現在位置: ホーム / ブログ / PIX-IE : IXにおけるSDN技術の活用

PIX-IE : IXにおけるSDN技術の活用

 PIX-IEは、奈良先端科学技術大学院大学、東京大学の研究者が中心となって研究・開発を行っているSoftware Defined Networking (SDN) 技術を利用した新しい Internet eXchange (IX) です。 現在のIXは、Layer 2/Layer 3機器を用いて通信事業者に対して相互接続の場所を提供しています。通信事業者は、BGPにより他の通信事業者と経路交換をおこない、トラフィックを適切な宛先へと転送しています。PIX-IEは、IXの基盤にSDN技術を活用し、従来のIXではできなかった経路制御、パス交換、セキュリティ機能の提供を目標としています。

PIX-IEの構成

 PIX-IEでは、SDN技術としてOpenFlowを利用し、各種機能の実装を行っています(図1)。 OpenFlow を用いることで、トラフィックに対するきめ細かな制御が可能となります。また、OpenFlowコントローラからAPIを通してスイッチを制御するため、 トラフィックの状況に応じた制御をAS運用者自身が実施可能です。

 しかし、IXはAS間を接続するインターネットの要の一つであり、設定の間違い、ルール の矛盾はトラフィックに大きな影響を与えます。そのため、PIX-IEではこうした事態を避けるために、設定間の衝突チェック機構を有し、またルール適用 前に影響を確認します。今後は、各機能に応じて既存技術、OpenFlow以外の各種SDN技術を活用します。

fig1.png

図1. PIX-iEの構成

PIX-IEにおける攻撃防御

 昨今、大規模なサービス妨害攻撃(DDoS攻撃)が頻繁に発生しており、インターネット バックボーンに対する脅威への対策が急務となっています。従来は、攻撃対象である被害組織での攻撃防御・緩和が主な対策でした。しかしながら、昨今の攻撃 は大規模(数百ギガビット/秒)かつ広域に分散しており、被害組織のみならず攻撃元から攻撃先に至る経路上の通信事業者およびIXのネットワーク帯域を圧 迫しています。

 こうした大規模な攻撃に対処するためには、攻撃者から被害者に至るネットワーク経路上での攻撃防御と緩和が肝要です。そこでNECOMAプ ロジェクトでは、ネットワーク間を相互に接続する役割を果たすIXにSDN技術を導入し、IX自身の防御機能を高めるSDN IX技術を開発しています。SDN IXでは、IXにおける効果的な防御機能をIX事業者ならびにIXに接続しているインターネットサービス事業者に提供することができます。

Interop Tokyo2015 デモ構成

 NECOMAプロジェクトは、2015年6月10日(水)から6月12日(金)に掛けて千葉県千葉市の幕張メッセにて開催されたInterop Tokyo2015にSDN IXのプロトタイプを図2は、Interop会場に設置されたデモネットワークShowNetで のPIX-IE構成と攻撃防御の概要です。デモでは、ShowNetと対外組織との接続を担う大手町のデータセンタと幕張メッセの2拠点に合計4台のOpenFlowスイッチと2台の分散したコントローラを設置しました。

 SDN IXでのフィルタは、図中の矢印に示す手順で行いました。このフィルタは、対外接続組織A、Bから被害ネットワーク内のホストに対して攻撃が発生した際に、該当する攻撃トラフィックをSDN IXの流入口で破棄します。まず、被害ネットワークの運用者は、攻撃検知後に該当するトラフィックのフィルタ要求をポータルから発行します。ポータルは、コントローラにフィルタ設定情報を送信し、OpenFlowスイッチにてフィルタを行います。フィルタ情報は、5タプル(送信元/宛先IPアドレス、送信元/宛先のtcp/udpポート番号、プロトコルタイプ)から構成されています。フィルタを行うことにより、攻撃トラフィックをPIX-IEへの流入ポートで破棄することができ、IX内を流れる攻撃トラフィック量を軽減しかつIXと被害ネットワーク間の帯域逼迫も回避できます。

fig2.png

図2. Interop Tokyo2015でのデモ構成及び攻撃防御の概要

今後の展望

 NECOMAプロジェクトでは、セキュリティ機能を中心にPIX-IEの研究開発を進めてまいります。また、WIDEプロジェクトとも協力し、実際のIXに展開し試験運用を実施する予定です。PIX-IEの研究開発成果は、展示会、論文発表、運用者会議などで発信していきます。

用語解説

SDN

コントロールプレーンとデータプレーンを分離し、ネットワーク機器の制御をソフトウェアから行う技術の総称であり、Software Defined Networking の略称です。

OpenFlow

SDN技術の一つであり、複数のベンダがOpenFlowに対応したスイッチを提供しています。コントロールプレーンに相当するコントローラ機能も、複数のオープンソースプロジェクトにて開発されています。OpenFlow はOpen Networking Foundation (ONF) により標準化が行われています。

タグ: