轉發與控制分離引入的安全威脅
發布時間:
2022-11-16 10:57:50
轉發與控制分離引入的安全威脅,從網絡安全的角度看�,軟件定義網絡將網絡設備控制面與數據面分離�����,在實現網絡流量靈活控制的同時�,也引入了新的安全威脅和挑戰�。
根據SDN交換機對數據包的處理流程��,當數據包不能匹配所有流表中的所有流表項時���,交換機將包通過與控制器間的安全通道轉發給控制器處理�。在控制面�,新引入的SDN控制器由于邏輯集中的特點�����,容易成為攻擊的對象�����,脆弱的SDN控制器面臨的具體安全風險如下:
(1)拒絕服務攻擊�。攻擊者通過攻擊交換機���,修改交換機流表中各表項的actions字符項�,使交換機將所有數據包轉發給控制器�����,從而導致控制器需要處理大量的消息��?;蛘吖粽邆卧齑罅吭诮粨Q機流表中并不存在或無法處理的數據報文�,由交換機提交偽造報文給控制器處理�����,從而占用控制器資源�����,造成拒絕服務攻擊�。
(2)繞過安全機制�����。由于安全設備與被保護的節點/網絡之間不再是物理連接�����,而是可通過流的重定向機制使流繞過安全策略所要求的安全機制�,造成安全機制失效���。
(3)非安全的控制通道容易受到中間人的攻擊��,一旦控制器被攻擊者劫持�����,不同于傳統網絡需要控制大規模僵尸節點���,只通過SDN控制器就可以改變流轉發路徑��,可將大量的數據流發往其他被攻擊的業務節點���,破壞業務可用性����,造成網絡服務的大面積癱瘓���。
針對控制器的拒絕服務攻擊的主要防護機制是采用流量控制和多控制器兩種思路�����。流量控制提供主動遏制手段�。例如�,通過限制控制器的訪問頻度��,避免控制器在短時間內處理大量頻繁事件(如未知流規則請求等)�����。多控制器結構中���,可采用應用層負載均衡提供控制器在DDoS攻擊下的生存性����。在協議方面�,OpenFlow協議1.2版已經增加了對多控制器的支持�,可為不同控制器設定不同角色����,但協議并未規定交換機的控制權如何在控制器之間切換����,參考文獻中設計了不同角色的控制器在交換機之間的切換方式����,實現了一種負載均衡的彈性控制面���。
數據面的主要攻擊對象是數據平面的關鍵節點——SDN交換機����。除面臨傳統網絡中的消耗交換機資源實施拒絕服務攻擊��、非法接入等攻擊外��,由于SDN交換機與控制層更多的交互�����,攻擊者通過部署非法應用���、入侵控制器等實現對交換機流表的非法操作���,完成以下對用戶數據流的攻擊��。
(1)改變流轉發路徑�,非法復制數據包并通過另外的路徑轉發給攻擊者用以竊取信息或實施中間人攻擊�����。
(2)修改對數據包的操作動作����,改變交換機在轉發流時對數據包的操作動作���。例如��,丟棄數據包實施拒絕服務攻擊��。
(3)設定非法的轉發路徑�,從而占用某用戶的轉發端口等網絡資源或通過注入精心設計的數據包進行會話劫持攻擊���。
應對SDN交換機的拒絕服務攻擊通常使用的方法就是采用流控�����、時間過濾���、擁塞丟包和超時調整���,并且在交換機上實施攻擊監測���。流控能夠讓交換機在DDoS攻擊過程中保持響應�,事件過濾能讓控制器選擇處理時間��,提供系統恢復能力�����,擁塞丟包能夠丟掉異常的數據包����,并在無法隔離攻擊者的時候通過QoS機制共同發揮作用����,超時調整機制可以減輕DDoS攻擊的危害�。
參考文獻把檢測算法分別部署在不同交換機上�����,創新性地提出了在SDN網絡中針對數據平面隱蔽DDoS攻擊的方法和檢測方法���,但算法的實現和升級特別復雜��。
SDN網絡的另一個重要特征就是將封閉的網絡能力進行抽象�,并通過接口進行開放����?�?刂破鞅毕蚪涌诳蓪DN網絡中底層資源由控制器呈現給應用層開發者��。不安全的接口可能使整個網絡的安全受到威脅�����,例如:
(1)網絡行為被修改���。如果惡意攻擊者通過注入等手段�,使某應用發送的請求參數與業務邏輯期望不符����,可使該應用的網絡行為被篡改����,從而下發惡意指令�����。
(2)網絡通信被非法監聽�����。如果接口是未加密的���,攻擊者就能監聽整個調用過程����,從而使敏感信息(如用戶信息��、調用token等)被竊取�����。
(3)截獲并修改數據包��。攻擊者可以采用中間人攻擊����,重放或修改后重發請求�����,達到偽造請求的目的��。
(4)引發DDoS攻擊���。如果應用接口沒有檢查機制��,容易被攻擊者反復調用��,向網絡設備下發大量無用的流表����,影響數據面效率���;或將大量流表引到性能較弱的節點�����,造成該節點拒絕服務��。
因此���,接口的安全設計非常重要���,它保證了接口數據交互的完整性�����、機密性���,保證接口的可用性����,具有權限管理機制����,以保證底層資源被合理調用�,無越權操作�。
對SDN網絡運營者來說����,在其具有更強管控能力的控制層采用必要機制應對應用層和開放接口引入的安全風險是可行的方案��,如采用細粒度API訪問權限控制策略���,控制層針對每一個應用賦予滿足其功能要求的最低限度API訪問權限�����,并對通過API接口下發的應用層策略進行規則檢查���,檢測下發的規則是否符合安全策略�、業務邏輯及行為特征等的要求�����。參考文獻在控制器上擴展出對應用程序的角色認證�����、規則沖突檢測和安全規則轉換等功能����,構建了一個強制安全的控制器內核���。
上一篇:
KVM工作流程
下一篇:
用戶地址標識管理
18922156670
