لخّصلي

خدمة تلخيص النصوص العربية أونلاين،قم بتلخيص نصوصك بضغطة واحدة من خلال هذه الخدمة

نتيجة التلخيص (التلخيص باستخدام خوارزمية التجزئة)

3.1 مقدمة عن املشاكل األمنية اليت تعاين منها شبكات SDN :
صحيح أن عملية فصل طبقة املعطيات عن طبقة التحكم أ دت إىل قفزة نوعية يف عامل الشبكات،
ه وخالل الفرتة السابقة،
اخلطوة إىل نشوء ثغرات جديدة مل تكن موجودة يف الشبكات التقليدية،
جه حقيقي ملعاجلة قضااي األمن والوثوقية ضمن شبكات SDN ،
االهتمام بشكل أكرب وأصبح هنالك تو
بدأت العديد من األحباث تتناول هذه األخطار ونقاط الضعف والتهديدات اليت جنمت عن هذه التقنية اجلديدة،
دم هذه األحباث بعض احللول اليت ينبغي أخذها بعني االعتب
وبدأت تق ار منذ اخلطوة األوىل يف بناء شبكة
SDNواليت قد تساهم بتفادي تلك التهديدات ومواجهتها وختفيف خطرها.
تتمتع الشبكات التقليدية مبناعة طبيعية ضد اهلجمات الشائعة نظرا
جتانس الربجميات والتحكم الالمركزي،
ل أحد املهامجني نقطة ضعف لألجهزة امل
تتأثر على اعتبار أّنا تتبع لشركات مصن SDN فوجود بروتوكول Flow Open املشرتك
بني مجيع الشركات سوف يزيد من خطورة التهديدات ونشر أعطال مشرتكة ،
شبكات SDN فكرة رائعة يف عامل الشبكات لكن قامت بزايدة سطح اخلطر والتهديدات،
قضااي األمن والوثوقية dependability and security واحللول الواجب أخذها بعني االعتبار عند تصميم شبكة
3.2 التهديدات واألخطار اليت تعاين منها شبكات SDN :
متتلك شبكات SDN مستني أساسيتني جتلعها مصدر جذب للمهامجني واملخرتقني ومصدر قلق ألصحاب هذه
برجمة الشبكة ابستخدام برجميات software 2 .
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ألحد املتحكمات يعين الوصول والتحكم بكامل الشبكة.
شبكات SDN واليت جنمعها يف الشكل )3-1 )مع احللول البسيطة املقرتحة: ]40،
يف الشبكة أو من خالل مهاجم خبيث يستخدم أحد مكوانت الشبكة )موجه،
إلطالق طرود أبعداد كبرية من أجل حتقيق هجوم قطع اخلدمة DoS( Service of Denial )واليت قد تكون مثالً
ضد املبدالت اليت تعمل بربوتوكول Flow Open وذلك من أجل استهالك مجيع الذواكر TCAM ( Ternary
Memory Addressable Content )املوجودة ضمن املبدل.
للمشكلة ب Intrusion Detection System(
( مدعومة أبنظمة معرفة السبب احلقيقي املسب -Root Runtime
Analysis Cause وذلك لكشف السلوك الغري طبيعي لعناصر الشبكة،
َ د معني ملعدل طلبات التحكم(.
الديناميكي بسلوك املبدل )مثالً: وضع ح
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
إمكانية: جتاهل طرد ما،
إعادة توجيه طرد ما إىل وجهة خاطئة،
الشبكة أو حىت حقن معطيات أو طلبات ومهية يف الشبكة وذلك إلسقاط املتحكمات أو املبدالت اجملاورة.
احلل املقرتح: استخدام آليات من أجل إجراء عمليات املصادقة على الربامج مثل أنظمة إدارة الثقة الذاتية
والذي قد ي DoS أو لسرقة معطيات.
مت استخدام تقنية التعمية SSl/TLS من أجل هكذا اتصاالت،
وخاصة وأن هنالك العديد من األحباث تشري إىل نقاط الضعف اخلاصة بـ SSL/TLS حيث أّنا تعتمد على بنية
أمن هذه االتصاالت يكون قوايً وة PKI( Infrastructure Key Public ) لتبادل املفاتيح العامة.
ً، أو جهة غري آمنة متنح ً أضعف خطوطها أو عناصرها،
هذا الضعف انمجا شهادات موق عة ذاتيا
ْن يش ن هجوم قطع خدمة موزع
جتميع قوة كافية ) وحبسب عدد املبدالت اليت سوف تصبح حتت متناول يد ه( أ
ذلك ميكن استخدام آليات ديناميكة ومضمونة لربط األجهزة وذلك لضمان الثقة بني أجهزة طبقة التحكم
د التهديدات خطورة يف شبكات SDN .
خلل وحدة حتكم واحدة أو إصابتها هبجوم خبيث،
ً، ألنه من الصعب إجياد التجميعة
كشف التسلل IDS( System Detection Intrusion )قد ال يكون كافيا
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
الدقيقة لألحداث اليت قد تؤدي إىل توليد سلوك معني،
ً، ميكن للتطبيقات اخلبيثة يف الشبكة أن تفعل ما حيلو هلا يف الشبكة على اعتبار أن
ُ املتحكمات فقط هي اليت تزود الشبكة رت
ابلتجريدات اليت ت جم إىل أوامر حتكمية إىل البنية التحتية.
تو ظيف مسألة التنوع )للمتحكمات،
ً االسرتداد )التحديث الدوري للنظام للوصول إىل احلالة املوثوقة والسليمة(.
مفاتيح التشفري مثالً(.
واألوامر اليت تستطيع هذه التطبيقات توليدها لربجمة الشبكة.
املتحكمات والتطبيقات إىل القدرة على إقامة عالقات ثقة.
الطريقة اليت ت ا الشهادة،
استخدام آليات إلدارة الثقة ذاتيا ابلتطبيقات طوال فرتة
ً ما تكون موجودة ضمن الشبكات التقليدية،
هنا أيضا SDN للنفاذ إىل املتحكم ابلشبكة،
فإن هذا اخلطر سو ف يزداد بشكل دراماتيكي يف شبكات SDN ،
السهل إعادة برجمة الشبكة وذلك من مكان واحد.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
طلب النفاذ إىل املتحكم يتطلب تفويض من قبل شخصني اثنني(.
آليات اسرتداد مضمونة لضمان حالة موثوقة بعد إعادة التشغيل.
معلومات موثوقة من مجيع األجزاء واجملاالت املكونة للشبكة.
مفيدة فقط إذا كانت مضمونة الوثوقية،
االسرتداد السريع والصحيح لعناصر الشبكة إىل احلالة اليت كانت تعمل فيها.
فع الة فإّنا جيب أن ال ُمتحى أو أن تكون غري قابلة للتغيري.
3.3 األمن والوثوقية ضمن شبكات SDN :
يناقش املؤلفون يف ]40،
جيب أخذها بعني االعتبار عند تصميم منصة آمنة وموثوقة للتحكم ضمن شبكات SDN.
ال يوجد حىت اليوم حبسب رأي املؤلفني أي متحكم SDN يراعي قضااي األمن والوثوقية،
تقنيات حتقق بسيطة أو حىت نسخ معطيات التحكم بني املتحكمات املنسوخة،
لضمان ارتباط متحكم-مبدل موثوق،
آليات للتأكد من سالمة وسرية املعطيات املتناقلة بني املتحكمات.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
املفاتيح لضمان نظام قوي للغاية هو التسامح أو حتمل اخلطأ وأعباء التسلل الغري شرعي إىل النظام.
ً مها نوذج التح
ً للخطا طم ونوذج بيزنطة
. أيضا يعترب إنشاء بىن حتمل التسلل ) tolerant-Intrusion
architecture )خطوة يف طريق بناء ناذج األمنية الذاتية،
صحيح وتبقى قادرة على ضمان اخلواص مثل السرية،
نتحدث فيما يلي عن احللول واملقرتحات لبناء منصة حتكم موثوقة وآمنة ضمن شبكات SDN:
ق م املؤلفون يف [6 [التصميم العام املقرتح ملنصة حتكم بشبكة SDN آمنة وموثوقة،
ً نظرة مبسطة لبن سوف نعرض بعض
سوف سنسرد فيمايلي أهم الطرق اليت مت اقرتاحها من أجل احلصول على منصة حتكم بشبكة SDN آمنة
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ت واحدة من أهم اآلليات املستخدمة يف أتمني الوثوقية يف شبكات SDN ،
ً. إىل جانب تكرار املتحكم يف الشكل،
نسخ املتحكم إىل ثالثة متحكمات،
ً نالحظ تكرار التطبيق B أيض
ن ا يف مجيع نسخ املتحكمات.
إ إجرائية اخللط هذه تضمن
اجلزأين الصلب والربجمي كانت األعطال مقصودة أو عرضية
األعطال وعزل التطبيقات أو املتحكمات اخلبيثة أو املعطلة.
التطبيق B و على برجمة مجيع املبدالت على عكس التطبيق
مع وجود خوارزميات اتساق مناسبة قادرا A.
يع التنوع طريقة أخرى من أجل إكساب املتانة والقوة إىل األنظمة ذات الوثوقية واألمن،
هذه التقنية هو جتنب األخطاء املشرتكة )مثل نقاط الضعف الربجمية أو خلل برجمي(.
املعروف أن أنظمة التشغيل من العائالت املختلفة متتلك العديد من نقاط الضعف الغري مشرتكة،
د من التأثري الكلي للهجمات عليها ألن هنالك هجمات تؤثر على نقاط ضعف
التنوع يف أنظمة التشغيل حي
معينة يف نظام تشغيل ما دون أن تؤثر على نظام تشغيل ما آخر.
إلدارة متحكمات خمتلفة مثل تطبيقات API Northbound.
:Self-Healing mechanisms الذايت التعايف آليات.
ميكن ابستخدام االسرتداد التفاعلي أو االستباقي )recovery reactive or proactive )أن يتم جلب النظام إىل
طور العمل الصحيح وذلك ابستبدال األجزاء املتضررة واحملافظة عليها تعمل ابلشكل السليم أكثر وقت ممكن.
عندما يتم استبدال األجزاء،
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
االسرتداد وأن نعزز الدفاع ضد اهلجمات اليت تستهدف نقاط
د إذا كان لدينا مبدل مرتبط مع متحكم وحيد controller ،
التحكم هبذا املب ل غري متسامح أو
دل القدرة على االرتباط بشكل ديناميكي بعدة
حباجة إىل االرتباط مبتحكم آخر،
مثالً ابستخدام التشفري وذلك لكشف املتحكمات اخلبيثة والتحقق منها وملواجهة متحكمات و بطريقة آمنة ) :
د أحد األخطار الشهرية وهو هجوم الرجل يف الوسط(.
صل بعدة متحكمات قادرا على التسامح
املتحكمات ميكن استخدامها يف توزيع احلمل)balancing load )وتقليل أتخري التحكم ابستخدام املتحكم ذو
ت بناء الثقة بني األجهزة واملتحكمات
مهما املستوى التحكمي بشكل كامل،
حيث ينبغي أن يتم السماح ألجهزة الشبكة ابالرتباط بشكل ديناميكي
ابملتحكمات لكن بشكل ال يسبب
ختفيض مستوى العالقات املوثوقة.
إ اخليار اآلخر هو الثقة جبميع املبدالت بشكل عام حىت الوصول إىل
دل ما )نتيجة لسلوك غري طبيعي جنم عنه(،
حالة ينبغي فيها التحقق من مدى وثوقية مب
املب الت د الوثوقية اخلاصة به بشكل دقيق.
أو املتحكمات ابالعتماد على خوارزميات ع دة لكشف
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
املتحكمات وأصبحت جتميد هذا املبدل أو إجراء حجر صحي ع
أوتوماتيكي من قبل مجيع األجهزة واملتحكمات.
مبا أ ن الربجميات تعاين حبد ذاهتا من مسائل: االستخد ام الطويل األمد،
املسائل وغريها أوجبت إجياد نوذج ثقة ديناميكي.
يدعم إدارة الثقة الذاتية يف أنظمة الربجميات.
أن يقيم مقدار الثقة ابجلهاز املطلوب الثقة به من خالل مراقبة سلوكه وقياس موصفات اجلودة مثل: التوافر،
العالقات بني كياانت النظام.
اجملاالت األمنية املعزولة هي نوع شائع من التقاانت املستخدمة يف خمتلف أنواع األنظمة.
ُسمح للتطبيقات اليت مبستوى املستخدم
حتقيق العزل يف منصات التحكم بشبكات SDN عن طريق استخدام تقنيات مشاهبة للصناديق الرملية
sandboxes أو الفصل االفرتاضي virtualization .
التعريف اجليد للواجهات interfaces اليت تسمح أبقل عدد ممكن من االتصاالت والعمليات بني اجملاالت األمنية
د املكوانت اآلمنة واحدة من أهم اللبنات األساسية يف بناء نظام آمن وموثوق.
لتوفري قواعد احلوسبة املوثوقة TCB ( Base Computing Trusted ) لضمان خواص أمنية مثل السرية.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
نه اليوجد أي برانمج خا من العيوب أو نقاط الضعف،
واملوثوقة للربجميات مهمة جدا حجم نقاط الضعف.
ابلتحديثات بطريقة سلسلة وآمنة.
)اآلليات املقرتحة مع التهديدات اليت تواجهها.
الثقة بني األجهزة واملتحكمات 3،
الثقة بني التطبيقات واملتحكمات 5،
التحديث والرتميم السريع واملوثوق للربجميات 6،
وجيمل املؤلفون يف[6[ابلقول أبنه للحصول على نظام آمن وموثوق يف شبكات SDN فإنه ينبغي توخي السمات
واالرتباط الديناميكي لألجهزة.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ُعىن مبسألة األمن والوثوقية بشبكات SDN ،
مثالً بعض املشاكل اليت جاءت مع اخرتاع فكرة SDN ويتحدث عن نقاط هامة أخرى مثل مراعاة البحث [7،
أمن نظام التشغيل system operating ،
إىل تبديل أو تدمري مكوانت الشبكة أو تدمري كامل نظام التشغيل لعناصر الشبكة مثل املتحكمات واملسريات،
ً التالعب بربجميات الشبكة إىل
ويقرتح ضمان أمن نظام التشغيل عن طريق استخدام أنظمة TCB .
ً. إ ن خلل نظام التشغيل أو الربجميات
ختريب عمل مكوانت الشبكة وميكن ضمان أمنها ابستخدام TCB أيضا
ِّ برأي املؤلف سوف يؤدي إىل خلل يف كامل طبقات شبكة SDN،
ويصنف املؤلفون األخطاء بشكل عام إىل
الربجمية قد تؤثر على كامل طبقات الشبكة أما األخطاء الصلبة فتؤثر فقط على طبقيت املعطيات والتحكم.
ِّ ويذهب املؤلفون أبعد من ذلك فوا
ً اهلجمات وحي ددوا الطبقات اليت تؤثر عليها،
DoS يؤثر على الطبقات الثالثة،
د املهاجم فيه إبدخال طرد ذو حجم معني ليستكشف جدول الدفق rules flow
لدى املب ل وذلك عن طريق
حتليل الزمن الذي استغرقه املبدل ملعرفة القاعدة اليت سوف يطبقها على هذا الطرد،
يطرح هنا املؤلف مسألة محاية املتحكم ألنه يعُّ
وجيعل الطرود تتدفق إليه بدالً الرئيسي،
خدمات أو حىت بروتوكوالت مفتوحة.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ً يتحدث املؤلف عن اهلجوم على املعطيات املتدفقة يف الشبكة،
طريق التشفري وعن طريق استخدام آليات للتحقق وإعطاء الصالحيات وذلك لتجنب اهلجوم channel side ،
ويؤكد أيضا مكوانت الشبكة أل ن استغالل نقطة ضعف أايً منها،
ً الوصول إىل األجزاء الرئيسية من الشبكة مثل املتحكم،
أن تتم محايتها فيزايئيا IPS و IDS
أيضا املؤلف عن اهلجوم على طبقة التطبيقات،
اخلدمة يف سائر الشبكة،
واستخدام تراميز آمنة وذلك عن طريق وجود توقيع رقمي خاص هبا.
يف ورقة البحث [8 [يقرتح املؤلفون محاية االتصاالت بني املبدل واملتحكم ابستخدام TLS أيضا
املتبادل لشهاديت الطرفني من خالل مفتاح خاص يول certificate root ،
ً عن أ ن هنالك العديد من الشركات تتجن
أيضا ب مسألة تضمني TLS لتكلفتها وصعوبتها،
ً جيب توليد شها
ً ويف حال غياب ً
ال يوجد طريقة ليتحقق املتحكم فيها من املب
حيث يقوم هذا النموذج بتقسيم الشبكات إىل شرائح،
فقط جزء من الشبكة سوف يتأثر ولن تتأثر األجزاء األخرى ألن visor flow
سوف يعيد كتابة القاعدة بناء
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ً يقرتح املؤلفون وجود
د أيضا checksum لكل القواعد املو جودة ضمن جدول الت
الت ي ل بشكل
بديل القواعد أو مت التالعب هبا.
يوجد العديد من التصاميم للمتحكمات اهلادفة إىل جتاوز نقاط الضعف وأتمني هذه املتحكمات،
د املتحكمات FlowDayLight واليت القت العديد من نقاط الضعف نسرد بعضها: 1-
املتحكم أيمر املب ل
إبرسال الطرود multicast إليه يف كل مرة،
2 -يتم ترحيل مجيع الطرود احلاملة لعنوان فيزايئي غري معروف إىل املتحكم.
ضد Spoofing MAC ،
ً يستطيع ملء ذواكر املتحكمات مبثل هذه الطرود العشوائية،
حتمل عناوين فيزايئية عشوائية.
يوجد آليات ملنع Spoofing MAC ووضع حمددات لعدد الطر ود اليت حتمل عناوين غري معروفة ووضع قواعد من
التطبيقات يف الشبكات املعر والتحسينات املضافة إليها:
ات اسة يف الشبكة إىل طرف اثلث.
صاالت التطبيقات اجلنوبية إلرسال معلومات حس حي ذر منها
املتحكم توفري نظام حتقق AAA( Accounting,
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
قاموا إبجراء العديد من السيناريوهات لعرض احلاالت اليت ميكن من خالهلا استغالل نقاط الضعف يف طبقة
التطبيقات اخلاصة هبذه املت ه وابستخدام برانمج خبيث صغري،
د الشبكات املعر ابلكامل.
الشبكات املعر حيث يعتمد الباحثون على استغالل مركزية التحكم وقابلة الرب جمة يف هذه الشبكات
إلجراء مراقبة دورية ملع وحدة املعاجلة املركزية ملختلف التطبيقات،
ً يف احلاالت غري الطبي أوامر القراءة أو الكتابة أو التعديل أو غريها م
ً الشبكات املعر كما يقوم بنمذجة سلوكها،
فة برجميا ات كشف بشكل أوتوماتيكي،
يقوم ابستخدام منهجيات تعل م اآللة لتحقيق غرض التحليل والكشف.
ة برجميا حيث أ ّنم قادرون على إيقاف التطبيق ً الشبكات املعرف وتقوم مبنعها من هكذا حماوالت قبل أن تبدأ هبا،
للمنهجية يف بيئة اب استخدام مكتبة مفتوحة املصدر للتعامل مع واص
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ً تطرح ورقة البحث [9 [نقاط ضعف ومشاكل أخرى تتعلق بطبقة التطبيقات يف شبكات SDN
وتع هذه من التحدايت الصعبة واخلطرية ملوضوع
األمن بشبكات SDN ،
ب. متتلك التطبيقات القدرة على الو صول إىل الذاكرة الداخلية لشبكات SDN :حيث أ
ن املتحكمات تتشارك الذواكر
متتلك إمكانية الوصول إىل املوارد الداخلية يف الشبكة،
الذواكر الداخلية لشبكات SDN.
ج. التطبيقات مسؤولة عن بعض رسائل التحكم: إ ن رسائل التحكم مسؤولة عن أتمني االتصال بني
وذلك مبسح جداول التوجيه ابملب الت.
ميكن أن تتشارك التطبيقات اخلبيثة من أجل تعطيل الشبكة كاملة
عن طريق استهالك الذواكر أو وحدة املعاجلة املركزية CPU أو ميكن أن تقوم هذه التطبيقات بتنفيذ أمر
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
وأيضا التطبيقات من ضعف التصميم حيث ميكن استغالل هذه التطبيقات بسهولة للتالعب
أ. مشكلة الطرد الوارد in-packet :يسمى الطرد الوارد والذي ال يوجد قاعدة خاصة به لتوجيهه ضمن
ل يسمى بـ in-packet ،
بار أنه ال يوجد مب الت موثوقة ف
يمكن أن يستغل أحد املهامجني نقطة الضعف هذه
ً ابستخدام طرود مزيفة أن يتم
إلرسال الكثري من الطرود in-packet وإسقاط املتحكم.
تسميم نظرة املتحكم للشبكة وذلك إبرسال طرود ARP عشوائية لعناوين فيزايئية غري موجودة.
ً تسميم اكتشاف طوبولوجيا الشبكة وذلك عن طريق
أيضا التالعب خبدمة اكتشاف اخلط.
ب. التضارابت يف إعدادات املتحكمات: حيث يوجد لدينا ضمن اجملال الواحد عدة متحكمات وعدة
ب flow open ابلتايل من املمكن أن ال يكون هنالك تزامن بعمل هذه املكوانت مع بعضها.
هنا لتبديل حمتوى رسائل التحكم بني طبقة التحكم وطبقة املعطيات وختريب حمتوى جدول التوجيه،
تكون عرضة للتنصت سواء
ال أو غري الفعال وذلك عن طريق التجسس على قناة التحكم حيث ميكن
ً للمتحكم تعل أن تكون عرضة
من خالل التجسس على رسائل التحكم.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
هلجمات مستوى الـ TCP
حيث ال يؤمن استخد ام TLS محاية ملستوى TCP
ً هنا اليوجد معيار موح
د الطاقة االستيعابية احملدودة للمب
دالت اخلبيثة أنه صاحب العنوان
العنوان املنطقي والعنوان الفيزايئي لألجهزة املوثوقة وذلك لكشف عمليات spoofing ،
املتحكم أ ن هنالك عنوان فيزايئي جلهاز غري موثوق يقوم بتجاهله.
spoofing ARP يف حال مل نكن نستخدم SSL .
النماذج املستخدمة يف شبكات SDN واملطبقة يف بروتوكول Flow Open ،
ُ Edge Validation Address source ض من يف املتحكمات،
اخلاصة ابلطرود اخلارجية والغري مس ج ه،
)موثوقة( ملقارنة العناوين مع قواعد معينة إما للتجاهل أو للمعاجلة أو للتسيري.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
أن يكون قادرا كما يف حال شبكات NAT ( Address Networkً على عزل شبكته احمللية عن الشبكة اخلارجية
Translation ) حيث ميكن أن يكون لدى املتحكم جدول لرتمجة العناوين اخلارجية إىل عناوين داخلية.
السماح لبعض األشخاص الغري مصر
ن بفحص دوري لطرق التشفري واالتصاالت.
إ املشكلة األساسية ابستخدام TLS هي أنه إجراء اختياري يف
ن بروتوكول flow open
وأ الكثري من الشركات اليت تقوم بصنع املتحكمات ال تدعم TLS .
اهلدف من هكذا هجمات هو ليس التخريب أو اإلساءة إىل معلومات الشبكة،
ابلدرجة األوىل واالستفادة منها.
ُستخدم عند اخلطوة األوىل يف هكذا هجوم،
ألدوات املسح scanning واليت من املعروف أّنا ت
من التنجيزات املستخدمة يف بروتوكو ل Flow Open ملواجهة أدوات املسح هذه.
القوائم البيضاء والسوداء لرتشيح التدفقات الشبكية،
والفيزايئية للفلرتة وميكن تعميمها يف بنية Flow Open إلنشاء قوائم بيضاء وسوداء يف جداول التوجيه على
هنالك العديد من االقرتاحات والنماذج اليت عىن ابحلماية من هجوم قطع اخلدمة
وقياس دوري حلجم الطرود الواردة،
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
التدفق أن هنالك هجوم قطع خدمة قادم.
لكن بسمات خمتلفة قليالً يقرتح املؤلف هنا استخدام Firewall عن تلك املوجودة يف الشبكات التقليدية حيث
أن املتحكم هنا هو املسؤول الرئيسي عن تسيري الطرود.
ّدمة يف األحباث السابقة:
3.5 مناقشة سريعة للحلول املق
ابلنسبة للتهديد األول اخلاص ابلطرود الزائفة،
ن أنظمة حتليل وأنظمة ملعرفة املسبب احلقيقي للحدث،
ولكن أرى أ هذ ا احلل غري انجح إال يف الشبكات
ً، ففي حال استطاع املهاجم الوصول لعدة أجهزة متناثرة يف الشبكة
واستغالهلا إلرسال طرود ومهية وزائفة،
ً يف معرفة مسب
هذه األنظمة لن جتدي نفعا ب اهلجوم،
د املؤلفون يف التهديد ً العديد من التطبيقات والفريوسات اليت تستطيع تنفيذ عملية access remote: .
الثاين ماهي نقاط الضعف اليت يرون أن استخدام أنظمة إلدارة الثقة بني أجهزة الشبكة قد تفيد يف تفاديها،
أن يتم وضع املب ل switch يف أماكن بعيدة املنال عن أ سمح د أقرتح
ابلوصول إليهم إال بعد أخذه لتصريح من قبل ثالثة أشخاص من نفس فريق العمل،
interfaces حمدود حبسب احلاجة وحبسب الدراسة املفضية إىل تركيب هذا املبدل،
ابلشبكة يتم تركيب واجهات حسب احلا ستغل أحد وج
جة فقط حىت ال ي ود واجهة فارغة ويوصل جهازه فيها
اثلثا مهامجة اتصاالت طبقة التحكم،
أن حيصل املبدل فيها على درجة من الوثوقية مث بعد ذلك يقوم ابلعمل والتواصل مع طبقة التحكم،
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ً: يف حال استخدمنا طريقة النسخ،
سوف يفضي إىل بطئ يف عملية التسيري.
ً ما هي نقاط ضعف املتحكمات األخرى املثيلة.
إضايف عدم السماح ألحد للولوج إىل املتحكم إال بتصريح من قبل عدة اختصاصيني من نفس اجملال.
خامسا عدم وجود آلية لضمان الثقة بني التطبيق واملتحكم،
ً ابلتأكد من صحة شهادة التطبيق مث بعد ذلك يستجيب ألوامره.
ً يقوم املتحكم بداية :
املمكن أن يكون هنالك اتفاق بني هؤالء املصر ح هلم،
ً لتسجيل حركة الولوج إىل املتحكمات ومن هم األشخاص الذين قاموا إبعطاء التصرحيات.
من أجل التهديد السابع وجود نظام تعقب و تسجيل!!! لكن يف حال وقوع الشبكة ابلكامل،
أرى أن جيب أن يكون هنالك نظام مراقبة عام لدى احملطة األساسية ملراقبة كل ما
جيري من الشبكة وأنظمة تنبؤ ابألفعال الغري اعتيادية،
هجمات معروفة وتقليدية ملقارنة سلوك الشبكة معها بشكل دائم ملعرفة املشكلة قبل وقوعها.
ابلنسبة لطرحهم اخلاص ببناء منصة حتكم آمنة وموثوقة،
استغالل أحد املب الت للوصول إىل املتحكم املرتبط معها
د اآلخر ليس نسخة عن املتحكم املصاب(،
ابلتايل حنن حباجة إىل أتمني املب الت أوالً بعد ذلك نستطيع استخدام
يكون هنالك إجرائية فحص لألمان يقوم هبا املتحكم لكل مبدل يرغب ابالرتباط معه.
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
ابلنسبة للحل الذي ينص على بناء الثقة بني املتحكم واألجهزة: ما هي اآلليات اليت ميكن استخدامها ملثل هكذا
أمر؟؟ وما مدى أتثريها على جودة وسرعة الشبكة على اعتبار أن كل جهاز جديد حباجة للدخول للشبكة
سوف يكون هنالك حاجة إىل التحقق منه ونسبه إىل القائمة البيضاء أو وضعه بطور التجميد أو حىت رميه
دالت عن الوثوقية اخلاصة هبا يف
دالت مث سؤال أحد املب
مت اقرت احه هو إعطاء الثقة لكامل املب
فذ هجمته مث مل يعد يهتم بعد ذلك ال إلعطاء
دليل وثوقية وال حىت للعودة للشبكة من جديد.
❖ أما يف ورقة البحث [8 [فعندما اقرتح املؤلف أن يكون هنالك checksum جلدول التوجيه.
checksum ميكن تبديله بسهولة حيث حىت لو مت التالعب ابلقواعد،
checksum لذلك أقرتح أن يتم إضافة عملية التهشري function hash لضمان عدم التالعب هنا.
ً عند اقرتاحه العمل بربوتوكول
من النماذج املطروحة لبناء املتحكمات،
االتصاالت ملشكلة هجوم الرجل يف الوسط middle-the-in-man.
❖ أما يف ورقة البحث [9 [يطرح املؤلفون عدة نقاط ضعف جديدة لكن دون حتديد األساليب املمكنة
ً، أو أن يكون لكل تطبيق وقت حمدد و
التطبيقات تعمل بشكل منفصل دائما يتم توزيع املوارد بشكل متساوي
بني التطبيقات يف كل حيز زمين time slot .
ُطى الصالحية للنفاذ إىل
أن يكون هنالك إجرائية تسمح بداية ابلتحقق من وثوقية هذا التطبيق مث بعد ذلك يع
ً إجرائيات لوضع عتبة معينة لعدد الطرود الواردة واليت
وذلك لتبيان املنبع الذي تصدر منه هذه الطرود،
الفصل الثالث نقاط ف
ضعف الشبكات املعر ة برجميا
وأن يكون املب ل متصل مع أكثر من متحكم،
ل برقم تسلسلي ما،
يوجد الكثري من األحباث اليت بدأت ابلتوجه حنو مسأليت األمن والوثوقية يف شبكات SDN .
ِّ تؤخذ هذه الدراسات بععني االعتبار بل الشركات املصنعة أو اخلرباء والباحثني املعنيني إبدارة شبكات
َد املؤلفون آليات ابالسم ملواجهة مشكالت حمددة
ومسألة التنوع وهذه نقطة جيدة هامة،
النسخ إىل نظام أكثر متانة وقوة.


النص الأصلي

3.1 مقدمة عن املشاكل األمنية اليت تعاين منها شبكات SDN :


دت هذه


صحيح أن عملية فصل طبقة املعطيات عن طبقة التحكم أ دت إىل قفزة نوعية يف عامل الشبكات، لكن أ
ه وخالل الفرتة السابقة، بدأ
اخلطوة إىل نشوء ثغرات جديدة مل تكن موجودة يف الشبكات التقليدية، إ ال أن
جه حقيقي ملعاجلة قضااي األمن والوثوقية ضمن شبكات SDN ،لذلك
ُّ
االهتمام بشكل أكرب وأصبح هنالك تو
بدأت العديد من األحباث تتناول هذه األخطار ونقاط الضعف والتهديدات اليت جنمت عن هذه التقنية اجلديدة،
دم هذه األحباث بعض احللول اليت ينبغي أخذها بعني االعتب
وبدأت تق ار منذ اخلطوة األوىل يف بناء شبكة
SDNواليت قد تساهم بتفادي تلك التهديدات ومواجهتها وختفيف خطرها.
: طبيعة أجهزهتا املغلقة، تصميمها الثابت،
ِّ
لـ
ً
تتمتع الشبكات التقليدية مبناعة طبيعية ضد اهلجمات الشائعة نظرا
است
ِّنِّ
جتانس الربجميات والتحكم الالمركزي، فمثالً صنعة من قبل شركة إ
ُ
ل أحد املهامجني نقطة ضعف لألجهزة امل
غ
ما، فإ ن الشبكة سوف تتأثر فقط يف اجلزء الذي حيوي على أجهزة اتبعة لنفس الشركة، أما ابقي األجهزة فلن
عة أخرى. أما يف شبكات
ِّ


تتأثر على اعتبار أّنا تتبع لشركات مصن SDN فوجود بروتوكول Flow Open املشرتك
بني مجيع الشركات سوف يزيد من خطورة التهديدات ونشر أعطال مشرتكة ، أحدثت
ً
بني مجيع الشركات. إذا
ً مناقشة
شبكات SDN فكرة رائعة يف عامل الشبكات لكن قامت بزايدة سطح اخلطر والتهديدات، مما أوجب لزاما
قضااي األمن والوثوقية dependability and security واحللول الواجب أخذها بعني االعتبار عند تصميم شبكة
.SDN
3.2 التهديدات واألخطار اليت تعاين منها شبكات SDN :
متتلك شبكات SDN مستني أساسيتني جتلعها مصدر جذب للمهامجني واملخرتقني ومصدر قلق ألصحاب هذه
الشبكات: 1 .برجمة الشبكة ابستخدام برجميات software 2 .مركزية التحكم ابلشبكة، ابلتايل فإ ن الوصول
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
18
ألحد املتحكمات يعين الوصول والتحكم بكامل الشبكة. سنورد فيما يلي أهم التهديدات اليت قد تواجهنا يف
شبكات SDN واليت جنمعها يف الشكل )3-1 )مع احللول البسيطة املقرتحة: ]40،6 ]
الشكل)3-1 .)أهم التهديدات يف شبكات SDN .
1 .حقن معطيات مزورة أو مزيفة: حيث ميكن مهامجة املبدالت أو املوجهات من خالل وجود أجهزة معطلة
يف الشبكة أو من خالل مهاجم خبيث يستخدم أحد مكوانت الشبكة )موجه، مبدل، خمدم..اخل( وذلك
إلطالق طرود أبعداد كبرية من أجل حتقيق هجوم قطع اخلدمة DoS( Service of Denial )واليت قد تكون مثالً
ضد املبدالت اليت تعمل بربوتوكول Flow Open وذلك من أجل استهالك مجيع الذواكر TCAM ( Ternary
Memory Addressable Content )املوجودة ضمن املبدل. احلل املقرتح: استخدام أنظمة كشف التسلل IDS
للمشكلة ب Intrusion Detection System(
ِّ


( مدعومة أبنظمة معرفة السبب احلقيقي املسب -Root Runtime
Analysis Cause وذلك لكشف السلوك الغري طبيعي لعناصر الشبكة، ابإلضافة إىل آليات من أجل التحكم
َ د معني ملعدل طلبات التحكم(.
الديناميكي بسلوك املبدل )مثالً: وضع ح
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
19
دل واحد ذلك يعين
2 .اهلجوم على نقاط الضعف اخلاصة ابملبدالت: حيث أ ن اهلجوم أو السيطرة على مب
إمكانية: جتاهل طرد ما، إعادة توجيه طرد ما إىل وجهة خاطئة، نسخ طرود معينة، أو إبطاء تسيري الطرود ضمن
الشبكة أو حىت حقن معطيات أو طلبات ومهية يف الشبكة وذلك إلسقاط املتحكمات أو املبدالت اجملاورة.
احلل املقرتح: استخدام آليات من أجل إجراء عمليات املصادقة على الربامج مثل أنظمة إدارة الثقة الذاتية
للمكوانت الربجمية، أو استخدام آليات ملراقبة أو كشف السلوك الغري طبيعي ألجهزة الشبكة.
3 .اهلجوم على اتصاالت طبقة التحكم: ستخدم إلجراء هجوم
ُ
والذي قد ي DoS أو لسرقة معطيات. حىت لو
مت استخدام تقنية التعمية SSl/TLS من أجل هكذا اتصاالت، إال أ ن خطوط طبقة التحكم تبقى مه ددة
وخاصة وأن هنالك العديد من األحباث تشري إىل نقاط الضعف اخلاصة بـ SSL/TLS حيث أّنا تعتمد على بنية
أمن هذه االتصاالت يكون قوايً وة PKI( Infrastructure Key Public ) لتبادل املفاتيح العامة. إ ن بقدر ق
ً، أو جهة غري آمنة متنح ً أضعف خطوطها أو عناصرها، و قد يكون عن
هذا الضعف انمجا شهادات موق عة ذاتيا
شهادات رقمية، أو تطبيقات ومكتبات ضعيفة، ابلتايل هذا يفتح اجملال أمام ما يسمى هجوم الرجل يف الوسط
middle-the-in-man .يف حال جنح أحد املهامجني ابلسيطرة على اتصاالت طبقة التحكم، فإنه يستطيع
ْن يش ن هجوم قطع خدمة موزع
جتميع قوة كافية ) وحبسب عدد املبدالت اليت سوف تصبح حتت متناول يد ه( أ
DDoS .احلل املقرتح: هو أتمني االتصال بني نسخ املتحكمات عن طريق تشفري هذه الطبقة. ابإلضافة إىل
ذلك ميكن استخدام آليات ديناميكة ومضمونة لربط األجهزة وذلك لضمان الثقة بني أجهزة طبقة التحكم
وأجهزة طبقة املعطيات.
ن
د التهديدات خطورة يف شبكات SDN .إ
ُّ
4 .اهلجوم على نقاط الضعف يف املتحكم: واليت رمبا تكون أش
ُسقط الشبكة بكاملها
ن استخدام نظام
خلل وحدة حتكم واحدة أو إصابتها هبجوم خبيث، ميكن أن ي . كما أ
ً، ألنه من الصعب إجياد التجميعة
كشف التسلل IDS( System Detection Intrusion )قد ال يكون كافيا
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
20
الدقيقة لألحداث اليت قد تؤدي إىل توليد سلوك معني، والشيء األكثر أمهية هو معرفة أ ن هذا السلوك هو سلوك
ً، ميكن للتطبيقات اخلبيثة يف الشبكة أن تفعل ما حيلو هلا يف الشبكة على اعتبار أن
خبيث. بشكل مشابه أيضا
ُ املتحكمات فقط هي اليت تزود الشبكة رت
ابلتجريدات اليت ت جم إىل أوامر حتكمية إىل البنية التحتية. احلل املقرتح:
ميكن استخدام العديد من التقاانت مثل التكرار أو النسخ )لكشف، إزالة، أو إخفاء السلوك الغري طبيعي(،
تو ظيف مسألة التنوع )للمتحكمات، الربوتوكوالت، لغات برجمة، أو النسخ برجمية إخل(، و إعادة التهيئة أو
ً االسرتداد )التحديث الدوري للنظام للوصول إىل احلالة املوثوقة والسليمة(.
أيضا، من املهم أتمني كل العناصر
مفاتيح التشفري مثالً(. عالوة على ذلك، إ ن استخدام سياسات أمنية تضمن التطبيق احلساسة داخل املتحكم )
ِّد


ُقي
الصحيح لسلوك تلك التقاانت، وت الواجهات اليت ميكن استخدامها من قبل التطبيقات وماهي القواعد
واألوامر اليت تستطيع هذه التطبيقات توليدها لربجمة الشبكة.
5 .عدم وجود آليات لضمان الثقة بني املتحكمات وتطبيقات اإلدارة: حيث على غرار التهديد رقم 3 ،تفتقر
املتحكمات والتطبيقات إىل القدرة على إقامة عالقات ثقة. يكمن الفرق الرئيسي عن التهديد املشار إليه يف
نشأ فيه
ُ
الطريقة اليت ت ا الشهادة، حيث أ ن التقنيات املستخدمة للمصادقة على أجهزة الشبكة ختتلف عن تلك
ً املستخدمة للتطبيقات. احلل املقرتح: تضمن الثقة
استخدام آليات إلدارة الثقة ذاتيا ابلتطبيقات طوال فرتة
عملها.
ُستخدم
ً ما تكون موجودة ضمن الشبكات التقليدية، ت
6 .اهلجوم على نقاط ضعف حمطات اإلدارة: واليت عادة
ً يف شبكات
هنا أيضا SDN للنفاذ إىل املتحكم ابلشبكة، لكن الفرق يف أنه إذا ما تعرض جهاز أو حمطة إدارة
واحدة فقط للخطر، فإن هذا اخلطر سو ف يزداد بشكل دراماتيكي يف شبكات SDN ،حيث سوف يكون من
السهل إعادة برجمة الشبكة وذلك من مكان واحد. احلل املقرتح: استخدام الربوتوكوالت اليت تتطلب التحقق
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
21
ً املزدوج )مثال على ذلك، طلب النفاذ إىل املتحكم يتطلب تفويض من قبل شخصني اثنني(.
أيضا استخدام
آليات اسرتداد مضمونة لضمان حالة موثوقة بعد إعادة التشغيل.
7 .عدم وجود مصادر موثوقة من أجل التوصيف و التعايف: واليت قد تسمح بفهم سبب املشكلة اليت مت
كشفها و معاجلتها للعودة بسرعة إىل الوضع اآلمن. من أجل التحقيق والتثبت حول حادث ما، حنن حباجة إىل
معلومات موثوقة من مجيع األجزاء واجملاالت املكونة للشبكة. عالوة على ذلك، هذه املعلومات سوف تكون
مفيدة فقط إذا كانت مضمونة الوثوقية، و بشكل مشابه، التعايف يتطلب مراقبة آمنة وموثوقة للنظام لضمان
االسرتداد السريع والصحيح لعناصر الشبكة إىل احلالة اليت كانت تعمل فيها. احلل املقرتح: استخدام آليات
التسجيل والتتبع، حيث أ ن هنالك حاجة هلا يف مستوى املعطيات واملستوى التحكمي، ومع ذلك حىت تكون
فع الة فإّنا جيب أن ال ُمتحى أو أن تكون غري قابلة للتغيري. عالوة على ذلك جيب ختزين السجالت ضمن
البيئات النائية واآلمنة.
3.3 األمن والوثوقية ضمن شبكات SDN :
يناقش املؤلفون يف ]40،6 ]بعض املفاهيم األساسية عن األمن والوثوقية ويقرتحون بعض اآلليات و التقنيات اليت
جيب أخذها بعني االعتبار عند تصميم منصة آمنة وموثوقة للتحكم ضمن شبكات SDN.
:أساسيات 1.3.3
ال يوجد حىت اليوم حبسب رأي املؤلفني أي متحكم SDN يراعي قضااي األمن والوثوقية، إما من خالل استخدام
ُستخدم
تقنيات حتقق بسيطة أو حىت نسخ معطيات التحكم بني املتحكمات املنسوخة، فمثالً: ال يوجد آليات ت
لضمان ارتباط متحكم-مبدل موثوق، أو آليات لكشف، تصحيح، أو إخفاء أعطال أحد أجزاء الشبكة، أو
آليات للتأكد من سالمة وسرية املعطيات املتناقلة بني املتحكمات. من منظور األمن والوثوقية، إ ن أحد أهم
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
22
املفاتيح لضمان نظام قوي للغاية هو التسامح أو حتمل اخلطأ وأعباء التسلل الغري شرعي إىل النظام. أهم نوذجان
ً مها نوذج التح
ً للخطا طم ونوذج بيزنطة
. أيضا يعترب إنشاء بىن حتمل التسلل ) tolerant-Intrusion
architecture )خطوة يف طريق بناء ناذج األمنية الذاتية، حيث أ ن أنظمة حتمل التسلل تبقى تعمل بشكل
صحيح وتبقى قادرة على ضمان اخلواص مثل السرية، السالمة، التوافر ابلرغم من غياب أجزاء خمرت قة أو معطلة
بسبب اهلجوم الناجح.
نتحدث فيما يلي عن احللول واملقرتحات لبناء منصة حتكم موثوقة وآمنة ضمن شبكات SDN:
3.3.2 منصة التحكم املوثوقة واآلمنة:
د ي
ق م املؤلفون يف [6 [التصميم العام املقرتح ملنصة حتكم بشبكة SDN آمنة وموثوقة، حيث يعرض الشكل )3-2 )
ً نظرة مبسطة لبن سوف نعرض بعض
ية التصميم، مث الحقا اآلليات اليت مت اقرتاحها ملعاجلة التهديدات اآلنفة
الذكر.
الشكل)3-2 .)منصة التحكم اآلمنة واملوثوقة لشبكة SDN .
سوف سنسرد فيمايلي أهم الطرق اليت مت اقرتاحها من أجل احلصول على منصة حتكم بشبكة SDN آمنة
وموثوقة:
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
23
1 .التكرار أو النسخ املتماثل Replication :
د
ُعُّ
ت واحدة من أهم اآلليات املستخدمة يف أتمني الوثوقية يف شبكات SDN ،كما نالحظ يف الشكل )3-2 )مت
ً. إىل جانب تكرار املتحكم يف الشكل،
نسخ التطبيقات أيضا
ُ
نسخ املتحكم إىل ثالثة متحكمات، وجيب أن ت
ً نالحظ تكرار التطبيق B أيض
ن ا يف مجيع نسخ املتحكمات.
إ إجرائية اخللط هذه تضمن


حتمل األعطال يف
اجلزأين الصلب والربجمي كانت األعطال مقصودة أو عرضية
ً
سواء ، و يتيح استخدام النسخ إمكانية إخفاء
األعطال وعزل التطبيقات أو املتحكمات اخلبيثة أو املعطلة. أكثر من ذلك، يف حال تقسيم الشبكة، يبقى
التطبيق B و على برجمة مجيع املبدالت على عكس التطبيق
ً
مع وجود خوارزميات اتساق مناسبة قادرا A.
:Diversity التنوع. 2
د
يع التنوع طريقة أخرى من أجل إكساب املتانة والقوة إىل األنظمة ذات الوثوقية واألمن، املبدأ األساسي خلف
هذه التقنية هو جتنب األخطاء املشرتكة )مثل نقاط الضعف الربجمية أو خلل برجمي(. مثال على ذلك، من
املعروف أن أنظمة التشغيل من العائالت املختلفة متتلك العديد من نقاط الضعف الغري مشرتكة، هذا يعين أن
د من التأثري الكلي للهجمات عليها ألن هنالك هجمات تؤثر على نقاط ضعف
ُّ
التنوع يف أنظمة التشغيل حي
معينة يف نظام تشغيل ما دون أن تؤثر على نظام تشغيل ما آخر. يف شبكات SDN ميكن تشغيل التطبيق نفسه
إلدارة متحكمات خمتلفة مثل تطبيقات API Northbound.
:Self-Healing mechanisms الذايت التعايف آليات. 3
ميكن ابستخدام االسرتداد التفاعلي أو االستباقي )recovery reactive or proactive )أن يتم جلب النظام إىل
طور العمل الصحيح وذلك ابستبدال األجزاء املتضررة واحملافظة عليها تعمل ابلشكل السليم أكثر وقت ممكن.

عندما يتم استبدال األجزاء، فإنه من املهم أن يتم استبداهلا إبصدارات جديدة ومتنوعة كلما كان ذلك ممكنا
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
24
مبعىن آخر، جيب أن نتو خى التنوع يف إجرائية ِّ


االسرتداد وأن نعزز الدفاع ضد اهلجمات اليت تستهدف نقاط
ضعف معينة للنظام.
:Dynamic device associated ً
4 .ربط األجهزة ديناميكيا
د إذا كان لدينا مبدل مرتبط مع متحكم وحيد controller ،أمكننا القول أ ن
التحكم هبذا املب ل غري متسامح أو
ً وابلتايل يصبح
دل سوف يسقط حتما
ال يتحمل األعطال، ألنه وببساطة إذا سقط )تعط ل( املتحكم فإن املب
دل القدرة على االرتباط بشكل ديناميكي بعدة
حباجة إىل االرتباط مبتحكم آخر، هلذا السبب، جيب أن ميتلك املب
مثالً ابستخدام التشفري وذلك لكشف املتحكمات اخلبيثة والتحقق منها وملواجهة متحكمات و بطريقة آمنة ) :
د أحد األخطار الشهرية وهو هجوم الرجل يف الوسط(. سيغدو
املب ل


املت
ً
صل بعدة متحكمات قادرا على التسامح
مع األخطاء بشكل آيل. يضمن هذا اإلجراء مزااي أخرى وهي زايدة دفق املستوى التحكمي )العديد من
املتحكمات ميكن استخدامها يف توزيع احلمل)balancing load )وتقليل أتخري التحكم ابستخدام املتحكم ذو
االستجابة األسرع.
5 .الثقة بني األجهزة واملتحكمات:
ُعد مسألة
ت بناء الثقة بني األجهزة واملتحكمات
ً
أمرا من أجل وثوقية
ً
ً جدا
مهما املستوى التحكمي بشكل كامل،
حيث ينبغي أن يتم السماح ألجهزة الشبكة ابالرتباط بشكل ديناميكي
ابملتحكمات لكن بشكل ال يسبب
ختفيض مستوى العالقات املوثوقة. ميكن تطبيق مقاربة بسيطة وهي آلية التحقق من قائمة معروفة ألجهزة موثوقة
ن )قائمة بيضاء(، حمفوظة داخل املتحكم.
إ اخليار اآلخر هو الثقة جبميع املبدالت بشكل عام حىت الوصول إىل
دل ما )نتيجة لسلوك غري طبيعي جنم عنه(، عندها يتم فحص
حالة ينبغي فيها التحقق من مدى وثوقية مب
املب الت د الوثوقية اخلاصة به بشكل دقيق. ميكن إرسال تقرير عن سلوك غري طبيعي أو سلوك خبيث من خالل
أو املتحكمات ابالعتماد على خوارزميات ع دة لكشف
ُ
م األعطال. يف حال مت فقدان الوثوقية أبحد املبدالت أو
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
25
املتحكمات وأصبحت جتميد هذا املبدل أو إجراء حجر صحي ع
ً
حتت عتبة معينة، يتم فورا ليه بشكل
أوتوماتيكي من قبل مجيع األجهزة واملتحكمات.
6 .الثقة بني التطبيقات وبرجميات املتحكمات:
مبا أ ن الربجميات تعاين حبد ذاهتا من مسائل: االستخد ام الطويل األمد، األعطال، اخللل واهلجمات، كل هذه
املسائل وغريها أوجبت إجياد نوذج ثقة ديناميكي. يستعرض املؤ لفون يف [6 [اجلدوى املمكنة الستخدام نوذج
يدعم إدارة الثقة الذاتية يف أنظمة الربجميات. يستخدم املؤلفون هنا فكرة شاملة للثقة تسمح للطرف طالب الثقة
ِّ


أن يقيم مقدار الثقة ابجلهاز املطلوب الثقة به من خالل مراقبة سلوكه وقياس موصفات اجلودة مثل: التوافر،
ً الوثوقية، السالمة، األمان، الصيانة، والسرية. النموذ ج ميكن أن يطبق ملراقبة وضمان
املقرتح أيضا الوثوقية يف
العالقات بني كياانت النظام.
7 .اجملاالت األمنية:
اجملاالت األمنية املعزولة هي نوع شائع من التقاانت املستخدمة يف خمتلف أنواع األنظمة. مثال على ذلك، يف
ُسمح للتطبيقات اليت مبستوى املستخدم
أنظمة التشغيل، الي ، الولوج إىل األنظمة الفرعية يف مستوى النواة. ميكن
حتقيق العزل يف منصات التحكم بشبكات SDN عن طريق استخدام تقنيات مشاهبة للصناديق الرملية
sandboxes أو الفصل االفرتاضي virtualization .تتيح هذه التقنيات تصميم ناذج عزل قوية من خالل
التعريف اجليد للواجهات interfaces اليت تسمح أبقل عدد ممكن من االتصاالت والعمليات بني اجملاالت األمنية
املختلفة.
8 .املكوانت اآلمنة:
د املكوانت اآلمنة واحدة من أهم اللبنات األساسية يف بناء نظام آمن وموثوق. ميكن استخدام العناصر األمنية
تعُّ
لتوفري قواعد احلوسبة املوثوقة TCB ( Base Computing Trusted ) لضمان خواص أمنية مثل السرية.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
26
9 .التحديث والرتميم السريع واملوثوق للربجميات :
ل على اعتبار أ
نه اليوجد أي برانمج خا من العيوب أو نقاط الضعف، فإ ن عملية التحديث والتصحيح السريعة
لتقليل
ً
واملوثوقة للربجميات مهمة جدا حجم نقاط الضعف. لذلك جيب توزيع منصات التحكم مع آليات تقوم
ابلتحديثات بطريقة سلسلة وآمنة.
للتلخيص، لدينا اجلدول )3-1 )الذي نعرض فيه احللول املقرتحة والتهديدات اليت ممكن أن حتلها [6:[
اجلدول )3-1 .)اآلليات املقرتحة مع التهديدات اليت تواجهها.[6[
اآللية املقرتحة التهديدات
1،4،5،7 التكرار
3،4،6 التنوع
2،4،6 الذايت التعايف
الربط الديناميكي 4،3
الثقة بني األجهزة واملتحكمات 3،2،1
الثقة بني التطبيقات واملتحكمات 5،4
اجملاالت األمنية 5،4
4،5،7 اآلمنة املكوانت
التحديث والرتميم السريع واملوثوق للربجميات 6،4،2
ُ
وجيمل املؤلفون يف[6[ابلقول أبنه للحصول على نظام آمن وموثوق يف شبكات SDN فإنه ينبغي توخي السمات
الثالث التالية: التنوع، النسخ املتكرر، واالرتباط الديناميكي لألجهزة.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
27
ً
ُعىن مبسألة األمن والوثوقية بشبكات SDN ،يتناول
كما ذكران سابقا، هنالك العديد من األحباث اليت بدأت ت
مثالً بعض املشاكل اليت جاءت مع اخرتاع فكرة SDN ويتحدث عن نقاط هامة أخرى مثل مراعاة البحث [7، [
أمن نظام التشغيل system operating ،حيث أ ن التغيري الذي قد يطرأ على نظام تشغيل الشبكة سوف يؤدي
إىل تبديل أو تدمري مكوانت الشبكة أو تدمري كامل نظام التشغيل لعناصر الشبكة مثل املتحكمات واملسريات،
ً التالعب بربجميات الشبكة إىل
ويقرتح ضمان أمن نظام التشغيل عن طريق استخدام أنظمة TCB .يؤدي أيضا
ً. إ ن خلل نظام التشغيل أو الربجميات
ختريب عمل مكوانت الشبكة وميكن ضمان أمنها ابستخدام TCB أيضا
ِّ برأي املؤلف سوف يؤدي إىل خلل يف كامل طبقات شبكة SDN،


ويصنف املؤلفون األخطاء بشكل عام إىل
أخطاء برجمية وأخطاء صلبة، وأنه ميكن تفادي كالمها بتطبيق تقنيات مضمونة، لكن الفرق بينهما أ ن األخطاء
الربجمية قد تؤثر على كامل طبقات الشبكة أما األخطاء الصلبة فتؤثر فقط على طبقيت املعطيات والتحكم.
ِّ ويذهب املؤلفون أبعد من ذلك فوا


ليصن
ِّ
ً اهلجمات وحي ددوا الطبقات اليت تؤثر عليها، فهجوم قطع اخلدمة
متاما
DoS يؤثر على الطبقات الثالثة، أما اهلجوم من جانب القناة attack channel side و هو اهلجوم الذي يقوم
د املهاجم فيه إبدخال طرد ذو حجم معني ليستكشف جدول الدفق rules flow
لدى املب ل وذلك عن طريق


حتليل الزمن الذي استغرقه املبدل ملعرفة القاعدة اليت سوف يطبقها على هذا الطرد، فإنه يؤثر فقط على طبقة
املعطيات. فيمايلي نعرض بعض اهلجمات اليت تناولتها الباحثون يف [7 [
وآليات جتنبها:
د عصب الشبكة، حيث يستطيع املهاجم أن يسرق عنوان املتحكم
يطرح هنا املؤلف مسألة محاية املتحكم ألنه يعُّ
وجيعل الطرود تتدفق إليه بدالً الرئيسي، فيجب محاية املتحكم من التهديدات Spoofing IP من املتحكم
اخلارجية أو الفيزايئية، وجيب ضمان أمن نظام التشغيل أبن ال يكون له ابب خلفي أو أن اليرتك بواابت أو
خدمات أو حىت بروتوكوالت مفتوحة.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
28
ً يتحدث املؤلف عن اهلجوم على املعطيات املتدفقة يف الشبكة، حيث يطرح مسألة محاية امل
أيضا عطيات عن


طريق التشفري وعن طريق استخدام آليات للتحقق وإعطاء الصالحيات وذلك لتجنب اهلجوم channel side ،
ويؤكد أيضا مكوانت الشبكة أل ن استغالل نقطة ضعف أايً منها، قد يؤدي إىل ً على ضرورة ضمان أمن مجيع
ً الوصول إىل األجزاء الرئيسية من الشبكة مثل املتحكم، ويقرتح ، مع استخدام
أن تتم محايتها فيزايئيا IPS و IDS
و Firewall.
ً يتحدث
أيضا املؤلف عن اهلجوم على طبقة التطبيقات، فاهلجوم على API Southbound قد يؤدي إىل قطع
اخلدمة يف سائر الشبكة، فيجب أتمني محاية هلذه التطبيقات ومحاية مجيع االتصاالت اليت تتم بني مجيع
التطبيقات عن طريق استخدام TLS ،واستخدام تراميز آمنة وذلك عن طريق وجود توقيع رقمي خاص هبا.
ً مع التحقق
يف ورقة البحث [8 [يقرتح املؤلفون محاية االتصاالت بني املبدل واملتحكم ابستخدام TLS أيضا
املتبادل لشهاديت الطرفني من خالل مفتاح خاص يول certificate root ،)و يتحدث د من جهة اثلثة موثوقة )


ً عن أ ن هنالك العديد من الشركات تتجن
أيضا ب مسألة تضمني TLS لتكلفتها وصعوبتها،
ً
يف شبكتها نظرا
ً جيب توليد شها
د فبداية
دة املتحكم، مث شهادة املب ل، مث توقيع الشهادات من طرف اثلث عن طريق مفتاح
إدخال املفاتيح الصحيحة
ً ويف حال غياب ً
خاص، ومن مث أخريا والشهادات إىل مجيع األجهزة يف الشبكة، إذا
تقانة TLS
دل. يوجد مثالً نوذج Visor Flow والذي ميثل proxy
ال يوجد طريقة ليتحقق املتحكم فيها من املب
د
بني املتحكم واملب ل، حيث يقوم هذا النموذج بتقسيم الشبكات إىل شرائح، حيث يكون كل متحكم مسؤول
عن جزء من الشبكة، لذلك إن قام مهاجم إبصدار األمر بتجاهل مجيع طرود UDP فإنه وبنموذج visor Flow
فقط جزء من الشبكة سوف يتأثر ولن تتأثر األجزاء األخرى ألن visor flow
ً
سوف يعيد كتابة القاعدة بناء
على شرائح الشبكة.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
29
ً يقرتح املؤلفون وجود
د أيضا checksum لكل القواعد املو جودة ضمن جدول الت
وجيه يف املب
َ
رس
ُ
الت ي ل بشكل


دوري إىل املتحكم، الذي يقوم حبساهبا يفكل مرة ليعرف ما إذا مت ت


بديل القواعد أو مت التالعب هبا.
يوجد العديد من التصاميم للمتحكمات اهلادفة إىل جتاوز نقاط الضعف وأتمني هذه املتحكمات، ومنها
د املتحكمات FlowDayLight واليت القت العديد من نقاط الضعف نسرد بعضها: 1-
املتحكم أيمر املب ل
إبرسال الطرود multicast إليه يف كل مرة، دون أن يتم تسجيل قاعدة التسيري لطرود من هذا النوع يف جدول
د
توجيه املب ل. 2 -يتم ترحيل مجيع الطرود احلاملة لعنوان فيزايئي غري معروف إىل املتحكم. 3 -ال يوجد آلية محاية
ضد Spoofing MAC ،لذلك يستطيع املهاجم ملء جدول التوجيه لدى املبدل بعدد غري حمدود من الطرود اليت
ً يستطيع ملء ذواكر املتحكمات مبثل هذه الطرود العشوائية، لذلك جيب أن
حتمل عناوين فيزايئية عشوائية. أيضا
يوجد آليات ملنع Spoofing MAC ووضع حمددات لعدد الطر ود اليت حتمل عناوين غري معروفة ووضع قواعد من
أجل مسألة الـ multicast.
ً
ّ 3.4 نقاط ضعف طبقة فة برجميا
التطبيقات يف الشبكات املعر والتحسينات املضافة إليها:
يف]39 ،]يتح دث املؤلفون عن مدى خطورة نقاط الضعف املوجودة يف هذه الشبكات، وعن كيفية استغالل
ات اسة يف الشبكة إىل طرف اثلث. أهم املخاطر اليت


صاالت التطبيقات اجلنوبية إلرسال معلومات حس حي ذر منها
ح به، ب. استدعاء التوابع بشكل غري شرعي، ت. حقن قواعد خبيثة، ث.
الباحثون:أ. الولوج غري املصر
ِّ
ً يدعى بـ
استنزاف املوراد، والرجل يف الوسط. يقرتح املؤلفون متح كما ControllerSEPA ،حيث ابالستفادة
ً. ميكن هلذا
من API RESTful ،يستطيع الباحثون مواجهة التطبيقات اخلبيثة يف الشبك فة برجميا


ات املعر
املتحكم توفري نظام حتقق AAA( Accounting, Authorization, Authentcation ،)معاجلة القواعد
املتضاربة، عزل تطبيقات OpenFlow ،التحكم بييب
ُ
احل ابلنفاذ والتشفري. يعرض الباحثون يف ]41 ]كيفية
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
30
استخدام التطبيقات يف اهلجوم على املتحكمات OpenDayLight ،ONOS ،وFloodLight ،حيث
قاموا إبجراء العديد من السيناريوهات لعرض احلاالت اليت ميكن من خالهلا استغالل نقاط الضعف يف طبقة
التطبيقات اخلاصة هبذه املت ه وابستخدام برانمج خبيث صغري، ميكن القضاء على بيئة


ح كمات، ويربهنون على أن
ً
فة برجميا


د الشبكات املعر ابلكامل. بينما يف ]42 ]م الباحثون آلية أمنية لكشف النشاطات اخلبيثة يف
، يق
،ً
فة برجميا


الشبكات املعر حيث يعتمد الباحثون على استغالل مركزية التحكم وقابلة الرب جمة يف هذه الشبكات
دالت استخدام
إلجراء مراقبة دورية ملع وحدة املعاجلة املركزية ملختلف التطبيقات، وإحصائيات املعلومات املتداولة
بني املضيفني، حيث يقوم الباحثون ابملقارنة بني االستدعاءات االعتيادية لتو ابع النظام، مع االستدعاءات اليت تتم
ً يف احلاالت غري الطبي أوامر القراءة أو الكتابة أو التعديل أو غريها م
عة، سواء ستخدمة يف هذه
ُ
ن التوابع امل
الشبكات.
يف ]43 ]ى
ُسم
ي
ً
ً جديدا
دم الباحثون نظاما
، يق INDAGO ،الذي يقوم بعمليات حتليل إحصائية لتطبيقات


ً الشبكات املعر كما يقوم بنمذجة سلوكها، حيث يقوم إبجراء عملي
فة برجميا ات كشف بشكل أوتوماتيكي، كما
يقوم ابستخدام منهجيات تعل م اآللة لتحقيق غرض التحليل والكشف.
يف]44 ،]يطرح الباحثون منهجية جديدة يف اكتشاف التعديالت اخلفية اليت تقوم هبا التطبيقات اخلبيثة يف
ة برجميا حيث أ ّنم قادرون على إيقاف التطبيق ً الشبكات املعرف وتقوم مبنعها من هكذا حماوالت قبل أن تبدأ هبا،
اخلبيث قبل أن يقوم إبجراء هجومه. يتم حتقيق ذلك من خالل مقارنة حالة الشبكة الفعلية، واليت تشمل كل من
التطبيقات الضارة واحلميدة، مع حالة الشبكة اليت يتم توفريها بواسطة يل


استخدام نوذج أو


متحكم مشبوه. مت
للمنهجية يف بيئة اب استخدام مكتبة مفتوحة املصدر للتعامل مع واص


يثون، حيث مت فات بروتوكول التطبيقات
اجلنوبية.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
31
ً تطرح ورقة البحث [9 [نقاط ضعف ومشاكل أخرى تتعلق بطبقة التطبيقات يف شبكات SDN
نعرض بعضا
منها كمايلي:
1 .نقاط الضعف يف طبقة التطبيقات:
د أ. التطبيقات املتداخلة application nested:
وتع هذه من التحدايت الصعبة واخلطرية ملوضوع
األمن بشبكات SDN ،حيث إن كانت تعمل التطبيقات بطريقة تداخل احللقات chain service
interference ،وتوقفت أحد املخدمات أو دخلت يف حالة حلقة ال ّنائية، فهذا يعين انقطاع كامل
احللقة وتوقفها.
ن التطبيقات
ب. متتلك التطبيقات القدرة على الو صول إىل الذاكرة الداخلية لشبكات SDN :حيث أ
ن املتحكمات تتشارك الذواكر
متتلك إمكانية الوصول إىل املوارد الداخلية يف الشبكة، وابلتايل فإ
ً
الداخلية مع التطبيقات، إذا تستطيع التطبيقات الوصول والتالعب بقواعد املعطيات املوجودة داخل
الذواكر الداخلية لشبكات SDN.
ج. التطبيقات مسؤولة عن بعض رسائل التحكم: إ ن رسائل التحكم مسؤولة عن أتمني االتصال بني
طبقيت التطبيقات واملعطيات، ابلتايل ميكن أن يستغل أحد التطبيقات هذه الرسائل لتغيري حمتوى جدول
التوجيه مثالً، وابلتايل ختريب عمل الشبكة، أو ميكن أن يقوم تطبيق خبيث إبيقاف عمل كامل الشبكة
د
وذلك مبسح جداول التوجيه ابملب الت.
ً د. استهالك موارد الشبكة: وذلك
ميكن أن تتشارك التطبيقات اخلبيثة من أجل تعطيل الشبكة كاملة
عن طريق استهالك الذواكر أو وحدة املعاجلة املركزية CPU أو ميكن أن تقوم هذه التطبيقات بتنفيذ أمر
خروج من النظام لتجاهل نسخ املتحكمات، وهذا ما ّنتم به يف حبثنا هذا.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
32
2 .نقاط الضعف لدى التطبيقات API Northbound :تعاين هذه التطبيقات من عدم وجود معيار واحد هلا
مجيعا،ً ابلتايل حنن مضطرين للعمل مع عدة أناط، وكل منها له ما له وعليه ما عليه من نقاط القوة والضعف،
ً مازالت تعاين هذه
وأيضا التطبيقات من ضعف التصميم حيث ميكن استغالل هذه التطبيقات بسهولة للتالعب
مبحتوايت الشبكة.
3 .نقاط الضعف بطبقة التحكم حيث لدينا هنا عدة نقاط ضعف، منها:
أ. مشكلة الطرد الوارد in-packet :يسمى الطرد الوارد والذي ال يوجد قاعدة خاصة به لتوجيهه ضمن
د امل
ب
ل يسمى بـ in-packet ،ابلتايل وحسب بروتوكول Flow Open فإنه يتم توجيه هذا الطرد إىل ِّ
د املتحكم، وعلى اعت
بار أنه ال يوجد مب الت موثوقة ف


يمكن أن يستغل أحد املهامجني نقطة الضعف هذه
ً ابستخدام طرود مزيفة أن يتم
إلرسال الكثري من الطرود in-packet وإسقاط املتحكم. ميكن أيضا
تسميم نظرة املتحكم للشبكة وذلك إبرسال طرود ARP عشوائية لعناوين فيزايئية غري موجودة. ميكن
ً تسميم اكتشاف طوبولوجيا الشبكة وذلك عن طريق
أيضا التالعب خبدمة اكتشاف اخلط.
ب. التضارابت يف إعدادات املتحكمات: حيث يوجد لدينا ضمن اجملال الواحد عدة متحكمات وعدة
ُىن
ب flow open ابلتايل من املمكن أن ال يكون هنالك تزامن بعمل هذه املكوانت مع بعضها.
4 .نقاط الضعف يف واجهة التطبيقات API Southbound :حيث ميكن تنفيذ هجمات الرجل يف الوسط
هنا لتبديل حمتوى رسائل التحكم بني طبقة التحكم وطبقة املعطيات وختريب حمتوى جدول التوجيه، وميكن أن


الفع
ً
تكون عرضة للتنصت سواء


ال أو غري الفعال وذلك عن طريق التجسس على قناة التحكم حيث ميكن
م طوبولوجيا الشبكة
ُّ
ً للمتحكم تعل أن تكون عرضة
من خالل التجسس على رسائل التحكم. ميكن أيضا
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
33
هلجمات مستوى الـ TCP


حيث ال يؤمن استخد ام TLS محاية ملستوى TCP
ً هنا اليوجد معيار موح
. أيضا د
هلذه الواجهات.
5 .نقاط ضعف طبقة املعطيات: واحدة من أهم املشاكل اليت تعاين منها هي عدم معرفة األصل احلقيقي
د
د الطاقة االستيعابية احملدودة للمب
ً، تعُّ
للمعطيات أو جدول التوجيه. أيضا الت من املسائل اهلامة، حيث ال ميكن
د
د للمب
ل حتمل عددكبري من جداول الدفق، ابلتايل ميكن القضاء على املب ل من خالل مهاجم مشبع ابملوارد.
تتناول ورقة البحث ]46،10 ]أخطار أخرى يف شبكات SDN مثل االنتحال spoofing ،وهجمات أخرى
نستعرضها كما يلي:
دالت اخلبيثة أنه صاحب العنوان
أحد املب
ْن يدعي مثالً
1 .Spoofing ARP :حيث تكمن اخلطورة هنا، أ
املنطقي املوثوق، فيضع عنوانه الفيزايئي بدالً من العنوان الفيزايئي اخلاص ابملبدل املوثوق، ابلتايل يتم حتويل كل
الطرود إليه. يقرتح املؤلف Matias وآخرون نوذج يقوم فيه املتحكم يف كل مرة ابلتحقق من جدول املقابلة بني
العنوان املنطقي والعنوان الفيزايئي لألجهزة املوثوقة وذلك لكشف عمليات spoofing ،ويف حال اكتشف
املتحكم أ ن هنالك عنوان فيزايئي جلهاز غري موثوق يقوم بتجاهله. يف بروتوكول flow open ميكن إجراء هجوم
spoofing ARP يف حال مل نكن نستخدم SSL .
2 .Spoofing IP :من املعروف أن أحد أهم املخاطر يف الشبكات هو انتحال العناوين املنطقية، لذلك أحد
النماذج املستخدمة يف شبكات SDN واملطبقة يف بروتوكول Flow Open ،هو نوذج VAVE ( Virtual
ُ Edge Validation Address source ض من يف املتحكمات، حيث يقوم املتحكم ابلتحقق من العن
( وامل اوين
اخلاصة ابلطرود اخلارجية والغري مس ج ه، حيث يكون لكل جدول توجيه قائمة بيضاء لة ضمن جدول التوجي
)موثوقة( ملقارنة العناوين مع قواعد معينة إما للتجاهل أو للمعاجلة أو للتسيري. ينبغي على متحكم شبكة SDN
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
34
أن يكون قادرا كما يف حال شبكات NAT ( Address Networkً على عزل شبكته احمللية عن الشبكة اخلارجية
Translation ) حيث ميكن أن يكون لدى املتحكم جدول لرتمجة العناوين اخلارجية إىل عناوين داخلية.
3 .البعثرة Tamparing :وهو التعديل الغري شرعي ملعلومات الشبكة لتدمريها وختريبها، مثل الطوبولوجيا
وجداول التوجيه، حيث ميكن أن يقوم املهاجم بتعديل جدول التوجيه أو قواعد جدار احلماية Firewall من أجل
ح هلم بدخول الشبكة. لتفادي مشكلة البعثرة، جيب أن يقوم املتحكم
السماح لبعض األشخاص الغري مصر
ن بفحص دوري لطرق التشفري واالتصاالت.
إ املشكلة األساسية ابستخدام TLS هي أنه إجراء اختياري يف
ن بروتوكول flow open
وأ الكثري من الشركات اليت تقوم بصنع املتحكمات ال تدعم TLS .
4 .اختالس املعلومات:
اهلدف من هكذا هجمات هو ليس التخريب أو اإلساءة إىل معلومات الشبكة، إ نا هتدف إىل سرقة املعلومات
ابلدرجة األوىل واالستفادة منها. من الطرق املتب هذا النوع من اهلجمات هو استخدام مضادات عة ملواجهة
ُستخدم عند اخلطوة األوىل يف هكذا هجوم، وهنالك العديد
ألدوات املسح scanning واليت من املعروف أّنا ت
ً من املمكن استخدام
من التنجيزات املستخدمة يف بروتوكو ل Flow Open ملواجهة أدوات املسح هذه. أيضا
القوائم البيضاء والسوداء لرتشيح التدفقات الشبكية، حيث تعتمد الشبكات التقليدية على العناوين املنطقية
والفيزايئية للفلرتة وميكن تعميمها يف بنية Flow Open إلنشاء قوائم بيضاء وسوداء يف جداول التوجيه على
ً
بناء
تلك العناوين.
5 .قطع اخلدمة DoS:
هنالك العديد من االقرتاحات والنماذج اليت عىن ابحلماية من هجوم قطع اخلدمة
ُ
ت ، فمنها من يعتمد على مقارنة
وقياس دوري حلجم الطرود الواردة، ووضع عتبة معينة إن مت جتاوزها يتم اختاذ القرار أبن هنالك هجوم قطع خدمة
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
35
ً منها من يستخدم ناذج اثبتة للمقارنة معها، أي ناذج هلجمات سابقة، فيعلم املتحكم
وشيك. أيضا من شكل
التدفق أن هنالك هجوم قطع خدمة قادم.[45[
لكن بسمات خمتلفة قليالً يقرتح املؤلف هنا استخدام Firewall عن تلك املوجودة يف الشبكات التقليدية حيث
أن املتحكم هنا هو املسؤول الرئيسي عن تسيري الطرود.
ّدمة يف األحباث السابقة:
3.5 مناقشة سريعة للحلول املق
ابلنسبة للبحث[6 ،[يقرتح املؤلفون 7 أنواع للتهديدات املمكنة يف شبكات SDN ولكل هتديد
ً
❖ بداية
،ً
ابلنسبة للتهديد األول اخلاص ابلطرود الزائفة، حت دث املؤلفون عن إمكانية استخدام أوالً يقرتحون ح الً ممكنا :
ن أنظمة حتليل وأنظمة ملعرفة املسبب احلقيقي للحدث،
ولكن أرى أ هذ ا احلل غري انجح إال يف الشبكات
ً، ففي حال استطاع املهاجم الوصول لعدة أجهزة متناثرة يف الشبكة
الصغرية واحمللية، أما يف الشبكات الكبرية جدا
ن
واستغالهلا إلرسال طرود ومهية وزائفة، فإ


ً يف معرفة مسب
هذه األنظمة لن جتدي نفعا ب اهلجوم، وحنن نعلم وجود
د املؤلفون يف التهديد ً العديد من التطبيقات والفريوسات اليت تستطيع تنفيذ عملية access remote: .
اثنيا مل يفن
الثاين ماهي نقاط الضعف اليت يرون أن استخدام أنظمة إلدارة الثقة بني أجهزة الشبكة قد تفيد يف تفاديها، لكن
أن يتم وضع املب ل switch يف أماكن بعيدة املنال عن أ سمح د أقرتح
ُ
يدي املخربني، وأن ال ي ألي شخص
ابلوصول إليهم إال بعد أخذه لتصريح من قبل ثالثة أشخاص من نفس فريق العمل، وأن يكون عدد الواجهات
interfaces حمدود حبسب احلاجة وحبسب الدراسة املفضية إىل تركيب هذا املبدل، ويف حال أردان التوسع
ابلشبكة يتم تركيب واجهات حسب احلا ستغل أحد وج
َ
جة فقط حىت ال ي ود واجهة فارغة ويوصل جهازه فيها
ً ليقوم ابلتخريب. :
اثلثا مهامجة اتصاالت طبقة التحكم، يتحدث املؤلفون عن إمكانية استخدام تقنيات تستدعي
أن حيصل املبدل فيها على درجة من الوثوقية مث بعد ذلك يقوم ابلعمل والتواصل مع طبقة التحكم، أرى أن هذا
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
36
ً: يف حال استخدمنا طريقة النسخ، فإنه أرى أنه عند جناح املهاجم
سوف يفضي إىل بطئ يف عملية التسيري. رابعا
ً هناكحل
ً ما هي نقاط ضعف املتحكمات األخرى املثيلة. ميكننا أيضا
ابخرتاق املتحكم األول، فسوف يعي متاما
إضايف عدم السماح ألحد للولوج إىل املتحكم إال بتصريح من قبل عدة اختصاصيني من نفس اجملال.

خامسا عدم وجود آلية لضمان الثقة بني التطبيق واملتحكم، لذلك ميكن إنشاء مؤسسة ومنظمة تقوم إبعطاء
شهادات دورية للتطبيقات اليت تلج إىل املتحكمات، ويتم حتديث هذه الشهادات بشكل دائم ومتجدد، حيث
ً ابلتأكد من صحة شهادة التطبيق مث بعد ذلك يستجيب ألوامره.
ً يقوم املتحكم بداية :
سادسا أرى أنه من
ِّ


املمكن أن يكون هنالك اتفاق بني هؤالء املصر ح هلم، لذلك من األفضل أن يتم وضع أانس ال يعرفون


حني واملصر
بعضهم البعض، ويتم اختيارهم يف كل مرة بشكل عشوائي للتصر يح لبعضهم وأن يكون هنالك ملف log
ً لتسجيل حركة الولوج إىل املتحكمات ومن هم األشخاص الذين قاموا إبعطاء التصرحيات. :
سابعا يقرتح املؤلف
من أجل التهديد السابع وجود نظام تعقب و تسجيل!!! لكن يف حال وقوع الشبكة ابلكامل، رمبا لن يفيد
ب والتسجيل، لذلك
التعق ه


أرى أن جيب أن يكون هنالك نظام مراقبة عام لدى احملطة األساسية ملراقبة كل ما
جيري من الشبكة وأنظمة تنبؤ ابألفعال الغري اعتيادية، وأن يكون هنالك قواعد معطيات حتتوي على أناط
هجمات معروفة وتقليدية ملقارنة سلوك الشبكة معها بشكل دائم ملعرفة املشكلة قبل وقوعها.
دل مع
ابلنسبة لطرحهم اخلاص ببناء منصة حتكم آمنة وموثوقة، فإن اقرتاحهم خبصوص الربط الديناميكي للمب
د املتحكمات األخرى، فمن وجهة نظران أنه عند
استغالل أحد املب الت للوصول إىل املتحكم املرتبط معها
وتعطيله، سوف ينتقل املبدل إىل متحكم آخر وابلتايل إصابة املتحكم اجلديد بعطل )إال يف حال كان املتحكم
د اآلخر ليس نسخة عن املتحكم املصاب(،
ابلتايل حنن حباجة إىل أتمني املب الت أوالً بعد ذلك نستطيع استخدام
د ه
ذا االقرتاح، وينبغي أن يكون هنالك آلية موثوقة للتعريف عن املب الت لدى املتحكمات قبل ارتباطهم، أو أن
يكون هنالك إجرائية فحص لألمان يقوم هبا املتحكم لكل مبدل يرغب ابالرتباط معه.
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
37
ابلنسبة للحل الذي ينص على بناء الثقة بني املتحكم واألجهزة: ما هي اآلليات اليت ميكن استخدامها ملثل هكذا
أمر؟؟ وما مدى أتثريها على جودة وسرعة الشبكة على اعتبار أن كل جهاز جديد حباجة للدخول للشبكة
سوف يكون هنالك حاجة إىل التحقق منه ونسبه إىل القائمة البيضاء أو وضعه بطور التجميد أو حىت رميه

خارجا
احلل اآلخر الذي


دالت عن الوثوقية اخلاصة هبا يف
دالت مث سؤال أحد املب
مت اقرت احه هو إعطاء الثقة لكامل املب
فذ هجمته مث مل يعد يهتم بعد ذلك ال إلعطاء
حال كان مشكوك هبا، لكن يف هذه احلالة يكون املهاجم لرمبا ن
دليل وثوقية وال حىت للعودة للشبكة من جديد.
❖ أما يف ورقة البحث [8 [فعندما اقرتح املؤلف أن يكون هنالك checksum جلدول التوجيه. أرى أن الـ
checksum ميكن تبديله بسهولة حيث حىت لو مت التالعب ابلقواعد، فيستطيع املهاجم أن حيافظ على نفس
checksum لذلك أقرتح أن يتم إضافة عملية التهشري function hash لضمان عدم التالعب هنا. هنالك العد يد
ً عند اقرتاحه العمل بربوتوكول
من النماذج املطروحة لبناء املتحكمات، وأيضا TLS فإن هذا سوف يعرض
االتصاالت ملشكلة هجوم الرجل يف الوسط middle-the-in-man.
❖ أما يف ورقة البحث [9 [يطرح املؤلفون عدة نقاط ضعف جديدة لكن دون حتديد األساليب املمكنة
ً ملواجهتها لكن سوف منها
أانقش بعضا . ابلنسبة للتطبيقات املتداخلة، برأيي جيب أن يتم كسر أي حلقة وجعل
ً، أو أن يكون لكل تطبيق وقت حمدد و
التطبيقات تعمل بشكل منفصل دائما يتم توزيع املوارد بشكل متساوي
بني التطبيقات يف كل حيز زمين time slot .ابلنسبة لقدرة التطبيقات على الوصول إىل الذاكرة الداخلية، فيجب
ُطى الصالحية للنفاذ إىل
أن يكون هنالك إجرائية تسمح بداية ابلتحقق من وثوقية هذا التطبيق مث بعد ذلك يع
الذاكرة. مشكلة الطرد in-packet أقرتح أن يكون هنالك أنظمة مراقبة دائمة مع أنظمة معرفة السبب احلقيقي
ً إجرائيات لوضع عتبة معينة لعدد الطرود الواردة واليت
وذلك لتبيان املنبع الذي تصدر منه هذه الطرود، وأيضا
الفصل الثالث نقاط ف
ّ
SDN ً
ضعف الشبكات املعر ة برجميا
38
د
ليس هلا قاعدة ضمن جدول التوجيه، وأن يكون املب ل متصل مع أكثر من متحكم، فال ير سل هذه الطرود يف
كل مرة إىل نفس املتحكم، إنا يقوم بعملية موازنة للحمل balancing load .أما نقاط الضعف اخلاصة بطبقة
د
املعطيات، فأقرتح أن يكون هنالك إجرائية تسمح بوسم كل مب
ً
ل برقم تسلسلي ما، ويكون هذا الرقم مشفرا
بطريقة التهشري، حيث يف كل مرة يتأكد املتحكم من صاحب هذا الدفق، مث بعد ذلك يعاجله.
:اخلالصة 6.3
يوجد الكثري من األحباث اليت بدأت ابلتوجه حنو مسأليت األمن والوثوقية يف شبكات SDN .جيب أن
ِّ تؤخذ هذه الدراسات بععني االعتبار بل الشركات املصنعة أو اخلرباء والباحثني املعنيني إبدارة شبكات
من ق
ً
، سواء
َد املؤلفون آليات ابالسم ملواجهة مشكالت حمددة
SDN ،ورأينا الكثري من احللول املقرتحة كما يف[6 ،[حيث فن
ُ ومعينة، واقرتحوا فضي مع مسألة
مسألة النسخ املتكرر للمتحكمات، ومسألة التنوع وهذه نقطة جيدة هامة، ت
النسخ إىل نظام أكثر متانة وقوة.


تلخيص النصوص العربية والإنجليزية أونلاين

تلخيص النصوص آلياً

تلخيص النصوص العربية والإنجليزية اليا باستخدام الخوارزميات الإحصائية وترتيب وأهمية الجمل في النص

تحميل التلخيص

يمكنك تحميل ناتج التلخيص بأكثر من صيغة متوفرة مثل PDF أو ملفات Word أو حتي نصوص عادية

رابط دائم

يمكنك مشاركة رابط التلخيص بسهولة حيث يحتفظ الموقع بالتلخيص لإمكانية الإطلاع عليه في أي وقت ومن أي جهاز ماعدا الملخصات الخاصة

مميزات أخري

نعمل علي العديد من الإضافات والمميزات لتسهيل عملية التلخيص وتحسينها


آخر التلخيصات

أفلاطون: أحدُ أ...

أفلاطون: أحدُ أشهر وأعظم الفلاسفة الغربيين، موسوعيُّ المعرفة، عميقُ الفكر، له طريقة فريدة في عرض أفك...

You should have...

You should have asked about this creature before you joked with him. I assure you, you will not do i...

As part of my c...

As part of my career, I would like to engage in applied research projects aimed at solving the compl...

تعريف الدولة ال...

تعريف الدولة الفاطمية ...

تشهد المجتمعات ...

تشهد المجتمعات الحالية ومنذ ظهور وانتشار العولمة فترات عصيبة نتيجة للمتغيرات الاجتماعية والثقافية ال...

في ليلة مظلمة و...

في ليلة مظلمة وعاصفة، كان هناك منزل قديم يقف وحيدًا على تلة مهجورة. كان الناس يتجنبون المرور بجانبه ...

Since the adven...

Since the advent of the industrial revolution, practitioners have strived to find innovative ways to...

Hope means that...

Hope means that we should never give up when we want to reach our goals and our ambitions. My story ...

Adam Smith sat ...

Adam Smith sat on the edge of the narrow beda looked through the bars of his cell. 1 no one believe ...

من خلال دراستنا...

من خلال دراستنا واطلاعنا على موضوع العلاقات الإنسانية وتأثيره على الرضا الوظيفي لدى العاملين بالإقام...

يعمل مجلس الإدا...

يعمل مجلس الإدارة، بموجب مبدأ الممارسات التجارية الشفافة والمسئولة على دعم إدارتها لقيادة الشركة بطر...

1. ALLOWS FOR A...

1. ALLOWS FOR A COMPREHENSIVE EVALUATION Portfolio assessment allows for a comprehensive evaluation ...