软件定义网络安全测试,软件定义网络SDN架构的安全快速切入

最新推荐文章于 2022-11-04 16:46:13 发布
最新推荐文章于 2022-11-04 16:46:13 发布
阅读量233 收藏 1
点赞数
文章标签: 软件定义网络安全测试

原标题:软件定义网络SDN架构的安全快速切入

一、基础环境介绍

操作系统:ubuntu-16.4

网络仿真器 :mininet-2.2.2

入侵检测系统: suricata-3.1(也可以使用snort)

SDN控制器: floodlight-1.2(比较老,新版本安装有点问题)

二、测试目标

通过mininet模拟网络环境。

通过floodlight进行流量控制牵引。

通过suricata实现入侵检测。

三、测试实现效果

正常环境: 主机H1ping主机H2正常,切不进行流量监测。

测试环境: 首先将suricata添加ping指令告警,方便测试实现。 其次将Floodlight策略下发,H1流量牵引复制一份至IDS中,然后通过H1ping主机H2时,IDS设备(suricata)报错告警。

46b811776561681f19a4955c81be8863.png

测试流程示例图

四、安全防护过程介绍

1.首先通过mininet模拟了一台SDN控制器(c0)、一台OVS交换机(s1)、三台模拟主机,其中一台部署了IDS设备。详情如下图:

a131489d2ac3975f02eac65b07d4cc67.png

模拟网络架构

模拟完毕后我们可通过ping指令进行测试,指令语句为:h1 ping -c 30 h2,详情如下图:

7fb11a804dd114aa19a6b5a4cd446917.png

ping测试

2.suricata部署完毕后,添加ping的指令检测。具体语句如下:

语句解读:icmp协议;any对any;告警显示内容为“PING TEST”;icmp协议中 type=8、code=0是回显请求(Ping请求);sid是snort规则ID;rev是规则版本号。

3.Floodlight部署完毕后,可通过WEB后台进行查看, http://IP:端口/ui/index.html,如下图:

18698cd45daf82b4657cac9bfba922f5.png

floodlight后台截图

其中ids使用的是port3、h2是port2、h1是port1 。我们通过post形式,对流表进行操作,如下代码:

url -X POST -d '{"switch":"00:00:00:00:00:00:00:01","name":"flow-mod-3","cookie":"111","priority":"32766","in_port":"1","eth_type":"0x0800","active":"true","actions":"output=2,3"}' http://IP:端口/wm/staticflowpusher/json

语句解读:priority:优先级 in_port:进;eth_type:协议类型,output:出端口,多个逗号隔开。

添加成功后,ids服务器便可接收0x0800协议类型(ping是先通过arp在通过icmp,而icmp是基于tcp的所以是该类型)的流量啦。

4. 当我们在通过主机h1pingh2时(可以ping通),ids的告警信息fast.log文件,会产生相应告警。如下图:

suricata告警

五、结论

可见我们通过流表方式将h1的流量复制一份至ids设备中,进行入侵检测。以此逻辑我们就可以将如防火墙、waf、ips、负载均衡等设备流量进行动态牵引复制,通过可视化编排方式实现安全或性能的动态切入,以此有针对性的保障业务安全稳定运行。返回搜狐,查看更多

责任编辑:

黄鱼冻
关注
未来互联网技术发展编年史,从阿帕网到完全可编程网络
烟云的计算
03-22 2774
后来,受 Ethane 项目的启发,Martin Casado 和他的导师 Nick McKeown 教授发现,如果将 Ethane 的设计更简化,将传统网络设备的数据转发(Data Plane)和路由控制(Control Plane)两个功能模块相分离,并通过集中式的 Controller 以标准化的接口对各种网络设备进行管理和配置,那么这将为网络资源的设计、管理和使用提供更多的可能性,从而更容易推动网络的革新与发展。这样可以管理更大的网络,提供更强劲的性能,还能增强系统的安全性和可靠性。
SDN与NFV技术在云数据中心的规模应用
七里栈
10-30 2151
以云数据中心为切入点,首先对SDN领域中的叠加网络SDN控制器、VxLAN三种重要技术特点进行了研究,接下来对NFV领域中的通用服务器性能、服务链两类关键问题展开具体分析。最后,阐述了前期开展的SDN/NFV技术试验工作进展及相关结论,并对VDC应用产品进行了展望,更多内容可看博主同名微信公众号! 本文参考《SDN与NFV技术在云数据中心的规模应用探讨》 伴随着云计算技术的兴起,数据趋于大集中,传统电信系统网络架构成为阻碍云数据中心发展的巨大桎梏。为满足数据中心在云计算环境下的虚拟网络资源调度和共享需
软件定义安全
ducc20180301的博客
08-03 1060
概述 大多数的安全产品都和软件有关系,现在很多公司卖的安全硬件盒子也是操作系统加安全软件的结合体,操作系统本身也是软件。所以软件安全的一个重要组成部分,甚至在某种程度上说软件决定安全产品,软件定义安全。 一、软件无处不在 在这个瞬息万变的时代,软件扮演着越来越重要的角色,人们可以随时随地用手机或平板电脑办公,手机或平板上运行的都是软件。在很多业务领域中,都需要打通PC和移动平台。凭借互联网和云计算解决方案,企业可以实现软件产品的本地化和全球部署发布。 随着信息技术的发展,世界正在变得更加“智慧
软件定义网络安全:一种"零接触"方法
weixin_33701564的博客
07-03 248
实现软件定义网络安全的方法之一是对网络管理采用“零接触”的方法。下面让我们了解如何实现这种方法以及在这之前需要做出什么改变。 软件定义网络(SDN)是比较宽泛的术语,SDN对于不同的人意味着不同的东西。其中一个原始定义偏向于流量控制,网络虚拟化和NFV通常也被认为是SDN;另一种SDN概念则侧重于设备管理和配置,而通过SDN提供软件定义网络安全又是另一个...
软件定义网络安全:担心并期待着
weixin_34417814的博客
08-01 254
严肃地说,软件定义网络安全问题一直存在。SDN用户应该像其他人一样关注他们的网络漏洞,或许比以往任何时候都要更关注,原因有:(1)他们正在改变他们网络的工作方式,(2)他们正在使用相对较新的技术。例如,在发现安全问题得到修复时,他们都需要马上更新系统和安装补丁。许多网络管理员一直在安装基础架构安全补丁时行动迟缓;在混合使用如此多新硬件和软件的环境中,这...
软件定义网络安全:还需要操心什么?
weixin_33755557的博客
08-01 130
关于软件定义安全的担忧是真实的。SDN用户对其的担忧直逼网络漏洞,也许更甚,原因不外乎:a.他们正在为其网更改新的规则;b.他们采用的是相对较新的技术。当发现安全问题需要修复时,他们得费心思更新系统和打补丁。很多网络管理员在其现有基础设施上进行安全修复工作进展相当缓慢。 如果他们采用的是经典的SDN(即网络控制和网络数据包处理相分离),他们要对控制器和...
软件定义安全的一点点理解
martinwz的博客
01-15 6646
万事开头难,中间也难,最后也难。第一次写博客,内容、排版都不太好,请见谅。文章内容部分来源绿盟的《软件定义下的新型安全架构和实践》、《软件定义安全》以及《软件定义安全SDN/NFV新型网络安全揭秘》这本书。 1.SDN/NFV 软件定义网络SDN),是网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的...
SDN攻防技术探析.pdf
09-06
SDN(Software Defined Networking,软件定义网络)是一种新兴的网络架构,它将网络的控制面与数据面分离,使得网络的管理和控制更加集中化、灵活化。然而,随着SDN技术的广泛应用,其安全问题也日益凸显。这篇学术...
软件定义广域网(SD-WAN)》报告.pdf
12-24
本研究从 SD-WAN 的概念、发展环境、技术特点、考量因素、发展现状、商业模式、网络安全、发展趋势等八个部分切入,进行了深入分析。第一部分对 SD-WAN 这一研究对象的概念做出界定,并简要介绍了其架构。第二部分从...
华南理工大学研究生课程《高级计算机网络安全》考试复习
BUB1997的博客
05-28 6845
授课学院:计算机学院 授课教师:胡金龙老师 题型:简答、分析、综合 考试内容: 1.专题3-10:可信计算体系、TLS 1.3、差分隐私、零知识证明、格密码、区块链安全、物联网安全软件定义网络安全 2.老师讲的内容:对称加密/非对称加密、数字证书、消息认证码、哈希函数等 以上内容的原理、特点、应用 老师讲的内容由PPT给出,这里主要总结专题3-10的一些基础知识 考完了……201...
ubuntu14.04安装Mininet2.2.2版本
03-24
实现了在Ubuntu平台上面自动安装mininet软件的脚本文件,我自己使用没问题。
软件测试学习笔记(七)华三SDN测试
DZFinder的博客
04-06 1599
软件测试学习笔记(七)华三SDN测试 视频链接:软件测试_中国大学MOOC 1、谈谈你对功能列表作用的认识。 我认为功能列表填入了样品所有需要测试的功能特性,功能列表作为测试范围的依据,它很好的体现了功能列表的特点。 第一,它列出了图片的主要功能:输入、操作、应用、输出、打印和文件读写,使得测试人员能够在整体上把握被测领域。 第二,它的层次结构提供了可扩展的框架,测试人员可以持续地补充细节:具体...
mininet-2.2.2 百度云下载
ohohoohoho的专栏
04-17 1391
github托管到amazon上之后,在国内下载上面的资源就慢了很多。下载了mininet amd64 2.2.2版本的ovs镜像,托管到百度云上,供大家下载。 链接:https://pan.baidu.com/s/1m2Czf62FkqYyvvh3a_mVHg 提取码:67xw ...
mininet2.2.1 + floodlight1.9 环境搭建
bryanting的博客
04-18 750
简介 mininet是什么? Stanford 大学 Nick McKeown 教授领导的研究小组基于 Linux Container 架构,开发出了这套进程虚拟化的平台。在 Mininet 的帮助下,你可以轻易的在自己的笔记本上测试一个软件定义网络 (Software-Defined Networks),对基于 Openflow、Open vSwitch 的各种协议等进行开发验证,或者验...
网络系列--SDN安全
Cheney ' blog
05-02 1753
本文分析了当前SDN安全相关的研究论文,综合各类观点总结出本篇文章 文章目录一:网络空间安全概述1.1:网络空间1.2:网络空间安全1.3:网络空间安全形势二:SDN概述2.1:简介2.2:技术优势2.3:发展现状三:SDN安全问题3.1:SDN安全模型与传统网络安全模型对比3.2:OpenFlow协议安全性3.3:SDN各层/接口面临的安全问题四:SDN安全机制4.1:解决方案:4.1.1 SDN安全控制器的设计与开发4.1.2 可组合安全模块库的开发和部署4.1.3 控制器DoS/DDoS攻击防御4.
小型网络仿真搭建(防火墙功能)-SDN/Mininet/Ryu/OVS
最新发布
weixin_53284122的博客
11-04 1万+
中型网络的构建,利用SDN环境进行构建,实现防火墙功能
Open vSwitch--ovs snort入侵检测
专注-享学课堂
09-06 2189
计算,存储,网络安全,是构建任何大型数据中心都绕不过去的四个问题。云也不例外。在这个风起云涌的云时代,各厂商赛马般发布层出不穷的新技术,着实让我们目不暇接。很多人昨天刚玩过Xen,今天看到Redhat宣称KVM是其新的战略方向,又忍不住把KVM拿来折腾一番。大家习惯性地把注意力都放在了“计算”上,积累了不少“服务器虚拟化”的经验,却不知不觉冷落了其余三个方面。国外同行们热议Software
SDN综述
一元硬币
05-28 4482
论文1思想利用分层思想,将数据与控制分离。 控制层有逻辑中心化和可编程控制器。数据层有dump 交换机,只负责数据的转发,课快速处理匹配数据包,适应流量日益增长的需求。两层之间采用开放统一的接口(比如openflow)交互。控制器通过接口下发规则,交换机按照规则执行工作。体系结构架构2 SDN由北向南分为三个接口:数据平面、控制平面、和应用平面。数据平面与控制平面之间利用用SDN控制数据平面接口
快速ping_内有实例-软件定义网络SDN架构安全快速切入
weixin_39841717的博客
11-28 122
大家好,今天分享关于基于sdn架构安全快速切入。通过下文的整体介绍,相信你可以直观了解SDN架构安全应该是什么形态,根据自身安全基础环境和需求来打造贴身的动态安全防御能力。当然你也可以吸收思想后结合性能设备,实现动态性能调配。该文章是之前在其它博客平台写了一篇“网络安全建设如何做到安内攘外”的落地篇,如果你也有兴趣,我可以copy过来。其次动机是我一直不断思考如何让安全能力快速切入业务,实现安...
软件定义网络SDN):架构、技术与应用2021
综上所述,软件定义网络SDN)作为一种全新的网络架构理念,正在引领网络技术的发展方向。通过SDN技术,我们可以实现网络的灵活管理和动态调整,提高网络的性能和效率,满足不断增长的网络需求。同时,SDN还将推动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值