仮想環境におけるL２ネットワークの脆弱性分析とARPスプーフィング緩和手法の提案

コンピュータネットワークプロトコルレイヤにおける物理層やデータリンク層の脆弱性についてはこれまでにも数多くの研究が行われ，その緩和手法が提唱されるとともに，セキュリティ機能を備えた L2 スイッチが開発されている．一方，オープンソースの仮想スイッチや仮想化ソフトウェアが提供する仮想スイッチは物理スイッチを模倣して実装しているが，仮想マシン間の相互信頼を前提としているため，高機能物理スイッチが備えているようなセキュリティ機能は実装されていない．本研究では，従来，物理ネットワーク上で指摘され，改善されてきた脆弱性のうち，仮想環境において対策されているもの，未だ有効なものを明らかにするため，仮想ネットワークの実装に対して既知のデータリンク層プロトコルの脆弱性攻撃による検証を行った．検証の結果，仮想ネットワークにおいて未だに有効であると判明した ARP スプーフィング攻撃を検知，遮断する緩和手法を提案する．

Many studies have been accumulated on vulnerabilities in the physical and data link layers of computer network protocol layers, then mitigation methods have been proposed and L2 switches with security features have been developed. On the other hand, open-source virtual switches and virtual switches provided by virtualization software are implemented to imitate physical switches, but they do not provide the security features of high-performance physical switches because they assume mutual trust among virtual machines. In this study, we investigate known vulnerability attacks against data link layer protocols in virtual network implementations and identify vulnerabilities that have been indicated and remediated on the physical network that have already been addressed or are still in effect. We also propose mitigation techniques for detecting and blocking ARP spoofing attacks that are found to be still effective.