Средство определения изменения конфигурации SDN сети
Рассмотрение способов защиты SDN сетей. Комплексный анализ текущей конфигурации сети для определения изменений и поддержания доверенного состояния. Недостатки алгоритмов для применения их к SDN сетям. Адаптация решений к исходным условиям задачи.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 07.03.2019 |
Размер файла | 537,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Новосибирский национальный исследовательский государственный университет
Средство определения изменения конфигурации SDN сети
Павлов Алексей Владимирович
студент, кафедра компьютерных систем
Безопасность SDN сети
Сегодня, использование информационных технологий является одним из ключевых моментов при создании полностью автоматизированных предприятий. При этом для сети отводится очень важная роль. Такие сети должны быть полностью защищены от непредвиденных сбоев или угроз.[2]
SDN сеть -- сеть передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программно. Ключевые принципы SDN -- разделение процессов передачи и управления данными, централизация управления сетью при помощи унифицированных программных средств, виртуализация физических сетевых ресурсов.
Программно-определяемые сети (SDN) благодаря автоматизации рабочих процессов с применением правил обеспечивают ускоренное развертывание и доставку приложений в организациях при значительном сокращении затрат на информационные технологии. Технология программно-определяемых сетей служит платформой для архитектур облачных сред благодаря автоматизированной доставке приложений по запросу и масштабируемой мобильности. Программно-определяемые сети усиливают преимущества виртуализации центров обработки данных, способствуя расширению выбора ресурсов, их экономичному использованию, сокращению затрат на внедрение и эксплуатацию инфраструктуры.
Целью разработки такой технологии как Software Defined Network(SDN или ПКС), является упрощение основных сетевых компонентов, а также, за счет этого, снижение их стоимости и сложности обслуживания. Одними из самых важных моментов является увеличение пропускной способности канала передачи данных и возможность централизованного управления сетью. За счет этого у нас значительно упрощается динамической изменение сети, поскольку всеми изменениями руководит оператор на едином контроллере.
Ключевая идея - это создание специального программного обеспечения, позволяющего отделить управление сетевым оборудованием от уровня передачи данных
В архитектуре SDN различают плоскости данных, управления и приложений(см рис 1). На уровне приложений, напрямую сообщается SDN контроллеру о требованиях к сети и её поведении, при помощи NBI-интефейса. Помимо этого, здесь запрашивается информация от контроллера, позволяющая ему иметь целостный взгляд на сеть в целом.
Рисунок 1
Уровень передачи данных состоит из устройств, называемых SDN datapath, которые представляют из себя сетевое устройство, обеспечивающее перенаправление трафика и нескольких функций обработки трафика.
Взаимодействие между SDN-контроллером и SDN Datapath происходит по протоколу OpenFlow [4], поэтому очень часто такие устройства также называют OpenFlow-устройствами или OpenFlow- коммутаторами. SDN-интерфейс между плоскостями управления и данными (CDPI) является интерфейсом, определенным между SDN- контроллером и SDN Datapath. Данный интерфейс должен обеспечивать как минимум следующие возможности:
Программное управление всеми операциями перенаправления.
Получение всевозможных статистических отчетов от OpenFlow-коммутаторов.
Оповещения о событиях.
Предполагается, что CDPI будет реализован открытым, не зависимым от производителя и интероперабельным способом. Протоколом, который обеспечивает взаимодействие плоскости управления и плоскости данных, является протокол OpenFlow.
SDN Northbound интерфейсы (NBI) являются интерфейсами между SDN- приложениями и SDN-контроллерами. Они предоставляют абстрактный взгляд на сеть и непосредственно обеспечивают необходимое сетевое поведение. Они могут быть реализованы на любом уровне абстракции и с различным набором функциональностей.[1]
Рассмотрим проблему изменения конфигурации на примере обычных и SDN сетей. На рисунке 2 представлена возможная схема сети, где взаимодействие серверов 19 и 20, находящихся в одной стойке, будет доступно для видимости серверов 21 и 22 при наличии широковещательных пакетов и отсутствии правильной настройке средств разграничения доступа, таких, как например, vGate.
Рисунок 2
Очевидно, обеспечение безопасности не должно ограничиваться лишь установкой специализированного оборудования (брандмауэров или систем для унифицированного управления угрозами -- Unified Threat Management, UTM), поскольку оно позволяет защитить только внешний периметр сети. Сеть должна быть устойчива к любым целенаправленным или случайным действиям, совершаемым пользователями внутри сети по невнимательности, из-за незнания внутренних регламентов или умышленного игнорирования сложных и часто запутанных процедур доступа.[3]
В работе практически любой сети неизбежно изменение её топологии или конфигурации. Это может быть: запланированная смена или переконфигурация оборудования, выход оборудование из строя, а также воздействия злоумышленника. При изменении конфигурации топологии сети теряется доверенное состояние, в котором сеть функционировала и мы имеем новую топологию или новую конфигурацию, при которой нам либо известно о произошедших изменения, либо нет.
Имея недоверенное состояние мы не можем гарантировать дальнейшую безопасную работу с сетью, до осуществления повторной проверки на доверенность конфигурации. Таким образом нам необходимо провести оперативную оценку произошедших изменений, для принятия решения, при котором мы сможем продолжить работу с сетью. Это может быть как изменение параметров средств безопасности, так и простое подтверждение о том, что данная топология и конфигурация сети по-прежнему безопасны, для дальнейшего функционирования сети.
Аналогичная ситуация характерна не только для традиционных сетей, но и также для сетей SDN. Рассмотрим подобное взаимодействие на рисунке 3.
Рисунок 3
Здесь мы видим, что передача данных в SDN сети возможна по нескольким каналам. При выходе их строя одного из маршрутизаторов мы не можем гарантировать, что при переходе на другой канал передачи данных мы можем гарантировать доверенное состояние сети, при котором возможна дальнейшая безопасная работа с сетью.
При использовании средств защиты, нам никто не может гарантировать, что они не имеют своих недостатков, недорабток или бэкдоров, что заставляет администраторов сети использовать только комбинации средств защиты от разных производителей, поскольку несколько независимых источников дают более точную оценку безопасности по одной и той же сети. Имея одни и те же потоки данных, два разных средства должны получить одинаковую итоговую оценку состояния сети.
Для сохранения безопасности SDN сети мы хотим использовать специальный многофункциональный программно-аппаратный комплекс, способный выполнять роли от обычного зеркалирования трафика до ролей систем обнаружения утечек и брандмауэров, в зависимости от загруженной в него функциональности, способной динамически изменяться в небольшие промежутки времени. Данные изменения будут загружаться по специальному порту с сервера безопасности, и после чего автоматически устанавливаться в течении нескольких минут. Устройство устанавливается в разрыв между коммутаторами SDN и способно отслеживать текущую конфигурацию сети. Это устройство предназначено для поддержания доверенного состояния сети.
Рисунок 4
Устройства безопасности располагаются между коммутаторами таким образом, что они абсолютно не заметны для основной сети(см рисунок4). они имеют по одному выходу на каждый коммутатор и третий выход для связи с сервером безопасности, который является управляющим для наших устройств безопасности. На нем хранится вся информация о топологии сети и конфигурация каждого устройства безопасности.
В качестве концепта устройства будет использоваться компьютер Raspberry Pi, имеющий 3 ethernet выхода, помещенный в пылевлагозащитный корпус. Unix-подобная операционная система позволит ограничиться только необходимым набором функциональности ОС, и позволит сократить расходы памяти.
Программное обеспечение, устанавливаемое на операционную систему делится на два вида- это управляющие программы и прикладное программное обеспечение по обеспечению защиты сети.
Из управляющих программ выделяются средство определения изменения топологии сети и средство для изменения конфигурации устройства.
Рассмотрим подробнее схему работы средства определения изменения топологии сети представленную на рисунке 5.
Средство определения изменения топологии сети
Средство выполняет сравнение текущей модели и новой просканированной модели. На основе полученных результатов выдается список изменений состава и/или характеристики сети (в том числе пропускная способность и загруженность канала).
Сравнение выполняется путем сопоставления графов достижимости сети. Поочередно сравниваются состояния узлов (вершин) и линий связи (ребер) графов. В случае, когда находятся различия - новый граф отправляется в БД возможных состояний сети. Далее граф отправляется на АРМ офицера информационной безопасности для дальнейшего рассмотрения.
Если изменений не было обнаружено, работа продолжается в штатном режиме.
Рисунок 5. Схема работы средства определения изменения топологии сети
Автоматизированное средство построения модели сети
Задачей данного модуля является составление модели сети на основе опроса доступных для данного устройства безопасности SDN узлов.
С устройства посылаем broadcast запрос с обоих портов.
Эти две линии связи будут являться ребром нашего графа, а узлы, которые нам ответили вершинами.
В процессе построения модели выделяем следующие аспекты: достижимость узла, время отклика, пропускная способность, текущая нагрузка.
После составления модели, она передается в средство определения изменения топологии сети.
База данных возможных топологий сети
В базе хранятся все встречаемые ранее состояния топологии сети. В соответствие им идут конфигурации Устройств безопасности SDN.
АРМ офицера информационной безопасности
АРМ офицера информационной безопасности занимается разрешением вопросов о текущей конфигурации Устройств безопасности SDN
После получения нового графа состояния сети, конфигурация устройств возможна в нескольких режимах в зависимости от масштабов изменения графа.
В случае незначительных изменение производится автоматическая переконфигурация или подтверждение того, что изменение конфигурации не требуется.
Если изменения значительные и подобный граф уже встречался, администратор может только подтвердить, что это аналогичный случай и переконфигурирование сети нужно выполнить соответственно.
Если произошли значительные изменения и подобный граф не встречался, то администратор вручную устанавливает новую конфигурацию.
Средство для изменения конфигурации устройства
Задачей данного модуля является получение информации от сервера безопасности SDN, принятие данных прошивки и переконфигурации устройства. При изменении топологии сети, сервер безопасности получает необходимые данные и принимает решение о дальнейших функциональных особенностях каждого модуля. Он высылает необходимые конфигурации устройств безопасности в виде прошивок, которые в дальнейшем будут установлены данным модулем.
Представленное устройство будет способно обеспечить безопасность SDN сети на уровне передачи данных вне зависимости от внешних факторов. В данном случае это позволит предоставить независимую оценку безопасности сети. При переконфигурации сети все необходимые изменения будут происходить в автоматическом или полуавтоматическом режиме, таким образом, что доверенное состояние сети не будет нарушено.
Библиография
защита сеть алгоритм
1. Pandey S. et al. Ip network topology discovery using snmp //Information Networking, 2009. ICOIN 2009. International Conference on. - IEEE, 2009. - С. 1-5.
2. Nazir F. et al. Constella: a complete IP network topology discovery solution //Managing Next Generation Networks and Services. - Springer Berlin Heidelberg, 2007. - С. 425-436.
3. Harrington D., Wijnen B., Presuhn R. An architecture for describing simple network management protocol (SNMP) management frameworks. - 2002.
4. Li C. S., Liao W. Software defined networks //IEEE Communications Magazine. - 2013. - Т. 51. - № 2. - С. 113-113.
5. Sezer S. et al. Are we ready for SDN? Implementation challenges for software-defined networks //Communications Magazine, IEEE. - 2013. - Т. 51. - № 7. - С. 36-43.
6. Kreutz D., Ramos F., Verissimo P. Towards secure and dependable software-defined networks //Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking. - ACM, 2013. - С. 55-60.
7. Shin S. et al. FRESCO: Modular Composable Security Services for Software-Defined Networks //NDSS. - 2013.
Размещено на Allbest.ru
Подобные документы
Рассмотрение конфигурации сети Frame-Relay. Особенности распределения адресного пространства. Способы определения IP адреса интерфейсов маршрутизаторов. Методы настройки средств суммирования адресов. Знакомство с этапами проектирования сети OSPF.
курсовая работа [486,7 K], добавлен 23.04.2017- Разработка алгоритмов и программ для определения сходства семантических сетей на основе их сложности
Семантические сети как модели представления знаний. Основные методы определения сходства графовых моделей систем. Метод решения задач определения сходства семантических сетей на основе их сложности. Разработка алгоритмов и их программная реализация.
дипломная работа [1,3 M], добавлен 17.12.2011 Обеспечение отказоустойчивости компьютерной сети при эксплуатации. Требования к проектируемой сети в плане ее назначения и типа настраиваемых серверов. Алгоритм установки требуемого программного обеспечения и настройка конфигурации компьютерной сети.
курсовая работа [1,9 M], добавлен 11.04.2019Организация компьютерной сети по указанной диаграмме топологии. Задание в настройках конфигурации коммутатора паролей для защиты доступа к командной строке. Выполнение тестирования конфигурации путем подключения неопределенных узлов к безопасным портам.
лабораторная работа [1,1 M], добавлен 11.10.2013Разработка локальной вычислительной сети для Тверского государственного университета. Топологии и технологии для реализации компьютерных сетей. Составление конфигурации сетевого оборудования. Выбор сетевых устройств для компьютерной сети. Структура сети.
курсовая работа [3,0 M], добавлен 23.06.2012Подбор и описание компонентов, обеспечивающих защиту информации, активов компании, для дальнейшего построения на их основании надежной и защищенной корпоративной сети на примере сети "JDSONS". Аудит и контроль изменений конфигурации информационных систем.
курсовая работа [49,6 K], добавлен 11.09.2012Принцип деятельности ООО "МАГМА Компьютер". Особенности предметной области. Цели создания компьютерной сети. Разработка конфигурации сети. Выбор сетевых компонентов. Перечень функций пользователей сети. Планирование информационной безопасности сети.
курсовая работа [2,3 M], добавлен 17.09.2010Понятие объектов конфигурации как составных элементов, из которых складывается прикладное решение. Состав основных объектов конфигурации, поддерживаемых технологической платформой "1С: Предприятие", и их характеристика. Анализ свойств конфигурации.
презентация [1,9 M], добавлен 12.06.2013Обоснование выбора оптимальных сетевых решений на базе многозадачных операционных систем для построения компьютерной сети стандартов Fast Ethernet с учетом необходимых требований к сети. Методы расчета спроектированной конфигурации сети на корректность.
курсовая работа [3,1 M], добавлен 06.12.2012Типовые топологии информационных сетей, методы доступа. Выбор аппаратных средств информационной сети. Правила построения сегментов Fast Ethernet и определение структуры сети, оценка конфигурации. Разработка базы данных, выбор программного обеспечения.
дипломная работа [279,8 K], добавлен 06.01.2012