XNetMon: Uma Arquitetura com Segurança para Redes Virtuais

  • Natalia Castro Fernandes UFRJ
  • Otto Carlos Muniz Bandeira Duarte UFRJ

Resumo


O isolamento entre máquinas virtuais é uma propriedade essencial para a segurança dos ambientes virtualizados, em especial, na aplicação de redes virtuais. Um compartilhamento dos recursos provido com isolamento impede que roteadores virtuais com um comportamento malicioso utilizem todos os recursos da máquina física, prejudicando o desempenho das outras redes virtuais. Esse trabalho propõe uma nova arquitetura para o Xen, capaz de prover o isolamento das redes virtualizadas. É proposto um mecanismo de segurança que monitora o uso dos recursos compartilhados e pune os roteadores virtuais com comportamentos maliciosos, garantindo assim a operação isolada das redes virtuais. Para garantir também a segurança no controle do encaminhamento dos dados, é proposto um protocolo para comunicação entre o domínio de gerenciamento e os roteadores virtuais que impede que roteadores virtuais maliciosos modifiquem as tabelas de encaminhamento de outros roteadores virtuais. Foi desenvolvido um protótipo e os testes mostram que a arquitetura proposta garante a disponibilidade do serviço de controle das redes virtuais, além de promover o compartilhamento dos recursos com mais precisão que outros mecanismos da literatura, propiciando o isolamento das redes virtuais.

Referências

Bhatia, S., Motiwala, M., Muhlbauer, W., Valancius, V., Bavier, A., Feamster, N., Peterson, L., and Rexford, J. (2008). Hosting virtual networks on commodity hardware. Technical Report GT-CS-07-10, Princeton University, Georgia Tech, and T-Labs/TU Berlim.

Egi, N., Greenhalgh, A., Handley, M., Hoerdt, M., Huici, F., and Mathy, L. (2008). Fairness issues in software virtual routers. In PRESTO ’08: Proceedings of the ACM workshop on Programmable routers for extensible services of tomorrow, pages 33–38.

Egi, N., Greenhalgh, A., Handley, M., Hoerdt, M., Mathy, L., and Schooley, T. (2007). Evaluating Xen for router virtualization. In ICCCN’07: International Conference on Computer Communications and Networks, pages 1256–1261.

Fernandes, N. C., Moreira, M. D. D., Moraes, I. M., Ferraz, L. H. G., Couto, R. S., Carvalho, H. E. T., Campista, M. E. M., Costa, L. H. M. K., and Duarte, O. C. M. B. (2010). Virtual networks: Isolation, performance, and trends. To be published in the Annals of Telecommunications.

Han, S.-M., Hassan, M. M., Yoon, C.-W., and Huh, E.-N. (2009). Efficient service recommendation system for cloud computing market. In ICIS’09: Proceedings of the 2nd International Conference on Interaction Sciences, pages 839–845.

Jin, X., Chen, H., Wang, X., Wang, Z., Wen, X., Luo, Y., and Li, X. (2009). A simple cache partitioning approach in a virtualized environment. In 2009 IEEE International Symposium on Parallel and Distributed Processing with Applications, pages 519–524.

Laureano, M. A. P. and Maziero, C. A. (2008). Virtualização: Conceitos e aplicações em segurança. In Minicursos do VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, pages 1–49.

McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S., and Turner, J. (2008). OpenFlow: Enabling innovation in campus networks. ACM SIGCOMM Computer Communication Review, 38(2):69–74.

Pisa, P. S., Fernandes, N. C., Carvalho, H. E. T., Moreira, M. D. D., Campista, M. E. M., Costa, L. H. M. K., and Duarte, O. C. M. B. (2010). Openflow and Xen-based virtual network migration. In The World Computer Congress 2010 Network of the Future Conference (a ser publicado).

Sherwood, R. et al. (2010). Carving research slices out of your production networks with OpenFlow. ACM SIGCOMM Computer Communication Review, 40(1):129–130.

Wang, Y., Keller, E., Biskeborn, B., der Merwe, J. V., and Rexford, J. (2008). Virtual routers on the move: Live router migration as a network-management primitive. In ACM SIGCOMM, pages 231–242.

Zec, M. (2003). Implementing a clonable network stack in the FreeBSD kernel. In Proceedings of the 2003 USENIX Annual Technical Conference, pages 137–150.
Publicado
11/10/2010
FERNANDES, Natalia Castro; DUARTE, Otto Carlos Muniz Bandeira. XNetMon: Uma Arquitetura com Segurança para Redes Virtuais. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 10. , 2010, Fortaleza. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2010 . p. 339-352. DOI: https://doi.org/10.5753/sbseg.2010.20598.

Artigos mais lidos do(s) mesmo(s) autor(es)