SlideShare una empresa de Scribd logo

Mr201304 open flow_security_jpn

FFRI, Inc.
FFRI, Inc.
Tecnología
1 de 28
Descargar para leer sin conexión
Fourteenforty Research Institute, Inc. Confidential Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp Monthly Research OpenFlowセキュリティ ver2.00.02
Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 2
Fourteenforty Research Institute, Inc. Confidential • 本書では、OpenFlowの概要を明らかにした上で、現行の仕様において想定される セキュリティ上の脅威を調査、分析した結果を記載する。 • 本調査が対象とするOpenFlowの技術仕様は、1.0を前提とする。 • 想定される脅威は、可能性を示すものであり必ずしも現時点で攻撃の実現性を確認、 実証したものではない。 はじめに 3
Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 4
Fourteenforty Research Institute, Inc. Confidential • SDN – 従来のネットワークは、各構成要素(L2/L3スイッチ、ルーター等)の物理的な 配置、接続、設定に依存した固定的なシステム – データセンター等を中心にサーバ、及びストレージの仮想化が進んでいるが、 ネットワークは都度構成変更、機器個別の設定が必要(VMのマシン間移動時等) → オペレーションの複雑化、運用負荷増大 – SDNは、ネットワークをソフトウェアとして定義し、柔軟な構成、制御、管理を 実現しようとする概念 • OpenFlow – SDNという概念を具現化する技術仕様のひとつ Software Defined Network(SDN)及びOpenFlow 5
Fourteenforty Research Institute, Inc. Confidential • 現在はOpen Networking Foundation(ONF)が仕様を策定 – https://www.opennetworking.org/ • ONFのボードメンバーは下記の通り(2013年4月15日現在) – Deutsche Telekom, Facebook, Goldman Sachs, Google, Microsoft, NTTコミュニケーションズ, Verizon, Yahoo! • 現時点では、バージョン1.0に準拠した実装が主流 背景及び周辺状況 6 年月日 出来事 2009年12月31日 スタンフォード大学が中心となりバージョン1.0策定 2011年2月28日 バージョン1.1策定 2011年3月21日 Open Networking Foundation設立 2011年12月5日 バージョン1.2策定 2012年5月25日 バージョン1.3.0策定 2012年9月6日 バージョン1.3.1策定
Fourteenforty Research Institute, Inc. Confidential • OpenFlowの基本的な考え方 – 従来NW機器に統合されていたコントロールプレーン(経路制御等)、 データプレーン(フレーム転送等)を分離 – NWをOpenFlowスイッチ及びOpenFlowコントローラーで構成 – 仕様は、主にスイッチの動作及びスイッチ-コントローラー間の通信を規定 技術概要(1/5) 7 データプレーン コントロールプレーン アプリケーション データプレーン コントロールプレーン アプリケーション 従来のネットワーク機器 OpenFlowスイッチ OpenFlowコントローラー OpenFlow仕様 インターフェイス スイッチ動作
Fourteenforty Research Institute, Inc. Confidential • フロー – OpenFlowにおける通信の取扱い単位 • フローエントリー:下記の3要素から構成されるフローの管理構造 – ヘッダーフィールド:処理対象のフローを定義 – アクション:該当フローの処理方法を定義 – カウンタ:該当フローの統計情報を保持 技術概要(2/5) 8 ヘッダーフィールドで利用可能な項目 Ingress port IP src Ether src IP dst Ether dst IP proto Ether type IP ToS bits VLAN id TCP/UDP src port VLAN priority TCP/UDP dst port 利用可能なアクション例 Forward 指定したポートからパケットを出力 DROP パケットを破棄 Modify-Field 指定したフィールドを書き換え
Fourteenforty Research Institute, Inc. Confidential • コントローラー – フローエントリーをスイッチに書き込む – スイッチからの問い合わせ(下記)に対応 • スイッチ – フローエントリーをフローテーブルに保持 – フローテーブルを参照し、パケットを処理する – 対応がフローテーブルに存在しない場合、コントローラーに問い合わせ 技術概要(3/5) 9 コントローラー スイッチ ・192.168.1.4宛のパケットは3番ポートから出力 ・UDPパケットは全てドロップ ・10.1.3.51宛のパケットは、送信元IPアドレスを 192.168.1.5に書き換えて5番ポートから出力、等 フロー エントリー 問い合わせ フローテーブル ■フローエントリーの例
Fourteenforty Research Institute, Inc. Confidential • スイッチの動作、役割はフローエントリー次第 – リピータ、スイッチングハブ、ルーター、ロードバランサー等 • NWの構成、設定変更が必要になった場合、コントローラー側から 各スイッチのフローテーブルを変更することで一元的に制御可能 → 物理的な構成変更、機器個別の設定が不要 • スイッチのフローテーブルからカウンタ値を取得可能 – フローの種類/流量を考慮した経路制御等が可能 • フローテーブル上のフローエントリーに生存時間を設定可能 – ハードタイムアウト:フローエントリーが書き込まれた時間を起点として 指定時間経過した際にエントリーを削除する – アイドルタイムアウト:最後に当該フローがマッチした時間を起点として 指定時間経過した際にエントリーを削除する(フローがマッチしたら経過時間を初期化) 技術概要(4/5) 10
Fourteenforty Research Institute, Inc. Confidential • セキュアチャネル:スイッチ-コントローラー間の通信インターフェイス – TCPまたはTLSによるコネクション上で下記の通信を行う a. コントローラーからスイッチへの通信 • Features:スイッチがサポートしている機能の問い合わせ • Configuration:スイッチのパラメーター設定・取得 • Modify-State:スイッチのフローエントリ変更(追加、削除) ポートの構成情報変更 • Read-State:スイッチのフローテーブルから統計情報を取得 b. スイッチからコントローラーへの非同期通信 • Packet-in:フローテーブルに該当しないパケットの受信をコントローラーに通知 • Flow-Removed:タイムアウトによるフローエントリー削除通知 • Port-Status:ポートの状態変更通知(Link-Down等) c. 双方向での非同期通信 • HELLO:セキュアチャネル確立初期に双方で交換するメッセージ • ECHO(Request/Reply):セキュアチャネル上での死活確認メッセージ 技術概要(5/5) 11
Fourteenforty Research Institute, Inc. Confidential コントローラー及びスイッチの実装例 12 ソフトウェア ハードウェア スイッチ ・Open vSwitch(OSS) ・Indigo(OSS) ・LINC(OSS) ・UNIVERGE PF1000(NEC) ・UNIVERGE PF5220/PF5240/ PF5248/PF5820(NEC) ・RackSwitch G8264/G8264T(IBM) ・Pronto 3290/3780(Pica8) ・AS4600-54T/L3(Riava) ・HP2920-24G(HP) コントローラー ・NOX(OSS) ・POX(OSS) ・Trema(OSS) ・Floodlight(OSS) ・バーチャルネットワーク コントローラバージョン2.0 (NTTデータ) ・Ryu(OSS) ・UNIVERGE PF6800(NEC) • スイッチ、コントローラーともにソフトウェア、ハードウェア実装が存在 • ハードウェアベースのスイッチは現時点ではいずれも高価(数十~数百万円)
Fourteenforty Research Institute, Inc. Confidential • Linuxマシン上にOpen vSwitch及びTremaをインストール、実行 • Open vSwitchを利用してeth1、eth2を含むブリッジIF(br0)を作成、立ち上げ – eth1、eth2はアドレス無し、インターフェイスの立ち上げのみ • localhost:6633/tcpでTremaを起動し、スイッチにコントローラーのアドレスを設定 • Trema上でリピーター相当のコントローラーコードを実行 OpenFlowネットワークの構成例 13 eth2eth1 host-1 host-2 trema 0.0.0.00.0.0.0 192.168.1.2/24192.168.1.1/24 127.0.0.1:6633/tcp 出所: http://www.trema.info/2012/09/repeater-hub/ class RepeaterHub < Controller def packet_in datapath_id, message send_flow_mod_add( datapath_id, :match => ExactMatch.from( message ), :actions => ActionOutput.new( OFPP_FLOOD ) ) send_packet_out( datapath_id, :packet_in => message, :actions => ActionOutput.new( OFPP_FLOOD ) ) end end Open vSwitch br0 セキュアチャネル
Fourteenforty Research Institute, Inc. Confidential • Open vSwitch、Tremaによる検証環境を構築 • スイッチ、コントローラーともに同一ホスト(Linux)で実行 • localhost:6633/tcpで通信(非TLS)※画面上の赤背景がスイッチによる通信 実際の通信例(1/3) 14 struct ofp_header { uint8_t version; uint8_t type; uint16_t length; uint32_t xid; }; enum ofp_type { OFTP_HELLO, // 0x0 OFTP_ERROR, // 0x1 OFTP_ECHO_REQUEST, // 0x2 OFTP_ECHO_REPLY, // 0x3 OFTP_VENDOR, // 0x4 OFTP_FEATURES_REQUEST // 0x5 OFTP_FEATURES_REPLY, // 0x6 ... OFTP_SET_CONFIG, // 0x9 OFTP_PACKET_IN, // 0xa ... OFTP_FLOW_MOD, // 0xe ■スイッチ-コントローラー間のHELLO通信
Fourteenforty Research Institute, Inc. Confidential 実際の通信例(2/3) 15 OFTP_FEATURES_REQUESTOFTP_FEATURES_REPLY 物理ポートの構成情報状態等を通知 ■コントローラーからのFeatures要求及びスイッチからの応答
Fourteenforty Research Institute, Inc. Confidential 実際の通信例(3/3) 16 OFTP_PACKET_IN OFTP_FLOW_MOD ■コントローラーからスイッチへの初期設定及びフローエントリーの書き込み、 スイッチからのPACKET_IN 12 bytes OFTP_SET_CONFIG
Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 17
Fourteenforty Research Institute, Inc. Confidential 脅威分析 18 [前提] • ①「スイッチ上のフローエントリー」、②「OpenFlowによるNW環境」を資産と定義 • ③「スイッチ」及び④「コントローラー」を情報システムと定義 • 資産に対してはCIA(機密性/完全性/可用性)、情報システムに対してはCIAAAR (CIA+真正性/責任追跡性/信頼性)に基づいて脅威分析を実施 – CIAAARの定義は、ISO/IEC TR 13335(GMITS)に準拠 資産 情報システム ①フローエントリー ②NW環境 ③スイッチ ④コントローラー 機密性 完全性 可用性 真正性 責任追跡性 信頼性 本領域について分析を実施
Fourteenforty Research Institute, Inc. Confidential ①フローエントリー 19 想定される脅威 対策/備考 機密性 通信経路上での漏えい セキュアチャネルにTLSを用いることで防御可能 スイッチからの漏えい スイッチのセキュリティ確保(堅牢化、パッチ適用等) コントローラーからの漏えい コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 完全性 通信経路上での改竄 セキュアチャネルにTLSを用いることで防御可能 スイッチ上での改竄 スイッチのセキュリティ確保(堅牢化、パッチ適用等) コントローラーからの改竄 コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 可用性 外部からのフローテーブルの溢れ (Spoofingしたパケット等による) アドレス詐称を禁止するフローエントリーの作成、適用 (参考情報 2.c参照) スイッチ上でのフローテーブルのリセット スイッチのセキュリティ確保(堅牢化、パッチ適用等)
Fourteenforty Research Institute, Inc. Confidential ②NW環境 20 想定される脅威 対策/備考 機密性 改竄されたフローエントリーによる漏えい (不正なパケットの複製、転送等による) スイッチ及びコントローラーのセキュリティ確保 完全性 改竄されたフローエントリーによる改竄 スイッチ及びコントローラーのセキュリティ確保 セキュアチャネルの切断によるフローエントリー の完全性欠如 セキュアチャネルの可用性確保、冗長化 可用性 改竄されたフローエントリーによる通信阻害 スイッチ及びコントローラーのセキュリティ確保 スイッチ、コントローラーの障害による通信阻害 スイッチ及びコントローラーのセキュリティ確保 セキュアチャネルの切断による通信障害 セキュアチャネルの可用性確保、冗長化
Fourteenforty Research Institute, Inc. Confidential ③スイッチ 21 想定される脅威 対策/備考 機密性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) 完全性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) 可用性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) コントローラーからのDoS攻撃 コントローラーのセキュリティ確保 (コントローラーが侵害されている前提) 他ノードからのDoS攻撃 攻撃を考慮したフローエントリーの作成、適用 ハードウェア/ソフトウェア障害 システムの冗長化 真正性 なりすましによるシステムへの侵入 スイッチのセキュリティ確保(堅牢化、パッチ適用等) 偽コントローラーへの誘導 (ARP Poisoning等による) TLSによる証明書に基づいた接続先の認証 (適切な運用管理が必要) 責任追跡性 各種ログの抹消 (システム侵害による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) 信頼性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等)
Fourteenforty Research Institute, Inc. Confidential ④コントローラー 22 想定される脅威 対策/備考 機密性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 完全性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 可用性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) スイッチからのDoS攻撃 スイッチのセキュリティ確保 (スイッチが侵害されている前提) 他ノードからのDoS攻撃 攻撃を考慮したフローエントリーの作成、適用 ハードウェア/ソフトウェア障害 システムの冗長化 真正性 なりすましによるシステムへの侵入 コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 偽スイッチへの誘導 (ARP Poisoning等による) TLSによる証明書に基づいた接続先の認証 (適切な運用管理が必要) 責任追跡性 各種ログの抹消 (システム侵害による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 信頼性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等)
Fourteenforty Research Institute, Inc. Confidential 脅威の発生源 まとめ 23 • スイッチ及びコントローラーのセキュリティ確保、セキュアチャネルのTLS利用は必須 – スイッチ、コントローラの設置個所によってはリスクになり得る • スイッチ、コントローラーともに(ハードウェア実装の場合でも)ソフトウェア部分が 存在するため従来通り技術、運用面での対策が重要 • 特にコントローラーは、単一障害点になるため留意が必要 コントローラーの侵害 スイッチの侵害 セキュアチャネルの侵害 フローエントリーの侵害 NW環境の侵害
Fourteenforty Research Institute, Inc. Confidential • Smurf攻撃(#1)やDNSアンプ攻撃(#2)のように細工したパケットをNW上に 送信することで意図的にコントローラーへのDoS状態が発生する状況を 作り出せないか? – 大量のPacket-inの生成 – 大量のFlow-Removedの生成 – 大量のPort-Statusの生成、等 • 様々なパケットの送信によるフローエントリーのリモート推測 • スイッチ、コントローラー個別の実装の調査(設計、実装等) • 実際の運用から見たセキュリティ上の問題、課題 – フローエントリーにおけるロジックエラー等 今後調査すべき項目 24 #1 http://www.ipa.go.jp/security/ciadr/crword.html#S #2 http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html
Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 25
Fourteenforty Research Institute, Inc. Confidential 1. 書籍 a. クラウド時代のネットワーク技術 OpenFlow実践入門 (ISBN-10: 4774154652) 2. オンライン a. Openflow Networking Foundation https://www.opennetworking.org/ b. OpenFlow Switch Specifications version 1.0.0 http://www.openflow.org/documents/openflow-spec-v1.0.0.pdf c. SDNのセキュリティ / Inter-Domain Routing Security 23 http://irs.ietf.to/wiki.cgi?page=IRS23 参考情報 26
Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 27
Fourteenforty Research Institute, Inc. Confidential 本調査に当り協力・助言頂いた下記の方にこの場をお借りして 心より御礼申し上げます(ヒアリング実施順に記載) NTTコミュニケーションズ(株)畑田充弘様、渡辺渉様、古澤徹様 NTTアドバンステクノロジ(株)深澤友雄様、伊藤光恭様、大嶋寛様、酒井清隆様 日本電信電話(株)NTTセキュアプラットフォーム研究所一同様 謝辞 28

Recomendados

Windowsのパケットモニタ作成
Windowsのパケットモニタ作成Windowsのパケットモニタ作成
Windowsのパケットモニタ作成Shinichi Hirauchi
 
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Hokkaido.cap#1 Wiresharkの使い方(基礎編)Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Hokkaido.cap#1 Wiresharkの使い方(基礎編)Panda Yamaki
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみようHokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみようPanda Yamaki
 
Hokkaido.cap#3 ケーススタディ(基礎編)
Hokkaido.cap#3 ケーススタディ(基礎編)Hokkaido.cap#3 ケーススタディ(基礎編)
Hokkaido.cap#3 ケーススタディ(基礎編)Panda Yamaki
 
Wiresharkの解析プラグインを作る ssmjp 201409
Wiresharkの解析プラグインを作る ssmjp 201409Wiresharkの解析プラグインを作る ssmjp 201409
Wiresharkの解析プラグインを作る ssmjp 201409稔 小林
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213Yuuki Takano
 
Wiresharkで検出できないチャットプログラム
Wiresharkで検出できないチャットプログラムWiresharkで検出できないチャットプログラム
Wiresharkで検出できないチャットプログラムShinichi Hirauchi
 
HTTP/2, QUIC入門
HTTP/2, QUIC入門HTTP/2, QUIC入門
HTTP/2, QUIC入門shigeki_ohtsu
 

Recomendados

Windowsのパケットモニタ作成
Windowsのパケットモニタ作成Windowsのパケットモニタ作成
Windowsのパケットモニタ作成Shinichi Hirauchi
 
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Hokkaido.cap#1 Wiresharkの使い方(基礎編)Hokkaido.cap#1 Wiresharkの使い方(基礎編)
Hokkaido.cap#1 Wiresharkの使い方(基礎編)Panda Yamaki
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみようHokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみようPanda Yamaki
 
Hokkaido.cap#3 ケーススタディ(基礎編)
Hokkaido.cap#3 ケーススタディ(基礎編)Hokkaido.cap#3 ケーススタディ(基礎編)
Hokkaido.cap#3 ケーススタディ(基礎編)Panda Yamaki
 
Wiresharkの解析プラグインを作る ssmjp 201409
Wiresharkの解析プラグインを作る ssmjp 201409Wiresharkの解析プラグインを作る ssmjp 201409
Wiresharkの解析プラグインを作る ssmjp 201409稔 小林
 
Security workshop 20131213
Security workshop 20131213Security workshop 20131213
Security workshop 20131213Yuuki Takano
 
Wiresharkで検出できないチャットプログラム
Wiresharkで検出できないチャットプログラムWiresharkで検出できないチャットプログラム
Wiresharkで検出できないチャットプログラムShinichi Hirauchi
 
HTTP/2, QUIC入門
HTTP/2, QUIC入門HTTP/2, QUIC入門
HTTP/2, QUIC入門shigeki_ohtsu
 
PPTPの仕組みと接続時の注意点
PPTPの仕組みと接続時の注意点PPTPの仕組みと接続時の注意点
PPTPの仕組みと接続時の注意点Rintaro Sekino
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料SECCON Beginners
 
Scis2015 ruo ando_2015-01-20-01
Scis2015 ruo ando_2015-01-20-01Scis2015 ruo ando_2015-01-20-01
Scis2015 ruo ando_2015-01-20-01Ruo Ando
 
Pandora FMS による Web サービス監視
Pandora FMS による Web サービス監視Pandora FMS による Web サービス監視
Pandora FMS による Web サービス監視Rworks, Inc.
 
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料Tetsuya Hasegawa
 
RouterBOARD with OpenFlow
RouterBOARD with OpenFlowRouterBOARD with OpenFlow
RouterBOARD with OpenFlowToshiki Tsuboi
 
signal の話 或いは Zend Signals とは何か
signal の話 或いは Zend Signals とは何かsignal の話 或いは Zend Signals とは何か
signal の話 或いは Zend Signals とは何かdo_aki
 
4章 Linuxカーネル - 割り込み・例外 3
4章 Linuxカーネル - 割り込み・例外 34章 Linuxカーネル - 割り込み・例外 3
4章 Linuxカーネル - 割り込み・例外 3mao999
 
4章 Linuxカーネル - 割り込み・例外 4
4章 Linuxカーネル - 割り込み・例外 4 4章 Linuxカーネル - 割り込み・例外 4
4章 Linuxカーネル - 割り込み・例外 4mao999
 
ニューTrema 5つのポイント
ニューTrema 5つのポイントニューTrema 5つのポイント
ニューTrema 5つのポイントYasuhito Takamiya
 
ttwrite
ttwritettwrite
ttwritekusabanachi
 
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説Takateru Yamagishi
 
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...CODE BLUE
 
mod_auth_ticket - Bringing Single-Sign-On to lighttpd
mod_auth_ticket - Bringing Single-Sign-On to lighttpdmod_auth_ticket - Bringing Single-Sign-On to lighttpd
mod_auth_ticket - Bringing Single-Sign-On to lighttpdTaisuke Yamada
 
PHP AST 徹底解説(補遺)
PHP AST 徹底解説(補遺)PHP AST 徹底解説(補遺)
PHP AST 徹底解説(補遺)do_aki
 
php-src の歩き方
php-src の歩き方php-src の歩き方
php-src の歩き方do_aki
 
4章 Linuxカーネル - 割り込み・例外 2
4章 Linuxカーネル - 割り込み・例外 24章 Linuxカーネル - 割り込み・例外 2
4章 Linuxカーネル - 割り込み・例外 2mao999
 
PHP AST 徹底解説
PHP AST 徹底解説PHP AST 徹底解説
PHP AST 徹底解説do_aki
 
2章 Linuxカーネル - メモリ管理1
2章 Linuxカーネル - メモリ管理12章 Linuxカーネル - メモリ管理1
2章 Linuxカーネル - メモリ管理1mao999
 
PHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 とPHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 とdo_aki
 
Trema の紹介とネットワーク仮想化への応用
Trema の紹介とネットワーク仮想化への応用Trema の紹介とネットワーク仮想化への応用
Trema の紹介とネットワーク仮想化への応用kazuyas
 
Tremaで試すFirewall
Tremaで試すFirewallTremaで試すFirewall
Tremaで試すFirewallM Hagiwara
 

Más contenido relacionado

La actualidad más candente

PPTPの仕組みと接続時の注意点
PPTPの仕組みと接続時の注意点PPTPの仕組みと接続時の注意点
PPTPの仕組みと接続時の注意点Rintaro Sekino
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料SECCON Beginners
 
Scis2015 ruo ando_2015-01-20-01
Scis2015 ruo ando_2015-01-20-01Scis2015 ruo ando_2015-01-20-01
Scis2015 ruo ando_2015-01-20-01Ruo Ando
 
Pandora FMS による Web サービス監視
Pandora FMS による Web サービス監視Pandora FMS による Web サービス監視
Pandora FMS による Web サービス監視Rworks, Inc.
 
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料Tetsuya Hasegawa
 
RouterBOARD with OpenFlow
RouterBOARD with OpenFlowRouterBOARD with OpenFlow
RouterBOARD with OpenFlowToshiki Tsuboi
 
signal の話 或いは Zend Signals とは何か
signal の話 或いは Zend Signals とは何かsignal の話 或いは Zend Signals とは何か
signal の話 或いは Zend Signals とは何かdo_aki
 
4章 Linuxカーネル - 割り込み・例外 3
4章 Linuxカーネル - 割り込み・例外 34章 Linuxカーネル - 割り込み・例外 3
4章 Linuxカーネル - 割り込み・例外 3mao999
 
4章 Linuxカーネル - 割り込み・例外 4
4章 Linuxカーネル - 割り込み・例外 4 4章 Linuxカーネル - 割り込み・例外 4
4章 Linuxカーネル - 割り込み・例外 4mao999
 
ニューTrema 5つのポイント
ニューTrema 5つのポイントニューTrema 5つのポイント
ニューTrema 5つのポイントYasuhito Takamiya
 
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説Takateru Yamagishi
 
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...CODE BLUE
 
mod_auth_ticket - Bringing Single-Sign-On to lighttpd
mod_auth_ticket - Bringing Single-Sign-On to lighttpdmod_auth_ticket - Bringing Single-Sign-On to lighttpd
mod_auth_ticket - Bringing Single-Sign-On to lighttpdTaisuke Yamada
 
PHP AST 徹底解説(補遺)
PHP AST 徹底解説(補遺)PHP AST 徹底解説(補遺)
PHP AST 徹底解説(補遺)do_aki
 
php-src の歩き方
php-src の歩き方php-src の歩き方
php-src の歩き方do_aki
 
4章 Linuxカーネル - 割り込み・例外 2
4章 Linuxカーネル - 割り込み・例外 24章 Linuxカーネル - 割り込み・例外 2
4章 Linuxカーネル - 割り込み・例外 2mao999
 
PHP AST 徹底解説
PHP AST 徹底解説PHP AST 徹底解説
PHP AST 徹底解説do_aki
 
2章 Linuxカーネル - メモリ管理1
2章 Linuxカーネル - メモリ管理12章 Linuxカーネル - メモリ管理1
2章 Linuxカーネル - メモリ管理1mao999
 
PHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 とPHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 とdo_aki
 

La actualidad más candente (20)

PPTPの仕組みと接続時の注意点
PPTPの仕組みと接続時の注意点PPTPの仕組みと接続時の注意点
PPTPの仕組みと接続時の注意点
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
 
Scis2015 ruo ando_2015-01-20-01
Scis2015 ruo ando_2015-01-20-01Scis2015 ruo ando_2015-01-20-01
Scis2015 ruo ando_2015-01-20-01
 
Pandora FMS による Web サービス監視
Pandora FMS による Web サービス監視Pandora FMS による Web サービス監視
Pandora FMS による Web サービス監視
 
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
RFC5717(Partial Lock Remote Procedure Call (RPC) for NETCONF)の勉強資料
 
RouterBOARD with OpenFlow
RouterBOARD with OpenFlowRouterBOARD with OpenFlow
RouterBOARD with OpenFlow
 
signal の話 或いは Zend Signals とは何か
signal の話 或いは Zend Signals とは何かsignal の話 或いは Zend Signals とは何か
signal の話 或いは Zend Signals とは何か
 
4章 Linuxカーネル - 割り込み・例外 3
4章 Linuxカーネル - 割り込み・例外 34章 Linuxカーネル - 割り込み・例外 3
4章 Linuxカーネル - 割り込み・例外 3
 
4章 Linuxカーネル - 割り込み・例外 4
4章 Linuxカーネル - 割り込み・例外 4 4章 Linuxカーネル - 割り込み・例外 4
4章 Linuxカーネル - 割り込み・例外 4
 
ニューTrema 5つのポイント
ニューTrema 5つのポイントニューTrema 5つのポイント
ニューTrema 5つのポイント
 
ttwrite
ttwritettwrite
ttwrite
 
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
CUDAのアセンブリ言語基礎のまとめ PTXとSASSの概説
 
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
[CB18] 使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム by 谷口...
 
mod_auth_ticket - Bringing Single-Sign-On to lighttpd
mod_auth_ticket - Bringing Single-Sign-On to lighttpdmod_auth_ticket - Bringing Single-Sign-On to lighttpd
mod_auth_ticket - Bringing Single-Sign-On to lighttpd
 
PHP AST 徹底解説(補遺)
PHP AST 徹底解説(補遺)PHP AST 徹底解説(補遺)
PHP AST 徹底解説(補遺)
 
php-src の歩き方
php-src の歩き方php-src の歩き方
php-src の歩き方
 
4章 Linuxカーネル - 割り込み・例外 2
4章 Linuxカーネル - 割り込み・例外 24章 Linuxカーネル - 割り込み・例外 2
4章 Linuxカーネル - 割り込み・例外 2
 
PHP AST 徹底解説
PHP AST 徹底解説PHP AST 徹底解説
PHP AST 徹底解説
 
2章 Linuxカーネル - メモリ管理1
2章 Linuxカーネル - メモリ管理12章 Linuxカーネル - メモリ管理1
2章 Linuxカーネル - メモリ管理1
 
PHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 とPHP と SAPI と ZendEngine3 と
PHP と SAPI と ZendEngine3 と
 

Similar a Mr201304 open flow_security_jpn

Trema の紹介とネットワーク仮想化への応用
Trema の紹介とネットワーク仮想化への応用Trema の紹介とネットワーク仮想化への応用
Trema の紹介とネットワーク仮想化への応用kazuyas
 
Tremaで試すFirewall
Tremaで試すFirewallTremaで試すFirewall
Tremaで試すFirewallM Hagiwara
 
話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!
話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!
話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!Akira Yokokawa
 
OpenFlowをXenServerで試してみよう
OpenFlowをXenServerで試してみようOpenFlowをXenServerで試してみよう
OpenFlowをXenServerで試してみようKimihiko Kitase
 
仮想ネットワークを実現するOpenVNet
仮想ネットワークを実現するOpenVNet仮想ネットワークを実現するOpenVNet
仮想ネットワークを実現するOpenVNetAkira Yokokawa
 
OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2
OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2
OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2Etsuji Nakai
 
Lagopus Router v19.07.1
Lagopus Router v19.07.1Lagopus Router v19.07.1
Lagopus Router v19.07.1Tomoya Hibi
 
お手軽OpenFlow試験環境 Mininet
お手軽OpenFlow試験環境 Mininetお手軽OpenFlow試験環境 Mininet
お手軽OpenFlow試験環境 MininetShuji Yamada
 
Osc2018tokyo spring-20180224
Osc2018tokyo spring-20180224Osc2018tokyo spring-20180224
Osc2018tokyo spring-20180224Tomoya Hibi
 
Rubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりRubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりYuya Rin
 
Lagopus Switch Usecases
Lagopus Switch UsecasesLagopus Switch Usecases
Lagopus Switch UsecasesSakiko Kawai
 
FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理fisuda
 
Open vSwitchソースコードの全体像
Open vSwitchソースコードの全体像 Open vSwitchソースコードの全体像
Open vSwitchソースコードの全体像 Sho Shimizu
 
OpenStack with OpenFlow
OpenStack with OpenFlowOpenStack with OpenFlow
OpenStack with OpenFlowToshiki Tsuboi
 
NSDI2015読み会 Correctness セッション
NSDI2015読み会 Correctness セッションNSDI2015読み会 Correctness セッション
NSDI2015読み会 Correctness セッションDaisuke Kotani
 
コンテナのネットワークインターフェース その実装手法とその応用について
コンテナのネットワークインターフェース その実装手法とその応用についてコンテナのネットワークインターフェース その実装手法とその応用について
コンテナのネットワークインターフェース その実装手法とその応用についてTomofumi Hayashi
 
Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~
Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~
Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~Rworks, Inc.
 
20150715 xflow kikuta_final
20150715 xflow kikuta_final20150715 xflow kikuta_final
20150715 xflow kikuta_finalKazumasa Ikuta
 

Similar a Mr201304 open flow_security_jpn (20)

Trema の紹介とネットワーク仮想化への応用
Trema の紹介とネットワーク仮想化への応用Trema の紹介とネットワーク仮想化への応用
Trema の紹介とネットワーク仮想化への応用
 
Tremaで試すFirewall
Tremaで試すFirewallTremaで試すFirewall
Tremaで試すFirewall
 
SDN Framework Ryu Internal
SDN Framework Ryu InternalSDN Framework Ryu Internal
SDN Framework Ryu Internal
 
話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!
話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!
話題のOpenFlowをフル活用! OpenVNetで仮想ネットワークを実現しよう!
 
OpenFlowをXenServerで試してみよう
OpenFlowをXenServerで試してみようOpenFlowをXenServerで試してみよう
OpenFlowをXenServerで試してみよう
 
仮想ネットワークを実現するOpenVNet
仮想ネットワークを実現するOpenVNet仮想ネットワークを実現するOpenVNet
仮想ネットワークを実現するOpenVNet
 
OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2
OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2
OpenStackクラウド基盤構築ハンズオンセミナー 第2日:講義No2
 
Lagopus Router v19.07.1
Lagopus Router v19.07.1Lagopus Router v19.07.1
Lagopus Router v19.07.1
 
お手軽OpenFlow試験環境 Mininet
お手軽OpenFlow試験環境 Mininetお手軽OpenFlow試験環境 Mininet
お手軽OpenFlow試験環境 Mininet
 
VIOPS06: OpenFlowによるネットワーク構築と実証事件
VIOPS06: OpenFlowによるネットワーク構築と実証事件VIOPS06: OpenFlowによるネットワーク構築と実証事件
VIOPS06: OpenFlowによるネットワーク構築と実証事件
 
Osc2018tokyo spring-20180224
Osc2018tokyo spring-20180224Osc2018tokyo spring-20180224
Osc2018tokyo spring-20180224
 
Rubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつりRubyで創るOpenFlowネットワーク - LLまつり
Rubyで創るOpenFlowネットワーク - LLまつり
 
Lagopus Switch Usecases
Lagopus Switch UsecasesLagopus Switch Usecases
Lagopus Switch Usecases
 
FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理
 
Open vSwitchソースコードの全体像
Open vSwitchソースコードの全体像 Open vSwitchソースコードの全体像
Open vSwitchソースコードの全体像
 
OpenStack with OpenFlow
OpenStack with OpenFlowOpenStack with OpenFlow
OpenStack with OpenFlow
 
NSDI2015読み会 Correctness セッション
NSDI2015読み会 Correctness セッションNSDI2015読み会 Correctness セッション
NSDI2015読み会 Correctness セッション
 
コンテナのネットワークインターフェース その実装手法とその応用について
コンテナのネットワークインターフェース その実装手法とその応用についてコンテナのネットワークインターフェース その実装手法とその応用について
コンテナのネットワークインターフェース その実装手法とその応用について
 
Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~
Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~
Pandora FMS でサーバ 1台から大規模サイトまでの幅広い監視を実現 ~統合監視ツール Pandora FMS の実力~
 
20150715 xflow kikuta_final
20150715 xflow kikuta_final20150715 xflow kikuta_final
20150715 xflow kikuta_final
 

Más de FFRI, Inc.

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.
 
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017) TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017) FFRI, Inc.
 
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...FFRI, Inc.
 
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) FFRI, Inc.
 
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) FFRI, Inc.
 
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)FFRI, Inc.
 
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...FFRI, Inc.
 
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)FFRI, Inc.
 
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)FFRI, Inc.
 
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) FFRI, Inc.
 
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)FFRI, Inc.
 
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)FFRI, Inc.
 
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...FFRI, Inc.
 
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)FFRI, Inc.
 
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...FFRI, Inc.
 
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)FFRI, Inc.
 
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)FFRI, Inc.
 
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)FFRI, Inc.
 
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...FFRI, Inc.
 

Más de FFRI, Inc. (20)

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
 
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017) TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
 
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
 
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
 
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
 
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
 
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
 
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
 
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
 
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
 
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
 
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
 
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
 
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
 
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
 
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
 
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
 
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
 
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
 

Último

モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 

Último (8)

モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 

Mr201304 open flow_security_jpn

  • 1. Fourteenforty Research Institute, Inc. Confidential Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp Monthly Research OpenFlowセキュリティ ver2.00.02
  • 2. Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 2
  • 3. Fourteenforty Research Institute, Inc. Confidential • 本書では、OpenFlowの概要を明らかにした上で、現行の仕様において想定される セキュリティ上の脅威を調査、分析した結果を記載する。 • 本調査が対象とするOpenFlowの技術仕様は、1.0を前提とする。 • 想定される脅威は、可能性を示すものであり必ずしも現時点で攻撃の実現性を確認、 実証したものではない。 はじめに 3
  • 4. Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 4
  • 5. Fourteenforty Research Institute, Inc. Confidential • SDN – 従来のネットワークは、各構成要素(L2/L3スイッチ、ルーター等)の物理的な 配置、接続、設定に依存した固定的なシステム – データセンター等を中心にサーバ、及びストレージの仮想化が進んでいるが、 ネットワークは都度構成変更、機器個別の設定が必要(VMのマシン間移動時等) → オペレーションの複雑化、運用負荷増大 – SDNは、ネットワークをソフトウェアとして定義し、柔軟な構成、制御、管理を 実現しようとする概念 • OpenFlow – SDNという概念を具現化する技術仕様のひとつ Software Defined Network(SDN)及びOpenFlow 5
  • 6. Fourteenforty Research Institute, Inc. Confidential • 現在はOpen Networking Foundation(ONF)が仕様を策定 – https://www.opennetworking.org/ • ONFのボードメンバーは下記の通り(2013年4月15日現在) – Deutsche Telekom, Facebook, Goldman Sachs, Google, Microsoft, NTTコミュニケーションズ, Verizon, Yahoo! • 現時点では、バージョン1.0に準拠した実装が主流 背景及び周辺状況 6 年月日 出来事 2009年12月31日 スタンフォード大学が中心となりバージョン1.0策定 2011年2月28日 バージョン1.1策定 2011年3月21日 Open Networking Foundation設立 2011年12月5日 バージョン1.2策定 2012年5月25日 バージョン1.3.0策定 2012年9月6日 バージョン1.3.1策定
  • 7. Fourteenforty Research Institute, Inc. Confidential • OpenFlowの基本的な考え方 – 従来NW機器に統合されていたコントロールプレーン(経路制御等)、 データプレーン(フレーム転送等)を分離 – NWをOpenFlowスイッチ及びOpenFlowコントローラーで構成 – 仕様は、主にスイッチの動作及びスイッチ-コントローラー間の通信を規定 技術概要(1/5) 7 データプレーン コントロールプレーン アプリケーション データプレーン コントロールプレーン アプリケーション 従来のネットワーク機器 OpenFlowスイッチ OpenFlowコントローラー OpenFlow仕様 インターフェイス スイッチ動作
  • 8. Fourteenforty Research Institute, Inc. Confidential • フロー – OpenFlowにおける通信の取扱い単位 • フローエントリー:下記の3要素から構成されるフローの管理構造 – ヘッダーフィールド:処理対象のフローを定義 – アクション:該当フローの処理方法を定義 – カウンタ:該当フローの統計情報を保持 技術概要(2/5) 8 ヘッダーフィールドで利用可能な項目 Ingress port IP src Ether src IP dst Ether dst IP proto Ether type IP ToS bits VLAN id TCP/UDP src port VLAN priority TCP/UDP dst port 利用可能なアクション例 Forward 指定したポートからパケットを出力 DROP パケットを破棄 Modify-Field 指定したフィールドを書き換え
  • 9. Fourteenforty Research Institute, Inc. Confidential • コントローラー – フローエントリーをスイッチに書き込む – スイッチからの問い合わせ(下記)に対応 • スイッチ – フローエントリーをフローテーブルに保持 – フローテーブルを参照し、パケットを処理する – 対応がフローテーブルに存在しない場合、コントローラーに問い合わせ 技術概要(3/5) 9 コントローラー スイッチ ・192.168.1.4宛のパケットは3番ポートから出力 ・UDPパケットは全てドロップ ・10.1.3.51宛のパケットは、送信元IPアドレスを 192.168.1.5に書き換えて5番ポートから出力、等 フロー エントリー 問い合わせ フローテーブル ■フローエントリーの例
  • 10. Fourteenforty Research Institute, Inc. Confidential • スイッチの動作、役割はフローエントリー次第 – リピータ、スイッチングハブ、ルーター、ロードバランサー等 • NWの構成、設定変更が必要になった場合、コントローラー側から 各スイッチのフローテーブルを変更することで一元的に制御可能 → 物理的な構成変更、機器個別の設定が不要 • スイッチのフローテーブルからカウンタ値を取得可能 – フローの種類/流量を考慮した経路制御等が可能 • フローテーブル上のフローエントリーに生存時間を設定可能 – ハードタイムアウト:フローエントリーが書き込まれた時間を起点として 指定時間経過した際にエントリーを削除する – アイドルタイムアウト:最後に当該フローがマッチした時間を起点として 指定時間経過した際にエントリーを削除する(フローがマッチしたら経過時間を初期化) 技術概要(4/5) 10
  • 11. Fourteenforty Research Institute, Inc. Confidential • セキュアチャネル:スイッチ-コントローラー間の通信インターフェイス – TCPまたはTLSによるコネクション上で下記の通信を行う a. コントローラーからスイッチへの通信 • Features:スイッチがサポートしている機能の問い合わせ • Configuration:スイッチのパラメーター設定・取得 • Modify-State:スイッチのフローエントリ変更(追加、削除) ポートの構成情報変更 • Read-State:スイッチのフローテーブルから統計情報を取得 b. スイッチからコントローラーへの非同期通信 • Packet-in:フローテーブルに該当しないパケットの受信をコントローラーに通知 • Flow-Removed:タイムアウトによるフローエントリー削除通知 • Port-Status:ポートの状態変更通知(Link-Down等) c. 双方向での非同期通信 • HELLO:セキュアチャネル確立初期に双方で交換するメッセージ • ECHO(Request/Reply):セキュアチャネル上での死活確認メッセージ 技術概要(5/5) 11
  • 12. Fourteenforty Research Institute, Inc. Confidential コントローラー及びスイッチの実装例 12 ソフトウェア ハードウェア スイッチ ・Open vSwitch(OSS) ・Indigo(OSS) ・LINC(OSS) ・UNIVERGE PF1000(NEC) ・UNIVERGE PF5220/PF5240/ PF5248/PF5820(NEC) ・RackSwitch G8264/G8264T(IBM) ・Pronto 3290/3780(Pica8) ・AS4600-54T/L3(Riava) ・HP2920-24G(HP) コントローラー ・NOX(OSS) ・POX(OSS) ・Trema(OSS) ・Floodlight(OSS) ・バーチャルネットワーク コントローラバージョン2.0 (NTTデータ) ・Ryu(OSS) ・UNIVERGE PF6800(NEC) • スイッチ、コントローラーともにソフトウェア、ハードウェア実装が存在 • ハードウェアベースのスイッチは現時点ではいずれも高価(数十~数百万円)
  • 13. Fourteenforty Research Institute, Inc. Confidential • Linuxマシン上にOpen vSwitch及びTremaをインストール、実行 • Open vSwitchを利用してeth1、eth2を含むブリッジIF(br0)を作成、立ち上げ – eth1、eth2はアドレス無し、インターフェイスの立ち上げのみ • localhost:6633/tcpでTremaを起動し、スイッチにコントローラーのアドレスを設定 • Trema上でリピーター相当のコントローラーコードを実行 OpenFlowネットワークの構成例 13 eth2eth1 host-1 host-2 trema 0.0.0.00.0.0.0 192.168.1.2/24192.168.1.1/24 127.0.0.1:6633/tcp 出所: http://www.trema.info/2012/09/repeater-hub/ class RepeaterHub < Controller def packet_in datapath_id, message send_flow_mod_add( datapath_id, :match => ExactMatch.from( message ), :actions => ActionOutput.new( OFPP_FLOOD ) ) send_packet_out( datapath_id, :packet_in => message, :actions => ActionOutput.new( OFPP_FLOOD ) ) end end Open vSwitch br0 セキュアチャネル
  • 14. Fourteenforty Research Institute, Inc. Confidential • Open vSwitch、Tremaによる検証環境を構築 • スイッチ、コントローラーともに同一ホスト(Linux)で実行 • localhost:6633/tcpで通信(非TLS)※画面上の赤背景がスイッチによる通信 実際の通信例(1/3) 14 struct ofp_header { uint8_t version; uint8_t type; uint16_t length; uint32_t xid; }; enum ofp_type { OFTP_HELLO, // 0x0 OFTP_ERROR, // 0x1 OFTP_ECHO_REQUEST, // 0x2 OFTP_ECHO_REPLY, // 0x3 OFTP_VENDOR, // 0x4 OFTP_FEATURES_REQUEST // 0x5 OFTP_FEATURES_REPLY, // 0x6 ... OFTP_SET_CONFIG, // 0x9 OFTP_PACKET_IN, // 0xa ... OFTP_FLOW_MOD, // 0xe ■スイッチ-コントローラー間のHELLO通信
  • 15. Fourteenforty Research Institute, Inc. Confidential 実際の通信例(2/3) 15 OFTP_FEATURES_REQUESTOFTP_FEATURES_REPLY 物理ポートの構成情報状態等を通知 ■コントローラーからのFeatures要求及びスイッチからの応答
  • 16. Fourteenforty Research Institute, Inc. Confidential 実際の通信例(3/3) 16 OFTP_PACKET_IN OFTP_FLOW_MOD ■コントローラーからスイッチへの初期設定及びフローエントリーの書き込み、 スイッチからのPACKET_IN 12 bytes OFTP_SET_CONFIG
  • 17. Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 17
  • 18. Fourteenforty Research Institute, Inc. Confidential 脅威分析 18 [前提] • ①「スイッチ上のフローエントリー」、②「OpenFlowによるNW環境」を資産と定義 • ③「スイッチ」及び④「コントローラー」を情報システムと定義 • 資産に対してはCIA(機密性/完全性/可用性)、情報システムに対してはCIAAAR (CIA+真正性/責任追跡性/信頼性)に基づいて脅威分析を実施 – CIAAARの定義は、ISO/IEC TR 13335(GMITS)に準拠 資産 情報システム ①フローエントリー ②NW環境 ③スイッチ ④コントローラー 機密性 完全性 可用性 真正性 責任追跡性 信頼性 本領域について分析を実施
  • 19. Fourteenforty Research Institute, Inc. Confidential ①フローエントリー 19 想定される脅威 対策/備考 機密性 通信経路上での漏えい セキュアチャネルにTLSを用いることで防御可能 スイッチからの漏えい スイッチのセキュリティ確保(堅牢化、パッチ適用等) コントローラーからの漏えい コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 完全性 通信経路上での改竄 セキュアチャネルにTLSを用いることで防御可能 スイッチ上での改竄 スイッチのセキュリティ確保(堅牢化、パッチ適用等) コントローラーからの改竄 コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 可用性 外部からのフローテーブルの溢れ (Spoofingしたパケット等による) アドレス詐称を禁止するフローエントリーの作成、適用 (参考情報 2.c参照) スイッチ上でのフローテーブルのリセット スイッチのセキュリティ確保(堅牢化、パッチ適用等)
  • 20. Fourteenforty Research Institute, Inc. Confidential ②NW環境 20 想定される脅威 対策/備考 機密性 改竄されたフローエントリーによる漏えい (不正なパケットの複製、転送等による) スイッチ及びコントローラーのセキュリティ確保 完全性 改竄されたフローエントリーによる改竄 スイッチ及びコントローラーのセキュリティ確保 セキュアチャネルの切断によるフローエントリー の完全性欠如 セキュアチャネルの可用性確保、冗長化 可用性 改竄されたフローエントリーによる通信阻害 スイッチ及びコントローラーのセキュリティ確保 スイッチ、コントローラーの障害による通信阻害 スイッチ及びコントローラーのセキュリティ確保 セキュアチャネルの切断による通信障害 セキュアチャネルの可用性確保、冗長化
  • 21. Fourteenforty Research Institute, Inc. Confidential ③スイッチ 21 想定される脅威 対策/備考 機密性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) 完全性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) 可用性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) コントローラーからのDoS攻撃 コントローラーのセキュリティ確保 (コントローラーが侵害されている前提) 他ノードからのDoS攻撃 攻撃を考慮したフローエントリーの作成、適用 ハードウェア/ソフトウェア障害 システムの冗長化 真正性 なりすましによるシステムへの侵入 スイッチのセキュリティ確保(堅牢化、パッチ適用等) 偽コントローラーへの誘導 (ARP Poisoning等による) TLSによる証明書に基づいた接続先の認証 (適切な運用管理が必要) 責任追跡性 各種ログの抹消 (システム侵害による) スイッチのセキュリティ確保(堅牢化、パッチ適用等) 信頼性 システムへの侵入 (脆弱性攻撃、なりすまし等による) スイッチのセキュリティ確保(堅牢化、パッチ適用等)
  • 22. Fourteenforty Research Institute, Inc. Confidential ④コントローラー 22 想定される脅威 対策/備考 機密性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 完全性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 可用性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) スイッチからのDoS攻撃 スイッチのセキュリティ確保 (スイッチが侵害されている前提) 他ノードからのDoS攻撃 攻撃を考慮したフローエントリーの作成、適用 ハードウェア/ソフトウェア障害 システムの冗長化 真正性 なりすましによるシステムへの侵入 コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 偽スイッチへの誘導 (ARP Poisoning等による) TLSによる証明書に基づいた接続先の認証 (適切な運用管理が必要) 責任追跡性 各種ログの抹消 (システム侵害による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等) 信頼性 システムへの侵入 (脆弱性攻撃、なりすまし等による) コントローラーのセキュリティ確保(堅牢化、パッチ適用等)
  • 23. Fourteenforty Research Institute, Inc. Confidential 脅威の発生源 まとめ 23 • スイッチ及びコントローラーのセキュリティ確保、セキュアチャネルのTLS利用は必須 – スイッチ、コントローラの設置個所によってはリスクになり得る • スイッチ、コントローラーともに(ハードウェア実装の場合でも)ソフトウェア部分が 存在するため従来通り技術、運用面での対策が重要 • 特にコントローラーは、単一障害点になるため留意が必要 コントローラーの侵害 スイッチの侵害 セキュアチャネルの侵害 フローエントリーの侵害 NW環境の侵害
  • 24. Fourteenforty Research Institute, Inc. Confidential • Smurf攻撃(#1)やDNSアンプ攻撃(#2)のように細工したパケットをNW上に 送信することで意図的にコントローラーへのDoS状態が発生する状況を 作り出せないか? – 大量のPacket-inの生成 – 大量のFlow-Removedの生成 – 大量のPort-Statusの生成、等 • 様々なパケットの送信によるフローエントリーのリモート推測 • スイッチ、コントローラー個別の実装の調査(設計、実装等) • 実際の運用から見たセキュリティ上の問題、課題 – フローエントリーにおけるロジックエラー等 今後調査すべき項目 24 #1 http://www.ipa.go.jp/security/ciadr/crword.html#S #2 http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html
  • 25. Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 25
  • 26. Fourteenforty Research Institute, Inc. Confidential 1. 書籍 a. クラウド時代のネットワーク技術 OpenFlow実践入門 (ISBN-10: 4774154652) 2. オンライン a. Openflow Networking Foundation https://www.opennetworking.org/ b. OpenFlow Switch Specifications version 1.0.0 http://www.openflow.org/documents/openflow-spec-v1.0.0.pdf c. SDNのセキュリティ / Inter-Domain Routing Security 23 http://irs.ietf.to/wiki.cgi?page=IRS23 参考情報 26
  • 27. Fourteenforty Research Institute, Inc. Confidential 1. はじめに 2. OpenFlow概要 – Software Defined Network(SDN)及びOpenFlow – 背景及び周辺状況 – 技術概要 – コントローラー及びスイッチの実装例 – OpenFlowネットワークの構成例 – 実際の通信例 3. OpenFlowネットワークに想定される脅威 – 脅威分析 – ①フローエントリー / ②NW環境 / ③スイッチ / ④コントローラー – まとめ – 今後調査すべき事項 4. 参考情報 5. 謝辞 Agenda 27
  • 28. Fourteenforty Research Institute, Inc. Confidential 本調査に当り協力・助言頂いた下記の方にこの場をお借りして 心より御礼申し上げます(ヒアリング実施順に記載) NTTコミュニケーションズ(株)畑田充弘様、渡辺渉様、古澤徹様 NTTアドバンステクノロジ(株)深澤友雄様、伊藤光恭様、大嶋寛様、酒井清隆様 日本電信電話(株)NTTセキュアプラットフォーム研究所一同様 謝辞 28