content(Story): create 2024-09-11-news-congratulations-dr-beytullah-yigit/index (#66)

Author: doganulus

assets/uploads/beytullah-yigit-doktora.png

@@ -0,0 +1,19 @@
+---
+type: news
+title: Congratulations Dr. Beytullah Yiğit!
+description: Beytullah Yiğit has successfully defended her PhD thesis
+featured: true
+date: 2024-06-03
+thumbnail: uploads/beytullah-yigit-doktora.png
+---
+## A Security Framework for Software-Defined Networks
+
+## Abstract
+
+Software-Defined Networking (SDN) emerges as a transformative technology,
+offering the flexibility and scalability crucial for modern digital services.
+While SDN presents opportunities to address security shortcomings in
+traditional networks, it also introduces new vulnerabilities, particularly
+in data and control plane communications.
+
+This thesis proposes a security framework to mitigate these risks, focusing on securing data exchange among SDN entities (controllers, switches, and applications). In our model, Transport Layer Security (TLS) can be activated between SDN nodes to ensure confidentiality, integrity, authentication, and authorization, leveraging specialized certificate fields. Additionally, an integrated security module enhances communication security by enforcing Access Control Lists (ACLs), hardening TLS configuration, and mitigating the risk of private key hijacking. From an availability perspective, the limited flow table capacity of switches leads to table saturation attacks. Besides, the disaggregated and layered architecture of SDN is susceptible to time-based fingerprinting attacks. To address this, we introduce an automated attacker tool that utilizes probing-based measurements for fingerprinting. This tool can discern network types (SDN or traditional), extract flow rule timeout values (hard and idle), determine flow table utilization rate, size, and replacement algorithm. Armed with this information, the attacker can execute intelligent saturation attacks. Furthermore, we propose a lightweight defense mechanism that randomizes rule timeouts and proactively deletes flow rules based on network status. Through comprehensive simulations under various network conditions, we demonstrate the efficacy of our proposed techniques, achieving superior success rates across diverse scenarios.

content/news/2024-09-11-news-congratulations-dr-beytullah-yigit/index.en.md

@@ -0,0 +1,15 @@
+---
+type: news
+title: Tebrikler Dr. Beytullah Yiğit!
+description: Beytullah Yiğit doktora tezini başarıyla savundu
+featured: true
+date: 2024-06-03
+thumbnail: uploads/beytullah-yigit-doktora.png
+---
+## Yazılım Tanımlı Ağlar İçin Bir Güvenlik Çerçevesi
+
+## Özet
+
+Yazılım Tanımlı Ağlar (SDN), modern dijital hizmetler için hayati önem taşıyan esneklik ve ölçeklenebilirlik sunan dönüştürücü bir teknoloji olarak ortaya çıkmaktadır. SDN, geleneksel ağlardaki güvenlik eksikliklerini ele alma fırsatı sunsa da, özellikle veri ve kontrol düzlemi iletişimlerinde yeni güvenlik açıkları da getirmektedir.
+
+Bu tez, bu riskleri hafifletmek için bir güvenlik çerçevesi önermekte olup, odak noktası SDN varlıkları (kontrolörler, anahtarlar ve uygulamalar) arasındaki veri değişimini güvence altına almaktır. Modelimizde, Transport Layer Security (TLS), özel sertifika alanlarını kullanarak gizlilik, bütünlük, kimlik doğrulama ve yetkilendirme sağlamak için SDN düğümleri arasında etkinleştirilebilir. Ayrıca, entegre bir güvenlik modülü, Erişim Kontrol Listeleri (ACL'leri) uygulayarak, TLS yapılandırmasını güçlendirerek ve özel anahtar gaspı riskini azaltarak iletişim güvenliğini artırmaktadır. Erişilebilirlik açısından, anahtarların sınırlı akış tablo kapasitesi, tablo doyma saldırılarına yol açmaktadır. Ayrıca, SDN'nin dağıtılmış ve katmanlı mimarisi, zaman tabanlı parmak izi saldırılarına karşı hassastır. Bunu ele almak için, parmak izi için sondalama tabanlı ölçümler kullanan otomatik bir saldırgan aracı sunuyoruz. Bu araç, ağ türlerini (SDN veya geleneksel) ayırt edebilir, akış kuralı zaman aşımı değerlerini (sabit ve boşta) çıkarabilir, akış tablosu kullanım oranını, boyutunu ve değiştirme algoritmasını belirleyebilir. Saldırgan bu bilgiyle birlikte akıllı doyma saldırıları gerçekleştirebilir. Ayrıca, kural zaman aşımını rastgele hale getiren ve ağ durumuna göre akış kurallarını proaktif olarak silen hafif bir savunma mekanizması öneriyoruz. Çeşitli ağ koşullarında kapsamlı simülasyonlar yoluyla, önerilen tekniklerimizin etkinliğini göstermekte, çeşitli senaryolarda üstün başarı oranları elde etmekteyiz.