如今越來(lái)越多的企業(yè)開(kāi)始考慮部署軟件定義網(wǎng)絡(luò )(SDN),但是安全問(wèn)題成為了他們的最大顧慮。企業(yè)希望了解SDN產(chǎn)品是如何確保他們的應用、數據和基礎設施免受攻擊的。在引入SDN時(shí)必須要制定出能夠確保控制層流量安全的新策略。本文將評估對SDN系統的攻擊途徑,分享一些能夠確保具有SDN功能的虛擬網(wǎng)絡(luò )基礎設施安全的方法。此外,本文還將就一些被認為能夠保證SDN部署安全的方法進(jìn)行探討。
一、SDN攻擊途徑多多
SDN是一種連網(wǎng)方式,為了支持虛擬化其將控制層從轉發(fā)層中分離出來(lái)。SDN是網(wǎng)絡(luò )虛擬化的一個(gè)新范式。大部分SDN架構模型都有三個(gè)層:底層是具有SDN功能的網(wǎng)絡(luò )設備,中間層是SDN控制器,上層包括請求或配置SDN的應用與服務(wù)。雖然許多SDN系統相對較新,并且仍然沒(méi)有走出早期部署者的小圈子,但是可能肯定的是,隨著(zhù)技術(shù)的不斷成熟,SDN將會(huì )被廣泛部署,并將成為攻擊者的目標。
我們預測了幾種對SDN系統的攻擊途徑。SDN的安全顧慮主要集中在對不同SDN架構層的攻擊。讓我們看一下每一層可能會(huì )發(fā)生的攻擊。下圖展示了一個(gè)典型的SDN架構和攻擊者可能的方向。
二、對數據層(平面)的攻擊
攻擊者可能會(huì )將攻擊目標鎖定為網(wǎng)絡(luò )中的網(wǎng)元。理論上,攻擊者能夠非法獲取對網(wǎng)絡(luò )的物理或虛擬訪(fǎng)問(wèn)權,或是威脅到已與SDN連接的主機,然后發(fā)動(dòng)攻擊破壞網(wǎng)元的穩定性。這種攻擊類(lèi)似于拒絕服務(wù)(DoS)攻擊,或是一種企圖攻擊網(wǎng)元的模糊攻擊。
目前控制器與網(wǎng)元之間的通信使用了大量的南向API(應用程序編程接口)和通信協(xié)議。SDN南向通信可能會(huì )用到OpenFlow(OF)、Open vSwitch 數據庫管理協(xié)議 (OVSDB)、路徑計算單元通信協(xié)議 (PCEP)、路由系統接口(I2RS)、 BGP-LS、OpenStack Neutron、開(kāi)放管理基礎設施(OMI)、Puppet、Chef、Diameter、Radius、NETCONF、可擴展消息處理現場(chǎng)協(xié)議(XMPP)、定位/標識分離協(xié)議(LISP)、簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議(SNMP)、CLI、嵌入式事件管理器(EEM)、思科onePK、應用中心基礎設施(ACI)、Opflex等協(xié)議。這些協(xié)議各自都有著(zhù)一些確保與網(wǎng)絡(luò )單元通信安全的方法法。盡管如此,許多協(xié)議都非常新,部署者們可能并沒(méi)有以最安全的方式設置它們。
攻擊者可以利用這些協(xié)議嘗試著(zhù)將一些新流實(shí)例化至設備的流表中。攻擊者會(huì )企圖偽造一些新流,以讓不應當通過(guò)網(wǎng)絡(luò )的流量被允許通過(guò)。盡管流量定向負責指導流量通過(guò)防火墻,但如果攻擊者能夠創(chuàng )建一個(gè)可繞開(kāi)流量定向的流,那么攻擊者無(wú)疑將獲勝。如果攻擊者能夠控制流量轉向自己設定的方向,那么他們可能會(huì )嘗試利用這一功能對流量進(jìn)行嗅探,然后發(fā)動(dòng)“中間人(MITM)”攻擊。
此外,攻擊者還可以對流進(jìn)行竊聽(tīng),查找到哪些流正在被使用,哪些流量被允許通過(guò)網(wǎng)絡(luò )。同時(shí)他們會(huì )嘗試竊聽(tīng)網(wǎng)元與控制器之間的南向通信。這些信息對于重播攻擊或是偵察都非常有用。
許多SDN系統被部署在數據中心內,而數據中心則通常使用數據中心互聯(lián)協(xié)議(DCI)。這些協(xié)議包括使用基本路由封裝的網(wǎng)絡(luò )虛擬化(NVGRE)、無(wú)狀態(tài)傳輸通道(STT)、虛擬可擴展局域網(wǎng)(VXLAN)、思科OTV、二層多路徑(L2MP)、基于TRILL的協(xié)議(如思科FabricPath、瞻博QFabric、博科VCS Fabric)、最短路徑橋接(SPB)等協(xié)議。這些協(xié)議有的缺乏身份認證,有的沒(méi)有采用加密技術(shù),因而無(wú)法保證數據包內容的安全。此外一些新協(xié)議由于協(xié)議設計或是廠(chǎng)商和客戶(hù)在部署協(xié)議時(shí)的方式不當等問(wèn)題導致存在弱點(diǎn)。攻擊者可以自己偽造流量,并讓它們通過(guò)DCI連接或是對DCI連接發(fā)動(dòng)DoS攻擊。
三、對控制器層的攻擊
SDN控制器肯定是攻擊的目標。攻擊者會(huì )出于多種目的對SDN控制器進(jìn)行攻擊。他們可能會(huì )通過(guò)偽造發(fā)往網(wǎng)絡(luò )設備的北向API信息或是南向信息從而實(shí)例化新的流。如果攻擊者能夠成功偽造來(lái)自合法控制器的流,那么將能夠隨心所欲地讓流量通過(guò)SDN,并可能繞開(kāi)為確保安全所制定的策略。
攻擊者可能會(huì )嘗試對控制器發(fā)動(dòng)DoS攻擊,或是使用其他方法使控制器發(fā)生故障。此外,攻擊者還會(huì )嘗試對控制器發(fā)動(dòng)一些資源消耗型攻擊,以癱瘓控制器,讓控制器反應遲鈍并降低它們發(fā)送和接收數據包的速度。
很多時(shí)候,SDN控制器是運行在在某種Linux操作系統上的。如果SDN控制器是在通用操作系統上運行,那么該操作系統的弱點(diǎn)就是控制器的弱點(diǎn)。通常控制器使用的都是默認密碼,且沒(méi)有對安全設置進(jìn)行配置,SDN工程師往往只讓這些控制器能工作就行,由于擔心搞壞它們,SDN工程師往往不愿意去碰它們,這會(huì )導致最終產(chǎn)品很脆弱。
最后,如果攻擊者創(chuàng )建了自己的控制器,并讓單元信任那些來(lái)自“流氓”控制器的流,那么情況將非常糟糕。攻擊者隨后可以在網(wǎng)元的流表中創(chuàng )建條目,如此一來(lái)SDN工程師將無(wú)法在控制器中發(fā)現這些流。如此一來(lái),攻擊者將會(huì )徹底控制網(wǎng)絡(luò )。
四、對SDN層的攻擊
對北向協(xié)議進(jìn)行攻擊可能也是一條途徑。目前SDN控制器也在使用許多北向API。北向API通常使用Python、Java、C、REST、XML、JSON等語(yǔ)言。如果攻擊者能夠利用北向API的弱點(diǎn),那么他們將可通過(guò)控制器控制整個(gè)SDN網(wǎng)絡(luò )。如果控制器對北向API缺乏安全防護措施,那么攻擊者則可創(chuàng )建他們自己的SDN策略,并從而獲得SDN環(huán)境的控制權。
很多時(shí)候,REST API使用的都是默認密碼,這個(gè)細節至關(guān)重要。如果SDN部署沒(méi)有修改默認密碼,那么攻擊者則能夠創(chuàng )建針對控制器管理接口的數據包,隨后可以查詢(xún)到SDN環(huán)境的配置并修改成自己的配置。
五、 如何提升SDN系統的安全性?
隨著(zhù)SDN的部署,確保控制平面流量的安全性需要新的做法。在傳統的IP網(wǎng)絡(luò )中,控制平面的安全是以路由協(xié)議安全措施的形式得以保證的,這包括使用針對EIGRP、IS-IS或OSPFv2的 MD5(信息摘要算法5)加密技術(shù),或針對OSPFv3的IPsec AH,或針對MP-BGP的GTSM/ACL/密碼。然而一些人甚至DPI沒(méi)有使用這些針對傳統IP網(wǎng)絡(luò )的簡(jiǎn)單技術(shù)。如果他們在部署SDN時(shí)依然以同樣的態(tài)度漠視安全,那么無(wú)疑會(huì )讓機構暴露在攻擊危險之中。下面讓我們來(lái)看下如何通過(guò)強化上述三個(gè)層面的安全來(lái)確保整個(gè)SDN系統的安全。
六、 確保數據平面安全
典型的SDN系統通常使用的是x86處理器和TLS(前身為SSL)保護控制平面安全。這些使用已久的HTTP會(huì )話(huà)易于遭受危及數據平面安全的攻擊。機構應當使用TLS來(lái)認證和加密網(wǎng)絡(luò )設備端與控制器之間的流量。使用TLS可幫助驗證控制器和網(wǎng)絡(luò )設備/SDN端,防止竊聽(tīng)和偽造南向通信。
根據所使用南向協(xié)議的不同類(lèi)型,確保南向通信的安全有許多種選擇。一些協(xié)議可像之前所說(shuō)的那樣應用到TLS對話(huà)。一些協(xié)議可使用共享密鑰和/或隨機密碼阻止重播攻擊。SNMPv3協(xié)議遠勝SNMPv2c,SSH遠勝于Telnet。一些專(zhuān)有南向協(xié)議可能有著(zhù)自己的方法阻止攻擊者的竊聽(tīng)和偽造行為。
同樣,根據所使用的數據中心互聯(lián)(DCI)協(xié)議,認證隧道端點(diǎn)和保護隧道流量安全方面也有著(zhù)不同的配置選項。密碼/共享密鑰同樣是一種選擇。盡管如此,部分DCI協(xié)議可能沒(méi)有任何安全選項。
有的機構可能會(huì )認為專(zhuān)用網(wǎng)絡(luò )具有一些與生俱來(lái)的安全特性。但是隨著(zhù)機構將虛擬網(wǎng)絡(luò )和SDN擴展至云服務(wù)和遠程數據中心上,對物理路徑進(jìn)行驗證可能并非易事。當機構用戶(hù)控制著(zhù)物理訪(fǎng)問(wèn)權時(shí),阻止未經(jīng)授權的訪(fǎng)問(wèn)更為容易,但是隨著(zhù)網(wǎng)絡(luò )的虛擬化,實(shí)際的物理路徑正變得越來(lái)越模糊,使得保護自己無(wú)法看見(jiàn)的東西的安全變得非常困難。
七、確保控制器層安全
控制器是一個(gè)關(guān)鍵的攻擊目標,因此必須要強化其安全。提升控制器和網(wǎng)元的安全通常需要強化主機操作系統的安全性。所有關(guān)于提升面向公公共Linux服務(wù)器安全性的最佳實(shí)踐都非常適用。此外,機構仍然需要嚴密監視其控制器,防范任何可疑行為。
機構還需要阻止對SDN控制網(wǎng)絡(luò )的非授權訪(fǎng)問(wèn)。SDN系統應當考慮到安全配置,并驗證訪(fǎng)問(wèn)控制器的管理員。對于控制器管理員來(lái)說(shuō),基于角色的訪(fǎng)問(wèn)控制(RBAC)策略可能是必須的。記錄和檢查跟蹤對于查找由管理員或攻擊者所做出的非授權修改非常有用。
如果出現了針對控制器的DoS攻擊,高可用性(HA)控制器架構可有效應對這類(lèi)攻擊。使用冗余控制器的SDN可承受一個(gè)控制器的損失并繼續工作。這相當于提升了攻擊者對系統中所有控制器發(fā)動(dòng)DoS攻擊的門(mén)檻。雖然這種攻擊是無(wú)法隱藏的,但是我們無(wú)法察覺(jué)攻擊者的下一個(gè)目標。
八、確保SDN層安全
另一個(gè)保護措施是使用針對控制流量的帶外(OOB)網(wǎng)絡(luò )。在數據中心內創(chuàng )建一個(gè)OOB網(wǎng)絡(luò )比在整個(gè)企業(yè)廣域網(wǎng)中創(chuàng )建一個(gè)OOB網(wǎng)絡(luò )要容易且成本較低。使用北向和南向通信專(zhuān)用OOB網(wǎng)絡(luò )可幫助確保控制器管理協(xié)議的安全。
使用TLS或SSH等方式確保北向通信和控制器管理的安全被認為是最佳實(shí)踐。來(lái)自應用的通信以及由控制器發(fā)起的請求服務(wù)或數據服務(wù)應當通過(guò)認證和加密方式確保安全。
針對所有請求SDN資源的北向應用的安全代碼也應當是一個(gè)最佳實(shí)踐。安全代碼實(shí)踐不僅有利用確保面向公眾的互聯(lián)網(wǎng)應用安全,而且還適用于北向SDN連接。
部分SDN系統能夠檢驗網(wǎng)絡(luò )設備表單中的流是否違反控制器策略。這類(lèi)檢查(類(lèi)似FlowChecker)能夠幫助識別出正常流與攻擊流之間的差別。
九、 結束語(yǔ)
我們僅能夠預測哪些攻擊者可能會(huì )將SDN變?yōu)楣裟繕恕2渴稹f(xié)議、控制器軟件都是新的,以往對SDN發(fā)動(dòng)的攻擊也還不為人知。根據SDN架構,我們能夠預測出攻擊者可能會(huì )發(fā)動(dòng)進(jìn)攻的地方。如果我們站在攻擊者的角度考慮問(wèn)題,我們應該能夠找到SDN網(wǎng)絡(luò )的弱點(diǎn),并可提前提升其安全性。
在SDN部署項目之前,用戶(hù)應當在早期設計階段就考慮如何確保系統安全。不要將安全問(wèn)題留到最后收尾階段再著(zhù)手解決,否則可能會(huì )追悔莫及。
