Microsoft PowerPoint _y.kenji.pptx

Similar documents
2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

修士論文進捗報告

Microsoft PowerPoint - gcoe-nec-shigeki_goto-v3.pptx

スライド 1

PowerPoint プレゼンテーション

2) では, 図 2 に示すように, 端末が周囲の AP を認識し, 認識した AP との間に接続関係を確立する機能が必要である. 端末が周囲の AP を認識する方法は, パッシブスキャンとアクティブスキャンの 2 種類がある. パッシブスキャンは,AP が定期的かつ一方的にビーコンを端末へ送信する

エンタープライズ ソリューション カンファレンス IT Technical Seminar V15 (2014) SDNフレームワークの解説と OpenFlowコントローラのプログラミング および実演 2014年6月20日 株式会社オープントーン 金融ソリューション事業部 菱野孝史

<4D F736F F F696E74202D208CA48B868FD089EE288FDA82B582A294C5292E B8CDD8AB B83685D>

IPsec徹底入門

_mokuji_2nd.indd

なぜIDSIPSは必要なのか?(v1.1).ppt

PowerPoint プレゼンテーション

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

スライド 1

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

PowerPoint プレゼンテーション

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

中継サーバを用いたセキュアな遠隔支援システム

PowerPoint プレゼンテーション

PowerPoint Presentation

Microsoft PowerPoint - mplsjp

McAfee Network Security Platform Denial-of-Service (DoS) Prevention Techniques

Mobile IPの概要

Sample 5

センターでは,WAP からの位置情報を受信し, WAP が適切に設置されたかどうかを確認する 提案システムのシーケンス概要 図 2 に提案システムのシーケンスを示す. 携帯端末は,WAP から無線 LAN の電波を受信すると, DHCP サーバに対して IP アドレスを要求する. この要

正誤表(FPT0417)

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

各 位 平成 18 年 2 月 15 日神奈川県横須賀市小川町 14 番地ー 1 株式会社ネットワークバリューコンポネンツ代表取締役渡部進 ( コード番号 :3394 東証マザーズ ) 問合わせ先取締役アドミニストレーション部マネージャー寺田賢太郎 TEL 台湾 BroadW

Stealthwatch System v6.9.0 内部アラーム ID

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

PF1000_intro5

卒業論文審査

RADIUS GUARD®とAXシリーズによる認証連携 の相互接続情報と設定ポイント

<4D F736F F F696E74202D DB A B C C815B E >

No. ネットワーク一 17 番 機能 ポートベースVLAN, タグVLAN, プロトコルVLAN,MAC VLAN, Tag 変換に対応していること DHCPサーバをサポートしていること IGMP snooping,mld snooping 機能をサポートしていること IPv4 及びIPv6におけ

PowerPoint Presentation

セキュリティ機能の概要

TFTP serverの実装

VLAN の設定

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

中村隼大 鈴木秀和 内藤克浩 渡邊晃 名城大学理工学部愛知工業大学情報科学部

Microsoft PowerPoint - janog15-irr.ppt

Microsoft Word - ID32.doc

1012  ボットネットおよびボットコードセットの耐性解析

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

本資料について

目次 1 はじめに 登録商標 商標 注意事項 免債事項 SR-IOV の機能概要 性能検証事例 測定環境 測定結果 各方式による共有 NIC 性能比較 ( ポートあ

センサーデバイスへの仮想IP割り当て実験

スライド 1

ProgrammableFlow White Paper 2016 年 3 24 本電気株式会社

(Microsoft PowerPoint - Toyo_OpenFlowStage\224z\225z\227p_R1.ppt)

Microsoft PowerPoint - IPsec徹底入門.ppt

1_PNセミナー_Ethernet Switch_pptx

侵入挙動の反復性によるボット検知方式

セキュリティ機能の概要

Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

東京都市大横浜キャンパス情報メディアジャーナル 第 18 号 まうなどの本末転倒な状況になるといった危険性がある. このように低対話型, 高対話型双方に利点 欠点があるが, 一般的に使われているハニーポットは危険性が低く比較的手軽に導入ができる低対話型ハニーポットである. 3 先行研

他の章は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) 目次番号 270 番 Windows Server Enterprise 2008 R2 完全解説 ( 再入門 )

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

2

コンバージドファブリック仕様一覧

<4D F736F F F696E74202D E656D6F73837D836C815B C B CC90DA91B182CC8E DD82F0979D89F082B582E682A F38DFC E >

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

<4D F736F F F696E74202D E815B836C EA188C08FEE90A85B967196EC8D5F94568E815D>

1013  動的解析によるBOTコマンドの自動抽出

ネットワークトラフィック分析を効果的に活用してパワー強化 ネットワークトラフィック分析 7 つの活用法

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

MPサーバ設置構成例

ITdumpsFree Get free valid exam dumps and pass your exam test with confidence

採択評価ヒアリング: 「膨大な数の極小データの効率的な配送基盤技術の研究開発」

コンテンツセントリックネットワーク技術を用いた ストリームデータ配信システムの設計と実装

2.5 トランスポート層 147

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

PowerPoint プレゼンテーション

中小企業向けシスコ製品の特徴について Dec 15, 2008 ルーター編 Cisco 1812J vs Yamaha RTX1100 本資料は シスコ製品を販売する営業担当者向けの参考資料として作成したものです 本資料の内容は 公開されている情報および弊社が実施した検証テストの結果に基づく 弊社独

PAN-OS: パケット処理 PAN-OS のパケットフローシーケンス パロアルトネットワークス合同会社

2.5 月のアクセスの状況 28 年 5 月のアクセス状況は 4 月と比べて若干減少しました これは主に Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスである 126/udp 127/udp および 128/udp などへのアクセスが減少したためです

製品概要

金融工学ガイダンス

PowerPoint プレゼンテーション

Dell SonicWALL Training

IIS RealSecure Network Sensor 6.5 IDS, IBM Proventia G200 IDS/IPS, FortiNetwork FortiGate-310B, FortiGate-620B UTM, BivioNetwork Bivio 7512 DPI Nokia

Software-Defined Tester(SDT) を用いた高精度遅延測定による SDN/NFV 品質向上 富士通アドバンストテクノロジ株式会社システム技術統括部大久保克彦 0 Copyright 2017 FUJITSU AD

講座内容 第 1 回オープンネットワークの概念と仕組み ( 講義 90 分 ) 基本的なネットワークの構成及び伝送技術について大規模化 マルチプロトコル化を中心に技術の発展と 企業インフラへの適用を理解する その基本となっている OSI 7 階層モデルについて理解する (1) ネットワークの構成と機

15群(○○○)-8編

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

PN Open Seminar2011_Ethernet Switch_Final

スイッチ ファブリック

R80.10_FireWall_Config_Guide_Rev1

[技術資料] PRIMERGY サーバブレードのLAN 冗長化

bitvisor_summit.pptx

Transcription:

2010 年度卒業論文 OpenFlow スイッチによる 広域通信の効率的集約法 早稲田大学基幹理工学部情報理工学科 後藤研究室 4 年 山田建史 (Kenji YAMADA) 2010/02/03 卒論 B 合同審査会 1

Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7. まとめと今後の課題 2010/02/03 卒論 B 合同審査会 2

研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 通信の選別 広域的な調査を行い 多様化した攻撃の実態を掴む IT 利用の利便性と情報セキュリティ対策との両立 2010/02/03 卒論 B 合同審査会 3

研究の目的 1 通信を選別するためには間に機器を挟む必要がある 例 : IDS(Intrusion Detection System), firewall 速度 ( スループット ) の低下制御内容に変更による機器のリプレーススケールアウトによるコスト増大 ネットワーク機器で制御し 通信を選別できれば速度の低下 リプレースやスケールアウトのコストが抑えられる 2010/02/03 卒論 B 合同審査会 4

既存手法 ( ルータによるポリシールーティング ) ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iproute を組み合わせる ポート番号によるポリシールーティング ルータ ホスト Internet ルータ 通信を選別はポート番号のみスケールアウト ( 拡張性 ) できない ハニーポット 2010/02/03 卒論 B 合同審査会 5

研究の目的 2 OpenFlowスイッチング技術 既存のスイッチ網を再構成 スイッチの機能を転送部と制御部とに独立 柔軟かつ集約的な制御を行うことができる 悪意のある通信の選別 安定した通信の集約 既存のネットワークと共存した通信システム 2010/02/03 卒論 B 合同審査会 6

研究テーマ 2010/02/03 卒論 B 合同審査会 7

OpenFlow スイッチの転送部と制御部を独立 再構成 高速かつ柔軟な動作が可能 コントローラによってリプレースやスケールアウトにも有効 通信単位をフローとして扱う レイヤ 4 以下の情報の組み合わせで定義 通信をきめ細かく制御可能 Controller OpenFlow Switch 2010/02/03 卒論 B 合同審査会 8

提案手法 : 悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別 誘導選別した通信をハニーポットに集約 dshield.org が公開しているブラックリスト Controller ポート番号送信元 IP アドレス O/F スイッチ 1 O/F:OpenFlow ホスト Internet 機能の独立スケールアウト可能 O/F スイッチ n Controller 制御柔軟かつ動的なポリシー 柔軟かつ安定したセキュアなシステムハニーポット 2010/02/03 卒論 B 合同審査会 9

実証実験概要 攻撃を hping3 正常な通信を iperf で再現 hping3: pingライクなパケット生成ツール ポートスキャン スパムによる攻撃 ( 送信元の偽造 ) iperf: トラヒック発生ツール ファイルダウンロード スループットの測定 比較実験項目 収集率の比較 スループットの比較 ( 平均スループット 分散 ) 実験環境 仮想サーバ上に仮想ネットワークを構築 2010/02/03 卒論 B 合同審査会 10

実験環境 : 既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iprouter を組み合わせる ポート番号によるポリシールーティング ポリシルータ ホスト サーバ ポリシルータ ハニーポット 2010/02/03 卒論 B 合同審査会 11

実験環境 : 提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 O/F:OpenFlow 送信元 IPアドレスポートポリシー Controller 更新 ホスト Internet O/F スイッチ 1 サーバ O/F スイッチ 2 ハニーポット 2010/02/03 卒論 B 合同審査会 12

実験結果 1: 収集率 35 悪意のある全トラフィックから 集約した通信の割合 30 25 20 15 収集率 (%) 10 5 0 既存手法 提案手法 ポート番号のみポート番号 + ブラックリスト 2010/02/03 卒論 B 合同審査会 13

実験結果 2: 平均スループット 平均スループット (Mbps) 分散 既存手法 13.95 0.56 提案手法 12.71 0.35 通信が安定している 2010/02/03 卒論 B 合同審査会 14

まとめ 安定した広域通信での通信集約システム OpenFlow による通信選別手法 集約率に大きな改善安定したスループット 提案手法に優位性 2010/02/03 卒論 B 合同審査会 15

今後の課題 ポリシーの追加 ポート番号と送信元 IP アドレス以外も考慮するべき フローと悪意のある通信の関係 L4 までの情報の組み合わせによる通信の判定法 実機による評価 本研究は仮想ネットワークを用いて性能の評価 2010/02/03 卒論 B 合同審査会 16

ご清聴ありがとうございました 2010/02/03 卒論 B 合同審査会 17

補足資料 2010/02/03 卒論 B 合同審査会 18

使用したポリシー ポート番号 nepenthes が対応 検知するポート番号警察庁セキュリティポータルサイト @police 参考 : インターネット治安情勢 2010 年 7~9 月 ブラックリスト Dshield.org が提供 ホストの IP アドレス群 スキャンや不正アクセス 2010/02/03 卒論 B 合同審査会 19

ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 1 10/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/ TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP 2010/02/03 卒論 B 合同審査会 20

OpenFlow フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割 特別な設定がない場合は通常の L2 スイッチ コントローラでの制御一括管理 より柔軟な対応が可能 ( 動的なパラメータの変更 ) OpenFlow スイッチ Controller ルールル アクション ステート 2010/02/03 卒論 B 合同審査会 21

OpenFlow コントローラ OpenFlow スイッチから受け取ったパケットに応じてフローを定義し スイッチに対して返答 ソフトウェア上で動作 コントローラが OpenFlow スイッチに行える主な機能 データパスの状態表示フローテーブルの状態表示フローテーブルの定義 2010/02/03 卒論 B 合同審査会 22

フローの定義 以下のパラメータの組み合わせ 受信したスイッチのポート 送信元 MAC アドレス 宛先 MAC アドレス VLAN のタグ ID 送信元 IP アドレス 宛先 IP アドレス 送信元ポート番号 宛先ポート番号 ToS (Type of Service) ICMP の種類 TCP コネクションごとにフローとみなすことが可能とみなすことが可能 2010/02/03 卒論 B 合同審査会 23

スイッチの動作確認 1 O/F:OpenFlow スイッチのフローテーブル にはまだ何もないので pingが通らない Controller? 1.45 1.48( サブ ) 1.47 O/F スイッチ 1 ホスト群 192.168.1.46 O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 24

スイッチの動作確認 2 O/F:OpenFlow フローテーブルに ( 往復の ) フローを定義 pingが通り始める Controller? ルールアクションステート 1.45 1.48( サブ ) 1.47 O/F スイッチ 1 ホスト群 192.168.1.46 O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 25

スイッチの動作確認 3 O/F:OpenFlow 宛先を変える action を フローに定義する pingの宛先を変更! Controller ルールアクションステート 1.45 1.48 ( サブ ) 1.47 O/F スイッチ 1 ホスト群 192.168.1.46 O/F スイッチ n 1.50 ハニーポット 2010/02/03 卒論 B 合同審査会 26

動作例 ( ハニーポットへ誘導 ) スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 ルールアクションステート? Controller Internet O/F スイッチ 1 IP アドレス,MAC アドレス書き換え ホスト 1. O/F スイッチにパケットが到着 2. フローテーブルにないので! controller に転送し 問い合わせ 3. 以降ハニーポットへ転送 誘導 4. 通信によっては代理で応答を返す O/F スイッチ 2 O/F:OpenFlow ハニーポット 2010/02/03 卒論 B 合同審査会 27

関連研究 : ポリシールーティングを用いたネットワークハニーポットの構築トの構築 白畑真, 南政樹, 村井純 ( 慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 ハニーポット ( 複数種類 ) Darknet 使用していない IP アドレス空間 Internet ポート番号によるポリシールーティング ポリシルータ 複数種類のハニーポットの特性を活かすことが可能 2010/02/03 卒論 B 合同審査会 28

ポリシールーティング概要 2010/02/03 卒論 B 合同審査会 29

ポート番号によるポリシールーティング 指定したポート番号はハニーポットへ転送 スイッチ側で制御 Controller! ルールアクションステート O/F:OpenFlow O/F スイッチ 1 ホスト群 サーバ O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 30

IDS: 侵入検知システム 監視対象 分析対象 ネットワーク型ある一定の範囲でのネットワーク シグネチャ型パターンマッチング snort ホスト型コンピュータ自身 アノマリ型定義の状態との比較 分析 ManHunt 用いる範囲 用途に合わせた IDS の導入が可能 2010/02/03 卒論 B 合同審査会 31

既存手法との比較 Iptable は書き換えによる通信の振り分けが出来ない トラフィックの振り分けによって代理で応答が出来る コントローラによる集中管理による柔軟な対応 1 つ 1 つのスイッチを書き換える必要が無い 攻撃の選別 ポート番号だけでは不十分 L2~L4 までの通信を管理 : フロー単位での制御 ブラックリスト ポートポリシーといった複数の選別法をコントローラによって実現可能 ダイナミックなルーティングが可能 通信を監視し 動的にルーティングを行うことが可能 2010/02/03 卒論 B 合同審査会 32

利点と欠点 利点 コントローラの管理集中化により ルールに基づいた自律的制御が可能 安価なスイッチで高速な処理 多様な攻撃 通信にも通信をフロー単位で管理できるため L2~L4までの柔軟な対応が可能 欠点 フローテーブルの限界から 膨大な種類の通信が同時にくるとスループットの低下を招く可能性がある 2010/02/03 卒論 B 合同審査会 33

悪意のある通信の再現 hping3 icmp プロトコルで動作する ping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンと IP スプーフィングを利用 Iperf IP スプーフィング : 送信元 IP アドレスの偽造 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ / クライアント方式で動作 1Mbyte のファイルダウンロードを利用 測定はしばらく時間を置いて 通信が安定してから行う 2010/02/03 卒論 B 合同審査会 34

ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット 脆弱性がある OS やアプリケーションの反応をエミュレートすることでマルウェア収集 代表例 :nepenthes 本研究で使用 ハイインタラクションハニーポット 脆弱性がある本物の OS やアプリケーションを用いて構築 2010/02/03 卒論 B 合同審査会 35

参考文献 The OpenFlow Switch Consortium,http://www.openflowswitch.org/ 白畑真, 南政樹, 村井純, ポリシールーティングを用いたネットワークハニーポットの構築, 情報処理学会研究報告, 2005-DSM- 38, Vol.2005, No.83,p.p.55-58,August p 2005. Manuel Palacin,OpenFlow Switching Performance,theUnivercityPolitecnicodi Torino,2009 年度修士論文, 2009. 山本真里子, 岡本栄司, 岡本健, 侵入検知システムを用いた動的ファイアウォールの実装, 筑波大学大学院 2006 年修士論文, 2006. 曽根直人, 森井昌克, ポートスキャン対策を目的としたハニーポットの提案とその応用, 電子情報通信学会技術研究報告, p.p.19-24, 2006. @police, インターネット観測結果等平成 22 年度, htt // j / b li /d t t/ df/20101202 df 2010 http://www.npa.go.jp/cyberpolice/detect/pdf/20101202.pdf, 2010. 2010/02/03 卒論 B 合同審査会 36

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック