ЦПИКС

(Центр Прикладных Исследований Компьютерных Сетей)

ЦПИКС - исследовательский проект по созданию технологий и продуктов для компьютерных сетей нового поколения в России. Мы развиваем и внедряем новейшие и перспективные технологии в области компьютерных сетей и интернета, демонстрируем и проверяем эффективность этих технологий на задачах промышленности и бизнеса. Резидент ИТ-кластера инновационного Фонда «Сколково».

Безопасность в компьютерных сетях нового поколения

SDN-сети имеют две особенности, делающие их особо привлекательными для киберпреступников, и довольно непривычными для менее подготовленных сетевых администраторов:

1. Возможность управлять сетью с помощью программного обеспечения (часто имеющего уязвимости);

2. Централизованное управление сетью из контроллера.

Таким образом, любой, у кого есть доступ к серверам, хранящим в себе управляющее программное обеспечение, может потенциально контролировать всю сеть.

В своё время был проведен эксперимент с контроллерами OpenDayLight, Floodlight, Beacon и Pox, на которых запустили одинаковые приложения: одно провоцировало утечку памяти, другое пыталось получить доступ к структурам данных, с которыми работал контроллер, третье – запускало выход из системы. В результате все четыре контроллера рухнули. Это говорит о том, что если в котроллере не выделяется внимания изоляции приложений друг от друга, так, чтобы каждое работало в своем sandbox’e, будут проблемы.

Существуют основные атаки, которые специфичны для SDN-сетей. В плоскости данных это вопросы атак с использованием вредоносного кода, DDoS атаки, атаки сетевых устройств внутри сети, вредоносные устройства в сети и уязвимости программного обеспечения, куда относятся неустойчивость кода к внешним воздействиям и код с уязвимостями. В плоскости управление требуется обеспечить управление авторизацией доступа для сетей приложений, настроить аутентификацию доступа приложений на плоскость данных. При этом сеть должна обслуживать требования бизнес приложений, и логика данных приложений определяет способы обеспечения безопасности.

В каналах связи OpenFlow в свою очередь используются протоколы SSL/TLS, которые не являются обязательными, происходит аутентификация между контроллерами и OpenFlow– устройствами, поддерживается насыщенность канала. На уровне контроллера необходимо обеспечить безопасность контроллера как такового, исключив возможность компрометации контроллера, поскольку это позволит атакующим управлять всей сетью, обеспечить целостность котроллера и строгий механизм аутентификации доступа к нему, необходимо предотвратить DDoS атаки на контроллер и исключить внедрение в него нежелательной информации.

Компрометация OpenFlow-коммутатора – очень большая проблема. Взять, например, вокзал, аэропорт или бизнес-центр. Понятно, что с точки зрения традиционной инфраструктуры нельзя в общедоступных местах выставить роутер, поскольку компрометация роутера приведет к компрометации всей сети. С этой точки зрения SDN очень полезен: можно поставить очень простой компактный OpenFlow–коммутатор, а интеллект при этом спрятать в комнате под жестким административным контролем.

В SDN проблемы с аутентификацией, авторизацией и аккаунтингом до конца еще не решены. Здесь предстоит еще многое сделать, чем и занимается Центр Прикладных Исследований Компьютерных сетей.