Dieser Artikel ist Teil unseres Guides: Einführung in Software-defined Networking (SDN)

Software-defined Networking: Ein Vorteil für die Netzwerksicherheit?

Software-defined Networking bringt Vor- und Nachteile bezüglich der Netzwerksicherheit mit sich. Vor allem die Controller müssen abgesichert werden.

In der IT-Branche ist der Hype eine dazugehörende Konstante. Da stellt auch Software-defined Networking (SDN) keine Ausnahme dar. In diesem Fall ist der Hype allerdings gerechtfertigt, denn SDN könnte die Landschaft der Netzwerksicherheit grundlegend verändern.

Im Laufe der letzten Jahre hat sich Software-defined Networking von einer bloßen Idee in ein real vorhandenes Netzwerkmodell verwandelt. Große Anbieter begrüßen diese Technologie nicht nur, sondern sprechen davon, dass es sich hier um das zukünftige Netzwerkmanagement für Unternehmen handelt. SDN bringt verbesserte Granularität, mehr Dynamik und ausgefeiltere Management-Möglichkeiten mit sich. Allerdings gibt es auch eine andere Seite, die man mit kritischem Auge beleuchten muss: die Netzwerksicherheit.

In diesem Beitrag erklären wir das Konzept von SDN und sehen uns Vor- und Nachteile aus Sicht der Netzwerksicherheit an.

Eine Definition von Software-defined Networking

Um einige der Vor- und Nachteile von Software-defined Networking für die Netzwerksicherheit zu verstehen, sollten wir uns die Technologie an sich kurz ansehen. Software-defined Networking ist die Fähigkeit, die Daten-Ebene (Data Plane) von der Kontrolle-Ebene (Control Plane) in Routern und Switchen zu abstrahieren. Die Kontroll-Schicht war in der Regel proprietär und deren Technik nur den Anbietern bekannt, die diese herstellten. Mit SDN werden diese geöffnet und das Kontroll-Element wandert zentralisiert in die Software. Befehle und andere Logik schickt man an die Daten-Eben der Hardware, die aus Routern und Switchen besteht.

Somit bekommen Sie Einblicke in das gesamte Netzwerk und haben darüber hinaus die Möglichkeit, Änderungen zentral durchzuführen. Sie müssen die Konfiguration nicht mehr länger für jeden Router oder Switch separat vornehmen. Durch die Fähigkeit, die Kontroll-Ebene durch offene Protokolle wie OpenFlow zu managen, können Sie Änderungen am Netzwerk oder den Geräten sehr präzise durchführen. Daraus resultierend erhöhen sich Netzwerkgeschwindigkeit und -sicherheit.

Software-defined Networking bringt Vorteile für die Netzwerksicherheit

Immer wenn man neue Technologie ins Spiel bringt und implementiert, gibt es sowohl Vorteile als auch Bedenken. Sehen wir uns zunächst einige der Vorteile von Software-defined Networking an.

  • Mit einem frei beweglichen Netzwerk können Administratoren Netzwerkregeln schnell ändern. Zusätzlich haben Sie einen  umfassenden Überblick aus einer höheren Ebene und sehen somit alle Bereiche des Netzwerks.
  • Diese Freiheit und Kontrolle wirkt sich auch positiv auf die Sicherheit des Netzwerks aus. Sie sehen das Netzwerk von einem zentralen Punkt aus und können schnell und effizient Einschränkungen oder andere Konfigurationen implementieren. Verbreitet sich zum Beispiel Malware in Ihrem Netzwerk, können Sie durch SDN und OpenFlow von der zentralisierten Kontroll-Ebene den Ausbruch rasch eindämmen. Sie können zum Beispiel den Netzwerk-Traffic anhalten, ohne dabei auf einzelne Router oder Switche zugreifen zu müssen.
  • Da Administratoren die Netzwerkkonfiguration schnell modifizieren können, lassen sich so genanntes Traffic Shaping und Quality of Service (QoS) der Pakete sicherer anpassen. Diese Möglichkeit gibt es heutzutage natürlich auch schon, allerdings ist das nicht mit der Effizienz und Geschwindigkeit von SDN zu vergleichen. Somit ist der Administrator eingeschränkt, wenn er das Netzwerk absichern möchte.

Bei allen Vorteilen: SDN bringt auch Sicherheitsbedenken

Mit innovativer neuer Technologie halten natürlich auch immer Sicherheitsbedenken Einzug.  Werfen wir deswegen auch einen Blick auf einige Sicherheitsprobleme, die bei der Implementierung von SDN auftreten können. Die größten Sicherheitsbedenken betreffen den SDN-Controller selbst. Den Controller können Sie als Gehirn des Switching und Routing ansehen, mit dem Sie jedes System von einer zentralen Stelle aus steuern.

Die größte Herausforderung für Security-Experten ist es daher, den Controller abzusichern, koste es, was es wolle. Schließlich wurden die Kontrollfunktionen extra aus den Routern und Switchen genommen und durch den Controller ersetzt. Folgende Schritte helfen dabei:

  • Alleine zu wissen, wer Zugriff auf den Controller hat und wo sich dieser im Netzwerk befindet, ist für die Netzwerksicherheit schon ein großes Plus. Sie sollten immer daran denken, dass der Zugang zum Controller Angreifern potenziell absolute Kontrolle über das Netzwerk ermöglicht.
  • Stellen Sie sicher, dass die Verbindung zwischen Controller und Nodes, also Routern und Switchen, abgesichert ist. Beispielsweise per SSL-Verbindung. Somit verringern Sie die Chance, dass ein böswilliger Hacker die Kontrolle über Ihr Netzwerk bekommt. Diese Sicherheitsmaßnahme sollte von Anfang an implementiert sein, da eine nachträgliche Integration meist mit höheren Kosten verbunden ist und sich schwieriger gestaltet.
  • Spendieren Sie den Controllern High-Availability-Funktionen. Business Continuity für die Controller ist wichtig, da Sie bei nicht verfügbaren Controllern das gesamte Netzwerk nicht mehr verwalten können. Damit sind natürlich auch alle Vorteile von SDN und OpenFlow dahin.
  • Stellen Sie zudem sicher, dass alle Vorgänge des Systems geloggt werden. Da die Administratoren die zentrale Kontrolle über das Netzwerk haben, sollten Sie jede Änderung aufzeichnen und diese entsprechend in die Log-Management-Lösung des Unternehmens integrieren.
  • Bei der Implementierung von SDN sollten Sie sich versichern, dass die SIEM-, IPS- und andere Filter- und Blockier-Lösungen des Unternehmens so konfiguriert werden, dass sich nichts gegenseitig blockiert. Verfolgen Sie zudem bestimmte Ereignisse wie fehlgeschlagene Login-Versuche und Policy-Änderungen. Auch damit können Sie Ihre Netzwerksicherheit deutlich erhöhen.
  • Versichern Sie sich, dass das IPS diesen Traffc nicht als bösartig interpretiert. Konfigurieren Sie die Regeln in den entsprechenden Filter-Systemen, damit der Controller mit den Nodes problemlos kommunizieren kann.

Zusammenfassend lässt sich festhalten, dass Software-defined Networking Netzwerkadministratoren in Sachen Netzwerksicherheit sehr feine Einstellungen ermöglicht. Auf diese Weise können Administratoren zu einem umfassenden Überblick über das Unternehmensnetzwerks kommen. Indem man den Controllern aber als zentrale Schaltstelle große Spielräume eingesteht, ist es unabdingbar, die Sicherheit dieser Komponenten in den Mittelpunkt zu stellen. Der Controller als Schaltzentrale von Software-defined Networking könnte das komplette Netzwerk in den Abgrund reißen. Unternehmen müssen daher sicherstellen, dass die Controller-Sicherheit beim Design, dem Ausrollen und dem Management von SDN oberste Priorität hat.

Über den Autor:

Matthew Pascucci ist ein leitender Security-Techniker eines großen Einzelhandelsunternehmens. Dort ist er für Threat- und Vulnerability-Management zuständig. Er hat bereits für diverse Security-Fachzeitschriften geschrieben und bei vielen Firmen Reden gehalten. Weiterhin ist er bei seinem lokalen InfraGard-Ortsverband sehr engagiert. Sie können ihm via Twitter unter @matthewpascucci folgen oder seinen Blog www.frontlinesentinel.combesuchen.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juni 2014 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close