NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法
description
Transcript of NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法
![Page 1: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/1.jpg)
NEC- 早大技術交流会OpenFlow スイッチによる広域通信の効率的集約
法山田 建史
早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士 1 年
2011/12/26NEC- 早大技術交流会1
![Page 2: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/2.jpg)
Agenda
2011/12/26NEC- 早大技術交流会2
1 . 研究の背景2 . 研究の目的3 . 既存手法4 . 提案手法5 . 実証実験6. 実験結果7.まとめと今後の課題
![Page 3: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/3.jpg)
研究の背景
2011/12/26NEC- 早大技術交流会3
情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない
広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要
IT 利用の利便性と情報セキュリティ対策との両立
通信の選別
![Page 4: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/4.jpg)
研究の目的1
2011/12/26NEC- 早大技術交流会4
既存の悪意のある通信の観測や防御に必要な機器 侵入検知システム( IDS ) 侵入防御システム( IPS ) ファイアウォール
観測を行う範囲を広げると ・設備投資によるコスト増大 ・機器の運用や設定にかかる人的なコスト
ネットワーク機器での制御 観測機器の設置・維持によるコストを抑えられる 広域な通信を効率良く制御できる
![Page 5: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/5.jpg)
2011/12/26NEC- 早大技術交流会5
ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせる
ハニーポット
ホスト
Internet
ポート番号によるポリシールーティン
グ
ルータ
ルータ
・エントリ数が大きくなるとルータに負荷がかかる → ポート番号でのみの制御・制御内容の適用はルータ自身にのみ →効率が悪く、スケールアウトしない
関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真 , 南政樹 , 村井純(情報処理学会研究報告( DSM-038 ) , pp.55-58, 2005 )
![Page 6: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/6.jpg)
研究の目的2
2011/12/26NEC- 早大技術交流会6
広域な通信を一元管理できるネットワーク管理システムが必要
スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理
広域通信を効率良く制御し、悪意のある通信を集約する 悪意のある通信の選別 安定した通信の集約
OpenFlow スイッチング技術
柔軟かつ集約的な制御
![Page 7: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/7.jpg)
提案手法
2011/12/26NEC- 早大技術交流会7
OpenF l ow スイッチによる広域通信の効率的集約法
![Page 8: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/8.jpg)
機能の独立スケールアウト可
能
提案手法:悪意のある通信の集約
2011/12/26NEC- 早大技術交流会8
ハニーポット
O/F スイッチ 1
O/F スイッチn
O/F Controllerホスト
Controller 制御柔軟かつ動的なポリ
シー柔軟かつ安定したセキュアなシステ
ム
Internet
dshield.org が公開している
ブラックリスト
広範囲の通信を OpenFlow スイッチにより選別、誘導選別した通信をハニーポットに集約 ※ O/F :
OpenFlow
ポート番号送信元 IP アドレス
![Page 9: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/9.jpg)
実証実験:概要
2011/12/26NEC- 早大技術交流会9
攻撃通信を hping3 、正常な通信を iperf で再現 hping3 : ping ライクなパケット生成ツール
ポートスキャン、スパムによる攻撃(送信元 IP アドレスの偽造) iperf :トラヒック発生ツール
ファイルダウンロード、スループットの測定
比較実験項目 収集率の比較 スループットの比較 (平均スループット、分散)
実験環境 仮想サーバ上に仮想ネットワークを構築
![Page 10: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/10.jpg)
悪意のある通信の再現
2011/12/26NEC- 早大技術交流会10
hping3 icmp プロトコルで動作する ping ライクなコマンド 多種様々なパケットの生成が可能
ポートスキャンと IP スプーフィングを利用 ※ IP スプーフィング:送信元 IP アドレスの偽
造 iperf
擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ / クライアント方式で動作
1Mbyte のファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う
![Page 11: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/11.jpg)
実証実験:基本構成と詳細
2011/12/26NEC- 早大技術交流会11
サーバ‐ホスト間に 2 つのトラフィックによる通信を観測 収集率 :攻撃通信がハニーポットに流れた割合 スループット:サーバ‐ホスト間を測定
ハニーポット
O/F スイッチ1
O/F スイッチ2
O/F Controller ホスト
※ O/F :OpenFlow
サーバ
正常な通信: iperf攻撃通信 : hping3
![Page 12: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/12.jpg)
実験環境:既存手法
2011/12/26NEC- 早大技術交流会12
ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせる
ハニーポット
ホスト
ポート番号によるポリシールーティン
グ
ポリシルータ
サーバ
ポリシルータ
![Page 13: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/13.jpg)
ポリシールーティングの構成図
2011/12/26NEC- 早大技術交流会13
iproute2 と iptables を組み合わせることでポリシーを設定し、転送を行う
サーバ
ホスト
![Page 14: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/14.jpg)
実験環境:提案手法
2011/12/26NEC- 早大技術交流会14
ポリシーやコントローラの制御により悪意のある通信を選別
ハニーポット
O/F スイッチ1
O/F スイッチ2
O/F Controller
ホスト
※ O/F :OpenFlow
送信元 IP アドレス
ポートポリシー
Internet
更新
サーバ
![Page 15: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/15.jpg)
使用したポリシー
2011/12/26NEC- 早大技術交流会15
ポート番号 nepenthes が対応、検知するポート番号 18 種類 警察庁セキュリティポータルサイト @police 上位 20件
参考:インターネット治安情勢 2010年 7~ 9月 合計 27 種類
ブラックリスト Dshield.org が提供
ホストの IP アドレス群 スキャンや不正アクセス
上位 100件を使用
![Page 16: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/16.jpg)
実験結果1:収集率
2011/12/26NEC- 早大技術交流会16
既存手法 提案手法0
5
10
15
20
25
30
35
収集率 (% )
+22.1 %
ポート番号のみ ポート番号 +IPブラックリスト
悪意のある全トラフィックから、集約した通信の割合
![Page 17: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/17.jpg)
実験結果2:平均スループット
2011/12/26NEC- 早大技術交流会17
平均スループット
(Mbps)分散
既存手法 13.95 0.56
提案手法 12.71 0.35 スループットのばらつきが少ない
![Page 18: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/18.jpg)
まとめ
2011/12/26NEC- 早大技術交流会18
安定した広域通信での通信集約システム
提案手法に優位性、実用性
集約率に大きな改善 安定したスループット
OpenFlow による通信選別手法
![Page 19: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/19.jpg)
今後の課題
2011/12/26NEC- 早大技術交流会19
1. より精度の高いポリシーを検討 より動的で柔軟なポリシーの設定
2. 比較対象の検討 - vyatta などの仮想ルータとの比較
今回は openvswitch を使用 - OpenFlow スイッチとの比較
ポリシルータではなく、既存の OpenFlow スイッチで複数種類の手法を検討
3. 実機での検証 今回は仮想環境での実験
![Page 20: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/20.jpg)
ご清聴ありがとうございました
2011/12/26NEC- 早大技術交流会20
![Page 21: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/21.jpg)
補足資料
2011/12/26NEC- 早大技術交流会21
![Page 22: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/22.jpg)
OpenFlow
2011/10/20CSS201122
フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割
特別な設定がない場合は通常の L2 スイッチ コントローラでの制御一括管理
より柔軟な対応が可能(動的なパラメータの変更)OpenFlow
スイッチ
ControllerRule Action Stats
![Page 23: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/23.jpg)
OpenFlow の制御とその特徴 スイッチとコントローラによる機能分離
SW (コントローラ)で処理方法を決定HW (スイッチ)で通信の処理
一つのコントローラで複数の OpenFlow スイッチを制御することが可能
各種ヘッダ情報の書き換え ポート番号、 IP アドレス、 MAC アドレスなど レイヤ 4以下のヘッダ情報は書き換えが可能 任意のヘッダを挿入することも可能
高速で柔軟なネットワーク環境が実現可能
2011/10/20CSS201123
Rule Action Stats
![Page 24: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/24.jpg)
フローの定義 レイヤ 4以下の情報の組み合わせで定義
受信したスイッチの物理ポート 宛先MAC アドレス、送信元 MAC アドレス Etherタイプ VLANタグ ID VLAN プライオリティ 宛先 IP アドレス、送信元 IP アドレス プロトコル番号 ToS (Type of Service) 宛先ポート番号、送信元ポート番号
2011/10/20CSS201124
きめ細かい通信制御や柔軟な設計や構築が可能
通信をフローとして扱う
※ OpenFlow v1.2 から IPv6も対応
![Page 25: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/25.jpg)
フローの定義とフローテーブルの構成
2011/10/20CSS201125
フローの定義
![Page 26: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/26.jpg)
OpenFlowcontroller
OpenFlow
protocol
Securechannel
Flowtable
OpenFlow の動作
2011/10/20CSS201126
1. 最初のパケットを送信2. フローテーブル未登録より コントローラへパケットを転送
3. 処理を決定
Rule Action Stats
4. 処理をフローテーブルに登録し パケットの処理を行う
5. 以降同じパケットは 同様に転送される
OpenFlowswitch
HW
SW
![Page 27: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/27.jpg)
ポート番号の選定
2011/10/20CSS201127
Nepenthes が検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP,
110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP,
995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP,
3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP,
9415/TCP, 10000/TCP
![Page 28: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/28.jpg)
関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真 , 南政樹 , 村井純(慶応義塾大学 , 情報処理学会研究報告 , p.p,55-58 2005 )
2011/10/20CSS201128
ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 ハニーポット(複数種
類)
ポリシルータ
複数種類のハニーポットの特性を
活かすことが可能ポート番号によるポリシールーティン
グ
Darknet使用していないIP アドレス空間
Internet
![Page 29: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/29.jpg)
ポート番号によるポリシールーティング
2011/10/20CSS201129
指定したポート番号は ハニーポットへ転送 →スイッチ側で制御
ハニーポット
O/F スイッチ 1
O/F スイッチ n
Controller
ホスト群
※ O/F :OpenFlow
!
サーバ
ルール アクション
ステート
![Page 30: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/30.jpg)
動作例(ハニーポットへ誘導)
2011/10/20CSS201130
スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別
ハニーポット
O/F スイッチ 1
O/F スイッチ2
Controller
ホスト
※ O/F :OpenFlow
?
1. O/F スイッチにパケットが到着2. フローテーブルにないので controller に転送し、問い合わせ3. 以降ハニーポットへ転送、誘導
Internet
rule action stats
4. 通信によっては代理で応答を返す
!
IP アドレス ,MAC アドレス書き換え
![Page 31: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/31.jpg)
ハニーポット
2011/10/20CSS201131
マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器
ローインタラクションハニーポット 脆弱性がある OS やアプリケーションの反応をエミュレートす
ることでマルウェア収集 代表例: nepenthes ← 本研究で使用
ハイインタラクションハニーポット 脆弱性がある本物の OS やアプリケーションを用いて構築
![Page 32: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/32.jpg)
現在の取り組み
2011/10/20CSS201132
コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別
ハニーポット
O/F スイッチ
Controller
ホスト
※ O/F :OpenFlow
送信元 IP アドレス
ポートポリシー
Internet
学習&判定モジュール
![Page 33: NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法](https://reader033.fdocument.pub/reader033/viewer/2022061419/56815a5e550346895dc79493/html5/thumbnails/33.jpg)
現在の取り組み:将来像
2011/10/20CSS201133
コントローラの機械学習による制御と IDS の連携 通知⇨学習⇨フィードバックによる循環システム
ハニーポット
O/F スイッチ
Controller
ホスト
※ O/F :OpenFlow
Internet
学習&判定モジュール
フィードバック
通知
IDS