軟件定義交換機似乎給網(wǎng)絡(luò)運營商提供了許多功能,但在拉斯維加斯Black Hat 2015全球頂尖安全會議上,一篇名為《STAYING PERSISTENT IN SOFTWARE DEFINED NETWORKS》的演講稿中的最新研究表明其安全措施并不到位。芝加哥安全公司Hellfire Security的創(chuàng)始人Gregory Pickett針對使用ONIE(Open Network Install Environment)的網(wǎng)絡(luò)交換機自主開發(fā)了一些攻擊軟件。
ONIE是基于Linux的小型操作系統(tǒng),運行在白盒交換機上,解除交換機軟硬件綁定的黑盒狀態(tài),形成硬件標準化、軟硬件分離的新模式。網(wǎng)絡(luò)操作系統(tǒng)安裝在ONIE之上,便于快速交換操作系統(tǒng)。
Pickett主要研究運行在ONIE上的三個網(wǎng)絡(luò)操作系統(tǒng):Switch Light, Cumulus Linux和Mellanox OS。他發(fā)現(xiàn)了很多問題,有時候能夠在ONIE固件上安裝持久性的惡意軟件。這是相當危險的,惡意軟件能夠全面了解所有運行在交換機上的數(shù)據(jù)流,網(wǎng)絡(luò)中數(shù)據(jù)流的走向被大范圍得監(jiān)視,甚至可能造成網(wǎng)絡(luò)的全面癱瘓。
Pickett開發(fā)的惡意軟件稱之為“Big Brother”。它只需要安裝到目標公司網(wǎng)絡(luò)中的一臺用戶主機上,然后就能搜尋到交換機并且在上面安裝惡意軟件,接著就可以向命令控制型服務(wù)器推送數(shù)據(jù)。Pickett還認為將可能開發(fā)一個蠕蟲病毒來感染目標網(wǎng)絡(luò)的所有交換機。
SDN畢竟屬于相對較新的領(lǐng)域,安全舉措還沒有做好。網(wǎng)絡(luò)操作系統(tǒng)以及ONIE往往缺乏身份驗證、加密、訪問控制和權(quán)限這些功能。
如果說ONIE易受攻擊,那么網(wǎng)絡(luò)操作系統(tǒng)需要去保護它。但是,如果攻擊者可以闖過操作系統(tǒng),ONIE就只能等著被侵襲了。
Pickett表示SDN的形勢似乎是一個雞生蛋還是蛋生雞的問題:對于是SDN平臺還是網(wǎng)絡(luò)操作系統(tǒng)需要負責阻止惡意攻擊的問題似乎并沒有過多地關(guān)注。如果這兩方都在期待另一方收拾殘局的話,真是太糟糕了,他們認為自己是安全的,因為這些Linux交換機位于防火墻之后。
Pickett已經(jīng)通知Switch Light、Cumulus Linux、Mellanox OS和ONIE目前發(fā)現(xiàn)的問題,希望他們能夠修復漏洞。他不打算把發(fā)現(xiàn)的瞬時攻擊在周四的Black Hat和周六的Def Con會議上發(fā)布,但他將在會上發(fā)布開發(fā)惡意軟件的代碼。他還將描述SDN平臺的改進列表以及網(wǎng)絡(luò)操作系統(tǒng)的補救措施。
京公網(wǎng)安備 11010502049343號