CC BY
356
Курочкин И.И.1, Гуменный Д.Г.2
гИППИ РАН, г.Москва, к.т.н., с.н.с., kurochkin@iitp . ru 2НИТУ «МИСиС», г.Москва, студент, koldanst@ hotmail . com
БЕЗОПАСНОСТЬ СЕТЕЙ SDN. КЛАССИФИКАЦИЯ АТАК
КЛЮЧЕВЫЕ СЛОВА
SDN, безопасность, сетевые атаки, программно-конфигурируемые сети. АННОТАЦИЯ
Software-defined Networking (SDN) - новый подход к построению архитектуры компьютерных сетей. Уровень управления сетью и уровень передачи данных разделяются, а функции управления сетью переносятся с маршрутизаторов и коммутаторов на программные приложения, запущенные на отдельном сервере -контроллере. В статье приведен обзор наиболее распространенных атак на сети SDN, их классификация и цели, которых хотят достигнуть злоумышленники.
Введение
Software-defined Networking (SDN) это новая идеология построения компьютерных сетей, в которой весь «интеллект», все управление сетью вынесено на отдельную аппаратно-программную базу (контроллер), а все управление трафиком происходит с использованием специальных протоколов, оперирующих понятием «поток» (flow) и управляющих им [1]. На контроллере устанавливается политика управления сетью на основе заданных правил и особенностей работы специализированных приложений.
По результатам экспериментов было определено, что с помощью технологии SDN можно повысить эффективность сетевого оборудования, а также снизить затраты на эксплуатацию сетей. Основная цель - превратить управление сетями из искусства в инженерию [2], повысив безопасность. Внедрение SDN должно оказать значительное влияние на сети дата-центров, корпоративные сети и пр.
Основные идеи, заложенные в SDN, заключаются в следующем:
• Разделение уровня передачи и уровня управления данными.
• Единый, унифицированный, независящий от поставщика интерфейс между уровнем управления и уровнем передачи данных.
• Логически централизованный уровень управления данными. Централизованное управление осуществляется с помощью контроллера с установленной сетевой операционной системой и набором сетевых приложений, развернутых поверх ее.
• Виртуализация физических ресурсов сети.
OpenFlow является основной движущей силой концепции программно-конфигурируемых сетей и наиболее широко применимым стандартом их построения.
Главной особенностью сетей SDN являются широкие возможности по виртуализации, динамическому применению сетевых политик и лучшему контролю над различными элементами сети при малой требовательности к вычислительным ресурсам. Однако централизованный контроллер сети требует повышенного внимания со стороны администратора для обеспечения безопасности и корректного функционирования всей сети. Подвергшиеся атаке элементы сети могут быть использованы для утечки информации, атаки на других пользователей или для вывода сети из строя.
Существующие на момент написания статьи атаки на сети SDN в том или ином виде эксплуатируют основную их особенность - централизованный контроллер. Их можно классифицировать по типу угрозы:
• Атаки на топологию сети:
o ARP Poisoning (подмена ARP пакетов);
o Fake topology (перестройка топологии сети);
• Атаки на уровень управления данными:
o DoS контроллера;
o TCAM exhaustion (переполнение памяти коммутаторов); o Switch blackhole (создание «черной дыры» в сети);
• Атака на уровень SDN.
o Атаки на топологию сети.
SDN контроллер обрабатывает множество пакетов (ARP, IGMP, LLDP и другие), отправляемых с коммутаторов в рамках протокола OpenFlow, чтобы сконструировать свое представление о сетевой топологии. Эти сообщения можно подменить, что ведет к появлению возможности атаковать сеть.
1.1. ARP Poisoning
Хосты, с которых проводится атака, могут подменять информацию о физических хостах в сети с помощью поддельных ARP запросов. В результате, контроллер устанавливает вредоносные правила для потоков в сети и меняет их направление для перехвата трафика, предназначавшегося другому хосту. Также, злоумышленник может инициировать случайные потоки, чтобы заставить контроллер и коммутаторы создавать петли и «черные дыры» в сети или для осуществления IP splicing атаки (атака, при которой установившаяся сессия перехватывается и злоумышленник выдает себя за уже авторизованного пользователя подменой IP).
1.2. Fake topology
Один зараженный хост пытается создать поддельное звено в сети, используя линейную топологию, состоящую из трех коммутаторов X, Y и Z. Сервер A соединен с коммутатором X. Сервер отправляет вредоносный LLDP пакет, как будто он пришел от коммутатора Z. В результате атаки создается поддельное однонаправленное ребро от Z к X в представлении контроллера и происходит пересчет путей маршрутизации, что может нарушить маршрутизацию и правильное направление потоков в сети.
2. Атаки на уровень управления данными
Зараженные хосты и коммутаторы могут провести DoS (Denial-of-service) атаку, загрузив сеть трафиком к случайным хостам, чтобы вывести из строя ресурсы на уязвимых коммутаторах и/или сам SDN контроллер, влияя на пересылку данных.
2.1. DoS контроллера
Протокол OpenFlow требует от коммутаторов отправлять пакеты к контроллеру, если очереди на вход заполнены. Загрузив сеть большим числом пакетов можно значительно увеличить вычислительную нагрузку на контроллер или даже прервать его работу.
2.2. TCAM exhaustion
Данные о маршрутизации потоков в сети хранятся в быстрой ассоциативной памяти TCAM. Злоумышленник может нацелиться на эту память коммутатора, чтобы атаковать другие хосты. Зараженный хост отправляет множество сообщений в сеть и вынуждает контроллер устанавливать большое количество правил для потоков, расходуя TCAM. Впоследствии, новые правила не могут быть запомнены коммутатором, пока старые не выполнятся. Если коммутатор находится в ключевой части сети, высокая задержка или утеря пакетов гарантированы.
2.3. Switch blackhole
«Черная дыра» (blackhole) это состояние сети, когда потоки резко обрываются и пакеты не получается доставить до пункта назначения. Зараженный коммутатор может сбрасывать или перенаправлять пакеты и в результате поток не доходит. Это может значительно нарушить работу сети и бизнес-приложений, которые не получат нужные данные.
3. Атаки на уровень SDN
Злоумышленник выбирает целью своей атаки API сервера. Сервер может использовать любой из множества языков программирования. Если получится использовать уязвимость в API, а на контроллере не будет никакой защиты, тогда можно получить полный контроль за сетью SDN через контроллер. К примеру, администратор забыл поменять пароль по умолчанию. В таком случае, злоумышленник посылает пакеты напрямую в управляющий интерфейс контроллера, получает сведения о конфигурации сети или меняет ее.
Заключение
Безопасность играет ключевую роль в дальнейшей миграции сетевых сервисов в «облака» и для дальнейшего развития SDN. Список областей, где пока не стоит использовать SDN достаточно велик, однако со временем технология будет усовершенствована и для нее будут разработаны надежные системы управления. Вместе с тем, следует отметить, что ЦОД должны сами обеспечивать защиту вычислительной архитектуры и целостность SDN, а программный контроллер, управляющий сетью, является частью общей управляющей системы всего ЦОД.
Преимуществом технологии SDN и ее слабым местом является централизованное управление сетью и маршрутизацией в ней. Обманув контроллер или получив над ним контроль можно в той или иной мере нарушить работу всей сети.
Литература
1. Abusing Software Defined Networks, Gregort Pickett
2. Программно-конфигурируемые сети - Новый подход к построению компьютерных сетей, Р.Л. Смелянский
3. Martin Casado, Tal Gerfinkel, Aditya Akella, Michael J. Freedman Dan Boneh. Nick Mckeown, Scott Shenker SANE: A protection Architecture for Enterprise Networks 15-th Usenix Secutiry Symposium, Vancouver, Canada, August 2006.
4. N. McKeown, T. Anderson, H. Balakrishnan, G. Parulkar, L. Peterson, J. Rexford, S. Shenker and J. Turner, "Openflow. Enabling innovation in campus networks." SIGCOMM Computer Communication Review, vol. 38, no. 2, pp. 69-74, 2008.
5. SND Security Considerations in the Data Center, ONF Solution Brief, October 8, 2013
6. Open Networking Foundation. OpneFlow Switch Specification:Version 1.3.0. https://www.opennetsummit.org/why.html
7. Rob Sherwood, Glen Gibby, Kok-Kiong Yapy, Guido Appenzellery, Martin Casado, Nick McKeowny, Guru Parulkary, "FlowVisor: A Network Virtualization Layer", 2009
8. Детские болезни SDN, Валерий Коржов, "Открытые системы", №6, 2013.
