Разделы: Информационные технологии
Размещена 12.02.2016. Последняя правка: 11.02.2016.
Просмотров - 4736

Протокол OpenFlow, его применение и оценка безопасности

Телемтаев Руслан Андреевич

Московский государственный университет информационных технологий, радиотехники и электроники

Студент

Казаков Сергей Константинович, студент, Московский государственный университет информационных технологий, радиотехники и электроники. Ярлыкова Светлана Михайловна, кандидат технических наук, заведующая кафедры информационной безопасности, Московский государственный университет информационных технологий, радиотехники и электроники

УДК 004.7

1. Введение

Развитие технологий привело к необходимости обработки больших объемов информации. В последнее время изменилась концепция обработки информации и сеть становится главным ограничителем развития вычислительных систем. Причина заключается в том, что сеть является статичной. Существующие методы адресации, логического деления и способы конфигурирование соответствующего оборудования в подобных сетях становится неэффективными. Для решения данных проблем была разработана концепция SDN (Software Defined Networks). Архитектура SDN появилась в Стэндфордском университете, когда понадобилось разработать сеть для выполнения локальных экспериментов, а строить отдельную сеть было дорого.

2. О протоколе OpenFlow

OpenFlow является связующим звеном, помогающим разработчикам сетевых приложений справиться с особенностями сетевого оборудования конкретного производителя. Часто протокол OpenFlow называют сетевой операционной системой, приходящей на помощь в работе с сетевой инфраструктурой, как обычные операционные системы, призванные упростить работу между пользователем и аппаратной частью компьютера. В протоколе OpenFlow используется концепция потоков для описания проходящего трафика. Все коммутаторы, поддерживающие данный протокол, имеет таблицу потоков, разбитую на три части: поля соответствия, счетчики и инструкции. Поля соответствия помогают определить для каждого пакета, проходящего через коммутатор, к какому потоку данный пакет относится. OpenFlow убирает грань между 2, 3 и 4 уровнями сетевой модели OSI и пакет можно выбрать на основании полей 2 уровня (mac-адрес, номер vlan), 3 уровня (ip-адрес) и 4 уровня (tcp или udp (номер порта). Поля счетчиков позволяют реализовывать мониторинг и получать статистику сети в реальном времени. [2,3]

3. Интерфейс протокола Openflow

OpenFlow представляет собой API, которое упрощает программирование работы сети, а также задание правил маршрутизации пакетов, балансировки нагрузки и управления доступом. В данный API входят два компонента: набор глобальных интерфейсов, на основе которых можно создавать высокоразвитые инструменты управления и программный интерфейс для контроля пересылки пакетов через сетевые коммутаторы.

4. Преимущества протокола OpenFlow

Протокол OpenFlow включает в себя следующие преимущества:

• Производительность и стоимость. Протокол OpenFlow дает возможность перенаправлять все свои ресурсы на ускорение трафика, так как на коммутаторах отсутствует нагрузка по обработке тракта управления.
• Реализация новых функций. OpenFlow позволяет добавлять новые функции к имеющейся сетевой архитектуре.
• Безопасность и администрирование. На общем контроллере OpenFlow, администратор имеет возможность наблюдать за всеми компонентами и процессами в едином представлении, за счет чего повышается удобство управления, обеспечения безопасности и выполнения других задач, это дает возможность администратору видеть все потоки трафика, что облегчает обнаружение вторжения и своевременное выявление проблем. OpenFlow позволяет обозначать приоритеты между различными типами трафика и разрабатывать правила реагирования сети при возникающих проблемах. В будущем технология OpenFlow предполагает обеспечение функции создания виртуальных сетевых топологий — построение виртуальных локальных или глобальных сетей без физического воздействия на сеть. Для этого предусмотрена возможность создания централизованной виртуальной плоскости управления, обеспечивающей функции сетевого администрирования. Данная функция может быть особенно полезной для управления ЦОД, так как с помощью контроллера OpenFlow сетевой администратор может создать виртуальную локальную сеть для каждого нового заказчика, и при этом не придется вносить изменения в отдельный коммутатор или в отдельную группу коммутаторов определенного поставщика.

Так как в протоколе OpenFlow вся функциональность управления реализуется на одном виртуальном сервере, взломать такую сеть будет легче. OpenFlow удобно использовать в тех случаях, когда вопрос безопасность не стоит на первом месте. [1,3,4]

При правильно сформированной распределенной атаке можно перегрузить контроллер запросами, тем самым осуществив DoS (Denial of Service) атаку контроллера, что при определенных условиях скажется на работоспособности сети. Тут следует учитывать множество возникающих факторов, каждый из которых по отдельности не является критическим, но вместе они дают ряд проблем. Например, если при балансировке нагрузки коммутатор настроен так, что на каждый входящий TCP-пакет с установленным флагом SYN будет отправляться запрос на контроллер, то даже абсолютно легальные запросы могут устроить отказ в обслуживании контроллера. Однако, если реализовывать разворачивание правил на коммутаторе немного другим способом, то этого не произойдет. Например, если вместо создания потока для каждого нового tcp-пакета с флагом SYN, осуществлять проверку по совершенно другим полям, а именно, создавать поток на основе сети, к которой принадлежит IP-адрес клиента, или на основе адреса назначения, тем самым реализуя классическую систему маршрутизации. Таким же образом можно организовать балансировку на основе географической локации клиента. Поскольку существуют базы данных, по которым можно определить, к какому городу принадлежит IP-адрес, то контроллер позволит создать поток, который будет направлять запросы из определенной области на один и тот же географически близкий сервер. [6,7]

5. Заключение

Если OpenFlow будет развиваться, как и задумано, это позволит более рационально использовать ресурсы сетевого оборудования, эта технология может быстро завоевать популярность. Преимущества OpenFlow – очевидны. Это централизованное управление, мониторинг и удобный сбор статистики, независимость от технологий конкретного производителя, упрощение модернизации и обслуживания сети. Однако все вышеперечисленное не повод отказываться от разрабатываемых годами подходов к управлению сетями, поэтому переход к SDN будет реализовываться постепенно. К сожалению, на текущий момент OpenFlow находится в состоянии постоянной разработки, а материальные затраты, необходимые для перехода на него останавливают различные компании от перехода к SDN.

1. Барсков А. SDN: кому и зачем это надо? [Электронный ресурс]. Журнал сетевых решений/LAN, № 12, 2012. URL: http://www.osp.ru/lan/2012/12/13033012/
2. Гончаров Ф.О. Программно конфигурируемые сети. Выпускная квалификационная работа. URL: http://cs.mipt.ru/fileadmin/template/publikacii/2014_g/ii.pdf
3. Лихачев В.А. ПРОГРАММНО-КОНФИГУРИРУЕМЫЕ СЕТИ НА ОСНОВЕ ПРОТОКОЛА. [Электронный ресурс]. Вестник ВГУ, Серия: Системный анализ и информационные технологии, №1, 2014. URL: http://www.vestnik.vsu.ru/pdf/analiz/2014/01/2014-01-10.pdf
4. Стивен Воган-Николс. Openflow: сеть нового поколения? [Электронный ресурс]. Открытые системы, №8, 2011. URL: http://www.osp.ru/os/2011/08/13011110
5. Семенов Ю.А. Сетевая технология Openflow. [Электронный ресурс]. URL: http://book.itep.ru/4/41/openflow.htm#22
6. Flajslik M., Handigol N., Seetharaman S., McKeown N. Plug-n-Serve: Load-Balancing Web Traffic using OpenFlow. [Электронный ресурс]. ACM Sigcomm conference, 2009. URL: http://conferences.sigcomm.org/sigcomm/2009/demos/sigcomm-pd-2009-final26.pdf
7. Reitblatt M., Foster N., Rexford J., Walker D. Consistent Updates for SoftwareDefined Networks: Change You Can Believe In! [Электронный ресурс]. Computer Science Department at Princeton University. URL: http://www.cs.princeton.edu/~dpw/papers/changehotnets11.pdf
8. OpenFlow Switch Specification. URL: http://archive.openflow.org/documents/openflow-spec-v1.1.0.pdf

Комментарии пользователей:

Оставить комментарий