Embed Size (px)
DESCRIPTION
2010年度 卒業論文 OpenFlow スイッチによる 広域通信の効率的集約法. 早稲田大学基幹理工学部情報理工学科 後藤研究室 4 年 山田 建史 (Kenji YAMADA). Agenda. 1 . 研究の 背景 2 . 研究の目的 3 . 既存手法 4 . 提案手法 5 . 実証 実験 6. 実験結果 7. まとめと今後の課題. 研究の背景. 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 広域的な調査を行い、多様化した攻撃の実態を掴む - PowerPoint PPT Presentation
Citation preview
2010年度 卒業論文 OpenFlow スイッチによる
広域通信の効率的集約法
早稲田大学基幹理工学部情報理工学科後藤研究室 4 年
山田 建史 (Kenji YAMADA)
卒論 B 合同審査会 12010/02/03
Agenda1 . 研究の背景2 . 研究の目的3 . 既存手法4 . 提案手法5 . 実証実験6. 実験結果7. まとめと今後の課題
2010/02/03 卒論 B 合同審査会 2
研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化
国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない
広域的な調査を行い、多様化した攻撃の実態を掴む
IT 利用の利便性と情報セキュリティ対策との両立
2010/02/03 卒論 B 合同審査会 3
通信の選別
研究の目的1 通信を選別するためには間に機器を挟む必要がある
例 : IDS ( Intrusion Detection System ) , firewall
ネットワーク機器で制御し、通信を選別できれば速度の低下、リプレースやスケールアウトのコストが抑え
られる
2010/02/03 卒論 B 合同審査会 4
速度(スループット)の低下制御内容に変更による機器のリプ
レーススケールアウトによるコスト増大
既存手法(ルータによるポリシールーティング) ルータにポリシーを与え検知した通信をハニーポットに集約
特定のポート番号を元にルーティング Iptables と iproute を組み合わせる
2010/02/03 卒論 B 合同審査会 5ハニーポット
ホスト
Internet
ポート番号によるポリシールーティン
グ
ルータ
ルータ
通信を選別はポート番号のみスケールアウト(拡張性)できない
研究の目的2
2010/02/03 卒論 B 合同審査会 6
既存のスイッチ網を再構成 スイッチの機能を転送部と制御部とに独立
柔軟かつ集約的な制御を行うことができる
OpenFlow スイッチング技術
既存のネットワークと共存した通信システム
悪意のある通信の選別 安定した通信の集約
研究テーマ
2010/02/03 卒論 B 合同審査会 7
OpenF l ow スイッチによる広域通信の効率的集約法
OpenFlow スイッチの転送部と制御部を独立・再構成
高速かつ柔軟な動作が可能 コントローラによってリプレースやスケールアウトに
も有効 通信単位をフローとして扱う
レイヤ 4 以下の情報の組み合わせで定義 通信をきめ細かく制御可能
2010/02/03 卒論 B 合同審査会 8OpenFlow Switch
Controller
機能の独立スケールアウト可
能
提案手法:悪意のある通信の集約
2010/02/03 卒論 B 合同審査会 9ハニーポット
O/F スイッチ 1
O/F スイッチn
Controllerホスト
Controller 制御柔軟かつ動的なポリ
シー柔軟かつ安定したセキュアなシステ
ム
Internet
dshield.org が公開している
ブラックリスト
広範囲の通信を OpenFlow スイッチにより選別、誘導選別した通信をハニーポットに集約
ポート番号送信元 IP アドレス
※ O/F :OpenFlow
実証実験概要 攻撃を hping3 、正常な通信を iperf で再現
hping3 : ping ライクなパケット生成ツール ポートスキャン、スパムによる攻撃 ( 送信元の偽造 )
iperf :トラヒック発生ツール ファイルダウンロード、スループットの測定
比較実験項目 収集率の比較 スループットの比較 (平均スループット、分散)
実験環境 仮想サーバ上に仮想ネットワークを構築
2010/02/03 卒論 B 合同審査会 10
ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iprouter を組み合わせる
2010/02/03 卒論 B 合同審査会 11ハニーポット
ホスト
ポート番号によるポリシールーティン
グ
ポリシルータ
実験環境:既存手法
サーバ
ポリシルータ
実験環境:提案手法 ポリシーやコントローラの制御により悪意のある通信を選別
2010/02/03 卒論 B 合同審査会 12ハニーポット
O/F スイッチ 1
O/F スイッチ2
Controller
ホスト
※ O/F :OpenFlow
送信元 IP アドレス
ポートポリシー
Internet
更新
サーバ
実験結果1:収集率
2010/02/03 卒論 B 合同審査会 13既存手法 提案手法
0
5
10
15
20
25
30
35
収集率 (% )
+22.1%
ポート番号のみ ポート番号 + ブラックリスト
悪意のある全トラフィックから、集約した通信の割合
実験結果2:平均スループット
2010/02/03 卒論 B 合同審査会 14
平均スループット
(Mbps)分散
既存手法 13.95 0.56
提案手法 12.71 0.35通信が安定している
まとめ
安定した広域通信での通信集約システム
提案手法に優位性2010/02/03 卒論 B 合同審査会 15
集約率に大きな改善 安定したスループット
OpenFlow による通信選別手法
今後の課題 ポリシーの追加
ポート番号と送信元 IP アドレス以外も考慮するべき
フローと悪意のある通信の関係 L4 までの情報の組み合わせによる通信の判定法
実機による評価 本研究は仮想ネットワークを用いて性能の評価
2010/02/03 卒論 B 合同審査会 16
ご清聴ありがとうございました
2010/02/03 卒論 B 合同審査会 17
補足資料
2010/02/03 卒論 B 合同審査会 18
使用したポリシー ポート番号
nepenthes が対応、検知するポート番号 警察庁セキュリティポータルサイト @police
参考:インターネット治安情勢 2010 年 7~ 9月
ブラックリスト Dshield.org が提供
ホストの IP アドレス群 スキャンや不正アクセス
2010/02/03 卒論 B 合同審査会 19
ポート番号の選定 Nepenthes が検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP,
110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP,
995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP,
3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP
2010/02/03 卒論 B 合同審査会 20
OpenFlow
2010/02/03 卒論 B 合同審査会 21
フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割
特別な設定がない場合は通常の L2 スイッチ コントローラでの制御一括管理
より柔軟な対応が可能(動的なパラメータの変更)
OpenFlowスイッチ
Controllerルール アクショ
ンステート
OpenFlow コントローラ OpenFlow スイッチから受け取ったパケットに応じてフローを定義し、スイッチに対して返答 ソフトウェア上で動作
コントローラが OpenFlow スイッチに行える主な機能 データパスの状態表示 フローテーブルの状態表示 フローテーブルの定義
2010/02/03 卒論 B 合同審査会 22
フローの定義 以下のパラメータの組み合わせ
受信したスイッチのポート 送信元 MAC アドレス、宛先MAC アドレス VLAN のタグ ID 送信元 IP アドレス、宛先 IP アドレス 送信元ポート番号、宛先ポート番号 ToS (Type of Service) ICMP の種類
TCP コネクションごとにフローとみなすことが可能
2010/02/03 卒論 B 合同審査会 23
スイッチの動作確認1 スイッチのフローテーブル にはまだ何もないので ping が通らない
2010/02/03 卒論 B 合同審査会 24ハニーポット
O/F スイッチ 1
O/F スイッチ n
Controller
ホスト群
※ O/F :OpenFlow
?
192.168.1.46
1.48 (サブ)
1.45
1.47
スイッチの動作確認2 フローテーブルに(往復の)フローを定義 → ping が通り始める
2010/02/03 卒論 B 合同審査会 25ハニーポット
O/F スイッチ 1
O/F スイッチ n
Controller
ホスト群
※ O/F :OpenFlow
?
192.168.1.46
1.48 (サブ)
1.45
1.47ルール アクション
ステート
スイッチの動作確認3 宛先を変える action を フローに定義する → ping の宛先を変更!
2010/02/03 卒論 B 合同審査会 26ハニーポット
O/F スイッチ 1
O/F スイッチ n
Controller
ホスト群
※ O/F :OpenFlow
192.168.1.46
1.48 (サブ)
1.45
1.47ルール アクション
ステート
1.50
動作例(ハニーポットへ誘導) スイッチ部のポリシーとコントローラ制御により悪意のある通
信を選別
2010/02/03 卒論 B 合同審査会 27ハニーポット
O/F スイッチ 1
O/F スイッチ2
Controller
ホスト
※ O/F :OpenFlow
?
1. O/F スイッチにパケットが到着
2. フローテーブルにないので controller に転送し、問い合わせ
3. 以降ハニーポットへ転送、誘導
Internet
ルール アクション
ステート
4. 通信によっては代理で応答を返す
!
IP アドレス ,MAC アドレス書き換え
関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真 , 南政樹 ,村井純(慶応義塾大学 , 情報処理学会研究報告 , p.p,55-58 2005 ) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用
2010/02/03 卒論 B 合同審査会 28
ハニーポット(複数種類)
ポリシルータ
複数種類のハニーポットの特性を
活かすことが可能ポート番号によるポリシールーティン
グ
Darknet使用していないIP アドレス空間
Internet
2010/02/03 卒論 B 合同審査会 29
ポリシールーティング概要
ポート番号によるポリシールーティング 指定したポート番号は
ハニーポットへ転送 →スイッチ側で制御
2010/02/03 卒論 B 合同審査会 30ハニーポット
O/F スイッチ 1
O/F スイッチ n
Controller
ホスト群
※ O/F :OpenFlow
!
サーバ
ルール アクション
ステート
IDS :侵入検知システム
2010/02/03 卒論 B 合同審査会 31
snort
用いる範囲、用途に合わせた IDS の導入が可能
ManHunt
既存手法との比較 Iptable は書き換えによる通信の振り分けが出来な
い トラフィックの振り分けによって代理で応答が出来る コントローラによる集中管理による柔軟な対応
1 つ 1 つのスイッチを書き換える必要が無い 攻撃の選別
ポート番号だけでは不十分 L2~ L4 までの通信を管理:フロー単位での制御 ブラックリスト、ポートポリシーといった複数の選別
法をコントローラによって実現可能
ダイナミックなルーティングが可能 通信を監視し、動的にルーティングを行うことが可能2010/02/03 卒論 B 合同審査会 32
利点と欠点 【利点】
・コントローラの管理集中化により、ルールに基づいた
自律的制御が可能・安価なスイッチで高速な処理・多様な攻撃、通信にも通信をフロー単位で管理できるため L2~ L4 までの柔軟な対応が可能
【欠点】・フローテーブルの限界から、膨大な種類の通信が同時にくるとスループットの低下を招く可能性がある
2010/02/03 卒論 B 合同審査会 33
悪意のある通信の再現 hping3
icmp プロトコルで動作する ping ライクなコマンド 多種様々なパケットの生成が可能
ポートスキャンと IP スプーフィングを利用
※ IP スプーフィング:送信元 IP アドレスの偽造
Iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ / クライアント方式で動作
1Mbyte のファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してか
ら行う
2010/02/03 卒論 B 合同審査会 34
ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器
ローインタラクションハニーポット 脆弱性がある OS やアプリケーションの反応をエミュ
レートすることでマルウェア収集 代表例: nepenthes ←本研究で使用
ハイインタラクションハニーポット 脆弱性がある本物の OS やアプリケーションを用いて
構築2010/02/03 卒論 B 合同審査会 35
参考文献 The OpenFlow Switch Consortium,http://www.openflowswitch.org/ 白畑真 , 南政樹 , 村井純 , ポリシールーティングを用いたネッ
トワークハニーポットの構築 , 情報処理学会研究報告 , 2005-DSM-38, Vol.2005, No.83,p.p.55-58,August 2005.
Manuel Palacin ,OpenFlow Switching Performance,the Univercity Politecnico di Torino ,2009 年度修士論文 , 2009.
山本真里子 , 岡本栄司 , 岡本健 , 侵入検知システムを用いた動的ファイアウォールの実装 ,筑波大学大学院 2006 年修士論文 , 2006.
曽根直人 , 森井昌克 , ポートスキャン対策を目的としたハニーポットの提案とその応用 ,電子情報通信学会技術研究報告 , p.p.19-24, 2006.
@police, インターネット観測結果等平成 22 年度 , http://www.npa.go.jp/cyberpolice/detect/pdf/20101202.pdf, 2010.2010/02/03 卒論 B 合同審査会 36
