بخشی از مقاله
چکیده
امنیت شبکه یک موضوع بسیار مهم در شبکه نرمافزاری تعریف شده - SDN - است. که احتمالا یکی از ویژگیهای کلیدی برای موفقیت و توسعه در آیندهی فناوری SDN است. در این مقاله، ما یک فایروال حالتمند واکنشی SDN را ارائه میدهیم. راه حل ما با معماری SDN ادغام شده است. برنامهی کاربردی کانکشنهای TCP را مطابق با سیاستهای امنیتی شبکه فیلتر میکند. آن حالتهای مختلف ارتباطات را ضبط کرده و پردازش میکند و تغییر حالتهای احتمالی را به رولهای Open Flow ترجمه میکند.
این طرح از یک رفتار واکنشی استفاده میکند تا تعداد رولهای Open Flowرا در دستگاههای سطح داده کاهش دهد و برخی از حملات انکار سرویس مانند SYN Flood را نیز کاهش میدهد. فایروال، ماشین حالت محدود پروتکلهای شبکه را پردازش میکند تا از ترافیک بلا استفادهای که مطابق با شرایط تغییر حالتها نیست، صرفنظرکند. به لحاظ کارایی هزینه، پیشنهاد ما تقویت کردن رفتار دستگاههای سازگار بهOpen Flow میباشد که موجب میشود آنها مانند فایروال حالتمند عمل کنند.
بنابراین، سازمانها نیازی به صرف هزینه و منابع در خرید و نگهداری فایروالهای معمولی ندارند.علاوه بر این، ما یک ارکستراتور را به منظور گسترش و تقویت سیاستهای امنیتی در کل شبکه با یک استراتژی ریزدانه را پیشنهاد میکنیم. این بلافاصله قادر به تامین امنیت شبکه از طریق فیلتر کردن ترافیک مربوط به یک برنامهی کاربردی، یک گره، یک زیرشبکه متصل به دستگاه سطح داده، یک زیر شبکه SDN که به یک کنترل کننده متصل است، ترافیک بین لینکهای مختلف، و غیره میباشد. استقرار رولهای فایروال مطابق با یک دید شبکهای جامع، که توسط سطح مدیریتی ارائه شده است، انعطاف پذیر میشود.همچنین، این راه حل، پیرامون امنیتی داخل شبکه را با تامین امنیت دسترسی بین گرههای داخلی توسعه میدهد.
مقدمه
شبکههای کلاسیک به دلیل عدم انتزاع و ناهمگونی زیرساختهای شبکه پیچیده هستند. آنها در شرایط استقرار، نگهداری و پیکربندی مجدد پرهزینه میباشند. همچنین، ساختار آنها به صورت ایستا تعریف شده که باعث میشود تأمین کردن و ارتقاء دادن آنها طاقت فرسا باشد. در این زمینه، شبکه ی نرم افزاری تعریف شده - SDN1 - ، یک معماری جدید شبکه [Kreutz ,2014] ارائه میدهد تا با چالشهای شبکههای مجاز2 مواجهه کند. این براساس جداسازی فیزیکی سطح داده3 و سطح کنترل4 است.
معماری SDN در 2 لایه طراحی شده است.سطح داده مسئول انتقال ترافیک شبکه میباشد که از مجموعه دستگاههای سازگار SDN متصل به یکدیگر طراحی شده است. شبکههای اطلاعاتی که از کنترلر و برنامههای کاربردی5 تشکیل شده است در سطح سطح کنترل تعبیه شده است.که لایه سطح کنترل مسئول پیکربندی شبکه و برنامه نویسی برای دستگاههای سطح داده میباشد. همچنین یک رابط به برنامههای کاربردی شبکه ارائه میدهد تا آنها را قادر به دستکاری لایه سطح داده بکند. آنها با کنترلر به وسیلهی یک Northbound API تعامل میکنند که به انها اجازه میدهد تا دادههای شبکه را جمع آوری کرده و دستورات آنها را از طریق یک رابط خاص به کنترلر انتقال دهند.
کنترلر با سطح داده از طریق یک southbound API استانداردسازی شده تعامل میکند.
Open Flow[[The Open Networking Foundation, OpenFlow Switch Specification ,2014] , [Lara et al ,2014]] رایج ترین رابط است. Open Flowکنترلر را قادر میسازد تا رول6هایOpen Flow را در لایه سطح داده نصب کند و آنرا را از طریق Flow Tableهای خودش مجددا برنامه ریزی کند. Flow Table مجموعهای از ورودیهای Flow است. هر ورودی یک ترکیبی از فیلدهای تطبیق داده شده است، یک دستورالعمل شیوهی اجرای مجموعهای از اقدامات و تعداد زیادی از شمارندهها را به منظور نگه داشتن آمار ترافیک توصیف میکند. دستگاههای سطح داده ترافیک را مطابق با جداول Open Flowخودشان پردازش میکنند.
هدرهای پکت 7 ورودی، با فیلدهای تطبیقی مقایسه میشوند. در صورتی که یک تطابقی بین آنها وجود داشته باشد دستورالعمل اجرا می شود. ایضا، کنترلر میتواند ورودیهای Flow را اضافه، ویرایش و حذف کند. Open Flowشمارندهها را جمع آوری میکند و ممکن است پکتهای محصور شده - کپسوله سازی شده - در قالب Open Flowرا از دستگاههای سطح داده دریافت کند تا آنها را پردازش کند.
به طور بالقوه، SDN انتزاعهای پیشرفتهای [Jammal et al , 2014] را ارائه خواهد داد که منجر به اضافه کردن قابلیت دید به برنامههای کاربردی شبکه و خدمات و تسهیل مدیریت شبکه میشود و همچنان که به تجربیات کاربر میافزاید، سطوح شفافی8 از مقیاس پذیری را نیز ارائه خواهد داد. آن در هزینههای فراهم سازی شبکه ، استقرار و نگهداری صرفه جویی میکند. علاوه بر این، ظرافت شبکه را با کاهش عملکرد مجازی سازی شبکه و اتوماتیک کردن پیکربندی شبکه، بالا خواهد برد.
امنیت SDN چالش برانگیز و دوطرفه [Schehlmann et al , 2014] است. در یک طرف، SDN ،توسعه و یکپارچه سازی انعطاف پذیری، کارآیی و راه حلهای امنیتی قابل کنترل را تسهیل میکند که برنامههای امنیتی را با دادن دیدگاه جامع شبکه، قدرتمند میسازد.درحالیکه در طرف دیگر، آسیب پذیریهای جدید شبکه را معرفی میکند که برخی از آنها میتوانند تبعات بزرگی در شبکه داشته باشند.به عنوان مثال، نفوذ به کنترلر، کل شبکه را تحت کنترل مهاجم در می آورد.
ما فایروال حالتمند9 واکنشی SDN را پیشنهاد میکنیم، تا از دسترسی غیرمجاز به شبکه محافظت بکند. فایروال SDN مزایای بیشتری در مقایسه با فایروالهای سنتی ارئه میدهد. چونکه آنها بخاطر اینکه سطح داده را با رفتار فایروالی بالا میبرند، مقرون به صرفه هستند. بنابراین، نیاز به دستگاههای فایروال سلسله مراتبی زیادی ندارند و همچنین آنها انعطاف پذیر هستند چونکه کنترلر میتواند در هر زمان آنها را پیکربندی مجدد کرده و در هر مکان مستقر کند. آنها یک رابط مدیریتی برای مدیران ارائه میدهند تا وظایفشان را تسهیل دهد. همچنین، آنها به مدیران این امکان را میدهند تا سیاستهای امنیتی10 شبکه را در دستگاههای سطح داده به صورت کارآمد اعمال کنند.
بسیاری از فایروالهای SDN بدون حالت 11، در بستر SDN طراحی شدهاند که ما ابتدا یک SDN فایروال حالتمند عملیاتی را ارائه میدهیم. علاوه بر آن، راه حل ما میتواند در کانکشنهای12 بدون حالت نیز به کار گرفته شود.
فایروال ارائه شده در حالت واکنشی برحسب الگوریتم کلی رفتار میکند . سپس هر پروتکل شبکه را به ورودی ماشین حالت محدود - FSM - میبرد و ماشین فایروال مناسبی را تولید میکند. در هر انتقال، مجموعهای از رولهای Open Flowرا برای استخراج اعمال متناظر تشکیل میدهد. ما برای پردازش ترافیک TCP، ابتدا پیاده سازی آن را پیشنهاد میکنیم . که ابتدا پکت همگام سازی کانکشن را دریافت کرده و مجاز بودن آن پکتها را در مقابل سیاستهای امنیتی بررسی کرده و سپس آنها را اعتبار سنجی میکند، رفتار واکنشی فایروال موجب صرفه جویی در فضای flow table در دستگاههای سطح داده با کاهش تعداد رولهای نصب شده میشود. علاوه بر این، فایروال ترافیک را برحسب حالتهای کانکشن ها پردازش می کند. برای هر حالت، کانکشن، تنها ترافیک متناظر با انتقال یافته از این حالت را دریافت میکند. این مکانیزم یک قابلیتی را فراهم میسازد که ترافیک را به تعاملات مجاز محدود میکند و موجب کاهش حملات جلوگیری از سرویس13 مانند Syn Flood میشود.
راه حل ما بطور کامل با معماری SDN ادغام شده است. ما تمام مزایای الگوی SDN را در اصطلاحات اتوماتیک سازی ، انعطاف پذیری، انتزاع و کارآیی پوشش دادیم.
