ネットワーク診断システムの研究 研究テーマ

スケーラブルパケットキャプチャシステムの研究

パケットキャプチャシステムは,インターネットの特性を計測し診断するための基本的なツールです. たとえば,図1に示すように,データセンタ,バックボーン,IX(インターネットエクスチェンジ),スパコンセンタなど様々なところで, その用途に応じてネットワークを監視・診断するための基本的な道具立てとなります.それぞれ,サービス応答時間の異常,VoIPや映像ストリームのデータ欠損, 経路異常,流入トラヒック異常の原因究明などのために必要となります. また,一般のオフィスや学校などでも,ネットワークへの侵入やネットワークのサービス停止を狙った攻撃を発見し, 被害の発生を抑えるためにも欠かせない基本的なツールです. さらに,ルータ,スイッチなどのネットワーク装置の開発や試験においても欠かせないツールでもあります.

図1: パケットキャプチャシステムを用いたネットワーク診断

 従来,図1に示したような超高速ネットワークでは,長期的,系統的なネットワーク監視は困難であるため,短期的,部分的な観測結果に基づいて, サービス異常に対する診断を行ってきました.

 本研究では,長期的,系統的なネットワーク監視を可能にするため,超高速ネットワークの運用,制御,管理のための基盤技術として, ギガビットクラスの超高速インターネットを多地点で定常的に監視できるパケットキャプチャシステムの実現を目標にします. 具体的には,パーソナルコンピュータ(PC)の通信機構として,パケットの選択的収集機能を備えたネットワークインタフェースを設計開発し, ネットワーク監視システムを構築します.また,複数の監視システムが協調的に動作し,互いの監視結果を有機的に結び付けて分析する機構を実現します. これにより,複雑な超高速インターネットの動作状態を正確に把握することを可能にし,超高速ネットワークの運用,制御,管理を容易にします. さらに,超高速ネットワークに対して,多地点での定常的な監視機構によりはじめて実現可能になる,運用,制御,管理のための新たな技術の開発に挑戦します.

 GbE(Gigabit Ethernet), 10GbE, 2.5G POS(Packet Over Sonet),10G POSを対象に,以下の意味でスケーラビリティが高いキャプチャシステム  (スケーラブルパケットキャプチャシステムSPACEと呼ぶ)の実現を目指します.

  • 速度: ネットワーク回線の高速化に対応できる
  • 場所: 観測地点の数の増大に対応できる
  • 時間: 観測時間の長期化,および定常観測に対応できる
  • 条件: キャプチャすべきパケットを選択する条件の数の増大に対応できる

 具体的には,以下のような研究に取り組んでいます.

  1. サービス異常に係わる可能性のあるパケットを選択するためには,木目細かくパケットを分類する必要があります.このような要求に応えるために,パケットヘッダの内容とパケットの数量に基づき,パケットを選択してキャプチャする機能を実現します.また,パケットを受信後直ちに分類して高速通信に対応できるようにするために,パーソナルコンピュータの通信機能の一部として搭載可能な,高速でコンパクトなオンチップ・パケット分類器を実現します.この分類器は,図2に示すように,近似的空間分割型パケット分類法とスライド式パケット計数法によりパケットをハードウェアでパケットを近似的に選択し,さらにソフトウェアでノイズを取り除くことにより,木目細かい分類と高速化を両立させています.
  2. 多地点で協調的にパケットを観測し,結果を有機的に結び付けるために,各地点の観測装置に搭載するミドルウェアとして,モニタリング・カーネル(Mカーネル)を実現します.Mカーネルは,パケットの収集,他のMカーネルとの同期・通信など,観測と結果の結合のための基本命令を,観測装置のOSやパケットキャプチャ機能の異種性を隠蔽した形で提供します.これにより,異常究明のための診断プログラムを利用者の要求に応じて様々な形式で実現することを容易にします.

図2: スケーラブルパケットキャプチャシステム(SPACE)

ネットワークアクセス監視機能の設定検証システムの研究

安全で安定したネットワークを実現するためには,ネットワークアクセスに対する制御,監視,診断の機能(NAI(Network Access Inspectors)が不可欠です.NAIには,ファイアウォール,パケットキャプチャ,侵入検出システムなどがあります.ネットワークの規模が大きくなると, NAIはネットワーク内に多数分散して存在し,それぞれ異なる管理者により設定されるようになります.このような場合には,相互の影響も考慮して注意深く各NAIの設定ファイルを作成する必要があります.また,実際のネットワークの構成は刻々と変動するので,管理者はそれに応じて設定を更新しなければなりません.このため,NAIの設定を正しく維持する作業は困難であり,豊富な経験を有するネットワーク管理者が多大な時間を費やしても,いわゆるセキュリティホールとして問題が残される場合があります.本研究では,このような問題に対処するため,ネットワーク全体のアクセス制御方針をセキュリティポリシーとして宣言的かつ形式的に記述できるようにし,さらに,セキュリティポリシーに基づいてNAI が正しく設定されていることを検証するシステム(NAI整合性検査システム)の実現を目指しています.

 従来,多くのセキュリティポリシーは,自然言語によって記述されています.このため,管理者にとって比較的理解しやすい記述になりますが,記述にあいまい性が生じる場合があります.また,記述の抽象度が高いため,セキュリティポリシーに基づいて設計されたAISの設定の妥当性を検査することは困難な作業になります.一方,IPアドレスやポート番号などの具体的なパラメータを用いてセキュリティポリシーを記述すると,あいまい性を除去することはできますが,記述量が多くなるとともに,詳細になりすぎて管理者が理解困難になります.さらに,ネットワークの構成要素が変動するたびにセキュリティポリシーを変更する必要があるとともに,同様のセキュリティポリシーに従いたくてもネットワークの構成が異なるとそのセキュリティポリシーをそのまま用いることができません.このため,具体的なパラメータを用いてセキュリティポリシーを作成し保守する場合に多大な労力を要することになります.

 本研究では,セキュリティポリシーの記述言語とAIS設定検証システムを用いることにより,管理者はネットワークの詳細や個々のツールの設定を知らなくても,セキュリティコントロールの状態を容易に理解できるようにします.また,ネットワークの構成が変化しても変更の必要がない,あるいは,同じ方針で運用したい場合にはネットワーク構成が異なる場合にも,同じセキュリティポリシーを適用可能にします.この結果,セキュリティポリシーに基づいてすべてのNAIを設定することにより,個々のNAIに対して個別に設定するよりもセキュリティホールが生じにくいネットワークが実現可能になると期待できます.

 具体的には,図3のような構成により,以下の機能の実現に取り組んでいます.

図3: ネットワークアクセス監視機能の設定検証システム

[機能1] ポリシーリフレクタ機能:セキュリティポリシーを実ネットワークに映し出し,ネットワークのノードの属性(Webサーバ等のサービス種別やIPアドレス等)と接続関係などを用いて,セキュリティポリシーを抽象度の高い記述から,IPアドレスとポート番号を用いた具体的なアクセスコントロールのルール(このルールを反射ポリシーと呼びます)に変換します.ノードの属性と接続関係をポートスキャンやSNMP等により定期的に収集してネットマップを作成し,反射ポリシーを一定間隔で更新することにより,ネットワークの構成要素の変動によって生じる設定ファイルの不整合を検出することを可能にします.

[機能2] 反射ポリシーの妥当性検査機能:反射ポリシーが具体化された表現であることを利用して,反射ポリシーにおける矛盾,冗長,不足を検出します.また,これらの問題を引き起した原因を遡求することにより,セキュリティポリシーにおける矛盾,冗長,不足を検出します.これにより,セキュリティポリシーの抽象度が高いために生じる,矛盾,冗長,不足の検出が困難であるという問題を解決して,セキュアなネットワークの実現を可能にします.

[機能3] 反射ポリシーと設定ファイルの比較検証機能: NAIの設定ファイルの内容を実ネットワークに存在するホストの属性と接続関係により,反射ポリシーと同様の記述形式を持つルールへと変換し,反射ポリシーと比較検証します.これにより,セキュリティポリシーと設定ファイルを直接比較検証した場合には検出できない,ネットワークに実際に存在するのに設定ファイルで記述されていないサービス,あるいは,ネットワークに実際には存在しないのに記述されているサービスがあるといった,設定の不足や冗長を検出可能にします.このとき,各NAIの設定の意味を空間的,かつ宣言的に表現し,その表現を用いて比較検証する手法を開発します.これにより,ネットワーク管理者は,NAIの動作手順を追いかけることなく,各NAIの相違や相互作用を容易に理解できるようになります.

研究成果
TOPへ

コメントを残す

メールアドレスが公開されることはありません。