fleet defending sdns from misbehaving administrators
play

Fleet: Defending SDNs from Misbehaving Administrators Stephanos - PowerPoint PPT Presentation

Fleet: Defending SDNs from Misbehaving Administrators Stephanos Matsumoto Samuel Hitz Adrian Perrig 1 Motivation The Misbehaving Administrator Problem Administrator affects SDN


  1. Fleet: Defending SDNs from Misbehaving Administrators Stephanos ¡Matsumoto ¡ Samuel ¡Hitz ¡ Adrian ¡Perrig ¡ 1 ¡

  2. Motivation § The ¡Misbehaving ¡Administrator ¡Problem ¡ • Administrator ¡affects ¡SDN ¡rou?ng ¡by ¡misconfiguring ¡ a ¡ correctly ¡func,oning ¡controller ¡ § Human ¡error ¡is ¡responsible ¡for ¡50-­‑80% ¡of ¡all ¡ network ¡outages ¡[1] ¡ § Misconfigura?ons ¡that ¡do ¡not ¡cause ¡outages ¡can ¡ be ¡difficult ¡to ¡detect ¡ [1] ¡Juniper ¡Networks. ¡What’s ¡behind ¡network ¡down?me? ¡2008. ¡ ¡

  3. Fleet's Approach § The ¡Fleet ¡controller ¡contributes: ¡ • Threshold ¡signature ¡func?onality ¡to ¡switches ¡ • Resilience ¡by ¡vo?ng ¡on ¡configura?ons ¡ § Orthogonal ¡Approaches ¡ • Diversity ¡of ¡hardware/soXware ¡[2] ¡ • Policy-­‑based ¡flow ¡rules ¡[3, ¡4] ¡ [2] ¡Diego ¡Kreutz, ¡Fernando ¡Ramos, ¡and ¡Paulo ¡Verissimo. ¡Towards ¡secure ¡and ¡dependable ¡soXware-­‑defined ¡networks. ¡HotSDN ¡'13. ¡ [3] ¡Philip ¡Porras ¡et ¡al. ¡A ¡security ¡enforcement ¡kernel ¡for ¡OpenFlow ¡networks. ¡HotSDN ¡'12. ¡ [4] ¡Ahmed ¡Khurshid, ¡et ¡al. ¡VeriFlow: ¡Verifying ¡network-­‑wide ¡invariants ¡in ¡real ¡?me. ¡HotSDN ¡'12. ¡ ¡

  4. Adversary Model § k ¡misbehaving ¡administrators ¡(out ¡of ¡ n ¡total) ¡ • Network ¡configured ¡to ¡desired ¡level ¡of ¡resilience ¡ • In ¡prac?ce, ¡ k ¡will ¡be ¡small ¡(1 ¡or ¡2) ¡ § May ¡create ¡policies ¡selec?ng ¡undesired ¡paths ¡ § Cannot ¡otherwise ¡affect ¡controller ¡opera?on ¡

  5. Assumptions § Switches ¡pre-­‑configured ¡with ¡necessary ¡keys ¡ § Administrators: ¡ • See ¡the ¡same ¡network ¡topology ¡ • Are ¡loosely ¡?me-­‑synchronized ¡ • Securely ¡communicate ¡out-­‑of-­‑band ¡ • Share ¡the ¡same ¡rou?ng ¡policy ¡if ¡not ¡malicious ¡

  6. Fleet Controller Architecture Fleet Controller Intra-Controller Link Controller-Switch Link Admin 1 Admin 2 Admin 3 Administrator Layer Shared Data Storage Switch Intelligence Layer Data Plane (Switches/Links)

  7. Routing with the Fleet Controller § Single-­‑configura?on ¡ • Vo?ng ¡protocol ¡using ¡threshold ¡signatures ¡ § Mul?-­‑configura?on ¡(details ¡in ¡paper) ¡ • Sources ¡or ¡ingress ¡switches ¡can ¡select ¡per-­‑flow ¡ routes ¡

  8. Single-Configuration Approach Fleet Controller Intra-Controller Link KS 1 ¡ KS 2 ¡ KS 3 ¡ Controller-Switch Link Admin 1 Admin 2 Admin 3 Administrator Layer Proposal ¡ Shared Data Storage S 3 ¡ S 2 ¡ C ¡ S 2 ¡ S 3 ¡ C ¡ S 3 ¡ S 2 ¡ C ¡ S 2 ¡ S 3 ¡ C ¡ S 3 ¡ S 2 ¡ C ¡ S 3 ¡ S 2 ¡ C ¡ Switch Intelligence Layer Data Plane (Switches/Links)

  9. Evaluation § Prototype ¡implementa?on ¡in ¡Python-­‑based ¡POX ¡ controller ¡and ¡Mininet ¡SDN ¡framework ¡ § Tested ¡on ¡random ¡topologies ¡of ¡20 ¡switches ¡and ¡ 50 ¡hosts ¡ § Main ¡ques?on: ¡what ¡dominates ¡recovery ¡?me? ¡

  10. Evaluation § Key ¡size ¡affects ¡vo?ng ¡protocol ¡length ¡ § Successful ¡vote ¡takes ¡less ¡than ¡1s ¡ 550 1024 bit key 2048 bit key 500 450 400 Time [ms] 350 300 250 200 150 4 5 6 7 8 9 10 Number of Administrators

  11. Evaluation § Link ¡failure ¡detec?on ¡?me ¡dominates ¡recovery ¡ 8 1 out of 4 admins malicious 7.5 2 out of 6 admins malicious 3 out of 8 admins malicious 7 4 out of 10 admins malicious 6.5 6 Recovery Time [s] 5.5 5 4.5 4 3.5 3 2.5 2 1.5 1 1 2 3 4 5 Link Failure Detection Time [s]

  12. Conclusions § Fleet ¡protects ¡against ¡misconfigura?ons ¡with ¡ ligle ¡overhead ¡ § Switch ¡intelligence ¡enables ¡useful ¡switch ¡ func?onality, ¡such ¡as ¡threshold ¡signatures ¡ § Companies ¡can ¡expand ¡their ¡networks ¡to ¡ loca?ons ¡where ¡admins ¡may ¡not ¡be ¡as ¡trusted ¡ Thank ¡you! ¡Ques.ons? ¡

Recommend


More recommend