IETF95 報告会 dots WG 2016.05.10 Kaname Nishizuka@NTT Communications
紹介 n 2006 年 NTT コミュニケーションズ 社 n OCN アクセス系ネットワークの設計に従事した後 規模 ISP 向けのトータル保守運 サービスを担当 n 現在 DDoS 対策ソリューション関連技術および CGN 関連技術の開発と IETF 提案活動に従事 n 2015 ISOC-JP プログラムチェア 2
dots WG n DDoS Open Threat Signaling (dots) n 設 :2015-06 n Chairs: Roman Danyliw(CERT) Tobias Gondrom (OWASP, Huawei) n 新しい WG(BoF:IETF92 / Meeting:IETF93,94) n DDoS 対策を効率的に実現するために DDoS に関連した情報のリアルタイムでのシグナリングを規格化する 動化 より 規模な防御システム ベンダ独 なソリューションからの開放 3
セキュリティオートメーション技術概観 第 2 回 IETF 勉強会 https://www.isoc.jp/wiki.cgi?page=preietf94 NICT 橋健志 スライドより 4
IETF95 Agenda 5
各種ドラフトの状況 6
ユースケースに関する議論 n 01 version の WG ドラフト draft-ietf-dots-use-cases-01 現状で使われている DDoS 対策における構成の列挙 動化 ベンダ仕様の共通化に焦点 n 個 でユースケースのドラフト (IETF94 でも発表 ) draft-nishizuka-dots-inter-domain-usecases-01 WG ドラフトでは りていないインタードメインのユースケースをカバー ISP 視点でのより広い使われ を想定 n ソリューションドラフト ( 今回提出 ) draft-nishizuka-dots-inter-domain-mechanism-00 上記のインタードメインのユースケースに対するデータモデルを記載 7
ユースケースドラフト n WGドラフトと個 ドラフトでのScopeの差が議論の的に n Signal 範囲 WG: 攻撃を受けているIPアドレスのみ 個 : 上記に加え 防御 法の選択や攻撃に関する付加情報 n 要件定義に関わるユースケース WG: 組織を区別しない 個 : customer-to-provider(c2p) と provider-toprovider(p2p) は異なるユースケースと考える n 個別ミーティング (2 回 ) マージすべき? しないべき? 8
発表時スライド Inter-Domain DOTS Use Cases dra4-nishizuka-dots-inter-domain-usecases-01 Kaname Nishizuka, NTT Communica?ons Apr. 2016 IETF95@Buenos Aires
発表時スライド Diff from -00 to -01 Revised Points: 1. Aligned with terminology of exis?ng WG dra4 2. Added studies about DDoS protec?on methods 3. Clarified the usecases based on the feedback at the last IETF mee?ng and discussions given on the ML and direct messages
Categoriza?on of usecases 1. intra-domain use cases a DOTS client, a DOTS server and mi?gators are in the same organiza?on 2. inter-domain use cases a DOTS server and mi?gators are in a different organiza?on from a DOTS client 2-1. customer-to-provider(c2p) 2-2. provider-to-provider(p2p) 発表時スライド
発表時スライド Scenario of Inter-domain usecases (3) DOTS Server (5) DOTS Client NW1 (4) (2) (1) NW2 A`ackers Mi?gators DDoS Vic?m (1)Provisioning of DDoS protec?on capability(if needed) (2) A`ack Detec?on Scope of DOTS (3) DOTS Signaling DOTS signaling from a DOTS client to a DOTS server in different organiza?on (4)DDoS protec?on by mi?gators (5) Protec?on Status Status update from the DOTS server to the DOTS client
発表時スライド Protec?on methods For protec?on, these informa?on should be provided from a DOTS client to a DOTS server Protec'on Method Mandatory Informa'on Op'onal Informa'on Blackholing Des?na?on Address Selec?ve Blackholing Des?na?on Address BGP Community Next-hop Address RTBH with urpf Source Address BGP flowspec Flow Type Ac?on Rule Filtering(ACL) Match Rule Ac?on Rule DDoS mi?ga?on Appliances Detouring Technologies Des?na?on Address Des?na?on Address Next-Hop (Desired)Countermeasures A`ack Telemetry Tunnel Informa?on
A`ack telemetry 発表時スライド a set of summarized traffic informa?on which characterizes the feature of the DDoS a`ack u?lized by each protec?on methods Mandatory: Op?onal: Dst IP A`ack ID Dst Port Src IP/Port TCP Flag Type of A`ack (Average/Maximum/Current)Traffic Volume[bps/pps] Severity A`ack Start Time Dura?on
発表時スライド DDoS Protec?on Status difficult to know whether the DDoS a`ack has ended or not from the monitoring point of the DOTS client especially if it is inter-domain Informa?on from DOTS server to client A`ack telemetry Status of protec?on Data for billing
Inter-domain usecases 発表時スライド Customer to Provider(c2p) Usecase 1: Single-home Model Usecase 2: Mul?-home Model Provider to Provider(p2p) Usecase 3: Delega?on Model Usecase 4: Distributed Architecture Model Usecase 5: Centralized Architecture Model Mul?-provider coopera?ve DDoS protec?on dra4-nishizuka-dots-inter-domain-mechanism
Inter-domain usecase1: Single-home model 発表時スライド A`ackers Provider DOTS Server Domain B DOTS signaling (A`ack telemetry) DDoS Mi?gators Legi?mate traffic Customer DOTS Client Domain A Vic?m
Inter-domain usecase2: Mul?-home model 発表時スライド A`ackers A`ackers Domain B Domain C DOTS Server DDoS Mi?gators DDoS Mi?gators DOTS Server Provider Customer DOTS signaling (A`ack telemetry) Vic?m Domain A DOTS Client DOTS signaling (A`ack telemetry)
Inter-domain usecase3: Delega?on model 発表時スライド A`ackers Provider DOTS Server Domain C Mi?gators Provider DOTS Client/Server Domain B Mi?gators DDoS Customer DOTS Client Domain A Vic?m
Inter-domain coopera've DDoS protec'on problems and mechanism dra4-nishizuka-dots-inter-domainmechanism-00 発表時スライド Kaname Nishizuka NTT Communica?ons Liang Xia Huawei Jinwei Xia Huawei DaCheng Zhang Alibaba Luyuan Fang Microso4 April 2016 Buenos Ayres
発表時スライド Architecture of Coopera?ve DDoS Protec?on 2 or more DDoS protec?on service providers are coopera?ng with each other via DOTS Focusing on the rela?onship of those providers Distributed Architecture Centralized Architecture Orchestrator SP SP SP SP SP SP DOTS Signaling SP: DDoS Protec?on Service Provider
発表時スライド Challenges for Inter-domain Coopera?ve DDoS Protec?on 1. Bootstrapping Problems (automa?c provisioning): Trust rela?on and secure channel set up; Auto-discovery and capability nego?a?on, etc. 2. Coordina?on problems: How to get the appropriate mi?ga?on service from other operators with high efficiency: make the decision based on informa?on sharing; Near source mi?ga?on: spoofed address, privacy protec?on; Others: accoun?ng, returning path, etc. 22
ユースケースドラフト n 今後の進め 議論の結果 WG ドラフトとマージする 向性に 著者の として WG ドラフトにインプットしていく ü ユースケースの範囲について 拡張するよう戦う 23
Requirement/data model に関する議論 n Requirement ドラフト Dots protocol に要求される前提条件を列挙 常によくまとまっており 順調 n Data Model ドラフト 複数のドラフトが乱 状態 同様に Signal に含まれるデータ範囲について 議論が紛糾 ü i2nsf との住み分けも重要 ユースケースをベースとするため ユースケースと Data Model の Scope を 致させることが重要 ü こちらもユースケース同様 マージを って範囲を広げる予定
まとめ n Dots のスコープについてのコンセンサスがまだ無いことから マイルストーン時期が半年後ろ倒しに n ( 私 ) ベンダ視点か キャリア視点かで dots への期待が異なることが浮き彫りに n 本国内でも DDoS 対策連携へのニーズが まっているのでは?IETF にインプットして きたいので協 していきましょう