Geri Dön

A security framework for software-defined networks

Yazılım tanımlı ağlar için bir güvenlik çerçevesi

PDF İndir

  1. Tez No: 882890
  2. Yazar: BEYTÜLLAH YİĞİT
  3. Danışmanlar: PROF. DR. FATİH ALAGÖZ
  4. Tez Türü: Doktora
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: Boğaziçi Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 115

Özet

Yazılım Tanımlı Ağ (SDN), modern dijital hizmetler için çok önemli olan esneklik ve ölçeklenebilirliği sunan dönüştürücü bir teknoloji olarak ortaya çıkmaktadır. SDN, geleneksel ağlardaki güvenlik eksikliklerini gidermek için fırsatlar sunarken, özellikle veri ve kontrol düzlemi iletişimlerinde yeni güvenlik açıklarını da beraberinde getirmektedir. Bu tez, SDN varlıkları (kontrolcüler, anahtarlayıcılar ve uygulamalar) arasındaki veri alışverişini güvence altına almaya odaklanarak bu riskleri azaltmak için bir güvenlik çerçevesi önermektedir. Modelimizde, özel sertifika alanlarından yararlanarak gizlilik, bütünlük, kimlik doğrulama ve yetkilendirme sağlamak için SDN düğümleri arasında Taşıma Katmanı Güvenliği (TLS) etkinleştirilebilir. Ek olarak, entegre bir güvenlik modülü Erişim Kontrol Listelerini (ACL'ler) zorlayarak, TLS yapılandırmasını sertleştirerek ve özel anahtar ele geçirme riskini azaltarak iletişim güvenliğini artırır. Kullanılabilirlik açısından bakıldığında, anahtarların sınırlı akış tablosu kapasitesi tablo doygunluğu saldırılarına yol açmaktadır. Ayrıca, SDN'nin ayrıştırılmış ve katmanlı mimarisi zaman tabanlı parmak izi saldırılarına karşı hassastır. Bunu ele almak için, parmak izi öğrenmek için problama tabanlı ölçümleri kullanan otomatik bir saldırgan aracı sunuyoruz. Bu araç ağ türlerini (SDN veya geleneksel) ayırt edebilir, akış kuralı zaman aşımı değerlerini (sabit ve avare) çıkarabilir, akış tablosu kullanım oranını, boyutunu ve değiştirme algoritmasını belirleyebilir. Bu bilgilerle donanmış olan saldırgan, akıllı tablo doygunluk saldırıları gerçekleştirebilir. Ayrıca, kural zaman aşımlarını rastgele hale getiren ve ağ durumuna göre akış kurallarını proaktif olarak silen hafif bir savunma mekanizması öneriyoruz. Çeşitli ağ koşulları altında gerçekleştirdiğimiz kapsamlı simülasyonlar sayesinde, önerdiğimiz tekniklerin etkinliğini ve farklı senaryolarda üstün başarı oranları elde ettiğimizi gösteriyoruz.

Özet (Çeviri)

Software-Defined Networking (SDN) emerges as a transformative technology, offering the flexibility and scalability crucial for modern digital services. While SDN presents opportunities to address security shortcomings in traditional networks, it also introduces new vulnerabilities, particularly in data and control plane communications. This thesis proposes a security framework to mitigate these risks, focusing on securing data exchange among SDN entities (controllers, switches, and applications). In our model, Transport Layer Security (TLS) can be activated between SDN nodes to ensure confidentiality, integrity, authentication, and authorization, leveraging specialized certificate fields. Additionally, an integrated security module enhances communication security by enforcing Access Control Lists (ACLs), hardening TLS configuration, and mitigating the risk of private key hijacking. From an availability perspective, the limited flow table capacity of switches leads to table saturation attacks. Besides, disaggregated and layered architecture of SDN is susceptible to time-based fingerprinting attacks. To address this, we introduce an automated attacker tool that utilizes probing-based measurements for fingerprinting. This tool can discern network types (SDN or traditional), extract flow rule timeout values (hard and idle), determine flow table utilization rate, size, and replacement algorithm. Armed with this information, the attacker can execute intelligent saturation attacks. Furthermore, we propose a lightweight defense mechanism that randomizes rule timeouts and proactively deletes flow rules based on network status. Through comprehensive simulations under various network conditions, we demonstrate the efficacy of our proposed techniques, achieving superior success rates across diverse scenarios.

Benzer Tezler

  1. Tez No

    825027

    Designing a smart security framework for software defined networks

    Yazılım tanımlı ağlar için akıllı güvenlik çerçevesinin tasarlanması

    HANİ ELUBEYD

    Doktora

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Üniversitesi-Cerrahpaşa

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. DERYA YILTAŞ KAPLAN

  2. Tez No

    832199

    Yazılım tanımlı ağlar ve nesnelerin interneti temelli akıllı şebekelerde anomali tespiti

    Anomaly detection in smart grids based on software-defined networks and the internet of things

    HİLAL YILDIZ

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MUSA BALTA

  3. Tez No

    864157

    A support vector machine-based approach for southbound communication detection in SDN using openflow

    Openflow kullanarak SDN'de güney yönlü iletişim tespiti için destek vektör makinesi tabanlı bir yaklaşım

    ALİ GÖKHAN AVRAN

    Yüksek Lisans

    İngilizce

    İngilizce

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ GÖKHAN SEÇİNTİ

  4. Tez No

    677215

    Detection and classifying security attacks in wireless sensor networks

    Başlık çevirisi yok

    MOHAMMED HASAN HASSOON DARWEESH

    Yüksek Lisans

    İngilizce

    İngilizce

    2021

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAltınbaş Üniversitesi

    Bilişim Teknolojileri Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ SEFER KURNAZ

  5. Tez No

    859996

    Determining maritime cyber security dynamics on the perspective of marine insurance and development of maritime cyber security risk management tool

    Denizcilik sigortaları açısından deniz siber güvenlik dinamiklerinin belirlenmesi ve deniz siber güvenlik risk yönetim aracının geliştirilmesi

    GİZEM KAYİŞOĞLU

    Doktora

    İngilizce

    İngilizce

    2023

    Denizcilikİstanbul Teknik Üniversitesi

    Deniz Ulaştırma Mühendisliği Ana Bilim Dalı

    DOÇ. DR. PELİN BOLAT

Geri Dön