Trusted Communication in SDN OpenFlow Channel : Investigating Assumed Trusted Communication between SDN Controller and Switch and Possible Attack Scenarios
Haapajärvi, Marika (2017)
Haapajärvi, Marika
Jyväskylän ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201705138035
https://urn.fi/URN:NBN:fi:amk-201705138035
Tiivistelmä
Tutkimuksen alkuperäinen aihe oli SDN-arkkitehtuuriin ja SDN-kontrolleriin kohdistuvat kyberuhat. Nopeasti tutkimuksen edetessä huomattiin, että OpenFlow-protokolla SDN- ratkaisussa sisälsi haavoittuvuuksia. Haavoittuvuuksia voi muodostua pahansuovan käyttäjän vaarantaessa SDN-ratkaisun kyberturvallisuuden hyökkäämällä sitä vastaan. Hyökkäyksen mahdollisuus avautuu SDN-verkkoa konfiguroitaessa ja vuotaulujen hallinnoinnin yhteydessä SDN OpenFlow -väylän komennoilla.
Mahdollisten kyberuhkien varmistamiseen kuului SDN-verkon konfigurointi ja sen hallinnointi vuotaulujen avulla. Erilaisia katsantokantoja käyttäen tutkimusta tehtiin tutustumalla aikaisemmin havaittuihin haavoittuvuuksiin ja kyberuhkiin; siihen kuului SDN-arkkitehtuurin historiaan ja nykyiseen tilanteeseen tutustumista sekä haavoittuvuustietokantojen läpikäymistä ja kyberuhkien lieventämisen teoriaa.
Kyberuhkien varmistaminen tehtiin oikeassa SDN-verkossa, ei simuloimalla. SDN-verkko konfiguroitiin virtuaalisiin resursseihin käyttäen OpenDaylight SDN -kontrolleria ja Open vSwitch -kytkimiä.
SDN-arkkitehtuurin hallinnollisilla toimilla voidaan varmistaa sen kyberturvallisuus. Suojatakseen SDN-arkkitehtuurin ja lieventämällä siihen kohdistuvia haavoittuvuuksia, SDN-verkon hallintaliikenne tulee suojata TLS:llä. Jos tietoliikenneyhteys SDN-kontrollerin ja kytkimen välillä katkeaa, sen pitäisi palautua automaattisesti takaisin toimintakuntoon. Kytkimen pitäisi jatkaa pakettien edelleenlähettämistä vuotaulujen sääntöjen mukaisesti. Suojaamattomien toiminnallisuuksien käyttäminen, kuten tiettyjen parametrien määrittelemättä jättäminen vuotaulujen hallinnoinnissa ja SDN-tietoliikenteen monitoroinnin poistaminen käytöstä, pitäisi estää SDN-arkkitehtuurissa.
Mahdollisten kyberuhkien varmistamiseen kuului SDN-verkon konfigurointi ja sen hallinnointi vuotaulujen avulla. Erilaisia katsantokantoja käyttäen tutkimusta tehtiin tutustumalla aikaisemmin havaittuihin haavoittuvuuksiin ja kyberuhkiin; siihen kuului SDN-arkkitehtuurin historiaan ja nykyiseen tilanteeseen tutustumista sekä haavoittuvuustietokantojen läpikäymistä ja kyberuhkien lieventämisen teoriaa.
Kyberuhkien varmistaminen tehtiin oikeassa SDN-verkossa, ei simuloimalla. SDN-verkko konfiguroitiin virtuaalisiin resursseihin käyttäen OpenDaylight SDN -kontrolleria ja Open vSwitch -kytkimiä.
SDN-arkkitehtuurin hallinnollisilla toimilla voidaan varmistaa sen kyberturvallisuus. Suojatakseen SDN-arkkitehtuurin ja lieventämällä siihen kohdistuvia haavoittuvuuksia, SDN-verkon hallintaliikenne tulee suojata TLS:llä. Jos tietoliikenneyhteys SDN-kontrollerin ja kytkimen välillä katkeaa, sen pitäisi palautua automaattisesti takaisin toimintakuntoon. Kytkimen pitäisi jatkaa pakettien edelleenlähettämistä vuotaulujen sääntöjen mukaisesti. Suojaamattomien toiminnallisuuksien käyttäminen, kuten tiettyjen parametrien määrittelemättä jättäminen vuotaulujen hallinnoinnissa ja SDN-tietoliikenteen monitoroinnin poistaminen käytöstä, pitäisi estää SDN-arkkitehtuurissa.