91网络-记录网络的点滴

当前位置:首页 - 网络知识 - Network Security - 正文

君子好学,自强不息!

软件定义网络(SDN)控制器通过向交换机中添加新的流规则来响应网络状况,而意大利的研究人员表示将会造成意想不到的安全问题。

该研究人员表示SDN环境可能造成系统管理员不希望公之于众的信息泄露,包括网络虚拟化设置、服务质量(QoS)策略,更重要的是将泄露安全工具的配置信息,如网络扫描攻击检测阈值。

他们表示即便是一个单独的交换机的流表,也能泄露这类信息,并且将会作为一个侧信道被攻击者所利用。

来自帕多瓦大学(University of Padova)的Mauro Conti、Sapienza大学的Fabio De Gaspari、Luigi Mancini组成的科研小组,特别关注SDN被攻击者利用创建目标网络的配置文件,这是他们所强调的Know Your Enemy (KYE)攻击。

例如,他们认为攻击者将采取如下攻击行为:

  • 连接到大部分SDN交换机都有的被动侦听端口,包括用于远程调试、检索流表的端口(他们以HP Procurve的dpctl工具为例);
  • 从抖动(jitter)中推断一些流表信息;
  • 抓取控制流(不使用TLS或不通过证书进行验证)
  • 利用交换机操作系统可能存在的漏洞,如系统后门;
  • 将流表或存储器内容复制到交换机之外。

文章指出,这些都不是针对特定的设备:“KYE攻击利用的是SDN结构的弱点,攻击的是按需管理网络流量的设备,这又是SDN的主要特点和优势。”

由于SDN的设计旨在通过向交换机中添加流规则来响应网络,攻击者很容易找出控制器向交换机添加规则的方式。

因此,KYE攻击只需要探测出环境(发现交换机上可供他们访问的流规则,无论是内部的或是远程的);并使用推理阶段的信息来制定符合特定规则的策略。

他们提供的解决方案是SDN架构师需要在他们的网络中混合一些其他流,以避免攻击者利用SDN响应获得相关的网络信息。“如果有可能阻止攻击者了解流量对应的流规则,KYE攻击将从源头上解决。”

这看起来似乎并不是很困难:文中给出的一个例子是控制器围绕网络路径,而不是直接连接到交换机,这使得网络更加难以被攻击。

原文链接:http://www.theregister.co.uk/2016/08/23/sdnsnormalbehaviourissniffablesayresearchers/

注:编译类仅出于传递更多信息之目的,系SDNLAB对海外相关站点最新信息的翻译稿,仅供参考,不代表证实其描述或赞同其观点,投资者据此操作,风险自担;翻译质量问题请指正。

本文来源:91网络

本文地址:http://gxqm123.cn/?id=2012