Essential Guide

Einführung in Software-defined Networking (SDN)

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Software-defined Networking: Netzwerk-Attacken mit SDN abwehren

SDN erweitert nicht nur die Netzwerkfunktionen. Dank der zusätzlichen Intelligenz glänzt SDN beim Thema Netzwerksicherheit mit neuen Ansätzen.

Software-defined Networking (SDN) verlagert die Netzwerkkontrolle in einen dedizierten SDN Controller. Dieser verwaltet...

und vermittelt alle Funktionen und Dienste von physischen und virtuellen Netzwerken. Dank dieser Abstraktion und zusätzlichen Kontrolle ermöglichen auf SDN basierende Sicherheitsstrategien deutlich genauere Paketanalysen, eine detaillierte Netzwerküberwachung sowie genauere Kontrolle über den Netzwerk-Traffic. Richtig eingesetzt lassen sich Netzwerkattacken deutlich besser abwehren.

Aufstieg von Software-defined Monitoring

Microsoft hat kürzlich sein eigene, interne OpenFlow-basierte Überwachungsplattform vorgestellt. Die Lösung nennt sich Distributed Ethernet Monitoring, kurz DEMON. Dieses Tool soll bei der Überwachung und Fehlersuche in Microsofts Cloud-Netzwerk helfen. Die Lösung war notwendig geworden, weil das Traffic-Volumen die bislang eingesetzten, tausende Netzwerkverbindungen überlastete und die traditionellen Methoden wie SPAN oder Mirror Ports nicht genügend Leistung brachten.

Indem flexible Switche und andere Netzwerk- komponenten Pakete inspizieren und abfangen können, lässt sich der Großteil aktueller Attacken erkennen und abwehren.

Indem Switche und andere Netzwerkgeräte in Packet-Inception-und Redirection-Plattformen umgewandelt werden, können Sicherheitsteams potentiell eine ganze Reihe bekannte Attacken herausfinden und abwehren. Für diese Art der SDN-basierten Netzwerküberwachung etabliert sich in der Industrie der Begriff Software-defined Monitoring. Mit dieser Funktion können Switches, die SDN unterstützten, als Paket Broker und -Controller arbeiten, mit denen sich die Netzwerke überwachen und analysieren lassen.

SDN für Überwachung und Paketanalyse verwenden

Im ersten Schritt können relativ günstige Switches mit SDN-Unterstützung, etwa von IBM, Juniper, HP oder AristaNetworks, die Aufgaben deutlich teurerer Packet Broker übernehmen. Ähnlich wie beim Einsatzszenario von Microsoft können Sie damit eine große Anzahl von Paketen und Netzwerk-Flows aggregieren und an mehrere Plattformen zur Analyse schicken. Eine erste Schicht der Switches kann die Capturing-Aufgaben durchführen und die Pakete zur Analyse an eine zweite (oder dritte) Schicht von Switches schicken. Diese Switches können den Traffic aus verschiedenen Quellen zusammenfassen und die aggregierten Daten an andere Monitoring-Dienste oder -Plattformen übertragen.

Ein OpenFlow-kompatibler SDN Controller (der im Idealfall auch sFlow-kompatibel ist), etwa ein Big –Switch-Controller, lässt sich verwenden um andere SDN-kompatible Switche zu programmieren und verwalten. Zusätzlich lässt sich Software wie etwa Big Switch Big Tap nutzen, um die eingehenden Daten zu filtern, zu analysieren und herkömmliche Monitoring-Funktionen in SDN-Umgebungen nachzustellen.

In diesem Kontext können Tools zur Paketanalyse Daten von SDM-Ports empfangen und verarbeiten. So können die SDM-Ports mit Hardware-Tools wie Packet Brokern und forensischen Netzwerkgeräten oder Software-basierten Tools wie Wireshark zusammenarbeiten.

Wie sich SDN zur Abwehr von Netzwerkangriffen eignet

SDN erlaubt selbst in komplexen Netzwerkumgebungen bislang unbekannte Einsichten. Das ermöglicht Controllern und Switches zahlreiche Paketattribute zu identifizieren. Das wiederum bietet beispielsweise die Möglichkeit, Denial-of-Service-Attacken automatisiert zu blockieren oder den Traffic umzuleiten.

Tatsächlich kann SDN eine ganze Reihe von Attacken kontern, darunter:

  • Volumetrische Attacken, beispielsweise SYN Floods: Bei diesen Attacken schicken die Angreifer eine große Anzahl von TCP Paketen, bei denen nur das SYN-Attribut gesetzt wurde. Damit läßt sich die Bandbreite verstopfen und gezielt die Warteschlangen eines Servers auslasten. Entsprechend programmierte SDN-Switche können diese Angriffe erkennen und als erste Verteidigungslinie agieren. Wird eine entsprechende Attacke erkannt, können diese Switche die Annahme der Pakete verweigern oder die Daten umleiten. Die meisten aktuellen Router und Netzwerkplattformen verfügen noch nicht über so eine granulare Kontrollmöglichkeit.
  • Attacken auf Applikationen und Dienste: Diese Angriffe attackieren Dienste und Anwendungen, meist über spezielle http-Anfragen (etwa indem sie manipulierte User-Agent-Strings mit speziellen Cookies nutzen). SDN-fähige Geräte können diese Attacken identifizieren, aufzeichnen und ins Leere laufen lassen.
  • DDoS-Attacken: Diese Attacken füllen die State Tables der Netzwerkkomponenten, mit Hilfe von SDN lassen sie sich aber leicht abfangen.

Zusätzlich kann SDN zahlreiche einfache Firewall-Funktionen emulieren. Controller können beispielsweise Skripte anstoßen, mit denen Filter für MAC- und IP-Adressen oder verfügbare Ports schnell mit neuen Informationen angepasst werden können. Wird bösartiger oder unnötiger Traffic direkt in der ersten Kommunikationsreihe blockiert oder ignoriert, so sorgt dies nicht nur für zusätzliche Sicherheit, zeitgleich werden alle anderen Komponenten im Netzwerk deutlich entlastet.

Aktuell kratzen wir nur an der Oberfläche dessen, was SDN an Sicherheitsfunktionen bietet. Dank der Fähigkeit, ungemein große Mengen von Netzwerk-Traffic verarbeiten und dabei auf spezielle Paketattribute genau eingehen zu können, ermöglicht deutlich mehr Funktionen als einfache Filter oder das Aufspüren von DDoS-Angriffen. Weiterentwickelte Intrusion Detection Systeme und neue Reaktionsmöglichkeiten sind nicht mehr nur in der Theorie denkbar, sondern auch in der Praxis möglich.

Artikel wurde zuletzt im Juli 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Einführung in Software-defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close