2010 年度卒業論文 OpenFlow スイッチによる 広域通信の効率的集約法 早稲田大学基幹理工学部情報理工学科 後藤研究室 4 年 山田建史 (Kenji YAMADA) 2010/02/03 卒論 B 合同審査会 1
Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7. まとめと今後の課題 2010/02/03 卒論 B 合同審査会 2
研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 通信の選別 広域的な調査を行い 多様化した攻撃の実態を掴む IT 利用の利便性と情報セキュリティ対策との両立 2010/02/03 卒論 B 合同審査会 3
研究の目的 1 通信を選別するためには間に機器を挟む必要がある 例 : IDS(Intrusion Detection System), firewall 速度 ( スループット ) の低下制御内容に変更による機器のリプレーススケールアウトによるコスト増大 ネットワーク機器で制御し 通信を選別できれば速度の低下 リプレースやスケールアウトのコストが抑えられる 2010/02/03 卒論 B 合同審査会 4
既存手法 ( ルータによるポリシールーティング ) ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iproute を組み合わせる ポート番号によるポリシールーティング ルータ ホスト Internet ルータ 通信を選別はポート番号のみスケールアウト ( 拡張性 ) できない ハニーポット 2010/02/03 卒論 B 合同審査会 5
研究の目的 2 OpenFlowスイッチング技術 既存のスイッチ網を再構成 スイッチの機能を転送部と制御部とに独立 柔軟かつ集約的な制御を行うことができる 悪意のある通信の選別 安定した通信の集約 既存のネットワークと共存した通信システム 2010/02/03 卒論 B 合同審査会 6
研究テーマ 2010/02/03 卒論 B 合同審査会 7
OpenFlow スイッチの転送部と制御部を独立 再構成 高速かつ柔軟な動作が可能 コントローラによってリプレースやスケールアウトにも有効 通信単位をフローとして扱う レイヤ 4 以下の情報の組み合わせで定義 通信をきめ細かく制御可能 Controller OpenFlow Switch 2010/02/03 卒論 B 合同審査会 8
提案手法 : 悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別 誘導選別した通信をハニーポットに集約 dshield.org が公開しているブラックリスト Controller ポート番号送信元 IP アドレス O/F スイッチ 1 O/F:OpenFlow ホスト Internet 機能の独立スケールアウト可能 O/F スイッチ n Controller 制御柔軟かつ動的なポリシー 柔軟かつ安定したセキュアなシステムハニーポット 2010/02/03 卒論 B 合同審査会 9
実証実験概要 攻撃を hping3 正常な通信を iperf で再現 hping3: pingライクなパケット生成ツール ポートスキャン スパムによる攻撃 ( 送信元の偽造 ) iperf: トラヒック発生ツール ファイルダウンロード スループットの測定 比較実験項目 収集率の比較 スループットの比較 ( 平均スループット 分散 ) 実験環境 仮想サーバ上に仮想ネットワークを構築 2010/02/03 卒論 B 合同審査会 10
実験環境 : 既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iprouter を組み合わせる ポート番号によるポリシールーティング ポリシルータ ホスト サーバ ポリシルータ ハニーポット 2010/02/03 卒論 B 合同審査会 11
実験環境 : 提案手法 ポリシーやコントローラの制御により悪意のある通信を選別 O/F:OpenFlow 送信元 IPアドレスポートポリシー Controller 更新 ホスト Internet O/F スイッチ 1 サーバ O/F スイッチ 2 ハニーポット 2010/02/03 卒論 B 合同審査会 12
実験結果 1: 収集率 35 悪意のある全トラフィックから 集約した通信の割合 30 25 20 15 収集率 (%) 10 5 0 既存手法 提案手法 ポート番号のみポート番号 + ブラックリスト 2010/02/03 卒論 B 合同審査会 13
実験結果 2: 平均スループット 平均スループット (Mbps) 分散 既存手法 13.95 0.56 提案手法 12.71 0.35 通信が安定している 2010/02/03 卒論 B 合同審査会 14
まとめ 安定した広域通信での通信集約システム OpenFlow による通信選別手法 集約率に大きな改善安定したスループット 提案手法に優位性 2010/02/03 卒論 B 合同審査会 15
今後の課題 ポリシーの追加 ポート番号と送信元 IP アドレス以外も考慮するべき フローと悪意のある通信の関係 L4 までの情報の組み合わせによる通信の判定法 実機による評価 本研究は仮想ネットワークを用いて性能の評価 2010/02/03 卒論 B 合同審査会 16
ご清聴ありがとうございました 2010/02/03 卒論 B 合同審査会 17
補足資料 2010/02/03 卒論 B 合同審査会 18
使用したポリシー ポート番号 nepenthes が対応 検知するポート番号警察庁セキュリティポータルサイト @police 参考 : インターネット治安情勢 2010 年 7~9 月 ブラックリスト Dshield.org が提供 ホストの IP アドレス群 スキャンや不正アクセス 2010/02/03 卒論 B 合同審査会 19
ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 1 10/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/ TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP 2010/02/03 卒論 B 合同審査会 20
OpenFlow フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割 特別な設定がない場合は通常の L2 スイッチ コントローラでの制御一括管理 より柔軟な対応が可能 ( 動的なパラメータの変更 ) OpenFlow スイッチ Controller ルールル アクション ステート 2010/02/03 卒論 B 合同審査会 21
OpenFlow コントローラ OpenFlow スイッチから受け取ったパケットに応じてフローを定義し スイッチに対して返答 ソフトウェア上で動作 コントローラが OpenFlow スイッチに行える主な機能 データパスの状態表示フローテーブルの状態表示フローテーブルの定義 2010/02/03 卒論 B 合同審査会 22
フローの定義 以下のパラメータの組み合わせ 受信したスイッチのポート 送信元 MAC アドレス 宛先 MAC アドレス VLAN のタグ ID 送信元 IP アドレス 宛先 IP アドレス 送信元ポート番号 宛先ポート番号 ToS (Type of Service) ICMP の種類 TCP コネクションごとにフローとみなすことが可能とみなすことが可能 2010/02/03 卒論 B 合同審査会 23
スイッチの動作確認 1 O/F:OpenFlow スイッチのフローテーブル にはまだ何もないので pingが通らない Controller? 1.45 1.48( サブ ) 1.47 O/F スイッチ 1 ホスト群 192.168.1.46 O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 24
スイッチの動作確認 2 O/F:OpenFlow フローテーブルに ( 往復の ) フローを定義 pingが通り始める Controller? ルールアクションステート 1.45 1.48( サブ ) 1.47 O/F スイッチ 1 ホスト群 192.168.1.46 O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 25
スイッチの動作確認 3 O/F:OpenFlow 宛先を変える action を フローに定義する pingの宛先を変更! Controller ルールアクションステート 1.45 1.48 ( サブ ) 1.47 O/F スイッチ 1 ホスト群 192.168.1.46 O/F スイッチ n 1.50 ハニーポット 2010/02/03 卒論 B 合同審査会 26
動作例 ( ハニーポットへ誘導 ) スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 ルールアクションステート? Controller Internet O/F スイッチ 1 IP アドレス,MAC アドレス書き換え ホスト 1. O/F スイッチにパケットが到着 2. フローテーブルにないので! controller に転送し 問い合わせ 3. 以降ハニーポットへ転送 誘導 4. 通信によっては代理で応答を返す O/F スイッチ 2 O/F:OpenFlow ハニーポット 2010/02/03 卒論 B 合同審査会 27
関連研究 : ポリシールーティングを用いたネットワークハニーポットの構築トの構築 白畑真, 南政樹, 村井純 ( 慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 ハニーポット ( 複数種類 ) Darknet 使用していない IP アドレス空間 Internet ポート番号によるポリシールーティング ポリシルータ 複数種類のハニーポットの特性を活かすことが可能 2010/02/03 卒論 B 合同審査会 28
ポリシールーティング概要 2010/02/03 卒論 B 合同審査会 29
ポート番号によるポリシールーティング 指定したポート番号はハニーポットへ転送 スイッチ側で制御 Controller! ルールアクションステート O/F:OpenFlow O/F スイッチ 1 ホスト群 サーバ O/F スイッチ n ハニーポット 2010/02/03 卒論 B 合同審査会 30
IDS: 侵入検知システム 監視対象 分析対象 ネットワーク型ある一定の範囲でのネットワーク シグネチャ型パターンマッチング snort ホスト型コンピュータ自身 アノマリ型定義の状態との比較 分析 ManHunt 用いる範囲 用途に合わせた IDS の導入が可能 2010/02/03 卒論 B 合同審査会 31
既存手法との比較 Iptable は書き換えによる通信の振り分けが出来ない トラフィックの振り分けによって代理で応答が出来る コントローラによる集中管理による柔軟な対応 1 つ 1 つのスイッチを書き換える必要が無い 攻撃の選別 ポート番号だけでは不十分 L2~L4 までの通信を管理 : フロー単位での制御 ブラックリスト ポートポリシーといった複数の選別法をコントローラによって実現可能 ダイナミックなルーティングが可能 通信を監視し 動的にルーティングを行うことが可能 2010/02/03 卒論 B 合同審査会 32
利点と欠点 利点 コントローラの管理集中化により ルールに基づいた自律的制御が可能 安価なスイッチで高速な処理 多様な攻撃 通信にも通信をフロー単位で管理できるため L2~L4までの柔軟な対応が可能 欠点 フローテーブルの限界から 膨大な種類の通信が同時にくるとスループットの低下を招く可能性がある 2010/02/03 卒論 B 合同審査会 33
悪意のある通信の再現 hping3 icmp プロトコルで動作する ping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンと IP スプーフィングを利用 Iperf IP スプーフィング : 送信元 IP アドレスの偽造 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ / クライアント方式で動作 1Mbyte のファイルダウンロードを利用 測定はしばらく時間を置いて 通信が安定してから行う 2010/02/03 卒論 B 合同審査会 34
ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット 脆弱性がある OS やアプリケーションの反応をエミュレートすることでマルウェア収集 代表例 :nepenthes 本研究で使用 ハイインタラクションハニーポット 脆弱性がある本物の OS やアプリケーションを用いて構築 2010/02/03 卒論 B 合同審査会 35
参考文献 The OpenFlow Switch Consortium,http://www.openflowswitch.org/ 白畑真, 南政樹, 村井純, ポリシールーティングを用いたネットワークハニーポットの構築, 情報処理学会研究報告, 2005-DSM- 38, Vol.2005, No.83,p.p.55-58,August p 2005. Manuel Palacin,OpenFlow Switching Performance,theUnivercityPolitecnicodi Torino,2009 年度修士論文, 2009. 山本真里子, 岡本栄司, 岡本健, 侵入検知システムを用いた動的ファイアウォールの実装, 筑波大学大学院 2006 年修士論文, 2006. 曽根直人, 森井昌克, ポートスキャン対策を目的としたハニーポットの提案とその応用, 電子情報通信学会技術研究報告, p.p.19-24, 2006. @police, インターネット観測結果等平成 22 年度, htt // j / b li /d t t/ df/20101202 df 2010 http://www.npa.go.jp/cyberpolice/detect/pdf/20101202.pdf, 2010. 2010/02/03 卒論 B 合同審査会 36