2010年度 卒業論文 OpenFlowスイッチによる 広域通信の効率的集約法 早稲田大学基幹理工学部情報理工学科 後藤研究室 4年 山田 建史 (Kenji YAMADA) 2010/02/03 卒論B 合同審査会 1 Agenda 1. 研究の背景 2. 研究の目的 3. 既存手法 4. 提案手法 5. 実証実験 6. 実験結果 7. まとめと今後の課題 2010/02/03 卒論B 合同審査会 2 研究の背景 情報量増大に伴い悪意のある通信の問題が顕在化 国際的なサイバー攻撃が頻発 ボットネットの活動の調査が追いつかない 通信の選別 広域的な調査を行い、多様化した攻撃の実態を掴む IT利用の利便性と情報セキュリティ対策との両立 2010/02/03 卒論B 合同審査会 3 研究の目的1 通信を選別するためには間に機器を挟む必要がある 例: IDS(Intrusion Detection System), firewall 速度(スループット)の低下 制御内容に変更による機器のリプレース スケールアウトによるコスト増大 ネットワーク機器で制御し、通信を選別できれば 速度の低下、リプレースやスケールアウトのコストが抑えられる 2010/02/03 卒論B 合同審査会 4 既存手法(ルータによるポリシールーティング) ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiprouteを組み合わせる ポート番号による ポリシールーティング ルータ ホスト Internet ルータ 通信を選別はポート番号のみ スケールアウト(拡張性)できない 2010/02/03 卒論B 合同審査会 ハニーポット 5 研究の目的2 OpenFlowスイッチング技術 既存のスイッチ網を再構成 スイッチの機能を転送部と制御部とに独立 柔軟かつ集約的な制御を行うことができる 悪意のある通信の選別 安定した通信の集約 既存のネットワークと共存した通信システム 2010/02/03 卒論B 合同審査会 6 研究テーマ 2010/02/03 卒論B 合同審査会 7 OpenFlow スイッチの転送部と制御部を独立・再構成 高速かつ柔軟な動作が可能 コントローラによってリプレースやスケールアウトにも有効 通信単位をフローとして扱う レイヤ4以下の情報の組み合わせで定義 通信をきめ細かく制御可能 Controller OpenFlow Switch 2010/02/03 卒論B 合同審査会 8 提案手法:悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 選別した通信をハニーポットに集約 ※ O/F:OpenFlow ポート番号 送信元IPアドレス dshield.org が 公開している ブラックリスト Controller O/Fスイッチ1 ホスト Internet O/Fスイッチn 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー 柔軟かつ安定したセキュアなシステム 2010/02/03 卒論B 合同審査会 ハニーポット 9 実証実験概要 攻撃をhping3、正常な通信をiperfで再現 hping3: pingライクなパケット生成ツール iperf:トラヒック発生ツール ファイルダウンロード、スループットの測定 比較実験項目 ポートスキャン、スパムによる攻撃(送信元の偽造) 収集率の比較 スループットの比較 (平均スループット、分散) 実験環境 仮想サーバ上に仮想ネットワークを構築 2010/02/03 卒論B 合同審査会 10 実験環境:既存手法 ルータにポリシーを与え検知した通信をハニーポットに集約 特定のポート番号を元にルーティング Iptablesとiprouterを組み合わせる ポート番号による ポリシールーティング ポリシルータ ホスト サーバ ポリシルータ ハニーポット 2010/02/03 卒論B 合同審査会 11 実験環境:提案手法 ※ O/F:OpenFlow ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー Controller 更新 ホスト Internet O/Fスイッチ1 サーバ O/Fスイッチ2 ハニーポット 2010/02/03 卒論B 合同審査会 12 実験結果1:収集率 悪意のある全トラフィックから、集約した通信の割合 35 30 25 20 収集率 (%) 15 10 5 0 既存手法 ポート番号のみ 2010/02/03 提案手法 ポート番号+ブラックリスト 卒論B 合同審査会 13 実験結果2:平均スループット 平均スループット (Mbps) 既存手法 提案手法 分散 13.95 0.56 12.71 0.35 通信が安定している 2010/02/03 卒論B 合同審査会 14 まとめ 安定した広域通信での通信集約システム OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット 提案手法に優位性 2010/02/03 卒論B 合同審査会 15 今後の課題 ポリシーの追加 フローと悪意のある通信の関係 ポート番号と送信元IP アドレス以外も考慮するべき L4 までの情報の組み合わせによる通信の判定法 実機による評価 本研究は仮想ネットワークを用いて性能の評価 2010/02/03 卒論B 合同審査会 16 ご清聴ありがとうございました 2010/02/03 卒論B 合同審査会 17 補足資料 2010/02/03 卒論B 合同審査会 18 使用したポリシー ポート番号 nepenthesが対応、検知するポート番号 警察庁セキュリティポータルサイト@police 参考:インターネット治安情勢 2010年7~9月 ブラックリスト Dshield.org が提供 ホストのIPアドレス群 スキャンや不正アクセス 2010/02/03 卒論B 合同審査会 19 ポート番号の選定 Nepenthesが検知するポート番号が基準 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP, 135/TCP, 139/TCP, 143/TCP, 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, 9415/TCP, 10000/TCP 2010/02/03 卒論B 合同審査会 20 OpenFlow フロー単位で処理を行うオープンソースのスイッチ スイッチの機能をスイッチ部とコントローラ部に分割 特別な設定がない場合は通常のL2スイッチ コントローラでの制御一括管理 より柔軟な対応が可能(動的なパラメータの変更) OpenFlow スイッチ ルール 2010/02/03 卒論B 合同審査会 Controller アクション ステート 21 OpenFlowコントローラ OpenFlow スイッチから受け取ったパケットに応じて フローを定義し、スイッチに対して返答 ソフトウェア上で動作 コントローラがOpenFlow スイッチに行える主な機能 データパスの状態表示 フローテーブルの状態表示 フローテーブルの定義 2010/02/03 卒論B 合同審査会 22 フローの定義 以下のパラメータの組み合わせ 受信したスイッチのポート 送信元MACアドレス、宛先MACアドレス VLANのタグID 送信元IPアドレス、宛先IPアドレス 送信元ポート番号、宛先ポート番号 ToS (Type of Service) ICMP の種類 TCP コネクションごとにフローとみなすことが可能 2010/02/03 卒論B 合同審査会 23 スイッチの動作確認1 スイッチのフローテーブル にはまだ何もないので pingが通らない Controller ? O/Fスイッチ1 ※ O/F:OpenFlow 1.45 1.48(サブ) 1.47 ホスト群 192.168.1.46 O/Fスイッチn ハニーポット 2010/02/03 卒論B 合同審査会 24 スイッチの動作確認2 フローテーブルに (往復の)フローを定義 →pingが通り始める ※ O/F:OpenFlow Controller ルール ? アクション 1.45 1.48(サブ) ステート O/Fスイッチ1 1.47 ホスト群 192.168.1.46 O/Fスイッチn ハニーポット 2010/02/03 卒論B 合同審査会 25 スイッチの動作確認3 宛先を変えるactionを フローに定義する →pingの宛先を変更! ※ O/F:OpenFlow Controller 1.45 1.48 (サブ) ルール アクション ステート O/Fスイッチ1 1.47 ホスト群 192.168.1.46 O/Fスイッチn 1.50 ハニーポット 2010/02/03 卒論B 合同審査会 26 動作例(ハニーポットへ誘導) スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 ルール アクション ステート ? Controller ホスト O/Fスイッチ1 IPアドレス,MACアドレス 書き換え Internet 1. O/Fスイッチにパケットが到着 2. フローテーブルにないので controllerに転送し、問い合わせ O/Fスイッチ2 3. 以降ハニーポットへ転送、誘導 4. 通信によっては代理で応答を返す 2010/02/03 ! ※ O/F:OpenFlow 卒論B 合同審査会 ハニーポット 27 関連研究:ポリシールーティングを用いた ネットワークハニーポットの構築 白畑真, 南政樹,村井純(慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005) ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 特定のポート番号を元にルーティング 複数種類のハニーポットを活用 ハニーポット(複数種類) Darknet 使用していない IPアドレス空間 Internet ポリシルータ 複数種類のハニーポットの特性を 活かすことが可能 ポート番号による ポリシールーティング 2010/02/03 卒論B 合同審査会 28 ポリシールーティング概要 2010/02/03 卒論B 合同審査会 29 ポート番号によるポリシールーティング 指定したポート番号は ハニーポットへ転送 →スイッチ側で制御 ※ O/F:OpenFlow Controller ルール ! アクション ステート O/Fスイッチ1 ホスト群 サーバ O/Fスイッチn ハニーポット 2010/02/03 卒論B 合同審査会 30 IDS:侵入検知システム 監視対象 分析対象 ネットワーク型 ある一定の範囲 でのネットワーク シグネチャ型 パターンマッチング snort ホスト型 コンピュータ 自身 アノマリ型 定義の状態との 比較、分析 ManHunt 用いる範囲、用途に合わせたIDSの導入が可能 2010/02/03 卒論B 合同審査会 31 既存手法との比較 Iptableは書き換えによる通信の振り分けが出来ない トラフィックの振り分けによって代理で応答が出来る コントローラによる集中管理による柔軟な対応 攻撃の選別 1つ1つのスイッチを書き換える必要が無い ポート番号だけでは不十分 L2~L4までの通信を管理:フロー単位での制御 ブラックリスト、ポートポリシーといった複数の選別法を コントローラによって実現可能 ダイナミックなルーティングが可能 通信を監視し、動的にルーティングを行うことが可能 2010/02/03 卒論B 合同審査会 32 利点と欠点 【利点】 ・コントローラの管理集中化により、ルールに基づいた 自律的制御が可能 ・安価なスイッチで高速な処理 ・多様な攻撃、通信にも通信をフロー単位で管理できるため L2~L4までの柔軟な対応が可能 【欠点】 ・フローテーブルの限界から、膨大な種類の通信が同時にく るとスループットの低下を招く可能性がある 2010/02/03 卒論B 合同審査会 33 悪意のある通信の再現 hping3 icmp プロトコルで動作するping ライクなコマンド 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用 ※IPスプーフィング:送信元IPアドレスの偽造 Iperf 擬似トラフィック生成ツール ファイルダウンロードやスループットの測定 サーバ/クライアント方式で動作 1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う 2010/02/03 卒論B 合同審査会 34 ハニーポット マルウェア収集のため脆弱性の存在するホストを エミュレートするサーバーやネットワーク機器 ローインタラクションハニーポット 脆弱性があるOS やアプリケーションの反応をエミュレートす ることでマルウェア収集 代表例:nepenthes ←本研究で使用 ハイインタラクションハニーポット 脆弱性がある本物のOS やアプリケーションを用いて構築 2010/02/03 卒論B 合同審査会 35 参考文献 The OpenFlow Switch Consortium,http://www.openflowswitch.org/ 白畑真, 南政樹, 村井純, ポリシールーティングを用いたネットワークハ ニーポットの構築, 情報処理学会研究報告, 2005-DSM-38, Vol.2005, No.83,p.p.55-58,August 2005. Manuel Palacin ,OpenFlow Switching Performance,the Univercity Politecnico di Torino ,2009 年度修士論文, 2009. 山本真里子, 岡本栄司, 岡本健, 侵入検知システムを用いた動的ファイ アウォールの実装,筑波大学大学院2006 年修士論文, 2006. 曽根直人, 森井昌克, ポートスキャン対策を目的としたハニーポットの 提案とその応用,電子情報通信学会技術研究報告, p.p.19-24, 2006. @police,インターネット観測結果等平成22年度, http://www.npa.go.jp/cyberpolice/detect/pdf/20101202.pdf, 2010. 2010/02/03 卒論B 合同審査会 36
© Copyright 2024 ExpyDoc
