SCION architecture – A study
Μελέτη της αρχιτεκτονικής SCION
Keywords
Next generation networks ; Network architecture ; NREN ; Networks ; Cyber security ; Cryptography ; R-PKI ; PKI ; SCIERA ; SCION ; SCION architecture ; SCION education ; SCI-EDAbstract
This thesis deals with the new network architecture based on the secure transfer of information that is developed in Europe, SCION Architecture. SCION architecture is aiming to replace the existing network infrastructure which is based on the Border Gateway Protocol (BGP) by offering secure and encrypted traffic for the data plane from a secured control plane using source routing and Public Key Infrastructure (PKI). At the same time, it introduces the new concept of Isolation Domains (ISDs), which are logical groups of Autonomous Systems (AS), offering the possibility of connecting to other ASes and inserting them into an Isolation Domain (ISD).
Through ISDs it is possible to trust the heterogeneity, the transparency in the security relationships between AS and the network paths that unite them. With SCION the routing process can be isolated from heterogeneous factors such as cyber-attacks, and the scalability of routing can be improved by separating it into two processes; one within the ISD itself and one between the cooperating ISDs.
In particular, the SCION architecture offers a secure connection to the Internet without affecting the existing BGP connections of customers that do not participate in the Secure Backbone that SCION creates. Using it can prevent attacks based on BGP’s vulnerabilities such as BGP hijacking, which intercepts and then redirects normal BGP traffic to wrong geographic locations. Furthermore, SCION can significantly reduce, if not completely eliminate, Distributed Denial of Service (DDoS) attacks.
Our purpose is to study this new architecture in depth and to arrive at the creation of the first SCION Attachment Point node in Greece for the Academic and Research Network.
Abstract
Η παρούσα διπλωματική εργασία ασχολείται με την νέα δικτυακή αρχιτεκτονική με βάση την ασφαλή μεταφορά της πληροφορίας που αναπτύσσεται στην Ευρώπη, την SCION Architecture. Η αρχιτεκτονική SCION έχει σκοπό να αντικαταστήσει την υπάρχουσα δικτυακή υποδομή που βασίζεται στο Border Gateway Protocol (BGP) προσφέροντας ασφαλή και κρυπτογραφημένη κίνηση για το data plane από ένα secured control plane με χρήση source routing και PKI. Ταυτόχρονα συστήνει την νέα λογική των Isolation Domains (ISDs), τα οποία αποτελούν λογικά group αυτόνομονων συστημάτων (AS), προσφέροντας τη δυνατότητα σύνδεσης σε άλλα AS και την εισαγωγή τους στο ISD. Μέσω των ISDs είναι εφικτή η εμπιστοσύνη στην ετερογένεια, τη διαφάνεια στις σχέσεις ασφαλείας μεταξύ των AS και στα δικτυακά μονοπάτια που τους ενώνουν. Με το SCION μπορούμε να απομονώσουμε την διαδικασία δρομολόγησης από ετερογενείς παράγοντες όπως είναι οι κυβερνοεπιθέσεις, και να βελτιωθεί η επεκτασιμότητα της δρομολόγησης μέσω του διαχωρισμού της σε δύο διεργασίες· μία μέσα στο ίδιο το ISD και μια μεταξύ των συνεργαζόμενων ISDs.
Συγκεκριμένα, με την αρχιτεκτονική SCION προσφέρεται ασφαλής σύνδεση στο Διαδίκτυο χωρίς να επηρεάζονται οι υπάρχουσες BGP διασυνδέσεις πελατών που δεν συμμετέχουν στο Secure Backbone που δημιουργεί η SCION. Με τη χρήση της μπορούν να αποφευχθούν επιθέσεις και κενά ασφαλείας του BGP όπως είναι το BGP hijacking, που υποκλέπτει και ανακατευθύνει κανονική BGP κίνηση ενός peering σε λάθος τοποθεσίες, και σημαντική μείωση – αν όχι εξάλειψη – των Distributed Denial of Service (DDoS) attacks.
Σκοπός μας είναι να μελετήσουμε σε βάθος την νέα αυτή αρχιτεκτονική και να καταλήξουμε στη δημιουργία του πρώτου κόμβου SCION στην Ελλάδα για το Ακαδημαϊκό και Ερευνητικό Δίκτυο.