Network middleboxes provide the first line of defense for enterprise networks by offering many security features. These middleboxes typically inspect packet payload to filter malicious content and attack patterns.However, the widespread use of end-to-end cryptographic protocols, such as SSL and TLS, designed to promote security and privacy, inhibits the functionalities of network middleboxes that perform deep-packet-inspection. This paper addresses the problem by introducing a secure framework for enabling visibility over encrypted traffic that makes use of software and hardware technologies. We introduce EVE, a secure middlebox system that is fully functional in the presence of nested encryption protocols, such TLS and OpenVPN. EVE securely processes encrypted traffic, including decryption and deep packet inspection, in a secure container by leveraging the Intel SGX technology. The security components of EVE ensure that security-sensitive data is not visible adversaries outside the secure container. For middlebox developers, EVE provides secure high-level APIs based on the RUST language to enhance the programmability. The high-level APIs of EVE significantly lowers the barrier to entry for developing a secure middlebox by hiding the details of cryptographic operations, enclave processing, TCP reassembly, and out-of-band key-sharing. To demonstrate its utility and practicality, we implement an intrusion detection system that performs deep packet inspection on SSL/TLS encrypted traffic in a number of different environments.Our evaluation result shows that EVE has reasonable performance overhead for the real network environment.

네트워크 미들박스는 기업 네트워크에 보안성을 향상 시키는 데 중요한 역할을 한다. 이러한 네트워크 미들박스들은 주로 패킷 내부에 악의적인 내용이나 공격 패턴이 있는지 검사한다. 그러나 보안 및 개인정보 보호를 위해 널리 사용되고 있는 SSL이나 TLS와 같은 종단 간 암호화 프로토콜은 이 네트워크 미들박스가 심층 패킷 분석을 수행하지 못하게 한다. 이 논문은 소프트웨어와 하드웨어 기술을 이용해서 암호화된 트래픽을 분석할 수 있는 안전한 미들박스 구조를 제공하여 위의 문제를 해결하는 방법을 제안한다. 이 논문은 TLS와 OpenVPN 프로토콜을 같이 사용한 경우처럼 중첩된 암호화 프로토콜에서도 완전히 동작하면서 동시에 보안성이 뛰어난 미들박스 시스템인 EVE를 제안한다. EVE는 암호화된 트래픽을 복호화하고 심층 패킷 분석할 때 Intel SGX 기술을 활용하여 안전한 컨테이너 내부에서 안전하게 처리한다. EVE의 보안요소들은 보안에 민감한 데이터들이 컨테이너 외부의 공격자들로 부터 보이지 않도록 한다. 미들박스 개발자들의 프로그램 생산성 향상을 위하여 EVE는 RUST 언어를 이용하여 안전한 높은 차원의 API들을 제공한다. EVE의 높은 차원의 API들은 암호화 동작, enclave 내의 데이터 처리, TCP 패킷 재조립과 외부 밴드 키 공유 과정의 세부사항을 은닉하여 안전한 미들박스를 개발하는 진입장벽을 상당히 줄여준다. EVE의 유용성과 실용성을 보이기 위해서, SSL/TLS로 암호화된 트래픽에 대해 심층 패킷 분석을 수행하는 침입 감지 시스템을 여러 가지 다른 환경에서 구현하였다. 본 논문의 성능 측정 결과는 EVE가 합리적인 성능 오버헤드를 내는 것을 보여준다.