Trusted Execution Environments for Open vSwitch : A security enabler for the 5G mobile network

Elbashir, Khalid

January 2017

The advent of virtualization introduced the need for virtual switches to interconnect virtual machines deployed in a cloud infrastructure. With Software Defined Networking (SDN), a central controller can configure these virtual switches. Virtual switches execute on commodity operating systems. Open vSwitch is an open source project that is widely used in production cloud environments. If an adversary gains access with full privileges to the operating system hosting the virtual switch, then Open vSwitch becomes vulnerable to a variety of different attacks that could compromise the whole network. The purpose of this thesis project is to improve the security of Open vSwitch implementations in order to ensure that only authenticated switches and controllers can communicate with each other, while maintaining code integrity and confidentiality of keys and certificates. The thesis project proposes a design and shows an implementation that leverages Intel® Safe Guard Extensions (SGX) technology. A new library, TLSonSGX, is implemented. This library replaces the use of the OpenSSL library in Open vSwitch. In addition to implementing standard Transport Level Security (TLS) connectivity, TLSonSGX confines TLS communication in the protected memory enclave and hence protects TLS sensitive components necessary to provide confidentiality and integrity, such as private keys and negotiated symmetric keys. Moreover, TLSonSGX introduces new, secure, and automatic means to generate keys and obtain signed certificates from a central Certificate Authority that validates using Linux Integrity Measurements Architecture (IMA) that the Open vSwitch binaries have not been tampered with before issuing a signed certificate. The generated keys and obtained certificates are stored in the memory enclave and hence never exposed as plaintext outside the enclave. This new mechanism is a replacement for the existing manual and unsecure procedures (as described in Open vSwitch project). A security analysis of the system is provided as well as an examination of performance impact of the use of a trusted execution environment. Results show that generating keys and certificates using TLSonSGX takes less than 0.5 seconds while adding 30% latency overhead for the first packet in a flow compared to using OpenSSL when both are executed on Intel® CoreTM i7-6600U processor clocked at 2.6 GHz. These results show that TLSonSGX can enhance Open vSwitch security and reduce its TLS configuration overhead. / Framkomsten av virtualisering införde behovet av virtuella växlar för att koppla tillsammans virtuella maskiner placerade i molninfrastruktur. Med mjukvarubaserad nätverksteknik (SDN), kan ett centralt styrenhet konfigurera dessa virtuella växlar. Virtuella växlar kör på standardoperativsystem. Open vSwitch är ett open-source projekt som ofta används i molntjänster. Om en motståndare får tillgång med fullständiga privilegier till operativsystemet där Open vSwitch körs, blir Open vSwitch utsatt för olika attacker som kan kompromettera hela nätverket.  Syftet med detta examensarbete är att förbättra säkerheten hos Open vSwitch för att garantera att endast autentiserade växlar och styrenheter kan kommunicera med varandra, samtidigt som att upprätthålla kod integritet och konfidentialitet av nycklar och certifikat. Detta examensarbete föreslår en design och visar en implementation som andvändar Intel®s Safe Guard Extensions (SGX) teknologi. Ett nytt bibliotek, TLSonSGX, är implementerat. Detta bibliotek ersätter biblioteket OpenSSL i Open vSwitch. Utöver att det implementerar ett standard “Transport Layer Security” (TLS) anslutning, TLSonSGX begränsar TLS kommunikation i den skyddade minnes enklaven och skyddar därför TLS känsliga komponenter som är nödvändiga för att ge sekretess och integritet, såsom privata nycklar och förhandlade symmetriska nycklar. Dessutom introducerar TLSonSGX nya, säkra och automatiska medel för att generera nycklar och få signerade certifikat från en central certifikatmyndighet som validerar, med hjälp av Linux Integrity Measurements Architecture (IMA), att Open vSwitch-binärerna inte har manipulerats innan de utfärdade ett signerat certifikat. De genererade nycklarna och erhållna certifikat lagras i minnes enklaven och är därför aldrig utsatta utanför enklaven. Denna nya mekanism ersätter de manuella och osäkra procedurerna som beskrivs i Open vSwitch projektet. En säkerhetsanalys av systemet ges såväl som en granskning av prestandaffekten av användningen av en pålitlig exekveringsmiljö. Resultaten visar att använda TLSonSGX för att generera nycklar och certifikat tar mindre än 0,5 sekunder medan det lägger 30% latens overhead för det första paketet i ett flöde jämfört med att använda OpenSSL när båda exekveras på Intel® Core TM processor i7-6600U klockad vid 2,6 GHz. Dessa resultat visar att TLSonSGX kan förbättra Open vSwitch säkerhet och minska TLS konfigurationskostnaden.

Open vSwitch

SDN

Trusted Execution Environment

SGX

Cloud Computing

Open vSwitch

SDN

mjukvarudefinierade nätverk

SGX

molntjänster

Communication Systems

Kommunikationssystem

Implementation and Evaluation of In- Band Network Telemetry in P4

Joshi, Mandar

January 2021

As computer networks grow more complex as the number of connected devices increases, the monitoring and management of such networks also increases in complexity. Current network monitoring tools such as NetFlow, sFlow, ping, traceroute, and tcpdump prove to be both tedious and offer low accuracy when reporting the network state. With the recent emergence in programmable data plane switches, a new framework was created by the P4 Applications Working Group named In- Band Network Telemetry (INT). INT enables network programmers to obtain fine- grained telemetry information directly from the data plane without involvement from the control plane. This project implements INT in hardware Intel Tofino switches and provides a comparison between the three different INT modes of operations (INTXD, INTMX and INTMD) as defined in the framework specifications. The results show the effects of INT when implemented in the data plane, providing the ability to monitor the path a packet took through the network (switch ingress and egress ports), the hop latency, queue occupancy and queuing latency. However, INT can increase the overhead in both the packet and the bandwidth of the network, reducing application throughput. Measures to counteract this are discussed. An earlier implementation of a standalone telemetry report monitoring system was used and analysed, and it allowed for telemetry reports to be reported and visualised at a rate of up to 50 Kpps without any event detection. The results are applied to a Saab 9LV CMS network, and it is concluded that INT allows network operators to obtain a precise overview of the network state, allowing for easier network troubleshooting. / När datornätverk växer sig i komplexitet när antalet anslutna enheter ökar, metoder för övervakningen och hanteringen av sådana nätverk ökar också i komplexitet. Nuvarande nätverksövervakningsverktyg som NetFlow, sFlow, ping, traceroute och tcpdump visar sig vara både besvärliga och ger låg noggrannhet när man rapporterar nätverkstillståndet. Med den framväxten av programmerbara dataplan och programmerbara switchar skapades ett nytt ramverk av P4 Applications Working Group som heter INT. INT gör det möjligt för nätverksprogrammerare att erhålla finkornig telemetriinformation direkt från dataplanet utan inblandning från kontrollplanet. Detta projekt implementerar INT i Intel Tofino- switchar och ger en jämförelse mellan de tre olika INT- driftsätten (INTXD, INTMX och INTMD) enligt definitionen i specifikationerna. Resultaten visar effekterna av INT när det implementeras i dataplanet, inklusive möjligheten att övervaka vägen som ett paket tog genom nätverket (både ingångs- och utgångsportar på switcharna), hop- latens, köbeläggning och kö- latens. Dock kan INT öka overhead i både paketet och bandbredden i nätverket, vilket minskar applikationsgenomströmningen. Åtgärder för att motverka detta diskuteras. En tidigare implementering av ett fristående övervakningssystem för telemetrirapporter användes och analyserades, och det var möjligt att rapportera och visualisera telemetirapporter med en hastighet på upp till 50 Kpps utan någon händelsedetektering. Resultaten tillämpas på ett Saab 9LV CMS- nätverk och man drar slutsatsen att INT tillåter nätoperatörer att få en noggrann översikt över nätverkstillståndet, vilket möjliggör enklare nätverksfelsökning.

In- Band Network Telemetry

P4

Programmable Data Plane

Software- Defined Networking

Network Monitoring/Management

Intel Tofino

Nätverkstelemetri

P4

Programmerbar Dataplan

Mjukvarudefinierade Nätverk

Nätverksövervakning/Hantering

Intel Tofino

Computer and Information Sciences

Data- och informationsvetenskap