Embed Size (px)
DESCRIPTION
NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法. 山田 建史 早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士 1 年. Agenda. 1 . 研究の 背景 2 . 研究の目的 3 . 既存手法 4 . 提案手法 5 . 実証 実験 6. 実験結果 7.まとめと今後の課題. 研究の背景. 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要 - PowerPoint PPT Presentation
Citation preview
NEC- 早大技術交流会OpenFlow スイッチによる広域通信の効率的集約
法山田 建史
早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士 1 年
2011/12/26NEC- 早大技術交流会1
Agenda
2011/12/26NEC- 早大技術交流会2
1 . 研究の背景2 . 研究の目的3 . 既存手法4 . 提案手法5 . 実証実験6. 実験結果7.まとめと今後の課題
研究の背景
2011/12/26NEC- 早大技術交流会3
情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない
広域的な調査を行い、多様化した攻撃の実態を掴む 効率的に攻撃手法の情報収集が必要
IT 利用の利便性と情報セキュリティ対策との両立
通信の選別
研究の目的1
2011/12/26NEC- 早大技術交流会4
既存の悪意のある通信の観測や防御に必要な機器 侵入検知システム( IDS ) 侵入防御システム( IPS ) ファイアウォール
観測を行う範囲を広げると ・設備投資によるコスト増大 ・機器の運用や設定にかかる人的なコスト
ネットワーク機器での制御 観測機器の設置・維持によるコストを抑えられる 広域な通信を効率良く制御できる
2011/12/26NEC- 早大技術交流会5
ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせる
ハニーポット
ホスト
Internet
ポート番号によるポリシールーティン
グ
ルータ
ルータ
・エントリ数が大きくなるとルータに負荷がかかる → ポート番号でのみの制御・制御内容の適用はルータ自身にのみ →効率が悪く、スケールアウトしない
関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真 , 南政樹 , 村井純(情報処理学会研究報告( DSM-038 ) , pp.55-58, 2005 )
研究の目的2
2011/12/26NEC- 早大技術交流会6
広域な通信を一元管理できるネットワーク管理システムが必要
スイッチの機能を転送部と制御部に独立 制御部による転送部への一元管理
広域通信を効率良く制御し、悪意のある通信を集約する 悪意のある通信の選別 安定した通信の集約
OpenFlow スイッチング技術
柔軟かつ集約的な制御
提案手法
2011/12/26NEC- 早大技術交流会7
OpenF l ow スイッチによる広域通信の効率的集約法
機能の独立スケールアウト可
能
提案手法:悪意のある通信の集約
2011/12/26NEC- 早大技術交流会8
ハニーポット
O/F スイッチ 1
O/F スイッチn
O/F Controllerホスト
Controller 制御柔軟かつ動的なポリ
シー柔軟かつ安定したセキュアなシステ
ム
Internet
dshield.org が公開している
ブラックリスト
広範囲の通信を OpenFlow スイッチにより選別、誘導選別した通信をハニーポットに集約 ※ O/F :
OpenFlow
ポート番号送信元 IP アドレス
実証実験:概要
2011/12/26NEC- 早大技術交流会9
攻撃通信を hping3 、正常な通信を iperf で再現 hping3 : ping ライクなパケット生成ツール
ポートスキャン、スパムによる攻撃(送信元 IP アドレスの偽造) iperf :トラヒック発生ツール
ファイルダウンロード、スループットの測定
比較実験項目 収集率の比較 スループットの比較 (平均スループット、分散)
実験環境 仮想サーバ上に仮想ネットワークを構築
悪意のある通信の再現
2011/12/26NEC- 早大技術交流会10
hping3 icmp プロトコルで動作する ping ライクなコマンド 多種様々なパケットの生成が可能
ポートスキャンと IP スプーフィングを利用 ※ IP スプーフィング:送信元 IP アドレスの偽
造 iperf
擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ / クライアント方式で動作
1Mbyte のファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う
実証実験:基本構成と詳細
2011/12/26NEC- 早大技術交流会11
サーバ‐ホスト間に 2 つのトラフィックによる通信を観測 収集率 :攻撃通信がハニーポットに流れた割合 スループット:サーバ‐ホスト間を測定
ハニーポット
O/F スイッチ1
O/F スイッチ2
O/F Controller ホスト
※ O/F :OpenFlow
サーバ
正常な通信: iperf攻撃通信 : hping3
実験環境:既存手法
2011/12/26NEC- 早大技術交流会12
ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptables と iproute2 を組み合わせる
ハニーポット
ホスト
ポート番号によるポリシールーティン
グ
ポリシルータ
サーバ
ポリシルータ
ポリシールーティングの構成図
2011/12/26NEC- 早大技術交流会13
iproute2 と iptables を組み合わせることでポリシーを設定し、転送を行う
サーバ
ホスト
実験環境:提案手法
2011/12/26NEC- 早大技術交流会14
ポリシーやコントローラの制御により悪意のある通信を選別
ハニーポット
O/F スイッチ1
O/F スイッチ2
O/F Controller
ホスト
※ O/F :OpenFlow
送信元 IP アドレス
ポートポリシー
Internet
更新
サーバ
使用したポリシー
2011/12/26NEC- 早大技術交流会15
ポート番号 nepenthes が対応、検知するポート番号 18 種類 警察庁セキュリティポータルサイト @police 上位 20件
参考:インターネット治安情勢 2010年 7~ 9月 合計 27 種類
ブラックリスト Dshield.org が提供
ホストの IP アドレス群 スキャンや不正アクセス
上位 100件を使用
実験結果1:収集率
2011/12/26NEC- 早大技術交流会16
既存手法 提案手法0
5
10
15
20
25
30
35
収集率 (% )
+22.1 %
ポート番号のみ ポート番号 +IPブラックリスト
悪意のある全トラフィックから、集約した通信の割合
実験結果2:平均スループット
2011/12/26NEC- 早大技術交流会17
平均スループット
(Mbps)分散
既存手法 13.95 0.56
提案手法 12.71 0.35 スループットのばらつきが少ない
まとめ
2011/12/26NEC- 早大技術交流会18
安定した広域通信での通信集約システム
提案手法に優位性、実用性
集約率に大きな改善 安定したスループット
OpenFlow による通信選別手法
今後の課題
2011/12/26NEC- 早大技術交流会19
1. より精度の高いポリシーを検討 より動的で柔軟なポリシーの設定
2. 比較対象の検討 - vyatta などの仮想ルータとの比較
今回は openvswitch を使用 - OpenFlow スイッチとの比較
ポリシルータではなく、既存の OpenFlow スイッチで複数種類の手法を検討
3. 実機での検証 今回は仮想環境での実験
ご清聴ありがとうございました
2011/12/26NEC- 早大技術交流会20
補足資料
2011/12/26NEC- 早大技術交流会21
OpenFlow
2011/10/20CSS201122
フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割
特別な設定がない場合は通常の L2 スイッチ コントローラでの制御一括管理
より柔軟な対応が可能(動的なパラメータの変更)OpenFlow
スイッチ
ControllerRule Action Stats
OpenFlow の制御とその特徴 スイッチとコントローラによる機能分離
SW (コントローラ)で処理方法を決定HW (スイッチ)で通信の処理
一つのコントローラで複数の OpenFlow スイッチを制御することが可能
各種ヘッダ情報の書き換え ポート番号、 IP アドレス、 MAC アドレスなど レイヤ 4以下のヘッダ情報は書き換えが可能 任意のヘッダを挿入することも可能
高速で柔軟なネットワーク環境が実現可能
2011/10/20CSS201123
Rule Action Stats
フローの定義 レイヤ 4以下の情報の組み合わせで定義
受信したスイッチの物理ポート 宛先MAC アドレス、送信元 MAC アドレス Etherタイプ VLANタグ ID VLAN プライオリティ 宛先 IP アドレス、送信元 IP アドレス プロトコル番号 ToS (Type of Service) 宛先ポート番号、送信元ポート番号
2011/10/20CSS201124
きめ細かい通信制御や柔軟な設計や構築が可能
通信をフローとして扱う
※ OpenFlow v1.2 から IPv6も対応
フローの定義とフローテーブルの構成
2011/10/20CSS201125
フローの定義
OpenFlowcontroller
OpenFlow
protocol
Securechannel
Flowtable
OpenFlow の動作
2011/10/20CSS201126
1. 最初のパケットを送信2. フローテーブル未登録より コントローラへパケットを転送
3. 処理を決定
Rule Action Stats
4. 処理をフローテーブルに登録し パケットの処理を行う
5. 以降同じパケットは 同様に転送される
OpenFlowswitch
HW
SW
ポート番号の選定
2011/10/20CSS201127
Nepenthes が検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP,
110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP,
995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP,
3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP,
9415/TCP, 10000/TCP
関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真 , 南政樹 , 村井純(慶応義塾大学 , 情報処理学会研究報告 , p.p,55-58 2005 )
2011/10/20CSS201128
ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 ハニーポット(複数種
類)
ポリシルータ
複数種類のハニーポットの特性を
活かすことが可能ポート番号によるポリシールーティン
グ
Darknet使用していないIP アドレス空間
Internet
ポート番号によるポリシールーティング
2011/10/20CSS201129
指定したポート番号は ハニーポットへ転送 →スイッチ側で制御
ハニーポット
O/F スイッチ 1
O/F スイッチ n
Controller
ホスト群
※ O/F :OpenFlow
!
サーバ
ルール アクション
ステート
動作例(ハニーポットへ誘導)
2011/10/20CSS201130
スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別
ハニーポット
O/F スイッチ 1
O/F スイッチ2
Controller
ホスト
※ O/F :OpenFlow
?
1. O/F スイッチにパケットが到着2. フローテーブルにないので controller に転送し、問い合わせ3. 以降ハニーポットへ転送、誘導
Internet
rule action stats
4. 通信によっては代理で応答を返す
!
IP アドレス ,MAC アドレス書き換え
ハニーポット
2011/10/20CSS201131
マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器
ローインタラクションハニーポット 脆弱性がある OS やアプリケーションの反応をエミュレートす
ることでマルウェア収集 代表例: nepenthes ← 本研究で使用
ハイインタラクションハニーポット 脆弱性がある本物の OS やアプリケーションを用いて構築
現在の取り組み
2011/10/20CSS201132
コントローラの制御に機械学習を導入 より柔軟で精密に悪意のある通信を選別
ハニーポット
O/F スイッチ
Controller
ホスト
※ O/F :OpenFlow
送信元 IP アドレス
ポートポリシー
Internet
学習&判定モジュール
現在の取り組み:将来像
2011/10/20CSS201133
コントローラの機械学習による制御と IDS の連携 通知⇨学習⇨フィードバックによる循環システム
ハニーポット
O/F スイッチ
Controller
ホスト
※ O/F :OpenFlow
Internet
学習&判定モジュール
フィードバック
通知
IDS
