NEC- 早大技術交流会 OpenFlow スイッチによる広域通信の効率的集約法

1. NEC-早大技術交流会OpenFlowスイッチによる広域通信の効率的集約法NEC-早大技術交流会OpenFlowスイッチによる広域通信の効率的集約法 山田 建史 早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士1年 NEC-早大技術交流会

2. Agenda １.　研究の背景 ２.　研究の目的 ３.　既存手法 ４.　提案手法 ５.　実証実験 ６． 実験結果 ７．まとめと今後の課題 NEC-早大技術交流会

3. 研究の背景 • 情報量増大に伴い悪意のある通信の問題が顕在化 • 国際的なサイバー攻撃が頻発 • ボットネットの活動の調査が追いつかない • 広域的な調査を行い、多様化した攻撃の実態を掴む • 効率的に攻撃手法の情報収集が必要 • IT利用の利便性と情報セキュリティ対策との両立 通信の選別 NEC-早大技術交流会

4. 研究の目的１ • 既存の悪意のある通信の観測や防御に必要な機器 • 侵入検知システム（IDS） • 侵入防御システム（IPS） • ファイアウォール 　　　　　観測を行う範囲を広げると 　　・設備投資によるコスト増大 　　・機器の運用や設定にかかる人的なコスト 　ネットワーク機器での制御 　観測機器の設置・維持によるコストを抑えられる 　広域な通信を効率良く制御できる NEC-早大技術交流会

5. 関連研究：ポリシールーティングを用いた　　　　　　　ネットワークハニーポットの構築 白畑真, 南政樹,村井純（情報処理学会研究報告（DSM-038）, pp.55-58, 2005） • ルータにポリシーを与え検知した通信をハニーポットに集約 • 特定のポート番号を元にルーティング • Iptablesとiproute2を組み合わせる ルータ ポート番号による ポリシールーティング ホスト Internet ルータ • ・エントリ数が大きくなるとルータに負荷がかかる • 　　→ ポート番号でのみの制御 • ・制御内容の適用はルータ自身にのみ • 　　→効率が悪く、スケールアウトしない ハニーポット NEC-早大技術交流会

6. 研究の目的２ • 広域な通信を一元管理できるネットワーク管理システムが必要 • スイッチの機能を転送部と制御部に独立 • 制御部による転送部への一元管理 • 広域通信を効率良く制御し、悪意のある通信を集約する • 悪意のある通信の選別 • 安定した通信の集約 OpenFlowスイッチング技術 柔軟かつ集約的な制御 NEC-早大技術交流会

7. 提案手法 OpenFｌowスイッチによる 広域通信の効率的集約法 NEC-早大技術交流会

8. 提案手法：悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導 ※ O/F：OpenFlow 選別した通信をハニーポットに集約 ポート番号 送信元IPアドレス dshield.org が 公開している ブラックリスト O/F Controller O/Fスイッチ1 ホスト Internet O/Fスイッチｎ 機能の独立 スケールアウト可能 Controller制御 柔軟かつ動的なポリシー ハニーポット 柔軟かつ安定したセキュアなシステム NEC-早大技術交流会

9. 実証実験：概要 • 攻撃通信をhping3、正常な通信をiperfで再現 • hping3： pingライクなパケット生成ツール • ポートスキャン、スパムによる攻撃（送信元IPアドレスの偽造） • iperf：トラヒック発生ツール • ファイルダウンロード、スループットの測定 • 比較実験項目 • 収集率の比較 • スループットの比較 （平均スループット、分散） • 実験環境 • 仮想サーバ上に仮想ネットワークを構築 NEC-早大技術交流会

10. 悪意のある通信の再現　 • hping3 • icmpプロトコルで動作するping ライクなコマンド • 多種様々なパケットの生成が可能 ポートスキャンとIPスプーフィングを利用 ※IPスプーフィング：送信元IPアドレスの偽造 • iperf • 擬似トラフィック生成ツール • ファイルダウンロードやスループットの測定 • サーバ/クライアント方式で動作 1Mbyteのファイルダウンロードを利用 測定はしばらく時間を置いて、通信が安定してから行う NEC-早大技術交流会

11. 実証実験：基本構成と詳細 ※ O/F：OpenFlow • サーバ‐ホスト間に2つのトラフィックによる通信を観測 • 収集率　　 　：攻撃通信がハニーポットに流れた割合 • スループット：サーバ‐ホスト間を測定 O/F Controller ホスト O/Fスイッチ1 サーバ O/Fスイッチ２ 正常な通信：iperf 攻撃通信　 ：hping3 ハニーポット NEC-早大技術交流会

12. 実験環境：既存手法 • ルータにポリシーを与え検知した通信をハニーポットに集約 • 特定のポート番号を元にルーティング • Iptablesとiproute2を組み合わせる ポリシルータ ポート番号による ポリシールーティング ホスト サーバ ポリシルータ ハニーポット NEC-早大技術交流会

13. ポリシールーティングの構成図 iproute2とiptablesを組み合わせることで ポリシーを設定し、転送を行う ホスト サーバ NEC-早大技術交流会

14. 実験環境：提案手法 ※ O/F：OpenFlow • ポリシーやコントローラの制御により悪意のある通信を選別 送信元IPアドレス ポートポリシー O/F Controller 更新 ホスト Internet O/Fスイッチ1 サーバ O/Fスイッチ２ ハニーポット NEC-早大技術交流会

15. 使用したポリシー • ポート番号 • nepenthesが対応、検知するポート番号 18種類 • 警察庁セキュリティポータルサイト@police　上位20件 • 参考：インターネット治安情勢　2010年7～9月 • 合計　27種類 • ブラックリスト • Dshield.org が提供 • ホストのIPアドレス群 • スキャンや不正アクセス • 上位100件を使用 NEC-早大技術交流会

16. 実験結果１：収集率 悪意のある全トラフィックから、集約した通信の割合 +22.1％ ポート番号のみ ポート番号+IPブラックリスト NEC-早大技術交流会

17. 実験結果２：平均スループット スループットの ばらつきが少ない NEC-早大技術交流会

18. まとめ 安定した広域通信での通信集約システム 提案手法に優位性、実用性 OpenFlowによる通信選別手法 集約率に大きな改善 安定したスループット NEC-早大技術交流会

19. 今後の課題 • 1. より精度の高いポリシーを検討 • より動的で柔軟なポリシーの設定 • 2. 比較対象の検討 • - vyattaなどの仮想ルータとの比較 • 今回はopenvswitchを使用 • - OpenFlowスイッチとの比較 • ポリシルータではなく、既存のOpenFlowスイッチで 複数種類の手法を検討 • 3. 実機での検証 • 今回は仮想環境での実験 NEC-早大技術交流会

20. ご清聴ありがとうございました NEC-早大技術交流会

21. 補足資料 NEC-早大技術交流会

22. OpenFlow • フロー単位で処理を行うオープンソースのスイッチ • スイッチの機能をスイッチ部とコントローラ部に分割 • 特別な設定がない場合は通常のL2スイッチ • コントローラでの制御一括管理 • より柔軟な対応が可能（動的なパラメータの変更） OpenFlow スイッチ Controller CSS2011

23. OpenFlowの制御とその特徴 • スイッチとコントローラによる機能分離 • SW（コントローラ）で処理方法を決定HW（スイッチ）で通信の処理 • 一つのコントローラで複数のOpenFlowスイッチを制御することが可能 • 各種ヘッダ情報の書き換え • ポート番号、IPアドレス、MACアドレスなど • レイヤ4以下のヘッダ情報は書き換えが可能 • 任意のヘッダを挿入することも可能 　高速で柔軟なネットワーク環境が実現可能 Rule Action Stats CSS2011

24. フローの定義 • レイヤ4以下の情報の組み合わせで定義 • 受信したスイッチの物理ポート • 宛先MACアドレス、送信元MACアドレス • Etherタイプ • VLANタグID • VLANプライオリティ • 宛先IPアドレス、送信元IPアドレス • プロトコル番号 • ToS (Type of Service) • 宛先ポート番号、送信元ポート番号 通信をフローとして扱う • きめ細かい通信制御や柔軟な設計や構築が可能 ※ OpenFlowv1.2からIPv6も対応 CSS2011

25. フローの定義とフローテーブルの構成 フローの定義 CSS2011

26. OpenFlowの動作 OpenFlow controller OpenFlow switch OpenFlow protocol Rule Action Stats SW Secure channel 3. 処理を決定 4. 処理をフローテーブルに登録しパケットの処理を行う HW Flow table 5. 以降同じパケットは 　 同様に転送される 1. 最初のパケットを送信 2. フローテーブル未登録よりコントローラへパケットを転送 CSS2011

27. ポート番号の選定 • Nepenthesが検知するポート番号が基準 • 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP, 135/TCP, 139/TCP, 143/TCP, • 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, • 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, • 9415/TCP, 10000/TCP CSS2011

28. 関連研究：ポリシールーティングを用いた　　　　　　　ネットワークハニーポットの構築 白畑真, 南政樹,村井純（慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005） • ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 • 特定のポート番号を元にルーティング • 複数種類のハニーポットを活用 Darknet 使用していない IPアドレス空間 ハニーポット（複数種類） Internet 複数種類のハニーポットの特性を 活かすことが可能 ポリシルータ ポート番号による ポリシールーティング CSS2011

29. ポート番号によるポリシールーティング ※ O/F：OpenFlow 　指定したポート番号は 　ハニーポットへ転送 　　→スイッチ側で制御 Controller ！ O/Fスイッチ1 ホスト群 サーバ O/Fスイッチn ハニーポット CSS2011

30. 動作例（ハニーポットへ誘導） • スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 ? Controller ホスト O/Fスイッチ1 Internet IPアドレス,MACアドレス 書き換え 1. O/Fスイッチにパケットが到着 2. フローテーブルにないので controllerに転送し、問い合わせ ！ O/Fスイッチ２ 3. 以降ハニーポットへ転送、誘導 4. 通信によっては代理で応答を返す ※ O/F：OpenFlow ハニーポット CSS2011

31. ハニーポット • マルウェア収集のため脆弱性の存在するホストを 　 エミュレートするサーバーやネットワーク機器 • ローインタラクションハニーポット • 脆弱性があるOS やアプリケーションの反応をエミュレートすることでマルウェア収集 • 代表例：nepenthes ←本研究で使用 • ハイインタラクションハニーポット • 脆弱性がある本物のOS やアプリケーションを用いて構築 CSS2011

32. 現在の取り組み ※ O/F：OpenFlow • コントローラの制御に機械学習を導入 • より柔軟で精密に悪意のある通信を選別 学習＆判定モジュール 送信元IPアドレス ポートポリシー Controller ホスト Internet O/Fスイッチ ハニーポット CSS2011

33. 現在の取り組み：将来像 ※ O/F：OpenFlow • コントローラの機械学習による制御とIDSの連携 • 通知⇨学習⇨フィードバックによる循環システム 学習＆判定モジュール Controller 通知 IDS フィードバック ホスト Internet O/Fスイッチ ハニーポット CSS2011