오픈소스 SW 를이용한 IDS NFV 구축및평가 * 정경승, * 뉘엔트리투안힙, * 김경백 * 전남대학교전자컴퓨터공학부 *wwwjkscom@naver.com, tuanhiep1232@gmail.com, kyungbaekkim@jnu.ac.kr Deployment and Assessment of OpenSource SW based IDS NFV Kyung Seung Jung* Hiep Tuan Nguyen Tri* and Kyungbaek Kim* *Department of Electronics and Computer Engineering, Chonnam National University 요약 NFV(Network Function Virtualization) 기술은통신사업자들이사용하고있는네트워크장비내의여러기능들을분리시켜소프트웨어적으로제어및관리가가능하도록가상화하는기술이다. 결과적으로 NAT, 방화벽, 침입탐지, DNS 서비스와같은기능은소프트웨어로범용기기들에게전달될수있다. 또한통신서비스설계방식에더많은유연성을제공하게된다. 본논문에서는널리사용되는오픈소스기반침입탐지시스템인 Snort를이용해침입탐지시스템 (IDS : Intrusion Detection System) 기능을 NFV로구축하고, 해당기능의실용성을이해하기위해 IDS NFV 사용유무에따른패킷전송지연시간을비교한다. 비교결과, IDS NFV사용시최대약 0.1ms의패킷전송시간증가를관찰하였고, 이는평균패킷전송시간이큰광대역네트워크에오픈소스기반 IDS로해당시스템을사용하는것이알맞다고할수있다. 1. 서론현대의네트워크는다양한종류의전용하드웨어장비들로구성되어있다. 새로운응용서비스를제공하려면이를위한전용장비를설치해야하는경우가있을수있으며이경우공간부족이나전력문제가발생한다. 또한트래픽양이급격히증가하거나감소할경우혹은수명이다한장비를새로운장비로교체시시간이많이소요되며신속하게대응하는데어려움이있다. 그리고기술발전과응용서비스에대한변화가급격히빨라지면서장비의수명이갈수록짧아지고있고이러한현상은더욱가속화될것이며이는 IT 사업자에게새로운서비스를이용한수익창출을막는걸림돌이될수가있다. 위와같은문제를해결하기위해서다양한네트워크장비들을고성능서버, 스토리지와스위치를이용하여구현하여, 비용을절감하고효율을높이며서비스대응및트래픽변화등에신속하게대처하고자하는것이네트워크기능가상화 ( 이하 NFV : Network Function Virtualization) 이다 [1]. NFV는유무선네트워크장비에 IT가상화기술을적용해하드웨어와소프트웨어를분리하는기술이다. NFV를적용하면표준화된하드웨어기반으로네트워크기능을가상화해제공할수있다. 이를통해라우팅, 파이어월, 로드밸런서및침입탐지시스템과같은네트워크기능들을소프트 웨어로제공할수있게된다. 항상 NFV와함께거론되는개념으로는 SDN(Software Defined Networking) 개념이있다. 몇몇 IT 전문가들이이두개의개념을상반되게생각하는경향이있기는하지만, 이두개의혁신적인네트워킹기술들은서로상충되는관계에있지않다. 오히려이둘은상부상조하여 SDN과 NFV가현대기업네트워크와통신사인프라에적용될가능성이높다. SDN을간단하게설명하자면 SDN 제어하드웨어가네트워킹장치들로구성된물리적인인프라계층위에위치하고있으며, 이를이용해오픈플로우 (OpenFlow) 같은제어면인터페이스를통해통신한다는의미다. 목표는네트워크를유연하고프로그램가능한플랫폼으로변모시켜자원활용을최적화함으로써더욱비용효율적이고확장가능하도록한다는것이다 [2]. 문제는이러한기술들을이용하여사용하였을때현재의하드웨어기반의서비스와상응하는서비스가제공될수있냐는것이다. 최근인포네틱스의조사에서는사업자의 82% 가 NFV 및 SDN 평가를시작하고있는결과를확인하였다고보도하였다. 사업자들또한기존의기술에상응하는서비스가제공되는것에확신을가지기위함이다. 앞으로가상기술의상용화에있어서성능평가는꼭필요하다. 가상기능의성능을평가할때 4가지주요한데이터영역 ( 입출력운용과읽기쓰기메모리운용을포함하는
패킷처리와관련된업무 ), 제어영역, 신호처리, 스토리지유형의작업부하가있다 [3]. 본논문에서는이중의데이터영역테스트특히네트워크패킷처리에따른지연시간을통하여구축된 IDS NFV의성능을평가한다. 성능평가를위해 Mininet을통해설정된 SDN 네트워크토폴로지상에서오픈소스기반의침입탐지시스템인 Snort기반의 IDS NFV를구축하고, 해당 IDS NFV의사용여부에따른 TCP/UDP 트래픽의전송지연시간을비교하여해당시스템의실용성을분석하였다. NFV가추구하는것은말그대로흩어져있던네트워크기능들을고집적장비에몰아넣어비용절감및효율성극대화에목적이있다. 기존의네트워크개념은각요소를하드웨어단위로구분하였다. 그래서개별단위로분류하는경향이강했다. 하지만이로인해자원의낭비가심해졌고, 전력사용량도매우높았다. 이러한문제를해결하기위해 NFV는개별성능에초점을둔것이라기보다는오히려잘설계된아키텍처에의해물리적자원을최소화하여전체의효율성을향상시키고시스템의복잡성을감소시키는것에초점을두고있다 [6]. 본논문의구성은다음과같다. 2장에서는오픈소스 SW인 Snort기반의 IDS NFV를 SDN상에서구축하기위한배경지식에대해서기술하고, 3장에서는오픈소스기반 IDS의성능측정및평가에관련된연구를기술하며, 4장에서는오픈소스기반 IDS의구축및평가결과및그분석에대하여기술한다. 5장에서는결론및향후연구수행방향에대해기술한다. 그림 2. SDN Architecture [5] 2.2 SDN : Software Defined Networking 그림1. NFV 개념도 [11] 2. NFV, SDN 그리고 Snort 2.1 NFV : Network Function Virtualization 2012년 10월에독일다름슈타트에서열린 SDN World Congress에서 AT&T, BT, 도이치텔레콤등을포함한 13개의통신사업자들이 NFV(Network Function Virtualization) 결성을발표하였다. 이는통신시장의주도권을가져옴으로써새로운형태의네트워크장비시장생태계를조성하고, 이를통해비용절감및효율성증대그리고신속한서비스대응력강화등을가치로내건바있다. 지금까지이런형태의시도들은많았지만 SDN의흐름과같이벤더들은저마다 NFV에최적화된솔루션을발표하고, 통신사업자들도매우적극적으로 NFV를검토하고있기때문에최근에느껴지는분위기는이 NFV가대세로굳어지는듯한분위기이다. SDN이란스위치와같은네트워크장비의제어부분을데이터전송부분과분리하고, 네트워크장비의기능을정의할수있는오픈 API를외부에제공하여이를통해프로그램된소프트웨어로다양한네트워크경로설정및제어등을할수있도록하는기술이다. 기존네트워크장비에서는불가능했던소프트웨어로네트워크를프로그램하고정의한다. SDN 기술의시작은스탠퍼드대학의오픈플로우기술에서비롯되었다. 처음오픈플로우기술은초기네트워크보안을위해다양한정책을네트워크에손쉽게적용할수있도록, 스위치의제어부문을중앙집중적인구조로분리하고, 플로우기반으로네트워크를관리하는기술로부터시작된것으로 2008년미국대학의캠퍼스에서기존인터넷트래픽에영향을주지않고구내망의다양한실험을지원하기위해인터넷패킷플로우제어를위한스위치용오픈인터페이스와이를위한간단한프로토콜규격만을정의한것으로출발한다. 이후오픈플로우기술은 2010년부터구글의데이터센터연결을위한 G-스케일프로젝트에사용되기시작하여 2012년 4월에는글로벌 IDC 연결에운영되는모든내부네트워크에오픈플로우를사용할것이라고발표했다. 2011년에는구글, 페이스북, 야후와같은서비스사업자들이모여, 일본의 NTT, NEC등과함게오픈플로우상용화를위한컨소시엄인
ONF(Open Networking Foundation) 을구성하여공격적인 SDN 표준화 및기술보급에나서는등, 최근국내외로네트워크산업의가장중요한 핵심적인기술로인정받고있다 [4]. 탐지룰과매칭되는지확인하게된다. 만약룰에매칭되었을경우에는사전 에정의된정책에따라로그에남게되고, 그렇지않은경우통과를하게 된다 [7]. 2.3 NFV와 SDN의연관관계 NFV가반드시 SDN을사용하는것은아니다. 기존에나와있는수많은기술을이용하여본래의취지에만맞으면된다. 하지만 NFV의취지를위해서는 NFV와 SDN이매우상호보완적인관계인것만은분명하다. 현재 SDN에적즉적인주요벤더들은동시에 NFV의주요벤더들이다. NFV 와 SDN을통해오픈된경쟁시장을조성함으로써다양한선택및비용절감그리고효율적운영을가능하게할분만아니라 고객이주도권을가지는자신만의네트워크 구성으로원하는서비스를개발하여새로운수익창출의기회까지도모해나갈수있게된다 [6]. 2.5 Snort Rules 시그니처구조 Snort의시그니처는룰헤더와룰옵션의 2가지섹션으로분류된다. 룰헤더에는처리방법, 프로토콜, IP주소, 포트번호등의처리대상으로서의판단기준을기술한다. 룰옵션에는 alert 메시지나패킷내부의조사내용을기술한다. 시그니처는다음그림으로분류된다. 2.4 Mininet Mininet[13] 은스탠퍼드대학에서배포하였으며개인 pc나노트북에서쉽고빠르게 Virtual OpenFlow Network를구성하여테스트할수있는 OpenSource Project이다. Mininet은 soft Switch 기반으로 OpenFlow Specification 1.0을지원한다. 2013년 9월기준 2.1 버전이출시되었다 [6]. Mininet은단일시스템에서간단한명령으로실제커널, 스위치및애플레이케이션코드를실행하고에서현실적인가상네트워크를만든다. OpenFlow와 SDN 시스템의개발, 공유, 실험에있어서좋은툴이다. Mininet으로네트워크토폴로지를구성할때, 사용하는스위치는일반스위치가아닌 OVS(Open Virtual Switch) 이기때문에 Controller를스위치에연결해주어야한다. 실제로이번실험에서 Controller를사용하진않았지만 OVS에연결하기위해토폴로지에 Controller를사용하였다. 그림3. snort rules Architecture [8] action에는패킷처리방법을 alert, drop, sdrop등중에서 1개를지정해야한다. 각각의 action은의미가각각다르다. protocol에는패킷의프로토콜을지정한다. 이번논문에서는 udp, tcp 프로토콜만사용하였다. IP address는첫번째에는송신자 IP address를기술하고두번째에는수신자 IP address를기술한다. 임의의 IP주소인 any를지정할수도있다. IP address와마찬가지로 port도같다. 마지막부분인옵션부분은지정할수있는룰옵션은매우많다. 2.4 Snort Snort는 sniffer and more 라는말에서유래되었는데, 처음공개되었을때는코드도얼마되지않은단순한패킷스니퍼프로그램이었다. 그러나이후현재의 IDS와같이 rule을이용한분석기능이추가되고, 커뮤니티를통하여계속적인기능보완과향상을통해지금과같이다양한기능과탁월한성능을갖춘프로그램이되었다. snort는공식홈페이지인 http://www.snort.org를통해지속적인업그레이드가가능하다. Snort는먼저스니퍼를통해 snort IDS를통과하는모든패킷을수집하게된다. 여기에서수집된데이터는바로룰기반의탐지엔진을거치지않고그전에 preprocessor를통해보다효율적인공격탐지를위해 HTTP 인코딩이나플러그인이나포트스캔등몇가지플러그인을먼저거치면서매칭이되는지확인하게된다. 물론 preprocessor 역시모듈화되어있어각자의환경에불필요하다면 disable 할수있다. 그리고 preprocessor를통과한패킷은 snort IDS의룰기반의탐지엔진을거치면서사전에정의된 그림4. snort rules Architecture [8] 3. 관련연구 NFV의관심과침입탐지시스템으로유명한 Snort와관련된연구주제는다양하게존재한다. 성능평가부분과연관되는주제의연구로는 Suricata와 Snort의비교와, Snort 사용시 IPv4 패킷과 IPv6 패킷구분에따른처리효율을알아보는실험이있었다 [9]. Suricata와 Snort의비교실험에서는 Snort는싱글스레딩을사용하는반면 Suricata는멀티스레딩을
도입으로인해패킷을스니핑하여수집하는작업부터규칙과비교하는탐지작업등세부적인작업들을각각하나의스레드로나누어각각의스레드에대하여해당스레드의작업이동시에여러 CPU Core에서이루어질수있도록설정함으로서 Suricata가 Snort보다 CPU Core 개수에비례하여월등하다는것이다. 려진네트워크테스팅툴중하나인 hping3 을사용하였다 [12]. 사용한 Snort Rule 은 10 초안에 70 개가넘는 tcp 패킷이들어온다면 SYN Flooding 어택을탐지하도록작성하였다. 침입탐지시스템의 IPv4 및 IPv6 패킷처리성능에관한연구는패킷간간격이임계치를넘어서면패킷검사를수행하지못한채대상프로세스로전송하는패킷이발생하는데, 이러한임계치가 IPv4 환경에서는 259µs, IPv6 환경에서는 39µs로나타난다. 이러한결과는 IPv4에비해 IPv6의프로토콜헤더가단순해서보다효율적인검사를수행하기때문이라는실험내용이다 [10]. 이논문에서는오픈소스인 Snort기반의 IDS NFV를구축하고해당서비스의실제활용가능성을평가하기위해 IDS NFV 서비스사용유무에따른패킷지연시간을비교하는실험을수행하고그결과를분석하였다. 4. 오픈소스기반 IDS NFV 구축및평가 4.1 IDS NFV 구축및 SYN Flooding 탐지기능검증 Mininet을이용하여 SDN기반의가상네트워크토폴로지를구성하고, 해당네트워크상에서 IDS NFV를구축하여그성능을테스트하였다. 구성된가상네트워크토폴로지는그림 5와같다. 총 2개의 OVS와 3개의가상호스트로네트워크를구성하고, SDN 컨트롤러는 OVS들과연결된다. Snort(version 2.9.7.2) 는타겟호스트와연결된 OVS의 network interface 를감지할수있는곳에위치한다. Mininet, Controller그리고 Snort은 Ubuntu 12.04로운영되는머신상에서구동하였다. 그림6. Snort를이용한 SYN Flooding 검출화면그림7. wireshark를이용한 SYN Flooding 검출화면구축된 IDS NFV의기능검증은그림 6 및그림 7과같이 Snort의로그확인및 Wireshark를통한네트워크인터페이스탭핑결과확인을통해수행하였다. 4.2 IDS NFV 사용에따른성능비교 그림5. Network Topology 구축된오픈소스기반 IDS NFV의기능을테스트하기위해 SYN Flooding Attack을탐지시나리오를만들고검증하였다. 검증을위한시나리오는타겟호스트인 host3(compuer_3 : 10.0.03) 에서 http서버를구동시키고, 공격호스트인 host1(computer_1 : 10.0.01) 에서 host3에설치된 http서버에게 SYN Flooding공격을수행한다. SYN Flooding공격은잘알 IDS NFV를사용함에따른네트워크성능을이해하기위해, 그림 5와같이구축된가상의토폴로지상에서 TCP/UDP 네트워크프로토콜을사용한네트워크트래픽전송지연시간을측정하였다. Host3 (computer_3 : 10.0.0.3) 에 TCP/UDP 서버를두고 Host2 (computer_2 : 10.0.0.2) 에클라이언트를설치하고, 해당클라이언트는서버에사이즈가 500Byte인패킷을 1초에 500개씩전달하도록하였다. 이는약 250KByte의대역폭을가지는네트워크플로우를생성하고, 이는유투브비디오를고화질로플레이하는정도의데이터를사용하는네트워크플로우를표현한다고할수있다. 각패킷의네트워크지연시간은패킷이클라이언트에서전송했을때의 Timestamp와서버에서수신되었을때의 Timestamp의차이로구하였다. 네트워크평균지연시간의측정은네트워크패킷을 10000, 30000, 50000, 100000, 150000개보냈을때의각지연시간의평균을이용해측정하였다.
Snort 검출룰은프로토콜, 포트, IP 주소, 옵션부분의변화에따라작성 하였고, 약 100 개정도의룰을사용하였다. 이러한조건에서 Snort 의사용 유무에따른평균네트워크지연시간의결과는그림 8 과같다. 트워크플로우에대한네트워크지연시간을측정하였다. 향후네트워크플로우의복잡도에따른성능평가및 TCP/UDP외기타네트워크프로토콜들에대한 Rule set의다양성에따른성능평가를진행할계획이다. 감사의글 이논문은 2015 년정부 ( 교육부 / 미래창조과학부 ) 의재원으로한국연구재단의지원을받아수행된연구임 (NRF-2014R1A1A1007734). 참고문헌 [1] 이정희, 이상민, 최강일, 이범철 NFV(Network Functions Virtualisation) 한국통신학회지 ( 정보와통신 ) 제30권제3호 51.page 2013. [2] Ed tittel CIO. 상충? 보완? SDN과 NFV의공존에대한이해 (http://www.ciokorea.com/news/19770?page=0,1) 2014. [3] IXIA 캐리어급전달보장을위한네트워크기능가상화 (NFV) 구현및테스팅 (www.ixiacom.com) April, 2014. 그림8. Snort를유 / 무에따른 TCP, UDP패킷평균지연시간그림 8에서 TCP-wSnort와 UDP-wSnort는 Snort이사용되었을때 TCP와 UDP 패킷의평균지연시간을각각나타내고, TCP-woSnort와 UDP-woSnort는 Snort을사용하지않았을때의 TCP와 UDP 패킷의평균지연시간을각각나타낸다. 평균지연시간의단위는 ms( 밀리세컨드 ) 이다. 그림 8과같이 Snort을사용할때네트워크지연시간이증가함을알수있었다. UDP 프로토콜의경우약 0.02ms의네트워크지연시간의증가가발생하고, TCP 프로토콜의경우약 0.08ms의네트워크지연시간증가가발생함을알수있었다. TCP의경우 UDP에비해약 4배정도의네트워크지연이더발생하는데, 이는 TCP프로토콜의복잡도가 UDP에비해더높은데서기인하는것으로분석된다. 이결과에따라, 일반적인광대역네트워크상에서의네트워크지연시간이수백 ms인점을감안한다면, Snort을사용하더라도추가적인네트워크지연시간이미치는영향은아주적을것으로분석된다. [4] 신명기 ICT EXPERT INTERVIEW SDN에대한소개 TTA Jounal vol.151 pp. 15 January, 2014 [5] ONF Software-Defined Networking (SDN) Definition https://www.opennetworking.org/images/stories/sdn-resources/meet-sdn/sdn -3layers.gif) SDN Architecture. [6] 서영석, 이미주, " 오픈소스를활용한 OpenFlow 이해하기 SDN 입문 " 영진닷컴, pp. 43-45, 2014. [7] 인프라보호단 / 보안관리팀, Snort를이용한 IDS구축 KISA 한국정보보호진흥원 pp 2-3 May, 2005 [8] Ei Jang Snort 시그네처의구조 IT, 컴퓨터 http://blog.naver.com/misman95/80041665451 [9] 정명기, 안성진, 박원영 Snort와 Suricata의탐지기능과성능에대한비교연구 융합보안논문지제 14권제5호 (2014,09) [10] 윤주환, 임을규 침입탐지시스템의 IPv4 및 IPv6 패킷처리성능에관한연구 한국통신학회동계종합학술발표회 (2012) [11] Steve Noble Network Function Vritualization or NFV Explained 5. 결론 SDN 및 NFV는향후새로운인터넷구조를이끌어나갈기술들로, 해당기술들을상용화및실용화에대한고찰은꼭필요하다. 본논문에서는실제현재의네트워크장비들이 NFV를이용하여구현된다면기존의하드웨어기반의장비들보다는소프트웨어가장비위에올라가게되므로시간지연이발생할것이라는예상을가지고오픈소스 SW 기반의 IDS NFV를구축하고평가를수행하였다. 그결과 IDS NFV를사용할경우네트워크지연시간은작은시간이지만존재함을알수있었다. 하지만이는광대역네트워크상의네트워크플로우관점에서바라보면아주작은양으로분석된다. (http://wikibon.org/) Apr, 2015 [12] Dos Using Hping3 with spoofed IP in KALI Linux, http://www.blackmoreops.com/2015/04/21/denial-of-service-attack-dosusing-hping3-with-spoofed-ip-in-kali-linux/ [13] Mininet, http://mininet.org 이논문에서는서버와클라이언트의하나의세션만맺어서전송하는네