소프트웨어 정의 네트워킹의 네트워크 보안 (Network Security in the New Paradigm of Software Defined Networking( SDN )) #2

Cloud Watcher

새로운 라우팅 알고리즘

- multipath naive

- 최단 경로

- Multipath shortest

- Shortest inside

기본 라우팅 개요 ( Not CloudWatcher's idea)

S:start node, E: end node, R: router, C:security device

    - 시작 호스트와 끝 호스트간 최단경로를 찾음.

    - 경로 S -> R1 -> R5 -> R6 -> E

문제점

- 보안 장비 C(R4)를 경유하지 않음.

Multipath Shortest

- multipath naive의 향상된 버전

- two phase

* 최단경로 찾기(P1)

- S->R1->R5->R6->E

*경로 P1과 R4 사이의 최단 경로 라우터 찾기.

SDN의 보안 애플리케이션

- 보안 기능이 SDN의 애플리케이션이 될 수 있음.

- 방화벽, DDOS detection, Scan detection, Reflector net, Tarpit, Dynamic Quarantine, and more....

Challenges

- SDN에서 보안 앱들을 만들기 쉽지 않음.

-보안 서비스 생성과 구성

* 보안 애플리케이션의 개발을 어떻게 간단하게 할 것인가?

- 정보 결함(부족)

* TCP session, network status

- 응답 신호 변환 위험

* 어떻게 네트워크 장비들에게 보안 정책을 강요할 것인가?

해결책

- FRESCO(published in NDSS 2013)

- 보안 애플리케이션을 위한 새로운 개발 환경을 제공

- 보안 애플리케이션간의 리소스들을 효율적으로 관리

- 보안 정책의 배치를 간단하게 함.

* 7개의 근본적인 보안 action의 set를 제공

-e.g., block, deny, allow, redirect, and quarantine

Architecture

- 구조

-Application layer

* Development env.(DE)

* Resource Controller(RC)

- Kernel layer

* security enforcement kernel

* FortNOX

개발 환경

- FRESCO 모듈

-기본 실행 유닛

- FRESCO DB

- 간단한 데이터베이스

* (key, value) 쌍

- FRESCO 스크립트

- 인터페이스 정의

- 다양한 모듈들을 연결

- 포맷

* 인스턴스 네임( # of input) (# of output)

* 타입 : 이 모듈의 클래스

* input : 이 모듈의 인풋

* output : 이 모듈의 아웃풋

* parameter : 몇몇 변수들을 정의함

* event : 모듈의 트리거

* action : conduct this action

실행 시나리오

(생략)

실행

- NOX(open source OpenFlow controller) based

- 개발 환경

* NOX는 파이썬 애플리케이션에 기반함

- 리소스 컨트롤러

* 상동

-  보안이 강화된 커널

* NOX 수정(C++)

Example : Scan Detection

- steps

- 블랙리스트 체크 -> 임계값에 기반한 스캔 탐지 -> drop or forward

Example : Reflector Net

- 스캔 공격과 헷갈림

- steps

- 임계값에 기반한 스캔 탐지 -> Redirect (Reflect) or Forward

평가

- source code 길이 비교

Summary

- SDN에서의 보안 이슈

- Flow rule conflict and Dynamic rule tunneling

* FortNOX/Flover

- SDN에서의 보안 애플리케이션

- 기존 보안 디바이스들과의 collaborate

* CloudWatcher

- 보안 애플리케이션 개발을 쉽게 도와주는 IDEA

* FRESCO

참고

- http://www.openflowsec.org

Future work

- SDN을 위협할만한 새로운 문제는 무엇인가?

-자원 소모 공격

- 네트워크 애플리케이션 공격

- 기타 등등...

- 보안 네트워크 환경을 개발하기위한 새로운 SDN 아키텍쳐는?

- FRESCO의 확장

- 더많은 모듈과 예제

- 사람들은 FRESCO를 보안 애플리케이션의 디자인을 위해 사용하길 원함.

- 클라우드 네트워크를 위한 서비스로서의 보안 모니터링

- 네트워크 흐름을 제어와 모니터링