Εικονικές δικτυακές υπηρεσίες για την παρακολούθηση και ασφάλεια δικτύων οριζόμενων από λογισμικό

Abstract

In this work we study and evaluate the Control Plane programmability offered by the OpenFlow protocol (OF), in order to detect and mitigate malicious network anomalies such as Distributed Denial of Service (DDoS) attacks. This service is offered as a Virtualized Network Function (VNF), thus decoupling the function itself from the capabilities of the hardware substrate.In the present thesis, traffic management functionalities are extended, thus delivering efficient and scalable mechanisms for anomaly detection and mitigation. Specifically, we demonstrate that OF statistics collection and processing overloads the centralized OF Controller, introducing scalability issues. Hence, we propose an approach for the separation of the data collection process from the SDN Control Plane with the employment of sFlow monitoring data, thus relaxing the overhead imposed on usage of system resources.Furthermore, we investigate the applicability of inserting an OpenFlow middlebox to mitigate DDoS attacks in legacy networks. We propose a modular architecture, based on a multilevel anomaly detection and identification mechanism, capable of deploying a VNF to manipulate and filter malicious traffic. The edge router is instructed to forward all traffic destined to the victim to an OpenFlow switch that is able to filter only malicious traffic identified by an OpenFlow Controller on a per-flow level, while benign flows are preserved.Moreover, we investigate collaborative schemes to mitigate DDoS attacks in multi-domain Software-Defined Networks (SDNs). The mitigation process itself is distributed, initiated by the domain of the victim, and involving all domains in the path of an attack. In order to motivate close cooperation of SDN domains governed by diverse authorities, we implemented and evaluated a reputation mechanism, whereby domains assess the historical behavior of their neighbors, discouraging assistance in case the domain of the victim has a poor cooperation track-record.The evaluation of the proposed mechanisms is achieved through the use of different anomaly detection techniques and real network data provided by the Center for applied Internet Data Analysis (CAIDA), and by the National Technical University of Athens (NTUA).

Στα πλαίσια της διδακτορικής διατριβής γίνεται μελέτη και αξιολόγηση των δυνατοτήτων για προγραμματισμό του Επιπέδου Ελέγχου δικτύων μέσω του πρωτοκόλλου OpenFlow (OF), με στόχο την ανίχνευση και αντιμετώπιση κακόβουλων δικτυακών επιθέσεων, όπως οι Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας (Distributed Denial of Service – DDoS). Η υπηρεσία αυτή προσφέρεται ως Εικονικοποιημένη Δικτυακή Λειτουργία (Virtualised Network Function – VNF), αποσυνδέοντας την υπηρεσία από τα χαρακτηριστικά της δικτυακής υποδομής.Στην παρούσα διατριβή, επεκτείνονται διαχειριστικές δικτυακές λειτουργίες, προσφέροντας αποτελεσματικούς και κλιμακώσιμους μηχανισμούς για την ανίχνευση και αντιμετώπιση ανωμαλιών δικτύου. Συγκεκριμένα, αποδεικνύεται πειραματικά ότι η συλλογή και επεξεργασία OF στατιστικών δεδομένων μπορεί να υπερφορτώσει το Επίπεδο Ελέγχου, εισάγοντας έτσι προβλήματα στην διάθεση υπηρεσιών υπό κλίμακα. Έτσι, προτείνεται μία αρχιτεκτονική για την αποσύνδεση της συλλογής στατιστικών δεδομένων από το Επίπεδο Ελέγχου OF μέσω του πρωτοκόλλου sFlow, και την ανάληψη της σχετικής ευθύνης με παραδοσιακούς μηχανισμούς μετρήσεων, συγκεκριμένα με το πρωτόκολλο δειγματοληψίας sFlow, μειώνοντας την κατανάλωση πόρων του Επιπέδου Ελέγχου.Επιπλέον, διερευνάται η χρήση μεταγωγέων OF ως ενδιάμεσων συσκευών για την αντιμετώπιση επιθέσεων DDoS σε παραδοσιακά δίκτυα. Ως εκ τούτου, προτείνεται μία αρθρωτή αρχιτεκτονική, βασισμένη σε ένα πολυεπίπεδο μηχανισμό ανίχνευσης και αναγνώρισης ανωμαλιών, ικανό να εγκαθιδρύει VNFs για τη χειραγώγηση και απόρριψη της κακόβουλης κίνησης. Ένας συνοριακός δρομολογητής καθοδηγείται ώστε να προωθήσει την κίνηση του θύματος προς έναν μεταγωγέα OF, όπου μπορούν να επιλεχθούν και να αποκοπούν οι κακόβουλες ροές τις οποίες θα αναγνωρίσει ένας Ελεγκτής OF, ενώ η καλοήθης κίνηση επιστρέφει προς το θύμα.Ακόμη, διερευνείται η δημιουργία συνεργατικών σχημάτων μεταξύ περιοχών Software-Defined Networks (SDN) για την από κοινού αντιμετώπιση κατανεμημένων επιθέσεων. Συγκεκριμένα κατανέμεται η ίδια η διαδικασία αντιμετώπισης επιθέσεων, εκκινώντας από την δικτυακή περιοχή-θύμα και εμπλέκοντας όλες τις ενδιάμεσες περιοχές στο μονοπάτι της επίθεσης. Για την υλοποίηση της συνεργατικής λειτουργίας περιοχών ανεξάρτητων Αυτόνομων Συστημάτων, προτείνεται ένας μηχανισμός φήμης (reputation) μέσω του οποίου οι περιοχές SDN αξιολογούν τους γείτονες, αποτρέποντας τη συνεργασία εάν η περιοχή-θύμα έχει επιδείξει έλλειψη συνεργασίας.Η αξιολόγηση των μηχανισμών βασίστηκε σε διαφορετικές τεχνικές ανίχνευσης ανωμαλιών, ενώ χρησιμοποιήθηκαν πραγματικά δεδομένα δικτύου που παρείχε το Center for Applied Internet Data Analysis (CAIDA) και το Τοπικό Δίκτυο του Εθνικού Μετσόβιου Πολυτεχνείου (ΕΜΠ).