Asiakasliikenteen salaus SDN-verkossa
Valo, Tuure (2016)
Jyväskylän ammattikorkeakoulu
2016
Creative Commons Attribution-NonCommercial 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201605025754
https://urn.fi/URN:NBN:fi:amk-201605025754
Tiivistelmä
Opinnäytetyön tilaajana toimi Jyväskylän ammattikorkeakoulun Cyber Trust -projekti, joka on osallisena Digilen Cyber Trust -tutkimusohjelmaa. Tutkimusohjelman tarkoituksena on nostaa Suomi johtavaksi kyberturvallisuuden asiantuntijaksi ja edelläkävijäksi luomalla tietoturvasta digitaalisen luottamuksen perustan.
Toimeksiantona opinnäytetyölle oli tutkia SDN-verkon välitystasolla kulkevan asiakasliikenteen salausmahdollisuuksia hyödyntäen verkon kontrollerin liikenteenohjausominaisuuksia ja avoimen lähdekoodin IPsec-ohjelmistoja.
Toteutuksen perustana toimi neljän kytkimen muodostama verkkotopologia, jossa asiakaslaitteiden välistä liikennöintiä salattiin käyttämällä strongSwan-ohjelmistoa Docker-kontin sisällä. Liikenne ohjattiin ONOS-kontrollerilla salauskomponenteille, joista verkkoliikenne laitettiin salauskomponenttien välisiin IPsec-tunneleihin. Verkon skaalautuvuuden ja hallinnan parantamiseksi Ansiblella luotiin playbookkeja, joilla verkkoon kyettiin lisäämään uusia Open vSwitch-kytkimiä ja hallinnoimaan salauskomponenttien konfiguraatioita keskitetysti.
Työn tavoitteena oli salata asiakasliikennettä ja siinä onnistuttiin kiitettävällä tasolla. Myös salauskomponenttien konfiguraatiohallinta onnistuttiin täysin automatisoimaan. Uuden kytkimen implementointi verkkoon onnistui hyvin, sillä prosessi automatisoitiin niin pitkälle kuin mahdollista. Sen sijaan koko salausprosessin automatisointia ei onnistuttu toteuttamaan, sillä verkon kontrollerilta ei haettu tarvittavia kytkimien tilatietoja liikenteenohjauksen toteuttamiseen automatisoidusti.
Toimeksiantona opinnäytetyölle oli tutkia SDN-verkon välitystasolla kulkevan asiakasliikenteen salausmahdollisuuksia hyödyntäen verkon kontrollerin liikenteenohjausominaisuuksia ja avoimen lähdekoodin IPsec-ohjelmistoja.
Toteutuksen perustana toimi neljän kytkimen muodostama verkkotopologia, jossa asiakaslaitteiden välistä liikennöintiä salattiin käyttämällä strongSwan-ohjelmistoa Docker-kontin sisällä. Liikenne ohjattiin ONOS-kontrollerilla salauskomponenteille, joista verkkoliikenne laitettiin salauskomponenttien välisiin IPsec-tunneleihin. Verkon skaalautuvuuden ja hallinnan parantamiseksi Ansiblella luotiin playbookkeja, joilla verkkoon kyettiin lisäämään uusia Open vSwitch-kytkimiä ja hallinnoimaan salauskomponenttien konfiguraatioita keskitetysti.
Työn tavoitteena oli salata asiakasliikennettä ja siinä onnistuttiin kiitettävällä tasolla. Myös salauskomponenttien konfiguraatiohallinta onnistuttiin täysin automatisoimaan. Uuden kytkimen implementointi verkkoon onnistui hyvin, sillä prosessi automatisoitiin niin pitkälle kuin mahdollista. Sen sijaan koko salausprosessin automatisointia ei onnistuttu toteuttamaan, sillä verkon kontrollerilta ei haettu tarvittavia kytkimien tilatietoja liikenteenohjauksen toteuttamiseen automatisoidusti.