Atualização Reversa: Garantindo Consistência de Estados em Redes Definidas por Software

  • Diogo Menezes Ferrazani Mattos UFRJ
  • Otto Carlos Muniz Bandeira Duarte UFRJ

Resumo


A aplicação de novas políticas de segurança e a atualização de políticas já existentes em uma rede são causas comuns de instabilidade no funcionamento da rede, levando à interrupção de serviços e, até mesmo, a estados transitórios vulneráveis da configuração da rede. Durante o processo de instalação de políticas de segurança, a rede pode passar por estados inconsistentes que podem levá-la a comportamentos inesperados. Este artigo propõe um esquema consistente para o processo de atualização de políticas em Redes Definidas por Software, chamado de Atualização Reversa. O artigo prova a consistência da proposta através de um modelo formal. Assim, as principais contribuições deste artigo são: (i) a generalização do conceito de consistência por pacote no plano de dados de uma Rede Definida por Software e (ii) o esquema consistente proposto de atualização de políticas. Um simulador de Redes Definidas por Software foi desenvolvido e validado. A simulação de um cenário de uma aplicação de política de segurança, em uma topologia real de rede, mostra que a sobrecarga gerada pelo esquema proposto é muito baixa. Além disso, os resultados comprovam que o processo de Atualização Reversa proposto é bem mais rápido que a Atualização de Duas Fases proposta na literatura.

Referências

Canini, M., Kuznetsov, P., Levin, D. e Schmid, S. (2013). Software transactional networking: Concurrent and consistent policy composition. Em Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking, HotSDN'13, páginas 1-6, New York, NY, USA. ACM.

Canini, M., Kuznetsov, P., Levin, D., Schmid, S. et al. (2015). A distributed and robust sdn control plane for transactional network updates. Em The 34th Annual IEEE International Conference on Computer Communications (INFOCOM 2015).

Canini, M., Venzano, D., Peresni, P., Kostic, D. e Rexford, J. (2012). A nice way to test openflow applications. Em Proceedings of the 9th USENIX Conference on Networked Systems Design and Implementation, NSDI'12, páginas 10-10, Berkeley, CA, USA. USENIX Association.

Ferraz, L. H. G., Mattos, D. M. F. e Duarte, O. C. M. B. (2014). A two-phase multipathing scheme based on genetic algorithm for data center networking. Em Global Communications Conference (GLOBECOM), 2014 IEEE, páginas 2270-2275.

Fogel, A., Fung, S., Pedrosa, L.,Walraed-Sullivan, M., Govindan, R., Mahajan, R. e Millstein, T. (2015). A general approach to network configuration analysis. Em 12th USENIX Symposium on Networked Systems Design and Implementation (NSDI'15), Berkeley, CA, USA. USENIX Association.

Han, J. H., Mundkur, P., Rotsos, C., Antichi, G., Dave, N., Moore, A. e Neumann, P. (2015). Blueswitch: enabling provably consistent configuration of network switches. Em Architectures for Networking and Communications Systems (ANCS), 2015 ACM/IEEE Symposium on, páginas 17-27.

Kreutz, D., Ramos, F. M. e Verissimo, P. (2013). Towards secure and dependable software-defined networks. Em Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking, HotSDN'13, páginas 55-60, New York, NY, USA. ACM.

Levin, D., Wundsam, A., Heller, B., Handigol, N. e Feldmann, A. (2012). Logically centralized?: state distribution trade-offs in software defined networks. Em Proceedings of the First workshop on Hot topics in software defined networks, HotSDN'12, Helsinki, Finland. ACM.

Luo, S., Yu, H. e Li, L. (2015). Consistency is not easy: How to use two-phase update for wildcard rules? Communications Letters, IEEE, 19(3):347-350.

Mattos, D., Ferraz, L. e Duarte, O. C. M. B. (2013). Um mecanismo para isolamento seguro de redes virtuais usando a abordagem híbrida xen e openflow. Em SBSeg 2013 - XIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, Manaus - Brazil.

Mattos, D. M. F., Andreoni Lopez, M., Ferraz, L. H. G. e Duarte, O. C. M. B. (2015). Controlador resiliente com distribuição eficiente para redes definidas por software. Em XXXIII Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos - SBRC'2015.

Monsanto, C., Reich, J., Foster, N., Rexford, J., Walker, D. et al. (2013). Composing software defined networks. Em 10th USENIX Symposium on Networked Systems Design and Implementation (NSDI'13), páginas 1-13, Berkeley, CA, USA. USENIX Association.

Peresíni, P., Kuzniar, M., Vasic, N., Canini, M. e Kostiü, D. (2013). Of.cpp: Consistent packet processing for openflow. Em Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking, HotSDN'13, páginas 97-102, New York, NY, USA. ACM.

Pisa, P., Fernandes, N., Carvalho, H., Moreira, M., Campista, M., Costa, L. e Duarte, O. (2010). Openflow and xen-based virtual network migration. Em Pont, A., Pujolle, G. e Raghavan, S., editors, Communications: Wireless in Developing Countries and Networks of the Future, volume 327 of IFIP Advances in Information and Communication Technology, páginas 170-181. Springer Boston.

Reitblatt, M., Foster, N., Rexford, J., Schlesinger, C. e Walker, D. (2012). Abstractions for network update. Em Proceedings of the ACM SIGCOMM 2012 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication, SIGCOMM'12, páginas 323-334, New York, NY, USA. ACM.
Publicado
09/11/2015
MATTOS, Diogo Menezes Ferrazani; DUARTE, Otto Carlos Muniz Bandeira. Atualização Reversa: Garantindo Consistência de Estados em Redes Definidas por Software. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 15. , 2015, Florianópolis. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2015 . p. 367-280. DOI: https://doi.org/10.5753/sbseg.2015.20100.

Artigos mais lidos do(s) mesmo(s) autor(es)