towards secure and dependable
play

Towards Secure and Dependable So2ware-Defined Networks Diego - PowerPoint PPT Presentation

Jun 04, 2023 •259 likes •561 views

Towards Secure and Dependable So2ware-Defined Networks Diego Kreutz, Fernando M. V. Ramos, Paulo Verssimo LaSIGE/FCUL, University of Lisbon SDN in short

  1. Towards ¡Secure ¡and ¡Dependable ¡ So2ware-­‑Defined ¡Networks ¡ Diego ¡Kreutz, ¡Fernando ¡M. ¡V. ¡Ramos, ¡Paulo ¡Veríssimo ¡ LaSIGE/FCUL, ¡University ¡of ¡Lisbon ¡

  2. SDN ¡in ¡short ¡ 1. Decoupling ¡control ¡ and ¡data ¡plane ¡ 3. Programming ¡the ¡ network ¡ 2. Logical ¡centraliza?on ¡ of ¡network ¡control ¡

  3. ¡ Excellent , ¡now ¡ we ¡can ¡program ¡the ¡network! ¡ App1 App2 App3 … AppN Applications (control logic) Global Network View Network OS (programming abstractions, data distribution, low level controls, etc.)

  4. ¡ Wait , ¡now ¡ others ¡can ¡program ¡the ¡network! ¡ App1 App2 App3 … AppN Applications (control logic) Global Network View Network OS (programming abstractions, data distribution, low level controls, etc.)

  5. Outline ¡ Main ¡threat ¡vectors ¡in ¡SDNs ¡ Security ¡& ¡Dependability ¡by ¡design ¡ Final ¡remarks ¡

  6. Outline ¡ Main ¡threat ¡vectors ¡in ¡SDNs ¡ Security ¡& ¡Dependability ¡by ¡design ¡ Final ¡remarks ¡

  7. Threat ¡vectors ¡map ¡ Threat ¡vector ¡1 ¡ forged ¡or ¡faked ¡traffic ¡ flows ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t n o C SDN ¡ SDN ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ 1 ¡ Not ¡specific ¡to ¡SDNs , ¡but ¡can ¡be ¡a ¡door ¡for ¡augmented ¡DoS ¡aNacks. ¡ Possible ¡solu*ons: ¡IDS ¡+ ¡rate ¡bounds ¡for ¡control ¡plane ¡requests ¡

  8. Threat ¡vectors ¡map ¡ Threat ¡vector ¡2 ¡ exploiMng ¡vulnerabiliMes ¡ in ¡forwarding ¡devices ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t n o C SDN ¡ SDN ¡ 2 ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ Not ¡specific ¡to ¡SDNs , ¡but ¡now ¡the ¡impact ¡is ¡potenMally ¡augmented. ¡ Possible ¡solu*ons: ¡so2ware ¡aNestaMon ¡with ¡autonomic ¡trust ¡management ¡

  9. Threat ¡vectors ¡map ¡ Threat ¡vector ¡3 ¡ aNacking ¡control ¡ communicaMons ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t 3 ¡ n o C SDN ¡ SDN ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ Specific ¡to ¡SDNs : ¡communicaMon ¡with ¡logically ¡centralized ¡controllers ¡can ¡be ¡ explored. ¡ Possible ¡solu*ons: ¡threshold ¡cryptography ¡across ¡controller ¡replicas ¡

  10. Threat ¡vectors ¡map ¡ Threat ¡vector ¡4 ¡ 4 ¡ exploiMng ¡vulnerabiliMes ¡ in ¡controllers ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t n o C SDN ¡ SDN ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ Specific ¡to ¡SDNs , ¡controlling ¡the ¡controller ¡may ¡compromise ¡the ¡enMre ¡network. ¡ Possible ¡solu*ons: ¡replicaMon ¡+ ¡diversity ¡+ ¡recovery ¡

  11. Threat ¡vectors ¡map ¡ 5 ¡ Threat ¡vector ¡5 ¡ lack ¡of ¡trust ¡between ¡the ¡ controller ¡and ¡apps ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t n o C SDN ¡ SDN ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ Specific ¡to ¡SDNs , ¡malicious ¡applicaMons ¡can ¡now ¡be ¡easily ¡developed ¡and ¡deployed ¡ on ¡controllers. ¡ Possible ¡solu*ons: ¡so2ware ¡aNestaMon, ¡security ¡domains ¡

  12. Threat ¡vectors ¡map ¡ 6 ¡ Threat ¡vector ¡6 ¡ exploiMng ¡vulnerabiliMes ¡ in ¡admin ¡staMons ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t n o C SDN ¡ SDN ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ Not ¡specific ¡to ¡SDNs , ¡but ¡now ¡the ¡impact ¡is ¡potenMally ¡augmented. ¡ Possible ¡solu*ons: ¡double ¡credenMal ¡verificaMon ¡

  13. Threat ¡vectors ¡map ¡ Threat ¡vector ¡7 ¡ lack ¡of ¡trusted ¡resources ¡ for ¡forensics ¡and ¡ remediaMon ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t n o C 7 ¡ SDN ¡ SDN ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ Not ¡specific ¡to ¡SDNs , ¡but ¡it ¡is ¡sMll ¡criMcal ¡to ¡assure ¡fast ¡recovery ¡and ¡diagnosis ¡ when ¡faults ¡happen. ¡ Possible ¡solu*ons: ¡immutable ¡and ¡secure ¡logging, ¡secure ¡and ¡reliable ¡snapshots ¡

  14. Threat ¡vectors ¡map ¡ 6 ¡ 5 ¡ 4 ¡ Admin ¡ SDN ¡ � t StaMon ¡ n e m e g Controller ¡ a n a M & l o r t 3 ¡ n o C 7 ¡ SDN ¡ SDN ¡ 2 ¡ SDN ¡ device ¡ device ¡ device ¡ � e n a l P a t a D SDN ¡ device ¡ 1 ¡ Ø 1 ¡and ¡ 3 : ¡communicaMons ¡ Seven ¡main ¡ threat ¡vectors ¡ Ø 2 , ¡ 4 , ¡ 5 , ¡ 6 : ¡elements ¡ Ø 7 : ¡communicaMons ¡and ¡elements ¡

  15. Outline ¡ Main ¡threat ¡vectors ¡in ¡SDNs ¡ Security ¡& ¡Dependability ¡by ¡design ¡ Final ¡remarks ¡

  16. Sec&Dep ¡tools ¡to ¡consider ¡ • ReplicaMon ¡ – Dynamic ¡device ¡associaMon ¡ – Self-­‑healing ¡mechanisms ¡for ¡ perpetual ¡operaMon ¡ exploiMng ¡a ¡vulnerability ¡ • Diversity ¡ – Avoid ¡shared, ¡common ¡vulnerabiliMes ¡ vulnerable ¡systems ¡ • (Autonomic) ¡trust ¡ – between ¡controllers ¡and ¡devices ¡ – between ¡applicaMons ¡and ¡controller ¡so2ware ¡

  17. Sec&Dep ¡tools ¡to ¡consider ¡ • Security ¡domains ¡ – kernel ¡mode ¡ vs ¡user ¡mode ¡ (e.g., ¡ FortNOX ) ¡ ¡ • Fast ¡and ¡reliable ¡so2ware ¡update ¡and ¡ patching ¡ (e.g., ¡ HotSwap ) ¡

  18. DESIGN ¡OF ¡A ¡SEC&DEP ¡SDN ¡ CONTROL ¡PLATFORM ¡ v0.1 ¡

  19. One ¡ single ¡centralized ¡ controller ¡ App A Controller A

  20. Mul?ple ¡instances ¡of ¡a ¡centralized ¡controller ¡ App A App A App A Controller A Controller B Controller C

  21. Master-­‑slave ¡ controllers ¡ App A App A App A Controller A Controller B Controller C

  22. Master-­‑slave ¡ controllers ¡(what ¡if ¡B ¡fails?) ¡ App A App A App A Controller A Controller B Controller C

  23. Master-­‑slave ¡ controllers ¡(adding ¡a ¡ consistency ¡layer ) ¡ App A App A App A East/Westbound API (data distribution service) Controller A Controller B Controller C

  24. Mul?ple ¡ac?ve ¡controllers ¡ App A App A App A East/Westbound API (data distribution service) Controller A Controller B Controller C

  25. One ¡ single ¡app ¡instance ¡(App ¡B) ¡can ¡now ¡configure ¡the ¡whole ¡network ¡ App A App B App A App A East/Westbound API (data distribution service) Controller A Controller B Controller C

  26. One ¡ single ¡app ¡instance ¡(App ¡B) ¡can ¡now ¡configure ¡the ¡whole ¡network ¡ App A App B App A App A Northbound API Northbound API Northbound API East/Westbound API (data distribution service) Controller A Controller B Controller C

  27. Increasing ¡the ¡robustness ¡of ¡the ¡system ¡by ¡adding ¡ diversity ¡ App A App A App B App A Northbound API Northbound API Northbound API East/Westbound API (data distribution service) Controller A Controller B Controller C

  28. Diversity ¡of ¡controllers ¡requires ¡a ¡ common ¡ Northbound ¡API ¡ App A App B App A App A Common Northbound API East/Westbound API (data distribution service) Controller A Controller B Controller C

  29. Outline ¡ Main ¡threat ¡vectors ¡in ¡SDNs ¡ Security ¡& ¡Dependability ¡by ¡design ¡ Final ¡remarks ¡

  30. Our ¡main ¡message ¡ • SDN: ¡a ¡fascinaMng ¡dilemma ¡ – evolu?on ¡of ¡networking ¡ ¡ ¡versus ¡ ¡ – increasing ¡the ¡ threat ¡surface ¡ Security & Dependability should be built by design.

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Fourth Workshop on Dependable and Secure Nanocomputing Organizers: Jean Arlat, LAAS- CNRS

Fourth Workshop on Dependable and Secure Nanocomputing Organizers: Jean Arlat, LAAS- CNRS

The 40th Annual IEEE/IFIP International Conference on Dependable Systems and Networks June 28-July 1, 2010 Chicago, IL, USA Fourth Workshop on Dependable and Secure Nanocomputing Organizers: Jean Arlat, LAAS- CNRS Cristian

198 views • 9 slides
Basic Concepts and Taxonomy of Dependable and Secure Computing Presented By H. Momeni

Basic Concepts and Taxonomy of Dependable and Secure Computing Presented By H. Momeni

Basic Concepts and Taxonomy of Dependable and Secure Computing Presented By H. Momeni Instructor: Dr. Abdollahi Azgomi Reliable Software Design Course Iran University of Science and Technology Spring 2007 The Basic Concepts

640 views • 28 slides
Soft Error Rate Trends 4th Workshop on Dependable and Secure Nanocomputing (WDSN-10) Alan Wood

Soft Error Rate Trends 4th Workshop on Dependable and Secure Nanocomputing (WDSN-10) Alan Wood

<Insert Picture Here> Soft Error Rate Trends 4th Workshop on Dependable and Secure Nanocomputing (WDSN-10) Alan Wood June 28, 2010 Shameless Advertisements Presentation data came from the 2010 Workshop on System Effects of Logic

294 views • 18 slides
Fault Tolerance of the I nput/ Output Ports in Massively Def ective Multicore Processor Chips

Fault Tolerance of the I nput/ Output Ports in Massively Def ective Multicore Processor Chips

The 38th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Second Workshop on D Dependable and Secure Nanocomputing Friday June 27, 2008 Anchorage, AK, USA Fault Tolerance of the I nput/ Output Ports in Massively

561 views • 8 slides
A Model-driven Approach Towards Designing and Analysing Secure Systems for Multi-clouds Shaun

A Model-driven Approach Towards Designing and Analysing Secure Systems for Multi-clouds Shaun

A Model-driven Approach Towards Designing and Analysing Secure Systems for Multi-clouds Shaun Shei Secure and Dependable Software Systems (SenSe) Haralambos Mouratidis Stylianos Kapetanakis Aidan Delaney Overview What is Cloud Computing?

774 views • 56 slides
Secure Programming with Static Analysis Brian Chess brian@fortify.com Software Systems that

Secure Programming with Static Analysis Brian Chess brian@fortify.com Software Systems that

Secure Programming with Static Analysis Brian Chess brian@fortify.com Software Systems that are Ubiquitous Connected Dependable Complexity Unforeseen Consequences Software Security Today The line between secure/insecure is

624 views • 48 slides
Motivation: MSA Motivation: MSA Current attacks to distributed systems involve multiple steps

Motivation: MSA Motivation: MSA Current attacks to distributed systems involve multiple steps

Secure Configuration of Intrusion Detection Secure Configuration of Intrusion Detection Sensors for Changing Enterprise Systems Gaspar Modelo-Howard, Jevin Sweval, Saurabh Bagchi Presented by Amiya Kumar Maji Dependable Computing Systems Lab

611 views • 12 slides
Mitigating Attacks in Unstructured Multicast Overlay Networks Cristina Nita-Rotaru,Aaron Walters,

Mitigating Attacks in Unstructured Multicast Overlay Networks Cristina Nita-Rotaru,Aaron Walters,

Mitigating Attacks in Unstructured Multicast Overlay Networks Cristina Nita-Rotaru,Aaron Walters, David Zage Dependable and Secure Distributed Systems Lab ((DS) 2 ) Department of Computer Science and CERIAS Purdue University Dependable and

781 views • 56 slides
An Analysis of the GWV An Analysis of the GWV Security Policy Security Policy Jim Alves- -Foss

An Analysis of the GWV An Analysis of the GWV Security Policy Security Policy Jim Alves- -Foss

An Analysis of the GWV An Analysis of the GWV Security Policy Security Policy Jim Alves- -Foss and Carol Taylor Foss and Carol Taylor Jim Alves Center for Secure and Dependable Systems Center for Secure and Dependable Systems University of

455 views • 23 slides
How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing

How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing

DIMACS Workshop On Secure Routing March 10, 2010 How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing Protocols? $ $ Sharon Goldberg Microsoft Research & Boston University y Michael Schapira

701 views • 54 slides
safety critical systems Fumio Machida University of Tsukuba June 24, 2019 In Dependable and

safety critical systems Fumio Machida University of Tsukuba June 24, 2019 In Dependable and

N-version machine learning models for safety critical systems Fumio Machida University of Tsukuba June 24, 2019 In Dependable and Secure Machine Learning 2019 Machine learning (ML) in AV For safe driving, a red light on the road ahead should

458 views • 22 slides
Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor

Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor

1 Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor Samset and Rolv Brk, Norwegian University of Science and Technology NTNU, Department of Telematics NTNU, June 2008 Dependable SOA 2 What is

555 views • 13 slides
RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE

RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE

RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE 2002 Workshop on Architecting Dependable Systems Orlando, Florida, USA Chang Liu, Debra J. Richardson Information And Computer Science University

840 views • 24 slides
Secure Tera-scale Data Crunching with a Small TCB Bruno Vavala Nuno Neves Peter Steenkiste UL

Secure Tera-scale Data Crunching with a Small TCB Bruno Vavala Nuno Neves Peter Steenkiste UL

Secure Tera-scale Data Crunching with a Small TCB Bruno Vavala Nuno Neves Peter Steenkiste UL / CMU UL CMU 47th IEEE/IFIP International Conference on Dependable Systems and Networks (DSN17) Goal delivering security guarantees for

923 views • 60 slides
N ETWORK-CONNECTED devices often have vulnerabilities ing against the entire data segment of a

N ETWORK-CONNECTED devices often have vulnerabilities ing against the entire data segment of a

IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, VOL. 3, NO. 4, OCTOBER-DECEMBER 2006 289 Automatic Synthesis of Efficient Intrusion Detection Systems on FPGAs Zachary K. Baker, Student Member , IEEE , and Viktor K. Prasanna, Fellow ,

733 views • 12 slides
Anti-Honeypot Technology Thorsten Holz Laboratory for Dependable Distributed Systems

Anti-Honeypot Technology Thorsten Holz Laboratory for Dependable Distributed Systems

Dependable Distributed Systems Anti-Honeypot Technology Thorsten Holz Laboratory for Dependable Distributed Systems holz@i4.informatik.rwth-aachen.de Thorsten Holz Laboratory for Dependable Distributed Systems 21st Chaos Communication

576 views • 57 slides
QUARTER 2018 Mik Mike e Salop Salop Senior Vice President, Investor Relations 2 2 2 Sa

QUARTER 2018 Mik Mike e Salop Salop Senior Vice President, Investor Relations 2 2 2 Sa

FOURTH QUARTER 2018 Mik Mike e Salop Salop Senior Vice President, Investor Relations 2 2 2 Sa Safe e Harbo Harbor This presentation contains certain statements that are forward-looking within the meaning of the Private Securities

610 views • 28 slides
Lee Nuclear Station Overview Chris Fallon Bob Kitchen Paul Snead 1 Duke Energy

Lee Nuclear Station Overview Chris Fallon Bob Kitchen Paul Snead 1 Duke Energy

EXHIBIT DEC-005 Lee Nuclear Station Overview Chris Fallon Bob Kitchen Paul Snead 1 Duke Energy Carolinas Nuclear Fleet McGuire Nuclear Lee Nuclear Station Station Charlotte Spartanburg Oconee Columbia Nuclear Station

326 views • 17 slides
Ephesians Series Lesson #022 March 17, 2019 Dean Bible Ministries www.deanbibleministries.org

Ephesians Series Lesson #022 March 17, 2019 Dean Bible Ministries www.deanbibleministries.org

Ephesians Series Lesson #022 March 17, 2019 Dean Bible Ministries www.deanbibleministries.org Dr. Robert L. Dean, Jr. Hardened Hearts and the Potters Clay Ephesians 1:6; Romans 9:116 Blessed be the God and Father of our Lord Jesus

520 views • 30 slides
Supply Chain optimisation for Hospitality Andrew ONeill MIH Hosp Ho spit ital alit ity

Supply Chain optimisation for Hospitality Andrew ONeill MIH Hosp Ho spit ital alit ity

Supply Chain optimisation for Hospitality Andrew ONeill MIH Hosp Ho spit ital alit ity y Solutions NI utions NI ww www.h .hospit ospital alit itysoluti ysolutionsni onsni.c .com om Introduction With the Hospitality Industry

169 views • 15 slides
CASE MANAGEMENT CERTIFICATION 2016 with with 4 Dr. Beverly O. Ford Dr. Beverly O. Ford

CASE MANAGEMENT CERTIFICATION 2016 with with 4 Dr. Beverly O. Ford Dr. Beverly O. Ford

6/23/2016 WELCOME BACK ILLINOIS FOR THE FINAL CM WEBINAR! Case Management Webinar #4 will start soon 1 CASE MANAGEMENT CERTIFICATION 2016 with with 4 Dr. Beverly O. Ford Dr. Beverly O. Ford President President ASM Associates

219 views • 20 slides
The National Intelligence Model DI Steve Ainscough Lambeth MPS Introduction Lambeth Borough

The National Intelligence Model DI Steve Ainscough Lambeth MPS Introduction Lambeth Borough

The National Intelligence Model DI Steve Ainscough Lambeth MPS Introduction Lambeth Borough (BOCU) Command Kennington Brixton Streatham Police Station Police Station Poliuce Station Lambeth North Lambeth Central Lambeth South

1.15k views • 12 slides
Make Your Life Decisions Now Dont Let Others Make Them For You VIRTUAL SENIOR LAW DAY

Make Your Life Decisions Now Dont Let Others Make Them For You VIRTUAL SENIOR LAW DAY

Make Your Life Decisions Now Dont Let Others Make Them For You VIRTUAL SENIOR LAW DAY OCTOBER 28, 2020 11:00 A.M. PRESENTED BY NORFOLK & PORTSMOUTH BAR ASSOCIATION & SENIOR SERVICES OF SOUTHEASTERN VIRGINIA Presenters M.

673 views • 15 slides
Coalition formation (hedonic) games Jan Bok 16th May 2017 1 Basic definitions Formally, a

Coalition formation (hedonic) games Jan Bok 16th May 2017 1 Basic definitions Formally, a

Coalition formation (hedonic) games Jan Bok 16th May 2017 1 Basic definitions Formally, a hedonic game is a pair ( N, ( i ) i N ) of a finite set N of players (or agents), and, for each player i N a complete (total) and transitive

262 views • 4 slides

More recommend