Integration of Network Security Mechanisms in Softwarized Networks with Data Plane Programming and Software-Defined Networking

Abstract

Unter Network Softwarization versteht man den Trend von traditionellen Netzwerkgeräten mit fest definiertem Funktionsumfang und beschränkter Konfigurierbarkeit hin zu programmierbaren Software- oder Hardware-Plattformen. Zwei populäre Ausprägungen sind Software-Defined Networking (SDN) und programmierbare Data Planes. SDN erlaubt es, die Control Plane von Netzwerkgeräten zu umgehen und eigene softwarebasierte Control-Plane-Algorithmen einzuführen. Programmierbare Data Planes erweitern diese Flexibilität auf die Data Plane. Diese neuen Konzepte sind die Basis für Netzwerke der nächsten Generation, wie sie beispielsweise in Cloud Computing oder 5G benötigt werden. OpenFlow (OF) und P4 sind die am weitesten verbreiteten Standards für SDN und programmierbare Data Planes.

Für die Einführung von SDN und programmierbaren Data Planes in existierenden Netzwerken werden Übergangsstrategien für die Integration von existierenden Netzwerkfunktionen, -protokollen und -programmen benötigt. Die Forschungsarbeiten dieser Dissertation widmen sich der Integration von Netzwerksicherheitsfunktionen in neuen auf SDN und programmierbaren Data Planes basierenden Netzen. Es wird analysiert, inwiefern existierende und weitverbreitete Netzwerksicherheitsmechanismen implementiert werden können. Ferner werden potenzielle Konzepte und Architekturen für die Einbindung dieser Netzwerksicherheitsmechanismen entwickelt. Es wird untersucht, ob SDN und programmierbare Data Planes einen effizienteren Betrieb durch Automation, erhöhte Sicherheit, oder neue Funktionalitäten schaffen können. Die Forschungsarbeit wird durch eine Literaturstudie zu programmierbaren Data Planes mit P4 komplettiert. In dieser Studie wird die Anwendung von P4 in anderen Bereichen außerhalb der Netzwerksicherheit untersucht.

Kernergebnisse meiner Forschungsarbeit sind in fünf Peer-Reviews-akzeptierten Veröffentlichungen zusammengefasst. Zwei weitere Veröffentlichungen befinden sich derzeit im Peer-Review. Ergebnisse meiner Forschung zu OF-basiertem SDN umfassen eine Integration von 802.1X sowie einen neuartigen Mechanismus für eine Netzwerkzugriffs- und Ausführungskontrolle für containerbasierte Anwendungen. Forschungsergebnisse zu programmierbaren Data Planes mit P4 und SDN-basierter Steuerung umfassen Integrationen von MACsec, IPsec und 802.1X. Die Resultate der Literaturstudie sind Teil einer umfangreichen Übersichtsveröffentlichung. Fünf weitere nach Peer-Review akzeptierte Veröffentlichungen sind ergänzender Inhalt dieser Dissertation. Diese Arbeiten beschreiben Forschungsergebnisse zu Übergangsstrategien für SDN, die nicht in den Bereich der Netzwerksicherheit fallen. Zudem werden Forschungsergebnisse aus dem Bereich der Modellierung und Simulation von Kommunikationsnetzen vorgestellt.

Die Mehrheit meiner Forschungsarbeit entstand im bwNET100G+ Forschungsprojekt. Weitere Forschungsarbeiten wurden von der Deutschen Forschungsgemeinschaft (DFG) im Rahmen der Forschungsförderung ME2727/1-2 und von der Siemens AG gefördert.

In network softwarization, traditional network appliances with fixed features and limited configurability are replaced by programmable software- or hardware-based platforms. Two popular concepts of this new trend are SDN and data plane programming. SDN allows programmers to bypass the control plane of networking devices and introduce own software-based control plane algorithms. Data plane programming extends this programmability to the data plane. These new networking concepts are the basis for next-generation networks as utilized in cloud computing or 5G. OF and P4 are the most widespread standards for SDN and data plane programming, respectively.

However, introducing SDN and data plane programming in existing networks requires transition strategies for the integration of existing network functions, protocols, and applications. The research of this thesis focuses on the integration of network security functions. It investigates whether existing and widespread network security mechanisms are implementable, how potential concepts and architectures of integrations may be engineered, and if mechanisms can benefit from SDN and data plane programming in terms of more efficient operation with automation, increased security, or new features. Subsequently, this research is complemented with a literature study analyzing how data plane programming with P4 is applied in fields other than network security.

The results of my research are covered in five accepted and peer-reviewed papers and two papers that are currently in peer-review. Research results on OF-based SDN include an integration of 802.1X and a novel mechanism for network access and execution control for containerized applications. Research results on P4 data planes with SDN control include integrations of MACsec, IPsec, and 802.1X. The results of the literature study are covered in an extensive survey paper. Five more accepted and peer-reviewed papers are additional content of this thesis. These publications include research results on SDN transition strategies not related to network security and research results in the field of modelling and simulation.

The majority of my research work was part of the bwNET100G+ research project. Additional research work was funded by the Deutsche Forschungsgemeinschaft (DFG) under grant ME2727/1-2 and by Siemens AG.