Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2015-ShowNetステージ-BGPFlowspec

ShowNet
PRO
July 01, 2015
Technology
0
7

 2015-ShowNetステージ-BGPFlowspec

ShowNet
PRO

July 01, 2015
Tweet

More Decks by ShowNet

See All by ShowNet
ShowNetの歩き方 2023
shownet
PRO
0
5
ShowNet2023 Topology
shownet
PRO
0
320
ShowNet2023 External
shownet
PRO
0
20
【shownet.conf_2023】ShowNetのネットワークを解説~最新鋭の技術で作るマルチテナントバックボーン~
shownet
PRO
0
1.4k
【shownet.conf_2023】ローカル5Gサービス提供への挑戦とその知見
shownet
PRO
0
1.4k
【shownet.conf_2023】パフォーマンス計測と詳細分析を組合わせた監視基盤の実現
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNet を効率良く試験するために
shownet
PRO
0
1.6k
【shownet.conf_2023】ShowNet2023 伝送報告
shownet
PRO
0
1.7k

Other Decks in Technology

See All in Technology
Rustで「プリズモイダル法」を利用して「土量計算」をガチでやる
nokonoko1203
1
310
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
400
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
2.7k
実例で紹介するRAG導入時の知見と精度向上の勘所
yamahiro
5
1.7k
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
2
320
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
340
2023年度にEMとして頑張ったこと
ikefukurou777
0
100
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
2
140
競技としてのKaggle、役に立つKaggle
yu4u
6
2.4k
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
1
120
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.4k

Featured

See All Featured
The Pragmatic Product Professional
lauravandoore
26
5.8k
Optimizing for Happiness
mojombo
370
69k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k
Building Better People: How to give real-time feedback that sticks.
wjessup
356
18k
Infographics Made Easy
chrislema
238
18k
The Language of Interfaces
destraynor
151
23k
Code Review Best Practice
trishagee
56
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
8
1.3k
Documentation Writing (for coders)
carmenintech
60
4k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
7
3.4k
Design by the Numbers
sachag
274
18k
How GitHub Uses GitHub to Build GitHub
holman
468
290k

Transcript

  1. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team これからのネットワーク セキュリティの武器としての

    BGP Flowspec ShowNet NOCメンバー 大久保 修一 NTTコミュニケーションズ 池田 賢斗 ShowNetがみせる

  2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2 ネットワークセキュリティ多層防御の重要性

    • SPAM, ウィルスメール • SSHブルートフォースアタック • OSやミドルウェア等脆弱性を ついた攻撃 • インターネットから受ける/ 発信されるDoSアタック • DNS/NTP等のampアタック トラフィックボリューム:比較的大 第三者通信への影響:比較的大 トラフィックボリューム:比較的少 第三者通信への影響:比較的少 バックボーンネットワークでの防御 エッジでのFW, IPS, セキュリティソフト等での防御

  3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3 ShowNet2015セキュリティ実装の全体像

    Internet Exchange Transit 出展社 端末 サーバ アクセス バックボーン External ISP Free Mitigation SDN IX BGP Flowspec NFV Mitigation ←ココ!

  4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4 4

    ISP Free Mitigation SDN-IX BGP Flowspec + 緩和装置 NFV

  5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5 BGP

    Flowspec(RFC5575)とは? • BGPでACL設定を網内のルータ群に配布可能 従来のACL設定は BGP Flowspecを使用 1台1台設定が大変・・ セキュリティアプライアンスとの連携も容易 RR BGP

  6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6 従来のDDoS防御手法

    Internet Exchange Transit 攻撃者 Route Reflector xFlowコレクタ RTBH(Remotely Triggered Black Hole Filtering)による方法 被害者 正常者

  7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7 従来のDDoS防御手法

    Internet Exchange Transit Route Reflector xFlowコレクタ 被害者 攻撃者 正常者 宛先IPアドレス単位での制御 → 正常な通信もストップしてしまう

  8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8 BGP

    Flowspec(RFC5575) • BGPのNLRIにきめ細やかな情報を追加しルータにイ ンストール。これによりルーティングとACLの融合 が可能に。 Type 1 - Destination Prefix Type 2 - Source Prefix Type 3 - IP Protocol Type 4 - Source or Destination Port Type 5 - Destination Port Type 6 - Source Port Type 7 - ICMP Type Type 8 - ICMP Code Type 9 - TCP flags Type 10 - Packet length Type 11 - DSCP Type 12 - Fragment

  9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9 BGP

    Flowspec(RFC5575) • マッチしたパケットに対するアクションは、以下を 指定可能。 ・ Rate-limit ・ Drop (Rate-limit=0を指定) ・ VRFへのリダイレクト ・ DSCPマーキング ・ サンプリング/ロギング

  10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 10 BGP

    Flowspecによる防御 Internet Exchange Transit Route Reflector xFlowコレクタ 被害者 攻撃者 正常者 攻撃者の情報と正常者の情報を分けてフォワーディング Dest IP: a.a.a.a Source IP: b.b.b.b Dest port: 80 Source port :1900 Dest IP: a.a.a.a Source IP: c.c.c.c Dest port: 80 Source port :2345 BGP Flowspec対応

  11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11 ShowNetでの取り組み#1

    • 各ルータの基本実装を検証 Cisco ASR9900 Huawei NE5000E Juniper MX480 TestCenter By 東陽テクニカ様 TestCenter 処理済パケット ※ TestCenterは実際は1台です。 BGP

  12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12 テスト結果イメージ

  13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13 テスト結果イメージ

    経路広告から転送処理反映までの時間 細かい挙動の違いはあるものの、総じて問題ないことを確認

  14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14 ShowNetでの取り組み#2

    • xFlowによりDDoSの発生を瞬時に検出 • BGP Flowspecにより、自動でフィルタルールを生成 • セキュリティアプライアンスにトラフィックをリダ イレクト • 悪意のあるトラフィックを遮断

  15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 15 デモンストレーション

    〜デモ設定〜 疑似攻撃者 Webサーバ (victim) DDoS緩和装置 Cisco ASR9900 Huawei NE5000E Juniper MX480 トラフィック情報 (xFlow) 攻撃検知 BOTへの指示 GEIKO:C&C BOTへの指示 ① Route-Reflector DDoS攻撃 DDoS攻撃 Juniper vMX !? 正常通信

  16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16 疑似攻撃者

    Webサーバ (victim) DDoS緩和装置 Cisco ASR9900 Juniper MX480 攻撃検知 BOTへの指示 GEIKO:C&C BOTへの指示 ① Route-Reflector DDoS攻撃 DDoS攻撃 Juniper vMX Huawei NE5000E flowspec 経路広告 ② デモンストレーション 〜対処シナリオ〜 ③ ♪ 正常通信 攻撃のみを除去し、 正常通信は戻す ④ VRF リダイレクト

  17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 17 デモンストレーションをごらんください

  18. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18 Thank

    you