目的と概要実証実験の背景課題アドレス需要が旺盛な事業者は 1 年から 2 年分程度の IPv4 アドレス在庫しか確保していないと言われ IPv4 の後継規格である IPv6 の導入を急ぐとともに IPv4 アドレスの共有環境を検討せざるを得ない状況に直面している IPv4 アドレスの共有環境に

Size: px

Start display at page:

Download "目的と概要実証実験の背景課題アドレス需要が旺盛な事業者は 1 年から 2 年分程度の IPv4 アドレス在庫しか確保していないと言われ IPv4 の後継規格である IPv6 の導入を急ぐとともに IPv4 アドレスの共有環境を検討せざるを得ない状況に直面している IPv4 アドレスの共有環境に"

まいえやぶき
7 years ago
Views:

1 資料 26-1 平成 24 年度 IPv4 アドレスの枯渇に伴う情報セキュリティ等の課題への対応に関する実証実験の請負結果報告 (IPv4 アドレス共有技術導入に係る諸課題とその対策 ) NTTコミュニケーションズ株式会社先端 IPアーキテクチャセンタ宮川晋 2013 年 7 月 1 日

2 目的と概要実証実験の背景課題アドレス需要が旺盛な事業者は 1 年から 2 年分程度の IPv4 アドレス在庫しか確保していないと言われ IPv4 の後継規格である IPv6 の導入を急ぐとともに IPv4 アドレスの共有環境を検討せざるを得ない状況に直面している IPv4 アドレスの共有環境に関しては運用情報セキュリティ対策等に係るノウハウが十分に蓄積共有されておらずこれまでの情報セキュリティ対策が機能しなくなる等の問題やアプリケーション等に予期しない問題を引き起こすおそれがあることが指摘されている IPv4 アドレス共有技術 CGN(Career Grade Nat): 一つのグローバル IPv4 アドレスを複数のユーザで共有する技術 < 実証実験環境 ( イメージ )> BGPルータルータルータ Internet < 調査実証実験内容 > (1) アドレス共有技術の導入における情報セキュリティ確保に係る課題への対処 (2) アドレス共有技術の導入におけるログ情報の取得管理に係る課題への対処 LB/FW DNS, mail スイッチ SSH LB/FW (3) アドレス共有技術によるセッション数制限の最適化及び新技術 (Web ソケット ) 導入の効果サーバ CGN サーバ (4) アドレス共有技術 (CGN) の導入範囲 ( 配置箇所数量等 ) の最適化 (5) アドレス共有技術の導入におけるアプリケーションへの影響への対処 2

3 結果報告 (1) アドレス共有技術の導入における情報セキュリティ確保に係る課題への対処課題 (1) アドレス共有技術の導入における情報セキュリティ確保一つのグローバル IPv4 アドレスを共有している複数ユーザのうちの一人が攻撃を仕掛けた場合その IP アドレスからの通信を遮断すると善良なユーザまで巻き添えにしてしまうため結果として ACL 利用による情報セキュリティ対策ができなくなるという問題がある ACL(Access Control List): アクセス制御リスト個々のネットワーク利用者が持つアクセス権限等を列挙したリストネットワーク上に存在する機器や情報の利用権限を一元管理するために導入される実証内容 CGN 配下のユーザにホスト ID [*] という識別子を付与することでユーザごとのアクセス制御が可能となるかの検証を実施 [*] クライアントの識別子 CGN からインターネットに向かう通信上において本識別子を付与して利用する本検証用に試作のホスト ID 処理機能及び FW 機能を持った CGN( セキュリティ強化版 CGN) を用意し検証を実施 CGN においてホスト ID を付与することによりインターネットに存在するサーバにおいてユーザの判別が可能となることが証明されたこれにより悪意のあるユーザと善良なユーザを区別でき悪意のあるユーザのみの通信を遮断するなどの情報セキュリティ対策を講じることが可能となる 3

4 結果報告 (2) アドレス共有技術の導入におけるログ情報の取得管理に係る課題への対処課題 (2) アドレス共有技術の導入におけるログ情報の取得管理 ( ログ管理コストの増大 ) 従来 CGN で取得管理すべきログは IP アドレスのみであったがホスト ID によるセキュリティ対策を講じた場合 IP アドレス以外にもホスト ID やソースポート番号のログを取得管理することが必要となるためログ情報が膨大となる事業者は取得管理すべきログ情報の増大によりログ情報の取得及び管理に多大なコストがかかることが懸念されている実証内容 NAT テーブルの割当消去データ通信の開始終了送信先アドレスポート情報といったログ情報について実証により具体的なデータ量を把握するとともに不必要なログの削減やログ形式の工夫によるログのデータ量の削減効果について検証を実施すべてのログ情報を取得する場合のログデータ量を 100% としたときに削減手法を利用したケース毎の割合を以下の表に示す (1)NAT テーブルの割当消去 (2) データ通信の開始終了 (3) 送信先アドレスポート情報ログ対象形式説明 Ratio Full Logging 全てのログを取得する場合 100% Case1:Compact Option IPアドレスポート番号の形式を16 進数表記にするなど表記上を工夫 78% Case2:Remove include-destination Case3:Remove Log-session (3) 送信先アドレスポート情報を取得しない 96% (2) データ通信の開始終了情報を取得しない 44% Case1+Case2+Case3 上記の 3 つの手法を組み合わせた場合 32% 上記より個別のユーザを識別するためのログデータ量を最大 32% に削減することが可能となった < 参考 > ユーザ規模 1.6 万人のうち 25% のユーザが 400 セッションの通信を 1 回行ったと仮定した際の総量は 720Mbps となる ( ( 注 ) 本検証下における結果 ) 32% に削減する手法を確立 4

5 結果報告 (3) アドレス共有技術によるセッション数制限の最適化及び新技術 (Webソケット) 導入の効果課題 (3) アドレス共有技術によるセッション数制限の最適化及び新技術 (Web ソケット ) 導入の効果 1 グローバル IP アドレス当たり張れる TCP セッション数が限られているから ISP 等において同時セッション数を制限する等の対策が行われることが想定される実証内容 1 ユーザ当たりに必要なセッション数について検証を実施またセッション数の削減に効果があると思われる Web ソケットの有効性について検証を実施 Web ソケットとはサーバとクライアント間で複数のセッションを張ることなく 1 セッションで双方向の高速通信を可能とする技術検証結果より 1 ユーザ当たりに必要なセッション数は 1000 程度であることが判明した Web mail 映像 / テレビ系ポータル EC blog 検索 Online game 平均 TCP セッション数 Online Banking Twitter Facebook itunes Cloud IM VoIP 平均 TCP セッション数また Web ソケットを利用することにより TCP セッション数の削減に効果があることが明らかとなった (TCP セッション数 =1) しかし遅延やロス発生等の環境によってパフォーマンスが著しく低下する ( 末尾参考に検証結果の表を記載 ) ことが判明したためサービス性の向上を図るため更なる検証が必要である 5

6 結果報告 (4) アドレス共有技術 (CGN) の導入範囲 ( 配置箇所数量等 ) の最適化課題 (4) アドレス共有技術 (CGN) の導入範囲 ( 配置箇所数量等 ) の最適化アドレス共有技術 (CGN) の導入にあたってはコスト等を勘案しつつ配置箇所や数量を決定する必要がある導入可能なポイントは多岐に渡り現在のところ有効的かつ効率的な配置場所や数量等が決まっていない実証内容実証実験環境で実際に CGN の配置を変更し ISP 規模ごとに最適な CGN の個数や配置を明らかにするため検証を実施本検証環境では一般的な性能の CGN の単体性能限界値として約 16 万ユーザ ( 同時接続セッション数 :16,368,000 セッション ) であることを明らかとした ISP 規模毎の CGN の個数 (Min) は以下の表に示すとおりであるまた検証結果より得られた推奨構成もあわせて示す ISP 規模検証想定数 CGN 数 (Min 構成 ) 契約者数アクティブユーザ数最大セッション数小規模 ISP 10,000 2,500 1,000,000 1 台中規模 ISP 100,000 25,000 10,000,000 1 台大規模 ISP 1,000, , ,000,000 7 台 < 推奨構成 > < 参考 > 契約者に対して Active 率 :25% 同時セッション数 :400 として算出 CGN はユーザ収容エッジルータとコアルータ接続用エッジルータの間に設置また冗長構成をとることができるよう CGN はエッジルータ毎に設置 CGN で ebgp を動作させる必要はなし ibgp ピアを分断させることもない 6

7 結果報告 (5) アドレス共有技術の導入におけるアプリケーションへの影響への対処課題 (5) アドレス共有技術の導入におけるアプリケーションへの影響への対処 IPv4 アドレス共有技術 (CGN) の導入により VPN 系サービス P2P サービス SIP ベースのアプリケーションの提供に制限が生じるおそれがある等の課題がある <SIP 系サービスの場合 > 1 ユーザ A はユーザ B と通信を行うため SIP GW にユーザ B の IP アドレスを問い合わせる 2SIP GW は CGN の IP アドレスをユーザ B のものと認識 (CGN 配下には多数のユーザがぶら下がっている ) 3SIP GW はユーザ A に誤った IP アドレスを通知 4 結果としてユーザ A とユーザ B は通信が出来ない検証内容 CGN を導入した本実証実験下で STUN や TURN といった技術を利用し SIP など各アプリケーションに対する有効性について検証を実施 CGN 側アプリケーション側それぞれに表に挙げた技術を実装することで VPN 系サービス P2Pサービス SIPベースのアプリケーションをCGN を導入した環境でも利用が可能であることを検証より明らかとした VPN 型 P2P 型 SIP 型 CGN 側対策実装 ALG Fullcone NAT ALG アプリケーション側対策実装 IPsec STUN/UDP hole punching TURN NATトラバーサル (UDPカプセル) TURN 7

8 ( 参考 ) 実施体制総務省総合通信基盤局電気通信事業部データ通信課 ( 主管課 ) 実証実験 NTT コミュニケーションズ株式会社 IPv6 業界団体との連携等評価技術支援 IPv6 普及高度化推進協議会 (IPv4 枯渇に係るインターネット新技術導入に向けた検討 WG) 主査中村修副主査宮川晋東京大学大学院江崎浩教授実証実験環境提供支援実証実験支援実証実験環境提供支援実証実験支援等実証実験場所提供北陸先端科学技術大学院大学 ( 高信頼ネットワークイノベーションセンター ) 篠田陽一教授 W3C/ 慶応村井純教授中村修教授北陸 StarBED 技術センター 8

9 ( 参考 )Web ソケット検証 Windows7 ファイルサイズ 1MB パケットロス率 1% 同時ダウンロード数 6 においてブラウザ及び遅延を変動させた (Web Socket) (Web Socket) SPDY:Web ページの表示を高速化するためのプロトコル 9

IPv4アドレス共有技術設計方法とネットワークデザイン上の注意点

IPv4アドレス共有技術設計方法とネットワークデザイン上の注意点 Internet Week 2013 S7 IPv4 アドレス枯渇後の選択 ~IPv4 アドレス移転と共有技術の最新動向 ~ IPv4 アドレス共有技術設計法とネットワークデザイン上の注意点 NTT コミュニケーションズ西塚要 2013/11/28 Copyright 2013 NTT Communications. All Rights Reserved. 1 紹介塚要 2006 年 NTT