Author:Kyntölä, Tommi Juhani
Title:Transport layer VPN cluster for electronic gaming machines
Publication type:Master's thesis
Publication year:2010
Pages:[10] + 63      Language:   eng
Department/School:Informaatio- ja luonnontieteiden tiedekunta
Main subject:Ohjelmistotekniikka   (T-106)
Supervisor:Malmi, Lauri
Instructor:Koskinen, Kimmo
TCP forwarding
TCP edelleenohjaus
Abstract (eng): Raha-automaattiyhdistys operates almost 20 000 gaming machines in 9 000 different locations.
Those local networks are very heterogeneous.
The currently used IPSec based VPN solution has problems with the heterogeneity.
There are many firewall configurations problems that have been difficult to detect, analyze and fix mostly because of practical reasons.
The old system is also lacking in many areas of high availability.

The purpose of this work is to design and implement a replacement system to overcome existing problems and meet new demands imposed by new features to the gaming machines.
Most notably the electronic cash has raised the requirements of the network availability considerably.

A set of criteria were developed from the existing problems and requirements.
Those criteria were then used to select new technological approach.
The chosen solution is the transparent TCP forwarding over a secure SSL connection.
A somewhat novel approach is to dynamically use Linux net filter address translations to redirect TCP traffic to local sockets for forwarding.
That makes the solution transparent for the tunnelled connections like the network layer VPNs would have been.
The design result is a distributed application layer cluster of VPN servers that provide high availability VPN services to the gaming machines.
Abstract (fin): Raha-automaattiyhdistys operoi lähes 20 000 peliautomaattia 9 000 eri toimipaikassa.
Toimipaikkojen verkot ovat erittäin heterogeenisiä.
Nykyisellä IPsec:iä käyttävällä VPN-ratkaisulla on ongelmia heterogeenisyydestä aiheutuen.
On kohdattu paljon palomuurikonfiguraatio-ongelmia, jotka ovat olleet lähinnä käytännön syistä vaikeita havaita ja korjata.

Tämän työn tarkoitus on suunnitella ja toteuttaa uusi korvaava systeemi, jolla päästään eroon nykyisistä ongelmista sekä pystytään vastaamaan uusiin vaatimuksiin peliautomaattien uudistuessa.
Etenkin sähköinen raha on nostanut verkon vaatimuksia huomattavasti.

Joukko kriteereitä kehitettiin olemassa olevista ongelmista sekä vaatimuksista.
Kriteerien avulla valittiin uusi teknologinen ratkaisu.
Valittu ratkaisu on läpinäkyvä TCP-edelleenohjaus SSL-yhteyden ylitse.
Uudehko lähestymistapa on käyttää dynaamisesti Linuxin palomuuriominaisuuksia TCP-liikenteen uudelleenohjaamiseen paikallisiin pistokkeisiin.
Paikallisista pistokkeista kyseinen liikenne voidaan edelleen ohjata tietoturvallisesti keskitetyille palvelimille.
Paikallisen uudelleenohjaamisen avulla ratkaisu on läpinäkyvä tunneloitujen yhteyksien näkökulmasta, kuten vastaavat verkkokerroksen VPN-ratkaisutkin olisivat.
Suunnittelun tulos on hajautettu sovellustason VPN-palveluklusteri, joka tarjoaa korkean saatavuuden (eng. high availability) VPN-palvelut peliautomaateille.
INSSI record number: 41316
