Application Layer Network Address Translation

Loading...
Thumbnail Image
Journal Title
Journal ISSN
Volume Title
School of Electrical Engineering | Licentiate thesis
Date
2022
Major/Subject
Mcode
Degree programme
Language
en
Pages
cover+10+75
Series
Abstract
The most important issues facing the Internet are lack of security and address space exhaustion. Flooding attacks are easy today due to for example the design of transmission control protocol (TCP). QUIC may offer some remedy for new applications but it is unlikely to replace TCP in all legacy applications. Most modern TCP endpoints have support for SYN cookies, but middle-points like firewalls may not be able to protect themselves. Address space of Internet protocol version 4 (IPv4) is not sufficient to give even one address to every Internet user today. At the same time, Internet of Things (IoT) is gaining foothold, meaning the device count is expected to exceed Internet user count by orders of magnitude. To counter these problems, network address translation (NAT) has emerged as a solution. However, NAT has poor characteristics when used on the server side. In this thesis, SYN cookies and their middle-point implementations within SYN proxy are refined compared to the state of the art. One result of the thesis is a multithreaded user space TCP SYN proxy that is able to protect servers and legacy firewalls against SYN flooding attacks. It is also able to act as the protecting component of a novel firewall called Realm Gateway (RGW) that uses standard domain name system (DNS) queries for NAT traversal. Additionally, an application layer NAT (AL-NAT) technique allowing NAT traversal for protocols where the client sends the first message containing host name of the server is defined and implemented. As a lightweight implementation of AL-NAT, a component supporting AL-NAT without security policy is provided. Finally, for protocols such as secure shell (SSH) that are incompatible with AL-NAT, carrier grade TCP proxy (CG-TP) is implemented to work along with AL-NAT and verified to work with OpenSSH and other applications with similar characteristics.

Suurimmat Internetin ongelmat tänä päivänä ovat tietoturvan puute ja osoiteavaruuden ehtyminen. Palveunestohyökkäykset ovat helppoja tänä päivänä johtuen protokollan transmission control protocol (TCP) toteutuksesta. QUIC saattaa tarjota parannuksia uusille sovelluksille mutta ei korvanne TCP:tä kaikissa vanhoissa sovelluksissa. Useimmat modernit TCP-toteutukset sisältävät tuen SYN cookieille, mutta keskipisteiden toteutukset kuten palomuurit eivät välttämättä kykene puolustamaan itseään. Protokollan Internet protocol versio 4 (IPv4) osoiteavaruus ei riitä antamaan edes yhtä osoitetta jokaiselle Internetin käyttäjälle tänään. Samanaikaisesti esineiden Internet saa jalansijaa, tarkoittaen että Internetin laitemäärän odotetaan kasvavan kertaluokkia suuremmaksi kuin Internetin käyttäjämäärän. Näiden ongelmien ratkaisuun verkko-osoitteiden muunnos on ilmestynyt ratkaisuksi. Kuitenkin verkko-osoitteiden muunnoksella on huonoja ominaisuuksia, jos sitä käytetään palvelinpuolella. Tässä lisensiaatintyössä SYN cookieita ja niiden keskipistetoteutuksia SYN proxyssä kehitetään eteenpäin. Yksi työn tulos on monisäikeinen käyttäjäosoiteavaruudessa pyörivä TCP SYN proxy, joka osaa suojata palvelimia ja palomuureja SYN flood -palvelunestohyökkäyksiltä. Se voi myös toimia suojaavana komponenttina realm gatewaylle (RGW), joka on uusi palomuuri joka käyttää tavallisia domain-nimikyselyitä verkko-osoitteiden muunnoksen läpäisyyn. Lisäksi sovellustason verkko-osoitteiden muunnos (application layer network address translation, AL-NAT) määritellään ja toteutetaan. AL-NAT toimii protokollille joissa asiakasohjelma lähettää ensimmäisen viestin sisältäen palvelinkoneen nimen. Kevyenä AL-NAT toteutuksena tarjotaan komponentti, joka tukee AL-NAT:ia muttei minkäänlaista tietoturvasäännöstöä. Lopuksi protokollille, kuten secure shell (SSH), jotka eivät toimi AL-NAT:n kanssa tarjotaan operaattoritason TCP proxy (carrier grade TCP proxy, CG-TP). CG-TP:n varmistetaan toimivan esimerkiksi OpenSSH-etäkäyttöohjelman kanssa.
Description
Supervisor
Kantola, Raimo
Thesis advisor
Kantola, Raimo
Keywords
transmission control protocol, network address translation, SYN proxy, application layer gateway, transmission control protocol, verkko-osoitteiden muunnos, SYN proxy, sovellustason yhdyskäytävä
Other note
Citation