Secure Communication with WireGuard – VPN-as-a-Service in Beyond 5G

Abstract

Innføring av skivedeling i 5G nettverk åpner for at vertikale virksomheter kan utvikle og benytte sine tjenester ved siden av hverandre i telenett. Sammenliknet med tidligere generasjons mobilnettverk, søker 5G å kunne tilby flere tjenester simultant. Programvaredefinerte Nettverk (SDN) og Virtualiserte Nettverksfunksjoner (NFV) er, ved å innføre nødvendig fleksibilitet til å deployere nettverksfunksjoner og koble de sammen i ønsket rekkefølge, to hovedteknologier for å kunne lage kjeder av tjenestefunksjoner dynamisk med felles infrastruktur.

Sikkerhet er en av utfordringene med å ha en delt nettverks- og prosesseringsinfrastruktur. Tunnelering gjennom Virtuelle Private Nettverk (VPN) er et sikkerhetstiltak som kan iverksettes av den skiveansvarlige for å skille nettverksskiver, tjenester og funksjoner fra hverandre.

Vi har studert hvordan WireGuard kan brukes som VPN tilbyder for å skape en kryptert tunnel som en tjeneste mellom nettverksfunksjoner. Open Source MANO (OSM) er brukt som programvare for å kombinere og orkestrere nettverksfunksjoner til nettverkstjenester og nettverkskiver. For å simulere reelle mobilnettverk har vi designet og testet flere scenarioer. WireGuard har blitt lagt til som VPN som en tjeneste i de ulike situasjonene for å isolere og sikre trafikken mellom nettverksfunksjoner. Gjennom utvkling i oppgaven har vi kommet opp med et konsept for å implementere en WireGuard som en tjeneste der vi bruker minimalt med manuelle steg. For å redusere manuelle steg i oppsett og konfigurasjon av WireGuard har vi brukt den innebygde Juju kontrolleren i OSM.

Etter å ha deployert nettverkstjenestene vi har utviklet til en delt infrastruktur har vi gjort målinger for å studere hvordan WireGuard påvirker ytelsen. Vi har målt en gjennomstrømning på mellom 0.8 Gbps og 2.5 Gbps og forsinkelse på under 1 ms ved bruk av WireGuard-tunneler mellom nettverksfunksjoner. Målingene vi har gjort ligger innenfor flere av nøkkeltallsindikatorene for 5G nettverk. Det gjør WireGuard passende for å brukes til å tilføre sikkerhet for isolering av nettverksskiver i utviklingen av 5G nettverk og kommende teknologier.

The introduction of network slicing in 5G networks has allowed verticals to deploy their services alongside other applications. Compared to the earlier cellular generations, the goal is for 5G to deliver various services simultaneously. Two key enabling technologies are Software-Defined Networking (SDN) and Network Function Virtualization (NFV). SDN and NFV bring flexibility for deploying network functions and chaining them together.

Security is one of the main challenges for shared infrastructure like networks and computational resources of an NFV infrastructure. Virtual Private Network (VPN) tunneling is one countermeasure a tenant manager, controlling the network service, can use to separate network slices, services, and functions when using shared environments in a service function chaining context.

In this thesis, we have studied how WireGuard can provide an encrypted VPN tunnel as a service between network functions. We used Open Source MANO (OSM) to deploy and orchestrate the network functions into network services and slices. We have created multiple scenarios simulating a real-life cellular network during our development process. WireGuard was then used as a VPN-as-a-Service between the different network functions to secure and isolate the interfaces. In our work, we have implemented a Proof-of-Concept where the WireGuard tunnel configures automatically using the inbuilt Juju controller of OSM to minimize manual steps.

After deploying our network services, we have then performed measurements to observe the performance of WireGuard. The performance measurements show between 0.8 Gbps and 2.5 Gbps throughput and under 1 ms delay between network functions using WireGuard. These measurements are within several key performance indicators of 5G, making WireGuard suited to be used to provide security in slice isolation in 5G and beyond networks.