Solução para controle de conexão com a Internet em uma rede doméstica com SDN/OpenFlow

Transcrição

1 Solução para controle de conexão com a Internet em uma rede doméstica com SDN/OpenFlow Benevid Felix da Silva 1 1 Programa de Pós-Graduação em Informática Universidade Federal do Paraná (UFPR) Caixa Postal Curitiba PR Brazil benevid@inf.ufpr.br 1. Introdução As informações e os serviços disponíveis na Internet tem aumentado consideravelmente, especialmente o conteúdo multimídia e os serviços que proveem interatividade entre os usuários, como vídeo-conferências, transmissão de vídeo em tempo real, jogos online, entre outros. A transmissão destes conteúdos ou o acesso a estes serviços, dependem intensivamente do uso da banda de conexão com a Internet e são sensíveis a latência, principalmente para os seus maiores utilizadores, os usuários das redes domésticas [Fratczak et al. 2013]. Neste contexto das redes domésticas (Home Networks), a quantidade de dispositivos conectados é cada vez maior, saindo dos tradicionais computadores, celulares (smartphones), notebooks e tablets para Smart Tvs, consoles de jogos, e indo até os novos dispositivos inteligentes, como eletrodomésticos e eletro-eletrônicos [Kumar et al. 2013, Fratczak et al. 2013]. Está cada vez mais difícil para esta grande quantidade de dispositivos e aplicativos compartilharem a banda de acesso a Internet na base do melhor esforço, tornando a tarefa de gerenciar estas redes cada vez mais complexa [Kumar et al. 2013]. Este aumento da complexidade trouxe novos desafios para a gerência destas redes, especificamente em prover recursos que permitam aos usuários sem conhecimento técnico administrar questões relacionadas com segurança e uso da banda de acesso a Internet [Dixon et al. 2010]. Em relação a segurança, a consequência desta falta de recursos, tem levado ao comprometimento não só destas redes, mas também de toda a Internet, que sofre com constantes ataques de DDoS (Distributed Denial-of-Service) e inundação de SPANs, advindo muitas vezes de dispositivos situados em redes domésticos. Os administradores da rede são os próprios membros da casa, que muitas vezes desprezam a configuração de uma série de serviços essenciais, como backups, controle de segurança, atualização de hardware e de softwares [Fratczak et al. 2013]. Diferentemente das redes corporativas, as redes domésticas ou até mesmo as pequenas redes empresariais, não possuem condições de manter um profissional dedicado e com experiência para realizar as tarefas de gerência, devido ao custo, que na maioria dos casos, inviabiliza a contratação destes serviços. Uma abordagem que atualmente está em ascensão e pode contribuir com este cenário são as redes definidas por software (SDN - Software Defined Network). Uma SDN consiste basicamente em transferir o controle do encaminhamento de pacotes de um elemento da rede para um software remoto, podendo por exemplo, prover uma meio de abstrair toda a complexidade de gerência dos elementos da rede para uma terceira parte.

2 Em alguns trabalhos, como em [Feamster 2010], os autores sugerem uma abordagem SDN para coletar estatísticas sobre a atividade da rede para servir de entrada para filtros de SPAN ou algoritmos de detecção de softwares maliciosos. Em outras, como [Mortier et al. 2012, Kumar et al. 2013], os autores tem considerado soluções que utilizam SDN/OpenFlow a serem implantadas na rede dos provedores de acesso (ISP - Internet Service Provider) para oferecerem além do acesso a Internet, a função de gerência dos fluxos da rede, provendo qualidade de serviço e qualidade de experiência para os usuários. Um dos objetivos desta abordagem é transferir a complexidade da gerência para os provedores de acesso, abstraindo o controle de funções específicas da rede para uma forma mais legível ao usuário. As abordagens acima possuem aspectos positivos, no intuito de prover uma solução para um determinado problema, contudo existem muitos aspectos a serem considerados, como o comprometimento da privacidade, uma vez que os dados dos usuários da rede doméstica seriam tratados externamente (ISP), a falta de uma interface de gerenciamento que seja eficiente e atenda aos requisitos não técnicos dos usuários domésticos, priorização do tráfego não só de descida (domwload), mas também do subida (upload) de descida, assim como políticas de segurança que auxiliem os usuários de forma intuitiva para controle do tráfego da rede. Este trabalho propõe e avalia uma solução para auxiliar os usuários domésticos na priorização do tráfego de subida, atendendo aos requisitos de privacidade, através da adição do controlador como um componente interno da rede doméstica. 2. Redes Definidas por Software e OpenFlow As redes definidas por software (SDN do Inglês Software Defined Networks) surgiram com objetivo de permitir o estudo de novas arquiteturas e protocolos sobre a arquitetura de rede atual (Internet) [Foundation 2013]. O princípio básico da SDN, demonstrado pela figura 1, consiste em programar as funções dos elementos da rede (roteadores, comutadores, etc). No modelo atual, os elementos são dependentes de APIs proprietárias e consequentemente inviabilizam a implantação de novos protocolos e arquiteturas, dificultando, por exemplo, utilizar soluções que atendam as limitações (endereçamento, mobilidade, etc.) da Internet atualmente. A arquitetura SDN, com base na proposta da ONF (Open Networking Foundation), possui três camadas distintas: Camada de Aplicação : consiste nas aplicações dos usuários finais que utilizam os serviços de comunicação SDN. A ligação entre a camada de aplicação e a camada de controle é feita com o uso de APIs; Camada de Controle : provê a funcionalidade de controle que supervisiona os encaminhamentos das redes através de uma interface aberta; Camada de Infraestrutura : consiste nos elementos da rede e dispositivos que realizam a troca e o encaminhamento de pacotes. O OpenFlow, proposto pela Universidade de Standford, é um protocolo de comunicação que separa as camadas de controle (controlador) da camada de infraestrutura (plano de dados) em uma arquitetura SDN. Ele permite a manipulação das tabelas de fluxos dos dispositivos da rede, como roteadores e comutadores [Guedes et al. 2012].

3 Figura 1. Modelo programável (SDN) vs. modelo atual [Rothenberg et al. 2010] Um comutador habilitado com OpenFlow tem pelo menos por três partes: uma tabela de fluxos, com uma ação associada com cada fluxo de entrada, com objetivo de dizer ao comutador como processar o fluxo; um canal seguro, que conecta o comutador ao controlador remoto, permitindo que comandos e pacotes sejam trocados entre eles; e o protocolo OpenFlow, utilizado como padrão de comunicação entre o controlador e um ou mais comutadores [McKeown et al. 2008].Cada fluxo de entrada em um comutador OpenFlow está associado basicamente a três ações: Encaminhar o fluxo de pacotes para uma determinada porta: isso permite ao pacote ser roteado através da rede; Encapsular e encaminhar o fluxo de pacotes para o controlador: tipicamente é utilizado para o primeiro pacote de um novo fluxo, para o controlador poder decidir se o fluxo é ou não adicionado a Tabela de Fluxos. Opcionalmente, pode-se redirecionar todos os pacotes para o controlador; Descartar o fluxo de pacotes: caso o fluxo não seja desejado, seja por questões de segurança, como evitar um ataque de negação de serviço (DoS), seja por questões de gerenciamento, para inibir o tráfego broadcast na rede. Um fluxo possui um conjunto de campos do cabeçalho (tuplas) do pacote recebido pelo dispositivo, como exemplificado pela Figura 2. As tuplas são campos da camada de enlace, de rede ou transporte, tendo como base a pilha de protocolos TCP/IP. O controlador OpenFlow gerencia e controla as tabelas de fluxo nos comutadores. Contudo, [Rothenberg et al. 2010] ressalta que muitas aplicações de rede podem ser desenvolvidas e anexadas aos mesmos para uma infinidade de objetivos. Atualmente é possível incorporar a tecnologia SDN em uma grande quantidade de dispositivos de rede presentes em grande parte das redes domésticas, como roteadores sem fio, comutadores, etc., separando o plano de controle dos equipamentos, de modo que seja possível abstrair as funções de gerenciamento para que seja realizada por um terceira parte, através da nuvem, ou até mesmo realizada por uma aplicação autônoma. Existem dezenas de abordagens que propõe soluções para o gerenciamento de redes domésticas utilizando SDN, e muitas tem-se mostrado promissoras em relação aos

4 Figura 2. Exemplo dos campos de cabeçalho disponíveis no OpenFlow [Rothenberg et al. 2010] problemas de gerenciamento e segurança. Algumas destas são apresentadas na próxima seção como trabalhos relacionados à proposta deste trabalho. 3. Trabalhos Relacionados Os trabalhos aqui relacionados utilizam basicamente a abordagem SDN/OpenFlow para implementar soluções de controle de fluxo de uma rede doméstica. A proposta de [Kim et al. 2011] implementou uma série de funções de gerenciamento para o usuário ter controle do uso da banda de acesso a Internet, uma vez que determinados provedores de serviço estabelecem de forma contratual um limite de transferência de dados mensal. Estas funções proveem visibilidade sobre as diferentes atividades e aplicações que utilizam a rede, além de permitir a alocação de banda entre os usuários conforme a quantidade contratada. O sistema coleta estatística de uso da rede e encaminha para um controlador centralizado, o qual apresenta para o usuário especificar as políticas para os dispositivos da rede. A complexidade em definir as políticas pode ser um fator que dificulta o uso da solução. Tal como a proposta anterior, [Mortier et al. 2012] provê uma arquitetura para gerenciamento de fluxo das redes domésticas. A arquitetura é baseada no controlador NOX e Open vswitch 1 para prover aos usuários domésticos a possibilidade de gerenciar os dispositivos da rede e o tráfego subsequente. A implementação do roteador e controlador é realizada em um laptop, agregando também serviços de gerenciamento de endereços, resolução de nomes e controle das chaves da rede sem fio. Os equipamentos tradicionais (roteadores sem fio), que possuem menos recursos computacionais que um laptop, podem não suportar a implementação de todos estes serviços. No trabalho de [Kumar et al. 2013] é proposto uma arquitetura baseada em SDN que delega aos provedores de acesso (ISP) o controle e gerenciamento do tráfego dos usuários residenciais, permitindo que isto seja oferecido como um serviço e objetivando empregar qualidade de serviço para o tráfego de download. Nesta arquitetura são os próprios usuários que personalizam suas políticas de gerenciamento, como priorização de determinados tráfegos ou dispositivos, através de uma interface remota de controle. Ao encaminhar os dados dos usuários para serem tratados em um controlador situado na rede dos provedores pode incorrer na violação de privacidade dos usuários. Estas abordagens apresentadas contribuem com a tarefa de gerência de configuração das redes domésticas. Contudo, questões como a privacidade dos usuários e controle da banda de upload ainda precisam ser consideradas. Prover também aos 1 Open vswitch é uma implementação virtual de um switch que pode ser utilizada em computadores, roteadores, etc -

5 usuários das redes domésticas uma interface que abstraia a complexidade de gerenciamento, sem retirar sua responsabilidade de controlar a rede, é um desafio que tem sido objetivado por muitos autores. 4. Proposta Neste trabalho pretende-se avaliar uma solução que seja complementar às abordagens de priorização de tráfego, contudo, auxiliando os usuários domésticos no controle do tráfego de subida (upload). Adicionalmente, para atender os requisitos de privacidade, adicionase o controlador como um componente interno da rede doméstica. Considera-se para esta proposta uma topologia típica de uma rede doméstica, conforme Figura 3, onde um equipamento (modem/roteador) se conecta a rede do ISP, utilizando uma conexão assíncrona provida pela tecnologia ADSL (Asymmetric Digital Subscriber Line), provendo o acesso entre os dispositivos e a Internet. Cabe ressaltar que as conexões com o provedor geralmente possuem uma velocidade de DOWNLOAD maior que a velocidade de UPLOAD. Não é escopo deste trabalho discutir esta relação uma vez que pode variar de acordo com o serviço utilizado (ADSL, ADSL2, etc) e o plano contratado junto ao ISP. Neste trabalho considera-se a figura do roteador sem fio como o dispositivo responsável pelo roteamento de todas as conexões da rede local com o ISP (Internet), o qual pretende-se separar o plano de dados do plano de controle. Figura 3. Topologia da rede doméstica O plano de controle é separado fisicamente do plano de dados. Isto possibilita prover escalabilidade em relação ao número de dispositivos (roteadores), e permiti implantar outros serviços necessários em uma rede local, como proxy, firewall, armazenamento, etc., em um equipamento que pode ter maior capacidade computacional. A priorização do tráfego será implementada através da API disponível pelo controlador Floodlight [flo 2014], que é um controlador OpenFlow que possui uma grande comunidade envolvida em torno do mundo, foi projetado para ser de fácil configuração e instalação, tendo uma interface amigável para ambos desenvolvedores e usuários [Araujo 2013]. O Floodlight trabalha em um sistema modular, o que facilita a implantação de novas aplicações junto ao controlador. De um modo geral, a proposta de priorizar o tráfego de upload caracterizam o atual contexto das redes domésticas. Nestas redes um grande número de dispositivos e aplicativos ficam sincronizando com serviços em nuvens, gerando concorrência com aplicações que precisam ter mais prioridade conforme desejo do usuário. Deste modo,

6 uma aplicação (módulo) que tenha acesso ao tráfego da rede, pode priorizar determinados tráfegos, baseado em configurações pré-estabelecidas ou mediante consulta aos usuários. 5. Cenários e Métricas para validação da proposta 5.1. Cenário Para analisar o desempenho do módulo proposto é necessário reproduzir uma topologia que represente um contexto típico de uma rede doméstica. Deste modo, conforme Figura 4, pretende-se utilizar uma rede contendo 5 dispositivos conectados ao roteador (r1). Utilizando ferramentas de geração de tráfego, serão encaminhados pacotes no sentido dispositivos para o computador i1 (uplink), que neste caso representa o ISP, afim de que o aplicativo possa intervir e aplicar as políticas de priorização que forem determinadas. Figura 4. Topologia utilizada para avaliação A implementação deste cenário será feita utilizando o simulador MININET [Lantz et al. 2010], o qual permite implementar o cenário de rede proposto baseado em SDN/OpenFlow. O controlador será executado em um dispositivo externo ao ambiente simulado, juntamente com a aplicação que fará a priorização do tráfego Definição das Métricas Para validar a solução, serão consideradas as métricas comuns na avaliação da qualidade de serviço [Araujo 2013], como: Largura de Banda - taxa de fluxo de dados da rede (bits/s); Latência - o tempo medido na transferência de dados de uma origem a um destino, também conhecida como atraso; Jitter - que é a variação estatística do atraso entre sucessivos pacotes; Perda de pacotes - taxa de pacotes que são perdidos durante um intervalo de transmissão. Vazão - taxa média de pacotes entregues com sucesso durante um intervalo de transmissão. Estas métricas serão utilizadas para verificar se a priorização do tráfego entre os emissores e o receptor está ocorrendo como determinado pelo módulo de controle.

7 6. Atividades e Cronograma Para concluir este trabalho ainda restam as seguintes atividades 1. Implementar o módulo de priorização de tráfego junto ao controlador FloodLight 2. Avaliar o comportamento do módulo junto ao cenário a ser implementado no simulador Mininet; 3. Escrita dos resultados na seção de avaliação deste artigo; 4. Elaborar uma apresentação da pesquisa e dos resultados obtidos. Tabela 1. Cronograma Semana Atividade Implementar o módulo no FloodLight x x Implementar o cenário no Mininet x x Avaliar o módulo no cenário proposto x Escrita do resultados (gerar gráficos, tabelas, etc) x Elaborar apresentação da pesquisa x Dentre as etapas apresentas, conforme cronograma da Tabela 1, o processo de implementação é considerado o mais crítico, sendo previsto cerca de 2 semanas para o mesmo. A implementação do cenário no MININET aproximadamente 1 semana, seguida dos testes e escritas dos resultados necessitando de mais 1 semana. Referências (2014). Projeto floodlight. Araujo, M. R. A. G. (2013). Uma abordagem para aprovisionamento de qos em redes definidas por software baseadas em openflow. Dixon, C., Mahajan, R., Agarwal, S., Brush, A., Lee, B., Saroiu, S., and Bahl, V. (2010). The home needs an operating system (and an app store). In Proceedings of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks, page 18. ACM. Feamster, N. (2010). Outsourcing home network security. In Proceedings of the 2010 ACM SIGCOMM workshop on Home networks, pages ACM. Foundation, O. N. (2013). Open flow enable mobile and wireless networks. In ONF Solution Brief, page 13. Fratczak, T., Broadbent, M., Georgopoulos, P., and Race, N. (2013). Homevisor: adapting home network environments. In Software Defined Networks (EWSDN), 2013 Second European Workshop on, pages IEEE. Guedes, D., Vieira, L., Vieira, M., Rodrigues, H., and Nunes, R. (2012). Redes definidas por software: uma abordagem sistêmica para o desenvolvimento de pesquisas em redes de computadores. Minicursos do Simpósio Brasileiro de Redes de Computadores- SBRC 2012, 30(4): Kim, H., Sundaresan, S., Chetty, M., Feamster, N., and Edwards, W. K. (2011). Communicating with caps: Managing usage caps in home networks. In ACM SIGCOMM Computer Communication Review, volume 41, pages ACM.

8 Kumar, H., Gharakheili, H. H., and Sivaraman, V. (2013). User control of quality of experience in home networks using sdn. In Advanced Networks and Telecommuncations Systems (ANTS), 2013 IEEE International Conference on, pages 1 6. IEEE. Lantz, B., Heller, B., and McKeown, N. (2010). A network in a laptop: rapid prototyping for software-defined networks. In Proceedings of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks, page 19. ACM. McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S., and Turner, J. (2008). Openflow: enabling innovation in campus networks. ACM SIGCOMM Computer Communication Review, 38(2): Mortier, R., Rodden, T., Lodge, T., McAuley, D., Rotsos, C., Moore, A. W., Koliousis, A., and Sventek, J. (2012). Control and understanding: Owning your home network. In Communication Systems and Networks (COMSNETS), 2012 Fourth International Conference on, pages IEEE. Rothenberg, C. E., Nascimento, M. R., Salvador, M. R., and Magalhães, M. F. (2010). Openflow e redes definidas por software: um novo paradigma de controle e inovação em redes de pacotes. Cad. CPqD Tecnologia, Campinas, 7(1):65 76.