特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

Slides:



Advertisements
Similar presentations
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
Advertisements

TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
SSH2パケットの送信処理は、finish_send_packet_special()で パケット構築と暗号化が行われた上で、
プロセスの依存関係に基づく 分散システムのセキュリティ機構
ファイアウォール 基礎教育 (4日目).
Webプロキシサーバにおける 動的資源管理方式の提案と実装
最新ファイルの提供を保証する代理FTPサーバの開発
第1回.
クラウド上の仮想マシンの安全なリモート監視機構
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
(株)アライブネット RS事業部 企画開発G 小田 誠
(株)アライブネット RS事業部 企画開発G 小田 誠
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ
XenによるゲストOSの解析に 基づくパケットフィルタリング
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
心理学情報処理法Ⅰ コンピュータネットワーク概論.
スキルアップ.
トランスポート層.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
ネットワーク機器接続 2SK 情報機器工学.
ノードの情報を動的に反映したオーバレイネットワークの構築
ま と め と 補 足 ネットワークシステムⅠ 第15回.
帯域外リモート管理の継続を 実現可能なVMマイグレーション手法
(B2) 親: minami, kazuki 多様な認証機器に対応する 認証システム (B2) 親: minami, kazuki.
「コンピュータと情報システム」 06章 通信ネットワーク
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
Step.9 VPN VPNのトンネルを張る PC 3 PC 1 PC 2 論理ネットワーク1 xx (自動割当)
ECN sada 親 makoto, hitomi
IPv6 ネットワークにおける エニーキャスト通信実現のための プロトコル設計と実装
ネットワークアプリケーションと セキュリティ
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
Xenによる ゲストOSの監視に基づく パケットフィルタリング
ソケットプログラム(TCP,UDP) EasyChat開発
分散IDSの実行環境の分離 による安全性の向上
仮想マシンモニタによる きめ細かい パケットフィルタリング
IaaS型クラウドにおける インスタンス構成の動的最適化手法
ソケットプログラム(TCP,UDP) EasyChat開発2
ユーザ毎にカスタマイズ可能な Webアプリケーションの 効率の良い実装方法
インターネットにおける真に プライベートなネットワークの構築
TCP/IP入門          櫻井美帆          蟻川朋未          服部力三.
学内環境におけるP2Pアプリケーションの構築
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
Webプロキシ HTTP1.0 ヒント CS-B3 ネットワークプログラミング  &情報科学科実験I.
複数のオーバレイネットワークを制御するためのプライベートなネットワーク環境
インターネットにおける パーソナルネットワークの構築
Intel SGXを用いた仮想マシンの 安全な監視機構
仮想ネットワークを考慮した SoftIRQ制御によるCPU割当ての手法
VPNとホストの実行環境を統合するパーソナルネットワーク
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
最低限インターネット ネットワークにつなぎましょ!
仮想環境を用いた 侵入検知システムの安全な構成法
Peer-to-Peerシステムにおける動的な木構造の生成による検索の高速化
福岡工業大学 情報工学部 情報工学科 種田研究室 于 聡
小規模組織に適した IPv6ネットワークの設計と構築
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
ユビキタスコンピューティングの ための ハンドオーバー機能付きRMIの実装
強制パススルー機構を用いた VMの安全な帯域外リモート管理
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
TCP/IPの通信手順 (tcpdump)
ソケットの拡張によるJava用分散ミドルウエアの高信頼化
強制パススルー機構を用いた VMの安全な帯域外リモート管理
管理VMへの キーボード入力情報漏洩の防止
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク 宇崎央泰(東京工業大学) 千葉滋(東京工業大学) 光来健一(NTT未来ねっと研究所)

仮想プライベートネットワーク(VPN) 共有ネットワーク上に、ホスト同士を直接つなぐネットワークを仮想的に構築する技術 Passwd=4871 3582 4871 インターネット ? 4871

VPNの利用形態 (誰が利用可能か?) ネットワーク間接続型 ホスト間接続型 接続されたネットワーク内の、全てのホストがVPNを利用可能 インターネット

より細かな制限が必要な場合 マシンを多数のユーザと共有している場合 構築したユーザだけが利用可能なVPN 同一ホストからであれば、全てのユーザが使えてしまう uzaki kourai web server アカウント所持 process process process kourai:両方のサーバ    uzaki:東工大サーバのみ NTT未来ねっと 研究所サーバ 東工大サーバ

現実的な対処 アプリケーション毎にVPNを構築 SSL(Secure Socket Layer) 問題点 個々のアプリケーションが対応しなければならない アプリケーション毎にセッションを確立しなければならず、資源を浪費しがち 最初の認証は重い web server uzaki kourai process process process NTT未来ねっと 研究所サーバ 東工大サーバ

パーソナルVPN(PVPN)の提案 IPパケットごとにユーザ認証を行うVPN VPNの入り口でOSがユーザ認証を行う web server uzaki kourai process process process NTT未来ねっと 研究所サーバ 東工大サーバ

直接通信できないホスト間でのPVPN構築 互いのホストがプライベートIP、ファイアウォール内に存在 信頼できる中継ホストが必要 ホスト間にPVPNを構築し、一本のPVPNになるようにルーティング ファイアウォール 直接通信できない uzaki uzaki process インターネット process ローカルネット ローカルネット プライベートIP プライベートIP

中継ホストがPVPNを構築するときのユーザ認証 中継のホストにプライベートキーを置かないため 中継ホストすべてにプライベートキーを置くのは手間がかかる さまざまなホストにプライベートキーを置くのは危険

PVPNの実装 Linuxカーネル2.4.9に実装 暗号化とユーザ認証 PVPNへのIPパケット送信処理 PVPNからのIPパケット受信処理

暗号化と認証の実装方法 SSLによる暗号化 ユーザの認証 カーネルレベルで利用できる SSL [光来’01]を実装 LibraryはOpenSSL PVPN構築時にサーバ・ホストを認証 ユーザの認証 SSL通信路作成後、RSAによるユーザ認証をSSL上で行う

PVPNへの送信 IPパケットの送信処理を行う関数に以下を追加 送信先IPアドレスから利用するPVPNを決定 kourai OS process IPパケット uzaki PVPN process IPパケット

PVPNからの受信 PVPNを通ってきたIPパケットをIP層に渡す 応答パケットを適切なPVPNに流す 送信プロセスと受信プロセスのユーザが同じとは限らない kourai web server 同じユーザとは限らない process process インターネット OS OS

ユーザレベル版PVPNによる実験 Divert socket を使った実装 PVPN のオーバーヘッドを計測 以下の3つについて計測 WebStoneベンチマークを利用 Web server のスループットと平均レスポンスタイム 以下の3つについて計測 サーバーとクライアントが直接通信:Normal PVPNを通して通信(暗号化無し):Noencrypt PVPNを通して通信(暗号化有り):Encrypt

実験結果 PVPNを使うと10倍から数百倍遅くなる 100倍以上遅い場合は、タイムアウトによるパケットの再送が頻繁に発生していた IPパケットインターセプトのオーバヘッドが大きい 実装をカーネル内に行うことで改善可能 実験環境       Client               PentiumⅡ400MHz    Memory 384MB Server              AthlonXP1800+     Memory 640MB 100Mbpsのイーサネット FileSize(Kbyte) グラフ:Throughput 1000 10 Normal Noencrypt Encrypt 1 100 1000 10000 (Kbyte/sec)

カーネル版PVPN (実装中) PVPNを利用したUDP通信のスループットを計測 結果 実験環境 IPパケットのサイズは1052バイト ユーザレベル版と同じ IPパケットのサイズは1052バイト 結果 PVPNを利用:0.052Mbyte/sec カーネルレベルSSLによるTCP通信:1.24Mbyte/sec 通常のUDP:6.2Mbyte/sec PVPNのオーバーヘッドにより速度は約25倍遅くなる チューニングが必要

関連研究 IPsec L2TP SSHのポートフォワーディング VPN構築のときホスト間の認証が行われる トンネル構築時にPAP、CHAPなどによるユーザ認証 SSHのポートフォワーディング SSHでログインするときにユーザの認証を行う

まとめ パーソナルVPNを提案し、その機能の一部をLinuxカーネルに実装した IPパケットごとにユーザ認証を行うVPN OSがユーザ認証を行う 直接通信できないホスト間でもPVPN構築可能 信頼できる中継ホストがルーティング ユーザ認証は中継ホストでは行わない

今後の課題 カーネルへの実装を行ったが、まだうまく動作しない部分やパフォーマンスに問題があるので、改善する PVPNの連結は設計はできているが、まだ未実装なので、実装を行う

フィードバック: プライバシー フィードバック
About project: SlidePlayer 利用規約

© 2024 slidesplayer.net Inc. All rights reserved.