2015

http://excel.fit.vutbr.cz

Zakonne odposlechy v SDNBarbora Frankova*

1010000101110110101101010100010101101010010001010111111010100011010111001010010101000101010010101010010101000101000101000101010111111111111111101011111000101010100110001000110001110001101010011010101100101000101010001010001111010010100010101000101000101010101101011000101010100010111011110111111001010110101010101000101010100010100011010

AbstraktTato prace se zabyva vyuzitım softwarove definovanych sıtı v oblasti zakonnych odposlechu. Stavına implementaci systemu pro zakonne odposlechy vyvinute v ramci projektu Sec6Net. Prınosemprace je rozsırenı tohoto systemu v nekolika oblastech, ve kterych SDN nabızı potencial kespolehlivejsı identifikaci odposlouchavanych uzivatelu a efektivnejsımu vyuzitı sıte. Prvnı zmınenycıl je realizovan prostrednictvım modulu funkce dynamicke identity, druhy pak pomocı modulu prodynamickou konfiguraci sıt’ovych sond.

Klıcova slova: Softwarove definovane sıte — OpenFlow — OpenDaylight — Zakonne odposlechy— Sec6Net

Prilozene materialy: N/A

*xfrank08@stud.fit.vutbr.cz, Fakulta informacnıch technologiı, Vysoke ucenı technicke v Brne

1. Uvod

Softwarove definovane sıte rozsirujı programovatel-nost sıte. Zatımco zarızenı v klasickych sıtıch majıpevne danou funkcionalitu od vyrobce a slozity operac-nı system, softwarove definovane sıte umoznujı zıskatglobalnı pohled na sıt’ a rıdit chovanı sıte pomocı pro-gramovatelnych sıt’ovych zarızenı.

Tato prace je zamerena na vyuzitı znalosti topolo-gie ze softwarove definovanych sıtı (SDN) v systemupro zakonne odposlechy. Cılem je spolehlivejsı identi-fikace odposlouchavaneho uzitatele, efektivnejsı vyuzi-tı sıte a dynamicka konfigurace sond na zaklade aktual-nı topologie. Zadny ze soucasnych systemu pro zakon-ne odposlechy (napr. Cisco, Verint) ale nevyuzıvavyhod, ktere poskytuje propojenı systemu pro zakonneodposlechy s SDN.

Resenı je postaveno na implementaci systemu prozakonne odposlechy SLIS, ktery vznikl v ramci pro-jektu Sec6Net. SLIS jsem v ramci projektu propojilas SDN kontrolerem OpenDaylight, ktery poskytuje

rozhranı pro zjistenı kompletnı topologie sıte. Vytvori-la jsem modul pro OpenDaylight, ktery zıskava in-formace o identitach koncovych uzivatelu a predavaje dal systemu pro zakonne odposlechy. Topologiese vyuzıva pri pridavanı pozadavku na odposlech tak,aby se konfigurovala pouze jedna sonda. Vyuzitı SDNumoznuje take smerovanı komunikace k sondam, kterenelezı prımo na lince, kterou odposlouchavana dataprochazı, a vyvazovanı zateze mezi sondami.

V sekci 2 jsou rozebrany teoreticke pojmy. Pod-sekce 2.1 je venovana strucnemu popisu systemu SLIS,ktery vznikl v projektu Sec6Net. V podsekci 2.2 jevysvetlen princip softwarove definovanych sıtı. V sekci3 je popsan navrh rozsırenı systemu pro zakonne odpos-lechy a v sekci 4 implementace techto rozsırenı.

2. Teorie

2.1 Zakonne odposlechyRostoucı pocıtacova kriminalita je jednım z rysu soucas-ne spolecnosti. Z tohoto duvodu byly nektere z utoku,

napr. neopravneny prıstup, odposlouchavanı, narusenısystemu nebo pocıtacove padelanı, zaneseny do zakonajako trestna cinnost. Presne znenı lze nalezt v zakoneo elektronickych komunikacıch (zakon c. 127/2005Sb.) a v Evropskem pravu (Umluva Rady Evropyo pocıtacove kriminalite – Convention on Cybercrime,ETS No. 185).

Jednou z moznostı, jak bojovat proti pocıtacovekriminalite, jsou systemy pro zakonne odposlechy. Do-porucena architektura techto systemu byla vytvorenauradem ETSI pro vsechny zeme Evropske unie [1].Systemy pro zakonne odposlechy umoznujı opravne-nym organum sledovat komunikaci podezrelych sub-jektu v pocıtacove ci telefonnı sıti. V ramci projektuSec6Net1 vznikla implementace systemu pro zakonneodposlechy – Sec6Net Lawful Interception System(SLIS), ktery je urcen pro nasazenı v sıtıch poskytova-telu Internetu [2].

Soucasti systemu SLIS, ktere jsou dulezite pro tutopraci, jsou nasledujıcı:

• Funkce dynamicke identity (IRI-IIF) – ma zaukol dynamicke zjist’ovanı castecne identity sle-dovanım probıhajıcıch komunikacı (relace, hov-ory, spojenı apod.) a analyzou protokolu.

• Triggerovacı funkce (CCTF) – konfiguruje jed-notlive sondy ve chvıli, kdy ma byt zahajenodposlech.

• Sondy pro odposlech (CC-IIF) – majı za ukolzachytavat obsah komunikace sledovanych uziva-telu.

Odposlouchavany uzivatel musı byt jednoznacneidentifikovatelny v sıti. Jeho identita se sklada z mnozi-ny identifikatoru pouzıvanych v sıt’ovem prostredı (napr.IP adresa, MAC adresa apod.). Nektere identifikatoryse mohou na strane poskytovatele dynamicky menitnapr. skrze protokoly DHCP, RADIUS nebo SLAAC[3]. Jiz dostupne moduly pro IRI-IIF majı za ukolodesılat informace o tom, kdy a komu byly identi-fikatory prideleny. IRI-IIF na zaklade techto informacıdynamicky propojı castecne identity, ktere patrı jed-nomu uzivateli nebo stroji [4, 5].

Jako prıklad lze uvest pozadavek na odposlechuzivatele s urcitou e-mailovou adresou. Pokud tentouzivatel v prubehu odposlechu zmenı IP adresu svehozarızenı nebo ke komunikaci pouzije jine zarızenı, IRI-IIF detekuje zmenu a preda tuto informaci systemu.CCTF pak muze vcas prekonfigurovat pripojene sondyCC-IIF a zachytit veskery obsah komunikace.

1http://www.fit.vutbr.cz/∼matousp/grants.php?id=517

2.2 Softwarove definovane sıteKoncept softwarove definovanych sıtı je novy prıstupk pocıtacovych sıtım, ktery se v poslednı dobe prosazu-je i v komercnı sfere. SDN oddeluje logiku sıte odsamotneho preposılanı paketu a tım umoznuje vytvaretprogramovatelne sıte. Tento prıstup lze vyuzıt prede-vsım ve velkych datacentrech a u poskytovetelu inter-netoveho pripojenı.

Vyzkumu v teto oblasti se venuje naprıklad Google,ktery pomocı SDN propojil sva datacentra naprıc kon-tinenty nebo McKeown aj., kterı zkoumali nasazenıSDN v univerzitnım kampusu [6, 7]. Princip SDNlze vyuzıt i v dalsıch aplikacıch, jako je dynamickakontrola prıstupu, vyvazovanı zateze, virtualizace sıtenebo energeticky usporne sıte.

Architektura softwarove definovanych sıtı se skladaz vrstvy infrastruktury (data plane) a rıdıcı vrstvy (con-trol plane). Ve vrstve infrastruktury se nachazı jed-notliva zarızenı, ktera majı na starosti rychle preposıla-nı paketu. V rıdıcı vrstve se nachazı oddelena kontrolnıcast ve forme kontroleru. Kontroler ma prehled o topo-logii cele sıte a o prostredcıch k smerovanı a prepınanıpaketu, ktere umoznujı jednotliva sıt’ova zarızenı. Nadrıdıcı vrstvou lze vytvaret ruzne aplikace, upravujıcırızenı sıte.

Komunikacnı rozhranı mezi rıdıcı vrstvou a sıt’ovy-mi zarızenımi muze byt naprıklad OpenFlow [7]. Open-Flow prepınac vyuzıva koncept datovych toku k identi-fikaci sıt’oveho provozu na zaklade pravidel, ktera jsounaprogramovana staticky nebo dynamicky. Pravidlajsou ulozena v tabulkach toku, ktere porovnavajı pro-chazejıcı pakety se svymi zaznamy a zvolı akci nazaklade vysledku porovnanı. Pravidla se vyhledavajısestupne od nejvyssı priority a je aplikovano prvnıpravidlo, u ktereho je nalezena shoda.

3. NavrhSystem pro zakonne odposlechy SLIS je urcen k nasaze-nı u poskytovatelu internetoveho pripojenı. V kla-sickych sıtıch mohou byt CC-IIF sondy pripojeny nalince s TAPem, ktery veskera data zduplikuje. SLISnastavuje vsechny sondy stejne a sondy tak odposlou-chavajı veskerou zajmovou komunikaci. Jednou z moz-nostı, jak system vylepsit, je pouzitı softwarove defino-vanych sıtı. Pokud system rozsırıme o znalost topolo-gie, muzeme jednoduse identifikovat cestu zajmovekomunikace a prizpusobit chovanı prepınacu.

Prvnım rozsırenım systemu je zıskavanı castecnychidentit koncovych stanic z kontroleru SDN. Castecnaidentita stroje zahrnuje identitu na sıt’ove (L2) a linkovevrstve (L3). Identifikatory zıskane z SDN kontroleru(MAC adresa, IP adresa a prepınac, ke kteremu je

zarızenı pripojeno) pote IRI-IIF propojı s castecnymiidentitami uzivatelu vyuzıvajıcı detekovane stroje (zıskanychz jinych modulu systemu SLIS).

Druhym rozsırenım je dynamicka konfigurace sondna zaklade topologie sıte. Kombinacı znalosti topolo-gie z kontroleru a znalosti pozice sond v teto topologiimuzeme optimalizovat konfiguraci sond CC-IIF. Sou-castı tohoto resenı je i dynamicka rekonfigurace prepı-nacu. Kombinace dynamicke konfigurace sond a prepı-nacu umoznı vyrovnavanı zateze a smerovanı tokuk sondam, ktere nelezı prımo na lince, kterou dataprochazı.

4. Implementace a testovanı

Pro implementaci navrzenych vylepsenı jsem zvolilakontroler OpenDaylight. OpenDaylight je open sourceprojekt, ktery ma podporu i v komercnı sfere (Cisco,HP a dalsı). Tato prace vyuzıva rozhranı REST [8]protokolem HTTP.

4.1 Zıskavanı castecnych identitZıskavanı castecne identity z SDN je implementovanov jazyce Python jako modul ODL pro OpenDaylightkontroler. Na obrazku 1 je znazorneno zapojenı ODLdo systemu.

Z kontroleru je mozne zıskat tri typy identifikatorupro dane zarızenı: IP adresu, MAC adresu a identi-fikator prepınace, ke kteremu je toto zarızenı pripojeno.Funkci dynamicke identity modul odesıla zpravy, kdyzbyl detekovan zacatek a konec spojenı. Soucastı zpravje uvedena trojice identifikatoru. IRI-IIF odpovıdajıcıidentifikatory propojı a tım rozsırı identitu tohoto zarı-zenı.

4.2 Dynamicka konfigurace sondKoncept softwarove definovanych sıtı umoznuje zıskatkompletnı topologii a v systemu pro zakonne odposle-chy muze znalost topologie zlepsit nastavovanı jed-notlivych CC-IIF sond. Sondy jsou konfigurovanypomocı triggerovacı funkce. Pokud prijde pozadavekna zahajenı odposlechu, musı tato funkce na zakladetopologie rozhodnout, kterou sondu nastavı a jaka datak nı bude preposılat. Z toho duvodu byl vytvoren novymodul do systemu pro zakonne odposlechy ODL tri-gger. Tento modul byl implementovan v jazyce Pythona jeho zapojenı do systemu je znazorneno na obrazku1. Modul ODL trigger se v pravidelnych intervalechdotazuje kontroleru na aktualnı topologii, vklada pravi-dla pro smerovanı kopiı odposlouchavanych dat k son-dam a triggerovacı funkce ve SLIS na zaklade infor-macı od tohoto modulu konfiguruje jednotlive sondy.

ODL_trigger

OpenDaylight kontroler

HTTP

SLIS

SLAAC DHCP ODL

pakety pakety OpenFlow

HTTP...

konfigurace

zachycená data

Obrazek 1. Schema zapojenı systemu pro zakonneodposlechy, SDN kontroleru, modulu pro zjist’ovanıdynamicke identity – ODL (4.1) a modulu prosledovanı topologie – ODL trigger (4.2).

Na rozdıl od funkce dynamicke identity, ktera sezajıma o menıcı se identifikatory koncovych zarızenı,je pro triggerovacı funkci nezbytne znat kompletnıtopologii. Jedinou informaci, kterou nejsme schopnizıskat dynamicky, je pozice CC-IIF sond v sıti. Soucastımodulu proto musı byt konfiguracnı soubor, kteryspecifikuje, na kterem rozhranı jsou pripojeny.

Kombinacı topologie zıskane z kontroleru a pozicesond z konfiguracnıho souboru modul vytvarı grafovoureprezentaci, kde vrcholy grafu jsou jednotliva zarızenıa hrany odpovadajı linkam. Ve chvıli, kdy prijdepozadavek na odposlech, zacına modul s konfiguracısıt’ovych zarızenı.

Konfigurace spocıva ve vyuzitı trı tabulek toku. Doprvnı tabulky modul uklada pravidla, ktera porovnavajıprochazejıcı hlavicky paketu s IP adresou, ktera mabyt odposlouchavana. Pokud zdrojova nebo cılovaadresa paketu odpovıdajı, je paket oznacen VLANtagem a odeslan na vystupnı port smerem k CC-IIFsonde. Nasledne je puvodnı paket (bez VLAN tagu)predan tretı tabulce.

Druha tabulka toku je na vsech prepınacıch stejna.Ma za ukol porovnavat pakety s VLAN tagem a odesılatje smerem k CC-IIF sonde. Pravidla se prochazı pos-tupne od nejvyssı priority, proto musı byt v prvnı tab-ulce pravidlo s vysokou prioritou, ktere bude takeporovnavat VLAN tag. Pakety, ktere budou taktooznaceny, pak nebude zpracovavat a pouze je predadruhe tabulce.

Tretı tabulka je plne pod spravou kontroleru a prepo-sıla pakety k cılovym zarızenım bez ohledu na pravidlav predchozıch tabulkach.

Tımto zpusobem se tedy vytvorı duplikat paketus VLAN tagem a puvodnı nezmeneny paket se preposlepodle pravidel z kontroleru.

Modul zna aktualnı topologii sıt’e a tak muze jedno-

1

212

1

2

1

10.0.0.3

10.0.0.1

10.0.0.2

S1

S2S3

S4

Obrazek 2. Ukazkova topologie se zapojenou CC-IIFsondou.

duse zjistit, ke kteremu prepınaci je koncove zarızenıs danou IP adresou prımo pripojeno.

Uvazujme naprıklad topologii uvedenou na obrazku2. Predpokladejme, ze prisel pozadavek na odposlechIP adresy 10.0.0.1. Zarızenı s touto IP adresou jepripojeno k prepınaci S1. Na tento prepınac se vlozıdve pravidla s vysokou prioritou, ktera budou porovna-vat danou zdrojovou a cılovou adresu v paketu. V prıpa-de, ze jedna z techto adres bude rovna 10.0.0.1, vlozı sedo paketu VLAN hlavicka a odesle se na vystupnı port1. Ukazka pravidel je uvedena v tabulce 1 (porovnavanıcılove IP adresy probıha obdobne jako porovnavanızdrojove IP adresy). Na tomto i vsech ostatnıch prepına-cıch se pak vsechny pakety s VLAN hlavickou budoupreposılat na rozhranı 1. Tato pravidla jsou ulozenave druhe tabulce a ukazka je uvedena v tabulce 2. Naprepınaci S4 bude ulozeno pravidlo, ktere ze vsechpaketu odesılanych na rozhranı 1 VLAN odstranı.

Sytem SLIS podporuje pravidla odposlechu konret-nı IP adresy, trojice (IP adresa, port, protokol) a petice(zdrojova IP adresa, port, cılova adresa, port a pro-tokol). Presnejsı pozadavek jednoduse lze vyresit po-mocı presnejsıch pravidel. U petice pak muzeme libo-volne rozhodnout, zda pravidlo pro vkladanı VLANtagu vlozıme na prepınac, ke kteremu je pripojenozarızenı iniciatora komunikace nebo iniciovaneho.

V prıpade, ze je v topologii vıce CC-IIF sond, lzejednoduchym zpusobem rozdelovat zatez. Kazda CC-IIF sonda bude mıt vlastnı VLAN tag. Pri pridanıodposlechu muzeme z grafu topologie zjistit, kterasonda je nejblız koncovemu zarızenı s danou IP adresoua pri duplikovanı paketu vlozıme VLAN tag nejblizsıCC-IIF sondy. V druhe tabulce vsech prepınacu pak bu-dou pravidla, ktera pakety s VLAN hlavickou odeslousmerem k odpovıdajıcı CC-IIF sonde.

V realnych zarızenıch nemusı byt k dispozici vıcetabulek toku. V takovych prıpadech je mozne pouzıti alternativnı prıstupy. Jednım z nich je vyuzitı jed-noho z fyzickych portu prepınace, na ktery se budeduplikovat komunikace odposlouchavaneho uzivatele.Vsechny pakety prijate na tomto portu pak budouoznaceny a preposlany smerem k sonde. K imple-

Tabulka 1. Ukazka pravidel pro odposlech v prvnıtabulce toku. Porovnavanı s hvezdickou znamena, zena danem mıste muze byt cokoliv. Push/pop VLANznacı pridanı/odstranenı VLAN tagu, go-to tableznamena skoc do tabulky a outport odeslanı paketu navystupnı port.

Prio VLAN IP zdroj IP cıl Ostatnı Akce

20 1 * * * go-to tab 2

10 * 10.0.0.1 * *

push VLANoutport 1

pop VLANgo-to tab 3

1 * * * * go-to tab 3

Tabulka 2. Ukazka pravidel v druhe tabulce toku.

Prio VLAN IP zdroj IP cıl Ostatnı Akce

10 1 * * * outport 1

mentaci tohoto resenı stacı pouze jedna tabulka toku,ale nevyhodou je permanentnı zablokovanı jednohoportu a neprehlednost tabulky toku.

5. ZaverTato prace se zabyva rozsırenım systemu pro zakonneodposlechy tak, aby bylo mozne vyuzıvat vyhody soft-warove definovanych sıtı. Pro implementaci jsem zvo-lila kontroler OpenDaylight, ktery patrı k nejpouzıvanej-sım a ma silne zastoupenı v komercnı sfere. Navrhlajsem dve rozsırenı:

• Modul ODL pro IRI-IIF, ktery je urcen k zıskava-nı castecne identity. Modul se periodicky dotazu-je kontroleru OpenDaylight na zname koncovestanice a zmeny hlası IRI-IIF.

• Dynamicka konfigurace CC-IIF sond. Jedna sepredevsım o rozsırenı SLIS o modul ODL trigger,ktery rozlisuje jednotlive CC-IIF sondy a jejichpozice v topologii.

V klasickych sıtıch je nutne umıstit CC-IIF sondyprımo na linky, kterymi bude prochazet komunikaceodposlouchavaneho uzivatele. Pokud by sonda bylapripojena na jine lince, bylo by velmi slozite smerovatodposlouchavanou komunikaci prımo k sonde.

Vyuzitım SDN v systemu pro zakonne odposlechyje mozne nastavit kazdou sondu jinak podle umıstenıv topologii. Dıky tomu nedochazı k odposlechu jed-noho uzivatele vıce sondami. Jednoduchym zpusobemlze take smerovat k sonde zajmove pakety, ktere ne-prochazejı odposlouchavanou linkou. Je take mozne

predejıt zahlcenı sondy presmerovanım toku odpos-louchavanych dat k jine, ktera bude v danou chvılimene vytızena.

Soucastı navazujıcı prace bude dukladne otestovanınaimplementovanych castı a prıpadne dalsıch rozsırenı,jako je naprıklad vyuzitı OpenFlow prepınace jako CC-IIF sondy.

PodekovanıRada bych podekovala Ing. Liboru Polcakovi za cennerady, vecne pripomınky a vstrıcnost pri konzultacıch.

Literatura[1] European Telecommunications Standards Institute:

TR 101 943: Telecommunications security; Law-ful Interception (LI); Concepts of Interception ina generic Network Architecture, 2001, v1.1.1.

[2] L. Polcak, T. Martınek, R. Hranicky, S. Barta,M. Holkovic, B. Frankova, and P. Kramolis.Zakonne odposlechy v modernıch sıtıch. Tech-nical report, FIT VUT v Brne, 2014.

[3] L. Polcak. Challenges in Identification in FutureComputer Networks. In ICETE 2014 DoctoralConsortium. Wien: SciTePress - Science and Tech-nology Publications, pages 15–24, 2014.

[4] L. Polcak and R. Hranicky and T. Martınek. OnIdentities in Modern Networks. In Journal of Dig-ital Forensics, Security and Law, volume 9, pages9–22, 2014.

[5] A. Pfitzman and M. Hansen. A terminologyfor talking about privacy by data minimization:Anonymity, Unlinkability, Undetectability, Unob-servability, Pseudonymity, and Identity Manage-ment, August 2010. v0.34.

[6] J. Sushant, K. Alok, M. Subhasree, and O. Joon.B4: Experience with a Globally-Deployed Soft-ware Defined WAN. In ACM SIGCOMM Com-puter Communication Review, pages 3–14. ACM,2013.

[7] N. McKeown and T. Anderson and H. Balakr-ishnan and G. Parulkar and L. Peterson. Open-Flow: enabling innovation in campus networks.In ACM SIGCOMM Computer CommunicationReview, pages 69–74. ACM, 2008.

[8] J. Medved, A. Tkacik, R. Varga, and K. Gray.OpenDaylight: Towards a Model-Driven SDNController architecture. In 15th International Sym-posium on A World of Wireless, Mobile and Multi-media Networks (WoWMoM), pages 1–6, 2014.