تحقيق خطة حماية شبكة محلية ذات تجزئة ميكروية باستخدام مفاهيم افتراضية الشبكة والشبكات المعرّفة برمجياً

Legacy computer networks’ security and access rules rely on previously defined segments in the physical networks which usually leads to many, coarse-grained, hard to change security rules. New technologies of network virtualization, programmable switches and Software Defined Network (SDN) allow the use of better approaches for securing networks. This is especially crucial for the network portions that are not segmented, such as LANs, or inside one segment in a data center. We implemented an inside segment, cross cutting security rules on a proposed network using the new previously mentioned technologies. The implemented security rules are designed to be fine-grained, classless, and segment free that could work on multiple levels of the network reference model, or on the host port level inside a LAN at the same time. This was done in order to explore and show the benefits of using Network Virtualization (NV) and (SDN) technologies to achieve micro-fragmented security plans. A security plan scenario was designed in a way that demonstrates multiple network layers security objectives, and cross cutting access rules to multiple network segments. These segments were defined physically, and by using virtual networks’ tags (VLAN). The suggested network were implemented using the Mininet simulation for SDN, and the POX controller after adding the suitable code to realize the suggested security plan. Results show the success of implementation of fine-grained, segments cross-cutting security rules, the ease and flexibility of applying such rules on-line, the dynamicity of it, and its adaptability with any changes applied to the proposed network. تعتمد حماية الشبكات الحاسوبية التقليدية وقواعد النفاذ المستخدمة فيها حالياً على تعريف مسبق لمقاطع ضمن الشبكة الحاسوبية المستهدفة؛والذي عادة ما يقود إلى عدد كبير من قواعد النفاذ ذات الحبحبة الخشنة (Coarse-Grained) والتي تكون غير مرنة في التعامل، ومرتفعة الكلفة لتطبيق التغييرات والتعديلات على الشبكة خلال تطورها وتغييرها مع الزمن. تسمح التقانات الحديثة في الشبكات الحاسوبية مثل تحقيق الافتراضية في الشبكات (NV)، والشبكات المعرّفة برمجياً (SDN) باستخدام مقاربات أفضل لتحقيق قواعد حماية الشبكة وبالأخص على الشبكات المحلية؛ وتمكّن من تحقيق الحماية على مستوى عناصر الشبكة وعلى أكثر من طبقة من طبقات الشبكة المرجعية بدلاً من حدود مقاطعها المعرّفة مسبقاً إما فيزيائياً، أو حتى إن كانت معرّفة عن طريق الشبكة الافتراضية VLAN. تم في هذا البحث تطوير خطة حماية ذات تجزئة ميكروية تخترق عدة مقاطع شبكية معرّفة مسبقاً.هذه المقاربة الجديدة في الحماية لا ترتبط بطبقات الشبكة التقليدية مثل طبقة الشبكة أو طبقة ربط البيانات أو التطبيقات، وتوفّر قواعد حماية مختلفة على مستوى مضيف و/أو بوابة محددة من مضيف. تم تحقيق خطة الحماية على شبكة بسيطة تم تعريفها باستخدام برنامج المحاكاة (Mininet)، الأكثر شهرة عند التعامل مع تقانات الشبكة المعرّفة افتراضياً (SDN)، وتم التحكم بالدفق وقواعد النفاذ عبر استخدام المتحكم البرمجي (POX)، وتم إضافة الترميزات المناسبة للتحكم بقواعد النفاذ المختلفة. وأظهرت النتائج نجاح عمليات الحماية الميكروية الجزئية والمقدرة العالية لتحديث وتعديل الخطط الأمنية بفاعلية وأداء عال.