새로운 라우팅 알고리즘
- multipath naive
- 최단 경로
- Multipath shortest
- Shortest inside
기본 라우팅 개요 ( Not CloudWatcher's idea)
S:start node, E: end node, R: router, C:security device
- 시작 호스트와 끝 호스트간 최단경로를 찾음.
- 경로 S -> R1 -> R5 -> R6 -> E
문제점
- 보안 장비 C(R4)를 경유하지 않음.
Multipath Shortest
- multipath naive의 향상된 버전
- two phase
* 최단경로 찾기(P1)
- S->R1->R5->R6->E
*경로 P1과 R4 사이의 최단 경로 라우터 찾기.
SDN의 보안 애플리케이션
- 보안 기능이 SDN의 애플리케이션이 될 수 있음.
- 방화벽, DDOS detection, Scan detection, Reflector net, Tarpit, Dynamic Quarantine, and more....
Challenges
- SDN에서 보안 앱들을 만들기 쉽지 않음.
-보안 서비스 생성과 구성
* 보안 애플리케이션의 개발을 어떻게 간단하게 할 것인가?
- 정보 결함(부족)
* TCP session, network status
- 응답 신호 변환 위험
* 어떻게 네트워크 장비들에게 보안 정책을 강요할 것인가?
해결책
- FRESCO(published in NDSS 2013)
- 보안 애플리케이션을 위한 새로운 개발 환경을 제공
- 보안 애플리케이션간의 리소스들을 효율적으로 관리
- 보안 정책의 배치를 간단하게 함.
* 7개의 근본적인 보안 action의 set를 제공
-e.g., block, deny, allow, redirect, and quarantine
Architecture
- 구조
-Application layer
* Development env.(DE)
* Resource Controller(RC)
- Kernel layer
* security enforcement kernel
* FortNOX
개발 환경
- FRESCO 모듈
-기본 실행 유닛
- FRESCO DB
- 간단한 데이터베이스
* (key, value) 쌍
- FRESCO 스크립트
- 인터페이스 정의
- 다양한 모듈들을 연결
- 포맷
* 인스턴스 네임( # of input) (# of output)
* 타입 : 이 모듈의 클래스
* input : 이 모듈의 인풋
* output : 이 모듈의 아웃풋
* parameter : 몇몇 변수들을 정의함
* event : 모듈의 트리거
* action : conduct this action
실행 시나리오
(생략)
실행
- NOX(open source OpenFlow controller) based
- 개발 환경
* NOX는 파이썬 애플리케이션에 기반함
- 리소스 컨트롤러
* 상동
- 보안이 강화된 커널
* NOX 수정(C++)
Example : Scan Detection
- steps
- 블랙리스트 체크 -> 임계값에 기반한 스캔 탐지 -> drop or forward
Example : Reflector Net
- 스캔 공격과 헷갈림
- steps
- 임계값에 기반한 스캔 탐지 -> Redirect (Reflect) or Forward
평가
- source code 길이 비교
Summary
- SDN에서의 보안 이슈
- Flow rule conflict and Dynamic rule tunneling
* FortNOX/Flover
- SDN에서의 보안 애플리케이션
- 기존 보안 디바이스들과의 collaborate
* CloudWatcher
- 보안 애플리케이션 개발을 쉽게 도와주는 IDEA
* FRESCO
참고
- http://www.openflowsec.org
Future work
- SDN을 위협할만한 새로운 문제는 무엇인가?
-자원 소모 공격
- 네트워크 애플리케이션 공격
- 기타 등등...
- 보안 네트워크 환경을 개발하기위한 새로운 SDN 아키텍쳐는?
- FRESCO의 확장
- 더많은 모듈과 예제
- 사람들은 FRESCO를 보안 애플리케이션의 디자인을 위해 사용하길 원함.
- 클라우드 네트워크를 위한 서비스로서의 보안 모니터링
- 네트워크 흐름을 제어와 모니터링
'정보보안 > 네트워크보안' 카테고리의 다른 글
OpenFlow version 1.3 tutorial (0) | 2015.05.27 |
---|---|
Assignment #4 - SDN Application (0) | 2015.05.27 |
소프트웨어 정의 네트워킹의 네트워크 보안 (Network Security in the New Paradigm of Software Defined Networking( SDN )) (0) | 2015.05.21 |
Assignment #3 Build a botnet (0) | 2015.05.17 |
Assignment #3 - Build a botnet (0) | 2015.05.12 |