　２０１０年度　卒業論文　 OpenFlow スイッチによる　広域通信の効率的集約法

　２０１０年度　卒業論文　OpenFlowスイッチによる　広域通信の効率的集約法　２０１０年度　卒業論文　OpenFlowスイッチによる　広域通信の効率的集約法早稲田大学基幹理工学部情報理工学科後藤研究室　4年山田建史 (Kenji YAMADA) 卒論B 合同審査会

Agenda １.　研究の背景２.　研究の目的３.　既存手法４.　提案手法５.　実証実験６．実験結果７．まとめと今後の課題卒論B 合同審査会

研究の背景 • 情報量増大に伴い悪意のある通信の問題が顕在化 • 国際的なサイバー攻撃が頻発 • ボットネットの活動の調査が追いつかない • 広域的な調査を行い、多様化した攻撃の実態を掴む • IT利用の利便性と情報セキュリティ対策との両立通信の選別卒論B 合同審査会

研究の目的１ • 通信を選別するためには間に機器を挟む必要がある • 例: IDS（Intrusion Detection System）, firewall • ネットワーク機器で制御し、通信を選別できれば速度の低下、リプレースやスケールアウトのコストが抑えられる速度（スループット）の低下制御内容に変更による機器のリプレーススケールアウトによるコスト増大卒論B 合同審査会

既存手法（ルータによるポリシールーティング）既存手法（ルータによるポリシールーティング） • ルータにポリシーを与え検知した通信をハニーポットに集約 • 特定のポート番号を元にルーティング • Iptablesとiprouteを組み合わせるルータポート番号によるポリシールーティングホスト Internet ルータ通信を選別はポート番号のみスケールアウト（拡張性）できないハニーポット卒論B 合同審査会

研究の目的２ OpenFlowスイッチング技術悪意のある通信の選別安定した通信の集約既存のネットワークと共存した通信システム卒論B 合同審査会 • 既存のスイッチ網を再構成 • スイッチの機能を転送部と制御部とに独立柔軟かつ集約的な制御を行うことができる

研究テーマ OpenFｌowスイッチによる広域通信の効率的集約法卒論B 合同審査会

OpenFlow • スイッチの転送部と制御部を独立・再構成 • 高速かつ柔軟な動作が可能 • コントローラによってリプレースやスケールアウトにも有効 • 通信単位をフローとして扱う • レイヤ4以下の情報の組み合わせで定義 • 通信をきめ細かく制御可能 Controller OpenFlow Switch 卒論B 合同審査会

提案手法：悪意のある通信の集約 広範囲の通信をOpenFlowスイッチにより選別、誘導選別した通信をハニーポットに集約 ※ O/F：OpenFlow ポート番号送信元IPアドレス dshield.org が公開しているブラックリスト Controller O/Fスイッチ1 ホスト Internet O/Fスイッチｎ機能の独立スケールアウト可能 Controller制御柔軟かつ動的なポリシー柔軟かつ安定したセキュアなシステムハニーポット卒論B 合同審査会

実証実験概要 • 攻撃をhping3、正常な通信をiperfで再現 • hping3： pingライクなパケット生成ツール • ポートスキャン、スパムによる攻撃(送信元の偽造) • iperf：トラヒック発生ツール • ファイルダウンロード、スループットの測定 • 比較実験項目 • 収集率の比較 • スループットの比較（平均スループット、分散） • 実験環境 • 仮想サーバ上に仮想ネットワークを構築卒論B 合同審査会

実験環境：既存手法 • ルータにポリシーを与え検知した通信をハニーポットに集約 • 特定のポート番号を元にルーティング • Iptablesとiprouterを組み合わせるポリシルータポート番号によるポリシールーティングホストサーバポリシルータハニーポット卒論B 合同審査会

実験環境：提案手法 ※ O/F：OpenFlow 送信元IPアドレスポートポリシー • ポリシーやコントローラの制御により悪意のある通信を選別 Controller 更新ホスト Internet O/Fスイッチ1 サーバ O/Fスイッチ２ハニーポット卒論B 合同審査会

実験結果１：収集率 悪意のある全トラフィックから、集約した通信の割合 +22.1％ポート番号のみポート番号+ブラックリスト卒論B 合同審査会

実験結果２：平均スループット 通信が安定している卒論B 合同審査会

まとめ 安定した広域通信での通信集約システム提案手法に優位性 OpenFlowによる通信選別手法集約率に大きな改善安定したスループット卒論B 合同審査会

今後の課題 • ポリシーの追加 • ポート番号と送信元IP アドレス以外も考慮するべき • フローと悪意のある通信の関係 • L4 までの情報の組み合わせによる通信の判定法 • 実機による評価 • 本研究は仮想ネットワークを用いて性能の評価卒論B 合同審査会

ご清聴ありがとうございました 卒論B 合同審査会

補足資料 卒論B 合同審査会

使用したポリシー • ポート番号 • nepenthesが対応、検知するポート番号 • 警察庁セキュリティポータルサイト@police • 参考：インターネット治安情勢　2010年7～9月 • ブラックリスト • Dshield.org が提供 • ホストのIPアドレス群 • スキャンや不正アクセス卒論B 合同審査会

ポート番号の選定 • Nepenthesが検知するポート番号が基準 • 21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP, 135/TCP, 139/TCP, 143/TCP, • 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP, 1023/TCP, 1025/TCP, 1433/TCP, • 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP, 3389/TCP, 5000/TCP, 6129/TCP, • 9415/TCP, 10000/TCP 卒論B 合同審査会

OpenFlow OpenFlow スイッチ Controller 卒論B 合同審査会 • フロー単位で処理を行うオープンソースのスイッチ • スイッチの機能をスイッチ部とコントローラ部に分割 • 特別な設定がない場合は通常のL2スイッチ • コントローラでの制御一括管理 • より柔軟な対応が可能（動的なパラメータの変更）

OpenFlowコントローラ • OpenFlowスイッチから受け取ったパケットに応じてフローを定義し、スイッチに対して返答 • ソフトウェア上で動作 • コントローラがOpenFlowスイッチに行える主な機能 • データパスの状態表示 • フローテーブルの状態表示 • フローテーブルの定義卒論B 合同審査会

フローの定義 • 以下のパラメータの組み合わせ • 受信したスイッチのポート • 送信元MACアドレス、宛先MACアドレス • VLANのタグID • 送信元IPアドレス、宛先IPアドレス • 送信元ポート番号、宛先ポート番号 • ToS (Type of Service) • ICMP の種類 • TCP コネクションごとにフローとみなすことが可能卒論B 合同審査会

スイッチの動作確認１ ※ O/F：OpenFlow Controller 　スイッチのフローテーブルにはまだ何もないので pingが通らない 1.45 1.48（サブ） ? 1.47 O/Fスイッチ1 ホスト群 192.168.1.46 O/Fスイッチn ハニーポット卒論B 合同審査会

スイッチの動作確認２ ※ O/F：OpenFlow Controller 　フローテーブルに（往復の）フローを定義　→pingが通り始める 1.45 1.48（サブ） ? 1.47 O/Fスイッチ1 ホスト群 192.168.1.46 O/Fスイッチn ハニーポット卒論B 合同審査会

スイッチの動作確認３ ※ O/F：OpenFlow Controller 　宛先を変えるactionを　フローに定義する　→pingの宛先を変更！ 1.45 1.48 （サブ） 1.47 O/Fスイッチ1 ホスト群 192.168.1.46 O/Fスイッチn 1.50 ハニーポット卒論B 合同審査会

動作例（ハニーポットへ誘導） • スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別 ? Controller O/Fスイッチ1 ホスト Internet IPアドレス,MACアドレス書き換え 1. O/Fスイッチにパケットが到着 2. フローテーブルにないので controllerに転送し、問い合わせ！ O/Fスイッチ２ 3. 以降ハニーポットへ転送、誘導 4. 通信によっては代理で応答を返す ※ O/F：OpenFlow ハニーポット卒論B 合同審査会

関連研究：ポリシールーティングを用いた　　　　　　　ネットワークハニーポットの構築 白畑真, 南政樹,村井純（慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005） • ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別 • 特定のポート番号を元にルーティング • 複数種類のハニーポットを活用 Darknet 使用していない IPアドレス空間ハニーポット（複数種類） Internet 複数種類のハニーポットの特性を活かすことが可能ポリシルータポート番号によるポリシールーティング卒論B 合同審査会

ポリシールーティング概要 卒論B 合同審査会

ポート番号によるポリシールーティング ※ O/F：OpenFlow Controller 　指定したポート番号は　ハニーポットへ転送　　→スイッチ側で制御！ O/Fスイッチ1 ホスト群サーバ O/Fスイッチn ハニーポット卒論B 合同審査会

IDS：侵入検知システム snort ManHunt 用いる範囲、用途に合わせたIDSの導入が可能卒論B 合同審査会

既存手法との比較 • Iptableは書き換えによる通信の振り分けが出来ない • トラフィックの振り分けによって代理で応答が出来る • コントローラによる集中管理による柔軟な対応 • 1つ1つのスイッチを書き換える必要が無い • 攻撃の選別 • ポート番号だけでは不十分 • L2～L4までの通信を管理：フロー単位での制御 • ブラックリスト、ポートポリシーといった複数の選別法をコントローラによって実現可能 • ダイナミックなルーティングが可能 • 通信を監視し、動的にルーティングを行うことが可能卒論B 合同審査会

利点と欠点 • 【利点】・コントローラの管理集中化により、ルールに基づいた　　自律的制御が可能・安価なスイッチで高速な処理・多様な攻撃、通信にも通信をフロー単位で管理できるためL2～L4までの柔軟な対応が可能 • 【欠点】・フローテーブルの限界から、膨大な種類の通信が同時にくるとスループットの低下を招く可能性がある卒論B 合同審査会

悪意のある通信の再現　 • hping3 • icmpプロトコルで動作するping ライクなコマンド • 多種様々なパケットの生成が可能ポートスキャンとIPスプーフィングを利用 ※IPスプーフィング：送信元IPアドレスの偽造 • Iperf • 擬似トラフィック生成ツール • ファイルダウンロードやスループットの測定 • サーバ/クライアント方式で動作 1Mbyteのファイルダウンロードを利用測定はしばらく時間を置いて、通信が安定してから行う卒論B 合同審査会

ハニーポット • マルウェア収集のため脆弱性の存在するホストを　エミュレートするサーバーやネットワーク機器 • ローインタラクションハニーポット • 脆弱性があるOS やアプリケーションの反応をエミュレートすることでマルウェア収集 • 代表例：nepenthes ←本研究で使用 • ハイインタラクションハニーポット • 脆弱性がある本物のOS やアプリケーションを用いて構築卒論B 合同審査会

参考文献 • The OpenFlow Switch Consortium,http://www.openflowswitch.org/ • 白畑真, 南政樹, 村井純, ポリシールーティングを用いたネットワークハニーポットの構築, 情報処理学会研究報告, 2005-DSM-38, Vol.2005, No.83,p.p.55-58,August 2005. • Manuel Palacin ,OpenFlow Switching Performance,theUnivercityPolitecnicodi Torino ,2009 年度修士論文, 2009. • 山本真里子, 岡本栄司, 岡本健, 侵入検知システムを用いた動的ファイアウォールの実装,筑波大学大学院2006 年修士論文, 2006. • 曽根直人, 森井昌克, ポートスキャン対策を目的としたハニーポットの提案とその応用,電子情報通信学会技術研究報告, p.p.19-24, 2006. • @police,インターネット観測結果等平成22年度, http://www.npa.go.jp/cyberpolice/detect/pdf/20101202.pdf, 2010. 卒論B 合同審査会

２０１０年度　卒業論文　 OpenFlow スイッチによる　広域通信の効率的集約法