소프트웨어 정의 네트워킹의 네트워크 보안 (Network Security in the New Paradigm of Software Defined Networking( SDN ))

SDN의 새로운 패러다임속 네트워크 보안

=================================

contents

- SDN Intro

- SDN Research(Security)

- SDN의 보안 문제

- SDN의 보안 애플리케이션

- Summary and Future work

 =================================

1. SDN Intro
(1) 배경
전통적인 네트워크 디바이스는 두 개로 구성되어 있음
- Control path(plane) - 모듈 결정 (예를들어 라우팅)
- Data path(plane) - 모듈로 패킷 포워딩
경직된 네트워크
- 많은 복잡한 기능들이 infrastructure에 들어가 있다.(OSPF, BGP, multicast, NAT, firwalls, MPSLS 등등..)
기존 네트워크 장비들의 문제점
- Control plane이 너무 복잡하다. (복잡한 S/W와 ASIC)
- Control plane이 closed platfrom (특정 벤더들이 독점)
- 수정하기 어렵다.(거의 불가 하다)
-> 이러한 이유로 Control plane을 data plane으로부터 분리해 SDN을 제안했다.
(2) SDN
- 세가지 계층이있다.
Control path : ( Application layer, Control layer )
Application layer : Application part, Implements logic
Contorl layer : Kernel part, Runs applications
Data path : Infrastructure layer – 네트워크 스위치나 라우터
장점
- 프로그램 네트워크, 동적 네트워크 제어, 쉬운 기능 추가, 새로운 네트워크 구조 생성
단점
- 성능 문제( data path와 control path 사이의 추가적인 round trip)
- 현재 도입기로 보안 문제와 다른 이슈들이 존재

(3) SDN 연구
Hot topics
- 네트워크 관리, 네트워크 모니터링과 측정, 네트워크 아키텍쳐 디자인, 네트워크 프로그래밍 언어
- 2012년에 주요 네트워크 컨퍼런스와 워크샵에 SDN에 관련한 40개의 논문이 발표됐다.(SIGCOMM, HotNet, NSDI, HotSDN)
Security
- 2개의 주요 이슈가 있음.
- SDN에서의 보안이슈
- 룰 충돌, 동적 플로우 터널링, flooding 공격, 애플리케이션 인증
- SDN의 보안 애플리케이션
- 네트워크 보안 장비와의 연동(보안장비의 효율적인 사용을 위한 프레임 워크)
- SDN에서 실행되는 보안 애플리케이션 제작(보안 애플리케이션 제작을 위한 프레임워크)

2. Security Issue
- 보안문제가 일어나는 이유 : SDN이 성숙기가 아님.
(1) Flow Rule Conflict
- 호스트 A에서 호스트 B로 전달되는 모든 패킷을 block 또는 모두 전달
(2) 동적 플로우 터널링
➀ 보안 정책을 회피할 수 있음. ( 악의적인 또는 버그가 있는 애플리케이션이 패킷 헤더를 바꿈)
➁ A->C : Replace A with D / D->C: Replace C with B / D -> B:Forward
➂ 해결방법
- FortNox(SIGCOMM-HotSDN 2012)
- OpenFlow flow 룰들의 정책 충돌을 탐지
-> flow rule의 조건이 보안 정책을 위반하는지 체크
-> 만약 여러개의 조건이 있다면, 모든 combinations을 찾음.
(A,D) -> (C, B) >> A->C, A->B, D->C, D->B
- 공헌
- SDN의 보안구멍을 나타낸 첫 번째 논문
- Bigswitch가 이 기능을 그들의 컨트롤러에 포함하기로 결정했음.
- Flover( ICC 2013)
- FortNOX의 확장판
- 탐지룰이 정형화됨( 위반하는 경우를 찾기위해 model checking을 사용함)
- 공헌 : 동적 터널링 공격을 탐지하기 위해 model checking을 사용한 첫 번째 작업
(3) Dynamic Flow Tunneling
- 진짜로 걱정하는 문제임.

SDN의 보안 애플리케이션
SDN 기술은 네트워크 보안을 만들어 준다.
why?
- 효율적인 탐색을 위한 보안 미들 박스와의 연동
- 보안 미들 박스들을 대체할수있음.
- 동적인 보안 컨트롤 서비스가 가능
어떻게?
- 기존의 보안 장비들과의 협력(보안을 생각한 라우팅)
- SDN 네트워크 보안 애플리케이션 제작 ( 네트워크 스캔 탐지도구, 디도스 탐지도구)
➀ Security Aware Routing
- 도메인 문제 : 비록 네트워크 보안 장비를 설치하더라도 클라우드 네트워크를 보호하는 것이 쉽지가 않음.
- 왜? : 내부에서 발생하는 공격 -> 대부분의 네트워크 보안 장비는 outside로부터 들어오는 트래픽을 탐지
동적 configuration -> VM migration, 네트워크 설정 변경, 어디에 보안 장비를 설치해야 하나?
- 해결책 : CloudWatcher(ICNP-NPSec 2012) -> 새로운 라우팅 알고리즘을 제시, 특정 네트워크 보안 장비는 특정 네트워크 흐름을 모니터링 할 수 있다는 것을 증명함.