Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ShowNetの安定稼働を支えるネットワーク品質検査

ShowNet
February 22, 2023
470

 ShowNetの安定稼働を支えるネットワーク品質検査

ShowNet.conf_ での講演資料

ShowNet

February 22, 2023
Tweet

More Decks by ShowNet

Transcript

  1. テスター分科会のテーマ Tester • DX時代のShowNetに戦いを挑むテスターチーム - 2022 • プロトコルエミュレーションで相互接続したバックボーンの健全性確認 • ShowNetから自動生成したトラフィックを活用したテストシナリオ

    • ワールドワイドの実攻撃キャンペーンを模擬したセキュリティ対策の有効性確認 • 働く場所に依存しないセキュリティサービス、SASEの有効性を検証
  2. 試験内容 Tester • バックボーン試験 • ステートレストラフィックによるパフォーマンス測定 • IS-IS/SRv6によるコアルーターとの相互接続 • コネクション/スループット試験

    • ステートフルトラフィックによるパフォーマンス測定 • アプリケーショントラフィックによるパフォーマンス測定 • セキュリティ試験 • マルウェア/エクスプロイトの検知 • キルチェーン/MITRE ATT&CKの識別 • (トライアル)リモートアクセスサービスとの相互接続とSASE検証 • クラウド試験 • 脆弱性アセスメント
  3. コントリビューション頂いた機器 Tester コントリビューター 提供機器 プラットフォーム カテゴリ 用途 NTTアドバンステクノロジ様 ROMEmini --

    L1-SW (ファシリティ) 日本ヒューレット・パッカード様 ProLiant DL385 Gen10 Plus -- Server (仮想テスター) スパイレントコミュニケーションズ様 Polatis 6000 -- L1-SW (ファシリティ) Security Labs -- Security 脆弱性アセスメント アイビーシー様 tenable.io 仮想 Security 脆弱性アセスメント 東陽テクニカ様 TestCenter 物理 L2-L3 バックボーン試験 CyberFlood CF20 物理 L4-L7 / Security セキュリティ試験 CyberFlood C200 物理 L4-L7 / Security セキュリティ試験 CyberFlood Virtual 仮想 L4-L7 / Security クラウド試験 フォーティネット様 FortiTester 3000E 物理 L4-L7 / Security セキュリティ試験 FortiTester VM 仮想 L4-L7 / Security セキュリティ試験 キーサイト・テクノロジー様 IxNetwork VE 仮想 L2-L3 バックボーン試験 IxLoad VE 仮想 L4-L7 セキュリティ試験 BreakingPoint VE 仮想 L4-L7 / Security セキュリティ試験 CyPerf 仮想 L4-L7 / Security クラウド試験 ThreatSimulator 仮想 Security セキュリティ試験 Application Server -- Server (仮想テスター)
  4. テスターポートの配置 Tester 400GE 100GE 10GE L4-L7 and Security Tester L4-L7

    and Security Tester Server for Virtual Tester Media Converter Layer 1 Switch Virtual Tester High-Speed Ethernet Tester
  5. ベンチマーク - 400GE Tester • バックボーンの各区間で十分な帯域が確保できていることを確認 • 400GE区間は片方向390Gbps(双方向780Gbps) • 100GE区間は片方向90Gbps(双方向180Gbps)

    補足:コントロールおよび常時トラフィックが存在するため、 400Gbpsの帯域を埋める試験はあえてやっていません。 ne8000-x4 ncs57b1 ptx10k
  6. Hall4 • エッジからバックボーン区間で期待値以上のスループットが得られるか確認 • 全ホール/全ファイアウォール/全CGNを通る経路 Hall6 ベンチマーク - HTTP/HTTPS Tester

    Firewall A Firewall B CGN IPv4 / IPv6 Hall 4/5/6 hall version type firewall nat A IPv4 Global Firewall A Private Firewall A CGN IPv6 Global Firewall A Private Firewall A CGN Hall5 hall version type firewall nat A IPv4/IPv6 Global Firewall A Private Firewall A CGN ShowNet 2022 のテストパターン これまでのテストパターン
  7. • 全ホールから安定したスループットが得られることを確認 • IPv4 : IPv6 = 5 : 5

    • HTTP : HTTPS = 3 : 7 • Throughput = 2Gbps(IPv4 : IPv6 = 1Gbps : 1Gbps) ベンチマーク - HTTP/HTTPS Tester hall version type firewall nat result 4 IPv4/IPv6 Global Firewall B OK Private Firewall B CGN OK 5 IPv4/IPv6 Global Firewall A OK Private Firewall A CGN OK 6 IPv4/IPv6 Global Firewall A OK Private Firewall A CGN OK
  8. • アプリケーショントラフィックの活用には考慮すべき点が多数 • ファイアウォール/CGNの設定 • 使用するIPアドレスの数 • アプリケーション(フロー)あたりのデータ量 ベンチマーク -

    アプリケーション Tester 約40Mbpsのスループット コネクションエラーが多発 比較として他のテスターのアプリケーショントラフィック(テンプレート)で試験 (スループットは1Gbpsを達成) 試験開始時が不安定 試験開始時から安定 Firewall Y Firewall Z
  9. エクスプロイト/マルウェア検知 Tester • エクスプロイトやマルウェアが検知/遮断できるか確認 Firewall A Firewall B CGN Hall

    4/5/6 version ipv4 test 1 test 2 Firewall A Global Web Server Web Application Private Web Server Web Application Firewall B Global Web Server Web Application Private Web Server Web Application セキュリティトラフィック Keysight Threat Simulator Web Server/Application Security per 1 hour version ipv4 test 1 test 2 Firewall A ipv4 (and ipv6) exploit malware Firewall B ipv4 (and ipv6) exploit malware 昨年のShowNetからからShowNet2022までに 観測されたエクスプロイト/マルウェア
  10. エクスプロイト/マルウェア検知 Tester • Firewall A/B共に攻撃トラフィックが検知/遮断できることを確認 ipv4 type blocked allowed ShowNet

    ipv4 (and ipv6) exploit/malware 85.2% 14.8% 昨年のShowNetからからShowNet2022までに 観測されたエクスプロイト/マルウェア
  11. エクスプロイト/マルウェア検知 Tester • 会期中もセキュリティ機能が継続的に動作していたことを確認 ipv4 type blocked allowed ShowNet ipv4

    Web Server/Application Security 100% -> 100% 0% -> 0% Keysight Threat Simulator Web Server/Application Security per 1 hour
  12. ベンチマーク - スループット/遅延 Tester • East/West共に安定したスループットを確認 • リージョンの違いがレイテンシに影響 vendor throughput

    latency (connection) security east A over 100Mbps 7.30 mSec -- east B over 100Mbps 6.65 mSec -- east C over 100Mbps 5.23 mSec 83.6% vendor throughput latency (connection) security west A over 100Mbps 110.0 mSec -- west B over 100Mbps 109.2 mSec -- west C over 100Mbps 108.7 mSec 83.6% セキュリティ試験 スループット試験
  13. ベンチマーク - スループット/遅延 Tester • スループットの目標値を1Gbpsとして試験 vendor throughput (limit :

    300Mbps) throughput (limit : 1Gbps) east A 200Mbps 200Mbps east B 600Mbps over 800Mbps east C 600Mbps over 800Mbps 600Mbps 帯域制限(片方向:300Mbps) 帯域制限(片方向:1Gbps) over 800Mbps 帯域制限(片方向:300Mbps) 帯域制限(片方向:1Gbps) 200Mbps (変化なし) 200Mbps (帯域制限まで届かず)