Segurança para Ambientes SDN com P4

Abstract

A Internet tem um papel fundamental para a formação da sociedade digital atual, cuja dependência de dispositivos interligados e contactáveis a partir de qualquer lugar, cresce significativamente a cada dia. Com a adoção massificada destes dispositivos veio a necessidade das redes suportarem uma gama maior de funcionalidades de comunicação, resultando em sistemas cada vez mais complexos e difíceis de gerir. Isto implica que as organizações necessitam de padrões de computação mais avançados, para fazer face ao desafio das necessidades emergentes. Consequentemente, isto requer mais e mais recursos, não só do ponto de vista computacional, mas também de planeamento, gestão, disponibilidade e escalabilidade, para as quais, as tecnologias tradicionais já não conseguem dar resposta à complexidade necessária. Num esforço de dar resposta a estas novas exigências, comunidades de código aberto perceberam que era necessária uma nova filosofia de design em rede. Nesse esforço foi proposto o paradigma de Redes Definidas por Software (SDN), uma abordagem de rede que utiliza redes programáveis como solução de conectividade.A nova programabilidade das redes traz flexibilidade e acelera a implementação de novas soluções, mas traz consigo novos desafios, nomeadamente do ponto de vista da segurança. Este trabalho analisa as preocupações gerais de segurança em SDN. Primeiramente é apresentada uma visão geral da SDN, da sua arquitetura e capacidades. Seguidamente, é apresentada uma análise da segurança na SDN onde são abordadas as suas vulnerabilidades, ataques, e estratégias de mitigação, com especial ênfase no plano de dados. Depois faz-se uma análise dos diferentes ataques de negação de serviço distribuídos (DDoS - Distributed Denial of Service) nas redes convencionais, bem como nas redes baseadas no paradigma SDN. São também revistos os mecanismos de defesa associados a estes, implementados no contexto de SDN. Adicionalmente são revistos conceitos de OpenFlow, P4, arquitetura PISA e os dispositivos de rede programáveis e identificadas as vantagens do plano de dados programável baseado em P4 Seguidamente, é apresentada a metodologia utilizada neste trabalho, juntamente com a linha do tempo que ilustra a distribuição das tarefas associadas ao longo do período de conclusão previsto. Finalmente, é apresentada a solução DPSynFloodBlock, desenvolvida utilizando a linguagem P4, com o propósito de monitorar, detetar, mitigar e prevenir ataques de DDoS SYN Flood, viabilizando a realização dessas ações sem a necessidade de intervenção do controlador. Nesta solução, embora seja possível bloquear os ataques por meio das diretrizes provenientes do controlador após a transmissão de informações pelos dispositivos programáveis, o seu foco principal é conferir capacidade decisória ao plano de dados sem depender da intervenção direta do controlador. Isso é alcançado por meio da utilização exclusiva das informações provenientes dos cabeçalhos dos fluxos de rede e dos dados inicialmente fornecidos pelo controlador durante a inicialização do dispositivo programável, utilizando as tabelas de correspondência de ação.

The Internet has played a key role in shaping the today’s digital society, for which there is an increasing dependence on interconnected devices that can be accessed from anywhere. With its mass adoption of the use of these devices came the need to increase the networks that support their communication, which become increasingly complex. This means that organizations need to use more advanced computing patterns to meet the challenge of emerging needs. Therefore, it requires more and more resources, not only from the point of view of computation, but also from planning, management, availability, and scalability. Moreover, traditional technologies are no longer able to respond to the complexity required. To meet these new demands, open-source communities realized that a new network design philosophy was needed. In this effort, the software-defined network (SDN) was proposed, a networking solution through programmable networks.Network programmability brings flexibility and accelerates the implementation of new solutions, but also, brings with it new challenges, particularly from the perspective of security. This work examines general security concerns in SDN. Firstly, an overview of SDN, its architecture, and capabilities is presented. Next, a security analysis in SDN is provided, addressing its vulnerabilities, attacks, and mitigation strategies, with a special focus on the data plane. An analysis of various Distributed Denial of Service (DDoS) attacks in both conventional and SDN-based networks is conducted. The defense mechanisms implemented in the SDN context against these attacks are also reviewed. Additionally, concepts of OpenFlow, P4, PISA architecture, and programmable network devices are discussed, highlighting the advantages of the programmable data plane based on P4.Next, the methodology used in this work is presented, along with the timeline illustrating the distribution of associated tasks throughout the anticipated completion period.Finally, the DPSynFloodBlock solution developed using the P4 language is presented, aimed at monitoring, detecting, mitigating, and preventing SYN Flood DDoS attacks, enabling the execution of these actions without the need for controller intervention. In this solution, although it's possible to block attacks through instructions provided by the controller - after it received information by the programmable devices - its primary focus is to empower the decision-making capability of the data plane without relying on direct controller intervention. This is achieved exclusively through information derived from network flow data and network related information provided by the controller during the programmable device initialization, through action matching tables.