服务热线139-2345-5437
  • 简体

SDN网络面临的安全问题

阅读:1312022-03-02

SDN网络面临的安全问题

大多数SDN体系架构有三层:最底层是支持SDN功能的网络基础设施,中间层是具有网络核心控制权的SDN控制器,最上层包括SDN配置管理的应用程序和服务。尽管许多SDN架构相对较新,并且SDN仍处于早期探索的领域。但我们可以肯定,随着SDN技术的发展和更广泛地使用,它仍会成为攻击者的目标。

我们可以预见几种针对SDN架构的攻击方法。SDN架构较为常见网络安全问题包括对SDN架构中各层的攻击。

一、数据层的攻击

攻击者可能将来自网络本身的某个节点(例如,OF交换机,接入SDN交换机的主机)作为攻击目标。从理论上说,攻击者可以先获得未经网络访问的权限,然后尝试进行攻击运行状态不稳定的网络节点。这可能是一个拒绝服务攻击(Denial of Service , DoS),或者是对交换机等网络基础设施进行的Fuzzing攻击。

有许多南向接口协议用于控制器与数据层的交换机进行通信。这些SDN南向接口协议可以采用OpenFlow、Open vSwitch交换机配置管理协议(Open vSwitch Database Management Protocol, OVSDB)、路径计算单元的通信协议(Path Computation Element Communication Protocol,PCEP)、路由系统接口协议(Interface to the Routing System ,I2RS)、BGP-LS、OpenStack Neutron、开放管理基础设施(Open Management Infrastructure,OMI)、Puppet、 Chef、Diameter、Radius、NETCONF、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol,XMPP)、名址分离网络协议(Locator/ID Separation Protocol, LISP)、简单网络管理协议(Simple Network Management Protocol,SNMP)、CLI、嵌入式事件管理器(Embedded Event Manager, EEM)、Cisco onePK、ACI,Opflex等等。每个协议虽然都有自己的安全通信机制。但因为这些协议都非常新,所以并没有能够实现综合安全部署的方法。

交换机与控制器之间的链路常常会成为DDoS攻击目标[6],攻击者也可以利用这些协议的特性在OF交换机中添加新的流表项,。之所以这么做,是因为攻击者试图将这些特定服务类型的数据流进行欺骗“拦截”,不允许其在网络中传输。攻击者有可能引入一个新的数据流,并且指导引入的数据流绕过防火墙,从而使攻击者取得数据流走向的控制权。攻击者也有可能利用这些能力来进行网络嗅探,甚至可能引发中间人攻击。

攻击者可以通过在网络中嗅探得知哪些数据流正在流动,哪些数据流被允许在网络中传输。攻击者可以对OF交换机与控制器之间的南向接口通信进行嗅探,嗅探所获得的信息可用于再次发起攻击或进行简单的网络扫描探测。

二、应用层的攻击

攻击北向接口协议的行为也可以看做是一种攻击的方法。这些北向接口都由控制器管理。这些北向接口可以通过Python、Java、C、REST、XML、JSON等方式进行数据封装。如果攻击者利用了这些公开且没有任何认证机制的北向接口,那么攻击者就可以通过控制器来控制SDN网络的通信,并且可以制定自己的“业务策略”。

在现有几个较为著名的SDN开源项目中,他们将自己的北向接口通过REST API的形式向外暴露,并且这些北向接口所提供认证机制的较为少数。如果一个SDN系统部署时没有改善这种情况。那么攻击者就可以查询部署系统的配置,并且部署自己的网络设置。


  • Tags:SD-WANSD-WAN组网SD-WAN广域网
  • 版权声明:本文部分资料来源于网络,转载目的在于传递更多信息及学习参考!
  • 转载请注明:SDN网络面临的安全问题
猜您需要
最新文章
资讯中心介绍:
云景通信提供最新国际互联网行业新闻,及企业组网专线、SD-WAN相关的资讯,同时为您提供国际互联网IT常见的技术问题等。
友情链接:SDWANSDWAN组网IPLCMyCms校宇宙防爆小屋倍加福光电传感器茅世原宣传栏厂家美邦定制百科词条创建真空滤油机网上配音深圳厨房设备南通消防培训中心刺绣教程网TWS蓝牙耳机仪东莞二手房腾讯企业邮箱沧州网站建设赤乐川官网北京波纹管厂企业微信scrm喷漆电泳线进口报关代理进口清关公司进口报关SEO顾问
©2016 广东云景通信有限公司版权所有 备案号:粤ICP备2021154866号 为企业提供:SD-WAN网络加速、SDWAN组网、云专线等企业网络综合解决方案