Format Template for Marketing Papers

ホワイトペーパー
サービスプロバイダ・ネットワークの
セキュリティ
ネットワークインフラと利用者へのセキュリティ
アラン・サーデラ
プロダクト・マーケティング・マネージャ
ジュニパーネットワークス株式会社
〒163-1035 東京都新宿区西新宿 3-7-1
新宿パークタワー N 棟 35 階
電話 03-5321-2600
FAX 03-5321-2700
URL http://www.juniper.co.jp
Part Number: 200180-002 JP 2006 年 12 月
サービスプロバイダが保有するネットワークのセキュリティ強化
目次
要約 ...................................................................................................................................... 4
ネットワークの弱点は最大の利点となる ................................................................................. 5
ソーシャル・エンジニアリングとしてのスパム ........................................................................... 5
マネージド・セキュリティ・サービスを見越した購入................................................................... 7
ネットワークインフラのセキュリティ強化 .................................................................................. 7
管理作業の概要............................................................................................................ 7
ルーターのコントロールプレーンとデータプレーンの保護 ................................................ 8
フィルタリング-ルーターを見えなくする ......................................................................... 9
ラインレートのパケットフィルタリング .................................................................... 10
厳格なパケット分類 ............................................................................................. 10
ネストしたフィルタチェーン.................................................................................... 10
高度なパケットフィルタリングと拡張性 .................................................................. 11
トラフィック制御-ルーターを触れさせないようにする.................................................... 12
ステートフルフィルタ-感染したホストからネットワークを保護する ................................. 13
ルーティングプロトコルのセキュリティ強化 .................................................................... 13
IP/MPLS のセキュリティ強化 ....................................................................................... 13
ユーザーとサーバーのセキュリティ強化 ............................................................................... 14
マネージド・セキュリティ・サービス - 高収益が期待できるビジネスチャンス .................... 14
ユーザーとアプリケーションの保護............................................................................... 14
uRPF による送信元アドレスの検証 ............................................................................. 15
リアルタイム・トラフィック解析とステートフル・ファイアウォールの統合 ........................... 16
ネットワークコントロールプレーンへのポリシー実装 .............................................................. 17
動的な脅威緩和ソリューションの使用........................................................................... 17
BGP 分散トラフィックフィルタによる攻撃の緩和............................................................ 18
結論 .................................................................................................................................... 19
参考資料............................................................................................................................. 19
ジュニパーネットワークスの Web キャスト放送............................................................. 19
2
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
ジュニパーネットワークスが発行するホワイトペーパー.................................................. 19
NRIC(Network Reliability and Interoperability Council) ....................................... 20
北米ネットワークオペレーターズ・グループ(NANOG) ................................................... 20
大規模な ISP IP ネットワークインフラの運用上のセキュリティ(RFC 3871) .................... 20
OPSec: IP ネットワーク運用のセキュリティ機能........................................................... 20
Copyright © 2006, Juniper Networks, Inc.
3
サービスプロバイダが保有するネットワークのセキュリティ強化
要約
サービスプロバイダが現在の環境で成功するには、利用者が世界中のユーザーと通信できるよう、簡
単にアクセスできるオープンな通信アーキテクチャに基づいて通信サービスを提供する必要がありま
す。拡張性に優れたオープンな通信アーキテクチャは、利用者に通信サービスを制限なく提供する事
が可能です。しかし、オープンなアクセスを利用して、金銭を不正に奪い取る、もしくはそれと同等の利
益を得ようとするハッカーにとって、このようなネットワークは絶好の標的になります。
現在のネットワーキング・プラットフォームは、世界中に分散しているため、ハッカーを撃退する有効な
手段が少ないことも事実です。ハッカーが攻撃に成功すると、サービスプロバイダと顧客が、その代償
を負うことになり、大きな経済的負担となります。
その結果、過去数年間でセキュリティ対策が大きくクローズアップされるようになりました。現在では、
ネットワークが攻撃を受ける頻度ではなく、ネットワークが今現在何件の攻撃に晒されているかが問題
なのです。ネットワークが絶えず攻撃されている事実を真剣に受け止めるならば、セキュリティ対策を
継続的に実施する必要があります。
つまり、通信事業者は、顧客にサービスを提供する一方で、ネットワークのセキュリティを確保する必
要があります。特にデバイス面では、ネットワークのセキュリティとパフォーマンスは、これまでトレード
オフの関係にあるとされてきました。つまり、セキュリティを強化すれば、その半面パフォーマンスが低
下するとの見方が一般的だったのです。しかし、現在の通信環境では、この見解は通用しません。
サービスプロバイダにとってスループットを低下させずにセキュリティを強化するには、高度なセキュリ
ティ機能を備えたネットワーク機器を配置する必要があります。そのためにはパケットフィルタリングを
ワイヤーレートで実行する能力が不可欠で、コンテンツ・サービス・プロバイダともなると 10 万を超え
るフィルタリングのエントリを処理する必要があります。また、攻撃を実際に受け始めた場合には、パ
ケットフィルタリングを動的に設定し、効果的に実装する能力も要求されます。トラフィック制御機能を
使用して、トラフィックの帯域を制限し、優先度を付けたキューをルーターのデータプレーンとコントロ
ールプレーンに実装することも重要な対策です。最後に、サービスプロバイダは、ネットワークのポリシ
ーレイヤを自動化して、脅威に対する緩和措置を動的に適用するツールも必要です。こうしたツール
は、専門的なサービス配信ポイントとルーティング・ソフトウェアに実装されています。
セキュリティはサービスプロバイダだけの問題ではありません。企業は自社のネットワークを支店、リ
モートワーカー、ビジネスパートナー、サプライヤー、ベンダー、顧客にさえ開放する一方、重要な業務
情報や財務情報をハッカーや権限のないユーザーから保護しなければなりません。
セキュリティの脅威は経済的に非常に大きな損害を顧客に与えます。米調査会社 Infonetics
Research 社が 2005 年に発表したレポートによると、企業はネットワークのダウンタイムにより年間収
益の平均 3.6%に相当する被害を受けています。ダウンタイムの一因は、ネットワーク機器の故障に
あります。不正アクセスによる被害額も膨大なため、企業はネットワーク・セキュリティの強化により一
層力をいれています。米国で医療保険の相互運用と説明責任に関する法律(HIPAA)、GrammLeach-Bliley 法(GLBA)、Sarbanes-Oxley 法(SOX)などの産業法規が策定されたこと、また世
界各国で同様の法令が施行されたことを受けて、企業は個人情報を管理する新しいポリシ
ーを導入することを余儀なくされています。こうした傾向に加えて、24 時間 365 日体制でネ
ットワークを監視し、新しい脆弱性を検出するコストが非常に大きいため、セキュリティ対策
を自社で行うことに対し、難色を示す企業が増えています。
大企業を中心として、多くの企業は、マネージド・セキュリティ・サービスを将来のビジネスチャンスとし
て捉えています。*1 マネージド・セキュリティ・サービスには、既存のセキュリティ機能の補強をサービ
スプロバイダに依頼する形態を始め、企業がセキュリティ対策をサービスプロバイダに一任するケー
スもあります。どのようなサービス形態にせよ、ファイアウォール、侵入検知防御、動的な脅威緩和を
マネージド・セキュリティ・サービスとして提供することは、サービスプロバイダにとって大きな収益源と
なります。米ガートナー社の調査によると、マネージド・セキュリティ・サービスは、マネージドサービス
部門で急成長が見込まれており、今後数年間で約 20%成長すると予測されています。*2
*1 「Survey of Enterprise Purchasing Plans」 Heavy Reading Vol. 2.、No. 28、2004 年 12 月
*2 Joanne VanAukenの「Managed Security Service Providers : Hired Guns」を参照。
http://www.networkcomputing.com/showArticle.jhtml?articleID=191203015
4
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
そのため、通信事業者は、高度なセキュリティ機能を備えた通信機器を導入すれば、自社が保有する
ネットワークインフラのセキュリティを強化できるだけでなく、高収益が期待できる新しいサービスも提
供できるようになります。しかし、そのためには、加入者ベースのセキュリティサービスをサポートし、
通信機器全体で互換性を確保したセキュリティ機能が必要です。こうした機能をあらゆるネットワーク
要素に提供できるベンダーは、ジュニパーネットワークスだけです。
セキュリティ対策は長期的な課題であるため、サービスプロバイダはセキュリティ戦略を作成し、スタッ
フを充分に教育する必要があります。このホワイトペーパーでは、DoS(サービス不能)攻撃を始めとす
る、ネットワーク上のさまざまな脅威に対応するツールと実践方法や、セキュリティ技術をマネージド・
セキュリティ・サービスとして企業顧客に提供する方法について紹介します。また、サービスプロバイダ
のセキュリティ強化に関係する参考資料を巻末にまとめました。このホワイトペーパーで紹介する調査
報告、RFC を含むインターネット上の技術文書からの引用です。これらのリンクは、最後のページに
掲載してあります。
ネットワークの最大の利点は最大の脅威
サービスプロバイダが現代の環境で成功するには、エンドユーザーが世界中のユーザーと通信できる
よう、簡単にアクセスできるオープンな通信アーキテクチャに基づいて通信サービスを提供する必要
があります。企業顧客も同じです。企業は自社のネットワークを支店、リモートワーカー、ビジネスパー
トナー、サプライヤー、ベンダー、顧客に開放する一方、重要な業務情報や財務情報をハッカーや権
限のないユーザーから保護しなければなりません。
拡張性に優れたオープンな通信アーキテクチャは、利用者に無限に通信サービスを提供する事が可
能ですが、その一方で、ハッカーにとって絶好の標的となります。
エンドユーザーに安価なアクセスを提供するネットワーキング・サービスは、その性質上、不正な侵入
を試みるハッカーにも絶好の機会を与えます。現在、業界標準のコンピューティング・プラットフォーム
が世界的に分散しているため、ネットワークの脆弱性も大きくなります。こうした環境では、1 台のホス
トがウィルスに感染すると、瞬く間に 100 万台のホストが感染します。
現在のネットワーキング・プラットフォームは、世界中に分散しているため、ハッカーを撃退する有効な
手段が少ないことも事実です。ハッカーが攻撃に成功すると、サービスプロバイダと顧客が、その代償
を負うことになり、大きな経済的負担となります。
その結果、アンダーグラウンドなサイバー犯罪組織がはびこります。ハッカーがネットワークを攻撃す
るのは、主に金銭的理由です。現代社会には、ネットワークの脆弱性を利用した大規模な犯罪組織が
存在します。ネットワークへのアクセスが簡単で、攻撃を仕掛ける資金もほとんど必要なく、犯罪を防
止する法的措置も整備されていないことが、サイバー犯罪組織のはびこる原因になっています。しか
し、犯罪組織が暗躍するのは、エンドユーザーがスパムメッセージ等に騙されて、株、医薬品、その他
の商品を買うからではありません。地下のサイバー犯罪組織は、スパムメッセージの受信者を顧客で
はなく、商品として利用しています。
ソーシャル・エンジニアリングとしてのスパム
スパムはソーシャル・エンジニアリングを利用した攻撃です。エンドユーザーに商品を購入する意志が
なくても、ハイパーリンクをクリックしただけで、攻撃者の販売サイトにジャンプします。サイバー犯罪組
織は、ワンクリックで商品を購入できるサイトを利用して、サーバーやエンドユーザーにウィルスを送り
付け、ボットネットを構築して、一斉攻撃の踏み台として利用します。インターネット上では、ウィルスに
感染したコンピュータのリストが売買されています。
スパムに感染したコンピュータは、再販、卸売り、特価販売などを目的として売買されています。スパ
ムプロキシは、ホスト 1 台の設定料金が数ペニーです。DDoS 攻撃用ボットは、ホスト 1 台当たり 1 ド
ル、企業の最高経営者が保有するラップトップ PC は数千ドルの値が付いています。クレジットカード
のデータベースも売買されており、EBay や PayPal などの人気の高いオークションサイトのアカウント
さえ購入できます。*3
*3 「Organized Crime Invades」を参照。
http://www.computerworld.com/securitytopics/security/story/0,10801,95502,00.html?from=story_package
Copyright © 2006, Juniper Networks, Inc.
5
サービスプロバイダが保有するネットワークのセキュリティ強化
いずれにしても、不正アクセスは利益になるのです。ハッカーがスパムやマルウェアに感染したホスト
を使用して、ボットネット攻撃を仕掛ける方法を次図に示します。この図でも分かるように、攻撃者は複
数のネットワーク上で感染ホスト(ボット)を作り、それらを使用して、一斉攻撃を仕掛けるため、一個所
だけで防御することは不可能です。
ボットネット攻撃は、複数ソースの帯域を奪います。この攻撃には千台から 1 万台のボットが参加します。
*4 すべてのボットが 512 kbps で接続していると仮定すると、1 万台のボットは合計 5 Gbps のトラフィッ
クを標的に送りつけることになります。こうした大がかりな攻撃を防ぐには、膨大なフィルタリストを作成
しておき、攻撃が開始されたら、フィルタリストのアップデートを動的に配信する必要があります。
ボットが 512 kbps で接続すると仮定
・ ボット 100 台 = 50Mbps のトラフィックを標的に送信
・ ボット 1 万台 = 5Gbps のトラフィックを標的に送信
図1 高度な DDoS 攻撃-ボットネット
大半の大手サービスプロバイダは、1 か月に数十回の DDoS 攻撃を受けており、それに伴うサービス
の一時的な停止が報告されています。金融業界にとどまらず、サービスプロバイダを利用し、ネットワー
クを継続的に運用し、ユーザーにサービスを提供する企業は被害を受けています。運送業者、E コマー
スサイト、エネルギー関連企業も DDoS 攻撃によって大きな損失を被っています。サービスプロバイダ
の責任が問われるケースもあります。*5 そのため、サービスプロバイダは、セキュリティ対策を講じて、
DDoS 攻撃を監視し、自社のネットワークと顧客を保護する必要があります。
スパムプロキシとボットネットによるDDoS攻撃は、サイバー犯罪組織が、簡単にアクセスできるオープ
ンアーキテクチャのネットワーキング・プラットフォームを悪用した一例に過ぎません。ネットワークの脆
弱性と被害事例の詳細については、www.cert.org/statsをご覧ください。被害を受けた企業は、自社
の評判が落ちることを懸念し、被害を公表することで、新たな攻撃を生むことを恐れるため、大半は被
害が報告されていないことも事実です。*6
*4 ボットはスパム送信にも利用されます。電子メールの添付ファイルや偽の Web サイトを経由し、ユーザーの PC に侵入して、PC 上で稼働する
エージェントとしてメモリを常駐します。攻撃者は、制御チャネルを設定し、感染した PC を一斉攻撃に使用します。
5
* 詳細については、「Distributed Denial of Service Attacks: Who Pays?」 Margaret Jane Radin 著 Stanford Law School
(http://whitepapers.zdnet.co.uk/0,39025945,60021735p-39000424q,00.htm)をご覧ください。
6
* 詳細については、「2005 CSI/FBI Computer Crime and Security Survey」(オンライン版)をご覧ください。
6
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
マネージド・セキュリティ・サービスの利用
ネットワークがダウンすると、企業にとっては大きな経済的負担になります。また、米国で医療保険の相
互運用と説明責任に関する法律(HIPAA)、Gramm-Leach-Bliley 法(GLBA)、Sarbanes-Oxley 法
( SOX)などの産業法規が策定されたこと、および、世界各国で同様の法令が施行されたことにより、企
業は個人情報管理のための新しいポリシーの導入を迫られています。自社のネットワークを確実に保
護するためには、24 時間 365 日体制でネットワークを監視し、ネットワークの新しい脆弱性が発見され
た場合、迅速に対応するためのコストが発生します。その結果、あらゆる規模の企業は、サービスプロ
バイダからマネージド・セキュリティ・サービスを受けることを戦略的に緊急の課題と考えています。
多数の大企業は、将来の業務展開にとって、マネージド・セキュリティ・サービスが必須であるか、非
常に重要であると考えています。セキュリティ違反による被害額が増大しているため、こうした傾向は
今後も続くと思われます。マネージド・セキュリティ・サービスには、既存のセキュリティ機能の補強を
サービスプロバイダに依頼する形態から、企業がセキュリティ対策をサービスプロバイダに一任する
形態まで様々です。どのようなサービス形態を採用するにせよ、ファイアウォール、侵入検知防御、動
的な脅威緩和をマネージド・セキュリティ・サービスとして提供することは、大きな収益機会となります。
マネージド・セキュリティ・サービスによる収益は、2011 年までに、米国 20 億ドル、ヨーロッパ、中東、
アフリカ地域で 10 億ドルに達すると予想されています。*7
しかし、サービスプロバイダは、大きなビジネスチャンスを利用する前に、自社のネットワークインフラ
を防御しなければなりません。
ネットワークインフラのセキュリティ強化
サービスプロバイダにおけるネットワークのセキュリティは、ルーターと回線を守ることにあります。ハッ
カーがコアルーターに侵入すると、深刻な被害が生じます。ハッカーは、ルーターに侵入してネットワ
ークを停止させるだけでなく、それを「踏み台」にして、DNS サーバーから取得した Web サイト等の IP
アドレスを詐称し、財務情報などを盗みます。
幸いなことに、運用者は非常に厳格にルーターと回線のセキュリティを確保しているため、これらのセ
キュリティを確実に保護することができます。ネットワークインフラを保護するには、ルーターのコントロ
ールプレーンにトラフィックを送信することを許可された信頼のあるユーザーを除き、それ以外の不正
アクセスをパケットフィルタリングで破棄します。
このセクションでは、通信事業者が実施すべき基本的な管理作業を説明し、ネットワークインフラを保
護する具体的な方法を紹介します。
セキュリティ管理者の役割
ネットワーク管理者は、ベストプラクティスに従ってネットワークインフラのセキュリティを強化できます。
そのためには、最初にセキュリティとネットワーク管理ポリシーを作成して、ネットワーク・オペレーショ
ン・センター(NOC)を構築する方法を決めます。次に、NOC の構築方法を文書化し、さまざまな分野
の専門知識を持つスタッフでセキュリティチームを編成します。チームには、侵入検知防御、
OSPF(Open Shortest Path First)などの内部ルーティングプロトコル、BGP(Border Gateway
Protocol)などの外部ルーティングプロトコルに精通した専門家が参加します。セキュリティチームを編
成したら、スタッフの専門知識を充分に活用して、セキュリティポリシーを作成し、ネットワークに対する
攻撃を緩和するポリシーを実施します。セキュリティポリシーを即座に実施できるように、事前準備を
行って、DDoS 攻撃に備えます。
*7 Frost and Sullivan 社 2004 年
Copyright © 2006, Juniper Networks, Inc.
7
サービスプロバイダが保有するネットワークのセキュリティ強化
セキュリティポリシーを作成したら、パスワードの管理方法を検討します。多数のルーターは、残念な
がら、今でも製造業者の名称や簡単に推測できるパスワードを使用しています。*8 簡単に覚えられる
パスワードは、必ず突破されます。*9 ワンタイムパスワードはセキュリティ対策として有効です。ロギン
グも効果的です。セキュリティポリシーを作成したら、脆弱なコントロールプレーンを中心として、エッジ
ルーターとコアルーターを保護するポリシーを検討します。さらに、テレメトリ(遠隔測定ツール)を使用
して、トラフィックのパターンを監視して異常な活動を検出します。
次に、セキュリティチームは、NSP-SECフォーラム(www.nspsec.org)、DSHIELD Distributed
Intrusion Detection System(www.dshield.org)、Forum of Incident Response and Security
Teams(FIRST, www.first.org)などのセキュリティ対策コミュニティに参加することをお勧めします。セ
キュリティ関連フォーラムに参加すると、セキュリティ被害の一覧やベンダー向けセキュリティ対策ツー
ルを始めとして、セキュリティに対する脅威を検知して防御する貴重な情報が得られます。実際に攻撃
を受けた場合は、フォーラムのナレッジベースにアクセスして情報を収集すれば、既知の脅威からネッ
トワークを効果的に守り、被害を最小限に食い止められます。
セキュリティに対する脅威に関する情報をネットワーク業界の仲間と共有するほかに、顧客やベンダ
ーとのホットラインを確保し、攻撃が開始されたら、即座に連絡できるようにしておくことも大切です。
マネージド・セキュリティ・サービスは、ここでも大きな役割を果たします。マネージド・セキュリティ・サ
ービスを自社のサービスとして提供できれば、顧客が適切な措置を講じて、ネットワークインフラを保
護するできるため、ウィルスやワームなどのマルウェアが自社のネットワークに侵入する経路を塞ぐこ
とができます。
『Operational Security for Large ISP IP Network Infrastructure(大規模なISP IPネットワークインフ
ラの運用上のセキュリティ)』(RFC 3871)には、有益な管理手法が数多く紹介されています。*10 たとえ
ば、RFC 3871 では、アウトバンド(OOB)とインバンドの管理アクセスについて説明されています。
North American Network Operators’ Group(北米ネットワークオペレーターズ・グループ : NANOG)
のサイトには(www.nanog.org/ispsecurity.html)、セキュリティ対策のチュートリアルを始めとして、有
益な情報源が掲載されています。
ルーターのコントロールプレーンとデータプレーンの保護
ルーターのデータプレーンは、ギガビット単位のトラフィックを高速で転送します。コントロールプレーン
はルーティングプロトコルとネットワーク管理タスクを処理します。ルーター技術は長年に渡って発展し
てきました。その結果、経路プロセッサが処理するトラフィック量が増加したため、コントロールプレーン
とデータプレーンのリンクは、それに対応できるように高速化されました。しかし、インターネットと企業
のデータネットワーキングの発展に伴い、データプレーンのリンクは、より高速化されました。その結果、
コントロールプレーンとデータプレーンのリンクは、データプレーンのリンクを集約した速度を大きく下
回るようになりました(図 2 参照)。転送速度に大きな差が生じたことで潜在的な脆弱性が生まれ、ル
ーターのコントロールプレーンを標的にした大規模な DoS 攻撃が頻発するようになりました。
*8 ハッカーは、暗号化されたパスワードを解読するツールも使用しています。このツールは、暗号化されたパケットを権限のないユーザーが共有す
るシステムの脆弱性を利用しています。
*9 「Digital Security in a Networked World」 Bruce Schneier、Secrets、Lies 共著 John Wiley and Sons 2004 年
*10 「RFC 3871」を参照。RFC の入手先は、文書の最後に記載してあります。
8
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
コントロールプレーン
内部ネットワークの
帯域
約 100M
例: n×10G
例: n×10G
データプレーン
図2 コントロールプレーンの脆弱性
こうした攻撃を防御するには、パケットをコントロールプロセッサに送信するユーザーの権限を制限す
ることが大切です。不正なパケットがコントロールプロセッサに到達する前に破棄できれば、パフォー
マンスの低下を防げます。コントロールプロセッサのキューに優先順位を付けておくと、不正パケットを
特定のキューに隔離できるため非常に効果的です。*11 こうすれば正規のトラフィックを通過させ、不
正なトラフィックをブロックできます。
コントロールプロセッサのリソースを区画化することも有効です。この方法を採用すると、CPU とメモリ
をタスク単位で割り当てられます。たとえば、マルチキャスト攻撃が始まると、コントロールプロセッサ
には、偽のステート情報が大量に送信されてきます。こうしたケースでは、コントロールプロセッサの一
部を有効なトラフィック管理に割り当てて、ルーティングテーブルを保持することが大切です。*12
一方、データプレーンは簡単に保護できます。データプレーンの主な機能は、到着トラフィックをワイヤ
ーレートで受信して処理することであるため、入力インタフェースが不正なトラフィックに影響されない
ようにすることが大切です。回線速度と同じスピードでパケットにフィルタを適用するワイヤーレートの
パケットフィルタリングを使用すれば、不正トラフィックの影響を排除できます。帯域制御を適用するこ
とも有効です。帯域制御をかけると、正規ユーザーが送信したトラフィックに不正パケットが含まれて
いても、その影響を排除できます。このセクションでは、通信事業者がネットワークに配置したルーター
を保護する技術として、フィルタリングとトラフィック制御について説明します。
フィルタリング-ルーターを見えなくする
理論的に言えば、インターネット上では、少数のユーザーを除き、ルーターを見えないようにすること
が効果的です。原則として、ユーザーには必要なルーターだけを見えるようにします。このセクションで
は、その具体的な方法を紹介します。
• ラインレートのパケットフィルタリング
• 厳格なパケット分類
• フィルタチェーンのネスト
マルチサービス・ネットワークのセキュリティを強化するには、スループットに影響を与えずに、前記の
機能を完全にサポートするルーターが必要です。
*11 ルーターのオペレーティングシステムが複数のキューに優先順位を付ける機能をサポートしていない場合、代替策としては、キューのサイズを
大きくするほかありませんが、大きな効果は期待できません。
*12 ルーターはこれまで単一のプロセッサで制御と転送タスクを処理してきました。スループットを向上するには、制御プロセッサを完全に制御する
プロセスを許可するオペレーティングシステムを使用する必要があります。通常、ルーターのオペレーティングシステムはこのプロセスを許可す
るため、攻撃されやくなります。
Copyright © 2006, Juniper Networks, Inc.
9
サービスプロバイダが保有するネットワークのセキュリティ強化
ワイヤーレートのパケットフィルタリング
パケットフィルタリングは、コントロールプレーンとデータプレーンの両方を保護します。コントロールプ
レーンでは、送信先アドレスにルーターのアドレスが使用されているパケットを破棄します。この方法
は、基本的にステートフル・ファイアウォールであり、ルーターがステートフル・ファイアウォールをサポ
ートしていれば、高度なパケットフィルタを実現できるため、トラフィックをラインレートで処理できます。
攻撃をできる限り送信元付近で防ぐには、終端間で可能な限り近いポイント、つまり、コアルーターか
ら顧客構内に配置された装置近くでフィルタリングする必要があります。*13
こうしたパケットにフィルタを適用すると、エンドユーザーはルーターにトラフィックを送信できなくなりま
す。そのため、通信事業者はフィルタに穴を開けて、有効なルーティングプロトコルのトラフィックを通
過させる必要があります。たとえば、iBGP(Internal BGP)、OSPF、ISIS(Intermediate System-toIntermediate System)などの IGP が稼働する他の内部ルーター、および eBGP(external BGP)ピア
として機能する外部ルーター、境界ルーターは、絶えず他のルーターにアクセスします。ホストに直接
接続したネットワーク管理ホスト、および同じサブネット上のサーバーもルーターにトラフィックを送信し
ます。
フィルタを適用する場所も検討します。トラフィックがルーティングピアまたは正規の送信元から送出さ
れた場合、フィルタは、原則として、送信先アドレスがルーターのコントロールプレーンのパケットだけ
を通過させます。しかし、プロバイダが複数のネットワークを保有しており、各ネットワークのアドレス指
定方式に基づいて、フィルタを設定することは、パフォーマンスが急速に低下するため、実施が難しい
ことがあります。アドレス指定方式が制限されている場合、不正パケットの送信元付近に達するまで、
フィルタのアップデートを動的に配信すれば攻撃を素早く防げます。
以上の処置は、当然ながら、ルーターがパケットフィルタリングをワイヤーレートで実行できることを前
提にしています。ルーターの性能に制限があり、大量のエントリをワイヤーレートで処理できない場合
は、攻撃を受けたインタフェースを遮断するほかありません。この手法は「Completing the Attack(攻
撃完了)」とも呼ばれ、攻撃の拡大は抑止できますが、少なくとも一部のサービスが停止に追い込まれ
るため、攻撃は成功します。
厳格なパケット分類
マルチサービス・ネットワーク上で音声、ビデオ、データ、マルチメディア・サービスを効率的に提供す
るには、ルーターは宛先アドレスと送信元アドレスを参照するルーティングを超える機能を備えていな
ければなりません。マルチサービス・ネットワーキング環境が発展する中、基本ポリシーの割り当てと
パケットフィルタリングは重要性を増しています。データプレーンは、仮想私設網(VPN)や
MPLS(Multiprotocol Label Switching)のラベルスイッチパス(LSP)などの高度なトンネリングを高速
処理しなければならないため、大きな負担がかかります。そのため、ルーターのデータプレーンには、
より高度なパケット分類機能が要求されます。
パケットを正確に分類するには、複数のフィールドに基づくルーティングテーブル参照とパケットフィル
タリング機能が必要です。マルチサービス・ネットワークに対するニーズを満たすには、これ以外のパ
ケット転送とフィルタリング技術も必要です。たとえば、パケットのカウント、フィルタリング、監視制限、
ポリシーベースのルーティング、トラフィックのサンプリング、QoS、ルーティングテーブル参照などの
分類作業、フィールドと経路のマッチングを実行するアクションなどが要求されます。*14
ネストしたフィルタチェーン
複数のフィルタを鎖状にネストする機能は、マルチサービス・ネットワークでも重要です。ファイアウォ
ールフィルタをネストしたフィルタチェーンは、複数の場所で再使用できるのでメモリを節約できます。
*13 企業ネットワークからコアまでのルーティング装置で、この機能を完全にサポートしているのは、ジュニパーネットワークスの製品だけです。
*14 こうしたサービスを任意の順番で結合し、ネストした大量のフィルタチェーンを実行するジュニパーネットワークス独自の機能については、ホワイ
トペーパー「Efficient Scaling for Multiservice Networks」(www.juniper.net/solutions/literature/white_papers/200207.pdf)を参照してくださ
い。
10
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
フィルタチェーンは、ルーティングテーブルにフィルタを適用する技術により、連続的なフィルタリング機
能を提供します。ネストしたフィルタチェーンは、ジュニパーネットワークス製ルーター独自の機能です。
フィルタをネストすると、多数のアプリケーションが使用できます。たとえば、ネストしたフィルタの 1 つ
を使用して、プロトコルを再配布した後、IP アドレスのプレフィクスを調べます。一方、別のフィルタでア
サインされていないネットワークアドレスをブロックします。さらに、別のフィルタでは、インタフェースの
トラフィック量がしきい値に達した場合、トラフィック制御を適用します。トラフィックのカウントは、物理イ
ンタフェースと論理インタフェースで異なることがあります。いずれにしても、状況に応じて、ネストした
フィルタを作成して適用できます。
フィルタチェーンの主な用途は、ルーティングテーブルのフィルタリングです。ルーティングテーブルの
フィルタリング機能を使用する、MPLS VRF、インターネット、ルーターのコントロールプレーンなどの
経路指定にフィルタを個別に適用できます。
この機能の概念図を次に示します。
アイテム
フィルタ起動
エントリ
ネストしたフィルタを起動
フィルタ
エントリ
エントリ
ネストしたフィルタ
(サブルーチン)
エントリ
エントリ
次のフィルタを連続的に起動
(個別のルーティング・
インスタンスまたは FIB)
エントリ
エントリ
フィルタ
エントリ
エントリ
フィルタチェーンを継続
図3 ネストしたフィルタチェーンのフローチャート
高度なパケットフィルタリングと拡張性
マルチサービス・ネットワークが継続的に拡大する中、サービスプロバイダにとっては、ネットワークの
拡張性が大きな問題となります。拡張性は基本的にパケットを処理するパケット転送エンジン(PFE)の
性能に依存します。
コアネットワークを構成するデバイスは、トラフィックにフィルタを適用し、ポリシーを設定できなければ
なりません。インタフェースがサポートするファイアウォールフィルタが増えるほど、コアネットワークを
通過するトラフィックを詳細に制御できます。
一方、ネットワーク境界に適用するポリシーベースのルールは、より厳格に設定する必要があります。
セキュリティ、QoS、アカウント処理、他の機能に関するフィルタ要件は、顧客のアプリケーションに応
じて、より具体的になり、ルールが増えるためです。ネットワーク境界またはコラプスト PoP ソリューシ
ョンに配置するルーターは、実際のネットワーク要件を満たすか、それを凌駕する拡張性を提供できな
ければなりません。
Copyright © 2006, Juniper Networks, Inc.
11
サービスプロバイダが保有するネットワークのセキュリティ強化
ファイアウォールフィルタのエントリを処理する能力は、拡張性の試金石です。ジュニパーネットワーク
スの T シリーズと M シリーズルーターは、トラフィックをラインレートで転送しながら、膨大なエントリを
確実に処理できます。
高度なフィルタリング機能に関係する拡張性については、ホワイトペーパー『Efficient Scaling for
Multiservice Networks』(www.juniper.net/solutions/literature/white_papers/200207.pdf 英語)を
ご覧ください。
トラフィック制御-ルーターを触れさせないようにする
一部のユーザーを除き、ルーターを完全に隠蔽できれば理想的ですが、ルーターを見えるようにしな
ければならないケースもあります。たとえば、直接接続したデバイス間の ICMP(Internet Control
Message Protocol)トラフィックは、ネットワーク上の全ルーターのコントロールプレーンにアクセスしま
す。MPLS(Multiprotocol Label Switching)の顧客側エッジ(CE)ルーターは、通信事業者側エッジ
(PE)ルーターと対話します。また、マルチキャストでルーティングする場合は、マルチキャストに参加す
るルーターが経路情報を共有する必要があります。
トラフィック制御と帯域制御は、この種のトラフィックを処理する非常に効果的なツールです。帯域制御
は、ルーター間の正当な対話を悪用した攻撃を阻止できます。
たとえば、ICMP トラフィック量を所定のレベルに制限します。DoS 攻撃が始まると、ICMP 着信パケッ
トが急増するためです。ICMP 着信パケットがしきい値を超えた場合は、サービスプロバイダのアクセ
スルーターに帯域制御をかけて、過剰なトラフィックを破棄します。帯域制御をかけると、不正パケット
を大幅に減らせます(次図)。
DoS 攻撃のしきい値
他の IP パケット
ICMP パケット
サービスなし
不正なトラフィック
DoS 攻撃のしきい値
他の IP パケット
ICMP パケット
サービスあり
ICMP 帯域制限
図4 ICMP Ping トラフィックの帯域を制限する効果
帯域制御は、イベント履歴、顧客に対するイベントのリアルタイム通知、送信元のトレース、アップスト
リームのネットワーク管理者との連携、ICMP トラフィック量の月次報告にも使用できます。また、他の
ネットワークとの相互接続ポイントに ICMP 帯域制御を適用すると、攻撃を大幅に緩和できます。
帯域制御をかけた場合、不正パケットに感染した正規ユーザーの PC は、スループットが限界に達す
るか、感染したネットワークを利用するユーザー全員が特定のサイトへのアクセスを完全に遮断され
ることがあります。こうした状態は、攻撃が収まるまで続きます。しかし、ここで重要なことは、残りのネ
ットワークを保護することです。
帯域制御をリモートから起動する場合、トラフィック量などを条件として設定します。詳細については、
「ネットワークコントロールプレーンへのポリシー実装」で詳述します。
12
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
ステートフルフィルタ-感染したホストからネットワークを保護する
ステートフルフィルタもセキュリティを強化する大切なツールです。ステートフルフィルタは、トラフィック
量を監視して、IP ヘッダの送信元 IP アドレス、送信先 IP アドレス、TCP/UDP ポートなどのフィールド、
ルーターの論理的な入力インタフェースを検証します。
ステートフルフィルタは、BGP セッションとネットワークを感染ホストから保護する強力なツールです。
パケットの通過と破棄にとどまらず、次のホップの QoS 設定、カウンタ増分、帯域制御の動的な確立
を実行する機能を備えており、ネットワーク監視デバイスにフロー情報を送信することもできます。
正規の IP アドレスやポート番号を詐称した悪質なパケットは、ステートレスフィルタを通過しますが、ス
テートフルフィルタは、それを確実に捕捉します。SYN フラッド攻撃、多数の BGP OPEN セッション、
TCP ゾンビなどを確実に防御します。フローベースの帯域制御は、より巧妙な攻撃のシグネチャや異
常も検出できます。このレベルの侵入検知防御機能は、ルーターまたは侵入検知防御(IDP)装置でサ
ポートされており、マネージド・セキュリティ・サービスのポートフォリオに追加すると、高収益が期待で
きます。
ルーティングプロトコルのセキュリティ強化
ベンダーが提供する主要なルーティングプロトコルは、例外なく、MD5(Messge Digest 5)で認証して
います。 しかし、MD5 は DoS 攻撃を防御できません。DoS 攻撃が始まると、コントロールプレーンが
不正トラフィックの妥当性を検証するため、攻撃を返って悪化させてしまいます。しかし、認証自体が
無意味なわけではありません。認証にはこうしたリスクを遙かに超える利点があります。
CPU に対する DoS 攻撃は、ネットワーク内部にとどまりません。データプレーンがコントロールトラフ
ィックのキューイングを処理できない場合、DoS 攻撃を受けたデータプレーンは、経路指定の隣接関
係を失います。旧来のルーターは、データトラフィックリンクを流れるトラフィックに優先度を付けられな
いため、隣接関係を失ってしまいます。
リソースをプロセス単位で割り当てることも大切です。たとえば、リソースを大量に消費するマルチキャ
ストなどでリソースを制限すると効果的です。
ルーティングプロトコルに関しては、BGP のセキュリティ強化が特に重要です。BGP のデアグリゲー
ション攻撃を防止するために、アドバタイズされるプレフィックスに対して上限値を設定する事が可能で
す。出入口のリンクにフィルタを適用すると、許可されていない経路、Bogon 経路や Martian 経路の
アドバタイズ、DDoS 攻撃を防げます。さらに、コアルーターのデフォルトルートを削除することもお勧
めします。デフォルトルートを削除すると、攻撃者がルーターに侵入した場合、重要なサーバーや直接
接続したネットワークへのアクセスを拒否できます。*15
IP/MPLS のセキュリティ強化
MPLS は基本的にフィルタリング機能を制限します。IP/MPLS コアルーターは、MPLS ヘッダーに記
述された IP、TCP、UDP(User Datagram Protocol)をフィルタリングせずに、MPLS ラベルだけを参
照して経路を決定するためです。また、フィルタリング専用の集積回路(ASIC)は、MPLS ヘッダを許可
しません。このフィルタリングを 中央処理装置で実行することは、理論的には可能ですが、処理能力
が大幅に低下するため、MPLS を 使用する意味がなくなります。*16
そこで、ラベルスイッチパス(LPS)の入口または出口をフィルタリングする必要があります。出入口に
は、いずれにしても、フィルタを適用する必要があります。ネットワークの入口ルーターでは、IP パケッ
トをフィルタリングし、LPS に転送します。出口ルーターでは、PHP(Penultimate Hop Popping)を有効
*15 この問題の詳細については、ホワイトペーパー『BGPv4 Security Essentials』を参照してください。http://www.nanog.org/mtg-0206/ppt/BGPRisk-Assesment-v.5.pdf (英語)
*16 ジュニパーネットワークス製ルーターは、Tunnel
Services PIC でパケットを転送するため、この制限を回避できます。Tunnel Services PIC は、
総合的なトンネリング技術を活用して、IP ネットワーク上で IP/MPLS サービスを提供します。
Copyright © 2006, Juniper Networks, Inc.
13
サービスプロバイダが保有するネットワークのセキュリティ強化
に設定した場合は、出口ルーターがフィルタを適用します。その 1 つ前に位置するルーターは、パケッ
トが通信事業者側のルーターに到達する前に、最後の MPLS ヘッダからラベルを取ります。
ユーザーとサーバーのセキュリティ強化
サーバーとエンドユーザーのコンピュータは、ルーターよりセキュリティ機能が劣ります。ルーターのコ
ントロールプレーンはごく少数の正規ユーザーだけを対象にしますが、サーバーには多数のユーザー
がアクセスします。一般的には、サーバーのオペレーティングシステムには、ルーターのオペレーティ
ングシステムより多くのセキュリティホールがあります。エンドユーザーは、Web ブラウジングや電子メ
ールを送受信する際、要求に応じて多数のアクションを実行するため、セキュアな環境を構築すること
が難しくなります。
宛先アドレスベースもしくはブラックホールのフィルタリングは、すでに説明したように、「Completing
the Attack」と呼ばれ、ネットワーク上の全ルーターに「ブラックホール経路」を設定します。この経路の
エントリには、「特定のホストアドレスを持つパケットをすべて破棄する」ように命じます。すべてのルー
ターは、このアクションをルーティングテーブルで許可します。この欠点は、当然ながら、攻撃を成功さ
せますが、残りのネットワークを保護して、輻輳を緩和します。
同様に、不正パケットが少数の入口リンクから侵入した場合、その回線を切断することもできます。し
かし、この措置は、不正なパケットと正規のパケットを破棄します。残りのネットワークは保護できます
が、多数の正規パケットが喪失するため、攻撃は成功します。これは、充分な処理能力を備えたパケ
ットフィルタリングをサポートしていないルーターの悲惨な結果と言えます。
マネージド・セキュリティ・サービス - 高収益が期待できるビジネスチャンス
ルーターがワイヤーレートのフィルタリングと柔軟なアップデート配信機能を備えていない場合、通信
事業者と顧客は、宛先アドレスを参照する旧来のフィルタリングに頼らざるを得ません。そこで、通信
事業者が顧客に総合的なセキュリティ対策を提供すれば、優れたアドバイザーとして顧客からの信頼
を得られます。
マネージド・セキュリティ・サービスは、高収益が期待できる大きなビジネスチャンスです。ダウンタイム
が許されず、トランザクションを保証を必要とする企業は、サービスの継続性を保証するマネージド・セ
キュリティ・サービスを真剣に求めています。ジュニパーネットワークスのサービス・ディプロイメント・シ
ステム(SDX)などのネットワーク・オペレーション・センター(NOC)に IDP システムとトラフィックのリア
ルタム解析機能をルーターに統合し、ポリシー対応システムを導入すると、重要な監査トレールと合わ
せて、サービス保証を提供できます。この統合システムは、攻撃を検知すると、BGP ファイアウォール
フィルタを伝搬するなど、高度な軽減策を実行して、複数のネットワークで攻撃を素早く軽減できます。
統合脅威管理(UTM)システムは、ステートフル・ファイアウォール、異常プロトコルの検知とカスタムシ
グネチャを複数モードで検出する IDP システム、アンチウィルス、アンチアドウェア、アンチフィッシング、
URL フィルタリングを提供します。
また、ジュニパーネットワークスの Secure Services Gateway(SSG)は、優れたセキュリティ・プラット
フォームであり、マネージドサービスまたは加入者宅内機器(CPE)の再販サービスとして提供できま
す。SSG は、支社と支店向けに優れたパフォーマンス、セキュリティ、WAN 接続を提供する新製品の
アプライアンスです。*17
以下のセクションでは、サーバーとエンドユーザーを保護する具体的な方法を紹介します。
ユーザーとアプリケーションの保護
未使用のサービスとポートは閉じておきます。*18 重要なアプリケーションが使用するポート(ウェルノ
ーンポート)はごく少数です。未使用のポートとサービスは、ユーザーホスト、サーバー、ルーターのフィ
*17 SSGシリーズのファイアウォール/VPNアプライアンスについては、次のサイトをご覧ください。
http://www.juniper.co.jp/products_and_services/firewall_slash_ipsec_vpn/ssg_500_series/
*18 Slammer による攻撃を完全に遮断するには、Slammer が利用する UDP ポートをあらかじめ閉じておきます。
14
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
ルタリストであらかじめオフにしておきます。
次にワイヤーレートのパケットフィルタを使用して、二次被害を最小限に抑制し、攻撃完了を回避しま
す。また、帯域制御をかけて、優先順位を付けた複数のキューを設定すると非常に効果的です。帯域
制御の利点は、重要なアプリケーションに対するリソース割当をあらかじめ有効に設定できることです。
uRPF による送信元アドレスの検証
攻撃者が送信元アドレスを詐称した場合、送信元のトレースが難しく、攻撃は複数のサーバーを経由
して拡大します。送信元アドレスを詐称したパケットは、パケットフィルタを通過します。しかし、
uRPF(Unicast Reverse Path Forwarding)を使用すれば、送信元アドレスの有効性を検証できます。
配備方法にもよりますが、入口インタフェースに uRPF を設定すれば、送信元アドレスを詐称した IP
パケットをネットワークエッジで破棄できます。
uRPF は、ルーティングテーブルを参照して、送信元アドレスを確認します。送信元 IP アドレスが着信
インタフェースの到達可能なサブネットに属していれば、そのパケットを通過させます。それ以外のパ
ケットは廃棄します。
uRPF には 2 種類の動作モード(Strict Mode と Loose Mode)があります。Strict Mode はネットワー
クエッジに配置して、リバースパスが正確に一致するパケットだけを通過させます。このモードの欠点
は、誤認が発生する可能性があることです。
一方、Loose Mode は、リバース・パス・フォワーディングで送信元アドレスを検証せず、送信元 IP ア
ドレスが経路表に登録されていないパケットをすべて破棄します。このモードの欠点は、通過させるパ
ケットを破棄する可能性があることです。 Loose Mode uRPF は通常、コアルーターや集約ルーター
に配置します。 uRPF の実装例を次図に示します。
IP アドレス
15.10.10.2 で
接続しよう
15.10.10.2 の
セッションを
盗むぞ
駄目だ。インタフェースが学習したサブネットに
IP アドレスが登録されてない。
図5 uRPF(Unicast Reverse Path Forwarding)
Copyright © 2006, Juniper Networks, Inc.
15
サービスプロバイダが保有するネットワークのセキュリティ強化
リアルタイム・トラフィック解析とステートフル・ファイアウォールの統合
リアルタイム・トラフィック解析には、さまざまなツールを使用できます。ポートミラーリングは、特定の
ポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能であり、インタフェー
スと転送速度を問わず、選択したパケットを完全にコピーできます。ポートミラーリングは、ネットワーク
監視とトラフィック解析の有効なツールです。受動的監視は、トラフィックをリアルタイムで測定し、ポー
トやインタフェース別に分類した詳細情報を提供します。
フィルタには、状態保持とアプリケーション・コンテンツの検査を要求するものがあります。こうしたフィ
ルタは、SYN フラッド攻撃を効果的に防御します。通信事業者はフロー数をホストごとに制限し、攻撃
に参加しているホストを隔離できます。ステートフル機能には、ネットワークアドレス変換(NAT)、ポート
アドレス変換(PAT)、ステートフル・ファイアウォール、侵入検知防御システム(IDS)、アプリケーション・
レイヤ・ゲートウェイ(ALG)があります。ステートフルフィルタは従来、外部デバイスに実装されていまし
たが、現在ではルーターにも実装されています。
ルーター1 台で複数のステートフル・ファイアウォールを提供し、複数サイトのユーザー、サービス、ル
ーターを保護する例を次図に示します。この例では、各サイトのユーザーはレイヤ 2 またはレイヤ 3
MPLS VPN を介してインターネットに接続しています。ユーザーは非武装地域(DMZ)に接続されます。
DMZ では、サーバーが外部からの Web 要求を処理しますが、ネットワークに入る他の種類のトラフィ
ックを遮断します。
CE
Customers with
顧客(プライベートア
Private
Addresses
ドレス 10.x.x.x)
MPLS/VPN
インターネット
Internet
PE
10.x.x.x
通信事業者側エッジ(PE)に配置
Managed NAT/PAT FW at
した管理対象の NAT/PAT FW
Provider Edge
CE
CE
図6 セキュアな仮想コアネットワーク
通信事業者は仮想私設網(VPN)を通過するメールのウィルス検査を実行します。 サーバーは外部ネ
ットワークからのアクセスを処理します。ただし、アクセス制御を分離することにより、社員が Web ペ
ージを更新する場合などでは、内部ネットワークからのアクセスも許可します。これは多数のインタフェ
ースを連携する必要のない柔軟なソリューションです。
16
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
ネットワークコントロールプレーンへのポリシー実装
セキュリティを強化するには、セキュリティポリシーを具体的なルールとして設定する必要があります。
ネットワークレベルのコントロールプレーンにポリシーを自動的に配信すると、非常に効果的です。ポ
リシーの自動配信は、攻撃に素早く対応して、エラーが発生しにくいポリシーを強制的に実装します。
ジュニパーネットワークスのサービス・ディプロイメント・システム(SDX)は、柔軟にカスタマイズできる
アプリケーションであり、IP サービスを素早く作成して配置できます。ジュニパーネットワークス製ルー
ターと併用すると、ラインレートのパケットフィルタリング、動的な帯域制御、柔軟なキューイングをデー
タプレーンとコントロールプレーンに提供できるため、ネットワーク管理者は、必要に応じて、サービス
を定義できます。このセクションでは、動的な脅威緩和と BGP 分散トラフィックフィルタを使用して、
コントロールプレーンを保護する方法を紹介します。
動的な脅威緩和ソリューションの使用
動的な脅威緩和ソリューションは、顧客がウィルスに感染した場合、それを素早く特定して自動的に隔
離し、問題を顧客に通知した後、顧客のネットワークを動的に修正して正常なサービス状態に戻しま
す。このソリューションを導入するには、トラフィックフローとトラフィックパターンをユーザー単位で把握
する必要があります。
トラフィック量に基づく動的な脅威緩和ソリューションの例を次図に示します。この例では、トラフィック
量を追跡するアプリケーションにパケットしきい値を設定して、加入者を隔離ポータルに強制的に誘導
して対処法を提供します。
トラフィック量を追跡する
アプリケーション
警告: PC がウィ
ルスに感染した
IDP 信号ポリシーを起動
するイベント
インターネットの
中継点
図7 トラフィック量に基づく動的な脅威緩和ソリューション - SDX の使用
プロセスは次のとおりです。
1) 加入者がウィルスに感染した。
2) SDX ポリシー決定サーバーがローカルネットワークにおけるトラフィック増加を報告する。
3) 加入者に通知するよう、IDP プラットフォームがポリシーサーバーに指示する。
4) 指定したユーザーのトラフィックを IDP 装置にリダイレクトするように全ルーターに指示する。
5) SDX ポリシーサーバーがユーザーを隔離ポータルに誘導して、ユーザーPC からワームを除去
する。
Copyright © 2006, Juniper Networks, Inc.
17
サービスプロバイダが保有するネットワークのセキュリティ強化
BGP 分散トラフィックフィルタによる攻撃の緩和
BGP ルーティングプロトコルでトラフィックフィルタを分散すると、攻撃を協調的に緩和できます。トラフ
ィックのフィルタリング・ポリシーはこれまで静的でした。しかし、パケットを大量に送りつける DoS 攻撃
が頻発したため、通信事業者は攻撃検知と攻撃緩和にトラフィックフィルタを適用しましたが、既存の
ツールでは、フィルタ要件を完全には満たせませんでした。
現在では、DoS 攻撃を防御するトラフィックフィルタを適用する幾つかの技術が採用されています。最
も一般的な技術は、ユニキャストの RIP 広告を利用して、攻撃されたノードの IP アドレスを通知するこ
とです。また、経路情報の広告を利用して、ルーターから経路情報を受信する際、ホップを破棄しコミ
ュニティを通知する方法も使用されています。パケットを破棄するノードをあらかじめ作成しておき、そ
こにトラフィックを誘導する方法もあります。
ユニキャストのルートアドバタイズを利用して、トラフィックフィルタ情報を配布する方法は、既存のイン
フラと AS 内の双方におけるコミュニケーション・チャネルが使用できるため便利です。サービスプロバ
イダは、自身のアドレス空間を使用して、顧客からフィルタ要求を受け取ることができます。
しかし、この方法には幾つか欠点があります。ユニキャストのアドバタイズを利用した場合、宛先アドレ
スを 1 件しか指定できないため、フィルタを詳細に制御できません。また、フィルタ情報が経路情報と
混在するという問題になります。
ユニキャストのルートアドバタイズを利用する欠点を次図に示します。
Victim
1b.
1a.
NOC
4.
3.
2.
3.
3.
4.
4.
図8 BGP 分散ファイアウォールフィルタ
プロセスは次のとおりです。
1a) ネットワーク・オペレーション・センター(NOC)が攻撃を特定し、防御方法を記述したフローフィル
タのアップデートを作成します。そのヘッダには、送信元 IP アドレス、ポート番号、プロトコルタイ
プ、他のフィールドが挿入されます。
1b) フローフィルタは、標的のノードに最も近い BGP ルーターが送信します。
2) 出口ルーターは対応策を実行します。
3) フローフィルタのアップデートが全 BGP ピアを経由して連続的に配信され、ルーターの転送プレ
ーンが新しいフィルタ情報で更新されます。
4) フローフィルタのアップデートが AS を越えて送信されます。*19
*
19
18
詳細については、次の仕様(ドラフト)を参照してください。http://www.tcb.net/draft-marques-idr-flow-spec-00.txt (英語)
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
結論
セキュリティ対策は長期的な課題であるため、サービスプロバイダは、セキュリティ戦略を策定する必
要があります。そのためには、最初に従業員がベストプラクティスを修得します。セキュリティ計画を実
施するには、保護するネットワーク機器を洗い出し、高度なセキュリティ機能を備えたノードを配置しま
す。ワイヤーレートでフィルタリングを実行できる装置を配置すると、ネットワークのセキュリティを大幅
に強化できます。ジュニパーネットワークス製ルーターは、ワイヤーレートのフィルタリング機能をサポ
ートしています。
ルーターとサーバーを簡単に保護するには、認証システムに TACACS+または RADIUS を導入し、
ワンタイムパスワードを使用して、権限のあるユーザーだけにルーターへのアクセスを許可します。
また、帯域制御を実行し、トラフィックを管理して、ルーターの制御プロセッサに対する DoS 攻撃を防
ぎます。未使用のポートやサービスは閉じておきます。その結果、サーバー機能が無効になっても、ネ
ットワークを保護するには必要な措置です。最後に、パケットフィルタを適用して、特定の TCP や
UDP ポートをオフにして送信元 IP アドレスを検証します。
セキュリティルールを自動的に配信して実装させると、ユーザーがネットワークを保護する際のエラー
を削減できるため、ポリシーベースのセキュリティ実装には大きな利点があります。
セキュリティポリシーを実装する場合、多数のフィルタリング、トラフィック制御、侵入検知防御技術が
ネットワークインフラのセキュリティを強化します。さらに、以上のセキュリティ技術は、マネージド・セキ
ュリティ・サービスとして企業向けに展開する事も可能です。
参考資料
サービスプロバイダのセキュリティ対策に関しては、多数の文献を参照できます。
ジュニパーネットワークスの Web キャスト
Intrusion Prevention for Service Providers (英語)
http://www.juniper.net/company/events/archive/051208.html
SSL VPN for Service Providers (英語)
http://www.juniper.net/company/events/archive/051025.html
VoIP for Service Providers (英語)
http://www.juniper.net/company/events/archive/050908.html
ジュニパーネットワークスが発行するホワイトペーパー
Building (and Securing) IMS (英語)
http://www.juniper.net/solutions/literature/white_papers/200175.pdf
Efficient Scaling for Multiservice Networks (英語)
www.juniper.net/solutions/literature/white_papers/200207.pdf
Evolving Security Needs in the Mobile World (英語)
http://www.juniper.net/solutions/literature/white_papers/200146.pdf
JUNOS ルーターセキュリティ: 実例に学ぶ強いインフラづくり
http://www.juniper.co.jp/solutions/literature/app_note/350013.pdf
Copyright © 2006, Juniper Networks, Inc.
19
サービスプロバイダが保有するネットワークのセキュリティ強化
Internet Processor II ASIC: Fortifying the Core (英語)
http://www.juniper.net/solutions/literature/app_note/350002.pdf
DoS攻撃の影響を最小化
http://www.juniper.co.jp/solutions/literature/app_note/350001.pdf
Carrier Class Routing with the JUNOS Advantage (英語)
http://www.juniper.net/solutions/literature/solutionbriefs/351081.pdf
Solutions for Network Accounting (英語)
http://www.juniper.net/solutions/literature/white_papers/200010.pdf
NRIC(Network Reliability and Interoperability Council)
ベストプラクティスについては、www.nric.org (英語)にアクセスしてください。NRIC Best Practicesを
クリックすると、ツールの選択画面にジャンプします。network types、industry rolesなどのキーワード
でメニューを検索してください。
北米ネットワークオペレーターズ・グループ(NANOG)
北米ネットワークオペレーターズ・グループ(North American Network Operators’ Group : NANOG)
は、インターネットのセキュリティ強化を目的として、会議やセミナーを積極的に開いています。会議は
テープに収録されて、個人の学習を目的として、ストリーミング配信されています。次のサイトには、50
本を超える記事が掲載されています。http://www.nanog.org/ispsecurity.html (英語)
このホワイトペーパーで紹介したBGPのセキュリティに関する問題は、ホワイトペーパー『BGPv4
Security Essentials』で詳細に解説されています。詳細については、 http://www.nanog.org/mtg0206/ppt/BGP-Risk-Assesment-v.5.pdf (英語)をご覧ください。
大規模な ISP IP ネットワークインフラの運用上のセキュリティ(RFC 3871)
RFC 3871 には、大規模な ISP IP ネットワークインフラストラクチャ(ルーターとスイッチ)を運用する際
のセキュリティ要件が定義されています。この RFC の目的は、通信事業者がセキュリティ要件をベン
ダーに正確に通知できるようにすることです。
RFC 3871 は次のサイトで閲覧できます。
http://www.faqs.org/rfcs/rfc3871.html (英語)
OPSec: IP ネットワーク運用のセキュリティ機能
http://www.ietf.org/html.charters/opsec-charter.html (英語)にアクセスすると、次の資料のリンクが
ページの下に掲載されています。
20
¾
Framework for Operational Security Capabilities for IP Network Infrastructure
¾
Security Best Practices Efforts and Documents
¾
Operational Security Current Practices
¾
Filtering Capabilities for IP Network Infrastructure
¾
Miscellaneous Capabilities for IP Network Infrastructure
¾
Network Management Access Security Capabilities
Copyright © 2006, Juniper Networks, Inc.
サービスプロバイダが保有するネットワークのセキュリティ強化
Copyright 2006, Juniper Networks, Inc. All rights reserved.Juniper Networks、Juniper Networks のロゴは米国及びその他の国の Juniper
Networks, Inc.の登録商標です。その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、Juniper Networks ま
たはそれぞれの所有者に帰属します。これらの仕様はすべて予告なく変更される場合があります。本データシートの記載内容に誤りがあった場合、
あるいは記載内容を更新する義務が生じた場合も、ジュニパーネットワークスは一切責任を負いません。ジュニパーネットワークスは、本発行物を
予告なく変更、修正、転載、または改訂する権利を有します。
Copyright © 2006, Juniper Networks, Inc.
21