Preventing dos attacks in multi-domain optical SDN

Ferreira, Nuno Filipe Gomes

Preventing dos attacks in multi-domain optical SDN

Detalhes bibliográficos
Autor(a) principal:	Ferreira, Nuno Filipe Gomes
Data de Publicação:	2016
Tipo de documento:	Dissertação
Idioma:	eng
Título da fonte:	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo:	http://hdl.handle.net/10451/25791
Resumo:	Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2016

Metadados do item

id	RCAP_2cb3cb1e71a13ce41fac83e9bdb03f31
oai_identifier_str	oai:repositorio.ul.pt:10451/25791
network_acronym_str	RCAP
network_name_str	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str	7160
spelling	Preventing dos attacks in multi-domain optical SDNSoftware defined networkingEquipamentos ópticosProvedores de serviçosControladores de equipamentos ópticosSegurançaMonitorizaçãoDisponibilidadeIntegridadeTeses de mestrado - 2016Departamento de InformáticaTese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2016As redes tradicionais começam a não ter o dinamismo necessário para acompanhar a evolução que os serviços on-line têm vindo a ter nos últimos anos. Como forma de contornar este problema, foi proposto recentemente um novo paradigma de redes: Software Defined Networking (SDN). Enquanto nas redes tradicionais o plano de controlo se encontra junto do plano de dados, isto é, o equipamento de rede é responsável não só por encaminhar pacotes (plano de dados), mas também por decidir como encaminhar o tráfego (plano de controlo), em SDN estas duas camadas são separadas. Em SDN é utilizado um controlador logicamente centralizado para controlar toda a rede. Com esta separação, uma SDN traz vários benefícios que estão relacionados com a programabilidade introduzida pelo controlador e com a visão geral que este possui de toda a rede. Para se poder beneficiar deste novo paradigma, é necessário que exista um plano de migração dos vários tipos de redes existentes. Na arquitetura SDN, como o plano de controlo é implementado num controlador logicamente centralizado, é necessário que este comunique com os equipamentos do plano de dados através de uma interface standard que abstraia os detalhes de implementação específicos do hardware dos equipamentos. Para as redes de comutação de pacotes o protocolo OpenFlow fornece essa interface standard para o hardware, facilitando a sua migração. No caso das redes ópticas a passagem para o paradigma SDN não será simples devido ao facto dos equipamentos ópticos suportarem diferentes protocolos de comunicação e não existirem interfaces standard SDN preparadas para o seu suporte. Para os provedores de serviços de telecomunicações, esta evolução é um desafio, pois requer o desenvolvimento de toda a infraestrutura para controlar e gerir os equipamentos ópticos. Para estes o ideal seria manter a gestão e o controlo do lado dos fornecedores de equipamentos ópticos, e gerir e controlar os equipamentos ópticos de diferentes fornecedores (redes ópticas multidomínio) de uma forma unificada. Desta forma, vários provedores de serviços: China Mobile, China Telecom, Verizon e organizações da indústria como o Open Networking Foundation (ONF) propuseram a criação de uma camada de abstração entre o controlador dos provedores de serviços e os equipamentos ópticos. Essa camada de abstração será responsável por converter a linguagem dos equipamentos ópticos numa Application Programming Interface (API) standard SDN para comunicação com o controlador principal. Cada vendedor de equipamentos ópticos será responsável por fornecer os equipamentos ópticos e a respetiva camada de abstração. Podemos considerar esta camada de abstração como sendo um controlador de equipa-mentos ópticos: o controlador Original Equipment Manufacturer (OEM). Desta forma, os provedores de serviços apenas terão de arranjar um controlador localizado na camada superior da hierarquia que seria responsável por orquestrar toda rede, utilizando para isso a abstração fornecida pelos controladores de equipamentos ópticos. É de notar que o controlo e a gestão dos equipamentos ópticos não ´e feita diretamente pelo controlador dos provedores de serviços, mas sim na camada de abstração abaixo, ou seja, pelos controladores de equipamentos ópticos. Com esta abordagem, os provedores de serviços ficam sem o controlo completo do sistema, pois ficam dependentes das operações e da informação que é dada pelos controladores de equipamentos ópticos, como por exemplo informação de desempenho dos serviços, alarmes ou estados da rede óptica. Neste contexto, como poderão os fornecedores de equipamentos ópticos dar garantias de segurança aos provedores de serviços? Se a disponibilidade ou a integridade do controlador dos equipamentos ópticos for comprometida, poderá haver negação de serviço (o controlador de equipamentos ópticos deixaria de processar informações importantes da rede óptica, como por exemplo alarmes) ou quebras de tráfego (desativação de serviços ópticos), o que seria indesejável e poderia trazer avultados prejuízos para os provedores de serviços. Nesta tese a principal motivação é de facto garantir que o controlador de equipamentos ópticos mantém a sua disponibilidade e integridade no processamento de todos os pedidos. O objetivo deste trabalho é assim desenvolver uma solução que proteja os controladores de equipamentos ópticos de eventuais ataques de negação de serviço. É de notar que mesmo havendo protecção nos links ópticos, um utilizador malicioso poderá colocar o controlador de equipamentos ópticos indisponível, bloqueando assim o acesso à rede óptica por parte do provedor de serviços (se houver problemas na rede óptica, estes não serão detetados). A solução que propomos para este problema é a implementação de mecanismos de monitorização e análise dos pedidos ao controlador de modo a controlar o fluxo de dados à entrada do controlador de equipamentos ópticos e assim garantir a sua disponibilidade. Esta protecção será feita através da utilização de uma reverse proxy e de uma firewall. Para além destes dois mecanismos de protecção, a comunicação entre o controlador do provedor de serviços e o controlador de equipamentos ópticos é feita de forma segura, de modo a garantir a integridade de todos os pedidos.Legacy networks do not have the necessary dynamism to follow the evolution online services have experienced in the past few years. In order to overcome this problem, the Software Defined Networking (SDN) paradigm was proposed. The goal of this paradigm is change the way networks are controlled. In legacy networks, the control plane and the data plane are coupled together in the network elements. SDN separates the control plane and the data plane through the use of a standard SDN Application Programming Interface (API) in the data plane to communicate with the logically centralized control plane. In order to reap the benefits of SDN, a plan of migration for legacy networks should be established. For optical networks the migration to SDN is not easy because optical equipments have their own protocols to communicate and there are no SDN standardized interfaces prepared to abstract these type of equipments. In order to solve this problem, organizations such as China Mobile, China Telecom, Verizon and industry organizations like the Open Networking Foundation (ONF) have proposed the use of an abstraction layer between the data plane and the main controller. This abstraction layer is responsible to convert the optical equipment protocols into a standard SDN Application Programming Interface (API) to communicate with the main controller. The abstraction layer can be considered an optical equipment controller, the Original Equipment Manufacturer (OEM) controller. With this approach, service providers (SP) (i.e., telecommunication operators) only need to have a main controller to orchestrate the whole network through the use of OEM controllers. With this solution the Service Providers (SP) are able to control the optical network with different optical equipment from multiple vendors (multi-domain networks). The OEM controllers are responsible to execute all the operations in the Network Element (NE) (the NE is the optical equipment) that constitutes the Data Plane (DP). They also process information that comes from the NE and translate that information to the main controller. Examples include: network information and performance of services. The challenge is that if the OEM controller is compromised, the entire optical network is compromised. This is the main motivation for this project. The objective of our work is to develop a solution that can help the Service Provider (SP) to have confidence in the NEs and respective optical network connections. To achieve this goal, the system has to guarantee the availability of the OEM controller. The integrity of the communication between the SP orchestrator and the OEM controller should also be guaranteed. The OEM controller should be always available to process notifications, be it from the NEs or from the main controller. It should also be ensured that the integrity of all requests that are sent by the SP controller to the OEM controllers is guaranteed. In order to solve these problems, we propose a new security mechanism for the OEM controller to protect the optical network. The solution consists in the use of a reverse proxy and a firewall to control the flow of requests to the OEM controller. The communication between the SP controller and the OEM controller is also made secure to assure the integrity of requests.Ramos, FernandoSilva, DavidRepositório da Universidade de LisboaFerreira, Nuno Filipe Gomes2017-01-07T16:09:04Z201620162016-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/25791TID:201623064enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:15:31Zoai:repositorio.ul.pt:10451/25791Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:42:35.840883Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv	Preventing dos attacks in multi-domain optical SDN
title	Preventing dos attacks in multi-domain optical SDN
spellingShingle	Preventing dos attacks in multi-domain optical SDN Ferreira, Nuno Filipe Gomes Software defined networking Equipamentos ópticos Provedores de serviços Controladores de equipamentos ópticos Segurança Monitorização Disponibilidade Integridade Teses de mestrado - 2016 Departamento de Informática
title_short	Preventing dos attacks in multi-domain optical SDN
title_full	Preventing dos attacks in multi-domain optical SDN
title_fullStr	Preventing dos attacks in multi-domain optical SDN
title_full_unstemmed	Preventing dos attacks in multi-domain optical SDN
title_sort	Preventing dos attacks in multi-domain optical SDN
author	Ferreira, Nuno Filipe Gomes
author_facet	Ferreira, Nuno Filipe Gomes
author_role	author
dc.contributor.none.fl_str_mv	Ramos, Fernando Silva, David Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv	Ferreira, Nuno Filipe Gomes
dc.subject.por.fl_str_mv	Software defined networking Equipamentos ópticos Provedores de serviços Controladores de equipamentos ópticos Segurança Monitorização Disponibilidade Integridade Teses de mestrado - 2016 Departamento de Informática
topic	Software defined networking Equipamentos ópticos Provedores de serviços Controladores de equipamentos ópticos Segurança Monitorização Disponibilidade Integridade Teses de mestrado - 2016 Departamento de Informática
description	Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2016
publishDate	2016
dc.date.none.fl_str_mv	2016 2016 2016-01-01T00:00:00Z 2017-01-07T16:09:04Z
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/masterThesis
format	masterThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	http://hdl.handle.net/10451/25791 TID:201623064
url	http://hdl.handle.net/10451/25791
identifier_str_mv	TID:201623064
dc.language.iso.fl_str_mv	eng
language	eng
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.format.none.fl_str_mv	application/pdf
dc.source.none.fl_str_mv	reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP
instname_str	Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str	RCAAP
institution	RCAAP
reponame_str	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_	1799134342264389632

Preventing dos attacks in multi-domain optical SDN

Registros relacionados