SDN 기술 정리

배경 : 지능화, 가상화 기반의 네트워크로 대변되는 Programmable Network의 필요성 대두

네트워크 가상화와 지능화를 위해 소개된 기술이 SDN과 NFV 기술이다.

 

SDN 기술 : 네트워크 " 설정 " 을 소프트웨어적으로 제어 하는 기술

NFV 기술 : 네트워크 " 기능 " 을 소프트웨어적으로 가상화하여 제어 및 관리하는 기술

 

1. SDN 기술

 

산업체를 중심으로 SDN 기술의 개발과 표준화가 진행되고 있고,

ONF(Open Networking Fodation) 산업체 컨소시움의 대표적인 예로 보여지고 있다.

ONF는 아래의 그림과 같이 SDN  구조를 정의했다.

 

 

 

SDN의 개념 구조

 

즉 네트워크를 SW적으로 프로그램화하여 중앙에서 제어한다.

하드웨어 기반의 데이터 전달 기능과 SW 제어기능이 결합된 기존스위치, 라우터의 SW 제어기능을 분리하여 중앙집중화시키고, 개방형API(Open Flow)를 통해 네트워크 트래픽 전달 동작을 SW 기반 컨트롤러에서 제어,관리 하는것을 말한다.

 

(Openflow : 네트워크 컨트롤러가 스위치망을 통해 네트워크 패킷의 경로를 정의하는 SDN프로토콜)

 

 

 

기존방식 : 분산된 하드웨어의 제어 기능을 개별 관리되는 비유연성 구조

변경방식 : 제어기능을 별도로 분리하여 분산된 하드웨어를 중앙 집중식으로 관리하는 구조

얻은효과 : 

 - 가상적으로 분리된 네트워크 자원을 서비스의 특성과 상황에 따라 동적으로 제어 가능

   ex) 고품질 서비스 제공 가능

 - 자동적으로 네트워크 자원 통제 및 관리 가능

   ex) 통신망의 관리 비용 절감, 상황 대응에 따른 민첩성 향상

 

1-1 SDN의 장점

 

ㆍ 스위치, 라우터 등 다수의 벤더가 제공하는 다양한 환경에서 중앙 집중화 제어 가능

   - 모든 벤더의 오픈플로우 지원 네트워크 장비를 제어할 수 있음

 

ㆍ 자동화 

   - 관리 프레임워크를 제공하여 오퍼레이터 오류를 줄이고, 수동작업을 자동화해줌

 

ㆍ네트워크 신뢰와 보안성의 향상

   - SDN컨트롤러들이 네트워크를 제어하고 있어 트래픽, 서비스품질, 보안, 전략 시행이 가능하며 다양한 정책이 일관성 있게 적용

 

 

 

1-2. SDN의 보안취약점

 

ㆍ 네트워크 컨트롤러 플레인에 대한 DoS공격

   - 컨트롤러 플레인에 지속적인 질문요청으로 전체 네트워크 마비가능성 존재

   - 현재는 SDN스위치가 판단하기 힘든 패킷은 SDN 컨트롤러에게 물어보고 올바른 경로를 설정하도록 되어 있음.

   - SDN 침투테스크툴 개발중

 

ㆍ 네트워크 컨트롤러에 대한 악성코드 및 DDOS 공격

   - 컨트롤러가 악성코드 감염 시 공격자가 프로그램 재설치하여 네트워크 데이터 스니핑할 수 있으며,

     컨트롤러 플레인과 컨트롤러 사이에서 컨트롤러가 정상적으로 데이터계층에 지시를 내리지못하고 정상행위를 방해할 수 있음

 

ㆍ 오픈플로우 취약점

   - MAC주소, IP주소 등 네트워크 정보를 속여 공격자가 컨트롤러인것처럼 행동해 오픈플로우 스위치의 행동을 조작하여 네트워크 자체를 정지시킬 수 있음