More Related Content
2015-ShowNet -DDoS/IX/BGPFlowspec/External What's hot (20)
2016-ShowNetステージ-EVPN相互接続検証レポート 2016-ShowNetステージ-バックボーンの機能としてのSDN/NFV 2016-ShowNetステージ-次世代のバックボーンネットワーク 2016-ShowNetステージ-ShowNetを守るセキュリティ ShowNet2021 facility&tranport_sideview 2016-ShowNetステージ-データセンタファシリティ Opencontrailの基本 for オープンソースカンファレンス2014 Kansai@Kyoto Juniper Festa @ Interop Tokyo 2017 Juniper Festa @ Interop Tokyo 2016 2016-ShowNetステージ-ShowNetのみどころ Lagopus Project (Open Source Conference) Similar to 2015-ShowNetステージ-BGPFlowspec (20)
BGP as a method for Abstraction 20150715 xflow kikuta_final ShowNet 2021 みどころ解説_ShowNet2021 seminar NSG フローログを支える技術 - NVF Advanced Flow Logging 2015.7.9 Juniper Cloud Builder Conference 2015 2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar SF-TAP: 柔軟で規模追従可能なトラフィック解析基盤の設計 Mk network programmability-03 『WAN SDN Controller NorthStarご紹介 & デモ』 Juniper Festa @ Interop Tokyo 2021 2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar Cloud Days Tokyo 2014 Spring 「80分でばっちり理解するOpenFlow」 NEC宮永直樹 ネクスト・ジェネレーションクラウドネットワーク~雲の中のリストラクチャリング~ More from Interop Tokyo ShowNet NOC Team (20)
ShowNet2021 external_sideview ShowNet2021 cloud_sideview ShowNet2021 external_cloud_parapara ShowNet2021 DC_parapara_noc14 Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara ShowNet2021 Wi-Fi_parapara ShowNet2021 Security_parapara ShowNet2021 モニタリング_parapara ShowNet2021 L2/L3_srv6_gu_parapara ShowNet2021 L2/L3_parapara ShowNet2021 ファシリティ_parapara 監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414 今年の見どころ_ShowNet2021 studio 20210416 ShowNet のクラウドよもやま話_ShowNet2021 studio 20210416 若手エンジニアが躍動!次世代を担うボランティア集団とNOC発掘プログラム_Shownet2021 studio 20210416 オンプレ/クラウド連携と柔軟なストレージで実現する高信頼サービス_Shownet2021 studio 20210416 2015-ShowNetステージ-BGPFlowspec
- 1. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
これからのネットワーク
セキュリティの武器としての
BGP Flowspec
ShowNetがみせる
- 2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2
ネットワークセキュリティ多層防御の重要性
• SPAM, ウィルスメール
• SSHブルートフォースアタック
• OSやミドルウェア等脆弱性を
ついた攻撃
• インターネットから受ける/
発信されるDoSアタック
• DNS/NTP等のampアタック
トラフィックボリューム:比較的大
第三者通信への影響:比較的大
トラフィックボリューム:比較的少
第三者通信への影響:比較的少
バックボーンネットワークでの防御 エッジでのFW, IPS,
セキュリティソフト等での防御
- 3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3
ShowNet2015セキュリティ実装の全体像
Internet
Exchange
Transit
出展社
端末
サーバ
アクセスバックボーンExternal
ISP Free Mitigation
SDN IX
BGP Flowspec
NFV Mitigation
←ココ!
- 4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 44
ISP Free Mitigation
SDN-IX
BGP Flowspec +
緩和装置
NFV
- 5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5
BGP Flowspec(RFC5575)とは?
• BGPでACL設定を網内のルータ群に配布可能
従来のACL設定は BGP Flowspecを使用
1台1台設定が大変・・ セキュリティアプライアンスとの連携も容易
RR
BGP
- 6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6
従来のDDoS防御手法
Internet
Exchange
Transit
攻撃者
Route Reflector
xFlowコレクタ
RTBH(Remotely Triggered Black Hole Filtering)による方法
被害者正常者
- 7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7
従来のDDoS防御手法
Internet
Exchange
Transit
Route Reflector
xFlowコレクタ被害者
攻撃者
正常者
宛先IPアドレス単位での制御 → 正常な通信もストップしてしまう
- 8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8
BGP Flowspec(RFC5575)
• BGPのNLRIにきめ細やかな情報を追加しルータにイ
ンストール。これによりルーティングとACLの融合
が可能に。
Type 1 - Destination Prefix
Type 2 - Source Prefix
Type 3 - IP Protocol
Type 4 - Source or Destination Port
Type 5 - Destination Port
Type 6 - Source Port
Type 7 - ICMP Type
Type 8 - ICMP Code
Type 9 - TCP flags
Type 10 - Packet length
Type 11 - DSCP
Type 12 - Fragment
- 9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9
BGP Flowspec(RFC5575)
• マッチしたパケットに対するアクションは、以下を
指定可能。
・ Rate-limit
・ Drop (Rate-limit=0を指定)
・ VRFへのリダイレクト
・ DSCPマーキング
・ サンプリング/ロギング
- 10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 10
BGP Flowspecによる防御
Internet
Exchange
Transit
Route Reflector
xFlowコレクタ被害者
攻撃者
正常者
攻撃者の情報と正常者の情報を分けてフォワーディング
Dest IP: a.a.a.a
Source IP: b.b.b.b
Dest port: 80
Source port :1900
Dest IP: a.a.a.a
Source IP: c.c.c.c
Dest port: 80
Source port :2345
BGP Flowspec対応
- 11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11
ShowNetでの取り組み#1
• 各ルータの基本実装を検証
Cisco ASR9900
Huawei NE5000E
Juniper MX480TestCenter
By 東陽テクニカ様
TestCenter
処理済パケット
※ TestCenterは実際は1台です。
BGP
- 13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13
テスト結果イメージ
経路広告から転送処理反映までの時間
細かい挙動の違いはあるものの、総じて問題ないことを確認
- 14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14
ShowNetでの取り組み#2
• xFlowによりDDoSの発生を瞬時に検出
• BGP Flowspecにより、自動でフィルタルールを生成
• セキュリティアプライアンスにトラフィックをリダ
イレクト
• 悪意のあるトラフィックを遮断
- 15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 15
デモンストレーション
〜デモ設定〜
疑似攻撃者
Webサーバ
(victim)
DDoS緩和装置
Cisco ASR9900
Huawei NE5000E
Juniper MX480
トラフィック情報
(xFlow)
攻撃検知
BOTへの指示
GEIKO:C&C
BOTへの指示
①
Route-Reflector
DDoS攻撃
DDoS攻撃
Juniper vMX
!?
正常通信
- 16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16
疑似攻撃者
Webサーバ
(victim)
DDoS緩和装置
Cisco ASR9900
Juniper MX480
攻撃検知
BOTへの指示
GEIKO:C&C
BOTへの指示
①
Route-Reflector
DDoS攻撃
DDoS攻撃
Juniper vMX
Huawei NE5000E
flowspec
経路広告
②
デモンストレーション
〜対処シナリオ〜
③
♪
正常通信
攻撃のみを除去し、
正常通信は戻す④
VRF
リダイレクト
