Internet Technologies of the New Generation

researches in the area of computer networks and internet technologies in Russia, developement of the most breakthrough computer networks technologies of the new generation

Безопасность в компьютерных сетях нового поколения

SDN-сети имеют две особенности, делающие их особо привлекательными для киберпреступников, и довольно непривычными для менее подготовленных сетевых администраторов: 

1. Возможность управлять сетью с помощью программного обеспечения (часто имеющего уязвимости);

2. Централизованное управление сетью из контроллера. 

Таким образом, любой, у кого есть доступ к серверам, хранящим в себе управляющее программное обеспечение, может потенциально контролировать всю сеть. 

В своё время был проведен эксперимент с контроллерами OpenDayLight, Floodlight, Beacon и Pox, на которых запустили одинаковые приложения: одно провоцировало утечку памяти, другое пыталось получить доступ к структурам данных, с которыми работал контроллер, третье – запускало выход из системы. В результате все четыре контроллера рухнули. Это говорит о том, что если в котроллере не выделяется внимания изоляции приложений друг от друга, так, чтобы каждое работало в своем sandbox’e, будут проблемы. 

Существуют основные атаки, которые специфичны для SDN-сетей. В плоскости данных это вопросы атак с использованием вредоносного кода, DDoS атаки, атаки сетевых устройств внутри сети, вредоносные устройства в сети и уязвимости программного обеспечения, куда относятся неустойчивость кода к внешним воздействиям и код с уязвимостями. В плоскости управление требуется обеспечить управление авторизацией доступа для сетей приложений, настроить аутентификацию доступа приложений на плоскость данных. При этом сеть должна обслуживать требования бизнес приложений, и логика данных приложений определяет способы обеспечения безопасности.

В каналах связи OpenFlow в свою очередь используются протоколы SSL/TLS, которые не являются обязательными, происходит аутентификация между контроллерами и OpenFlow– устройствами, поддерживается насыщенность канала. На уровне контроллера необходимо обеспечить безопасность контроллера как такового, исключив возможность компрометации контроллера, поскольку это позволит атакующим управлять всей сетью, обеспечить целостность котроллера и строгий механизм аутентификации доступа к нему, необходимо предотвратить DDoS атаки на контроллер и исключить внедрение в него нежелательной информации.

Компрометация OpenFlow-коммутатора – очень большая проблема. Взять, например, вокзал, аэропорт или бизнес-центр. Понятно, что с точки зрения традиционной инфраструктуры нельзя в общедоступных местах выставить роутер, поскольку компрометация роутера приведет к компрометации всей сети. С этой точки зрения SDN очень полезен: можно поставить очень простой компактный OpenFlow–коммутатор, а интеллект при этом спрятать в комнате под жестким административным контролем.  

В SDN проблемы с аутентификацией, авторизацией и аккаунтингом до конца еще не решены. Здесь предстоит еще многое сделать, чем и занимается Центр Прикладных Исследований Компьютерных сетей.