Welche Risiken birgt die Lücke im OpenFlow-Protokoll?

Ein Forscher hat ein gravierendes Sicherheitsloch in OpenFlow gefunden, dass zu schwerwiegenden Sicherheitsproblemen in Unternehmen sowie zu DoS-Attacken (Denial of Service) auf ihre Netzwerke führen kann. OpenFlow ist eines der wichtigsten Protokolle, wenn es um Software-defined Networking (SDN) geht. Wie sieht die Schwachstelle in OpenFlow genau aus und welche Risiken bestehen für Firmen, die dieses essentielle SDN-Protokoll nutzen?

Die Schwachstelle in OpenFlow hängt damit zusammen, dass für dieses Protokoll weder eine Authentifizierung noch eine Autorisierung vorgesehen ist.

Die Lücke wurde von Kashyap Thimmaraju entdeckt, einem Studenten der Technischen Universität Berlin. Laut seinen Angaben wird beim OpenFlow-Handshake durch den SDN-Controller nicht vorausgesetzt, dass die dabei genutzten Switches authentifiziert werden. Auch anders herum sei keine Authentifizierung nötig, wenn die Switches mit dem Controller Kontakt aufnehmen wollen. Weil sich die Schwachstelle direkt in OpenFlow befindet, sei jede Umsetzung auf Basis dieses Protokolls gefährdet.

Die Sicherheitslücke ermöglicht einem Angreifer, einen oder mehrere manipulierte Switches zu nutzen, um sich direkt mit dem Controller des Opfers mit Hilfe von OpenFlow zu verbinden. Weil dazu keine Authentifizierung benötigt wird, kann der Angreifer während des Handshakes einen gefälschten Identifier nutzen, um eine OpenFlow-Verbindung zu öffnen. Diese Identifier werden auch Datapath IDs (DPIDs) genannt.

Der Angreifer kann dann eine DoS-Attacke (Denial of Service) gegen den Controller auslösen, weil der Controller die beim Handshake verwendete DPID nicht überprüfen kann. Die Sicherheitsmechanismen auf der Data Plane werden umgangen, weil die Daten an das Ziel-Netzwerk über die Control Plane weitergeleitet werden. Der manipulierte Switch kann den OpenFlow-Handshake so für eine verdeckte und böswillige Kommunikation nutzen. Außerdem vertraut der Controller auch den Reply-Nachrichten, die der Switch auf Basis von OpenFlow verschickt.

Durch das Spoofen von Geräten im Netzwerk kann sich der Angreifer zudem als ein Host ausgeben, der mit dem manipulierten Switch verbunden ist. Für das Tracking der Hosts werden ebenfalls weder Authentifizierung noch Autorisierung benötigt, so dass der Angreifer den Controller beispielsweise davon überzeugen kann, dass ein authentischer Host zu einer neuen physischen Stelle im Netzwerk migriert wurde.

Um eine Attacke auszulösen, benötigt der Angreifer zunächst eine sichere Verbindung via TLS (Transport Layer Security) oder TCP (Transmission Control Protocol) zwischen dem Switch und dem Controller. Anschließend kann er sogar dann, wenn TLS-Zertifikate vereinbart wurden, neue Lücken in TLS ausnutzen.

Die Aufgabe der Absicherung von OpenFlow-Switches in nicht segmentierten Netzwerken und das Schließen von Schwachstellen wird aufgrund der zunehmenden Verbreitung von SDN-Controllern immer aufwendiger und komplexer. Dazu kommt, dass andere innerhalb von OpenFlow genutzte Protokolle zu weiteren Schwachstellen und Problemen führen können, da SDN-Controller je nach Hersteller bestimmte Eigenarten haben.

So kommunizieren manche Modelle nur mit den Switches, während andere ihre Verbindungen auch auf Firewalls und Load Balancer ausweiten, um so die Latenzen im Netz zu reduzieren. Wenn OpenFlow genutzt wird, kann das außerdem dazu führen, dass für ein Segment sicher konfigurierte Firewalls nicht mehr vollständig in einem anderen Segment funktionieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!