Titulo Estágio
Mecanismos de autenticação e accounting em controladores SDN
Áreas de especialidade
Comunicações, Serviços e Infraestruturas
Sistemas de Informação
Local do Estágio
DEI
Enquadramento
A gestão de redes está simplificada graças à evolução da tecnologia como as redes definidas por software (Software Defined Networking - SDN). Este tipo de tecnologia permite uma gestão mais flexível das redes, potenciando cenários com veículos de condução autónoma, cenários de missões críticas (e.g., salvamento recorrendo a drones ou análise inteligente dos dados de múltiplos sensores e dispositivos). A tecnologia SDN tem sido utilizada em diversos contextos (cloud computing), e por diferentes atores (operadores de telecomunicações) para programar as redes de clientes de forma automática, controlando assim o tráfego e balanceando a carga entre os diferentes nós.
Contudo não há bela sem senão, a arquitetura SDN [1S] com um controlador centralizado, com limitações nas tabelas de fluxos dos diversos dispositivos, torna as redes baseadas em SDN vulneráveis a ataques distribuídos (DDoS), e incapazes de garantir a privacidade de dados segundo normas em vigor como o GDPR [2S, 3S]. Existem diversas soluções de segurança disponíveis que visam colmatar estas falhas. Por exemplo, são utilizadas listas de controlo de acesso (ACLs) para proteger o controlador SDN, são utilizados conceitos como Honeynet para mitigar os riscos das aplicações SDN, entre outros mecanismos de segurança.
A gestão das redes é feita com recurso a controladores SDN, os quais podem ter várias aplicações com funcionalidades distintas (recolha de métricas, gestão dinâmica de fluxos, etc). As aplicações são instaladas através das interfaces de gestão que um controlador disponibiliza (interfaces Web, interfaces CLI, interfaces baseadas em REST). A Autenticação neste tipo de interfaces recorre ao tuplo de login e passwords, o que já não é considerado seguro nos dias de hoje. Protocolos como o OpenID Connect permitem a identificação dos utilizadores de uma forma federada e mecanismos de autorização baseadas no protocolo OAuth 2.0. Estes protocolos são amplamente utilizados na Internet nos dias de hoje (login no eBay via Google ou Facebook). Nesta linha, vários controladores têm incorporado mecanismos de gestão dos utilizadores com recurso a este tipo de protocolos [4-6].
Neste contexto, pretende-se especificar, implementar e validar uma Framework de autenticação e accounting para redes SDN baseadas em protocolos como o OpenID e o OAuth 2.0. A Framework a desenvolver enquadra-se nas atividades do projeto SNOB5G.
[1S] A. Sallam, A. Refaey, and A. Shami, “On the Security of SDN: A Completed Secure and Scalable Framework Using the Software-Defined Perimeter,” IEEE Access, vol. 7, pp. 146577–146587, 2019.
[2S] A. Moubayed, A. Refaey, and A. Shami, “Software-Defined Perimeter (SDP): State of the Art Secure Solution for Modern Networks,” IEEE Netw., vol. 33, no. 5, pp. 226–233, 2019.
[3S] S. Dong, K. Abbas, and R. Jain, “A Survey on Distributed Denial of Service (DDoS) Attacks in SDN and Cloud Computing Environments,” IEEE Access, vol. 7, pp. 80813–80828, 2019.
[4] ONAP, https://wiki.onap.org/display/DW/User+management
[5] OpenShift, Configuring Authentication and User Agent (Chapter 12)
[6] OpenDayLight Authentication, Authorization and Accounting (AAA) Services
Objetivo
Os objetivos do estágio são:
Obj. 1 - Desenhar uma Framework de segurança para redes SDN. Este objetivo compreende:
i) a identificação das vulnerabilidades dos controladores SDN quanto à gestão de utilizadores;
ii) a identificação de mecanismos de suporte AAA para controladores SDN e suas lacunas;
iii) a definição de mecanismos autenticação e accounting baseadas em OpenID Connect e OAuth 2.0.
Obj. 2 – Implementar funcionalidades da Framework de autenticação e accounting e sua validação em controladores distintos (ONOS, OpenDayLight, ONAP)
Obj. 3 - Avaliar a Framework de autenticação e accounting em cenários de simples e com vários controladores configurados em modo cluster.
Obj. 4 – Documentação dos resultados para efeitos de dissertação e para publicação científica.
Plano de Trabalhos - Semestre 1
tarefas do primeiro semestre são:
T1.1 – Análise do estado da arte relativamente a mecanismos de AAA.
T1.2 – Análise do estado da arte relativamente à utilização de protocolos OpenID Connect e OAuth 2.0 em controladores SDN.
T1.3 – Desenho preliminar da Framework de autenticação e accounting.
T1.4 – Escrita do relatório intermédio.
Plano de Trabalhos - Semestre 2
As tarefas do segundo semestre são:
T2.1 – Implementação da Framework de autenticação e accounting e validação funcional num conjunto restrito de controladores (ONOS, OpenDayLight, ONAP).
T2.2 – Avaliação da Framework de autenticação e accounting em cenários de complexidade variável (vários controladores em modo cluster).
T.2.3 – Elaboração da documentação para efeitos de dissertação e de publicação científica.
Condições
O aluno terá acesso a recursos computacionais. A avaliação através de simulação poderá ser feita recorrendo a recursos computacionais disponíveis no departamento.
Observações
As atividades propostas nesta dissertação enquadram-se no projeto SNOB5G.
Este estágio será orientado pelo docente Bruno Sousa e pelo docente Nuno Antunes.
Porque é que este estágio é interessante?
- Participação num projeto nacional;
- Possibilidade de contribuir para uma Internet mais segura e confiável;
- Possibilidade de contribuir em projeto open-source como o ONOS.
Orientador
Bruno Sousa
bmsousa@dei.uc.pt 📩