Microsoft PowerPoint _y.kenji.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint _y.kenji.pptx"

かんじうすい
5 years ago
Views:

1 2010 年度卒業論文 OpenFlow スイッチによる広域通信の効率的集約法早稲田大学基幹理工学部情報理工学科後藤研究室 4 年山田建史 (Kenji YAMADA) 2010/02/03 卒論 B 合同審査会 1

2 Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7. まとめと今後の課題 2010/02/03 卒論 B 合同審査会 2

3 研究の背景情報量増大に伴い悪意のある通信の問題が顕在化国際的なサイバー攻撃が頻発ボットネットの活動の調査が追いつかない通信の選別広域的な調査を行い多様化した攻撃の実態を掴む IT 利用の利便性と情報セキュリティ対策との両立 2010/02/03 卒論 B 合同審査会 3

の低下制御内容に変更による機器のリプレーススケールアウトによるコスト増大ネットワーク機器で制御し

4 研究の目的 1 通信を選別するためには間に機器を挟む必要がある例 : IDS(Intrusion Detection System), firewall 速度 ( スループット ) の低下制御内容に変更による機器のリプレーススケールアウトによるコスト増大ネットワーク機器で制御し通信を選別できれば速度の低下リプレースやスケールアウトのコストが抑えられる 2010/02/03 卒論 B 合同審査会 4

5 既存手法 ( ルータによるポリシールーティング ) ルータにポリシーを与え検知した通信をハニーポットに集約特定のポート番号を元にルーティング Iptables と iproute を組み合わせるポート番号によるポリシールーティングルータホスト Internet ルータ通信を選別はポート番号のみスケールアウト ( 拡張性 ) できないハニーポット 2010/02/03 卒論 B 合同審査会 5

6 研究の目的 2 OpenFlowスイッチング技術既存のスイッチ網を再構成スイッチの機能を転送部と制御部とに独立柔軟かつ集約的な制御を行うことができる悪意のある通信の選別安定した通信の集約既存のネットワークと共存した通信システム 2010/02/03 卒論 B 合同審査会 6

7 研究テーマ 2010/02/03 卒論 B 合同審査会 7

8 OpenFlow スイッチの転送部と制御部を独立再構成高速かつ柔軟な動作が可能コントローラによってリプレースやスケールアウトにも有効通信単位をフローとして扱うレイヤ 4 以下の情報の組み合わせで定義通信をきめ細かく制御可能 Controller OpenFlow Switch 2010/02/03 卒論 B 合同審査会 8

9 提案手法 : 悪意のある通信の集約広範囲の通信をOpenFlowスイッチにより選別誘導選別した通信をハニーポットに集約 dshield.org が公開しているブラックリスト Controller ポート番号送信元 IP アドレス O/F スイッチ 1 O/F:OpenFlow ホスト Internet 機能の独立スケールアウト可能 O/F スイッチ n Controller 制御柔軟かつ動的なポリシー柔軟かつ安定したセキュアなシステムハニーポット 2010/02/03 卒論 B 合同審査会 9

10 実証実験概要攻撃を hping3 正常な通信を iperf で再現 hping3: pingライクなパケット生成ツールポートスキャンスパムによる攻撃 ( 送信元の偽造 ) iperf: トラヒック発生ツールファイルダウンロードスループットの測定比較実験項目収集率の比較スループットの比較 ( 平均スループット分散 ) 実験環境仮想サーバ上に仮想ネットワークを構築 2010/02/03 卒論 B 合同審査会 10

11 実験環境 : 既存手法ルータにポリシーを与え検知した通信をハニーポットに集約特定のポート番号を元にルーティング Iptables と iprouter を組み合わせるポート番号によるポリシールーティングポリシルータホストサーバポリシルータハニーポット 2010/02/03 卒論 B 合同審査会 11

12 実験環境 : 提案手法ポリシーやコントローラの制御により悪意のある通信を選別 O/F:OpenFlow 送信元 IPアドレスポートポリシー Controller 更新ホスト Internet O/F スイッチ 1 サーバ O/F スイッチ 2 ハニーポット 2010/02/03 卒論 B 合同審査会 12

13 実験結果 1: 収集率 35 悪意のある全トラフィックから集約した通信の割合収集率 (%) 既存手法提案手法ポート番号のみポート番号 + ブラックリスト 2010/02/03 卒論 B 合同審査会 13

14 実験結果 2: 平均スループット平均スループット (Mbps) 分散既存手法提案手法通信が安定している 2010/02/03 卒論 B 合同審査会 14

15 まとめ安定した広域通信での通信集約システム OpenFlow による通信選別手法集約率に大きな改善安定したスループット提案手法に優位性 2010/02/03 卒論 B 合同審査会 15

16 今後の課題ポリシーの追加ポート番号と送信元 IP アドレス以外も考慮するべきフローと悪意のある通信の関係 L4 までの情報の組み合わせによる通信の判定法実機による評価本研究は仮想ネットワークを用いて性能の評価 2010/02/03 卒論 B 合同審査会 16

17 ご清聴ありがとうございました 2010/02/03 卒論 B 合同審査会 17

18 補足資料 2010/02/03 卒論 B 合同審査会 18

19 使用したポリシーポート番号 nepenthes が対応参考 : インターネット治安情勢 2010 年 7~9 月ブラックリスト Dshield.org が提供ホストの IP アドレス群スキャンや不正アクセス 2010/02/03 卒論 B 合同審査会 19

20 ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 1 10/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/ TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP 2010/02/03 卒論 B 合同審査会 20

21 OpenFlow フロー単位で処理を行うオープンソースのスイッチスイッチの機能をスイッチ部とコントローラ部に分割特別な設定がない場合は通常の L2 スイッチコントローラでの制御一括管理より柔軟な対応が可能 ( 動的なパラメータの変更 ) OpenFlow スイッチ Controller ルールルアクションステート 2010/02/03 卒論 B 合同審査会 21

22 OpenFlow コントローラ OpenFlow スイッチから受け取ったパケットに応じてフローを定義しスイッチに対して返答ソフトウェア上で動作コントローラが OpenFlow スイッチに行える主な機能データパスの状態表示フローテーブルの状態表示フローテーブルの定義 2010/02/03 卒論 B 合同審査会 22

23 フローの定義以下のパラメータの組み合わせ受信したスイッチのポート送信元 MAC アドレス宛先 MAC アドレス VLAN のタグ ID 送信元 IP アドレス宛先 IP アドレス送信元ポート番号宛先ポート番号 ToS (Type of Service) ICMP の種類 TCP コネクションごとにフローとみなすことが可能とみなすことが可能 2010/02/03 卒論 B 合同審査会 23

スイッチの動作確認 1 O/F:OpenFlow スイッチのフローテーブルにはまだ何もないので pingが通らない Controller? 1.45 1.

24 スイッチの動作確認 1 O/F:OpenFlow スイッチのフローテーブルにはまだ何もないので pingが通らない Controller? ( サブ ) 1.47 O/F スイッチ 1 ホスト群 O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 24

25 スイッチの動作確認 2 O/F:OpenFlow フローテーブルに ( 往復の ) フローを定義 pingが通り始める Controller? ルールアクションステート ( サブ ) 1.47 O/F スイッチ 1 ホスト群 O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 25

26 スイッチの動作確認 3 O/F:OpenFlow 宛先を変える action をフローに定義する pingの宛先を変更! Controller ルールアクションステート ( サブ ) 1.47 O/F スイッチ 1 ホスト群 O/F スイッチ n 1.50 ハニーポット 2010/02/03 卒論 B 合同審査会 26

27 動作例 ( ハニーポットへ誘導 ) スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別ルールアクションステート? Controller Internet O/F スイッチ 1 IP アドレス,MAC アドレス書き換えホスト 1. O/F スイッチにパケットが到着 2. フローテーブルにないので! controller に転送し問い合わせ 3. 以降ハニーポットへ転送誘導 4. 通信によっては代理で応答を返す O/F スイッチ 2 O/F:OpenFlow ハニーポット 2010/02/03 卒論 B 合同審査会 27

28 関連研究 : ポリシールーティングを用いたネットワークハニーポットの構築トの構築白畑真, 南政樹, 村井純 ( 慶応義塾大学, 情報処理学会研究報告, p.p, ) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別特定のポート番号を元にルーティング複数種類のハニーポットを活用ハニーポット ( 複数種類 ) Darknet 使用していない IP アドレス空間 Internet ポート番号によるポリシールーティングポリシルータ複数種類のハニーポットの特性を活かすことが可能 2010/02/03 卒論 B 合同審査会 28

29 ポリシールーティング概要 2010/02/03 卒論 B 合同審査会 29

30 ポート番号によるポリシールーティング指定したポート番号はハニーポットへ転送スイッチ側で制御 Controller! ルールアクションステート O/F:OpenFlow O/F スイッチ 1 ホスト群サーバ O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 30

31 IDS: 侵入検知システム監視対象分析対象ネットワーク型ある一定の範囲でのネットワークシグネチャ型パターンマッチング snort ホスト型コンピュータ自身アノマリ型定義の状態との比較分析 ManHunt 用いる範囲用途に合わせた IDS の導入が可能 2010/02/03 卒論 B 合同審査会 31

32 既存手法との比較 Iptable は書き換えによる通信の振り分けが出来ないトラフィックの振り分けによって代理で応答が出来るコントローラによる集中管理による柔軟な対応 1 つ 1 つのスイッチを書き換える必要が無い攻撃の選別ポート番号だけでは不十分 L2~L4 までの通信を管理 : フロー単位での制御ブラックリストポートポリシーといった複数の選別法をコントローラによって実現可能ダイナミックなルーティングが可能通信を監視し動的にルーティングを行うことが可能 2010/02/03 卒論 B 合同審査会 32

33 利点と欠点利点コントローラの管理集中化によりルールに基づいた自律的制御が可能安価なスイッチで高速な処理多様な攻撃通信にも通信をフロー単位で管理できるため L2~L4までの柔軟な対応が可能欠点フローテーブルの限界から膨大な種類の通信が同時にくるとスループットの低下を招く可能性がある 2010/02/03 卒論 B 合同審査会 33

34 悪意のある通信の再現 hping3 icmp プロトコルで動作する ping ライクなコマンド多種様々なパケットの生成が可能ポートスキャンと IP スプーフィングを利用 Iperf IP スプーフィング : 送信元 IP アドレスの偽造擬似トラフィック生成ツールファイルダウンロードやスループットの測定サーバ / クライアント方式で動作 1Mbyte のファイルダウンロードを利用測定はしばらく時間を置いて通信が安定してから行う 2010/02/03 卒論 B 合同審査会 34

35 ハニーポットマルウェア収集のため脆弱性の存在するホストをエミュレートするサーバーやネットワーク機器ローインタラクションハニーポット脆弱性がある OS やアプリケーションの反応をエミュレートすることでマルウェア収集代表例 :nepenthes 本研究で使用ハイインタラクションハニーポット脆弱性がある本物の OS やアプリケーションを用いて構築 2010/02/03 卒論 B 合同審査会 35

36 参考文献 The OpenFlow Switch Consortium, 白畑真, 南政樹, 村井純, ポリシールーティングを用いたネットワークハニーポットの構築, 情報処理学会研究報告, 2005-DSM- 38, Vol.2005, No.83,p.p.55-58,August p Manuel Palacin,OpenFlow Switching Performance,theUnivercityPolitecnicodi Torino,2009 年度修士論文, 山本真里子, 岡本栄司, 岡本健, 侵入検知システムを用いた動的ファイアウォールの実装, 筑波大学大学院 2006 年修士論文, 曽根直人, 森井昌克, ポートスキャン対策を目的としたハニーポットの提案とその応用, 電子情報通信学会技術研究報告, p.p.19-24, インターネット観測結果等平成 22 年度, htt // j / b li /d t t/ df/ df /02/03 卒論 B 合同審査会 36

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹ネットワークシステム B- 6-164 DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹早稲田大学基幹理工学研究科情報理工学専攻 1 研究の背景 n インターネットトラフィックが増大世界の IP トラフィックは 2012