December 2015, Vol. 28, No. 4 OSIA Standards & Technology Review Journal

Size: px

Start display at page:

Download "December 2015, Vol. 28, No. 4 OSIA Standards & Technology Review Journal"

현영 시
4 years ago
Views:

1 December 2015, Vol. 28, No. 4 OSIA Standards & Technology Review Journal

2 Contents 권두언 Editorial 한연희 / 한국기술교육대학교컴퓨터공학부 04 Article 1 IETF 이동성관리최신표준기술 06 Article 2 자율네트워킹 (Autonomic Networking) 기술관련연구및표준화동향 20 Article 3 IETF 6TiSCH 표준기술동향 30 Article 4 I2NSF 기술및표준화동향 42 Article 5 서비스기능체이닝표준기술 58 Article 6 IETF CoAP 최신표준기술 74 OSIA NEWS 88 Call for Paper 93 OSIA 임원명부 94 December 2015, Vol. 28, No. 4 발행인 : 신용태 편집위원 : 한연희 발행처 : 사단법인개방형컴퓨터통신연구회 / 서울시강남구테헤란로 88길22( 대치동 ) 발행처 : TEL. (02) FAX. (02) 발행일 : e-book제작: 쓰리코어

3 OSIA S&TR JOURNAL I2NSF 기술및표준화동향 정재훈성균관대학교인터랙션사이언스학과 Abstract IETF(Internet Engineering Task Force) I2NSF(Interface to Network Security Functions) 워킹그룹은 2015년 11월부터공식적으로표준활동을시작하여, 현재네트워크가상화를이용하는보안미들박스를위한네트워크보안기능에대한표준인터페이스를표준화하려고한다. 본고에서는 I2NSF 기술의표준화동향을조명하고, I2NSF 프레임워크및표준인터페이스, I2NSF 유스케이스, I2NSF를위한정보모델, 그리고 I2NSF를이용하는 SDN 기반보안서비스를소개한다. 1. 서론 I2NSF(Interface to Network Security Functions)[1] 는 NFV(Network Functions Virtualization)[2] 를기본인프라로이용하는네트워크환경에서네트워크보안서비스 (Network Security Service) 를제공하기위한표준인터페이스를정의하고구현하는것을목표로한다. I2NSF는네트워크서비스인프라구축및운영비용을절감하기위한네트워크기능가상화인 NFV 기반으로다양한네트워크서비스를제공할때다양한벤더들의보안서비스들이표준인터페이스로통일된방식으로이용될수있게하고자한다. I2NSF의적용할수있는네트워크는클라우드, 거주자네트워크, 모바일네트워크등이있다. 네트워크사용자또는관리자가보안정책을설정하면 I2NSF는이러한보안정책이해당네트워크에적용될수있도록보안함수의룰이자동으로설정될수있게한다. 이러한자동화된 I2NSF 의보안서비스는다양한보안벤더의보안함수들이 NFV 플랫폼에서접근성 (availability), 확장성 (scalability), 관리성 (managebility), 효율성 (efficiency) 을고려한최적화된보안서비스를제공할수있다. I2NSF는 2014년 11월에개최된 IETF 91차회의에서 BoF(Birds of a Feather, 워킹그룹형성회의 ) 로시작되었고, 2015년 7월에 IETF 93차회의에서두번째 BoF를개최하였다. 2015년 11 42

I2NSF 기술및표준화동향 월에 I2NSF는공식적인워킹그룹으로표준화활동을본격적으로시작하였다. I2NSF가시작된배경은최근에네트워크서비스인프라구축및운영비용을절감하기위한네트워크기능가상화인 NFV 연구및개발이유럽표준화기구인 ETSI를중심으로인터넷서비스제공자, 네트워크장비회사에의해진행되고있다.

4 I2NSF 기술및표준화동향 월에 I2NSF는공식적인워킹그룹으로표준화활동을본격적으로시작하였다. I2NSF가시작된배경은최근에네트워크서비스인프라구축및운영비용을절감하기위한네트워크기능가상화인 NFV 연구및개발이유럽표준화기구인 ETSI를중심으로인터넷서비스제공자, 네트워크장비회사에의해진행되고있다. 또한네트워크의유연하고효과적진화와관리를위해데이터플레인 (Data Plane) 과콘트롤플레인 (Control Plane) 을분리하고제어서버를통해네트워크디바이스를관리하는소프트웨어중심의네트워크인 SDN(Software-Defined Networking) 을 I2NSF에적용하려는연구및개발활동이활발하다. 본고를통해이러한 IETF I2NSF 기술표준동향을살펴볼것이다. 본고는다음과같이구성되어있다. 2장에서는 I2NSF 프레임워크및표준인터페이스를설명한다. 3장에서는 I2NSF 유스케이스를설명한다. 4장에서는 I2NSF를위한정보모델을설명한다. 5장에서는 I2NSF를이용하는 SDN 기반보안서비스를설명한다. 그리고 6장에서결론을내린다. 그림 1. I2NSF 프레임워크 2. I2NSF 프레임워크및표준인터페이스 I2NSF는네트워크서비스의사용자 (Client), 사용자가 NFV 환경에서보안서비스를사용할수있게보안제어기 (Security Controller) 그리고보안서비스를실제로수행하는보안기능 (Security Function, SF) 으로구성된다 [3,4]. 그림 1은 I2NSF의프레임워크를보여주고있다. 또한 I2NSF 프레임워크에서의세가지인터페이스를정의하고있다. 1. 서비스계층인터페이스 (Service Layer Interface): 보안서비스사용자 ( 예, 이동통신망관리자 ) 가서비스계층인터페이스를통해보안제어기에게고수준보안정책 (High-level OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 43

OSIA S&TR JOURNAL Security Policy) 를전달한다. 2. 기능계층인터페이스 (Capability Layer Interface): 보안제어기는전달받은고수준보안정책을 NFV 상의보안기능 (SF) 에서실행될수있는저수준보안기능 (Low-level Security Functions) 으로번역한다.

5 OSIA S&TR JOURNAL Security Policy) 를전달한다. 2. 기능계층인터페이스 (Capability Layer Interface): 보안제어기는전달받은고수준보안정책을 NFV 상의보안기능 (SF) 에서실행될수있는저수준보안기능 (Low-level Security Functions) 으로번역한다. 보안제어기는이보안기능을기능계층인터페이스를통해적합한보안기능가상머신또는물리머신에전달하여요청된보안서비스를실행한다. 3. 등록인터페이스 (Registration Interface): 보안서비스공급자 ( 예, Symantec, Verisign, AhnLab) 는벤더관리시스템 (Vendor Management System) 을가지고등록인터페이스를통해보안제어기를거쳐서 I2NSF의 SF에서실행될보안서비스패키지를설치한다. I2NSF는현재그림 1에서서비스인터페이스와기능인터페이스를표준화를진행할예정이고, 등록인터페이스는 I2NSF 표준화에포함시키지않을예정이다. 그림 1은이러한 I2NSF 프레임워크에서 Video Client는보안클라이언트의보안정책에따라 Video Server로부터 Video Streaming Service를받는것을보여주고있다. 그림 2. I2NSF 유스케이스 3. I2NSF 유스케이스 본절에서는 I2NSF의일반적인유스케이스를설명한다. 그림 2는 I2NSF를이용하는유스케이스를기술하고있다 [5]. 네트워크고객 (Customer) 들은거주네트워크 (Residential Network), 클라우드 (Cloud) 및이동네트워크 (Mobile Network) 에서보안서비스를이용하여안전하게네트 44

6 I2NSF 기술및표준화동향 워킹기반의서비스를받고자한다. 각고객네트워크는인터넷서비스제공자 (Internet Service Provider, ISP) 가이러한고객네트워크를수용하기위해 NFV 환경에서가상머신에서동작하는연결디바이스 ( 예, vcpe, vpe, vepc) 를통해보안서비스함수 (Network Security Function, NFV) 를이용하게할수있다. ISP는 I2NSF를통해이러한고객네트워크들의사용자들이원하는보안정책에따라적합한보안서비스함수를 NFV 환경에게유연하고도확장성있게이용할수있게하기를원한다. 보안서비스가여러벤더 (Vendor) 에의해제공될때 I2NSF와같은표준인터페이스가필요하다. 그림 3. I2NSF 기능계층인터페이스를위한정보모델 4. I2NSF 를위한정보모델 I2NSF 워킹그룹은서비스계층인터페이스와기능계층인터페이스의표준화를목표로하고있다. 서비스계층인터페이스는고수준응용프로그램 ( 예, Openstack, BSS/OSS) 와보안제어기사이의통신채널과보안서비스요청정보모델 (Information Model) 을통일해야한다 [6]. 서비스계층인터페이스의목표는응용계층에서의보안서비스를다양한보안디바이스와그들의디바이스수준의보안함수로부터독립시키는것이다. 이러한목표를위한정보모델을의도기반의정보모델 (Intent-based Information Model) 이라명한다. 기능계층인터페이스는네트워크보안함수인 NSF( 예, Firewall, AAA, IPS, Anti-DDoS, Anti- Virus) 들이 NFV 환경에서가상머신에동작하든물리적기기 (Physical Appliance) 에서동작하든간에보안제어기와의통일된인터랙션을제공해야한다. 현재는 NSF 벤더 (Vendor) 들이보안함수제어를위해각기다른인터페이스와정보모델을제공하고있는데, I2NSF는이러한인터페이스와정보모델의표준화를목표로하고있다. I2NSF의기능계층인터페이스는 NSF들을상위계층보안서비스요청으로부터분리시키고 NSF들이제공하는보안기능을명확히하는것을목표로한다. 기능계층인터페이스는그림 3과같이네트워크보안제어 (Network Security Control), 컨텐트보안제어 (Content Security Control) 및공격약화제어 (Attack Mitigation Control) 를지원한다 [6]. 본절에서는기능계층인터페이스가방금언급된세가지제어를위한정보모델 (Information Model) 을기술한다. OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 45

7 OSIA S&TR JOURNAL 4.1 네트워크보안제어 (Network Security Control) 네트워크보안제어 (Network Security Control) 은방화벽과같이선행적으로정의된보안정책기반으로네트워크를통과하는트래픽을감찰하고처리하는기능을말한다. 보안기능 (Security Capability) 는패킷또는플로우관점에서네트워크를통과하는패킷을감찰하고는패킷처리엔진 (Packet-processing Engine) 을의미한다. 보안기능은패킷감찰을위해패킷의헤더 (Header) 와페이로드 (Payload) 를감찰한다. 또한패킷의플로우의콘텍스트상태 (Context State) 를유지하면서적절한액션 (Action) 을취한다. 기능계층인터페이스는패킷및플로우를감찰하고처리하는정책디자인패러다임으로 Subject-Object-Action-Function 패러다임을제안하고있다. 그림 4는네트워크보안제어를위한 Subject-Object-Action-Function 패러다임을보여주고있다. 이패러다임에의해패킷에연관된 Subject와 Object에따라적합한 Action과 Function을수행하여패킷기반으로보안서비스를실시한다. Subject는보안정책에서매칭조건 (Matching Condition) 을위해패킷헤더나페이로드에서직간접적으로획득되는정보또는속성 (Attribute) 을의미한다. Object는패킷이나플로우를위한컨텍스트정보를의미한다. Object는 User, Schedule, Region, Target 및 State를지정한다. User는네트워크플로우가연관된사용자또는사용자그룹정보 ( 예, Name, ID, Password, Type, Authentication Mode, IP Address) 를의미한다. Schedule은네트워크플로우가발생하는시간및시간대를의미한다. Region은네트워크트래픽이연관된위치를의미한다. Target은네트워크환경에서서비스, 응용프로그램및디바이스를지칭한다. 서비스는 Protocol Type( 예, TCP, UDP, ICMP, IP) 과 Port Number로구분되는응용프로그램을의미한다. 디바이스를구분하는속성은 Type( 예, Router, Switch, PC, IOS, Android) 과디바이스 Owner를포함한다. State는네트워크플로우가연관된다양한상태를의미한다. 예를들면, State는 TCP Session State( 즉, New, Established, Related, Invalid, Untracked) 또는디바이스의접근모드 ( 예, Wire, Wireless, VPN) 를가리킬수있다. Action은트래픽필터링 (Filtering) 또는스프레션 (Suppression) 을위한액션을의미한다. 예를들면, 액션들은거부 (deny), 허용 (permit), 미러 (mirror), 디벌젼 (diversion), 레이트리미팅 (rate limiting), 블랙 / 화이트리스트 (black/white list), QoS 액션 (QoS actions), 루트블랙홀 (route black hole) 등이있다. Function은네트워크트래픽에대해벤더에의해정의된고급처리 (Advanced Treatment) 를위해호출될수있는보안기능을의미한다. 46

8 I2NSF 기술및표준화동향 그림 4. 네트워크보안제어를위한 Subject-Object-Action-Function 패러다임 4.2 컨텐트보안제어 (Content Security Control) 컨텐트보안제어 (Content Security Control) 은응용계층에적용되는보안기능의영역으로패킷의컨텐트를기반으로수행하는보안제어를의미한다. 예를들면, 컨텐트보안제어는침입방지, 바이러스검출, 악의성 URL 및정크이메일필터링, 불법적웹접근및데이터획득블라킹등을포함한다. 응용계층의위협의각타입은독특한특성이있기때문에각타입에적합한방법으로방어를해야한다. 새로운응용계층의위협이빨리생성될수있으므로이러한위협에대해방어를즉각적으 OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 47

9 OSIA S&TR JOURNAL 로할수있는많은보안기능들이필요하다. 이러한컨텐트보안제어는유연성 (Flexibility), 일반성 (Generality), 확장성 (Scalability) 및자동화 (Automation) 를기반으로디자인되어야한다. 유연성을위해각보안기능은다른기능들과의최소한의오버랩또는독립성을가지는독립된함수로구성되어야한다. 이러한디자인으로보안기능들이쉽게이용되거나합쳐져야되고하나의보안기능의변경이다른보안기능에영향을주어서는안된다. 일반성을위해각보안기능은추상화 (Abstraction) 와합병 (Consolidation) 을고려하여그기능이프로그램가능할수있고그기능의처리결과및통계정보를보고할수있는통일된인터페이스를가져야한다. 또한멀티벤더간의상호통신을지원해야한다. 확장성을위해보안기능을담은시스템의스케일이커지거나작아지는것이지원되어야한다. 이러한확장성은변하기쉬운네트워크트래픽및서비스요청으로부터의성능요구사항을만족시킬수있다. 보안기능은보안제어기가보안기능이스케일업또는다운되는결정을할수있도록통계정보를제공해야한다. 자동화를위해보안기능은자동탐색 (Auto-discovery), 자동협상 (Auto-negotiation) 및자동갱신 (Automatic Update) 을지원해야한다. 4.3 공격약화제어 (Attack Mitigation Control) 공격약화제어 (Attack Mitigation Control) 은다양한네트워크공격을발견하고약화시킬수있는기능이다. 오늘날의네트워크공격은크게 DDoS Attack과 Single-packet Attack로분류된다. DDoS Attack은네트워크계층 DDoS 공격과응용계층 DDoS 공격으로구분된다. 네트워크계층 DDoS 공격은 SYN flood, UDP flood, ICMP flood, IP fragment flood 등이있다. 응용계층 DDoS 공격은 http flood, https flood, DNS flood, DNS amplification, SSL DDoS 등이있다. Single-packet Attack는 Scanning/Sniffing 공격, Malformed Packet 공격, Special Packet 공격으로구분된다. Scanning/Sniffing 공격은 IP sweep, Port scanning 등이있다. Malformed Packet 공격은 Ping of Death, Teardrop 등이있다. Special Packet 공격은 Oversized ICMP, Tracert, IP timestamp option packets 등이있다. 이러한네트워크공격들은고유한네트워크행동및패킷 / 플로우특성이있으므로공격약화제어는이러한공격을즉각발견해서약화시킬수있게디자인되어야한다. 5. I2NSF 를이용하는 SDN 기반보안서비스 I2NSF 프레임워크와정보모델을기반으로 SDN 기반의보안서비스프레임워크에대한 IETF 기고서가제안되었다 [7]. 본기고서는 I2NSF 을사용하는 SDN 기반의보안서비스에서의목적및 48

I2NSF 기술및표준화동향 요구사항을기술하였고, 아울러중앙집중식방화벽시스템과중앙집중식 DDoS 공격약화시스템의두가지유스케이스를제시하였다. 첫번째유스케이스는 SDN 네트워크에서 NETCONF/YANG을기반으로방화벽기능인 IP Address Filtering과 Web Filtering이다. 두번째유스케이스는 DDoS- Attack Mitigator이다.

10 I2NSF 기술및표준화동향 요구사항을기술하였고, 아울러중앙집중식방화벽시스템과중앙집중식 DDoS 공격약화시스템의두가지유스케이스를제시하였다. 첫번째유스케이스는 SDN 네트워크에서 NETCONF/YANG을기반으로방화벽기능인 IP Address Filtering과 Web Filtering이다. 두번째유스케이스는 DDoS- Attack Mitigator이다. I2NSF를이용하는 SDN 기반보안서비스를위해기능계층인터페이스는 I2NSF의정보모델로구현가능하고, 서비스계층인터페이스는 SUPA 워킹그룹 [8] 에서정의한 Policy Abstraction을이용할수있다. 본절에서는이러한 I2NSF를이용한 SDN 기반보안서비스에대해기술한다. 그림 5. SDN 기반보안서비스를위한고수준아키텍쳐 5.1 보안서비스를위한 I2NSF를이용한 SDN 기반보안서비스아키텍쳐 SDN은관리자가소프트웨어를통해네트워크리소스들을직접프로그램하고, 오케스트레이트하고, 제어하고, 관리하는기술을제공하고있다. 이러한 SDN은 SDN 제어기라는네트워크구성요소에게네트워크리소스들의제어권을부여하고있다. 보안서비스는통상적으로응용프로그램으로제공이되나네트워크리소스들과밀접한관계를가지고있다. 네트워크사용자또는관리자의상위수준보안정책에서요청하는보안서비스를 SDN 네트워크에자동으로반영하기위해서는 I2NSF의프레임워크와인터페이스를이용할수있다. 그림 5는중앙집중식방화벽시스템과중앙집중식 DDoS 공격약화시스템과같은 SDN 기반보안서비스들을지원하기위한레퍼런스아키텍쳐를보여주고있다. 그림에서처럼보안서비스 ( 예, 방화벽, DDoS 공격약화서비스, 웹필터, 딥패킷인스펙션 ) 로써보안함수들은 SDN 컨트롤러를통해 SDN 네트워크에서동작한다. 관리자가언급된보안서비스들에대한보안정책을응용인터페이스를통해전달하면 SDN 컨트롤러는자율적이면서신속하게해당접근제어정책규칙들을생성한다. 생성된접근제어정책규칙에따라스위치와같은네트워크리소스들은의심되는패턴을가지는패킷을제거함으로써네트워크공격을약화시키는조치를취한다. OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 49

보안콘트롤러는전달받은고수준보안정책을저수준보안정책으로번역하여기능계층인터페이스를통해저수준보안정책을수행할수있는보안함수들에게전달한다. 보안함수들은 NFV 환경의가상머신또는물리적머신에서동작할수있다.

11 OSIA S&TR JOURNAL 그림 6. I2NSF를이용하는 SDN 기반보안서비스를위한프레임워크그림 6은 I2NSF를이용하는 SDN 기반보안서비스를지원하는프레임워크를보여주고있다. 그림에서보이는것처럼클라언트또는응용게이트웨이 (App Gateway) 는고수준보안정책을서비스계층인터페이스를통해보안제어기 (Security Controller) 에게전달한다. 보안콘트롤러는전달받은고수준보안정책을저수준보안정책으로번역하여기능계층인터페이스를통해저수준보안정책을수행할수있는보안함수들에게전달한다. 보안함수들은 NFV 환경의가상머신또는물리적머신에서동작할수있다. 이러한보안함수들은스위치제어기의관리하에있는스위치들에서요청된보안서비스가될수있도록스위치제어기에게요청한다. 보안제어기와보안함수들사이에존재하는기능계층인터페이스는 IETF의네트워크구성프로토콜인 NETCONF[9] 와데이터모델링언어인 YANG[10] 을통해구현될수있다. YANG은함수수준의보안서비스를기술하는데용이하다. 그림 7. SDN 기반보안서비스프레임워크를이용하는보안서비스과정 50

12 I2NSF 기술및표준화동향 그림 7 은 SDN 기반보안서비스프레임워크를이용하는보안서비스과정을보여주고있다. 1. 네트워크관리자는응용게이트웨이 (App Gateway) 는서비스계층인터페이스 (Service Layer Interface) 를통해보안제어기 (Security Controller) 에게고수준보안정책을전달한다. 예를들면, 회사보안정책으로회사내일반사원들은오전과오후근무시간에는페이스북과같은 SNS(Social Networking Service) 사이트에는접속하지못하지만, 점심시간에는접속하는것이허용된다. 하지만임원들은 SNS 사이트에언제든지접속할수있다. 2. 보안제어기는이러한고수준보안정책을네트워크에적용할수있는저수준보안정책으로번역하여기능계층인터페이스 (Capability Layer Interface) 를통해보안함수 ( 예, Firewall, Web Filter) 에게전달한다. 3. NFV 환경에서가상머신에서동작하는보안함수는저수준보안정책을노스바운드인터페이스 (Northbound Interface) 를통해스위치제어기 (Switch Controller) 에게전달한다. 일반사원및임원들에따라선택된방화벽정책을스위치제어기에게전달한다. 4. 스위치제어기는보안정책을네트워크에적용하기위해사우스바운드인터페이스 (Southbound Interface) 를통해각스위치 (Switch) 에게해당보안정책에대한플로우테이블엔트리를셋업한다. 일반사원및임원들에따른방화벽정책에따라각사용자들의단말들의 IP 주소에따라네트워크에서인바운드트래픽과아웃바운드트랙픽에대한방화벽을위한플로우테이블엔트리를셋업한다. 일반사원은 SNS 사이트로의향하거나 SNS 사이트로부터생성된패킷을업무시간대에따라포워딩을결정하나임원들의경우에는업무시간에관계없이포워딩을허용한다. 5. 네트워크내의클라이언트 (Client) 들은트래픽을발생시킨다. 업무시간에사원들이 SNS 사이트를접속하기위한패킷을생성한다. 6. 네트워크내의클라이언트들이발생하는트래픽은보안정책에따라네트워크의스위치에의해필터되거나포워딩된다. 업무시간에발생된사원들의 SNS와연관된패킷들은드롭 (drop) 된다. 7. 보안정책에만족되는패킷은네트워크를통과하나그렇지않은패킷은네트워크에서드롭된다. 5.2 SDN 기반보안서비스유스케이스 본절은중앙집중식방화벽시스템과중앙집중식 DDoS 공격약화시스템의 SDN 기반의두가 지보안서비스의유스케이스를소개한다. OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 51

OSIA S&TR JOURNAL 그림 8. SDN 기반보안서비스유스케이스 5.2.1 중앙집중식방화벽시스템중앙집중식방화벽시스템은 SDN 네트워크의각네트워크리소스를관리하고, 가상머신에서동작하는방화벽보안함수라는서버를통해방화벽규칙을동적이면서유연하게각네트워크리소스에적용한다. 중앙집중식방화벽시스템에서의방화벽오퍼레이션은그림 8에기술된다음의절차로수행된다. 1.

13 OSIA S&TR JOURNAL 그림 8. SDN 기반보안서비스유스케이스 중앙집중식방화벽시스템중앙집중식방화벽시스템은 SDN 네트워크의각네트워크리소스를관리하고, 가상머신에서동작하는방화벽보안함수라는서버를통해방화벽규칙을동적이면서유연하게각네트워크리소스에적용한다. 중앙집중식방화벽시스템에서의방화벽오퍼레이션은그림 8에기술된다음의절차로수행된다. 1. 스위치는알려지지않은플로우에대한패킷을스위치제어기에게포워딩한다. 2. 스위치제어기는알려지지않은플로우에대한패킷을방화벽보안서비스응용 ( 즉보안함수 ) 에게포워딩한다. 3. 방화벽은패킷의헤드와페이로드를분석한다. 4. 방화벽이그패킷을의심되는패턴을가지는맬웨어 (Malware) 패킷으로간주하면이패킷의플로우가맬웨어라고스위치제어기에게보고하고단계 5를수행한다. 그렇지않으면그패킷의플로우가정상적인것으로스위치제어기에게보고하고단계 7을수행한다. 5. 스위치제어기는해당플로우를드롭할수있는새로운규칙을스위치의플로우테이블에인스톨한다. 6. 해당플로우의패킷이스위치에도착하면스위치는그패킷을드롭한다. 7. 스위치제어기는해당플로우를포워딩할수있는새로운규칙을스위치의플로우테이블에인스톨한다. 52

14 I2NSF 기술및표준화동향 8. 해당플로우의패킷이스위치에도착하면스위치는그패킷을포워딩한다. 위의중앙집중식방화벽시스템을위해서는기존의 SDN 프로토콜들이방화벽응용과스위 치사이의표준인터페이스들을통해사용될수있다 중앙집중식 DDoS 공격약화시스템중앙집중식방화벽시스템은 SDN 네트워크의각네트워크리소스를관리하고, 가상머신에서동작하는방화벽보안함수라는서버를통해방화벽규칙을동적이면서유연하게각네트워크리소스에적용한다. 중앙집중식방화벽시스템에서의방화벽오퍼레이션은그림 8에기술된다음의절차로수행된다. 1. 스위치는주기적으로플로우의인터어라이벌 (inter-arrival) 패턴을스위치제어기에게보고한다. 2. 스위치제어기는보고받은플로우의인터어라이벌패턴을 DDOS 공격약화보안서비스응용 ( 즉보안함수 ) 에게포워딩한다. 3. DDoS 공격약화응용은보고된플로우의패턴을분석한다. 4. DDoS 공격약화응용이그패턴을 DDoS 공격으로간주하면이패킷의 DDoS 공격의심도에따른패킷드롭확률을계산하고스위치제어기에게이패킷의플로우가 DDoS 공격에대한패킷드롭확률을전달하고단계 5를수행한다. 그렇지않으면그패킷의플로우가정상적인것으로스위치제어기에게보고하고단계 7을수행한다. 5. 스위치제어기는해당플로우를드롭확률로드롭할수있는새로운규칙을스위치의플로우테이블에인스톨한다. 6. 해당플로우의패킷이스위치에도착하면스위치는그패킷을드롭확률에따라드롭한다. 7. 스위치제어기는해당플로우를드롭확률에관계없이포워딩할수있는새로운규칙을스위치의플로우테이블에인스톨한다. 8. 해당플로우의패킷이스위치에도착하면스위치는그패킷을포워딩한다. 위의중앙집중식 DDoS 공격약화시스템을위해서는기존의 SDN 프로토콜들이 DDoS 공격약화응용과스위치사이의표준인터페이스들을통해사용될수있다. 이상과같이 I2NSF는 NSF 환경및 SDN 네트워크에서보안서비스를유연성, 일반성, 확장성및자동화관점에서효과적으로지원을할수있으므로차세대인터넷보안을위한중요한기술임에틀림없다. OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 53

15 OSIA S&TR JOURNAL 5. 결론 I2NSF(Interface to Network Security Functions) 는클라우드와네트워크가상화기반의네트워킹환경에서다수의보안솔루션벤더들의보안서비스에게표준인터페이스를제공하고자한다. 네트워크기능가상화 (Network Functions Virtualization, NFV) 와소프트웨어기반의네트워킹 (Software-Defined Networking, SDN) 이인터넷에도입이될전망이므로 I2NSF는중요한기술로부각되고있다. IETF 94차 I2NSF WG 회의를통해 NFV환경에서의보안서비스를위한 I2NSF 표준인터페이스작업이본격적으로시작되었다. Ericsson 및 Cisco와같은네트워크벤더들이 I2NSF 에많은관심을가지고있었다. 성균관대와 ETRI는 I2NSF를이용하는 SDN 기반의보안서비스프레임워크및유스케이스를제안하였다. 성균관대와 ETRI 제안한 SDN-based Security Services를위한 Capability Layer Interface 및 YANG Data Modeling을구현을하여 I2NSF 워킹그룹에서보다적극적으로표준화에참여할예정이다. 한국통신도 SDN/NFV 기반의보안서비스에많은관심을가지고있다. 한국은초고속인터넷인프라를기반으로 SDN/NFV의연구및구현을통해본 I2NSF WG에서많은기여를할수있도록노력해야할것이다. Acknowledgement 본연구는 2014년도정부 ( 미래창조과학부 ) 의재원으로한국연구재단의지원을받아수행된기초연구사업 [2014R1A1A ] 과미래창조과학부및정보통신기술진흥센터의정보통신 방송연구개발사업 [R , 중앙집중제어기반네트워크보안기술표준개발 ] 의일환으로수행하였음. References [1] Interface to Network Security Functions (i2nsf), [2] ETSI-NFV, Network Functions Virtualization (NFV); Architectural Framework, ETSI GS NFV 002 V1.1.1, October [3] L. Dunbar et al., Interface to Network Security Functions (I2NSF) Problem Statement, draft-dunbar-i2nsf-problem-statement-05, May

I2NSF 기술및표준화동향 [4] E. Lopez et al., Framework for Interface to Network Security Functions, draftmerged-i2nsf-framework-04, October 2015. [5] A. Pastor et al.

, Information Model of Interface to Network Security Functions Capability Interface, draft-xia-i2nsf-capability-interface-im-04, October 2015. [7] J. Jeong, H. Kim, and J.

[8] Simplified Use of Policy Abstractions (supa), http://datatracker.ietf.org/wg/supa/charter/ [9] R. Enns et al., Network Configuration Protocol (NETCONF), RFC 6241, June 2011. [10] M.

16 I2NSF 기술및표준화동향 [4] E. Lopez et al., Framework for Interface to Network Security Functions, draftmerged-i2nsf-framework-04, October [5] A. Pastor et al., Use Cases and Requirements for an Interface to Network Security Functions, draft-pastor-i2nsf-merged-use-cases-00, June [6] L. Xia et al., Information Model of Interface to Network Security Functions Capability Interface, draft-xia-i2nsf-capability-interface-im-04, October [7] J. Jeong, H. Kim, and J. Park, Software-Defined Networking Based Security Services using Interface to Network Security Functions, draft-jeong-i2nsf-sdn-securityservices-03, October [8] Simplified Use of Policy Abstractions (supa), [9] R. Enns et al., Network Configuration Protocol (NETCONF), RFC 6241, June [10] M. Bjorklund, YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF), RFC 6020, October Biography 정재훈 년 : 성균관대학교정보공학과학사 년 : 서울대학교컴퓨터공학과석사 년 : 미네소타대학교컴퓨터공학과박사 년 ~2004년 : 한국전자통신연구원표준연구센터연구원 년 ~2012년 : Brocade 소프트웨어엔지니어 - 주요관심분야 : 사이버물리시스템, 사물인터넷, 차량네트워크 - pauljeong@skku.edu OSIA Standards & Technology Review Journal * December 2015, Vol. 28, No. 4 55

으며 RESTCONF[10], NETCONF[11] 와같은프로토콜들을사용하여통신하고있다. 본논문에서는 IETF I2NSF WG에서제안하고있는 I2NSF 프레임워크기반으로데이터드리븐보안정책관리 (Datadriven Security Policy Management) 시스템

으며 RESTCONF[10], NETCONF[11] 와같은프로토콜들을사용하여통신하고있다. 본논문에서는 IETF I2NSF WG에서제안하고있는 I2NSF 프레임워크기반으로데이터드리븐보안정책관리 (Datadriven Security Policy Management) 시스템 오픈소스네트워킹편집위원 : 김영한 ( 숭실대 ) 오픈소스를활용한네트워크보안함수를위한프레임워크 김진용, 현대영, 홍동진, 정재훈성균관대학교 요약 본고에서는국제인터넷표준화기구 (Internet Engineering Task Force, IETF) 해커톤 (Hackathon) 에서오픈소스를활용하여구현한네트워크보안함수인터페이스 ( to Network Security