Nghiên cứu ứng dụng một số giải pháp công nghệ trong thiết kế thiết bị điều khiển lưu lượng mạng SDN

Kỷ yếu Hội nghị Quốc gia lần thứ VIII về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 9-10/7/2015 DOI: 10.15625/vap.2015.000187 NGHIÊN CỨU ỨNG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TRONG THIẾT KẾ THIẾT BỊ ĐIỀU KHIỂN LƯU LƯỢNG MẠNG SDN Nguyễn Ái Việt, Lưu Thị Huy, Lâm Thị Sen và Nguyễn Văn Nghiệp Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội và Trường Đại học CNTT&TT, Đại học Thái Nguyên June 16, 2015 TÓM TẮT - Công nghệ SDN đã trở nên chín muồi và đang là cơ hội để xây dựng các thiết bị mạng mới. Trên cơ sở đó, thiết bị điều khiển lưu lượng mạng VNTC [1] được đề nghị thay thế các tường lửa thế hệ cũ nhằm bảo vệ các mạng LAN, trung tâm dữ liệu IDC và hạ tầng tính toán mây. Chúng tôi nghiên cứu phối hợp các công nghệ khác nhau được thiết kế tối ưu để tăng tốc độ xử lý với giá thành cho sản phẩm hợp lý. I. ĐẶT VẤN ĐỀ Công nghệ mạng nội bộ (LAN) truyền thống được xây dựng để chia sẻ dùng chung tài nguyên và thiết bị trong một tổ chức. Trước hết, LAN giảm đầu tư phần cứng, do chia sẻ các thiết bị ngoại vi như máy in, kết nối internet. Một số ứng dụng và dữ liệu dùng chung cũng được chia sẻ tại các máy chủ, cho phép không phải đầu tư nhiều lần và tiện lợi. Cuối cùng việc bảo hành bảo trì, cấu hình từ xa, được tiết kiệm tối đa. Tuy nhiên, ngay từ đầu, mạng LAN đã không được thiết kế để an toàn. Ngày nay, việc phơi nhiễm mạng LAN đối với các cuộc tấn công phá hoại từ internet là nguyên nhân chính gây ra tổng thiết hại hàng trăm tỷ đô la mỗi năm. Hầu như các tài nguyên quý của các tổ chức đều có trong mạng LAN. Bảo vệ an toàn mạng LAN là một trong những hướng nghiên cứu chính của Viện CNTT và VIEGRID JSC, trong khuôn khổ của dự án phát triển sản phẩm công nghệ cao quốc gia. Hiện nay, đa số mạng LAN sử dụng công nghệ máy chủ Windows trên thế giới được bảo vệ bằng tường lửa của Microsoft Forefront TMG 2010 và tiền thân của nó trước kia là tường lửa ISA. Tuy nhiên từ ngày 14 tháng 4 năm 2015, Microsoft đã tuyên bố ngừng hỗ trợ chung cho sản phẩm này (vốn đã ngừng bán từ năm 2012), mọi trách nhiệm hỗ trợ kỹ thuật mở rộng của Microsoft với sản phẩm này sẽ chấm dứt vào năm 2020. Thực tế này bắt buộc các tổ chức phải đi tìm cho mình một giải pháp mới. Đồng thời đây cũng là một cơ hội thị trường cho các sản phẩm tường lửa. Việc Microsoft rút lui ra khỏi thị trường tường lửa là việc thị trường này đang dịch chuyển sang tường lửa thế hệ tương lai NGF, mà các nhà sản xuất các thiết bị phát hiện và ngăn chặn xâm nhập (IDS và IPS) sẽ có ưu thế cạnh tranh hơn. Tuy nhiên, có lẽ lý do quan trọng trong việc Microsoft từ bỏ thị trường này là trong tương lai, các thiết bị mạng nói chung và thiết bị tường lửa nói riêng sẽ là một thành phần trong bộ điều khiển mạng trong mạng SDN. Bên cạnh đó, công nghệ mạng xác định bởi phần mềm SDN (Software Defined Network) cũng đang khởi động một cuộc cách mạng thực sự về công nghệ mạng trên nền tảng hạ tầng tính toán đám mây và xu hướng ảo hóa thiết bị. Trong bài báo [1], các tác giả đã đề xuất việc sản xuất thiết bị điều khiển lưu lượng mạng VNTC (Viegrid Network Traffic Controller) đáp ứng yêu cầu này của thị trường. Bên cạnh các chức năng tường lửa thế hệ mới, có khả năng phân tích các đợt tấn công hướng ứng dụng, thiết bị mới này có thêm các chức năng điều khiển lưu lượng hướng tới các máy chủ ứng dụng. Các công nghệ cốt lõi được nghiên cứu áp dụng và phát triển, cải tiến để phục vụ cho thiết bị này là: a. Phân tích dữ liệu lớn với tốc độ cao để phát hiện sớm các mẫu hình tấn công. Đồng thời, thu thập và khai thác các cơ sở dữ liệu lớn về mẫu hình tấn công. b. Tối ưu các chức năng của tường lửa thế hệ mới trong giải pháp truy cập internet an toàn cho các mạng LAN V-AZUR [2], trao quyền mã hóa và giải mã cho các giao thức an toàn như https. c. Bắt gói tin để xử lý tốc độ cao ngay tại card mạng. d. Tăng tốc tốc độ xử lý của thiết bị nhờ ứng dụng tính toán GPU, công nghệ nhúng FPGA và một số phần cứng. e. Thiết bị VNTC được thiết kế phù hợp với các chuẩn mới của mạng SDN, nhằm chuẩn bị cho việc thiết bị này tham gia vào cuộc cách mạng công nghệ mạng. Trong bài này chúng tôi báo cáo một số kết quả nghiên cứu các công nghệ liên quan tới việc phát triển thiết bị VNTC. II. TỔNG QUAN VỀ SDN 2.1. Xu hướng đổi mới công nghệ mạng Truyền thông xã hội, thiết bị di động, phân tích dữ liệu lớn và tính toán đám mây (SMAC) đang đòi hỏi thay đổi có tính chất cách mạng đối với công nghệ mạng truyền thống. 5 đ p tr c p n 2 th d c h c 2 c th h h tr r b 02 Trên hạ ộng hóa. Tuy Các nh hòng, thậm c ên các thiết b SDN ch ác thiết bị mạ SDN th hần chuyển d âng cao rất nh .2. Kiến trúc Trong m uật toán best ụng (API) hư a. Bộ A huyển mạch v b. Bộ A ình, thiết lập Ngày n hức năng mạn .3. Ảo hóa ch NFV là hức năng mạ iết bị mạng t Như vậ óa. Hiện nay, a. Giảm ình chỉ triển k b. Giảm ị mạng. c. Rút ủi ro khi thử n d. Linh ớt sự phụ thu NG tầng đám mâ nhiên đã đến à quản trị mạ hí toàn bộ hạ ị có khi mất n o phép làm m ng và đặc biệ ay đổi công ữ liệu. Phần iều. SDN và Ope ọi mô hình -effort tại mỗ ớng Nam và h PI hướng Na à định tuyến. PI hướng Bắ các quy tắc m ay, việc chuy g được ảo hó ức năng mạn phương pháp ng như dịch đ ruyền thống v y với NFV ng NFV đã hình chi phí đầu hai khi có nh chi phí vận ngắn thời gia ghiệm và triể hoạt: Có thể ộc vào phần c HIÊN CỨU ỨN y, việc tính t lúc việc đổi m ng có thể tạo tầng tính toá hiều tuần cho ột cuộc cách t là bộ điều kh nghệ điều kh điều khiển tr n Flow SDN, bộ điều i thiết bị định ướng Bắc [3] m: Sử dụng c: Giao tiếp v ạng. ển sang SDN a, tối ưu và cu g NFV thiết kế, triể ịa chỉ mạng à triển khai c ười ta sẽ có m thành được m tư: Không c u cầu, tránh v hành: Giảm y n triển khai: T n khai công n mở rộng hoặ ứng chuyên d G DỤNG MỘT oán và lưu dữ ới này đã bị ra và cấu hìn n trong thời g một thay đổi mạng đối vớ iển ảo giống iển lưu lượng ong mạng SD khiển SDN tuyến. Bộ điề . một giao thứ ới các trình cho phép các ng cấp theo n n khai và quả (NAT), tường húng bằng ph ột môi trườn ột chuẩn côn ần phải mua iệc đầu tư vào êu cầu về ch riển khai các ghệ mới. c thu hẹp các ụng. SỐ GIẢI PHÁP liệu đã có rấ sự lạc hậu về h rất nhiều m ian ngắn. Tuy . i các trung tâm như đối với m mạng hiện tạ N được tập t được tập trun u khiển SDN c riêng gọi là ứng dụng để cơ quan và d hu cầu. n trị các dịch lửa, phát hiệ ần mềm [4]. g hạ tầng đượ g nghiệp cho các phần cứng các chức năn ỗ, năng lượng dịch vụ mạn dịch vụ theo y CÔNG NGHỆ TR t nhiều đổi m công nghệ mạ áy chủ, máy nhiên, việc dữ liệu, cho áy chủ, máy i của Cisco b rung và tối ư g hóa, đưa ra tập trung đượ Open Flow xây dựng các oanh nghiệp vụ mạng mới n xâm nhập, c ảo hóa hoàn phép: có các chức g chưa cần. và làm lạnh, g không mất êu cầu thay đ ONG THIẾT K ới công nghệ ng cản trở. trạm ảo, tạo quản trị mạng phép việc đi trạm và cơ sở ằng cách tác u hóa. Chính quyết định t c gắn với ha để gửi thông ứng dụng gi sang một hạ trong các mạ dịch vụ tên m toàn từ máy năng định sẵ đơn giản hóa thời gian, chớ ổi, hỗ trợ các Ế THIẾT BỊ ĐIỀ trong việc ảo ra các cơ sở vẫn phải làm ều khiển các m dữ liệu. h phần điều vì vậy hiệu ối ưu toàn cụ i giao diện lập tin điều khiể úp các nhà qu tầng mạng m ng SDN. NF iền (DNS) r chủ, lưu trữ v n như trước, việc triển kh p thời cơ và cải tiến mới U KHIỂN hóa và tự dữ liệu dự bằng tay ạng bằng khiển khỏi năng được c thay cho trình ứng n cho các ản trị cấu ới, với các V tách các a khỏi các à mạng ảo hỗ trợ mô ai và quản giảm thiểu về thiết bị, N 2 v x D s a v c L g v tr m c d c v n c tư ở C g C c d t guyễn Ái Việt, L .4. Vấn đề an Trong m ấn đề an ninh em như một d Truy cậ DoS), toàn b ự cố việc khắ Cho đế n ninh ngay tr Trong c iệc điều khiển ủa các thiết b Vấn đề AN, trung tâm iản, tiết kiệm Tron ới tốc độ cao ung tâm tích ới, chuyển c ũng đề nghị t ựng tập luật m ác máy chủ b Trong t ệ các mạng L hư trong hình Việc ng húng tôi tập t Việc ph ơng đối chậm mức cao nhấ Trên cù húng tôi tiến Chúng iản TinyOS, đ Mô hìn ác gói tin bắ huyển tới mộ Sau khi ụng công ngh Trong g ại vị trí của tư ưu Thị Huy, Lâm ninh mạng ạng SDN, v có thể khắc p ịch vụ bảo vệ p các bộ điề ộ mạng sẽ bị c phục sẽ dễ d n nay vẫn có ong mạng, cá ả hai trường an toàn khỏi ị an toàn truyề là phải có nh dữ liệu tích và an toàn. g tương lai V , có thể chạy hợp dữ liệu, p hức năng mã ách việc lọc, ới. Do đó, V ên trong, vừa hực tế, VNTC AN có chất l vẽ sau [1]. ăn chặn các đ rung vào việc IV ân tích các g . Intel đã ph t. Chúng tôi đ ng một máy, hành bắt gói tôi sử dụng m ể đảm bảo tố h này có ưu đ t được, một t bộ phân tích phân tích các ệ này làm cơ iải pháp V-A ờng lửa trong Thị Sen và Ngu trong SDN ấn đề an ninh hục được các tính sẵn sàng u khiển tập t đánh sập. Việ àng và chỉ m hai cách tiệm ch thứ hai là hợp, môi trườ việc xử lý an n thống cũng ững thiết bị m hợp (IDC) v NTC sẽ hướn trên bất cứ m hòng máy ch và giải mã ph định tuyến g NTC là thiết có chức năng sẽ được phố ượng và hiệu ợt tấn công v sử dụng các g . CHỌN CÔ ói tin có thể át triển một cô ã tiến hành tr chúng tôi m tin trên tường ột máy chủ vớ i ưu về tốc độ iểm là bắt gó mặt sẽ được . Khi phát hiệ V. CÁC C chức năng củ sở để phát tri ZUR, mạng L và tường lửa yễn Văn Nghiệp là quan trọng khó khăn về , toàn vẹn và rung cần an c triển khai c ột lần. cận về việc b bảo vệ ngay t ng thế hệ tươ toàn hoàn to sẽ được tách ới được xây à hướng tới c III. KIẾN g tới một bộ ôi trường nà ủ. Do đó, chú iên trên máy ói tin theo cá bị bảo vệ các tường lửa thế i hợp với giả năng cao. V ào mạng cần iải pháp tăng NG NGHỆ B tiến hành bằn ng cụ bắt gói iển khai việc ô phỏng tươn lửa tại các cổ i cấu hình 16 . i tin khá linh chuyển tiếp t n ra mẫu hình HỨC NĂNG a bộ tường lử ển các chức n AN được chi ngoài. ở mọi chỗ v an ninh từ gố riêng tư đối v toàn hơn. Kh ác quy định a ảo vệ an toàn rong các máy ng lai sẽ bảo àn tương tự v ra và tập trun dựng để hướ ác hạ tầng đám TRÚC CỦA điều khiển lư o. Trước mắt ng tôi đề ngh chủ sang tườn c bộ luật ra k máy chủ ứng hệ mới vừa l i pháp V-AZU ì vậy, VNTC được xử lý nh tốc, phù hợp ẮT GÓI TIN g các ứng dụ tin ngay trên bắt các gói tin g tác giữa m ng 0 và 1. core, 32 GB hoạt và có thể heo các luật tấn công, bộ TƯỜNG L a thế hệ mới ăng tường lửa a làm mạng tr à cần được x c của mạng L ới mọi tài ngu i bộ điều khi n toàn mạng trong mạng L chủ và các th vệ an ninh x ới kiến trúc S g hóa. ng tới giải qu mây với SD VNTC u lượng mạng , VNTC vẫn p ị tập trung m g lửa để tăng hỏi việc phá dụng, các mạ ọc các gói tin R đang triển đã được đề n anh bằng các . TRÊN CAR ng cài đặt trê card mạng là theo kiến trú áy và một tư RAM, có 2 c tùy biến theo của một tườn phân tích sẽ c ỬA VÀ MÃ mã nguồn mở của VNTC. ong và mạng ây dựng ngay AN. An toàn yên và thông ển SDN bị tấ sẽ thống nhất AN: cách th iết bị tính toán ác định bằng DN. Do đó, c yết vấn đề an N trong tươn tập trung ba hải ứng dụn ột số chức nă tính bảo mật t hiện các mẫ ng bên trong theo ứng dụn khai để thàn ghị triển kha giải pháp có D MẠNG n hệ điều hàn dpdk để tăng c như sau [6] ờng lửa che ard mạng, chạ các giao thứ g lửa thế hệ ập nhật lại cá HÓA Suricata [7] ngoài, do đó trong kiến tr an ninh mạng tin được kết n công (chẳn và đồng bộ. ứ nhất là bảo . phần mềm SD ác chức năng ninh hiện tại g lai đảm ph o gồm nhiều g trong mạng ng của tường và linh hoạt. u hình tấn cô , bằng cách gi g. h một bộ giả i theo kiến tr giá thành hợp h. Do đó tốc tốc độ xử lý . chắn cho một y trên hệ điều c ở các tầng mới, mặt khá c bộ luật. chúng tôi quy VNTC sẽ đượ 503 úc. Do đó, cần được nối [5]. g hạn bởi Khi xảy ra vệ an toàn Sec, tách điều khiển của mạng ải tính đơn chức năng LAN, các lửa thế hệ Chúng tôi ng và xây ảm tải cho i pháp bảo úc thiết kế lý. Do đó, độ có thể các gói tin máy chủ. hành tinh khác nhau. c sẽ được ết định sử c áp dụng 5 lử c m tr c d đ c c h n c v g 04 Hiện tạ a ở tầng thấp ần có kết nối Chúng ã hóa cho cá ường hợp cần Trên th huyên dụng, oanh nghiệp v ược sử dụng. VNTC ầu thay thế tư ác công nghệ a. Chọ ệ điều hành m ăng nhúng đư b. Sử d c. Sử d d. Chu Hiện na ủa các gói tin Trong t ào VNTC. Do việc iao thức an toà Chúng t Kết quả NG i, V-AZUR áp . Tuy nhiên, mạng, do đó c tôi đã xem xé c giao thức a nhiều máy c ế giới hiện n do đó giá thà à tổ chức, đặ nhằm đáp ứn ờng lửa của M tăng tốc VNT n một nhân h ã nguồn mở ợc vào các ch ụng công ngh ụng công ngh yển một số ch y, chúng tôi với tốc độ ca hời gian qua, mã hóa được n như https. C ôi thử nghiệm được trình b HIÊN CỨU ỨN dụng một ch trong một số ần sử dụng c t thiết kế VNT n toàn như h hủ có hiệu nă ay, việc xây nh khá cao (k c biệt tại Việt g các nhu cầu icrosoft và t C theo các hư ệ điều hành t gốc Linux đã ip chuyên dụ ệ Hadoop, ph ệ tính toán G ức năng lên x đã làm chủ đ o. có một số kế VII. ỨNG chuyển về VN húng tôi tiến h so sánh thời ày trong các b B G DỤNG MỘT ính sách an t trường hợp, c ác chức năng C cho phù h ttps cũng đư ng lớn tham g VI. CÁC GIẢ dựng các bộ hoảng 1-2 tr Nam, không cấp thiết của ường lửa ASA ớng sau đây: ối thiểu và tố được tối ưu ng hoặc sử dụ ân tích dữ liệ PU để tăng tố ử lý ngay trê ược công ngh t quả trong vi DỤNG CÔ TC để tiến h ành nghiên cứ gian tính toán ảng sau: ảng 1. So sánh SỐ GIẢI PHÁP oàn an ninh r hẳng hạn khi tường lửa ở tầ ợp với kiến tr ợc chuyển về ia vào việc đi I PHÁP TĂ điều khiển h iệu USD một tới 10% các c các hạ tầng của Cisco. V i ưu hóa dần hóa, với quy ng FPGA. u song song t c tính toán tạ n card mạng đ ệ Hadoop và ệc tăng tốc nh NG NGHỆ T ành kiểm soát u việc sử dụn cho mã hóa v thời gian mã hó CÔNG NGHỆ TR ất chặt chẽ do phát triển cá ng ứng dụng. úc của VAZU VNTC. VNT ều khiển lưu l NG TỐC iệu năng cao bộ điều khiể hức năng của mạng của cơ ới mức giá t dần: Qua ngh mô cực nhỏ heo thuật toán i các thiết bị V ược lập trình đang tiếp tục ờ ứng dụng t ÍNH TOÁN lọc ở tầng ứn g GPU để tăng à giải mã dùng a trên CPU và ONG THIẾT K đó chỉ sử dụ c ứng dụng W R. Thậm chí C cũng có c ượng mạng. đều sử dụng n). Tuy nhiên các bộ điều k quan doanh n hành phù hợp iên cứu chúng gọn, tốc độ tố Map&Reduc NTC. nhúng FPGA phát triển vi ính toán GPU GPU g dụng đối vớ tốc cho việc m thuật toán A GPU Ế THIẾT BỊ ĐIỀ ng các chức n eb, hoặc các , việc chuyển hức năng ph các phần m , trong hạ tần hiển này là c ghiệp, trước , chúng tôi sẽ tôi đã chọn t, chạy ổn đị e. . ệc phân tích d , có triển vọn i các gói tin s ã hóa trên VN ES trên CPU U KHIỂN ăng tường ứng dụng chức năng ân tải, cho ềm nhúng g của các ần thiết và mắt là nhu phát triển TinyOS là nh, có khả ữ liệu lớn g áp dụng ử dụng các TC. và GPU. N c th c [ [ [ [ [ [ [ [ [ [ guyễn Ái Việt, L VNTC ủa Cisco, bằn ể giảm giá th SDN cũ huyển sang h 1] Nguyen A the clou Technolo 2] Công ty Sở hữu tr 3] Open Ne 4] ETSI Ne 5] S.Scott-H 6] Nguyễn Luận án K 7] Lưu Thị doanh ng 8] Giorgos performa Symposiu 9] S. Singh and Netw 10] Lâm Thị học Thái ưu Thị Huy, Lâm là một thiết b g các bổ sung ành của thiết ng đem lại n ạ tầng mạng v i Viet and N d computing gies 2014, Th VIEGRID, T í tuệ cấp (201 tworking Fou twork Functio ayard, G.O-C Văn Nghiệp, ỹ sư CNTT, Huy, "Nghiê hiệp", Luận á Vasiliadis, S nce network m on Recent and S. Sikala ork Security Sen, Tìm hiểu Nguyên (201 Thị Sen và Ngu Bả ị cần thiết hiệ các tính năn bị. hiều công cụ ới công nghệ go Doan Lap infrastructur ai Nguyen (2 ài liệu hướng 5). ndation Softw ns Virtualisa allaghan and Nghiên cứu v trường Đại h n cứu các ch n Kỹ sư CNT piros Antona intrusion det Advances in ri, A Survey o 9 (2009), 1. về GPU Com 5). yễn Văn Nghiệp ng 2. So sánh VIII n nay có khả g của tường lử và tư tưởng t mới. IX. TÀ , Application e, in Procee 014). dẫn sử dụng are-Defined tion - Introdu S. Seizer, A s iệc ứng dụng ọc CNTT&TT ức năng của T, trường Đại tos, Michalis ection using Intrusion Det f Cyber Atta puting và ứn thời gian giải m . KẾT LUẬN năng thay th a thế hệ tươn hiết kế mới, đ I LIỆU THA of SDN in th dings of In giải pháp V-A Networking: T ctory White P urvey: SDN s phần mềm ng , Đại học Thá tường lửa thế học CNTT& Polychronak graphics pro ection (2009). ck Detection S g dụng, Luận ã trên CPU và ế các tường l g lai. Việc tă ể VNTC có t M KHẢO e Information ternational S ZUR (2012) he New Nor aper (2012). ecurity IEEE uồn mở DPD i Nguyên (20 hệ mới Suric TT, Đại học T is, Evangelo cessors in Pr ystems Intern án Kỹ sư CN GPU ửa của Micro ng tốc bằng c hể có tương l Security Pro ymposium o , Bằng sáng c m for Networ Communicat K để theo dõ 15). ata và ứng d hái Nguyên ( s P, Sotiris oceedings of ational Journ TT, Trường Đ soft đã ngừng ác giải pháp p ai ứng dụng tection for th n GIS and hế được bảo ks White pap ion Magazine i lưu lượng m ụng trong mạ 2015). Ioannidis, Gn the 11th In al of Comput ại học CNTT 505 hỗ trợ và hù hợp có lâu dài khi e IDC and Advanced hộ do Cục er (2012). (2013). ạng SDN ng nội bộ ort: High ternational er Science &TT, Đại