IETF95報告会
dots WG
2016.05.10
⾃⼰紹介 n 2006年 NTTコミュニケーションズ⼊社。 n OCNアクセス系ネットワークの設計に従事した後、 ⼤規模ISP向けのトータル保守運⽤サービスを担当。 n 現在、DDoS対策ソリューション関連技術およびCGN 関連技術の開発とIETF提案活動に従事 n 2015〜 ISOC-JP プログラムチェア 2
dots WG
3
n DDoS Open Threat Signaling (dots)
n 設⽴:2015-06
n Chairs: Roman Danyliw(CERT)
Tobias Gondrom (OWASP, Huawei) n 新しいWG(BoF:IETF92 / Meeting:IETF93,94) n DDoS対策を効率的に実現するために、DDoSに関連した情報の リアルタイムでのシグナリングを規格化する • ⾃動化 • より⼤規模な防御システム • ベンダ独⾃なソリューションからの開放
セキュリティオートメーション技術概観
4
第2回IETF勉強会https://www.isoc.jp/wiki.cgi?page=PreIETF94
IETF95 Agenda
各種ドラフトの状況
ユースケースに関する議論 n 01 versionのWGドラフト • draft-ietf-dots-use-cases-01 • 現状で使われているDDoS対策における構成の列挙 • ⾃動化・ベンダ仕様の共通化に焦点 n 個⼈でユースケースのドラフト(IETF94でも発表) • draft-nishizuka-dots-inter-domain-usecases-01 • WGドラフトでは⾜りていないインタードメインのユース ケースをカバー • ISP視点でのより広い使われ⽅を想定 n ソリューションドラフト(今回提出) • draft-nishizuka-dots-inter-domain-mechanism-00 • 上記のインタードメインのユースケースに対するデータモデ ルを記載 7
ユースケースドラフト n WGドラフトと個⼈ドラフトでのScopeの差が議論の的に n Signal範囲 • WG: 攻撃を受けているIPアドレスのみ • 個⼈: 上記に加え、防御⼿法の選択や攻撃に関する付加情報 n 要件定義に関わるユースケース • WG: 組織を区別しない • 個⼈: customer-to-provider(c2p) と provider-to-provider(p2p) は異なるユースケースと考える n 個別ミーティング(2回) • マージすべき?しないべき? 8
Inter-Domain DOTS Use Cases
dra4-nishizuka-dots-inter-domain-usecases-01 Kaname Nishizuka, NTT Communica?ons Apr. 2016 IETF95@Buenos Aires 発表時スライドDiff from -00 to -01
Revised Points: 1. Aligned with terminology of exis?ng WG dra4 2. Added studies about DDoS protec?on methods 3. Clarified the usecases • based on the feedback at the last IETF mee?ng and discussions given on the ML and direct messages 発表時スライドCategoriza?on of usecases
1. intra-domain use cases • a DOTS client, a DOTS server and mi?gators are in the same organiza?on 2. inter-domain use cases • a DOTS server and mi?gators are in a different organiza?on from a DOTS client • 2-1. customer-to-provider(c2p) • 2-2. provider-to-provider(p2p) 発表時スライドNW1
Scenario of Inter-domain usecases
DOTS Client DOTS Server NW2 (1) (2) (3) (4) A`ackers Vic?m DDoS Mi?gators (1)Provisioning of DDoS protec?on capability(if needed) (2) A`ack Detec?on (3) DOTS Signaling DOTS signaling from a DOTS client to a DOTS server in different organiza?on (4)DDoS protec?on by mi?gators (5) Protec?on Status Status update from the DOTS server to the DOTS client Scope of DOTS (5) 発表時スライドProtec'on Method Mandatory Informa'on Op'onal Informa'on
Blackholing Des?na?on Address
Selec?ve Blackholing Des?na?on Address BGP Community Next-hop Address RTBH with uRPF Source Address
BGP flowspec Flow Type Ac?on Rule Filtering(ACL) Match Rule Ac?on Rule DDoS mi?ga?on
Appliances Des?na?on Address (Desired)Countermeasures A`ack Telemetry Detouring Technologies Des?na?on Address Next-Hop Tunnel Informa?on
• For protec?on, these informa?on should be provided from a DOTS client to a DOTS server
• a set of summarized traffic informa?on which characterizes the feature of the DDoS a`ack • u?lized by each protec?on methods
A`ack telemetry
Mandatory: Dst IP Op?onal: A`ack ID Dst Port Src IP/Port TCP Flag Type of A`ack (Average/Maximum/Current)Traffic Volume[bps/pps] Severity A`ack Start Time Dura?on 発表時スライド• difficult to know whether the DDoS a`ack has ended or not from the monitoring point of the DOTS client especially if it is inter-domain • Informa?on from DOTS server to client • A`ack telemetry • Status of protec?on • Data for billing
DDoS Protec?on Status
発表時スライド• Customer to Provider(c2p) • Usecase 1: Single-home Model • Usecase 2: Mul?-home Model • Provider to Provider(p2p) • Usecase 3: Delega?on Model • Usecase 4: Distributed Architecture Model • Usecase 5: Centralized Architecture Model
Inter-domain usecases
Mul?-provider coopera?ve DDoS protec?on →dra4-nishizuka-dots-inter-domain-mechanism 発表時スライドInter-domain usecase1:
Single-home model
Domain B DOTS Client DOTS Server Domain A DOTS signaling (A`ack telemetry) A`ackers Vic?m DDoS Mi?gators Legi?mate traffic Customer Provider 発表時スライドInter-domain usecase2:
Mul?-home model
Domain B DOTS Server Domain A A`ackers Vic?m Domain C DOTS Client DOTS Server A`ackers DDoS DDoS DOTS signaling (A`ack telemetry) Mi?gators Mi?gators Customer Provider DOTS signaling (A`ack telemetry) 発表時スライドDomain B Domain C
Inter-domain usecase3:
Delega?on model
DOTS Server Domain A DDoS DOTS Client DOTS Client/Server A`ackers Vic?m Mi?gators Mi?gators Customer Provider Provider 発表時スライドInter-domain coopera've
DDoS protec'on problems and
mechanism
dra4-nishizuka-dots-inter-domain-mechanism-00Kaname Nishizuka NTT Communica?ons Liang Xia Huawei Jinwei Xia Huawei DaCheng Zhang Alibaba Luyuan Fang Microso4 April 2016 Buenos Ayres 発表時スライド
Architecture of Coopera?ve DDoS
Protec?on
• 2 or more DDoS protec?on service providers are coopera?ng with each other via DOTS • Focusing on the rela?onship of those providers SP SP: DDoS Protec?on Service Provider SP SP SP SP SP Orchestrator DOTS Signaling Distributed Architecture Centralized Architecture 発表時スライドChallenges for Inter-domain Coopera?ve
DDoS Protec?on
1. Bootstrapping Problems (automa?c provisioning): • Trust rela?on and secure channel set up; • Auto-discovery and capability nego?a?on, etc. 2. Coordina?on problems: • How to get the appropriate mi?ga?on service from other operators with high efficiency: make the decision based on informa?on sharing; • Near source mi?ga?on: spoofed address, privacy protec?on; • Others: accoun?ng, returning path, etc. 22 発表時スライドユースケースドラフト n 今後の進め⽅ • 議論の結果、WGドラフトとマージする⽅向性に • 著者の⼀⼈として、WGドラフトにインプットしていく ü ユースケースの範囲について、拡張するよう戦う 23
Requirement/data modelに関する議論 n Requirementドラフト • Dots protocolに要求される前提条件を列挙 • ⾮常によくまとまっており、順調 n Data Model ドラフト • 複数のドラフトが乱⽴状態 • 同様にSignalに含まれるデータ範囲について、議論が紛糾 ü i2nsfとの住み分けも重要 • ユースケースをベースとするため、ユースケースとData ModelのScopeを⼀致させることが重要 ü こちらもユースケース同様、マージを⾏って範囲を広げる予定
まとめ n Dotsのスコープについてのコンセンサスがまだ無いことから、 マイルストーン時期が半年後ろ倒しに n (私⾒)ベンダ視点か、キャリア視点かでdotsへの期待が異なる ことが浮き彫りに n ⽇本国内でも、DDoS対策連携へのニーズが⾼まっているので は?IETFにインプットして⾏きたいので協⼒していきましょう。
