現在位置: ホーム / ニュース / プレスリリース:SDNを活用した高機能なIX をInterop Tokyo 2015 ShowNetにて動態展示

プレスリリース:SDNを活用した高機能なIX をInterop Tokyo 2015 ShowNetにて動態展示

〜SDN技術を用いてIXにてDDoS防御を行う機構を提案〜

NECOMAプロジェクト※1(日本側研究代表者:奈良先端科学技術大学院大学 准教授:門林雄基)の研究分担組織である奈良先端科学技術大学院大学と東京大学は、2015年6月10日(水)から6月12日(金)にかけて千葉県千葉市の幕張メッセにて開催されるInterop Tokyo 2015※2に研究成果を提供・展示します。Interop内の動態展示ネットワークであるShowNet※3にて、NECOMAプロジェクトにて研究開発を行っているSDN※4を用いたインターネット相互接続技術 (SDN IX※5)の実証実験(コードネームPIX-IE)を展開し、動態展示を行います。インターネット相互接続点 (IX) においてSDN IX技術を用いることで、接続組織の運用者による攻撃防御(トラフィックフローの制御)を可能にします。これによりIXにおいてサイバー攻撃への耐性を強化することを目指しています。

プレスリリースPDF版:PDF

概要

 昨今、大規模なサービス妨害攻撃(DDoS攻撃)が頻繁に発生しており、インターネットバックボーンに対する脅威への対策が急務となっています。従来は、攻撃対象である被害組織での攻撃防御・緩和が主な対策でした。しかしながら、昨今の攻撃は大規模(数百ギガビット/秒)かつ広域に分散しており、被害組織のみならず攻撃元から攻撃先に至る経路上の通信事業者およびIXのネットワーク帯域を圧迫しています。こうした大規模な攻撃に対処するためには、攻撃者から被害者に至るネットワーク経路上での攻撃防御と緩和が肝要です。そこでNECOMAプロジェクトでは、ネットワーク間を相互に接続する役割を果たすIXにSDN技術を導入し、IX自身の防御機能を高めるSDN IX技術を開発しています。SDN IXでは、IXにおける効果的な防御機能をIX事業者ならびにIXに接続しているインターネットサービス事業者に提供することができます。

 従来の防御策は被害ネットワーク内にて防御を行うため、IXと被害ネットワーク間の攻撃による帯域逼迫を解消できませんでした。また、攻撃トラフィックの発生元となるネットワークの運用者に連絡し、発生元のネットワークで止める手段もありますが、発生元での対応可否が分からない、対処までに時間がかかるといった問題があります。SDN IX技術を用いることにより、攻撃を受けている被害ネットワークの運用者が攻撃トラフィックに対する防御策(フィルタリング)をより上流、つまり攻撃元からIXへの流入口で実施することが可能となります。これによりIXと被害ネットワーク間の攻撃トラフィックを軽減し、IXに接続するネットワークにおける帯域逼迫を迅速に回避できます。

今後の展望

 今後は、IXの運用者、インターネットサービス事業者等と協力し機能の拡充と安定性の向上を行い、IXでの試験運用を行います。

謝辞

 SDN IXに関わる研究開発は、総務省戦略的国際連携型研究開発推進事業「日欧協調によるマルチレイヤ脅威分析およびサイバー防御の研究開発」ならびに欧州連合 FP7プログラム契約番号 608533 (NECOMA) の支援を受けて実施したものです。

用語解説

※1:NECOMAプロジェクト

NECOMA プロジェクト(Nippon-European Cyberdefense-Oriented Multilayer threat Analysis)では、欧州委員会 FP7 プログラム (Seventh Framework Programme) と総務省 戦略的国際連携型研究開発推進事業の日欧 ICT 協調課題である「サイバー脅威に対する回復性強化のためのサイバーセキュリティ」に取り組んでいます(平成25年度〜27年度)。

※2:InteropTokyo 2015

毎年6月に千葉県千葉市の幕張メッセにて開催されるネットワーク通信に関わる国内最大の展示会・会議です。来場者数は毎年約14万人に登ります。
URL : http://www.interop.jp/2015/

※3:ShowNet

ShowNetはInterop Tokyo会場内に構築される動態展示ネットワークです。
URL : http://www.interop.jp/2015/shownet/

※4:Software Defined Networking (SDN)

ソフトウェアによりネットワーク機器の管理・制御を行う技術の総称

※5:Internet eXchange (IX)

インターネットサービス事業者の相互接続(通信の相互乗り入れ)を行う設備の総称

 

本件に関するお問い合わせ先

奈良先端科学技術大学院大学 情報科学研究科
インターネット工学研究室内 NECOMAプロジェクト事務局
〒630-0192 奈良県生駒市高山町8916-5
担当:岡田 和也
電話 : (050) 5539-3780
e-mail : fp7-necoma-pr _at_ is.naist.jp

 

付録:ShowNetでのSDN IX構成(技術解説)

 ShowNetでは、SDN IXを外部組織とShowNetとを相互に接続する位置に設置します。図1は、SDN IXのネットワーク構成図です。SDN IXは、大手町と幕張メッセに設置された4台のOpenFlowスイッチとそれらを制御するPIX-IEコントローラから構成されます。PIX-IEコントローラは、これら4台のOpenFlowスイッチを制御し大手町—幕張間、幕張内部でのAS間接続を実現します。今回のShowNetでは、SDN IXにより対外組織(5組織)の回線を幕張のShowNet 境界ルータと接続します。
 SDN IXに接続されたネットワークの運用者は、SDN IX専用のWebポータルからAS間のピアリング用ネットワークの設定(図2)、レイヤ2パスの相互接続設定、攻撃防御の設定(図3)を行います。ポータルでの設定情報は、大手町・幕張に設置されたコントローラ2台に設定要求として転送され各OpenFlowスイッチに設定されます。
 図2は、ShowNetのAS290と組織Aの間でBGPによるピアリング用にパスを設定する例です。まず、組織AとAS290の運用者は相手方組織に対する設定要求をポータルから発行します。パス設定時に両者の設定要求を求めることで、片側の接続組織からの要求を元に不要なパスが設定されることを防止します。ポータルは、両組織から発行要求が確認された後、コントローラに対してRESTful APIを用いて設定要求を送信します。コントローラは、SDN IXのトポロジ情報(機器間の接続情報)を元に、パス形成に必要なフローエントリをOpenFlowスイッチに設定します。これにより、ShowNet AS290と組織A間のパスがSDN IX上に形成されます。
 図3は、対外接続組織A、BからShowNet AS290内のホストに対して攻撃が発生した際に、該当する攻撃トラフィックをSDN IXの流入口でフィルタリングする例です。まず、AS290の運用者は、攻撃検知後に該当するトラフィックのフィルタリング要求をポータルから発行します。ポータルは、コントローラにフィルタリング設定情報を送信し、OpenFlowスイッチにてフィルタリングを行います。フィルタリング情報は、5タプル(送信元/宛先IPアドレス、送信元/宛先のtcp/udpポート番号、プロトコルタイプ)から構成されています。このフィルタリングでは、攻撃トラフィックをSDN IXへの流入ポートで破棄することができ、IX内を流れる攻撃トラフィック量の軽減し且つIXとShowNet AS290間の帯域逼迫も回避できます。この機能は、従来であれば被害ネットワークにおいて防御・緩和といった対策をIX上で容易に実施可能とすることにより、大規模な攻撃に対して迅速で効果的な対応を可能とします。
 Interop Tokyo 2015 開催期間中は、実際に外部ネットワークから攻撃を模倣したトラフィックを印加し、SDN IXでの防御を行います。ShowNetで利用されているSDN IXの機器は、ShowNet NOCブースの「NOCラック#01」にて展示されます。また、Interopに出展している奈良先端科学技術大学院大学(ブース番号:4B16)および次世代NSPコンソーシアム(ブース番号:5N25-SDI-A1)のブースにて、SDN IXを含むNECOMAプロジェクトでの研究開発に関するパンフレットを配布いたします。

  fig1.png

図1. SDN IXネットワーク構成


fig2.png

図2. SDN IXにおけるパス構築手順


fig3.png

図3. 攻撃流入口でのフィルタリング


タグ: