các giao thức định tuyến, các mô hình bảo mật, các cách đánh địa chỉ mới, thậm chí thay thế cho IP. - Hình trên mô tả một Openflow Switch giao tiếp với một Controller thông qua kênh kết nối bảo mật SSL [4] sử dụng giao thức Openflow. - Kênh bảo mật kết nối Switch với Controller sử dụng giao thức Openflow cho phép các lệnh và các gói tin được truyền qua lại giữa Controller và Switch. - Giao thức Openflow là một giao thức mở và chuẩn hóa cho phép Controller giao tiếp với switch. - Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 16 Hình 1.4: Flow-table Actions Các Actions trong chuẩn Openflow 1.0 được mô tả trong hình trên gồm có: chuyển tiếp gói tin đến Controller, hủy gói tin, thay đổi các trường trong gói tin, chuyển gói tin đến một hoặc nhiều cổng xác định của Switch. - Kiến trúc chung của Openflow gồm hai thành phần chính: Openflow Switch, Controller. - Thiết bị chuyển mạch (Openflow Switch
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt