每年8月安全專業人員都會期待黑帽大會和DEF CON安全會議上展現的研究結果。這些會議是了解最新攻擊趨勢、漏洞和漏洞利用的最佳場所,今年的黑帽大會上,軟件定義網絡成為安全研究人員的焦點。
Hellfire Security公司的Gregory Picket在黑帽大會中揭露了對開放網絡安裝環境(ONIE)的漏洞利用,ONIE是基于Linux,它用于在白盒交換機中啟動基礎操作系統以恢復更強大的網絡操作系統。通過ONIE,交換機可以啟動和恢復Big Switch Networks、Cumulus Networks等供應商的網絡操作系統。
于此同時,Picket解釋了如何利用ONIE的一些缺陷,包括缺乏身份驗證和加密,至少有一個網絡供應商已經知道這些缺陷功能。Big Switch公司首席技術官Rob Sherwood最近發布了博客文章,其中介紹了應對ONIE中缺陷問題的安全方法。Rob討論了Big Switch硬件如何利用管理網絡端口來通過ONIE加載其網絡操作系統。
目前利用設備固件和預重啟環境是流行的攻擊方式,對于攻擊者而言,在操作系統完全加載之前能夠插入惡意代碼是非常有吸引力的做法。操作系統級安全軟件無法在預重啟環境中運行,固件被軟件的幾乎所有其他部分認為是已知/良好的組件,在這個地方引入攻擊媒介可以讓攻擊持續,繼續整個系統重裝或升級。
即使檢測到攻擊,企業不太可能會考慮更換硬件來完全移除攻擊,而這在白盒環境更加可行,因為成本更低。
ONIE的安全問題源自于其需要加速發展以緊跟軟件定義網絡的步伐。ONIE是很好的軟件,它允許白盒交換機自由地啟動多個網絡操作系統,它讓企業可以簡單地測試白盒環境,而不需要復雜的軟件加載過程。ONIE讓白盒交換機快速啟動和運行,讓專業人士專注于配置。
在白盒交換機開發周期中,添加關鍵功能來與商用網絡交換機競爭,可以控制潛在安全問題。如果消費者愿意因為特定功能集而選擇具有SDN網絡操作系統的白盒交換機,開發團隊會愿意花時間來編寫這些功能。
對于ONIE安全問題的擔憂并不會持續太久。根據Sherwood表示,現在已經在開始開發增強版的ONIE,其中將會為引導程序和操作系統軟件引入校驗和驗證。這個新的安全版本肯定會增加身份驗證和系統強化來防止Pickett展示的這種漏洞利用。
軟件定義網絡也會有安全挑戰,讓軟件定義網絡與眾不同之處是軟件的快速開發周期,以及缺乏特定專有硬件的支持。白盒交換機具有共同架構,這有助于快速軟件開發,這意味著安全問題可以迅速修復,并在幾個發布周期中最終得到緩解,這可能是幾周,而不是幾個月或者幾年,
網絡總是會有安全挑戰,但SDN將幫助網絡專業人員更快速地解決這些挑戰。
京公網安備 11010502049343號