網路虛擬化 軟體定義 SDN 資安 安全 網路

續談SDN:做SDN的安全

2014-02-14
儘管南北向通信安全的規範仍有補強空間,但由這些攻擊途徑來看,SDN網路上面臨的安全威脅本質上與傳統網路沒有太大差別,資安業界過去在傳統網路的安全技術與經驗應可支持SDN網路的防護需求。只是如何方便且有效的部署,目前還未成熟。
時序已到了2014年初,目前可行性最高也最為實際的SDN應用就是在數據中心實現網路虛擬化和自動化,讓網路資源可以與計算資源、存儲資源一起協同調度,達到減低管理複雜度與營運成本,也就是「虛擬數據中心」的概念。

資訊安全一向是架構數據中心的頭號課題,不管是實體的或是虛擬的。上個月我們討論到SDN架構下可能存在的攻擊目標,這次我們來看看駭客對於「虛擬數據中心」的SDN元件可能的攻擊手法與途徑:

資料層—攻擊者在網路中發送惡意封包,用大量假造的二、三層位址來耗竭交換器內寶貴的TCAM記憶體或其他資源。此外,依OpenFlow協議,交換器會將Flow Table中未定義的封包轉發到控制器處理(被動模式),因此同時在多個網段上發送假造的封包也可引發對控制器的DDoS攻擊。

交換器本機—攻擊者針對個別交換器的弱點進行攻擊,取得交換器的控制權後,中斷或竊取資料流,或改變資料內容。雖然大部分交換器都屬於封閉式系統,較不易為外人入侵,但這類弱點還是偶有可聞,最近發現某些路由器的TCP/32764後門,就是一個例子。

南向界面—由於OpenFlow 1.3.0版在控制器與交換器之間的通信規範上仍不完善(http://goo.gl/g41p8p),攻擊者可以利用這些安全漏洞,偽冒控制器或交換器,篡改控制指令、交換器狀態或統計資訊,來改變網路行為以遂行攻擊者的目的。

控制器—攻擊者利用控制器本身或底層作業系統的弱點進行攻擊。目前有許多控制器是開源的,而且安裝在一般個人電腦的作業系統(Linux、Windows、Mac),這些系統的安全弱點是駭客比較熟知而且容易分析的,但相對來說也比較容易以現有入侵防禦技術克服。

北向界面—目前控制器與應用程式間的通信,在身分認證、資料加密、權限管理上並沒有標準規範,攻擊者可以利用這些安全漏洞進行非法訪問控制器或者從中竊取資訊。

北向應用程式—與手機惡意程式的攻擊手法類似,攻擊者在SDN應用程式中植入惡意代碼後,發佈給不知情的使用者安裝,以更改對控制器發送的服務請求內容,或竊聽網路訊息。

儘管南北向通信安全的規範仍有補強空間,但由這些攻擊途徑來看,SDN網路上面臨的安全威脅本質上與傳統網路沒有太大差別,資安業界過去在傳統網路的安全技術與經驗應可支持SDN網路的防護需求。只是如何方便且有效的部署,目前還未成熟。但總的來說,我想在「做SDN的安全」這部分,困難的不會是資安本身,而是生意模式。下一次我們再來談「用SDN做安全」。

(本文作者現任趨勢科技網路威脅防禦技術部副總經理)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!