日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

最近關于美國國家安全局在IT基礎架構植入后門事件的報道很多，其中軟件定義網(wǎng)絡(SDN)肯定也會成為間諜竊聽的目標。

事實上，在這些技術成為主流之前，整個行業(yè)都必須解決一些SDN安全問題，同時要讓網(wǎng)絡工程師保證SDN基本軟件堆的完整性。

就職于一家全球網(wǎng)絡公司的網(wǎng)絡工程師Nick Buraglio說：“NSA事件讓我重新思考了一下這個問題。當轉(zhuǎn)發(fā)控制面板與各個設備完全無關，而且控制面板只有一兩臺Linux設備時，這意味著什么?如果有人攻擊了這臺設備呢?他們可以隨意改變您的流量流。”

ONF已經(jīng)發(fā)現(xiàn)了兩個基本的SDN安全問題

SDN社區(qū)已經(jīng)知道這個問題。負責管理OpenFlow協(xié)議的開放網(wǎng)絡聯(lián)盟(ONF)在去年10月發(fā)表了一篇論文，文中指出了兩個潛在的SDN安全問題，也是行業(yè)必須封堵的兩個攻擊途徑：

集中控制是一個“潛在的單點攻擊和故障源”。

控制器與數(shù)據(jù)轉(zhuǎn)發(fā)設備之間的南向接口(如OpenFlow)很容易“受到攻擊而降低網(wǎng)絡的可用性、性能和完整性?！?/p>

Matthew Palmer是SDNCentral.com的共同創(chuàng)始人和SDN供應商及云服務提供商咨詢公司W(wǎng)iretap Ventures的合伙人，他說：“我們從客戶聽到的最主要的反饋是：‘我們把安全性視為SDN的首要問題?！?/p>

SDN控制器將成為攻擊目標

SDN控制器是黑客一個主要攻擊目標，因為它既是一個集中的網(wǎng)絡干擾點，也是一個潛在的單點故障源。

Voodoo Security安全咨詢師和IANS領導成員Dave Shackleford說：“如果不注意控制器，那么它會成為攻擊者的最重要目標，他們可能會輕松攻破它，修改代碼庫，改變流量控制，從而在一些位置過濾或藏匿數(shù)據(jù)，任由攻擊者操控數(shù)據(jù)。”

“只需要修改控制器，攻擊者就會有許多機會修改網(wǎng)絡流量行為的整個運行基礎。我們遇到的問題是前所未有的。即使傳統(tǒng)網(wǎng)絡管理工具也無法這樣靈活地動態(tài)修改各個節(jié)點的網(wǎng)絡行為。”

SDN控制器的可編程性是一把雙刃劍。工程師可以在控制器的北向接口上安裝安全應用程序，從而得到一種在網(wǎng)絡中應用安全策略的新方法。這些應用程序可以指示控制器交換機和路由器，然后將它們作為策略執(zhí)行點。

然而，這種可編程北向接口也是一個潛在的漏洞。這些應用程序可以通過控制器對網(wǎng)絡進行重新編程。黑客可以欺騙工程師安裝一些受攻擊的應用程序。由于對控制器上運行的良性應用程序有足夠的了解，所以黑客只需要給網(wǎng)絡發(fā)送一些精心設置的數(shù)據(jù)包，就可以控制網(wǎng)絡去做一些完全讓人出乎意料的事情。

非盈利性研究與創(chuàng)新中心SRI International的項目主管Phil Porras說：“OpenFlow應用程序之間可以相互影響。它們可以插入一些組合規(guī)則，產(chǎn)生讓人意想不到和不想看到的交叉效應?！?/p>

SDN控制器通常還不無法讓安全應用程序獲得高于其他應用程序的通信優(yōu)先級。如果控制器不知道如何處理與安全策略沖突的應用請求，那么即使是一個無惡意的應用程序也可能破壞安全策略。

Porras說：“假設OpenFlow安全應用程序認為有一個內(nèi)部主機的運行方式像是感染了病毒。那么這個安全應用程序就會隔離這個主機，去除它與網(wǎng)絡的通信能力。同時，有一個負載均衡應用程序可能會監(jiān)視這個主機，然后讓網(wǎng)絡中負載最小的主機接管它的負載。這樣負載均衡應用程序就會決定讓流量開始轉(zhuǎn)到被隔離的主機上?！?p#

SE-Floodlight：一個面向更智能的安全控制器的模型

Porras說：“我們正在尋找方法約束SDN應用，從而保證一些特定的策略一定會執(zhí)行。這些OpenFlow應用并不一定是惡意應用。它們可能只是完全不知道有哪些安全策略。”

Porras已經(jīng)開發(fā)出SE-Floodlight，它是基于開源Floodlight OpenFlow控制器修改的版本，專門用于保證安全應用程序的完整性。

Porras說：“SE-Floodlight引入了一個概念，即OpenFlow應用可以運行在分級角色上。這些角色將由數(shù)字認證技術指派?！?/p>

他指出，通過使用SE-Floodlight，工程師就可以給安全應用程序指定高于其他應用程序的優(yōu)先級。當有一個負載均衡應用給控制器發(fā)送的流量規(guī)則與安全應用程序策略發(fā)生沖突時，這個控制器就可能拒絕這個規(guī)則。此外，它還會給負載均衡應用程序發(fā)送反饋，使它知道必須尋找其他方法來轉(zhuǎn)發(fā)流量。

Porras說：“我認為，如果我們準備在金融服務網(wǎng)絡、醫(yī)療網(wǎng)絡或政府網(wǎng)絡中使用OpenFlow，那么必須用到現(xiàn)在SE-Floodlight所做的工作。我們需要使用一個強力的安全模型，保證添加SDN不會消弱一些組件的安全性。我認為，SDN供應商和標準委員會都應該更認真地審視OpenFlow的安全架構。我接觸的許多供應商都很關注這個問題?！?/p>

南向接口安全性

ONF還發(fā)現(xiàn)控制器與數(shù)據(jù)轉(zhuǎn)發(fā)設備之間的南向通信也容易受到攻擊。OpenFlow等南向接口協(xié)議有一個基礎身份認證技術，它可以防止黑客從控制器向交換機發(fā)送欺騙性的流命令。然而，Palmer指出，工程師應該要求SDN供應商驗證他們已經(jīng)在控制器和SDN交換機之間實現(xiàn)了正確的身份驗證證書。

但是，黑客可能不會試圖劫持南向接口，因為還有更簡單方法可以破壞它。黑客可能會針對控制器、交換機或虛擬交換機等發(fā)起拒絕服務攻擊。

Porras說：“有人可能會讓控制面板保持高負載，或者讓控制面板與數(shù)據(jù)面板之間的接口保持高負載，這樣可能降低整個網(wǎng)絡的運行速度。我們會看到一些對抗模型，其中‘攻擊目標’并不會試圖讓網(wǎng)絡徹底崩潰，而是通過發(fā)送大量的數(shù)據(jù)包來讓數(shù)據(jù)面板和控制面板發(fā)生過量交互?！?/p>

我們應該如何處理SDN安全問題?

工程師沒有必要因為安全問題而放棄SDN。每一種環(huán)境都有不同程度的風險容忍力。而且，現(xiàn)在大多數(shù)SDN部署都處于試用或概念驗證階段。然而，如果注意這些問題，工程師就可以自行采取一些措施來保護SDN軟件堆棧。

Buraglio說：“要盡力鎖定控制器。不要讓任何沒有正當理由通過的東西進出控制器。要保持控制器的更新。要給它設置基線。要記錄CPU使用率、內(nèi)存使用率和接口統(tǒng)計信息。要收集所有的數(shù)據(jù)，然后在設備上設置臨界值和警報?！?/p>

Shackleford指出，工程師需要在SDN控制器上應用與敏感數(shù)據(jù)服務器相同級別的安全性，如信用卡號和知識產(chǎn)權等。

他說：“我們必須關注于完整性監(jiān)控，格外警惕日志報告，對訪問實施多重身份驗證。我們必須保證所有這些方面都有分層次訪問?！?/p>

但是，在SDN技術的安全性和完整性得到驗證之前，它還不會用于主流生產(chǎn)部署?？刂破鞴逃绕湫枰驖撛诳蛻糇C明這一點。

Palmer說：“這并不是一個安全問題。這是一個合規(guī)性問題。除非他們可以向合規(guī)性團隊證明SDN在安全性方面能夠和遺留系統(tǒng)做得一樣好，否則他們是不會同意部署的?！?/p>

Palmer預計供應商將會在2015年開始證明SDN軟件堆棧的安全性。他說：“2014年是SDN的概念驗證之年。人們都在試用這項技術。我認為，一些重要的安全功能將會浮出水面。但是，我們?nèi)匀恍枰却荒昊蛞荒臧霑r間，這些安全特性才會真正進入控制器和其他SDN產(chǎn)品中?！?/p>
分享標題：SDN安全：SDN軟件堆棧是否安全?
轉(zhuǎn)載來于：http://m.5511xx.com/article/djedsch.html