Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] SDFW: SDN-based Stateful Distributed Firewall

Ankur Chowdhary, Dijiang Huang|arXiv (Cornell University)|Jan 1, 2018
Software-Defined Networks and 5G参考文献 9被引用数 4
ひとこと要約

SDFWは、SDN環境におけるスケーラブルで分散型の状態保持ファイアウォールを提案する。このシステムは、データプレーン内で接続状態を追跡することで、複数のスイッチにまたがる接続状態を追跡し、TCP-SYN洪水攻撃を含む東西攻撃を効果的に検出・対処可能にする。性能への影響はわずか1.6%の帯域幅低下に抑えられ、コントローラーのボトルネックを回避するため、状態管理を分散化している。これにより、マルチテナントデータセンターにおける細かいセキュリティを維持できる。

ABSTRACT

SDN provides a programmable command and control networking system in a multi-tenant cloud network using control and data plane separation. However, separating the control and data planes make it difficult for incorporating some security services (e.g., firewalls) into SDN framework. Most of the existing solutions use SDN switches as packet filters and rely on SDN controllers to implement firewall policy management functions, which is impractical for implementing stateful firewalls since SDN switches only send session's initial packets and statistical data of flows to their controllers. For a data center networking environment, applying a Distributed FireWall (DFW) system to prevent attacker's lateral movements is highly desired, in which designing and implementing an SDN-based Stateful DFW (SDFW) demand a scalable distributed states management solution at the data plane to track packets and flow states. Our performance results show that SDFW achieves scalable security against data plane attacks with a marginal performance hit ~ 1.6% reduction in network bandwidth.

研究の動機と目的

  • マルチテナントデータセンターにおける横向き移動攻撃の検出・対処に向け、SDN環境で状態保持型で分散型のファイアウォールを提供するため。
  • 中央集権型SDNファイアウォールの性能ボトルネックを解消するため、状態追跡をデータプレーンのスイッチに分散させるため。
  • スイッチレベルでの接続追跡を用いて、TCP-SYN洪水攻撃のようなデータプレーン攻撃をリアルタイムで検出するため。
  • コントローラーの負荷を増やさずにマルチテナントと状態保持型検査をサポートするスケーラブルでプログラマブルなセキュリティフレームワークを提供するため。

提案手法

  • SDFWは、Open vSwitchにconntrackモジュールを拡張することで、データプレーンに直接接続状態を保持する状態保持型ファイアウォールを実装する。
  • 各スイッチは、OpenFlowルールと接続追跡テーブルを用いて、ローカルでフロー状態を追跡し、状態維持のための中央コントローラー依存を低減する。
  • セキュリティポリシーの実装にはOpenFlowルールを用い、検出された攻撃パターンに基づき、悪意のあるトラフィックをドロップまたはレート制限する。
  • 攻撃検出は、異常なSYNパケットレートなどのフロー動作の統計的分析を用いてスイッチレベルで実施する。
  • 複数のスイッチにまたがる状態追跡を調整するために、分散型バーチャルスイッチとネットワーク情報ベース(NIB)を活用する。
  • 不正な行動が検出された際には、ローカルでトラフィックドロップやハニーポットへのリダイレクトといった対策を実行する。

実験結果

リサーチクエスチョン

  • RQ1中央コントローラーの負荷を増やさずに、SDN環境における状態保持型ファイアウォールを効果的にスケーリングする方法は何か?
  • RQ2データセンターネットワークで複数のスイッチに接続状態追跡を分散させた場合の性能オーバーヘッドは何か?
  • RQ3TCP-SYN洪水攻撃のような東西攻撃を、中央集権型モデルよりも効率的に検出・対処できる分散型状態保持ファイアウォールは可能か?
  • RQ4共有でプログラマブルなネットワークインfraストラクチャ上で、マルチテナントとポリシーの分離をどのように維持できるか?
  • RQ5分散型ファイアウォールアーキテクチャにおいて、セキュリティの細かさとネットワーク性能の間にはどのようなトレードオフがあるか?

主な発見

  • 100台のホストを持つフラットトポロジーでは、SDFWによりネットワーク帯域幅が11%低下し、遅延が9%増加した。これは、1つのスイッチに集中した状態追跡に起因する。
  • 64台のホストと9台のスイッチを持つツリー構造トポロジーでは、SDFWにより帯域幅はわずか1.6%低下し、遅延は3.5%増加に抑えられた。これは、優れたスケーラビリティを示している。
  • 分散アーキテクチャにより、コントローラー負荷が顕著に低減され、スケールアップに伴うパフォーマンスの向上が実現した。
  • SDFWは、悪意のあるトラフィックをドロップするローカルOpenFlowルールを適用することで、TCP-SYN洪水攻撃を正常に検出・対処した。
  • 東西トラフィックフローにまたがる接続状態を維持・強制することで、横方向移動攻撃を効果的に防止した。
  • 結果から、SDFWはスケーラブルで低オーバーヘッドのデータプレーン攻撃保護を提供するとともに、セキュリティの細かさを維持していることが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。