Document details

Tese de mestrado, Engenharia Informática (Arquitectura, Sistemas e Redes de Computadores), Universidade de Lisboa, Faculdade de Ciências, 2015

O crescimento das redes e a necessidade de responder à procura exigida pelo maior número de aplicações e a concomitante utilização de dados, levam a que a monitorização desempenhe um papel fundamental não só para os sistemas de redes actuais mas também na resposta a um crescimento futuro. O sistema de monitorização é uma componente crucial numa rede, suportando muitas funções essenciais como engenharia de tráfego, detecção de anomalias e diagnóstico de desempenho. Um dos requisitos principais para estas soluções avançadas na gestão da rede é a necessidade de precisão na monitorização. Contudo, as técnicas tradicionais de monitorização não estão preparadas para responder a estas necessidades. Um exemplo disso é o SNMP, o protocolo de gestão e monitorização da rede mais usado. O SNMP permite que pedidos sejam feitos aos switches para obter contadores por porto e por interface, e obter estatísticas gerais dos nós da rede. O problema é que muitos dos switches estão limitados aos contadores que agregam o tráfego para todo o switch e para as suas interfaces. Por consequência o SNMP não permite obter estatísticas a uma granularidade maior, por flow, um requisito de muitas aplicações modernas, além de ter problemas de escalabilidade. Protocolos mais recentes, como o Netflow, resolvem o problema de escalabilidade mas as técnicas de amostragem utilizadas trazem consigo outras limitações. As redes definidas por software (Software Defined Networks) têm sido propostas como solução para alguns destes problemas. Numa SDN, o plano de controlo é separado do plano de encaminhamento, centralizando-se a lógica de controlo da rede num controlador que corre num (cluster de) servidor(es). Para tal ser possível, é necessário adicionar-se uma camada de comunicação entre o controlador e os dispositivos, algo feito tradicionalmente através do protocolo OpenFlow. Este protocolo de comunicação permite ao controlador acesso remoto para gestão das tabelas de encaminhamentos dos dispositivos de rede. Este desacoplamento possibilita a centralização lógica do controlo, oferecendo ao controlador uma visão global da rede. Com este novo paradigma de redes surgiu um conjunto avançado de primitivas de monitorização mais sofisticadas, que respondem aos requisitos impostos pelas redes de hoje. Os switches OpenFlow mantem estatísticas de tráfego que podem ser recolhidas pelo controlador SDN a pedido. O controlador pode ainda injectar pacotes na rede, tornando assim possível empregar técnicas de monitorização activa e passiva. Apesar da sua importância como elemento fundamental da infra-estrutura SDN, nenhuma das soluções até agora propostas inclui a segurança como requisito, o que as torna vulneráveis a um conjunto extenso de ataques, inclusive pouco sofisticados. Acreditamos que tais primitivas devem ser resilientes de raiz, assegurando que as medições permaneçam correctas mesmo sob ataque. Esta tese centraliza-se na inclusão da segurança na construção de novas ferramentas de monitorização da rede. Para demonstrar tal necessidade, e justificar a preocupação, realizamos uma avaliação das limitações das técnicas de monitorização comuns demonstrando experimentalmente que elas são vulneráveis a ataques. Para tal, utilizamos o Open-NetMon, um monitor SDN open-source, como alvo principal dos ataques. Apesar de termos usado o OpenNetMon, alguns ataques são mais genéricos, sendo portanto extensíveis a outras plataformas SDN de monitorização.O foco dos ataques foi sobre as duas métricas de uso mais comum para operação e gestão da rede: atraso na rede e taxa de transmissão. Estes ataques foram realizados numa plataforma física e numa virtual. Para os testes na plataforma virtual foi utilizado o emulador Mininet. Para os testes físicos criámos uma testbed composta por switches em hardware da Pica8, com suporte Openflow, e múltiplas maquinas (para o controlador SDN e para os múltiplos hosts). Finalmente, discutimos o impacto que estes ataques podem ter em sistemas críticos. Mais precisamente, usámos uma Smart Grid como estudo de caso. As Smart Grids distinguem-se dos sistemas elétricos actuais pela sua capacidade muito mais sofisticada na monitorização e controlo da rede. Dado a Smart Grid ser um sistema crítico, discutimos algumas soluções de monitorização segura para este tipo de infraestrutura.

Monitoring plays a fundamental role in current network deployments, supporting diverse activities such as traffic engineering, anomaly detection, and performance diagnosis. The Software Defined Networks - a new paradigm in networking - has become an enabler for precise monitoring. In SDN the control plane is separated from the forwarding plane, leading to the logical centralization of the network control in a controller that runs in a (cluster of) server(s). For this purpose, a layer of communication is added between the controller and devices, something traditionally done through the OpenFlow protocol. This communication protocol allows the controller to have remote access to the forwarding tables of network switches. With the advent of SDN an array of advanced monitoring primitives has emerged, exploring the centralized vantage point offered by the controller. Such primitives should be resilient from the ground-up, ensuring a correct view under attack. In this work we intend to demonstrate that security should be a first class citizen when building SDN network monitoring frameworks. To justify this need, we perform a threat assessment on common monitoring techniques and demonstrate experimentally that they are vulnerable to attacks, including relatively unsophisticated ones. This indicates that further work is needed in this area and, with that aim, we include an initial discussion on possible solutions for secure monitoring. We discuss the impact of these attacks on physical systems, more precisely we use a Smart Grid as a study case. Smart Grids differ from the traditional electric system by having an intelligent monitoring capability and network control. As a Smart Grid is a critical system, we discuss several solutions to make the monitoring system secure.