kentoh - Fotolia

SDN-Sicherheit beginnt beim Controller

Die SDN-Sicherheit bereitet zunehmend Sorgen, da Deployments immer mehr Schwachstellen aufdecken. Der Controller spielt hierbei eine zentrale Rolle.

Software-defined Networks sind nicht besser vor Angriffen geschützt als herkömmlich verwaltete Netzwerke. Eine lange und anhaltende Reihe von Attacken hat viele Bereiche enthüllt, in denen Netzwerkschwachstellen auftreten können, doch Software-defined Networking (SDN) ist eine relativ junge Technik, die erst langsam in der Breite bereitgestellt wird. Von daher muss man sich zusätzlich zu den Lücken, die bei früheren Netzwerktechnologien aufgezeigt wurden, mit allen Sicherheitsherausforderungen und Schwachstellen bei SDN sorgfältig befassen.

Der SDN-Controller ist der entscheidende Faktor für alle Software-defined Networks und bietet Angreifern ein Ziel, das in vorherigen Netzwerktechnologien nicht vorhanden war. Es liegt auf der Hand, dass jeder erfolgreiche Angriff auf den Controller den Netzwerkbetrieb unterbricht oder komplett zum Erliegen bringt.

Um den Methoden Paroli zu bieten, mit denen Angreifer einen Controller – und infolgedessen das gesamte Netzwerk – lahmlegen können, haben Forscher bei SRI International, einer unabhängigen, gemeinnützigen Arbeitsgruppe mit Sitz im kalifornischen Menlo Park, Security-Enhanced Floodlight (SE-Floodlight) entwickelt. Diese Version geht auf den Public-Domain-Controller Floodlight von Big Switch Networks zurück.

SE-Floodlight fügt Controller-Schnittstellen eine rollenbasierte Authentifizierung hinzu. Die Authentifizierung der Northbound-Anwendungsschnittstelle verhindert, dass Angreifer Anfragen senden, die legitime Anwendungen stören oder den Zugriff auf Daten ermöglichen können. Darüber hinaus blockt die Authentifizierung der Southbound-Schnittstelle Anfragen zur Pfaderstellung, mit denen Angreifer den Controller überfluten könnten.

SE-Floodlight löst Regelkonflikte auf, so dass eine Flow-Regel für einen Switch keine Konflikte mit einem bestehenden Flow verursacht. Außerdem fügt das Tool ein Audit-Subsystem hinzu, das Aktivitäten auf der Ebene der Netzwerksteuerung aufzeichnet, was für Netzwerke vorgeschrieben ist – zum Beispiel die Kreditkartenverarbeitung nach dem Regelwerk der Payment Card Industry (PCI DSS), die bestimmte Sicherheits-Compliance-Spezifikationen erfüllen muss. Die Audit-Fähigkeit kann auch helfen, die korrekte Anwendungs-Performance zu überprüfen.

SRI International hat überdies zwei weitere Tools entwickelt, um die SDN-Sicherheitsherausforderungen zu berücksichtigen:

  • SDN Security Actuator lässt sich mit vorhandenen Sicherheits-Tools koppeln und erzeugt OpenFlow-Meldungen. Auf diese Weise kann man entsprechende Maßnahmen ergreifen, etwa einen infizierten Host isolieren oder DoS-Attacken (Denial of Service) abwehren.
  • BotHunter untersucht Muster des Netzwerkverkehrs, um für Malware-Angriffe typische Interaktionen zu identifizieren und zu melden.

SDN-Sicherheitsherausforderungen betreffen alle Komponenten

SDN wurde entwickelt, um große, komplexe Netzwerke zu verwalten. Anwendungen bestehen aus mehreren Komponenten, die in virtuellen Maschinen (VM) ausgeführt werden, die sich häufig auf im gesamten Netzwerk verteilten Servern befinden. Durch diese verteilten Server entsteht Ost-West-Traffic: Die Daten bewegen sich von Server zu Server durch das Netzwerk. Dieser Traffic kommt zu den Input- und Output-Daten von Anwendungen hinzu.

Alle diese Komponenten, Verbindungen, Anwendungen, VMs und Server gilt es zu schützen. Netzwerkausrüster haben die Notwendigkeit erkannt, die genannten Elemente abzusichern. Die einzelnen Sicherheitsansätze unterscheiden sich, aber es müssen strikte Grenzen gezogen werden zwischen den Netzwerkkomponenten und -ressourcen, die eine Anwendung nutzt, und den Komponenten, die eine andere Applikation verwendet. Diese Trennung ist besonders wichtig bei Public Clouds mit mehreren Mandanten, um innerhalb von Workloads spezifische Sicherheitsrichtlinien zuzuweisen und einzuhalten. Der Begriff Segmentierung oder Mikrosegmentierung drückt aus, wie Anbieter die erforderliche Trennung erreichen.

Die Produkte werden ohne Zweifel besser werden müssen, wenn Software-defined Networks auf breiterer Basis bereitgestellt werden und zusätzliche SDN-Sicherheitsherausforderungen und -Schwachstellen zutage treten.

Big Switch Networks, Cisco und vArmour fahren verschiedene Ansätze, um das Netzwerk zu segmentieren sowie versuchte Attacken zu verhindern und zu melden. Nachfolgend finden Sie eine Übersicht, wie die drei genannten Unternehmen SDN-Sicherheitsherausforderungen angehen.

Application Centric Infrastructure (ACI), die Sicherheitslösung von Cisco, konzentriert sich auf Anwendungen, anstatt auf spezifische Netzwerkgeräte. ACI definiert Endpunktgruppen (Endpoint Groups, EPGs), für die die gleichen Richtlinien gelten. EPGs dürfen nur dann untereinander kommunizieren, wenn die Richtlinien dies explizit erlauben.

Die Endpunktgruppen von ACI sind unabhängig vom physischen Standort eines Netzwerks, da sich die Anwendungen abhängig von der Netzwerklast mal auf dem einen, mal auf einem anderen Server befinden können. Eine EPG kann Anwendungskomponenten festlegen oder die Webschnittstellenkomponenten einer Anwendung getrennt von den Verarbeitungskomponenten in einer anderen EPG unterbringen.

Die Segmentierung wird durch Layer-4-Firewalls erzwungen, die in jeden Netzwerkpfad eingefügt werden. Die Firewalls untersuchen jedes Paket und verwerfen Pakete, die vorgeschriebene Regeln nicht einhalten. Sicherheitsdienste, etwa Intrusion Prevention Systems (IPS) und Deep Packet Inspection (DPI), können in Netzwerkpfade eingebaut werden.

Distributed Security System (DSS) von vArmour analysiert jedes Paket, um Angriffe zu erkennen und die Trennung einzuhalten. Darüber hinaus dehnt DSS die Sichtbarkeit auf mehrere Clouds aus. Somit lassen sich konsistente Richtlinien für Anwendungen realisieren, die auf eine Public und eine Private Cloud aufgeteilt sind.

Sensoren überwachen den gesamten Netzwerk-Traffic und untersuchen jedes Paket bis zu Layer 7, der Anwendungsebene. Dabei tauschen sie Informationen Cloud-übergreifend und innerhalb von Clouds aus, um Attacken zu entdecken. Traffic-Muster werden analysiert, um Angriffe zu erkennen und, bei Bedarf, Sicherheitsrichtlinien zu aktualisieren. Jede Anwendung wird durch eine Täuschungserkennung geschützt, die Angriffsversuche von der Anwendung weglenkt.

Big Monitoring Fabric von Big Switch Networks dient als Software-defined Network, das parallel zum Switching-Netzwerk betrieben wird. Diese Lösung besteht aus Bare-Metal-Switch-Hardware, die mit Netzwerk-Switch-Tap- und SPAN-Ports verbunden ist. Jede Big-Monitoring-Fabric-Einheit erfasst den Input von bis zu 20 Switches. Fabric-Einheiten sind mit anderen Fabric-Einheiten verbunden, und alle werden von einem Controller verwaltet. Dienste wie Deduplizierung und Deep Packet Inspection können in x86-basierten Serviceknoten ausgeführt werden. Der Controller stellt eine offene Schnittstelle zur Verfügung, die Tools für die Malware-Erkennung und die Performance-Analyse den Zugriff auf die gesammelten Daten ermöglicht.

Flexible Tools für SDN-Sicherheitsherausforderungen

In der Vergangenheit waren Erkennungs-Tools, wie Firewalls und Deep Packet Inspection, in Hardware-Appliances implementiert, aber Anwendungen haben in Software-defined Networks keinen festen Platz mehr, und die Netzwerkpfade ändern sich. Hardware-Appliances mit festen Netzwerkverbindungen können sich nicht so rasch an geänderte Pfade anpassen. Virtualisierte Tools, die bei einer Reihe von Anbietern erhältlich sind, machen es jetzt möglich, das Tool mit dem Datenpfad zu verschieben.

Die aktuellen Sicherheitsprodukte von wissenschaftlichen Einrichtungen und Anbietern lassen es fast so scheinen, als würden sie alle erdenklichen Angriffsvektoren auf ein Software-defined Network verhindern, doch die Erfahrung sieht oft anders aus. Die Produkte werden ohne Zweifel besser werden müssen, wenn Software-defined Networks auf breiterer Basis bereitgestellt werden und zusätzliche SDN-Sicherheitsherausforderungen und -Schwachstellen zutage treten.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheit im Software-defined Network (SDN): Chancen und Risiken

DNS-Sicherheit in SDN-Umgebungen

Maßnahmen für eine sicherere SDN-Architektur

SDN-Sicherheit mit passendem Risiko-Management-Plan verbessern

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close