Tietoturvan toteutus SD-WAN -operaattoripalveluissa

Tietoturvan toteutus SD-WAN -operaattoripalveluissa

Show other versions (1)

Tutkielmassa selvitettiin vaihtoehtoja, joiden avulla palomuuraukseen liittyvä tekninen tietoturva voidaan toteuttaa uusissa SD-WAN -pohjaisissa verkottamisratkaisuissa ja niihin liittyvissä hybridiverkoissa operaattorin näkökulmasta. Palomuuraukseen liittyvää ratkaisua tulisi voida hyödyntää operaa...

Full description

Bibliographic Details
Main Author: Heikkinen, Lauri
Other Authors: Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, University of Jyväskylä, Jyväskylän yliopisto
Format: Master's thesis
Language:fin
Published: 2017
Subjects:
SD-WAN
SDN
NFV
OpenFlow
Software Defined Security
Tietojenkäsittelytiede
601
järjestelmäarkkitehtuuri
palomuurit (tietoturva)
verkonhallinta
Online Access: https://jyx.jyu.fi/handle/123456789/56002
_version_ 1826225738836082688
author Heikkinen, Lauri
author2 Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia University of Jyväskylä Jyväskylän yliopisto
author_facet Heikkinen, Lauri Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia University of Jyväskylä Jyväskylän yliopisto Heikkinen, Lauri Informaatioteknologian tiedekunta Faculty of Information Technology Informaatioteknologia University of Jyväskylä Jyväskylän yliopisto
author_sort Heikkinen, Lauri
datasource_str_mv jyx
description Tutkielmassa selvitettiin vaihtoehtoja, joiden avulla palomuuraukseen liittyvä tekninen tietoturva voidaan toteuttaa uusissa SD-WAN -pohjaisissa verkottamisratkaisuissa ja niihin liittyvissä hybridiverkoissa operaattorin näkökulmasta. Palomuuraukseen liittyvää ratkaisua tulisi voida hyödyntää operaattorin asiakasverkoissa ja sen tulee skaalautua asiakkaiden käyttämien palveluiden mukaisesti. Tutkielmassa analysoitiin, kuinka SDN- ja NFV-teknologioita voidaan hyödyntää palomuurauksen toteutuksessa ja kannattaako palomuuraus toteuttaa SDN-pohjaisessa verkossa keskitetysti vai hajautetusti. Lisäksi pohdittiin, kuinka verkon hallinta voidaan toteuttaa keskitetysti, jotta jokaista verkon laitetta ei tarvitse konfiguroida erikseen. Osana tutkielmaa tehtiin kokeellinen tutkimus, jossa luotiin SDN-arkkitehtuurin SouthBound-rajapinnalla toimivan OpenFlow-protokollan vuo-sääntöihin perustuva palomuurisäännöstö. Tämän lisäksi tehtiin viisi SD-WAN -palveluihin liittyvää toteutusta, joiden yhteensopivuutta luotuun säännöstöön analysoitiin. Toteutukset antoivat kattavan kuvan SDN-teknologian ja siihen liittyvien komponenttien tarjoamista ominaisuuksista palomuuraukseen liittyen. Säännöstön avulla voidaan toteuttaa tehokkaasti asiakasverkon palomuuraus OSI-mallin 2-4 kerroksilla. Kun vuosäännöt asetetaan SDN-verkon kytkimille proaktiivisen mallin mukaisesti, saadaan samalla optimoitua kaistankäyttöä ja parannettua vikasietoisuutta. Lisäksi SDN-kontrollerien suorituskyky paranee, kun verkon kytkimet kykenevät välittämään verkkoliikennettä itsenäisesti lähettämättä paketteja kontrollerille. Tutkimuksessa todettiin, että kontrollerit ja niihin liittyvät ulkoiset sovellukset tukevat palomuurausta vielä melko heikosti. Kontrollerien graafisista käyttöliittymistä tehtävä vuosääntöjen määrittely tapahtuu yksitellen, joka ei ole kestävä ratkaisu operaattorien käyttämissä ympäristöissä. Jotta kokonainen palomuurisäännöstö voidaan tuoda SDN-pohjaiseen asiakasverkkoon, siihen tulee olla erillinen sovellus tai toiminnallisuus tulisi sisällyttää kontrollerien toimintalogiikkaan. Tällöin vuosäännöt kyettäisiin asettamaan proaktiivisesti kaikille verkon SDN-kytkimille operaattorien asiakasverkoissa ja vuosäännöt voitaisiin tarvittaessa räätälöidä asiakkaiden käyttämien palveluiden mukaisesti. Tutkimuksessa luotuja palomuurisääntöjä voidaan käyttää vaatimusmäärittelyissä muun muassa SDN-arkkitehtuurin palomuuraukseen liittyvien sovellusten tai kontrollerien toimintalogiikan kehittämisessä. Implementing Security in SD-WAN operator services. This study examines options how firewall based security could be implemented in SD-WAN based networking services from operator’s point of view. Firewall solution shall be appropriate for operator’s customer network environments and it shall be scalable based on services used by the customers. The study analyses how SDN and NFV based technologies could be utilized in firewall implementations and should the firewall solution be centralized or distributed. Also, implementing centralized network management for the firewall solution was investigated to avoid configuring each device on the network individually. An experimental research was conducted as a part of the study. In the research part, set of firewall policies were made based on OpenFlow protocol that is the most common protocol at SDN architecture’s southbound interface. Five practical SD-WAN services related implementations were made and combatibilities with created set of firewall policies were analyzed. The implementations gave a broad view on SDN technology and features provided by related components for firewall functionality. Created set of firewall policies can be used for implementing firewall functionality at OSI model 2-4 layers. Flow rules can be set to SDN switches in a network proactively which also optimizes a bandwidth usage and improves a fault tolerance of the network. Performance of SDN controller is improved since the switches on the network are capable to forward network traffic without sending packets to the controller. It was found within research that SDN controllers and related external applications aren’t supporting firewall functionalities well. Flow rules may be created from graphic user interface only individually which is not appropriate solution for operator environments. To be able to import a whole set of firewall policies to SD-WAN customer environment, an external SDN application is needed. Another option is to develop SDN controller’s operation logic to support the firewall functionality. In that case flows could be set and distributed to all the switches on the SDN network proactively and flow rules could be modified based on services customer is using on the network. Set of firewall policies created within the study may be utilized as a base on requirement definitions for developing SDN architecture based applications and SDN controller’s operation logic.
first_indexed 2023-03-22T09:59:37Z
format Pro gradu
free_online_boolean 1
fullrecord [{"key": "dc.contributor.advisor", "value": "H\u00e4m\u00e4l\u00e4inen, Timo", "language": "", "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Heikkinen, Lauri", "language": null, "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2017-11-25T08:42:06Z", "language": "", "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2017-11-25T08:42:06Z", "language": "", "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2017", "language": null, "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.other", "value": "oai:jykdok.linneanet.fi:1802926", "language": null, "element": "identifier", "qualifier": "other", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/56002", "language": "", "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Tutkielmassa selvitettiin vaihtoehtoja, joiden avulla palomuuraukseen liittyv\u00e4 tekninen tietoturva voidaan toteuttaa uusissa SD-WAN -pohjaisissa verkottamisratkaisuissa ja niihin liittyviss\u00e4 hybridiverkoissa operaattorin n\u00e4k\u00f6kulmasta. Palomuuraukseen liittyv\u00e4\u00e4 ratkaisua tulisi voida hy\u00f6dynt\u00e4\u00e4 operaattorin asiakasverkoissa ja sen tulee skaalautua asiakkaiden k\u00e4ytt\u00e4mien palveluiden mukaisesti. Tutkielmassa analysoitiin, kuinka SDN- ja NFV-teknologioita voidaan hy\u00f6dynt\u00e4\u00e4 palomuurauksen toteutuksessa ja kannattaako palomuuraus toteuttaa SDN-pohjaisessa verkossa keskitetysti vai hajautetusti. Lis\u00e4ksi pohdittiin, kuinka verkon hallinta voidaan toteuttaa keskitetysti, jotta jokaista verkon laitetta ei tarvitse konfiguroida erikseen. \r\n\r\nOsana tutkielmaa tehtiin kokeellinen tutkimus, jossa luotiin SDN-arkkitehtuurin SouthBound-rajapinnalla toimivan OpenFlow-protokollan vuo-s\u00e4\u00e4nt\u00f6ihin perustuva palomuuris\u00e4\u00e4nn\u00f6st\u00f6. T\u00e4m\u00e4n lis\u00e4ksi tehtiin viisi SD-WAN -palveluihin liittyv\u00e4\u00e4 toteutusta, joiden yhteensopivuutta luotuun s\u00e4\u00e4nn\u00f6st\u00f6\u00f6n analysoitiin. Toteutukset antoivat kattavan kuvan SDN-teknologian ja siihen liittyvien komponenttien tarjoamista ominaisuuksista palomuuraukseen liittyen. S\u00e4\u00e4nn\u00f6st\u00f6n avulla voidaan toteuttaa tehokkaasti asiakasverkon palomuuraus OSI-mallin 2-4 kerroksilla. Kun vuos\u00e4\u00e4nn\u00f6t asetetaan SDN-verkon kytkimille proaktiivisen mallin mukaisesti, saadaan samalla optimoitua kaistank\u00e4ytt\u00f6\u00e4 ja parannettua vikasietoisuutta. Lis\u00e4ksi SDN-kontrollerien suorituskyky paranee, kun verkon kytkimet kykenev\u00e4t v\u00e4litt\u00e4m\u00e4\u00e4n verkkoliikennett\u00e4 itsen\u00e4isesti l\u00e4hett\u00e4m\u00e4tt\u00e4 paketteja kontrollerille. Tutkimuksessa todettiin, ett\u00e4 kontrollerit ja niihin liittyv\u00e4t ulkoiset sovellukset tukevat palomuurausta viel\u00e4 melko heikosti. Kontrollerien graafisista k\u00e4ytt\u00f6liittymist\u00e4 teht\u00e4v\u00e4 vuos\u00e4\u00e4nt\u00f6jen m\u00e4\u00e4rittely tapahtuu yksitellen, joka ei ole kest\u00e4v\u00e4 ratkaisu operaattorien k\u00e4ytt\u00e4miss\u00e4 ymp\u00e4rist\u00f6iss\u00e4. \r\n\r\nJotta kokonainen palomuuris\u00e4\u00e4nn\u00f6st\u00f6 voidaan tuoda SDN-pohjaiseen asiakasverkkoon, siihen tulee olla erillinen sovellus tai toiminnallisuus tulisi sis\u00e4llytt\u00e4\u00e4 kontrollerien toimintalogiikkaan. T\u00e4ll\u00f6in vuos\u00e4\u00e4nn\u00f6t kyett\u00e4isiin asettamaan proaktiivisesti kaikille verkon SDN-kytkimille operaattorien asiakasverkoissa ja vuos\u00e4\u00e4nn\u00f6t voitaisiin tarvittaessa r\u00e4\u00e4t\u00e4l\u00f6id\u00e4 asiakkaiden k\u00e4ytt\u00e4mien palveluiden mukaisesti. Tutkimuksessa luotuja palomuuris\u00e4\u00e4nt\u00f6j\u00e4 voidaan k\u00e4ytt\u00e4\u00e4 vaatimusm\u00e4\u00e4rittelyiss\u00e4 muun muassa SDN-arkkitehtuurin palomuuraukseen liittyvien sovellusten tai kontrollerien toimintalogiikan kehitt\u00e4misess\u00e4.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "Implementing Security in SD-WAN operator services.\r\n\r\nThis study examines options how firewall based security could be implemented in SD-WAN based networking services from operator\u2019s point of view. Firewall solution shall be appropriate for operator\u2019s customer network environments and it shall be scalable based on services used by the customers. The study analyses how SDN and NFV based technologies could be utilized in firewall implementations and should the firewall solution be centralized or distributed. Also, implementing centralized network management for the firewall solution was investigated to avoid configuring each device on the network individually.\r\n\r\nAn experimental research was conducted as a part of the study. In the research part, set of firewall policies were made based on OpenFlow protocol that is the most common protocol at SDN architecture\u2019s southbound interface. Five practical SD-WAN services related implementations were made and combatibilities with created set of firewall policies were analyzed. The implementations gave a broad view on SDN technology and features provided by related components for firewall functionality. Created set of firewall policies can be used for implementing firewall functionality at OSI model 2-4 layers. Flow rules can be set to SDN switches in a network proactively which also optimizes a bandwidth usage and improves a fault tolerance of the network. Performance of SDN controller is improved since the switches on the network are capable to forward network traffic without sending packets to the controller. It was found within research that SDN controllers and related external applications aren\u2019t supporting firewall functionalities well. Flow rules may be created from graphic user interface only individually which is not appropriate solution for operator environments.\r\n\r\nTo be able to import a whole set of firewall policies to SD-WAN customer environment, an external SDN application is needed. Another option is to develop SDN controller\u2019s operation logic to support the firewall functionality. In that case flows could be set and distributed to all the switches on the SDN network proactively and flow rules could be modified based on services customer is using on the network. Set of firewall policies created within the study may be utilized as a base on requirement definitions for developing SDN architecture based applications and SDN controller\u2019s operation logic.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted using Plone Publishing form by Lauri Heikkinen (lasaheik) on 2017-11-25 08:42:03.124388. Form: Pro gradu -lomake (https://kirjasto.jyu.fi/julkaisut/julkaisulomakkeet/pro-gradu-lomake). JyX data: [jyx_publishing-allowed (fi) =True]", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by jyx lomake-julkaisija (jyx-julkaisija.group@korppi.jyu.fi) on 2017-11-25T08:42:06Z\r\nNo. of bitstreams: 2\r\nURN:NBN:fi:jyu-201711254374.pdf: 1855465 bytes, checksum: c1f8d745421b64924ce0c8f1569ba9d9 (MD5)\r\nlicense.html: 4812 bytes, checksum: fa75d56444a85b1778ac1b024f6eec92 (MD5)", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2017-11-25T08:42:06Z (GMT). No. of bitstreams: 2\r\nURN:NBN:fi:jyu-201711254374.pdf: 1855465 bytes, checksum: c1f8d745421b64924ce0c8f1569ba9d9 (MD5)\r\nlicense.html: 4812 bytes, checksum: fa75d56444a85b1778ac1b024f6eec92 (MD5)\r\n Previous issue date: 2017", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "1 verkkoaineisto (95 sivua)", "language": null, "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "fin", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "In Copyright", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.subject.other", "value": "SD-WAN", "language": null, "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "SDN", "language": null, "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "NFV", "language": null, "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "OpenFlow", "language": null, "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.subject.other", "value": "Software Defined Security", "language": null, "element": "subject", "qualifier": "other", "schema": "dc"}, {"key": "dc.title", "value": "Tietoturvan toteutus SD-WAN -operaattoripalveluissa", "language": null, "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-201711254374", "language": null, "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Pro gradu -tutkielma", "language": "fi", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.type.ontasot", "value": "Master\u2019s thesis", "language": "en", "element": "type", "qualifier": "ontasot", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.department", "value": "Informaatioteknologia", "language": "fi", "element": "contributor", "qualifier": "department", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Tietojenk\u00e4sittelytiede", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.date.updated", "value": "2017-11-25T08:42:07Z", "language": "", "element": "date", "qualifier": "updated", "schema": "dc"}, {"key": "yvv.contractresearch.funding", "value": "0", "language": "", "element": "contractresearch", "qualifier": "funding", "schema": "yvv"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "openAccess", "language": "fi", "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.subject.oppiainekoodi", "value": "601", "language": null, "element": "subject", "qualifier": "oppiainekoodi", "schema": "dc"}, {"key": "dc.subject.yso", "value": "j\u00e4rjestelm\u00e4arkkitehtuuri", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "palomuurit (tietoturva)", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.subject.yso", "value": "verkonhallinta", "language": null, "element": "subject", "qualifier": "yso", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://rightsstatements.org/page/InC/1.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}, {"key": "dc.type.okm", "value": "G2", "language": null, "element": "type", "qualifier": "okm", "schema": "dc"}]
id jyx.123456789_56002
language fin
last_indexed 2025-02-18T10:55:37Z
main_date 2017-01-01T00:00:00Z
main_date_str 2017
online_boolean 1
online_urls_str_mv {"url":"https:\/\/jyx.jyu.fi\/bitstreams\/6f34c306-2ab6-4acb-a238-69b4b08caabd\/download","text":"URN:NBN:fi:jyu-201711254374.pdf","source":"jyx","mediaType":"application\/pdf"}
publishDate 2017
record_format qdc
source_str_mv jyx
spellingShingle Heikkinen, Lauri Tietoturvan toteutus SD-WAN -operaattoripalveluissa SD-WAN SDN NFV OpenFlow Software Defined Security Tietojenkäsittelytiede 601 järjestelmäarkkitehtuuri palomuurit (tietoturva) verkonhallinta
title Tietoturvan toteutus SD-WAN -operaattoripalveluissa
title_full Tietoturvan toteutus SD-WAN -operaattoripalveluissa
title_fullStr Tietoturvan toteutus SD-WAN -operaattoripalveluissa Tietoturvan toteutus SD-WAN -operaattoripalveluissa
title_full_unstemmed Tietoturvan toteutus SD-WAN -operaattoripalveluissa Tietoturvan toteutus SD-WAN -operaattoripalveluissa
title_short Tietoturvan toteutus SD-WAN -operaattoripalveluissa
title_sort tietoturvan toteutus sd wan operaattoripalveluissa
title_txtP Tietoturvan toteutus SD-WAN -operaattoripalveluissa
topic SD-WAN SDN NFV OpenFlow Software Defined Security Tietojenkäsittelytiede 601 järjestelmäarkkitehtuuri palomuurit (tietoturva) verkonhallinta
topic_facet 601 NFV OpenFlow SD-WAN SDN Software Defined Security Tietojenkäsittelytiede järjestelmäarkkitehtuuri palomuurit (tietoturva) verkonhallinta
url https://jyx.jyu.fi/handle/123456789/56002 http://www.urn.fi/URN:NBN:fi:jyu-201711254374
work_keys_str_mv AT heikkinenlauri tietoturvantoteutussdwanoperaattoripalveluissa

Similar Items