Abordagem Adaptativa para Proteção de Redes SDN Utilizando Moving Target Defense
Resumo
O paradigma das Redes Definidas por Software (SDN) vem sendo cada vez mais adotado nas infraestruturas de redes de computadores. No entanto, por se tratar de uma abordagem relativamente recente, poucas estratégias de segurança tem sido empregadas para sua proteção. Um dos problemas relacionados ao uso de SDN é a presença de ataques do tipo scanning. Recentemente, as técnicas de Moving Target Defense (MTD) tem sido usadas para lidar com esses ataques. No entanto, devido à sua natureza de operação, as estratégias baseadas em MTD podem degradar consideravelmente o desempenho da rede. Assim, com o objetivo de conciliar, de forma factível, a proteção contra ataques scanning sem degradar os serviços da rede, principalmente em termos de Qualidade de Serviço (QoS), neste artigo apresentamos o MTD Adaptive Delay System (MADS). Em nossa proposta, os atrasos baseados em MTD são aplicados apenas à resposta dos pacotes quando a rede está sob ataque. Em contraste, os trabalhos existentes aplicam continuamente atrasos à todos os pacotes trafegados e, portanto, incorrem em mais degradação na rede. MADS foi extensivamente avaliado e comparado com o estado da arte em defesas baseadas em MTD. Os resultados das avaliações demonstraram que MADS promove menor degradação na rede em termos de latência, pacotes Bad TCP e vazão.
Referências
Hou, J., Zhang, M., Zhang, Z., Shi, W., Qin, B., and Liang, B. (2020). On the fine-grained fingerprinting threat to software-defined networks. Future Generation Computer Systems, 107:485–497.
Kelly, J., DeLaus, M., Hemberg, E., and O’Reilly, U.-M. (2019). Adversarially adapting deceptive views and reconnaissance scans on a software defined network. In 2019 IFIP/IEEE Symposium on Integrated Network and Service Management (IM), pages 49–54.
Klöti, R., Kotronis, V., and Smith, P. (2013). Openflow: A security analysis. In 2013 21st IEEE International Conference on Network Protocols (ICNP), pages 1–6. IEEE.
Lei, C., Zhang, H.-Q., Tan, J.-L., Zhang, Y.-C., and Liu, X.-H. (2018). Moving target defense techniques: A survey. Security and Communication Networks, 2018.
Ma, D., Xu, Z., and Lin, D. (2014). Defending blind ddos attack on sdn based on moving target defense. In International Conference on Security and Privacy in Communication Networks, pages 463–480. Springer.
Neto, E. P., Silva, F. S. D., Schneider, L. M., Neto, A. V., and Immich, R. (2021). Seamless mano of multi-vendor sdn controllers across federated multi-domains. Computer Networks, 186:107752.
Okhravi, H., Hobson, T., Bigelow, D., and Streilein, W. (2013). Finding focus in the blur of moving-target techniques. IEEE Security & Privacy, 12(2):16–26.
Pascoal, T. A., Dantas, Y. G., Fonseca, I. E., and Nigam, V. (2017). Slowtcam xehaustion ddos attack. In IFIP International Conference on ICT Systems Security and Privacy Protection, pages 17–31. Springer.
Pascoal, T. A., Fonseca, I. E., and Nigam, V. (2020). Slow denial-of-service attacks on software defined networks. Computer Networks, page 107223.
Scott-Hayward, S., Natarajan, S., and Sezer, S. (2015). A survey of security in software defined networks. IEEE Communications Surveys & Tutorials, 18(1):623–654.
Shin, S. and Gu, G. (2013). Attacking software-defined networks: A first feasibility study. In Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking, pages 165–166.
Silva, F. S. D., Neto, E. P., Oliveira, H., Rosário, D., Cerqueira, E., Both, C., Zeadally, S., and Neto, A. V. (2021). A survey on long-range wide-area network technology optimizations. IEEE Access, 9:106079– 106106.
Silva, F. S. D., Schneider, L., Rosário, D., and Neto, A. (2022). Network slicing mobility aware control to assist handover decisions on e-health 5g use cases. In 2022 International Wireless Communications and Mobile Computing (IWCMC), page 1.
Silva, J. B., Dantas Silva, F., Neto, E. P., Lemos, M., and Neto, A. (2020). Benchmarking of mainstream sdn controllers over open off-the-shelf software-switches. Internet Technology Letters, n/a(n/a):e152. e152 ITL-19-0098.R1.
Sonchack, J., Aviv, A. J., and Keller, E. (2016). Timing sdn control planes to infer network configurations. In Proceedings of the 2016 ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization, pages 19–22.
Yuwen, H., Zhang, L., Wang, Z., and Kong, Y. (2016). Probability-based delay scheme for resisting sdn scanning. In 2016 2nd IEEE International Conference on Computer and Communications (ICCC), pages 1096–1101. IEEE.
Zarek, A., Ganjali, Y., and Lie, D. (2012). Openflow timeouts demystified. Univ. of Toronto, Toronto, Ontario, Canada.
Zhang, Z., Towey, D., Ying, Z., Zhang, Y., and Zhou, Z. Q. (2021). Mt4ns: Metamorphic testing for network scanning. In 2021 IEEE/ACM 6th International Workshop on Metamorphic Testing (MET), pages 17–23.
Zhuang, R., DeLoach, S. A., and Ou, X. (2014). Towards a theory of moving target defense. In Proceedings of the First ACM Workshop on Moving Target Defense, pages 31–40.
