AC-PKI - Application-centric public-key infrastructures
Master thesis
Permanent lenke
http://hdl.handle.net/11250/2617763Utgivelsesdato
2019Metadata
Vis full innførselSamlinger
Sammendrag
Programvaredefinerte nettverk (SDN, software-defined networks) skal gjøre komplekse nettverksmidige, skalerbare og lettere å vedlikeholde. Selv om de underliggende idéene har eksistert i minsttjue år, er det først de siste årene at SDN har fått stor oppmerksomhet på grunn av stadig merkomplekse nettverk og datasentre. Cisco ACI (applikasjonssentrisk infrastruktur) er Ciscos tilnærm-ing til programvaredefinerte nettverk, og har samtidig bred støtte for tilgangskontroll. Når detgjelder sikkerheten rundt data som går gjennom nettverket (dataplansikkerhet) er det riktignokflere ubesvarte spørsmål.
Denne masteroppgaven har som formål å beskytte dataplanet i Cisco ACI ved hjelp av asymmetriskkryptografi og digitale sertifikater. Ved å benytte tilgangskontrollen i Cisco ACI vil vi bedre sikker-heten både med hensyn til konfidensialitet og integritet for nettverkstrafikken, samtidig som vi in-tegrerer konfigurasjonen av nettverks- og sikkerhetsarkitekturen i samme prosess. På denne måtenvil nettverkene bli sikrere, mer oversiktlige og lettere å vedlikeholde.
Det ble først gjennomført en litteraturstudie og gjennomgang av relevant teori og dokumentasjon.Vi så også på alternative metoder for å oppnå sikker kommunikasjon på dataplanet. Vi satte oppen oversikt over muligheter, begrensninger og krav til løsningen, utviklet en metode og arkitek-tur, og implementerete en prototype for å demonstrere løsningen. Til slutt evaluerte vi løsningen,diskuterte resultatene og implikasjonene det har for nettverks- og dataplansikkerhet.
Ved å hente tilgangsdata fra Cisco ACI klarte vi å tildele sertifikater til de enhetene som har lov tilå kommunisere med hverandre. Løsningen setter opp en sikker og effektiv forbindelse mellom enklient og en tjener, og kommuniserer effektivt med Cisco ACI ved å abonnere på endringer i rele-vante nettverksdata. Prototypen bekreftet at løsningen fungerer i praksis, selv om den er primitivog lagt ifra en storskala produksjonsløsning.
Som et resultat av bakgrunn, teori og resultater som beskrevet ovenfor, konkluderer vi med at løs-ningen vår har et potensiale for å tilby sikker dataplankommunikasjon i Cisco ACI-nettverk. Løsnin-gen tilbyr enklere, sikrere og mer effektiv håndtering av digitale sertifikater enn dagens alternativer.Det er riktignok flere spørsmål som må besvares før en produksjonsløsning kan implementeres. Software-defined networking (SDN) has gained popularity in recent years as a result of the in-creased complexity of networks and data centres. By moving control of how traffic flows throughthe network to centralised controllers, SDNs aim to make networks more flexible, agile and scalable.Although the underlying ideas have been around for at least two decades, there is little work ded-icated to securing the traffic that flows through SDNs (the data plane). Cisco Application-CentricInfrastructure (ACI) is Cisco’s approach to SDN and includes a comprehensive policy framework.
This master’s thesis aims to secure the data plane of a Cisco ACI network using a public-key infras-tructure (PKI). Using policies from Cisco ACI, we generate peer-specific certificates that are onlyissued to pairs of endpoints with explicit permission to communicate (a contract). Doing so, westrengthen policy enforcement, validate peer identities and encrypt traffic using state-of-the-art en-cryption algorithms. The solution virtually eliminates the need for manual PKI configuration andsignificantly improves security compared to current alternatives.
First, relevant research and alternative methods were researched and evaluated. Second, we stud-ied relevant theory and existing technologies and frameworks, and defined the constraints, require-ments and superficial architecture of the solution. Third, we developed a methodology and archi-tecture for the solution and implemented a prototype as a proof-of-concept. Finally, we discussedthe results and their implications for data plane security and concluded the thesis.
Requesting data from the Cisco ACI API, we were able to process it and use it to validate whethertwo endpoints are permitted to communicate. The design provides efficient communication withCisco ACI by subscribing to any changes in relevant data, automated certificate validation and re-vocation and simple yet secure endpoint-to-endpoint security.
Based on the background research, theory, solution and prototype results, we consider AC-PKI tohave great potential in making networks more secure and efficient. However, several questions mustbe answered before a production system could be implemented. These questions are presented inchapter 10 “Future work”.