Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Policy-based In-Network Security Management using P4 Network DataPlane Programmability

P4 프로그래머블 네트워크를 통한 정책 기반 인-네트워크 보안 관리 방법

  • 조부승 (한국과학기술정보연구원/과학기술연구망센터)
  • Received : 2020.10.05
  • Accepted : 2020.12.16
  • Published : 2020.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, the Internet and networks are regarded as essential infrastructures that constitute society, and security threats have been constantly increased. However, the network switch that actually transmits packets in the network can cope with security threats only through firewall or network access control based on fixed rules, so the effective defense for the security threats is extremely limited in the network itself and not actively responding as well. In this paper, we propose an in-network security framework using the high-level data plane programming language, P4 (Programming Protocol-independent Packet Processor), to deal with DDoS attacks and IP spoofing attacks at the network level by monitoring all flows in the network in real time and processing specific security attack packets at the P4 switch. In addition, by allowing the P4 switch to apply the network user's or administrator's policy through the SDN (Software-Defined Network) controller, various security requirements in the network application environment can be reflected.

최근 인터넷 그리고 네트워크는 사회를 구성하는 필수적인 인프라로 여겨짐과 동시에 이에 대한 보안 위협 상황이 지속적으로 증대되고 있다. 그러나 네트워크에서 실제 패킷을 전송하는 스위치 단에서는 기본적으로 고정적인 룰에 의한 방화벽 혹은 네트워크 접근 제어를 통해서만 보안 위협을 대응할 수 있어, 보안 위협에 대한 효과적인 대응은 네트워크 자체에서는 극히 제한적이며, 능동적으로 대처하지 못하고 있다. 본 논문에서는 네트워크 데이터 평면 프로그래밍 언어인 P4(Programming Protocol-independent Packet Processor)를 통해 네트워크 내 모든 플로우를 P4 스위치 단에서 실시간으로 모니터링하고, 특정 보안 공격 패킷을 스위치 단에서 처리함으로써, 네트워크 단에서 분산 DDoS 공격, IP Spoofing 공격 등을 대응할 수 있는 인-네트워크 (In-Network) 보안 관리 방법을 제안한다. 또한 네트워크 사용자 혹은 보안 관리자의 운영 정책을 SDN (Software-Defined Networking) 제어기를 통해 P4 스위치에서 적용함으로써, 다양한 네트워크 응용 환경에서의 보안 요구 사항을 반영할 수 있다.

Keywords

References

  1. S. Fichera, L. Galluccio, S. C. Grancagnolo, G. Morabito, and S. Palazzo, "OPERETTA: An OPEnflow-based REmedy to mitigate TCP SYNFLOOD Attacks against web servers," Computer Networks, Vol. 92, No. Part 1, pp. 89-100, 2015. https://doi.org/10.1016/j.comnet.2015.08.038
  2. W. J. A. Silva, "Avoiding inconsistency in OpenFlow stateful applications caused by multiple flow requests", International Conference on Computing, Networking and Communications (ICNC), pp. 548-553, 2018.
  3. M. Casado, T. Garfinkel, A. Akella, M. Freedman, D. Boneh, N. McKeown, and S. Shenker, "SANE: A protection architecture for enterprise networks", 15th USENIX Security Symposium, 2006.
  4. M. Casado, M. J. Freedman, J. Pettit, J. Luo, N. McK- eown, and S. Shenker. "Ethane: Taking control of the enterprise", ACM Special Interest Group on Data Communication (SIGCOMM), 2007.
  5. Qiao Kang, Lei Xue, Adam Morrison, Yuxin Tang, Ang Chen, and Xiapu Luo, "Programmable In-Network Security for Context-aware BYOD Policies", 29th USENIX Security Symposium,
2019.
  6. S. Hong, R. Baykov, L. Xu, S. Nadimpalli, and G. Gu. "Towards SDN-defined programmable BYOD (bring your own device) security", Network and Distributed System Security Symposium (NDSS), 2016.
  7. F. Paolucci, F. Civerchia, A. Sgambelluri, A. Giorgetti, F. Cugini, and P. Castoldi, "P4 Edge Node Enabling Stateful Traffic Engineering and Cyber Security", IEEE/OSA Journal of Optical Communications and Networking, Vol. 11, Issue 1, 2019.
  8. N. Narayanan, Ganesh C. Sankaran and Krishna M. Sivalingam, "Mitigation of security attacks in the SDN data plane using P4-enabled switches", International Symposium on Advanced Networks and Telecommunication Systems (ANTS), 2019.
  9. R. Skowyra, L. Xu, G. Gu, T. Hobson, V. Dedhia, J. Landry, and H. Okhravi. "Effective topology tampering attacks and defenses in software-defined networks", 48th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), 2018.
  10. T. Sasaki, A. Perrig, and D. E. Asoni, "Control-plane isolation and recovery for a secure SDN architecture," IEEE NetSoft Conference and Workshops (NetSoft), pp. 459-464, 2016,
  11. D. Kim, Z. Liu, Y. Zhu, C. Kim, J. Lee, V. Sekar, S. Seshan, "TEA: Enabling State-Intensive Network Functions on Programmable Switches, ACM Special Interest Group on Data Communication (SIGCOMM), 2020.
  12. 이명선, 조부승, 박형우, 김현철, "국가연구망의 발전방향 및 차세대 국가연구망 보안", 제16권 제7호, pp.3-11, 2016.
  13. BAREFOOT NETWORKS, Tofino 2 Chip, https://www.barefootnetworks.com.