Progetto ed implementazione di una funzione virtuale di sicurezza in rete per il filtraggio di pacchetti in ambiente NFV = Design and implementation of a virtual network security function for packet filtering in a NFV environment

Progetto ed implementazione di una funzione virtuale di sicurezza in rete per il filtraggio di pacchetti in ambiente NFV Le moderni reti di telecomunicazione presentano un gran numero di dispositivi hardware di proprietà utilizzati per fornire agli utenti servizi di vario tipo in base alle esigenze. La connettività è ormai diventata un requisito che deve essere garantito ad un numero di dispositivi sempre più ampio e sempre più eterogeneo. Questo aspetto ha impatto sul campo della sicurezza informatica. Con l’avanzare del tempo infatti, si ha un numero crescente di dispositivi connessi che fornisce una superficie di attacco sempre più vasta. Inoltre i progressi apportati in campo tecnologico mettono a disposizione dei criminali informatici risorse di attacco sempre più all’avanguardia. Ciò comporta la richiesta di un continuo adattamento dei servizi di sicurezza offerti. Esso risulta spesso lento e costoso a causa della necessità di installare nuove apparecchiature hardware, oltre a comportare difficoltà nella ricerca di spazio disponibile per collocare nuovi dispositivi. In tale contesto, viene introdotto il paradigma Network Function Virtualization (NFV) , il quale porta un concetto di rete orientato al software tramite l’utilizzo della virtualizzazione delle funzioni. I blocchi fisici classici vengono sostituiti dalle Virtual Network Function (VNF) in grado di essere eseguite su hardware generico, riducendo l’utilizzo di dispositivi specifici alla singola funzione. Tale aspetto viene integrato con il concetto di Cloud Computing, il quale permette di allocare risorse su richiesta ed in modo distribuito. Ciò permette di ottenere una gestione della rete efficiente e con riutilizzo delle capacità a disposizione. Nel lavoro di tesi si è voluto contribuire a tale scenario implementando una funzione virtuale che sia in grado di eseguire il filtraggio dei pacchetti in ambiente NFV. Come tecnologia per la realizzazione del packet filter è stato utilizzato il software open-source "PF". Per essa sono stati progettati e sviluppati moduli che permettano l’inizializzazione della funzione realizzata in modo da essere utilizzata in ambito NFV. Tra le problematiche relative alle funzioni di sicurezza rientra quello relativo alla configurazione di tali servizi. A tal proposito durante la tesi è stato introdotto un approccio basato su politiche di sicurezza atto a definire una metodologia per facilitare la configurazione delle funzioni utilizzate. Nello studio svolto si sono individuati dei linguaggi di astrazione delle politiche che partano da definizioni di alto livello fino ad arrivare alla configurazione a basso livello. Tale approccio ben si integra nel mondo NFV, in quanto riesce a definire le politiche con un certo livello di astrazione indipendente dalla tecnologia utilizzata, permettendo una configurazione agnostica dall’implementazione scelta. Per la gestione delle regole del packet filter viene adottato tale approccio. A tal proposito viene implementato all’interno della funzione di rete un modulo che sia in grado di ricevere le richieste nel linguaggio di astrazione analizzato e di trasformarle in configurazioni di basso livello per la tecnologia PF. Per verificare la funzione di rete virtuale realizzata viene introdotto un ambiente che sia in grado di simulare il contesto NFV, tramite il quale si procede con la validazione della VNF realizzata e con l’esecuzione di test per la valutazione delle performance raggiunte.