- Văn bản
- Lịch sử
In order to retain confidentiality
In order to retain confidentiality and data integrity, the internal components of the SDN
devices need to be safeguarded individually. The research team suggests the use of a Trusted
Computing Base, a separated and secured hardware and software section of system. The
concept of Rosemary (see 4.3.7) fulfils this requirement as it separates the control software
from applications and requires access credentials. Moreover, the ONF extensively covers the
demand for data protection in their fifth principle, ”Protect Operational Reference Data”[99].
However, only sensitive data such as policies, credentials, and service descriptions are listed.
The ONF does not explicitly require a security mechanism for the NIB of the controller or
the forwarding tables of the switch. A disclosure attack on these databases could reveal an
ample amount of information about the network. As it can be assumed that TLS and SSH
have to be used to acquire this data due to the ONF security requirements, a two-factor
authentication measure might be superfluous. A second detriment is the negative impact of
an encrypted lookup table on flow latency and performance.
Consequently, this security principle might be redundant in the overall scheme. The individual benefits are covered by similar suggestions or the effective and secure implementation
of the OpenFlow protocol and the protocol itself can thus be considered a secure compo
nent of the system, if the requirements are fulfilled. Extending the principle, the control
topology of the controller and the flow tables of switches may be considered parts of the
network which have to be secured or securely assembled. Several tools to verify the network
policy, topology and overall correctness of the network system are already available. The
algorithms check and examine network configuration based on invariants and models and
alert the administrator if violations occur while providing concrete examples. [12], [59]
As evidenced by the Denial of Service threat, TCAM table sizes are a significant and exploitable issue in the current SDN design.
The application module SPHINX [123] is a comprehensive project to protect the controller
and the table size of switches. The framework operates as a intrusion detection system and
is able to detect a multitude of attack types, including TCAM exhaustion attacks, topology
spoofing, blackhole routing, and general DoS traffic targeting the controller. The application
is inserted as a proxy layer between the control and data plane and monitors incoming switch
packets. Based on the metadata of the packets, a network graph and traffic database are
constructed (see Figure 4.3). Any deviations in the trusted topology, attempts to exhaust
the limit of table entries in switches, or excessive traffic patterns are instantly reported to the
administrator. As it does not solve the raised alerts, SPHINX can not be considered a Self
Healing Mechanism. Nonetheless, its inherent and controller-agnostic intrusion detection
functionality aptly illustrates a general concept to protect the integrity of data stores in
SDN.
devices need to be safeguarded individually. The research team suggests the use of a Trusted
Computing Base, a separated and secured hardware and software section of system. The
concept of Rosemary (see 4.3.7) fulfils this requirement as it separates the control software
from applications and requires access credentials. Moreover, the ONF extensively covers the
demand for data protection in their fifth principle, ”Protect Operational Reference Data”[99].
However, only sensitive data such as policies, credentials, and service descriptions are listed.
The ONF does not explicitly require a security mechanism for the NIB of the controller or
the forwarding tables of the switch. A disclosure attack on these databases could reveal an
ample amount of information about the network. As it can be assumed that TLS and SSH
have to be used to acquire this data due to the ONF security requirements, a two-factor
authentication measure might be superfluous. A second detriment is the negative impact of
an encrypted lookup table on flow latency and performance.
Consequently, this security principle might be redundant in the overall scheme. The individual benefits are covered by similar suggestions or the effective and secure implementation
of the OpenFlow protocol and the protocol itself can thus be considered a secure compo
nent of the system, if the requirements are fulfilled. Extending the principle, the control
topology of the controller and the flow tables of switches may be considered parts of the
network which have to be secured or securely assembled. Several tools to verify the network
policy, topology and overall correctness of the network system are already available. The
algorithms check and examine network configuration based on invariants and models and
alert the administrator if violations occur while providing concrete examples. [12], [59]
As evidenced by the Denial of Service threat, TCAM table sizes are a significant and exploitable issue in the current SDN design.
The application module SPHINX [123] is a comprehensive project to protect the controller
and the table size of switches. The framework operates as a intrusion detection system and
is able to detect a multitude of attack types, including TCAM exhaustion attacks, topology
spoofing, blackhole routing, and general DoS traffic targeting the controller. The application
is inserted as a proxy layer between the control and data plane and monitors incoming switch
packets. Based on the metadata of the packets, a network graph and traffic database are
constructed (see Figure 4.3). Any deviations in the trusted topology, attempts to exhaust
the limit of table entries in switches, or excessive traffic patterns are instantly reported to the
administrator. As it does not solve the raised alerts, SPHINX can not be considered a Self
Healing Mechanism. Nonetheless, its inherent and controller-agnostic intrusion detection
functionality aptly illustrates a general concept to protect the integrity of data stores in
SDN.
0/5000
Để duy trì tính bảo mật và dữ liệu toàn vẹn, các thành phần nội bộ của SDNthiết bị cần phải được gìn riêng. Nhóm nghiên cứu cho thấy việc sử dụng của một site tin cậyMáy tính cơ sở, một tách ra và bảo đảm phần cứng và phần mềm của hệ thống. CácCác khái niệm của Rosemary (xem 4.3.7) fulfils yêu cầu này khi nó tách phần mềm điều khiểntừ các ứng dụng và yêu cầu thông tin đăng nhập truy cập. Hơn nữa, ONF rộng rãi bao gồm cácnhu cầu bảo vệ dữ liệu của họ về nguyên tắc thứ năm, "Bảo vệ hoạt động dữ liệu tham khảo" [99].Tuy nhiên, chỉ các dữ liệu nhạy cảm chẳng hạn như chính sách, thông tin đăng nhập, và mô tả Dịch vụ được liệt kê.ONF không rõ ràng yêu cầu một cơ chế bảo mật cho New của bộ điều khiển hoặcCác bảng chuyển tiếp chuyển đổi. Cuộc tấn công bố vào các cơ sở dữ liệu có thể tiết lộ mộtsố tiền phong phú của các thông tin về mạng. Như nó có thể được giả định rằng TLS và SSHđã được sử dụng để có được dữ liệu này do yêu cầu bảo mật ONF, hai nhân tốbiện pháp xác thực có thể được thừa. Một tổn hại thứ hai là tác động tiêu cực củamột bảng tra cứu được mã hóa trên dòng chảy độ trễ và hiệu suất.Do vậy, nguyên tắc bảo mật này có thể là dư thừa trong các đề án tổng thể. Những lợi ích cá nhân được bao phủ bởi lời đề nghị tương tự hoặc việc thực hiện hiệu quả và an toàngiao thức OpenFlow và giao thức chính nó có thể do đó được coi là an toàn dùngnent của hệ thống, nếu các yêu cầu được thực hiện. Mở rộng các nguyên tắc, bộ điều khiểncấu trúc liên kết của bộ điều khiển và bảng dòng thiết bị chuyển mạch có thể được coi là một phần của cácmạng mà phải được bảo đảm hoặc lắp ráp một cách an toàn. Một số công cụ để xác minh mạngchính sách, cấu trúc liên kết và tổng thể đúng đắn của hệ thống mạng đã có sẵn tại đây. Cácthuật toán kiểm tra và kiểm tra cấu hình mạng dựa trên invariants và mô hình vàcảnh báo người quản trị nếu vi phạm xảy ra trong khi cung cấp các ví dụ cụ thể. [12], [59]Như thể hiện bởi các mối đe dọa từ chối dịch vụ, TCAM bảng kích thước là một vấn đề quan trọng và khai thác trong thiết kế SDN hiện tại.Các mô-đun ứng dụng nhân sư [123] là một dự án toàn diện để bảo vệ bộ điều khiểnvà kích thước bảng của thiết bị chuyển mạch. Khuôn khổ hoạt động như một hệ thống phát hiện xâm nhập vàcó thể phát hiện một vô số các loại tấn công, bao gồm TCAM kiệt sức tấn công, cấu trúc liên kếtgiả mạo, blackhole định tuyến và chung DoS lưu lượng truy cập nhắm mục tiêu bộ điều khiển. Các ứng dụngđược đưa vào như là một lớp proxy giữa máy bay kiểm soát và dữ liệu và theo dõi các chuyển đổigói tin. Dựa trên các siêu dữ liệu của các gói dữ liệu, một mạng đồ thị và lưu lượng truy cập cơ sở dữ liệuxây dựng (xem hình 4.3). Bất kỳ độ lệch trong tô pô đáng tin cậy, cố gắng để thảigiới hạn của bảng mục trong thiết bị chuyển mạch, hoặc lưu lượng truy cập quá nhiều mẫu ngay lập tức được báo cáo cácngười quản trị. Như nó không giải quyết các cảnh báo lớn lên, nhân sư có thể không được coi là một tựChữa bệnh cơ chế. Tuy nhiên, phát hiện xâm nhập vốn có và thuyết bất khả tri điều khiển của nóchức năng được minh hoạ một khái niệm chung để bảo vệ sự toàn vẹn của dữ liệu mua sắm ởSDN.
đang được dịch, vui lòng đợi..
Để giữ bí mật và toàn vẹn dữ liệu, các thành phần bên trong của SDN
thiết bị cần phải được bảo vệ cá nhân. Nhóm nghiên cứu cho thấy việc sử dụng một Trusted
Computing Base, một phần cứng và phần mềm phần tách ra và đảm bảo của hệ thống. Các
khái niệm về Rosemary (xem 4.3.7) đáp ứng yêu cầu này vì nó phân tách các phần mềm điều khiển
từ các ứng dụng và yêu cầu quyền truy cập. Hơn nữa, các ONF rộng rãi bao gồm các
nhu cầu về bảo vệ dữ liệu trong nguyên tắc thứ năm của họ, "Bảo vệ dữ liệu tham khảo hoạt động" [99].
Tuy nhiên, dữ liệu chỉ nhạy cảm như chính sách, thông tin, và mô tả dịch vụ được liệt kê.
Các ONF không đòi hỏi một cách rõ ràng cơ chế bảo mật cho NIB của bộ điều khiển hoặc
các bảng chuyển tiếp của chuyển mạch. Một cuộc tấn công bố thông tin về các cơ sở dữ liệu có thể tiết lộ một
số lượng phong phú của thông tin về mạng. Vì nó có thể được giả định rằng TLS và SSH
phải được sử dụng để thu thập dữ liệu này do các yêu cầu an ninh ONF, hai yếu tố
biện pháp xác thực có thể là không cần thiết. Một phương hại thứ hai là tác động tiêu cực của
một bảng tra cứu mã hóa trên độ trễ dòng chảy và hiệu suất.
Do đó, nguyên tắc bảo mật này có thể là dư thừa trong toàn bộ kế hoạch. Những lợi ích cá nhân được bảo hiểm bởi lời đề nghị tương tự hoặc thực hiện hiệu quả và an toàn
của các giao thức OpenFlow và các giao thức riêng của mình do đó có thể được coi là một compo an toàn
nent của hệ thống, nếu yêu cầu được đáp ứng. Mở rộng các nguyên tắc, việc kiểm soát
cấu trúc liên kết của bộ điều khiển và các bảng dòng thiết bị chuyển mạch có thể được coi là bộ phận của
mạng đó phải được bảo đảm an toàn hoặc lắp ráp. Một vài công cụ để kiểm tra các mạng lưới
chính sách, cấu trúc liên kết và tính đúng đắn tổng thể của hệ thống mạng đã có sẵn. Các
thuật toán kiểm tra và kiểm tra cấu hình mạng dựa trên bất biến và các mô hình và
cảnh báo cho người quản trị nếu xảy ra vi phạm trong khi cung cấp ví dụ cụ thể. [12], [59]
Như bằng chứng là từ chối dịch vụ đe dọa, kích thước bảng TCAM là một vấn đề quan trọng và có thể khai thác trong thiết kế SDN hiện hành.
Các module ứng dụng SPHINX [123] là một dự án toàn diện để bảo vệ các bộ điều khiển
và kích thước bảng các thiết bị chuyển mạch. Các khuôn khổ hoạt động như một hệ thống phát hiện xâm nhập và
có thể phát hiện vô số các kiểu tấn công, bao gồm cả các cuộc tấn công TCAM kiệt sức, topology
giả mạo, định tuyến Blackhole, và giao thông nói chung DoS nhắm mục tiêu điều khiển. Các ứng dụng
được đưa vào như là một lớp proxy giữa phẳng điều khiển và dữ liệu và màn hình incoming chuyển đổi
các gói tin. Căn cứ vào các siêu dữ liệu của các gói tin, một đồ thị mạng và cơ sở dữ liệu giao thông được
xây dựng (xem Hình 4.3). Bất kỳ sai lệch trong cấu trúc liên kết tin cậy, cố gắng để xả
giới hạn các mục bảng chuyển mạch, hoặc mô hình giao thông quá mức ngay lập tức được báo cáo cho
quản trị viên. Vì nó không giải quyết được các cảnh báo được nâng lên, Nhân sư không thể được coi là một tự
cơ chế chữa bệnh. Tuy nhiên, phát hiện xâm nhập cố hữu và điều khiển-agnostic của nó
chức năng khéo léo minh họa một khái niệm chung để bảo vệ sự toàn vẹn của các cửa hàng dữ liệu trong
SDN.
thiết bị cần phải được bảo vệ cá nhân. Nhóm nghiên cứu cho thấy việc sử dụng một Trusted
Computing Base, một phần cứng và phần mềm phần tách ra và đảm bảo của hệ thống. Các
khái niệm về Rosemary (xem 4.3.7) đáp ứng yêu cầu này vì nó phân tách các phần mềm điều khiển
từ các ứng dụng và yêu cầu quyền truy cập. Hơn nữa, các ONF rộng rãi bao gồm các
nhu cầu về bảo vệ dữ liệu trong nguyên tắc thứ năm của họ, "Bảo vệ dữ liệu tham khảo hoạt động" [99].
Tuy nhiên, dữ liệu chỉ nhạy cảm như chính sách, thông tin, và mô tả dịch vụ được liệt kê.
Các ONF không đòi hỏi một cách rõ ràng cơ chế bảo mật cho NIB của bộ điều khiển hoặc
các bảng chuyển tiếp của chuyển mạch. Một cuộc tấn công bố thông tin về các cơ sở dữ liệu có thể tiết lộ một
số lượng phong phú của thông tin về mạng. Vì nó có thể được giả định rằng TLS và SSH
phải được sử dụng để thu thập dữ liệu này do các yêu cầu an ninh ONF, hai yếu tố
biện pháp xác thực có thể là không cần thiết. Một phương hại thứ hai là tác động tiêu cực của
một bảng tra cứu mã hóa trên độ trễ dòng chảy và hiệu suất.
Do đó, nguyên tắc bảo mật này có thể là dư thừa trong toàn bộ kế hoạch. Những lợi ích cá nhân được bảo hiểm bởi lời đề nghị tương tự hoặc thực hiện hiệu quả và an toàn
của các giao thức OpenFlow và các giao thức riêng của mình do đó có thể được coi là một compo an toàn
nent của hệ thống, nếu yêu cầu được đáp ứng. Mở rộng các nguyên tắc, việc kiểm soát
cấu trúc liên kết của bộ điều khiển và các bảng dòng thiết bị chuyển mạch có thể được coi là bộ phận của
mạng đó phải được bảo đảm an toàn hoặc lắp ráp. Một vài công cụ để kiểm tra các mạng lưới
chính sách, cấu trúc liên kết và tính đúng đắn tổng thể của hệ thống mạng đã có sẵn. Các
thuật toán kiểm tra và kiểm tra cấu hình mạng dựa trên bất biến và các mô hình và
cảnh báo cho người quản trị nếu xảy ra vi phạm trong khi cung cấp ví dụ cụ thể. [12], [59]
Như bằng chứng là từ chối dịch vụ đe dọa, kích thước bảng TCAM là một vấn đề quan trọng và có thể khai thác trong thiết kế SDN hiện hành.
Các module ứng dụng SPHINX [123] là một dự án toàn diện để bảo vệ các bộ điều khiển
và kích thước bảng các thiết bị chuyển mạch. Các khuôn khổ hoạt động như một hệ thống phát hiện xâm nhập và
có thể phát hiện vô số các kiểu tấn công, bao gồm cả các cuộc tấn công TCAM kiệt sức, topology
giả mạo, định tuyến Blackhole, và giao thông nói chung DoS nhắm mục tiêu điều khiển. Các ứng dụng
được đưa vào như là một lớp proxy giữa phẳng điều khiển và dữ liệu và màn hình incoming chuyển đổi
các gói tin. Căn cứ vào các siêu dữ liệu của các gói tin, một đồ thị mạng và cơ sở dữ liệu giao thông được
xây dựng (xem Hình 4.3). Bất kỳ sai lệch trong cấu trúc liên kết tin cậy, cố gắng để xả
giới hạn các mục bảng chuyển mạch, hoặc mô hình giao thông quá mức ngay lập tức được báo cáo cho
quản trị viên. Vì nó không giải quyết được các cảnh báo được nâng lên, Nhân sư không thể được coi là một tự
cơ chế chữa bệnh. Tuy nhiên, phát hiện xâm nhập cố hữu và điều khiển-agnostic của nó
chức năng khéo léo minh họa một khái niệm chung để bảo vệ sự toàn vẹn của các cửa hàng dữ liệu trong
SDN.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- We shouldn't eats a lot in the evening
- không ai hoan̉ hảo trên thế giới này
- FUCK
- “I had a learning moment at Manchester U
- và những món đặc sản
- bạn gái của tôi
- designed by Max Abramovitz, with the pla
- Gồm
- cho biết
- Any language of this writing
- The winter stars, the illuminations on t
- my appointment is at half past elevent
- Thế là một lần nữa gia đình tôi la
- The winter stars, the illuminations on t
- my appointment is at half past eleven
- 江湖相士周一仙@演员赵立新 、炼血堂野狗@陈创real 、天音阁普智@吴樾 、合
- mumidfielder crick says it is "desrespec
- the dog on i : dog p.anh , dog Hằng , do
- mumidfielder crick says it is "desrespec
- the dog on i : dog p.anh , dog Hằng , do
- không ai hoan̉ hảo trên thế giới này
- What is the length of
- garbage dump
- và những món đặc sản
