Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] SDFW: SDN-based Stateful Distributed Firewall

Ankur Chowdhary, Dijiang Huang|arXiv (Cornell University)|2018. 01. 01.
Software-Defined Networks and 5G참고 문헌 9인용 수 4
한 줄 요약

SDFW는 SDN 환경에서 다수의 스위치를 통해 연결 상태를 데이터 플레인 내에서 연결 추적 기능을 사용해 상태 기반으로 확장 가능한 분산 방화벽을 제안한다. 이는 동서 방향 공격(예: TCP-SYN 폭풍)을 효과적으로 탐지하고 억제할 수 있게 하며, 성능에 약 1.6%의 대역폭 감소만 초래한다. 이 시스템은 컨트롤러의 성능 저하 문제를 피하기 위해 상태 관리를 분산화함으로써 다중 테넌트 데이터 센터에서 정교한 보안를 유지한다.

ABSTRACT

SDN provides a programmable command and control networking system in a multi-tenant cloud network using control and data plane separation. However, separating the control and data planes make it difficult for incorporating some security services (e.g., firewalls) into SDN framework. Most of the existing solutions use SDN switches as packet filters and rely on SDN controllers to implement firewall policy management functions, which is impractical for implementing stateful firewalls since SDN switches only send session's initial packets and statistical data of flows to their controllers. For a data center networking environment, applying a Distributed FireWall (DFW) system to prevent attacker's lateral movements is highly desired, in which designing and implementing an SDN-based Stateful DFW (SDFW) demand a scalable distributed states management solution at the data plane to track packets and flow states. Our performance results show that SDFW achieves scalable security against data plane attacks with a marginal performance hit ~ 1.6% reduction in network bandwidth.

연구 동기 및 목표

  • 다중 테넌트 데이터 센터에서 횡행 공격을 탐지하고 억제하기 위한 SDN 환경에서 상태 기반 분산 방화벽 지원의 부족을 해결하기 위해.
  • 중앙 집중식 SDN 방화벽의 성능 저하 문제를 해결하기 위해 데이터 플레인 스위치에 걸쳐 상태 추적을 분산화함으로써.
  • 스위치 수준에서 연결 추적을 통해 데이터 플레인 공격(예: TCP-SYN 폭풍)을 실시간으로 탐지하기 위해.
  • 중앙 컨트롤러를 과부하시키지 않으면서 다중 테넌시 및 상태 기반 검사를 지원하는 확장 가능하고 프로그래머블 보안 프레임워크를 제공하기 위해.

제안 방법

  • SDFW는 Open vSwitch를 확장하여 conntrack 모듈을 구현함으로써 데이터 플레인 내에서 직접 연결 상태를 유지함으로써 상태 기반 방화벽을 구현한다.
  • 각 스위치는 OpenFlow 규칙과 연결 추적 테이블을 사용하여 로컬로 흐름 상태를 추적함으로써 중앙 컨트롤러에 의존하는 상태 유지에 대한 의존도를 감소시킨다.
  • 시스템은 OpenFlow 규칙을 사용하여 보안 정책을 구현하며, 탐지된 공격 패tern에 기반해 악성 트래픽을 차단하거나 레이트 제한한다.
  • 공격 탐지는 스위치 수준에서 흐름 행동의 통계 분석(예: 비정상적인 SYN 패킷 비율)을 통해 수행된다.
  • 아키텍처는 분산 가상 스위치와 네트워크 정보 기반(NIB)을 활용하여 다수의 스위치 간 상태 추적을 조율한다.
  • 악성 행동 탐지 시 로컬에서 트래픽 차단 또는 해저드포트로의 리디렉션과 같은 조치를 시행한다.

실험 결과

연구 질문

  • RQ1중앙 컨트롤러의 과부하 없이 SDN 환경에서 상태 기반 방화벽을 효과적으로 확장할 수 있는 방법은 무엇인가?
  • RQ2데이터 센터 네트워크에서 다수의 스위치에 걸쳐 연결 상태 추적을 분산화할 경우 성능에 미치는 영향은 무엇인가?
  • RQ3분산형 상태 기반 방화벽은 중앙 집중식 모델보다 TCP-SYN 폭풍과 같은 동서 방향 공격을 더 효율적으로 탐지하고 억제할 수 있는가?
  • RQ4공유된 프로그래머블 네트워크 인fra에서 다중 테넌시와 정책 격리가 어떻게 유지되는가?
  • RQ5분산 방화벽 아키텍처에서 보안의 정교함과 네트워크 성능 사이의 상충 관계는 무엇인가?

주요 결과

  • 100台의 호스트를 가진 평면형 토폴로지에서 SDFW는 단일 스위치에 중앙 집중식 상태 추적을 적용함으로써 대략 11%의 대역폭 감소와 9%의 지연 증가를 유발했다.
  • 64대의 호스트와 9개의 스위치를 가진 트리형 토폴로지에서 SDFW는 대역폭 감소가 1.6%에 불과하고 지연이 3.5% 증가하여 뛰어난 확장성을 입증했다.
  • 분산 아키텍처는 개별 스위치에 상태 추적을 이관함으로써 컨트롤러 부담을 크게 감소시켜 스케일업에서 더 나은 성능을 달성한다.
  • SDFW는 악성 트래픽을 차단하기 위해 로컬 OpenFlow 규칙을 적용함으로써 TCP-SYN 폭풍 공격을 성공적으로 탐지하고 억제했다.
  • 동서 방향 트래픽 플로우 전반에 걸쳐 연결 상태를 유지하고 적용함으로써 횡행 공격을 효과적으로 방지한다.
  • 결과적으로 SDFW는 보안 정교함을 유지하면서도 데이터 플레인 공격에 대해 확장 가능하고 저비용의 보호를 제공함을 확인했다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.