(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2011)シンポジウム

セッション 2F  ネットワーク管理
日時: 2011年7月6日(水) 15:55 - 17:10
部屋: ダイヤモンド
座長: 土井 裕介 (東芝 研究開発センター/東京大学)

2F-1 (時間: 15:55 - 16:20)
題名IPv6におけるネットワーク構成隠蔽の提案
著者*久保敷 透, 鈴木 秀和, 渡邊 晃 (名城大学大学院理工学研究科)
Pagepp. 323 - 328
KeywordIPv6, ネットワーク隠蔽
AbstractグローバルIPv4アドレスの枯渇に伴い,IPv6への移行が必須である.しかし,IPv6へ移行した場合,組織内のアドレスからネットワーク構成が予測される可能性がある.これを防止する方法として,Mobile IPv6を用いた方式や,ルータにホストルートを設定する方式が提案されている.しかし,Mobile IPv6を用いた方式では経路冗長,ホストルートでは,ルーティングテーブルの増大が課題となる.本稿では,ネットワーク構成を隠蔽するため,新たに隠蔽アドレスを定義し,このアドレスを使った通信方法について提案し,実装検討を行った.

2F-2 (時間: 16:20 - 16:45)
題名scan攻撃の検知とその遮断について
著者*有馬 竜昭 (大分大学大学院工学研究科), 熊谷 悠平 (広島大学大学院総合科学研究科), 永山 聖希 (大分大学大学院工学研究科), 吉田 和幸 (大分大学学術情報拠点)
Pagepp. 329 - 335
Keyword侵入検知, IDS, scan攻撃
Abstract近年,インターネットはその普及に伴い,重要度は年々増加しており,社会的基盤の一つとなっていると.その一方で,ネットワークを利用した不正行為も多く存在する.それは,あるシステムの脆弱性を突くものであったり,ネットワークやホストの存在を探索するものであったりと様々である.不正アクセスにより侵入された場合,侵入されたコンピュータが他のコンピュータを攻撃するための踏み台や,spamの中継,フィッシング詐欺などに利用され,他のユーザやネットワークに被害を及ぼすケースもある. scan攻撃とは,攻撃者が攻撃対象ネットワーク内の情報(存在するホストやサービスなど)を収集する行為である.攻撃者はscan攻撃実行後に,“パスワードクラッキング”などの具体的な破壊行為を実行する.そのため,scan攻撃は“事前攻撃”と捉えることができる.この事前攻撃の徴候を早期発見できれば,対策を講じることが可能になる. そこで,我々はTCPを使用したscan攻撃を検知するためTCPコネクションに注目し,scan攻撃を検知するシステムを作成・運用を行った.このシステムでは, TCPを利用したscan攻撃を行う場合,TCPコネクション確立の手順に従わない,送信したパケットに比べコネクションの確立できた数が少なくなると言った特徴など,正常な通信と異なることを調べるanomaly型の検知を行う.また,検知したscan攻撃の遮断には,経路表によるものとLANスイッチのACL(Access Control List)によるものとを試作した. 経路表を用いたscan攻撃の遮断では,Linux上で動作するルーティングソフトウェアであるQuaggaを使い,QuaggaのBlackholeインタフェースへ攻撃者のIPアドレス宛のパケットをルーティングし破棄することにより,scan攻撃への応答パケットを遮断する.応答パケットを遮断することで,TCPのコネクション確立等を防ぐ. LANスイッチのACLを用いたscan攻撃の遮断は,LANスイッチを通るパケットのフィルタリングを可能とするACLを使いscan攻撃の遮断を行った.通信を許可・拒否する条件をACLに登録し,LANスイッチのインタフェースに適応することでパケットのフィルタリングを行う.ACLに攻撃者のIPアドレスを拒否するように登録することで,LANスイッチを通過するscan攻撃の遮断を行う. 本論文では,まずscan攻撃の検知について述べ,経路表を用いたscan攻撃への応答パケットの遮断とLANスイッチのACLを用いたscan攻撃の遮断との2つのscan攻撃遮断手法についてそれぞれ述べ、それらのメリット・デメリットについて比較する.

2F-3 (時間: 16:45 - 17:10)
題名リモートアクセス方式GSRAの性能評価
著者*鈴木 健太, 鈴木 秀和 (名城大学大学院理工学研究科), 渡邊 晃 (名城大学理工学部)
Pagepp. 336 - 343
Keywordリモートアクセス, VPN, アクセス制御
Abstract遠隔地のネットワークにアクセスできる既存のリモートアクセス技術は,端末側がインターネット上にあることを想定しているもの多い.しかし,実際には端末が家庭内にあることを想定するのが現実的である. 現在広く利用されているリモートアクセス技術のうち,IPsec-VPNはNATとの相性問題があり,利用できない場合がある.SSL-VPNは手軽に利用できるが,使用するアプリケーションが限定されるという課題がある. 本稿では,これらの課題を解決するため,我々が提案しているリモートアクセス技術GSRAをプライベート空間からでも利用できるように改良した方式を提案する.また,一般的に想定される利用シーンに沿った形での性能評価を行い,提案方式の有用性を確認した.