特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

Slides:



Advertisements
Similar presentations
SSH Network Security SolutionsYHO 1 Virtual Private Network ブロードバンド研究会 第2回勉強会 SSH コミュニケーションズ・セキュリティ株式会社 ビジネスディベロップメントマネージャ 奥村 康弘
Advertisements

TCP/IP によるチャットプログラ ム 薄井 秀晃. 基礎知識編 TCP/IP とは? IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールで あり、実際にデータを送受信する前にデータを小さなデータ に分割し、それに発信元と受信先の IP アドレスを付加させて.
SSH2パケットの送信処理は、finish_send_packet_special()で パケット構築と暗号化が行われた上で、
プロセスの依存関係に基づく 分散システムのセキュリティ機構
ファイアウォール 基礎教育 (4日目).
Webプロキシサーバにおける 動的資源管理方式の提案と実装
第1回.
クラウド上の仮想マシンの安全なリモート監視機構
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
(株)アライブネット RS事業部 企画開発G 小田 誠
(株)アライブネット RS事業部 企画開発G 小田 誠
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
IGD Working Committee Update
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
一対多通信における ネットワーク障害物対応方法選択プロトコルの設計
CGI Programming and Web Security
TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ
ファイルシステムキャッシュを 考慮した仮想マシン監視機構
ネットワーク コミュニケーション トランスポート層 TCP/UDP 6/28/07.
XenによるゲストOSの解析に 基づくパケットフィルタリング
富士通 SS研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
トランスポート層.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
担当:青木義満 情報工学科 3年生対象 専門科目 システムプログラミング 第11回 プロセス間通信4 仮想FTPの実現 担当:青木義満
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
SCTPにおける アドレス選択ポリシーを定義できる IPアドレス自動更新機能の設計
サーバ負荷分散におけるOpenFlowを用いた省電力法
Step.9 VPN VPNのトンネルを張る PC 3 PC 1 PC 2 論理ネットワーク1 xx (自動割当)
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
ECN sada 親 makoto, hitomi
ネットワークアプリケーションと セキュリティ
P2P方式によるオンラインゲームの研究、開発
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
7. セキュリティネットワーク (ファイアウォール)
Xenによる ゲストOSの監視に基づく パケットフィルタリング
ソケットプログラム(TCP,UDP) EasyChat開発
分散IDSの実行環境の分離 による安全性の向上
第15章 TFTP:トリビアル・ファイル転送プロトコル
仮想マシンモニタによる きめ細かい パケットフィルタリング
ソケットプログラム(TCP,UDP) EasyChat開発2
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
各種ルータに対応する P2P通信環境に関する研究
Ibaraki Univ. Dept of Electrical & Electronic Eng.
UDPマルチキャストチャット    空川幸司.
第16章 BOOTP:ブートストラップ・プロトコル
Webプロキシ HTTP1.0 ヒント CS-B3 ネットワークプログラミング  &情報科学科実験I.
複数のオーバレイネットワークを制御するためのプライベートなネットワーク環境
インターネットにおける パーソナルネットワークの構築
認証サーバーとチャットサーバーの構築(1)
Intel SGXを用いた仮想マシンの 安全な監視機構
VPNとホストの実行環境を統合するパーソナルネットワーク
最低限インターネット ネットワークにつなぎましょ!
仮想環境を用いた 侵入検知システムの安全な構成法
LAN(TCP/IP) インターネットワーキング編
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
担当:青木義満 情報工学科 3年生対象 専門科目 システムプログラミング 第11回 プロセス間通信4 仮想FTPの実現 担当:青木義満
強制パススルー機構を用いた VMの安全な帯域外リモート管理
4.3 IPとルーティングテーブル 国際産業情報学科 2年 大竹 雅子.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
牧野ゼミ 2年 産業情報 学科 韓 憲浩(カン ケンコウ)
ソケットの拡張によるJava用分散ミドルウエアの高信頼化
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク 学籍番号:9804020 宇崎 央泰

仮想プライベートネットワーク(VPN)とは オープンネットワーク上に、仮想的にプライベートネットワークを構築する技術 暗号化、ハッシュ関数、認証などの技術を使い、盗聴、改竄、なりすましなどの危険を防ぐ 代表的なVPNプロトコル:IPsec、PPTP、L2TP、SSH

VPN の認証 IPsec SSHのポートフォワーディング VPN確立のときに 送信元と受信先のホストを認証 IPパケット単位で暗号化 VPN確立のときにユーザーのRSA認証を行う TCPストリームを暗号化

VPNの問題点 他のユーザーにVPNを利用されてしまう ユーザーの概念が取り入れられていない VPNの入り口でユーザー認証が行われない Grandma のような共有計算機では問題 このプロセスのユーザーがVPNを作成 VPNの入り口 サーバー VPN 他のユーザーのプロセスまでVPNを使えてしまう

パーソナルVPN(PVPN) の提案 パケットごとにユーザー認証を行うVPN PVPNを作成したユーザーしか使えない PVPNの入り口でPVPNフォワーダ(PVPNF)がパケットの認証をし、PVPNにフォワーディングか遮断する PVPNフォワーダは信頼する このプロセスのユーザーがPVPNを作成 PVPN 他のユーザーのプロセスはPVPNを利用できない PVPNフォワーダ

パーソナルVPNの 認証と暗号化 SSL (Secure Socket Layer) で実現 ユーザの認証 認証後の通信の暗号化 ユーザの認証 PVPN作成時に、SSL上で、 RSAでPVPNを作成するユーザーを認証

パケットのユーザー認証とフォワーディング PVPN入り口のユーザー認証 Divertソケットで横取り IPパケットの送信ユーザーを調べる procファイルシステムを利用 tcp通信の場合、送信元ポートと/proc/net/tcpのlocal_addressのポート番号が一致するエントリのユーザーIDからわかる PVPNF App PVPNF PVPNF App PVPNフォワーダ パケットのユーザー認証とフォワーディング Divert ソケット Rawソケット PVPN

PVPNの連結 2つのPVPN間でルーティング可能 RSA認証によるユーザー認証 サーバとクライアントが直接通信できない場合(例: private IP)に利用 RSA認証によるユーザー認証 途中のゲートウェイが中継 ①サーバーがゲートウェイに対しRSAユーザー認証を行う クライアント ゲートウェイ サーバー ② ① ②ゲートウェイはRSAユーザー認証をクライアントに中継

PVPNのオーバーヘッド 実験 WebStoneベンチマークを利用 計測 以下の3つについて計測 Web server のスループットと平均レスポンスタイム 以下の3つについて計測 サーバーとクライアントが直接通信 パーソナルVPNを通して通信(暗号化無し) パーソナルVPNを通して通信(暗号化有り)

表:Throughput(Kbyte/sec) 実験結果 PVPNを使うと10倍から数百倍遅くなる 100倍以上遅くなるときは、パケットの再送が頻繁に起きていた 表:Throughput(Kbyte/sec) File size(byte)    1k     10k    1000k Normal 711.3 3168.8 8497.3 Noencrypt  6.1 262.6 821.6 Encrypt  2.2  30.8    629.1

まとめ パーソナルVPNを提案・実装した 今後の課題 パケットごとにユーザー認証を行うVPN 再送が頻発する原因を調査、修正 PVPNの連結は設計はできているが、まだ未完成なので、実装を完成させる カーネル内部に実装を行う