Tietoturvan toteutus SD-WAN -operaattoripalveluissa
Tutkielmassa selvitettiin vaihtoehtoja, joiden avulla palomuuraukseen liittyvä tekninen tietoturva voidaan toteuttaa uusissa SD-WAN -pohjaisissa verkottamisratkaisuissa ja niihin liittyvissä hybridiverkoissa operaattorin näkökulmasta. Palomuuraukseen liittyvää ratkaisua tulisi voida hyödyntää operaattorin asiakasverkoissa ja sen tulee skaalautua asiakkaiden käyttämien palveluiden mukaisesti. Tutkielmassa analysoitiin, kuinka SDN- ja NFV-teknologioita voidaan hyödyntää palomuurauksen toteutuksessa ja kannattaako palomuuraus toteuttaa SDN-pohjaisessa verkossa keskitetysti vai hajautetusti. Lisäksi pohdittiin, kuinka verkon hallinta voidaan toteuttaa keskitetysti, jotta jokaista verkon laitetta ei tarvitse konfiguroida erikseen.
Osana tutkielmaa tehtiin kokeellinen tutkimus, jossa luotiin SDN-arkkitehtuurin SouthBound-rajapinnalla toimivan OpenFlow-protokollan vuo-sääntöihin perustuva palomuurisäännöstö. Tämän lisäksi tehtiin viisi SD-WAN -palveluihin liittyvää toteutusta, joiden yhteensopivuutta luotuun säännöstöön analysoitiin. Toteutukset antoivat kattavan kuvan SDN-teknologian ja siihen liittyvien komponenttien tarjoamista ominaisuuksista palomuuraukseen liittyen. Säännöstön avulla voidaan toteuttaa tehokkaasti asiakasverkon palomuuraus OSI-mallin 2-4 kerroksilla. Kun vuosäännöt asetetaan SDN-verkon kytkimille proaktiivisen mallin mukaisesti, saadaan samalla optimoitua kaistankäyttöä ja parannettua vikasietoisuutta. Lisäksi SDN-kontrollerien suorituskyky paranee, kun verkon kytkimet kykenevät välittämään verkkoliikennettä itsenäisesti lähettämättä paketteja kontrollerille. Tutkimuksessa todettiin, että kontrollerit ja niihin liittyvät ulkoiset sovellukset tukevat palomuurausta vielä melko heikosti. Kontrollerien graafisista käyttöliittymistä tehtävä vuosääntöjen määrittely tapahtuu yksitellen, joka ei ole kestävä ratkaisu operaattorien käyttämissä ympäristöissä.
Jotta kokonainen palomuurisäännöstö voidaan tuoda SDN-pohjaiseen asiakasverkkoon, siihen tulee olla erillinen sovellus tai toiminnallisuus tulisi sisällyttää kontrollerien toimintalogiikkaan. Tällöin vuosäännöt kyettäisiin asettamaan proaktiivisesti kaikille verkon SDN-kytkimille operaattorien asiakasverkoissa ja vuosäännöt voitaisiin tarvittaessa räätälöidä asiakkaiden käyttämien palveluiden mukaisesti. Tutkimuksessa luotuja palomuurisääntöjä voidaan käyttää vaatimusmäärittelyissä muun muassa SDN-arkkitehtuurin palomuuraukseen liittyvien sovellusten tai kontrollerien toimintalogiikan kehittämisessä.
...
Implementing Security in SD-WAN operator services.
This study examines options how firewall based security could be implemented in SD-WAN based networking services from operator’s point of view. Firewall solution shall be appropriate for operator’s customer network environments and it shall be scalable based on services used by the customers. The study analyses how SDN and NFV based technologies could be utilized in firewall implementations and should the firewall solution be centralized or distributed. Also, implementing centralized network management for the firewall solution was investigated to avoid configuring each device on the network individually.
An experimental research was conducted as a part of the study. In the research part, set of firewall policies were made based on OpenFlow protocol that is the most common protocol at SDN architecture’s southbound interface. Five practical SD-WAN services related implementations were made and combatibilities with created set of firewall policies were analyzed. The implementations gave a broad view on SDN technology and features provided by related components for firewall functionality. Created set of firewall policies can be used for implementing firewall functionality at OSI model 2-4 layers. Flow rules can be set to SDN switches in a network proactively which also optimizes a bandwidth usage and improves a fault tolerance of the network. Performance of SDN controller is improved since the switches on the network are capable to forward network traffic without sending packets to the controller. It was found within research that SDN controllers and related external applications aren’t supporting firewall functionalities well. Flow rules may be created from graphic user interface only individually which is not appropriate solution for operator environments.
To be able to import a whole set of firewall policies to SD-WAN customer environment, an external SDN application is needed. Another option is to develop SDN controller’s operation logic to support the firewall functionality. In that case flows could be set and distributed to all the switches on the SDN network proactively and flow rules could be modified based on services customer is using on the network. Set of firewall policies created within the study may be utilized as a base on requirement definitions for developing SDN architecture based applications and SDN controller’s operation logic.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29743]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Ohjelmisto-ohjatut verkot ja tunkeutumisen havainnointijärjestelmät
Huhtiniemi, Ismo (2017)Tässä pro gradu -tutkielmassa tutkitaan ohjelmisto ohjattuja verkkojen kontrollerin ja hyökkäyksen havainnoin järjestelmien yhdessä toimimista, ja Mininet verkko emulaattorin asentamista ja käyttämistä. Tutkielmassa ... -
Performance evaluation of OpenFlow enabled Commodity and Raspberry-pi Wireless Routers
Asghar, Muhammad; Habib, M. Ahsan; Hämäläinen, Timo (Springer International Publishing, 2017)Software defined network (SDN) allows the decoupling of data and control plane for dynamic and scalable network management. SDN is usually associated with OpenFlow protocol which is a standard interface that enables the ... -
SDN controllers security issues
Imran, Ayesha (2017)Software-Defined Networking (SDN) is essentially varying the way we design and manage networks, which makes a communication network programmable. In SDN, a logically centralized controller has straight control over the ... -
Virtual resource-sharing mechanisms in software-defined and virtualized wireless network
Zhang, Di (University of Jyväskylä, 2018) -
Toward cyber situational awareness with open source software
Teriö, Jarkko (2017)Kohti kybertilannetietoisuutta avoimen lähdekoodin ohjelmistojen avulla. Tilannetietoisuuden konsepti ja sen kriittisyys päätöksenteossa ymmärrettiin alun perin ilmailussa kuvaamaan olennaisten elementtien havaitsemista, ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.