Network Functions Virtualization: Probleme mit der NFV-Sicherheit adressieren

Network Functions Virtualization ist eine gute Ergänzung zu SDN. Die Kombination hat für Firmen Vorteile wenn die IT-Sicherheit berücksichtigt wird.

Network Functions Virtualization (NFV) ist eine aktuelle Angelegenheit. Damit sollen die von proprietärer Netzwerk-Hardware...

zur Verfügung gestellten Services durch virtuelle Software auf Servern von der Stange ersetzt werden. NFV unterscheidet sich zwar von Software-defined Networking, ist aber eine Ergänzung. Läuft SDN in der NFV-Infrastruktur, dann leitet SDN die Datenpakete von einem Netzwerkgerät zum nächsten weiter. Die Funktionen oder die Kontrolle für das Netzwerk-Routing laufen auf einer virtuellen Maschine (VM). Sie befinden sich möglicherweise auf einem ganz normalen Rack-Mount-Server.

NFV und SDN bringen aber auch diverse Sicherheitsprobleme mit sich, die der Administrator nicht ignorieren kann. Bevor wir uns mit den Security-Problemen von NFV befassen, sehen wir uns zunächst die frühe Entwicklung beider Technologien an.

NFV: Virtualisierung von Netzwerkfunktionen

NFV ist entstanden, da es die Provider satt hatten, proprietäre Router, Gateways und andere Netzwerkgeräte zu installieren, die wiederum proprietäre Netzwerkfunktionen zur Verfügung stellten. Service-Provider wollten Netzwerkfunktionen von überall aus im Netzwerk starten oder in diesem Fall virtualisieren können und das unabhängig vom Netzwerkgerät. Es sollte keine Rolle spielen, ob das Gerät alt oder neu ist.

Im Januar 2013 haben diverse Service-Provider die Köpfe zusammengesteckt und die ETSI NFV ISG (Network Function Virtualization Industry Specification Group) gegründet. Die Gruppe wurde mit dem Ziel ins Leben gerufen, Spezifikationen zu entwickeln, die Netzwerkfunktionen von proprietärer Ausrüstung in der NFV-Infrastruktur trennen. Ein NID (Network Interface Device) muss nicht virtualisiert werden. Allerdings ist ein NID für eine Abgrenzung notwendig. Außerdem lassen sich damit Messungen anstellen, wie gut die Performance des Netzwerks ist. In den Spezifikationen werden Sicherheit und Vertrauenswürdigkeit zwar behandelt, allerdings sind neue Herausforderungen und Probleme in Sachen Security aufgetaucht.

SDN: Die Kontrolle der Datenschicht

SDN hat sich aus der Frustration der Administratoren entwickelt, die beim Einsatz eines neuen Protokolls immer die Software ändern mussten. Sie wollten das Netzwerk von einem zentralen Punkt aus überwachen und einsehen können, wie es sich nach dem Implementieren der neuen Protokolle in Echtzeit verhält.

Kurz nachdem die NFV ISG ins Leben gerufen wurde, hatte sich eine neue Spezifizierungsgruppe gebildet. Sie entwickelte Spezifikationen, die die Kontrollschicht oder die Logik der Netzwerkkontrolle von der Datenschicht oder den physischen Routern und Switches trennt. Für das Management der Datenschicht kommt ein SDN-Controller zum Einsatz. Die Kontrollschicht bestimmt, auf welche Weise die Datenschicht den Traffic von Netzwerkgeräten weiterleitet ‑ sowohl physisch als auch virtuell. Ein SDN-Controller ist die zentrale Stelle, die es einem Netzwerk-Administrator ermöglicht, die Datenschicht des gesamten Netzwerks zu kontrollieren. Dazu braucht er lediglich irgendwo eine Konsole. OpenFlow ist die erste SDN-basierte, offene Standard-Kommunikationsschnittstelle. Sie findet Verwendung, um auf den Traffic in der Datenschicht zugreifen und ihn von einem Gerät zum anderen weiterleiten zu können. Das Verhindern von Schwachstellen wird allerdings nicht garantiert. Das gilt auch für andere Security-Probleme.

Sicherheitsüberlegungen für NFV

Es gibt vier Schlüsselüberlegungen im Hinblick auf die IT-Sicherheit, die Administratoren bei ihren Plänen für eine SDN- und NFV-Infrastruktur berücksichtigen sollten.

1. Schwachstellen beim Hypervisor stehen für Administratoren bei den Sicherheitsüberlegungen an erster Stelle, wenn NFV zum Einsatz kommt. In der NFV-Infrastruktur laufen die virtuellen Netzwerkfunktionen in virtuellen Maschinen. Ein Hypervisor ermöglicht das, indem er mehrere virtuelle Maschinen betreibt, die sich die Ressourcen auf einem einzigen Computer oder Server teilen. Eine Schwachstelle ist das sogenannte Hyperjacking. Diese Art an Angriff erlaubt es einem Cyberkriminellen, die Kontrolle des Hypervisors zu übernehmen und sich Zugriff auf die weniger abgesicherten virtuellen Maschinen zu verschaffen. Möglicherweise erlangen die Angreifer auch Zugriff auf schlecht konfigurierte SDN-Controller und andere Hypervisoren, die nicht ausreichend abgesichert sind. Über eine kritische Lücke in Xen, die sich schon lange Zeit in der Software befand, hätten sich Angreifer Zugriff auf das Betriebssystem verschaffen können. Sie wurde erst im Herbst 2015 entdeckt und dementsprechend geflickt.

2. Massive Schwachstellen im Netzwerk stehen bei Netzwerk-Administratoren an zweiter Stelle auf der Agenda. Sollte ein Cyberangriff für den Ausfall des kompletten Netzwerks inklusive dem mehrerer Hypervisoren verantwortlich sein, dann ist das eine Katastrophe. Um die Risiken eines Netzwerkausfalls zu lindern, sollten Administratoren in Betracht ziehen, ein großes Netzwerk in kleinere Segmente aufzuteilen. Bei der Segmentierung des Netzwerks kann der Administrator einen Controller verwenden, um den Traffic von einem Segment zu routen, das langsamer wird, etwa infolge eines DoS-Angriffs (Denial of Service). Der Netzwerkverkehr wird in diesem Fall in Segmente umgeleitet, die in Ordnung sind und der Administrator muss nicht das gesamte Netzwerk herunterfahren.

3. Schwachstellen im SDN-Controller sollten adressiert werden, nachdem Sie sich um die Sicherheitslücken in der NFV-Infrasktruktur gekümmert haben. Bei der Installation von Software-defined Networking sollte der Administrator den Controller angemessen konfigurieren, da eine falsche Konfiguration einem Angreifer Tür und Tor öffnen könnte. Auf diese Weise schleicht der sich unter Umständen unbemerkt ins Netzwerk der Firma. Die Cyberkriminellen könnten das System unter Umständen mit Root-Rechen übernehmen, einen Host imitieren, Datenflüsse im Netzwerk zu bereits beschäftigten Geräten umleiten und Konflikte zwischen mehreren SDN-Geräten verursachen. Sie sollten sich versichern, dass der zuständige Administrator die entsprechenden Fähigkeiten besitzt und in Sachen Security richtig geschult ist. Nur dann wird der Controller ohne fehlerhafte Konfiguration implementiert und ist abgesichert.

4. Die Kapazität des SDN-Controllers ist die letzte Komponente auf der Sicherheitsliste für NFV. Eine groß angelegte SDN-Umgebung benötigt mehrere SDN-Controller in einem Netzwerk oder zwischen den Netzwerken. Die Kommunikation zwischen mehreren Controllern lässt sich durch eine Technologie erreichen, die als SDN East-West Interface oder SDNi bekannt ist. Damit die Controller den Traffic zu einem anderen weiterleiten, müssen sie das Border Gateway Protocol einsetzen, damit sie gemeinsamen Zugriff auf die Routing-Informationen haben. Auf diese Weise können sie Daten zum Beispiel von der Produktionsanlage zu einem weiteren Gebäude schicken.

Es ist außerdem nicht praktikabel, alle SDN-Controller gleichzeitig laufen zu lassen, wenn der Datenverkehr im Netzwerk gering ist. Während solcher Perioden reicht möglicherweise ein Controller. Das wirkt sich natürlich positiv auf den Energieverbrauch aus. Ein Netzwerk-Administrator sollte in der Lage sein, die Anzahl der notwendigen Controller einschätzen zu können. Das gilt sowohl für Spitzenzeiten, wenn der Traffic unerwartet hoch wird, als auch bei der Erweiterung des Netzwerks. Sind zu viele Controller gleichzeitig aktiv, ist es für den Administrator schwieriger, die Sicherheitsrichtlinien durchzusetzen und Schwachstellen in den Geräten auszubessern.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close