Titulo Estágio
Serviços de Suporte e de Segurança em redes 5G
Áreas de especialidade
Comunicações, Serviços e Infraestruturas
Local do Estágio
Coimbra
Enquadramento
O Domain Name Service (DNS) é um serviço vital na Internet e remonta aos primórdios da ARPANet, com o propósito de resolução de nomes [1]. Desde então, o serviço tem sido alvo de extensões, para suportar novas funcionalidades como sendo a segurança, balanceamento de carga e métodos de distribuição de conteúdo avançados (exemplo da resolução baseada na localização das pessoas - geoDNS) [2,3]. Dada a sua importância na Internet, foi especificada uma arquitetura hierárquica para suportar elevados picos de pedidos.
Um serviço de suporte fundamental na Internet e para operadores inclui o serviço de Accounting Authorization and Accounring (AAA). O IETF especificou o DIAMETER como protocolo base (IETF RFC 6733) para possibilitar o acesso seguro a recursos de rede, bem como um conjunto de aplicações cliente. O DIAMETER representa uma melhoria substancial de outras alternativas usadas por operadores e prestadores de serviço como o protocolo RADIUS [4]. Uma destas melhorias é a forte integração com a arquitetura do 3GPP IP Multimedia Subsystem (IMS) e com o Sistema LTE Evolved Packet System (EPS). Presentemente, outros protocolos estão a ser integrados em sistemas web como o Web Authorization protocol (OAuth 2.0), sendo amplamente utilizado para autorização de aplicações Web por empresas como a Google, Facebook, Twitter, Microsoft e LinkedIn [5]. Num contexto da existência de múltiplos sistemas de informação, aplicações especificações como o SAML (Security Assertion Markup Language) [6] são importantes para suportar o Single-Sign-On (SSO).
Em cenários atuais em que os custos operacionais e de capital (OPEX e CAPEX) são uma preocupação de Telcos e de prestadores de serviços, a virtualização assume uma importância acrescida na agenda destes players. Existe um conjunto vasto de plataformas de virtualização como o OpenStack, Amazon Web Services, Windows Azure ou Google Cloud Services, dando a possibilidade de reduzir custos e ao mesmo tempo otimizar a utilização dos recursos com suporte para funcionalidades avançadas como o processamento paralelo. Com este conjunto de vantagens, cada vez mais são utilizados mecanismos mais eficientes de escalonamento horizontais e verticais, o que se torna um fator estratégico quando associados a serviços de suporte. Contudo os benefícios da virtualização não são diretos, requerendo a adaptação dos mesmos aos princípios cloud. Por exemplo, a arquitetura hierárquica do DNS não suporta elasticidade [7].
O cibercrime é nos dias que correm uma das principais ameaças para as economias e sociedades dos países desenvolvidos. O desenvolvimento de mecanismos eficientes e eficazes orientados à proteção de serviços e infra-estruturas contra ameaças virtuais é crucial para manter a integridade e reputação de serviços disponibilizados pelo sector privado/público assim como para a proteção de dados pessoais e sensíveis dos seus utilizadores. A falta de segurança (ou de controlo da mesma) é apontada como um dos principais fatores que impedem a adoção da virtualização de serviços [8]. Para este efeito, é necessário o desenvolvimento de uma solução de deteção e prevenção de intrusão (Intrusion Dectection and Prevention Systems -- IDPS) orientada a infraestruturas da rede do operador e baseada em tecnologias de virtualização de funções de rede tais como NFV e SDN. Tirando partido da agilidade e eficiência destas tecnologias, é possível num determinado instante instanciar um conjunto de VNFs capazes de monitorizar e analisar o tráfego de rede permitindo assim a deteção de possíveis ameaças. Estas tecnologias permitem ainda uma constante monitorização do fluxo de rede e consequentemente levar à deteção de determinados padrões associados a este tipo de ameaças. A deteção deste tipo de ameaças é no entanto não só extremamente complexa como o volume de dados a processar é consideravelmente elevado.
Referências:
[1] C. Liu and P. Albitz, DNS and BIND. O’Reilly Media, 2006. [Online]. Available: https://books.google.pt/books?id=HggtWI1ShvMC
[2] M. Pathan, R. Sitaraman, and D. Robinson, Advanced Content Delivery, Streaming, and Cloud Services, ser. Wiley Series on Parallel and Distributed Computing. Wiley, 2014.
[3] Bernhard Ager and Wolfgang M?hlbauer and Georgios Smaragdakis
and Steve Uhlig, “Comparing DNS resolvers in the wild,” in Internet [22] Measurement Conference, 2010, pp. 15–21.
[4] Rigney et al. (2000). “Remote Authentication Dial In User Service (RADIUS)”. IETF RFC 2865.
[5] Sakimura, N. (2016). “Dummy’s guide for the difference between OAuth authentication and openID”.
[6] OASIS Security Services (SAML) TC, available at: https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security
[7] OpenStack, “Designate, a DNSaaS component for OpenStack,” http://designate.readthedocs.org/en/latest/.
[8] Kapil Raina et al. “Security Position Paper: Network Function Virtualization”, Cloud Security Alliance, 2016.
Objetivo
Os objetivos deste trabalho são:
1. Design e implementação de serviços de suporte confiáveis e seguros incluindo DNS, Monitorização e de Autenticação em redes 5G.
2. Design e implementação de Intrusion Detection Prevention System (IDPS) como função de rede (VNF) confiável que pode ser usado por outros serviços, como os serviços de suporte.
3. Integração dos serviços de suporte e IDPS em plataformas de orquestração compatíveis com a standards ETSI NFV MANO, como o Open Baton.
Plano de Trabalhos - Semestre 1
T1.1- Análise da arquitetura existente para os serviços de suporte e de IDPS e reflexão crítica quanto às possíveis limitações como Funções virtualizadas.
T1.2- Análise das diversas frameworks de orquestração compatíveis com normas ETSI NFV MANO.
Plano de Trabalhos - Semestre 2
T2.1- Implementação de serviços de suporte confiáveis incluindo o DNS, Monitorização e Autenticação para redes 5G..
T2.2- Implementação de IDPS como funções de rede possíveis de ser usadas por outros serviços.
T2.3- Implementação dos serviços de suporte e IDPS em frameworks de orquestração.
T2.4- Elaboração de documentação, incluindo o relatório de estágio, documentos técnicos e manuais de utilização das aplicações.
Condições
O estagiário terá atribuído um posto de trabalho e será integrado numa equipa dinâmica e motivada. Atendendo ao desempenho do estagiário será ponderada uma eventual contratação após o período de estágio.
Observações
O estagiário será integrado na equipa da OneSource dedicada ao desenvolvimento de soluções técnicas para clientes. O progresso de trabalho será monitorizado através de reuniões semanais ou diárias consoante a necessidade verificada. Prevê-se que inicialmente estas reuniões sejam diárias para promover a integração na equipa.
Existe a possibilidade de remuneração do estágio.
Orientador
Bruno Sousa
bmsousa@onesource.pt 📩