인터넷을 구성하는 IP 기반의 네트워크 구성은 다양한 회사의 라우터와 스위치 장비들로 구성되어 있다. 다양한 장비의 구성은 웜, 바이러스, DDoS 등과 같은 유해트래픽을 필터링하기 위하여 각 회사마다 서로 다른 형태의 문자 명령어 기반인 CLI가 주로 사용되고 있어 관리 및 제어의 복잡성이 높다. 이의 대안으로 IETF에서는 XML 기반으로 구성관리 표준을 NETCONF 작업 그룹에서 제정하고 있지만, NETCONF의 명령어 처리 단계에서 처리되는 명령어 몇 가지만 표준으로 정의되어 있고, 유해트래픽을 차단하기 위한 XML 명령어는 각 회사 장비마다 서로 다르게 되어 있으므로 이 기종 장치간의 일관된 제어 명령어 처리가 어렵다. 본 논문에서는 이 기종 장치의 일관된 제어 명령어를 통하여 네트워크로 유입되는 유해트래픽을 싱크홀 라우터로 우회시키고, 유입된 트래픽을 대상으로 유해성 여부를 판단하여 다양한 공격을 효과적으로 차단할 수 있는 제어시스템을 설계하여, 유해트래픽으로 부터 보호되고, 보다 안정된 네트워크 효율을 높일 수 있는 방법을 제안하였다.
인터넷을 구성하는 IP 기반의 네트워크 구성은 다양한 회사의 라우터와 스위치 장비들로 구성되어 있다. 다양한 장비의 구성은 웜, 바이러스, DDoS 등과 같은 유해트래픽을 필터링하기 위하여 각 회사마다 서로 다른 형태의 문자 명령어 기반인 CLI가 주로 사용되고 있어 관리 및 제어의 복잡성이 높다. 이의 대안으로 IETF에서는 XML 기반으로 구성관리 표준을 NETCONF 작업 그룹에서 제정하고 있지만, NETCONF의 명령어 처리 단계에서 처리되는 명령어 몇 가지만 표준으로 정의되어 있고, 유해트래픽을 차단하기 위한 XML 명령어는 각 회사 장비마다 서로 다르게 되어 있으므로 이 기종 장치간의 일관된 제어 명령어 처리가 어렵다. 본 논문에서는 이 기종 장치의 일관된 제어 명령어를 통하여 네트워크로 유입되는 유해트래픽을 싱크홀 라우터로 우회시키고, 유입된 트래픽을 대상으로 유해성 여부를 판단하여 다양한 공격을 효과적으로 차단할 수 있는 제어시스템을 설계하여, 유해트래픽으로 부터 보호되고, 보다 안정된 네트워크 효율을 높일 수 있는 방법을 제안하였다.
The construction of Internet IP-based Network is composed of router and switch models in a variety of companies. The construction by various models causes the complexity of the management and control as different types of CLI is used by different company to filter out abnormal traffics like worm, vi...
The construction of Internet IP-based Network is composed of router and switch models in a variety of companies. The construction by various models causes the complexity of the management and control as different types of CLI is used by different company to filter out abnormal traffics like worm, virus, and DDoS. To improve this situation, IETF is working on enacting XML based configuration standards from NETCONF working group, but currently few commands processing at the level of operation layer on NETCONF are only standardized and it's hard for unified control operation process between different make of system as different company has different XML command to filter out abnormal traffics. This thesis proposes ways to prevent abnormal attacks and increase efficiency of network by re-routing the abnormal traffics coming thru unified control for different make of systems into Sinkhole router and designing a control system to efficiently prevent various attacks after checking the possibility of including abnormal traffics from unified control operation.
The construction of Internet IP-based Network is composed of router and switch models in a variety of companies. The construction by various models causes the complexity of the management and control as different types of CLI is used by different company to filter out abnormal traffics like worm, virus, and DDoS. To improve this situation, IETF is working on enacting XML based configuration standards from NETCONF working group, but currently few commands processing at the level of operation layer on NETCONF are only standardized and it's hard for unified control operation process between different make of system as different company has different XML command to filter out abnormal traffics. This thesis proposes ways to prevent abnormal attacks and increase efficiency of network by re-routing the abnormal traffics coming thru unified control for different make of systems into Sinkhole router and designing a control system to efficiently prevent various attacks after checking the possibility of including abnormal traffics from unified control operation.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
제안 방법
따라서 본 논문에서는 추가적인 설비투자 없이 기존의 IP 기반 라우터와 스위치 장비로 구성된 네트워크 인프라를 대상으로 회선차단, ACL, Rate-Unit, 트리거 라우터 설정, 싱크흘 라우터 설정, BGP(Border Gateway Protocol) 등의 라우터 기반 제어기술에 대해서 알아보고, CU와 XML기반의 NETCONFC3〕를 이용한 이기종 장비 접근 방법 설계와 코어 네트워크로 실시간 유입되는 트래픽을 분석하여 정상적인 트래픽은 네트워크 인프라를 통해 서비스 되고, 유해트래픽을 이용한 공격트래픽은 공격탐지 및 차단할 수 있는 시스템을 설계하여, 기존의 코어 네트워크 시스템에 부하를 주지 않으며, 보다 안정되고 효율적인 네트워크 트래픽관리 및 유해트래픽을 차단할 수 있는 제어시스템을 설계하여 제안시스템의 안정성 및 효율성을 실험결과를 토대로 고찰하였다.
ACLS] 종류는 표준 ACL, 확장 ACL, 명명된 ACL로구성되어 있다. 표준 ACLe 트래픽 정의를 근원 네트워크, 와일드카드 마스크로 정의하고, ACL 번호는 1~99, 1300-1999 이다 확장 ACLe 트래픽 정의를근원 네트워크, 목적지 네트워크, 와일드카드마스크, 프로토콜타입, 옵션으로 정의하고, ACL 번호는 100-199, 2000-2699 이다 명명된 ACL 은 트래픽의 주소를 이용하기 보다는 워드 텍스트를 이용하여 트래픽을 정의하며 이름을 부여하여 표준 또는 확장 형식을 구분한다.
지속적으로 업데이트되는 라우팅 테이블을 참조하기 때문에 동적 필터라고 한다. 패킷 반환 경로 상의 인터페이스와 패킷이 도착한 인터페이스가 동일한지를 라우팅 테이블을 참조하여 검사하며. 위조된 원천지 주소를 갖는 패킷을 필터링한다.
본 논문에서 제안한 유해 트래픽 제어 시스템은 DDoS나 웜과 같은 불특정한 유해 트래픽을 대상으로 회선차단, 서비스 포트 기반 차단. IP주소 기반 차단하는 방법으로 크게 3가지로 구분하여 제어시스템을 구성하였다.
차단. IP주소 기반 차단하는 방법으로 크게 3가지로 구분하여 제어시스템을 구성하였다. 서비스 포트 기반 차단의 경우에는 ACL, Rate Limit을 주로 활용하였으며, IP주소 기반 차단의 경우에는 RTBH(Remote Triggered Black Hole routing), 싱크홀 라우팅 방법을 활용하였다.
IP주소 기반 차단하는 방법으로 크게 3가지로 구분하여 제어시스템을 구성하였다. 서비스 포트 기반 차단의 경우에는 ACL, Rate Limit을 주로 활용하였으며, IP주소 기반 차단의 경우에는 RTBH(Remote Triggered Black Hole routing), 싱크홀 라우팅 방법을 활용하였다. 특히 트래픽을 분석하기 위하여 라우터로 유입되는 유해 트래픽을 싱크홀로 우회하여 트래픽 분석시스템을 통해 유해성 여부를 판단하여 유해한 트래픽은 백본 네트워크로 유입되기 전에 폐기 처리하여 백본 네트워크에 영향을 주지 않게 하였으며, 정상적인 트래픽은 제어시스템에서 판단하여 정상적으로 서비스가 이루어질 수 있도록 설계하였다.
서비스 포트 기반 차단의 경우에는 ACL, Rate Limit을 주로 활용하였으며, IP주소 기반 차단의 경우에는 RTBH(Remote Triggered Black Hole routing), 싱크홀 라우팅 방법을 활용하였다. 특히 트래픽을 분석하기 위하여 라우터로 유입되는 유해 트래픽을 싱크홀로 우회하여 트래픽 분석시스템을 통해 유해성 여부를 판단하여 유해한 트래픽은 백본 네트워크로 유입되기 전에 폐기 처리하여 백본 네트워크에 영향을 주지 않게 하였으며, 정상적인 트래픽은 제어시스템에서 판단하여 정상적으로 서비스가 이루어질 수 있도록 설계하였다.
이기종간의 제어 명령어 처리를 위해서 명령어 구문을 CU 기반과 NETCONF 기반으로 구분하여, 각 장비별 제어 명령어 별로 구분하여 제어명령어 구문 테이블을 작성하였다. 제어 명령어 구문 테이블은 일관된 제어 명령어를 처리할 수 있도록 사용자 인터페이스에서 입력되는 파라미터와 맵핑할 수 있도록 하였다.
제어명령어 구문 테이블을 작성하였다. 제어 명령어 구문 테이블은 일관된 제어 명령어를 처리할 수 있도록 사용자 인터페이스에서 입력되는 파라미터와 맵핑할 수 있도록 하였다. CU 기반징비제어 명령어는 텍스트 형태이며, NETCONF 기반 장비제어명령어는 XML 태그 기반으로 구성되어 있다.
개별 제어 처리로 나눌 수 있다. 일괄제어의 경우 규칙 관리를 통해서 생성된 각각의 제어종류 즉, 회선차단, ACL, 링크 Rate-Limit, 서비스 포트 Rate-Limit, 블랙홀, 싱크홀에 따라 생성된 규칙을 제어대상에 적용할 수 있도록 구성하여 특정 목적의 제어대상을 규칙 기반으로 구성하여 일괄적으로 제어할 수 있도록 구성하였다. 개별제어의 경우에는 특정한 장치와 인터페이스를 대상으로 위에 나열된 제어종류를 개별적으로 파라미터 설정을 통하여 직접적으로 제어기능을 설정할 수 있도록 구성하였다.
실험을 위하여 가운데 코어 네트워크를 구성하였으며, 에지 라우터로 4군데 포인트를 설정하여 각 에지 라우터에 nullO 인터페이스를 설정하고, 코어 네트워크는 각 라우터간 BGP 광고 설정을 위하여 BGP 라우팅 프로토콜에 대한 환경설정을 하였다. 주요 장비는 시스코와 주니퍼 장비를 사용하여 코어 네트워크를 구성하였다.
실험을 위하여 10MB의 공격 트래픽을 5 대의 노트북을 이용하여 약 50MB의 공격 트래픽을 발행하였다.
실험은 유해트래픽을 가장하여 트래픽제너레이터를 이용 트래픽을 발생하여, 실시간 트래픽을 수집하였으며, 본 논문에서 제안한 유해트래픽 제어시스템을 통해서 회선차단, ACL, Rate Limit, NullO 라우팅 제어 기능이 발생했을 때 트래픽 흐름을 파악하여 제어가 원할게 이루어졌는지 확인할 수 있었다.
첫 번째 트래픽 테스트는 A와 Z 라우터의 인터페이스에 공격으로 가장한 실험 트래픽을 보내고 백본 네트워크에 진입하기 전인 A 라우터의 인터페이스에 회선차단, ACL, 블랙홀 라우팅인 NullO 라우팅으로 제어를 하였다.<그림 14>의 위에 그림은 A 라우터의 트래픽 흐름을 나타내고, 아래 그림은 Z 라우터의 트래픽 흐름을 나타낸다.
두 번째 트래픽 테스트는 Rate-Limit을 이용하여 유해트래픽 과부하시 적정 기준의 임계치 정보를 이용하여 유해하다고 판단되는 포트번호의 트래픽을 제어하였다.<그림 15>는 Rate-Limit 실험결과를 나타낸다.
본 논문에서는 싱크홀 라우팅을 이용하여 트래픽을 수집하여 분석 嚇2며, 유해트래픽 제어시스템을 제안하였다 실험결과를 토대로 본 논문에서 제안한 유해트래픽 제어시스템은 실험으로 발생시킨 유해트래픽을 회선차단, ACL. Rate Unit.
CU 기반제어와 표준기반인 NETCONF 기반제어의 확장을고려하여, 제안한 유해트래픽 제어 시스템을 적용하여 에지 구간의 얀정된 제어를 위하여 에러 발생 시 롤백하는 기능과, 제어명령어 적합성 확인 기능을 강화하여 보다 얀정된 유해트래픽 제어시스템을 구축하는 것이다
대상 데이터
<그림 5>에서 보는 것과 같이 본 논문에서 제안한 유해트래픽 제어시스템은 이 기종간의 라우터를 기반으로 하는 네트워크 인프라를 대상으로 하며. 3 티어 아키텍처로 구성되어있다.
같은 프로토콜을 통해서 연결하여 제어할 수 있다. 본 논문에서는 CLI기반 제어는 텔넷을 이용하였으며 , NETCONF를 이용하여 IP기반 장치를 제어하기 위하여 NETCONF 표준에서 권고하는 SSHv2를 연결 인터페이스 대상으로 설정하였다.
실험에 사용된 도구로는 트래픽제너레이터를 사용하였으며 , 실험 네트워크 내에 구성된 A라우터와 목적지 에지 라우터인 Z 라우터에 공격포트로 가장한 포트번호를 설정하여 공격 트래픽을 전달하였다.
본 연구의 유해트래픽 제어시스템은 에지 라우터 인터페이스의 pps(packet per second) 데이터를 이용하였다. 실제 운용자 관점에서는 bps (bits per second)/} 관심 사항이지만, 네트워크 관리자 측면에서는 이상 트래픽이 발생하거나 발생한 것을 알기 위해서는 pps 데이터가 좀더 유익한 정보를 제공하여 준다.
성능/효과
<그림 14>에서의 결과처럼 A라우터의 실시간 트래픽 수집을 보면 일정한 트래픽이지속적으로 A 라우터에 입력되는 것을 확인할 수 있으며, Z 라우터는 회선차단의 경우 백본네트워크로 진입되는 트래픽이 차단되어 Z 라우터에는 수집된 트래픽이 없는 것을 확인할 수 있으며, A 라우터에서 회선차단 시 A 라우터의 롤백으로 인하여 입력 트래픽이 증가한 것을 확인할 수 있다. ACL의 경우 공격트래픽으로 가장한 목적지 3333 포트를 기반으로 제어를 한 후의 Z 라우터의 트래픽 흐름을 볼 수 있다.
ACL의 경우 공격트래픽으로 가장한 목적지 3333 포트를 기반으로 제어를 한 후의 Z 라우터의 트래픽 흐름을 볼 수 있다. 상대적으로 50MB의 트래픽 보다는 약 15%정도 트래픽이 필터링 되어 수집되는 것을 확인할 수 있었다. NullO 라우팅은 목적지 주소기반으로 제어를 한 경우로 192.
또한 물리적인 인터페이스를 차단하는 회선차단과 공격 형태의 목적지 주소를 NullO 인터페이스로 drop 하는 형태와 비교를 해 보면 백본 네트워크의 트래픽 부하는 없지만 인그레스 라우터인 A 라우터 자체의 트래픽은 롤백되어 3배 이상 폭주하여 트래픽이 발생하는 것을 확인할 수 있었다. 상대적으로 NullO 인터페이스로 폐기 하는 형태가 라우터 자체에 부하를 주지 않는 이점이 있다는 것을 실험결과를 토대로 알 수 있었다.
상대적으로 NullO 인터페이스로 폐기 하는 형태가 라우터 자체에 부하를 주지 않는 이점이 있다는 것을 실험결과를 토대로 알 수 있었다.
Rate Unit. 블랙홀, 싱크흘 라우팅을 이용하여 서비스 포트기반 IP 주소 기반坞 유해한 트래픽을 치단하는결과를 볼 수 있었다 또한 코어 네트워크로 유입되기 전에 에지 라우터의 인그레스나 이그레스 인터페이스에 제어시스템을 통해 제어가 발생하여 코어 네트워크로 유입되는 유해트래픽을 차단하여 보다 안정된 코어 네트워크의 트래픽 흐름을 보장할 수 있었다
실험으로 나타난 결과와 같이 Rate-Limit 1은 약 60%의 트래픽 흐름을 유지하는 결과이며 , Rate-Limit 2는 약 20%의 트래픽 흐름을 유지하고 있는 결과이다. 유해트래픽 발생 시 폭주하는 트래픽을 적정수준으로 차단하여 원활한 트래픽 흐름을 유도할 수 있다.
후속연구
본 논문의 향후 연구과제는 향후 A11TP기반진화하는 백본 네트워크와 전송네트워크의 경계가 없어질 것, 로 전먕된다. CU 기반제어와 표준기반인 NETCONF 기반제어의 확장을고려하여, 제안한 유해트래픽 제어 시스템을 적용하여 에지 구간의 얀정된 제어를 위하여 에러 발생 시 롤백하는 기능과, 제어명령어 적합성 확인 기능을 강화하여 보다 얀정된 유해트래픽 제어시스템을 구축하는 것이다
참고문헌 (10)
한국정보보보진흥원, "분산 서비스 거부 공격 차단 및 분석 기술," 한국정보보진흥원, 2004년
정문수, 구향옥, 오창석 "유해 트래픽 분석을 이용한 침입 방지," 한국컴퓨터정보학회논문지, 제10권 4호(pp.173-179), 2005년 9월
Enns, R., "NETCONF Configuration Protocol," RFC4741, lETF, Oct. 2006.
cisco, "Unicast Reverse Path Forwarding Enhancerrents for the Internet Service Provider - Internet Service Provider Network Edge", http://www.cisco.com/warp/public/732/Tech/security/docs/urpf.pdf, 2005.
cisco, "Rermtely Triggered Black Hole Filtering Thstination based and Source based", http://www.cisco.com/warp/public/732/Tech/security/docs/blackhole.pdf, 2005.
Traina, P., "Autonomous System Confederations for BGP," RFC1965, Cisco Systerrn, June 1996.
cisco, "Cisco Service Provider 18," http://www.cisco.com/web/KR/about/packet/sps/18_2.html
Wasserman, M, "Using the NETCONF Configuration Protocol over Secur SHell (SHH)," RFC4742, IETF, 2006. 10.
Lear, E., Crozier, K., "Using the NETCONF Protocol over the Blocks Extensible Exchange Protocol (BEEP)," RFC4744, lETF, Oct. 2006.
Goddard, T., Crozier, K., "Using NETCONF over the Simple Object Access Protocol (SOAP)," RFC4743, lETF, Oct. 2006.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.