10Gb/s firewall system using reconfiguarable processors

社団法人
電子情報通信学会
信学技報
リコンフィギャラブルプロセッサを用いた
ファイアウォール装置の実現
勝Ý
片山
甲斐
英則Ý
吉田
順一Ý
山田
博希Ý
塩本
公平Ý
山中 直明ÝÝ
ネットワークサービスシステム研究所
〒 東京都武蔵野市緑町 ÝÝ 慶応義塾大学 理工学部 情報工学科 〒 横浜市港北区日吉 Ý 日本電信電話株式会社
あらまし
インターネットの普及は利便性の向上と引き替えに、ウィルスメールやスパムメール、ワーム、
撃といったさまざまな弊害ももたらしている。例えば、昨年はじめに韓国で大発生した 攻
ワームでは、
ワームがネットワーク帯域を占有し、ネットワークへアクセスできなくなるなど社会問題となっている。また、今ま
でのセキュリティ製品はサーバを守るものでありネットワーク自体を守るものではないため、ネットワーク帯域を占
有する攻撃を防ぐことが難しいという問題がある。そこで、リコンフィギャラブルプロセッサである
を
用いて、 で動作するネットワーク帯域を守るためのファイアウォールシステムを開発した。本報告では、開発
したファイアウォールシステムの概要およびその有効性について報告する。
キーワード ファイアウォール リコンフィグレーション
ワーム リコンフィギャラブルプロセッサ
Ý
Ý
Ý
Ý
Ý
ÝÝ
! " # " $ % &'( % &((% % )
ÝÝ ( * + " ' (,% - .# 、/( -( 0(%% )
!" #$ $%
% Æ % # &" ' #
Æ % ! %' #& # (" $ # ! )% $ '$ % Æ #& '$ #&
" * $ $' '!' ! #& # % % '" '' # $$# $' ! $% %"
# % # % '
Ý
年に流行した ベースの ワーム に
ている。
はじめに
始まるワームは年々進化し、インターネットを日夜徘徊してい
インターネットが誕生してからコンスタントにスキャンやウィ
ルスメール、スパムメール、ワーム、
攻撃、分散
攻撃 といった様々な弊害が出てき
る。これは、ネットワークの知識がなくても様々な攻撃ツール
がインターネットから簡単に入手できるようになったためであ
る。加えて、インターネットの広帯域化とコンピュータの高速
化に伴い、昨年はじめに韓国で大発生した
ワー
提案する分散ファイアウォールシステムのアーキテクチャは、
ムでは、数分でワームがネットワーク帯域を占有し、ネット
ネットワークのボーダにファイアウォール装置を配置し、悪意
ワークへアクセスできなくなるなど、社会問題となっている。
のあるトラヒックがネットワークに侵入するのを防ぐために、
攻撃に対する対策は様々な方法が提案されてい
る。時にトレースバックは効果的である 。トレースバッ
クは、攻撃パケットがルータのどの入力ポートから来ているの
ファイアウォール装置同士が連携する。既存のファイアウォー
ル装置はサーバや社内
"# などの出入口に配置され、悪意の
あるトラヒックのネットワークへの侵入によるネットワークの
つけ出す。しかし、この方法は攻撃者を見つけるのに時間がか
に提案アーキテクチャの概要
を示す。このアーキテクチャの特徴は つある。 つはネット
かってしまう。そのため、ワームなどの高速な攻撃に対しては、
ワークのボーダで悪意のあるトラヒックをシャットアウトでき
高速な対応方法が必要である。
ることであり、もう
かを見つけ、ルータの物理ポートをさかのぼって、攻撃者を見
そこで我々はこれらの高速なワームなどを防御する分散ファ
イアウォールシステムを提案している
。このシステムは、
輻輳を防ぐことができない。図
つはネットワークのボーダに配置された
ファイアウォール装置が攻撃を検出した際に、攻撃の情報を他
のファイアウォール装置に伝達することである。この
つの特
ネットワークのボーダにファイアウォール装置を配置し、ファ
徴により、悪意のあるトラヒックがネットワークに入ることを
イアウォールが連携しネットワークへの悪意のあるトラヒック
防ぐことができる。
の侵入を防ぐ。ファイアウォール装置をネットワークのボーダ
に配置するため、市販のファイアウォールがサーバを守るのと
ちがい、攻撃対象がわからないこと、高速な回線速度に対応す
ること、ファイアウォール機能のアップデートの際にサービス
を中断することなく行えることが要求される。
本報告では、上記の機能、
我々の方法は以下の
$
$
$
$
つのステップによって実現される、
攻撃検出
防御用フィルタの生成
攻撃情報の伝達
ボーダに配置されたファイアウォール装置でのフィルタ設定
攻 撃 検 出
¯
! の高速回線に対応し、ワイヤスピードを保障す
¯
るファイアウォール機能
の高速回線で攻撃対象がわからなくても攻撃対
!
% %&' && (& と呼
ばれているものである。図 にあるようにネットワークのボー
象を見つけ出し、攻撃トラヒックの侵入を防ぐ自己学習
ダにファイアウォール装置があるため、攻撃対象であるサーバ
フィルタ機能
ファイアウォール機能のアップデートの際にサービスを
が特定できないという問題がある。これに関しては
¯
止めずにアップデートができる機能
を搭載したファイアウォール装置を開発したので報告する。
この機能は一般に
章で取り
扱うこととする。攻撃の検出には、レイヤ ∼ の情報でフロー
識別し、悪意のあるトラヒックを見つけ出す。
本報告の構成は、 章で我々が提案する分散ファイアウォー
ルシステムのアーキテクチャについて説明し、 章では提案ファ
イアウォールシステムを実現するのに必要な技術について説明
防御用フィルタの生成
まず、攻撃を検出したファイアウォール上で攻撃を防御する
する。 章では開発したシステムとその評価について説明し、
フィルタを生成し、悪意のあるトラヒックを廃棄する。しかし、
最後に本報告のまとめを行う。
他のルータ経由で悪意あるパケットがネットワークに侵入する
分散ファイアウォールシステム
ため、ネットワークの帯域は、悪意のあるトラヒックによって
消費されたままである。
攻撃情報の伝達
検出された攻撃情報をボーダに配置されたファイアウォール装
置間で交換する。我々のシステムでは
) * )+ &,(
*& - を攻撃情報を交換できるように拡張した。これは、
我々のシステムがインターネットというよりは、%* やキャリ
アによって管理されたネットワークを守ることを念頭において
いるためである。伝達する情報は、攻撃防御用のフィルタ、検
出された攻撃の種類、攻撃のあった時間などである。
ボーダに配置されたファイアウォール装置でのフィル
図
分散ファイアウォールシステム
タ設定
最後のステップは、伝達された攻撃情報をもとにして、各ファ
イアウォール装置がフィルタを設定する。ボーダに配置された
ファイアウォールにより、ネットワークへ悪意のあるトラヒッ
クが侵入してくるのを防ぐことができる。
ゲートウェイ型ネットワークファイアウォー
ル装置
章にあるように提案する分散ファイアウォールシステムは、
図
ネットワークのボーダにファイアウォール装置を配置すること
によって、外部ネットワークからの悪意のあるトラヒックの侵
入を防ぐことを目的としている。既存のファイアウォール装置
とネットワークのボーダに配置するファイアウォール装置との
要求される機能は異なっている。以下にそれぞれの特徴および
要求される機能をあげる。
トラヒックの絞り込み方法
と悪意のあるパケットがある。また正常通信のパケットには、
断線など何らかの理由により悪意がなくても攻撃と同じ振る舞
いを行うパケットもある。そこで、我々は機能の異なる多段の
フィルタを行い、徐々に悪意のあるパケットのみを見つけ出す
方法を採用している。以下に、特定サーバを狙った
既存のファイアウォール装置
"# などの出入口に配
攻撃
と脆弱性攻撃を行うワーム、つまり全マシンを攻撃するものに
¯
守る対象のサーバの前や会社の
¯
置される
守る対象が決められてる
¯
守る対象へのパケットは上り下りともファイアウォール
が固定である。つまり、ゲートウェイを通過するトラヒックに
を通過する
ファイアウォール機能のアップデートは、サービスを止
おいて、特定
¯
めるメンテナンス時間を設けて行われる
ボーダに配置されるファイアウォール装置
ついて例を示す。
特定サーバを攻撃する場合、攻撃対象であるサーバアドレス
" についてトラヒック異常が発生する。その際、
攻撃の種類によって特定のポート番号や ./* フラグなどの付
加情報も必要である場合がある。最初に攻撃対象を確定できれ
ば、既存のファイアウォールと同様の検出手法を用いることに
¯
ネットワークのボーダーに配置される
¯
守る対象が決まっていない
¯
つのセッションで、上り下りが同一ボーダを通るかど
を行う場合、ワームなどはコンピュータの脆弱性を狙うため、
¯
! 以上の高速な回線に導入される
うかわからない
例えば特定のアプリケーションやプロトコルに依存する。その
¯
ファイアウォール機能のアップデートは、ボーダでは
では * ポート、 )& では
./* ポートなどとトラヒック異常が起こる特定のキーが
の場合と同様に攻撃を
ある。このキーを確定できれば、
サービスを止めることができないため、サービス無中断
でのアップデート機能が必要である
特に
%* 間に配置されるようなゲートウェイでのネットワー
より、より詳細に検出することができる。
また、ワームなどのように不特定多数の宛先に対して攻撃
ため
特定していくことが可能である。
クファイアウォール装置は、上記の特徴が必須であり、既存の
ファイアウォールで置き換えることはできない。以下では、ゲー
ファイアウォール装置は、新たな攻撃がある度に攻撃防御用
トウェイ型ネットワークファイアウォール装置について焦点を
の攻撃リストもしくは現在導入されているアルゴリズムで対応
絞り、必要な機能を実現する方法について示す。
できない場合は、アルゴリズム自体をアップデートしなければ
サービス無中断リコンフィグレーション
ならない。既存のファイアウォール製品は、アップデートの際
不特定対象ファイアウォール
にサービス中断しなければならないが、ネットワークのゲート
ゲートウェイ型ファイアウォールは、既存のファイアウォー
ウェイに、インラインで導入されるゲートウェイ型ネットワー
ルと異なり守る対象が決まっていない。つまり、既存のファイ
"+&& ++ やそのサブネットを
対象にする。対象以外の " を持ったパケットは廃棄すれば
アウォールは、
クファイアウォールは、サービスの中断は許されない。
ゲートウェイという高速な回線でのファイアウォール機能の
実現と、アルゴリズムの変更という高速性と柔軟性が要求され
よい。それに対しゲートウェイ型ファイアウォールは、ネット
ることから、リコンフィギャラブルデバイスを用いてシステム
ワーク内への宛先は無数にあり、対象のネットワークの通過す
を構成することが重要である。つまり、システムの変更を行う
るだけのトランジットトラヒックもある。
ためには、リコンフィグデバイスのコンフィグレーションを変
これらの不特定トラヒックから悪意のあるトラヒックを見つ
つの方法として、トラヒックの絞り込み技術がある。概
要を図 に示す。不特定トラヒックには、正常通信のパケット
ける
更すればよいことになる。
リコンフィギャラブルデバイスを用いたサービス無中断リコ
ンフィグレーション技術
0 は、大きく分けて タイプある。
IP
Reconfigurable
LSI
queue
Configuration
Memory A
Reconfigurable
LSI
SW
SW
Reconfigurable
LSI
ALU
Configuration
Memory A
ALU
Configuration
Memory B
スイッチタイプ
図
バッファタイプ
ALU
機能の変更方式
つは図 に示したスイッチタイプであり、もう つは図
! に示したバッファタイプである。スイッチタイプは各リ
コンフィギャラブルデバイスに特定にコンフィグレーションを
与え、他方には変更しようとするコンフィグレーションを設定
し、スイッチを切り替えることにより、新しい機能を実現でき
る。この方法は、 重化技術であり必要ハードウェア量が多い
という問題があった。それに対し、バッファタイプは動的書換
えが可能なリコンフィギャラブルデバイス
を用いることに
よって、数面あるコンフィグレーションに更新しようとするコ
ンフィグレーションを設定し、コンフィグレーションをダイナ
ミックに切り替えることによって新しい機能を実現できる。た
だし、スイッチタイプはスイッチ時間が短いため、切り替えの
際にバッファがなくてもよい。しかし、バッファタイプの場合、
コンフィグレーションの切り替え時間の間、システムを通過す
るパケットをバッファしなければならない。ただし、バッファ
図
不特定対象ファイアウォール機能の実装イメージ
! にまとめ、 "* #"2 チップに入れて
いる。 ! データを -!& パラレル展開することで !
を実現している。本装置には、 "* #"2 を 個搭載し、
トのデータを
個を直列に接続することにより機能を実現する。これにより、
ショートパケットが連続しても
また、
! のレートを保証できる。
!& 幅のデータは、チップ間での制御信号のやりとり
に用いる。サービス無中断リコンフィグレーションを行うため
に、 チップ分のコンフィグレーション切り替えに必要なバッ
ファを搭載している。
! でのレイヤ までのパケット処
理機能、サービス無中断での機能のアップデート機能をあわせ
て、我々は
6*77 6+28+ *9& 7: 7 :
(& と呼んでいる。
タイプはハードウェア技術の進歩に伴い、切り替え時間が短く
なることと、スイッチタイプに比べハードウェア量が少ないと
いう利点がある。
ファイアウォールの実装および評価
ゲートウェイ型ネットワークファイアウォール装置を実現
%*1 社の "* #"2 をリコンフィ
ギャラブルデバイスとして用いた。 "* #"2 は、-!& 幅
--34 ! での入力および出力ポートがあり、-!& 幅
の入出力ポートがあるため、 ! の処理を行うには十分な入
するために、我々は
図
パケット処理・転送処理装置
出力が用意されている。また、コンフィグレーションメモリを
面持ち、その切り替えが クロック --34 動作で -
で行えるため、図 ! バッファタイプの実装においてバッファ
量を少なくできる。加えて、図 で示した不特定対象攻撃検出
方法を、" と分散されたメモリ郡によって容易に実現でき
る 図 。図 にあるようにデータフロー型プロセッサである
ため、ワイヤレートでのパケット処理を行いやすいという利点
がある。
は開発した ! パケット処理・転送処理装置の装置
写真である。 "* #"2 の接続関係を図 - に示す。本装置は
$ ! *5 インターフェースを ポートを装備し、 ポー
図
10Gb/s
Reconfiguration
queue
5Gb/s
DAPDNA
-2
DAPDNA
-2
DAPDNA
-2
DAPDNA
-2
10Gb/s
10Gb/s
DAPDNA
-2
図
DAPDNA
-2
DAPDNA
-2
DAPDNA
-2
パケット処理・転送処理装置の接続関係
のハードウェアにゲートウェイ型ネットワークファイア
ウォールのコンフィグレーションを搭載することにより、 !
図
示した観測点でのトラヒック量を示す。グラフの左側が装置に
ファイアウォール機能を搭載せずに、装置の入力から出力まで
¯
! ワイヤスピード処理
"* #"2 をワイヤになるように設定してある。その際に、
多数の " から攻撃されていることがわかる。図中のファイア
¯
バッファタイプによるサービス無中断リコンフィグレー
ウォール開始と書かれたタイミングで装置のコンフィグレー
¯
ション機能
レイヤ でのフロー識別機能およびパケット処理機能
ションをファイアウォールに替えた。この時、ファイアウォー
ファイアウォール装置を実現した。本装置の特徴は、
アドレスのネットマスクや
,29, ポート
かどうかなど、細かな単位でフロー識別が可能
である。これにより、ファイアウォールに必要
なきめ細かなフロー識別が可能となる。
¯
ルが攻撃を検出し、攻撃パケットを廃棄していることがわかる。
つのトラヒックのみ映像通信を
行っていることがわかる。これは *7 映像通信であり、映
像通信に影響がないことを示している。また、クライアント )
また、ファイアウォール後も
では映像通信をファイアウォール機能の前後で連続的に行って
いたが、画像の乱れがなく、加えて、バックグラウンドトラヒッ
不特定対象ファイアウォールアルゴリズム
クもパケット落ちすることがないことを確認した。これにより、
である。
0
に示したネットワークにおいて評価を行った。0$ !$ !
本ファイアウォールが正しく動作することを確認するため、図
Zombies
Background Traffic
7.5Gb/s
ISP
Attacker
サービス無中断リコンフィグレーション機能も確認できた。こ
! という高速なファイアウォールを %*
れらの結果から、
間のゲートウェイなどに導入可能であることがわかった。
今回は単体ノードでの評価のみであり、今後はネットワーク
ISP
的に攻撃を防御する分散ファイアウォール機能の評価を行って
いく。
ま と め
ワームや
Client A
トラヒックからネットワークを防御する分散ファイアウォール
MPEG
streaming server
Client B
攻撃といったネットワークを攻撃する悪意
%* 間のゲートウェイに配置する !
システムを提案し、
ファイアウォール装置を開発した。本装置は、リコンフィギャ
図
評価実験ネットワーク
ラブルプロセッサである
のバックグラウンドトラヒックと、$ ! の回線に
*7 の映像トラヒックと 攻撃を流した。この時、通
常であれば *7 サーバを攻撃するのが、本システムの効果
トラヒックは *7 クライ
を確認するために、あえて
×
アントを攻撃し、輻輳を起こし、映像通信サービスの妨害を行
"* #"2 を用いて、 ! のワ
イヤレートでネットワーク帯域を守るためのファイアウォール
機能を実現した。加えて、ゲートウェイに配置する際に必須で
あるサービス無中断リコンフィグレーションにより、攻撃検出
アルゴリズムのアップデートにもサービス無中断で行えること
を示した。
"' ++ を
詐称し、身元がばれるのを防ぐようにしてある。図 にファイ
う。その際に攻撃パケットは、多数の
文
献
! !" #$ !%&
"'!("
!%
!$%%')!* +""*,- + .("'!$ / 0111
22(!*"! 34! 55% 6*"' 1 7 58' . !"'" 9'2 !*! "/ 0 11:;
1('5 "9' 1!'! '* )"'<
=!" ! 2 ;;
7 &('* & 9!*, .'*! +<2( >*,"
" .!' +55'?!2" ('*/ >'* " <"2 + %
2!!"'"! '* @9 6'$ =+ * + '
"
$
!$%>*,"
0>
"'**,/
0111+3 .' @"9',! )$ * 図
攻撃トラヒックおよび防御後のトラヒック
アウォール機能を搭載しない場合と、搭載した場合の図
片山 "$ インターネットワームの抑制に関する一考察/ 信
0 上に
学会ソサイエティ大会 A ,"' " $ + &' ' "9< >'"*$ &
>%
/ # 3'* ;;
7 A2 " $ =! %B('$ .*$< !
7!%5 >*," >'*!/ >'* 0@: # .'!2'' " $ + .!2%3($"!5$? #>
+/ >'*
0111 <25!(2 #>
+ ' ("2 25("! 3%
*! +5' ;;
; 0>#$? 0*
""5-999!5C?*2