Hardening the Service Provider Network

Abstract

Teleoperaattoreiden ja palveluntarjoajien verkot muodostavat Internetin selkärangan ja mahdollistavat nykyaikaisen digitaalisen kommunikaation. Operaattorit ovat jatkuvasti kohteena kyberrikollisuudelle, palvelunestohyökkäyksille ja tietovarkauksille. Tietoliikenneverkkojen turvallisuuden ja käytettävyyden varmistaminen ei ole ainoastaan tekninen välttämättömyys, sillä palveluntarjoajia koskevat lait ja säädökset, jotka velvoittavat riittävään verkon tietoturvaan ja varmistamaan verkon käytettävyys. Palveluntarjoajan/operaattorin verkkoinfrastruktuuri voidaan jakaa useampaan eri komponenttiin; operaattorin sisäiseen reititinverkkoon, jossa dataliikenne liikkuu vain operaattorin oman verkon sisällä, ulkoiseen reititykseen jossa operaattori kytkeytyy Internetiin transit-operaattoreiden tai muiden toimijoiden kautta, L2-rajapintaan jossa asiakasyhteydet liitetään operaattorin verkkoon ja verkon hallintaympäristöön. Näiden kaikkien verkon komponenttien osalta uhkien tunnistaminen sekä teknisten toimenpiteiden valitseminen, joilla uhkia voidaan vähentää on kriittistä verkon tietoturvan parantamiseksi. Reititysprotokollien, kuten OSPF:n, IS-IS:n, iBGP:n ja eBGP:n tietoturvamekanismeja testattiin virtualisoidussa kotilaboratoriossa ja tuloksia analysoitiin. Oikeiden turvamekanismien valitseminen on tärkeää myös laki- ja säädösvelvoitteiden täyttämisessä. Tulevaisuuden tutkimuskohteita, kuten SR-protokollan tietoturva, IPv6 protokollan edelleen yleistyminen, AI-pohjaisten suojamekanismien hyödyntäminen sekä kvanttiteknologian mukanaan tuomat tietoturvakysymykset tunnistettiin. Yhteenvetona voidaan sanoa, että verkon tietoturva ja sen kehittäminen on jatkuvaa työtä erilaisten verkkoon kohdistuvien kyberuhkien jatkaessa kehitystään.

Service provider networks form the backbone of the Internet and global digital connectivity. This fact exposures them to sophisticated cyber threats that places them constantly at the risk of disruptions and data breaches. Making sure that the service provider networks are resilient to these threats is not only a technical necessity but also a legal and regulatory requirement. Besides the individual customers, large enterprises and critical infrastructure need secure communication links. The service provider network can be divided into multiple components like internal routing, external routing and network management domain. A threat landscape affecting core network domains, including IS-IS, OSPF, iBGP, eBGP, Layer 2, and network management planes were examined. A set of hardening techniques was identified and analyzed, covering protocol authentication, prefix filtering, route validation (RPKI), L2 security measures, management-plane protection, and monitoring. A virtualized laboratory environment was used to demonstrate, and test various security controls. The findings show that a defense-in-depth approach—combining routing protocol hardening and secure management practices significantly reduces the attack surface of service provider networks. Choosing technical safeguards with regulatory frameworks ensures that operators not only improve security but also fulfill their legal compliance. Areas for future research, including AI-based solutions, segment routing, IPv6 adoption, quantum technology were identified, underscoring that network hardening is an ongoing process in the face of evolving threats.