Real-time security approach to software-defined networking (SDN)

Abstract

Geleneksel ağların programlanmasını sağlaması, kontrol düzlemini altyapı düzleminden ayırması gibi özelliklerinden dolayı yazılım tanımlı ağlar (Software Defined Network, SDN) geleneksel ağ paradigmasını değiştirmeye devam etmektedir. SDN ağlarında kontrol düzleminin merkezi hale gelmesiyle, dağıtılmış hizmet reddi (distributed denial of service DDoS), ortadaki adam (man-in-the-middle, MITM), tekrar saldırıları gibi diğer ağ güvenlik açıkları için gürbüz ve gerçek-zamanlı güvenlik tedbirlerinin alınmasını zorunlu hale gelmiştir. Bu tezde, SDN ağlarına yöneltilen güvenlik saldırılarını tespit ederek uzaklaştıran gerçek-zamanlı bir güvenlik yaklaşımı önerilmiştir. Önerilen yöntemde güvenlik, sFlow tekniği ve IPSec protokolü kullanılarak sağlanmıştır. Yöntemin etkinliğini değerlendirmek ve analiz etmek için, önerilen güvenli ağ mimarisi sanal makine (virtual machine, VM) üzerinde çalışan Mininet'te gerçeklenmiştir. Önerilen yöntem sadece ağ saldırılarını tespit etmekle kalmayıp bu işlemi gerçek-zamanlı olarak yapmakta ve ağ istila edilmeden bu saldırıları uzaklaştırma işlemini hızla başlatmaktadır.

The emergence of Software-defined network (SDN) with its ability to enhance programmability in networking and the separation of the control plane from the infrastructural plane has shifted the paradigm in networking. The centralization of the control plane requires robust and real-time security techniques to protect it from any sign of vulnerabilities associated with the network such as distributed denial of service (DDoS) attacks, replay attacks, man-in-the-middle attacks (MITM), etc. In this study, a real-time security approach that can detect and mitigate the security vulnerabilities susceptible to the SDN network is proposed. The proposed method adopts the sFlow technique and the IPSec protocol for security implementation. A secure network architecture was built and implemented on Mininet which runs on a Virtual Machine (VM) to evaluate and analyze the effectiveness of the proposed method. The method not only can detect attacks on the network but does it in real-time which allows it to quickly start a mitigation process to protect the network from being overwhelmed.