Authentication and accounting framework for SDN controller

Abstract

Hoje em dia, a administração de redes tem se tornado mais fácil devido aos avanços em tecnologias como Software Defined Networking (SDN), oferecendo mais flexibilidade nestas, o que justifica o aumento da sua utilização em computação cloud. No entanto, SDN mostrou-se vulnerável a diferentes tipos de ataques, o que é preocupante uma vez que um controlador SDN centraliza informação da rede. Para melhorar a gestão e segurança dos utilizadores , vários controladores SDN começaram a acrescentar serviços de Autorização, Autenticação e Accouting (AAA), que incluem a integração de protocolos como o OAuth 2.0. No entanto, a autenticação básica utilizada nestes serviços (ex: password) ou a utilização do OAuth 2.0 com basic tokens, que são username e palavra-passe codificados na Base64, continuam a ser extremamente vulneráveis a vários exploits.O principal objectivo deste trabalho é planear e avaliar uma framework com mecanismos de autenticação e accouting num controlador SDN. Começámos por analisar qual o controlador SDN a ser escolhido para esta integração, OpenDaylight, bem como o mecanismo de autenticação, OIDC. Introduzimos também uma ideia de níveis de confiança, através da informação de contexto de um dispositivo do utilizador, cuja informação é acrescentada nas claims do OIDC e criámos um algoritmo para verificar a informação de contexto no dispositivo OP. Foi feito um procedimento experimental para avaliar a adição de informação de contexto em OIDC, que mostrou bons resultados apresentando apenas um pequeno custo no desempenho global de um fluxo de autenticação OIDC.Para começar a desenvolver a framework sugerida, foi proposta e descrita uma arquitectura para a framework, destacando os seus elementos-chave: o controlador OpenDaylight, o filtro AAA, o Relying Party (RP), e o Keycloak. Juntamente com a introdução do componente RP no controlador, discutimos também as configurações do Keycloak e as modificações feitas no filtro AAA do controlador. Finalmente, foi preparado um procedimento experimental para obter métricas de modo a analisar a framework, durante o processo de autenticação, renovação de um token, verificação de um token, e a analisar a segurança e funcionalidade dos roles e informação de contexto no OpenDaylight. Também comparámos o desempenho da autenticação no OpenDaylight orginal e na framework proposta. Os resultados obtidos mostraram um pequeno custo no desempenho global da autenticação com OIDCe informação de contexto no OpenDaylight, mas um aumento substancial da segurança no controlador.

These days, network administration has become easier because of advances in technologies such as Software Defined Networking (SDN), which offers more flexibility, therefore justifying the increase of its usage in cloud computing. However, SDN showed to be vulnerable to different attacks, which is concerning since SDN centralizes network information. To improve user management and security, several SDN controllers began to add Authorization, Authentication, and Accounting (AAA) services, which include the integration of protocols such as OAuth 2.0. Nevertheless, the basic authentication used in these services (e.g. passwords) or theuse of OAuth 2.0 with basic tokens, which are Base64-encoded username and password, are still extremely vulnerable to various exploits.The main objective of this work is to design and evaluate a framework with authentication and accounting mechanisms in a SDN controller. We started by analyzing which SDN controller should be chosen for this integration - OpenDaylight, as well as the identification and authentication approach - OpenID Connect (OIDC). We introduced the concept of trust levels, through the context information of a user’s device, provided in the form of OIDC claims and created an algorithm to verify the context information in the OpenID Provider (OP). An experimental procedure was done to evaluate the addition of context information in OIDC, which showed good results only presenting a small additional cost in the overall performance of a OIDC authentication flow.To begin developing the framework suggested, an architecture for the framework was proposed and described, highlighting its key elements: the OpenDaylight controller, the AAA filter, the Relying Party (RP), and Keycloak. Along with the introduction of the component RP in the controller, we also discuss Keycloak setups and modifications made to the controller’s AAA filter. Finally, we prepared an experimental setup to retrieve metrics to analyze the framework, during the authentication process, renewal of a token, verification of a token, and to analyze the security and functionality of the roles and context information in OpenDaylight. We also compared the performance of authenticating in the standard OpenDaylight and in the framework proposed. The results obtained showed a small cost in the overall performance of authentication with OIDC and context information inOpenDaylight, but a substantial increase in security in the controller.