SDN を活用した高機能な IX を Interop Tokyo 2015 ShowNet にて動態

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download SDN を活用した高機能な IX を Interop Tokyo 2015 ShowNet にて動態

Transcript

SDN を活用した高機能な IX を Interop Tokyo 2015 ShowNet にて動態

2015 年 6 月 4 日
報道関係者各位
NECOMA プロジェクト
SDN を活用した高機能な IX を Interop Tokyo 2015
ShowNet にて動態展示
〜SDN 技術を用いて IX にて DDoS 防御を行う機構を提案〜
NECOMA プロジェクト※１（日本側研究代表者：奈良先端科学技術大学院大
学准教授：門林雄基）の研究分担組織である奈良先端科学技術大学院大学と
東京大学は、2015 年 6 月 10 日（水）から 6 月 12 日（金）にかけて千葉県千葉
市の幕張メッセにて開催される Interop Tokyo 2015※２に研究成果を提供・展示
します。Interop 内の動態展示ネットワークである ShowNet※３にて、NECOMA
プロジェクトにて研究開発を行っている SDN※４を用いたインターネット相互
接続技術 (SDN IX※５)の実証実験（コードネーム PIX-IE）を展開し、動態展示
を行います。インターネット相互接続点 (IX) において SDN IX 技術を用いるこ
とで、接続組織の運用者による攻撃防御（トラフィックフローの制御）を可能
にします。これにより IX においてサイバー攻撃への耐性を強化することを目指
しています。
【概要】昨今、大規模なサービス妨害攻撃（DDoS 攻撃)が頻繁に発生しており、イン
ターネットバックボーンに対する脅威への対策が急務となっています。従来は、
攻撃対象である被害組織での攻撃防御・緩和が主な対策でした。しかしながら、
昨今の攻撃は大規模（数百ギガビット/秒）かつ広域に分散しており、被害組織
のみならず攻撃元から攻撃先に至る経路上の通信事業者および IX のネットワー
ク帯域を圧迫しています。こうした大規模な攻撃に対処するためには、攻撃者
から被害者に至るネットワーク経路上での攻撃防御と緩和が肝要です。そこで
Copyright © 2015 NECOMA Project, All Rights Reserved.
1
NECOMA プロジェクトでは、ネットワーク間を相互に接続する役割を果たす
IX に SDN 技術を導入し、IX 自身の防御機能を高める SDN IX 技術を開発して
います。SDN IX では、IX における効果的な防御機能を IX 事業者ならびに IX
に接続しているインターネットサービス事業者に提供することができます。
従来の防御策は被害ネットワーク内にて防御を行うため、IX と被害ネットワ
ーク間の攻撃による帯域逼迫を解消できませんでした。また、攻撃トラフィッ
クの発生元となるネットワークの運用者に連絡し、発生元のネットワークで止
める手段もありますが、発生元での対応可否が分からない、対処までに時間が
かかるといった問題があります。SDN IX 技術を用いることにより、攻撃を受け
ている被害ネットワークの運用者が攻撃トラフィックに対する防御策（フィル
タリング）をより上流、つまり攻撃元から IX への流入口で実施することが可能
となります。これにより IX と被害ネットワーク間の攻撃トラフィックを軽減し、
IX に接続するネットワークにおける帯域逼迫を迅速に回避できます。
【今後の展望】今後は、IX の運用者、インターネットサービス事業者等と協力し機能の拡充
と安定性の向上を行い、IX での試験運用を行います。
【謝辞】 SDN IX に関わる研究開発は、総務省戦略的国際連携型研究開発推進事業「日
欧協調によるマルチレイヤ脅威分析およびサイバー防御の研究開発」ならびに
欧州連合 FP7 プログラム契約番号 608533 (NECOMA) の支援を受けて実施
したものです。
【用語解説】
※１：NECOMA プロジェクト
NECOMA
プロジェクト (Nippon-European
Cyberdefense-Oriented
Multilayer threat Analysis)では、欧州委員会 FP7 プログラム (Seventh
Framework Programme) と総務省戦略的国際連携型研究開発推進事業の日欧
ICT 協調課題である「サイバー脅威に対する回復性強化のためのサイバーセキ
ュリティ」に取り組んでいます（平成 25 年度〜27 年度）。
Copyright © 2015 NECOMA Project, All Rights Reserved.
2
※２：InteropTokyo 2015
毎年 6 月に千葉県千葉市の幕張メッセにて開催されるネットワーク通信に
関わる国内最大の展示会・会議です。来場者数は毎年約 14 万人に登ります。
URL : http://www.interop.jp/2015/
※３：ShowNet
ShowNet は Interop Tokyo 会場内に構築される動態展示ネットワークです。
URL : http://www.interop.jp/2015/shownet/
※４：Software Defined Networking (SDN)
ソフトウェアによりネットワーク機器の管理・制御を行う技術の総称
※５：Internet eXchange (IX)
インターネットサービス事業者の相互接続（通信の相互乗り入れ）を行う
設備の総称
【本件に関するお問い合わせ先】奈良先端科学技術大学院大学情報科学研究科
インターネット工学研究室内 NECOMA プロジェクト事務局
〒630-0192 奈良県生駒市高山町 8916-5
担当：岡田和也
電話 : (050) 5539-3780
e-mail : fp7-necoma-pr _at_ is.naist.jp
Copyright © 2015 NECOMA Project, All Rights Reserved.
3
【付録】：ShowNet での SDN IX 構成（技術解説） ShowNet では、SDN IX を外部組織と ShowNet とを相互に接続する位置に
設置します。図 1 は、SDN IX のネットワーク構成図です。SDN IX は、大手町
と幕張メッセに設置された 4 台の OpenFlow スイッチとそれらを制御する
PIX-IE コントローラから構成されます。PIX-IE コントローラは、これら 4 台
の OpenFlow スイッチを制御し大手町—幕張間、幕張内部での AS 間接続を実現
します。今回の ShowNet では、SDN IX により対外組織（5 組織）の回線を幕
張の ShowNet 境界ルータと接続します。
SDN IX に接続されたネットワークの運用者は、SDN IX 専用の Web ポータ
ルから AS 間のピアリング用ネットワークの設定（図 2）、レイヤ 2 パスの相互
接続設定、攻撃防御の設定（図 3）を行います。ポータルでの設定情報は、大手
町・幕張に設置されたコントローラ 2 台に設定要求として転送され各 OpenFlow
スイッチに設定されます。
図 2 は、ShowNet の AS290 と組織 A の間で BGP によるピアリング用にパ
スを設定する例です。まず、組織 A と AS290 の運用者は相手方組織に対する設
定要求をポータルから発行します。パス設定時に両者の設定要求を求めること
で、片側の接続組織からの要求を元に不要なパスが設定されることを防止しま
す。ポータルは、両組織から発行要求が確認された後、コントローラに対して
RESTful API を用いて設定要求を送信します。コントローラは、SDN IX のト
ポロジ情報（機器間の接続情報）を元に、パス形成に必要なフローエントリを
OpenFlow スイッチに設定します。これにより、ShowNet AS290 と組織 A 間
のパスが SDN IX 上に形成されます。
図 3 は、対外接続組織 A、B から ShowNet AS290 内のホストに対して攻撃
が発生した際に、該当する攻撃トラフィックを SDN IX の流入口でフィルタリ
ングする例です。まず、AS290 の運用者は、攻撃検知後に該当するトラフィッ
クのフィルタリング要求をポータルから発行します。ポータルは、コントロー
ラにフィルタリング設定情報を送信し、OpenFlow スイッチにてフィルタリン
グを行います。フィルタリング情報は、5 タプル（送信元/宛先 IP アドレス、送
信元/宛先の tcp/udp ポート番号、プロトコルタイプ）から構成されています。
このフィルタリングでは、攻撃トラフィックを SDN IX への流入ポートで破棄
することができ、IX 内を流れる攻撃トラフィック量の軽減し且つ IX と
ShowNet AS290 間の帯域逼迫も回避できます。この機能は、従来であれば被害
Copyright © 2015 NECOMA Project, All Rights Reserved.
4
ネットワークにおいて防御・緩和といった対策を IX 上で容易に実施可能とする
ことにより、大規模な攻撃に対して迅速で効果的な対応を可能とします。
Interop Tokyo 2015 開催期間中は、実際に外部ネットワークから攻撃を模倣
したトラフィックを印加し、SDN IX での防御を行います。ShowNet で利用さ
れている SDN IX の機器は、ShowNet NOC ブースの「NOC ラック#01」にて
展示されます。また、Interop に出展している奈良先端科学技術大学院大学（ブ
ース番号：4B16）および次世代 NSP コンソーシアム（ブース番号：5N25-SDI-A1）
のブースにて、SDN IX を含む NECOMA プロジェクトでの研究開発に関する
パンフレットを配布いたします。
9
1
4
9
DA30
DA
5
1
2
4
5
5
図 1.SDN IX ネットワーク構成
Copyright © 2015 NECOMA Project, All Rights Reserved.
5
10
N
D 54
2 I
N 3 9
2 D
4
A
S
A
A
図 2.SDN IX におけるパス構築手順
X
A
2
5
0
4
9
B
D
D
A1I
4S
1
B4I
,
2
-‐‑‒
0
,
X
,
A
32X 4 N
5
2 5
4I
図 3.攻撃流入口でのフィルタリング
Copyright © 2015 NECOMA Project, All Rights Reserved.
6