每年8月安全专业人员都会期待黑帽大会和DEF CON安全会议上展现的研究结果。这些会议是了解最新攻击趋势、漏洞和漏洞利用的最佳场所,今年的黑帽大会上,软件定义网络成为安全研究人员的焦点。
Hellfire Security公司的Gregory Picket在黑帽大会中揭露了对开放网络安装环境(ONIE)的漏洞利用,ONIE是基于Linux,它用于在白盒交换机中启动基础操作系统以恢复更强大的网络操作系统。通过ONIE,交换机可以启动和恢复Big Switch Networks、Cumulus Networks等供应商的网络操作系统。
于此同时,Picket解释了如何利用ONIE的一些缺陷,包括缺乏身份验证和加密,至少有一个网络供应商已经知道这些缺陷功能。Big Switch公司首席技术官Rob Sherwood最近发布了博客文章,其中介绍了应对ONIE中缺陷问题的安全方法。Rob讨论了Big Switch硬件如何利用管理网络端口来通过ONIE加载其网络操作系统。
目前利用设备固件和预重启环境是流行的攻击方式,对于攻击者而言,在操作系统完全加载之前能够插入恶意代码是非常有吸引力的做法。操作系统级安全软件无法在预重启环境中运行,固件被软件的几乎所有其他部分认为是已知/良好的组件,在这个地方引入攻击媒介可以让攻击持续,继续整个系统重装或升级。
即使检测到攻击,企业不太可能会考虑更换硬件来完全移除攻击,而这在白盒环境更加可行,因为成本更低。
ONIE的安全问题源自于其需要加速发展以紧跟软件定义网络的步伐。ONIE是很好的软件,它允许白盒交换机自由地启动多个网络操作系统,它让企业可以简单地测试白盒环境,而不需要复杂的软件加载过程。ONIE让白盒交换机快速启动和运行,让专业人士专注于配置。
在白盒交换机开发周期中,添加关键功能来与商用网络交换机竞争,可以控制潜在安全问题。如果消费者愿意因为特定功能集而选择具有SDN网络操作系统的白盒交换机,开发团队会愿意花时间来编写这些功能。
对于ONIE安全问题的担忧并不会持续太久。根据Sherwood表示,现在已经在开始开发增强版的ONIE,其中将会为引导程序和操作系统软件引入校验和验证。这个新的安全版本肯定会增加身份验证和系统强化来防止Pickett展示的这种漏洞利用。
软件定义网络也会有安全挑战,让软件定义网络与众不同之处是软件的快速开发周期,以及缺乏特定专有硬件的支持。白盒交换机具有共同架构,这有助于快速软件开发,这意味着安全问题可以迅速修复,并在几个发布周期中最终得到缓解,这可能是几周,而不是几个月或者几年,
网络总是会有安全挑战,但SDN将帮助网络专业人员更快速地解决这些挑战。