文献

J-GLOBAL ID：201802262449532786   整理番号：18A2207120

ドメイン名解決との協調したSDNベース前向きファイアウォールシステムの設計と実装

Design and Implementation of SDN-Based Proactive Firewall System in Collaboration with Domain Name Resolution

著者 (5件)： IKARASHI Hiroya (Tokyo University of Agriculture and Technology) ,  JIN Yong (Tokyo Institute of Technology) ,  YAMAI Nariyoshi (Tokyo University of Agriculture and Technology) ,  KITAGAWA Naoya (Tokyo University of Agriculture and Technology) ,  OKAYAMA Kiyohiko (Okayama University)
資料名： IEICE Transactions on Information and Systems (Web)  (IEICE Transactions on Information and Systems (Web))
巻： E101.D  号： 11  ページ： 2633-2643(J-STAGE)  発行年： 2018年 
JST資料番号： U0469A  ISSN： 1745-1361  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 英語 (EN)

抄録/ポイント： ファイアウォールシステムやIDS/IPS(侵入検知システム/侵入防止システム)などのセキュリティ施設は,サイバー脅威に対する基本的な解決策となっている。サイバー攻撃戦術の急速な変化により,着信トラヒックに対するDPI(ディープパケットインスペクション)とSPI(ステートフルパケットインスペクション)のような詳細な観察が必要となるが,ネットワークスループットの減少も引き起こす。本論文で著者らは,この問題を解決するために,ドメイン名解決と協調したSDN(ソフトウェア定義ネットワーク)ベースの前向きファイアウォールシステムを提案した。システムは,2つのファイアウォールユニット(軽量と通常)から成り,SDNコントローラと内部権威DNSサーバの強調により,着信トラヒックのクライアントをチェックするために,適切な方を割り当てた。内部の信頼できるDNSサーバは,名前解決中に,外部DNSフルリゾルバからのEDNS(DNS用拡張機構)クライアントサブネットオプションを用いて,クライアントのIPアドレスを取得し,SDNコントローラにそのクライアントIPアドレスを通知した。ホワイトリストとブラックリストのクライアントIPアドレスをチェックすることにより,SDNコントローラはクライアントからの着信トラヒックを調べるための適切なファイアウォールユニットを割り当てた。その結果,信頼できるクライアントからの着信トラヒックは軽量ファイアウォールユニットに向けられるが,他からのトラヒックは通常のファイアウォールユニットに向けられた。結果として,着信トラヒックはファイアウォールユニットに適切に分散でき,輻輳が軽減できた。著者らは,プロトタイプシステムを実装し,その性能をローカル実験ネットワークで評価した。結果に基づいて著者らは,プロトタイプシステムが,フラッディング攻撃がない場合には,期待した特性と許容可能な性能を示すことを確認した。また著者らは,このプロトタイプシステムは,ICMPフラッディング攻撃下で,従来のファイアウォールシステムよりも優れた性能を示すことも確認した。(翻訳著者抄録)

シソーラス用語： *ファイアウォール ,  *番地付 ,  *ネットワーク ,  行為 ,  システム ,  計算機システム ,  通信制御 ,  番地指定方式 ,  スループット ,  プロトコル ,  サイバー攻撃 ,  DNSサーバ ,  IPアドレス
準シソーラス用語： IDS/IPS ,  *SDN ,  OpenFlow ,  *名前解決

著者キーワード (7件)： ファイアウォールシステム ,  DNS ,  領域名分解能 ,  EDNS ,  クライアントサブネットオプション ,  SDN ,  オープンフロー

分類 (2件)： データ保護  (JD01020V) ,  計算機網  (JC03000K)

引用文献 (32件)：

• [1] T. Otsuka, N. Yamai, K. Okayama, Y. Jin, H. Ikarashi, and N. Kitagawa, “Design and Implementation of Proactive Firewall System in Cooperation with DNS and SDN,” The 31st Int'l Tech. Conf. on Circuits/Syst., Comput. and Commun. (ITC-CSCC 2016), Naha, Japan, pp.25-28, July 2016.
• [2] J. Verdú, M. Nemirovsky, and M. Valero, “MultiLayer Processing-An execution model for parallel stateful packet processing,” The 4th ACM/IEEE Symposium on Architectures for Networking and Communications Systems, San Jose, USA, pp.79-88, 2008. 10.1145/1477942.1477954
• [3] F. Yu, Z. Chen, Y. Diao, T.V. Lakshman, and R.H. Katz, “Fast and Memory-Efficient Regular Expression Matching for Deep Packet Inspection,” Proceedings of the 2006 ACM/IEEE symposium on Architecture for networking and communications systems, San Jose, California, USA, pp.93-102, 2006. 10.1145/1185347.1185360
• [4] C. Contavalli, W. van der Gaast, D. Lawrence, and W. Kumari, “Client Subnet Option in DNS Queries,” RFC7871, IETF, 2016.
• [5] “What are FireHOL and FireQOS?” https://firehol.org/ (accessed 2018-05-12).

タイトルに関連する用語 (5件)： ドメイン名 ,  協調 ,  ファイアウォール ,  設計 ,  実装