Regisztráció és bejelentkezés

Adatközpontok hálózati forgalmának on-the-fly analízise SDN és IDS rendszerek támogatásához

Az adatközpontok biztonsági követelményeinek teljesítése egyre nehezebb napjainkban. A hackerek egyre újabb és okosabb módokat találnak adatközpontok támadására, ezzel a jelenlegi védelmi megoldások határait feszegetik. A mindenki számára elérhető, és sok kiemelt ügyfelet is kiszolgáló adatközpontoknak a hálózati határán belül is meg kell küzdenie a saját különleges kihívásaikkal. Ilyen speciális problémák a belülről érkező támadások, valamint a rendszer kívülről történő, pontos feltérképezése.

A belülről érkező támadások különleges fenyegetést jelentenek, mivel kikerülik az adatközpontok elsődleges védelmi vonalát, a root switchek tűzfalait. Az adatközpontok topológiájának (fat and short) köszönhetően komoly gondot jelent a belső támadások észrevétele és megakadályozása. Ezen támadások nemcsak üzleti, hanem fizikai veszélyt is jelentenek a rendszerre.

Az integrált biztonsági rendszerekbe speciális hardver-támogatás (például FPGA, Field-Programmable Gate Array) beiktatása olyan lehetőségeket ad, amire sima szoftver-alapú rendszerekben nincs lehetőség. A FPGA olyan nagysebességű párhuzamos adatfeldolgozást nyújt, ami gyorsabb, okosabb reagálást tesz lehetővé a rendszert ért támadásokkal szemben. A tisztán szoftver-alapú rendszerek reakcióidejének töredéke alatt képes észlelni a támadásokat, és elküldeni a switch-eknek a támadó adatait: ezzel segíti a rendszer védelmét. Ez különösen fontos úgy nevezett hit-and-run támadások esetén.

A dolgozat célja annak bemutatása, hogy egy ilyen FPGA-t is tartalmazó biztonsági rendszerben hogyan lehet különböző szintű és kifinomultságú (D)DoS (Distributed Denial of Service) támadásokat észlelni és leállítani. Ezen dolgozatnak nem célja, hogy az összes típusú támadásra mérnöki megoldást adjon. A dolgozat egy olyan, könnyen bővíthető, flexibilis keretrendszert mutat be, ami a leggyakoribb Denial of Service támadások hardver-támogatott észrevételére és továbbterjedésének megakadályozására szolgál. Emellett útmutatást ad arra is, hogy hogyan lehet másfajta támadásokhoz megfelelő modulokat tervezni. A koncepció működésének validálására egy kiterjedt magyarországi hálózat (NIIFI, Nemzeti Információs Infrastruktúra) által nyújtott adatközponti szolgáltatást ért támadások valós forgalmi mintáit használtuk fel. Mivel a forgalom-analízishez használt hardveres gyorsítással a hálózat állapotáról is finom felbontású információhoz jutunk, az architektúra az SDN (Software Defined Networking) vezérlők döntés-hozásának támogatására is alkalmas.

szerző

  • Nagy Balázs
    Villamosmérnöki szak, alapképzés
    alapképzés (BA/BSc)

konzulensek

  • Dr. Varga Pál
    egyetemi docens, Távközlési és Médiainformatikai Tanszék
  • Tóthfalusi Tamás
    Doktorandusz, Távközlési és Médiainformatikai Tanszék