NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法

Slides:



Advertisements
Similar presentations
Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
Advertisements

IP over DVB-RCS の設計と実装 研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
早稲田大学大学院 理工学研究科情報科学専攻 後藤研究室 修士 焦 江霞
Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク
Ibaraki Univ. Dept of Electrical & Electronic Eng.
最新ファイルの提供を保証する代理FTPサーバの開発
第1回.
CCC DATAset における マルウェアの変遷
早稲田大学大学院理工学研究科 情報科学専攻修士2年 後藤滋樹研究室 坂本義裕
神奈川大学大学院工学研究科 電気電子情報工学専攻
TCP (Transmission Control Protocol)
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
発表の流れ 研究背景 マルチテナント型データセンタ 関連研究 IPマルチキャスト ユニキャスト変換手法 提案手法 性能評価.
i-Pathルータのフロー情報を用いたDoS攻撃検知法
研究背景 クラウドコンピューティングサービスの普及 ユーザ数の増加に伴う問題 マルチテナント方式の採用 データセンタの需要が増加
トランスポート層.
PlanetLab における 効率的な近隣サーバ選択法
ファイアウォール 基礎教育 (1日目).
ネットワーク機器接続 2SK 情報機器工学.
ノードの情報を動的に反映したオーバレイネットワークの構築
ノードの情報を動的に反映したオーバレイネットワークの構築
ま と め と 補 足 ネットワークシステムⅠ 第15回.
ファイアウォール 基礎教育 (2日目).
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
IPv6アドレスによる RFIDシステム利用方式
サーバ負荷分散におけるOpenFlowを用いた省電力法
イーサネット.
Copyright Yumiko OHTAKE
セキュリティ(5) 05A2013 大川内 斉.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
Future Internetとフロー指向
7. セキュリティネットワーク (ファイアウォール)
DiffServにおけるクラスの新しい設定方法の提案
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
パケットキャプチャーから感染種類を判定する発見的手法について
Xenによる ゲストOSの監視に基づく パケットフィルタリング
i-Pathルータのフロー情報を用いたDoS攻撃検知法
セキュリティ(6) 05A2013 大川内 斉.
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
マルチホーミングを利用した Proxy Mobile IPv6の ハンドオーバー
各種ルータに対応する P2P通信環境に関する研究
Internet広域分散協調サーチロボット の研究開発
第16章 BOOTP:ブートストラップ・プロトコル
DNSクエリーパターンを用いたOSの推定
TCP制御フラグの解析による ネットワーク負荷の推測
軽量な仮想マシンを用いたIoT機器の安全な監視
仮想ネットワークを考慮した SoftIRQ制御によるCPU割当ての手法
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
C11: 不正アクセスパケットの可視化 シャボン
マルウェアの通信履歴と 定点観測の相関について
ネットワークをシンプルにする エンタープライズ NFV
最低限インターネット ネットワークにつなぎましょ!
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
IDSとFirewallの連携によるネットワーク構築
勝手にインフラ隊 (の中の人といっしょ) に学ぶネットワーク講座 Part2
トラフィックプロファイラAGURIの設計と実装
勝手にインフラ隊 (の中の人といっしょ) に学ぶネットワーク講座 Part2
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
GbEにおける TCP/IP の研究について
衛星回線を含むネットワークにおける 動的経路制御に関する研究
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
ベイジアンネットワークと クラスタリング手法を用いたWeb障害検知システムの開発
TCP/IPの通信手順 (tcpdump)
Presentation transcript:

NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法 山田 建史 早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士1年 NEC-早大技術交流会 2011/12/26

1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7.まとめと今後の課題 Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7.まとめと今後の課題 NEC-早大技術交流会 2011/12/26

研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 広域的な調査を行い、多様化した攻撃の実態を掴む 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要 IT利用の利便性と情報セキュリティ対策との両立 通信の選別 サイバー攻撃やボットネットの活動を把握するためには広域的な調査が必要。 既存のネットワークに影響を与えない NEC-早大技術交流会 2011/12/26

研究の目的1 既存の悪意のある通信の観測や防御に必要な機器 観測を行う範囲を広げると ネットワーク機器での制御 ・設備投資によるコスト増大 侵入検知システム(IDS) 侵入防御システム(IPS) ファイアウォール      観測を行う範囲を広げると   ・設備投資によるコスト増大   ・機器の運用や設定にかかる人的なコスト  ネットワーク機器での制御  観測機器の設置・維持によるコストを抑えられる  広域な通信を効率良く制御できる 単純に設置台数が増えるなど、設備投資や人的なコスト増大 →元からあるネットワーク機器で制御ができればそれらが必要なくなる NEC-早大技術交流会 2011/12/26

関連研究:ポリシールーティングを用いた        ネットワークハニーポットの構築 白畑真, 南政樹,村井純(情報処理学会研究報告(DSM-038), pp.55-58, 2005) ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ルータ ポート番号による ポリシールーティング ホスト Internet ルータ エントリ数が大きくなるとルータの負荷が大きくなってしまう。 →制御内容が多様になったとしてもその利点を活かすことが難しい 制御内容は適用したルータ自身にのみ適用される →広範囲の通信を制御するために複数のルータそれぞれに適用しなければならない  結局スケールアウトしない ・エントリ数が大きくなるとルータに負荷がかかる   → ポート番号でのみの制御 ・制御内容の適用はルータ自身にのみ   →効率が悪く、スケールアウトしない ハニーポット NEC-早大技術交流会 2011/12/26

研究の目的2 OpenFlowスイッチング技術 広域な通信を一元管理できるネットワーク管理システムが必要 スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理 広域通信を効率良く制御し、悪意のある通信を集約する 悪意のある通信の選別 安定した通信の集約 OpenFlowスイッチング技術 柔軟かつ集約的な制御 Openflowの説明はあとで詳しく。 ネットワーク機器を1つの制御部により制御可能。  →このシステムを利用して選別による安定した通信の集約を目指す NEC-早大技術交流会 2011/12/26

提案手法 OpenFlowスイッチによる 広域通信の効率的集約法 NEC-早大技術交流会 2011/12/26

提案手法:悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 選別した通信をハニーポットに集約 Internet ※ O/F:OpenFlow 選別した通信をハニーポットに集約 ポート番号 送信元IPアドレス dshield.org が 公開している ブラックリスト O/F Controller O/Fスイッチ1 ホスト Internet O/Fスイッチn 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー ハニーポット 柔軟かつ安定したセキュアなシステム NEC-早大技術交流会 2011/12/26

実証実験:概要 攻撃通信をhping3、正常な通信をiperfで再現 比較実験項目 実験環境 hping3: pingライクなパケット生成ツール ポートスキャン、スパムによる攻撃(送信元IPアドレスの偽造) iperf:トラヒック発生ツール ファイルダウンロード、スループットの測定 比較実験項目 収集率の比較 スループットの比較 (平均スループット、分散) 実験環境 仮想サーバ上に仮想ネットワークを構築 NEC-早大技術交流会 2011/12/26

悪意のある通信の再現 ポートスキャンとIPスプーフィングを利用 iperf hping3 悪意のある通信の再現  hping3 icmp プロトコルで動作するping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用            ※IPスプーフィング:送信元IPアドレスの偽造 iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ/クライアント方式で動作      1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う NEC-早大技術交流会 2011/12/26

実証実験:基本構成と詳細 サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率 :攻撃通信がハニーポットに流れた割合 ※ O/F:OpenFlow サーバ‐ホスト間に2つのトラフィックによる通信を観測 収集率    :攻撃通信がハニーポットに流れた割合 スループット:サーバ‐ホスト間を測定 O/F Controller ホスト O/Fスイッチ1 サーバ O/Fスイッチ2 正常な通信:iperf 攻撃通信  :hping3 ハニーポット NEC-早大技術交流会 2011/12/26

実験環境:既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiproute2を組み合わせる ポリシルータ ポート番号による ポリシールーティング ホスト サーバ ポリシルータ ハニーポット NEC-早大技術交流会 2011/12/26

ポリシールーティングの構成図 iproute2とiptablesを組み合わせることで ポリシーを設定し、転送を行う ホスト サーバ NEC-早大技術交流会 2011/12/26

実験環境:提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 Internet 更新 ホスト サーバ 送信元IPアドレス ※ O/F:OpenFlow ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー O/F Controller 更新 ホスト Internet O/Fスイッチ1 サーバ O/Fスイッチ2 ハニーポット NEC-早大技術交流会 2011/12/26

使用したポリシー ポート番号 ブラックリスト nepenthesが対応、検知するポート番号 18種類 警察庁セキュリティポータルサイト@police 上位20件 参考:インターネット治安情勢 2010年7~9月 合計 27種類 ブラックリスト Dshield.org が提供 ホストのIPアドレス群 スキャンや不正アクセス 上位100件を使用 NEC-早大技術交流会 2011/12/26

+22.1% 実験結果1:収集率 悪意のある全トラフィックから、集約した通信の割合 ポート番号のみ ポート番号+IPブラックリスト NEC-早大技術交流会 2011/12/26

実験結果2:平均スループット 既存手法 提案手法 スループットの ばらつきが少ない 平均スループット 分散 (Mbps) 13.95 0.56 提案手法 12.71 0.35 スループットの ばらつきが少ない NEC-早大技術交流会 2011/12/26

安定した広域通信での通信集約システム まとめ OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット        提案手法に優位性、実用性 OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット NEC-早大技術交流会 2011/12/26

今後の課題 3. 実機での検証 1. より精度の高いポリシーを検討 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 より動的で柔軟なポリシーの設定 2. 比較対象の検討 - vyattaなどの仮想ルータとの比較 今回はopenvswitchを使用 - OpenFlowスイッチとの比較 ポリシルータではなく、既存のOpenFlowスイッチで 複数種類の手法を検討 3. 実機での検証 今回は仮想環境での実験 NEC-早大技術交流会 2011/12/26

ご清聴ありがとうございました NEC-早大技術交流会 2011/12/26

補足資料 NEC-早大技術交流会 2011/12/26

OpenFlow フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割 コントローラでの制御一括管理 より柔軟な対応が可能(動的なパラメータの変更) OpenFlow スイッチ Controller Rule Action Stats CSS2011 2011/10/20

OpenFlowの制御とその特徴 スイッチとコントローラによる機能分離 各種ヘッダ情報の書き換え SW(コントローラ)で処理方法を決定 HW(スイッチ)で通信の処理 一つのコントローラで複数のOpenFlowスイッチを 制御することが可能 各種ヘッダ情報の書き換え ポート番号、IPアドレス、MACアドレスなど レイヤ4以下のヘッダ情報は書き換えが可能 任意のヘッダを挿入することも可能  高速で柔軟なネットワーク環境が実現可能 Rule Action Stats CSS2011 2011/10/20

きめ細かい通信制御や 柔軟な設計や構築が可能 フローの定義 レイヤ4以下の情報の組み合わせで定義 受信したスイッチの物理ポート 宛先MACアドレス、送信元MACアドレス Etherタイプ VLANタグID VLANプライオリティ 宛先IPアドレス、送信元IPアドレス プロトコル番号 ToS (Type of Service) 宛先ポート番号、送信元ポート番号 通信をフローとして扱う きめ細かい通信制御や 柔軟な設計や構築が可能 ※ OpenFlow v1.2からIPv6も対応 CSS2011 2011/10/20

フローの定義とフローテーブルの構成 フローの定義 CSS2011 2011/10/20 通信をフローとして扱う ⇨ きめ細かい通信制御や柔軟な設計や構築が可能 CSS2011 2011/10/20

OpenFlowの動作 SW HW OpenFlow controller OpenFlow switch OpenFlow protocol SW Secure channel 3. 処理を決定 Rule Action Stats 4. 処理をフローテーブルに登録し パケットの処理を行う HW Flow table 5. 以降同じパケットは   同様に転送される 1. 最初のパケットを送信 2. フローテーブル未登録より   コントローラへパケットを転送 要修正:図をオリジナルなものに変更 CSS2011 2011/10/20

2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP CSS2011 2011/10/20

関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真, 南政樹,村井純(慶応義塾大学, 情報処理学会研究報告, p 関連研究:ポリシールーティングを用いた        ネットワークハニーポットの構築 白畑真, 南政樹,村井純(慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 Darknet 使用していない IPアドレス空間 ハニーポット(複数種類) Internet 複数種類のハニーポットの特性を 活かすことが可能 ポリシルータ ポート番号による ポリシールーティング CSS2011 2011/10/20

! ポート番号によるポリシールーティング 指定したポート番号は ハニーポットへ転送 →スイッチ側で制御 ホスト群 ハニーポット ※ O/F:OpenFlow Controller ! ルール アクション ステート O/Fスイッチ1 ホスト群 サーバ O/Fスイッチn ハニーポット CSS2011 2011/10/20

? ! 動作例(ハニーポットへ誘導) スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 Internet rule action stats ? Controller O/Fスイッチ1 ホスト Internet IPアドレス,MACアドレス 書き換え 1. O/Fスイッチにパケットが到着 2. フローテーブルにないので   controllerに転送し、問い合わせ ! O/Fスイッチ2 3. 以降ハニーポットへ転送、誘導 4. 通信によっては代理で応答を返す ※ O/F:OpenFlow ハニーポット CSS2011 2011/10/20

ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット   エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット 脆弱性があるOS やアプリケーションの反応をエミュレートすることで マルウェア収集 代表例:nepenthes ←本研究で使用 ハイインタラクションハニーポット 脆弱性がある本物のOS やアプリケーションを用いて構築 CSS2011 2011/10/20

現在の取り組み コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別 Internet ホスト 送信元IPアドレス ※ O/F:OpenFlow コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別 学習&判定モジュール 送信元IPアドレス ポートポリシー Controller ホスト Internet O/Fスイッチ ハニーポット CSS2011 2011/10/20

現在の取り組み:将来像 コントローラの機械学習による制御とIDSの連携 通知⇨学習⇨フィードバックによる循環システム Internet 通知 ※ O/F:OpenFlow コントローラの機械学習による制御とIDSの連携 通知⇨学習⇨フィードバックによる循環システム 学習&判定モジュール Controller 通知 IDS フィードバック ホスト Internet O/Fスイッチ ハニーポット CSS2011 2011/10/20