Εικονικές Δικτυακές Υπηρεσίες Για Την Παρακολούθηση Και Ασφάλεια Δικτύων Οριζόμενων Από Λογισμικό

Abstract

Στα πλαίσια της διδακτορικής διατριβής γίνεται μελέτη και αξιολόγηση των δυνατοτήτων για προγραμματισμό του Επιπέδου Ελέγχου δικτύων μέσω του πρωτοκόλλου OpenFlow (OF), με στόχο την ανίχνευση και αντιμετώπιση κακόβουλων δικτυακών επιθέσεων, όπως οι Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας (Distributed Denial of Service - DDoS). Η υπηρεσία αυτή προσφέρεται ως Εικονικοποιημένη Δικτυακή Λειτουργία (Virtualised Network Function - VNF), αποσυνδέοντας την υπηρεσία από τα χαρακτηριστικά της δικτυακής υποδομής. Στην παρούσα διατριβή, επεκτείνονται διαχειριστικές δικτυακές λειτουργίες, προσφέροντας αποτελεσματικούς και κλιμακώσιμους μηχανισμούς για την ανίχνευση και αντιμετώπιση ανωμαλιών δικτύου. Συγκεκριμένα, αποδεικνύεται πειραματικά ότι η συλλογή και επεξεργασία OF στατιστικών δεδομένων μπορεί να υπερφορτώσει το Επίπεδο Ελέγχου, εισάγοντας έτσι προβλήματα στην διάθεση υπηρεσιών υπό κλίμακα. Έτσι, προτείνεται μία αρχιτεκτονική για την αποσύνδεση της συλλογής στατιστικών δεδομένων από το Επίπεδο Ελέγχου OF μέσω του πρωτοκόλλου sFlow, και την ανάληψη της σχετικής ευθύνης με παραδοσιακούς μηχανισμούς μετρήσεων, συγκεκριμένα με το πρωτόκολλο δειγματοληψίας sFlow, μειώνοντας την κατανάλωση πόρων του Επιπέδου Ελέγχου. Επιπλέον, διερευνάται η χρήση μεταγωγέων OF ως ενδιάμεσων συσκευών για την αντιμετώπιση επιθέσεων DDoS σε παραδοσιακά δίκτυα. Ως εκ τούτου, προτείνεται μία αρθρωτή αρχιτεκτονική, βασισμένη σε ένα πολυεπίπεδο μηχανισμό ανίχνευσης και αναγνώρισης ανωμαλιών, ικανό να εγκαθιδρύει VNFs για τη χειραγώγηση και απόρριψη της κακόβουλης κίνησης. Ένας συνοριακός δρομολογητής καθοδηγείται ώστε να προωθήσει την κίνηση του θύματος προς έναν μεταγωγέα OF, όπου μπορούν να επιλεχθούν και να αποκοπούν οι κακόβουλες ροές τις οποίες θα αναγνωρίσει ένας Ελεγκτής OF, ενώ η καλοήθης κίνηση επιστρέφει προς το θύμα. Ακόμη, διερευνείται η δημιουργία συνεργατικών σχημάτων μεταξύ περιοχών Software-Defined Networks (SDN) για την από κοινού αντιμετώπιση κατανεμημένων επιθέσεων. Συγκεκριμένα κατανέμεται η ίδια η διαδικασία αντιμετώπισης επιθέσεων, εκκινώντας από την δικτυακή περιοχή-θύμα και εμπλέκοντας όλες τις ενδιάμεσες περιοχές στο μονοπάτι της επίθεσης. Για την υλοποίηση της συνεργατικής λειτουργίας περιοχών ανεξάρτητων Αυτόνομων Συστημάτων, προτείνεται ένας μηχανισμός φήμης (reputation) μέσω του οποίου οι περιοχές SDN αξιολογούν τους γείτονες, αποτρέποντας τη συνεργασία εάν η περιοχή-θύμα έχει επιδείξει έλλειψη συνεργασίας. Η αξιολόγηση των μηχανισμών βασίστηκε σε διαφορετικές τεχνικές ανίχνευσης ανωμαλιών, ενώ χρησιμοποιήθηκαν πραγματικά δεδομένα δικτύου που παρείχε το Center for Applied Internet Data Analysis (CAIDA) και το Τοπικό Δίκτυο του Εθνικού Μετσόβιου Πολυτεχνείου (ΕΜΠ).