SDN Security Defined Network?



Ähnliche Dokumente
SDN & OpenStack. Eine Einführung. Martin Gerhard Loschwitz hastexo Professional Services GmbH. All rights reserved.

Søren Schmidt. Schulungsangebote für Netzwerke/Cisco. telefon: Schulungen Beratung Projekte

Aktuelle Trends der Informationssicherheit Daten-Center Connectivity & Security

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Home Schulungen Seminare Cisco CI 1: Routing, Switching & Design ICND1: Interconnection Cisco Network Devices Part 1 (CCENT) Preis

Cisco Security Monitoring, Analysis & Response System (MARS)

Idee des Paket-Filters

Einführung in die Netzwerktechnik

WLAN Konfiguration. Michael Bukreus Seite 1

Thema: VLAN. Virtual Local Area Network

Zugriff auf Unternehmensdaten über Mobilgeräte

Nutzen und Vorteile der Netzwerkvirtualisierung

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Virtual Private Network

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Grundlagen Messdatennutzung

Dynamische Verschlüsselung in Wireless LANs

vsphere vs. HyperV ein Vergleich aus Sicht eines VMware Partners interface:systems

Marketing-Leitfaden zum. Evoko Room Manager. Touch. Schedule. Meet.

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Virtual Desktop Infrasstructure - VDI

Anbindung des eibport an das Internet

How-to: Webserver NAT. Securepoint Security System Version 2007nx

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

NAS 322 NAS mit einem VPN verbinden

57. DFN-Betriebstagung Überblick WLAN Technologien

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

CA infoexchange 2007: Welcome. Wohin geht die Reise? Spectrum CORE. Spectrum Integrations. ... dazu einige Ideen und Visionen als Anregung

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

2. ERSTELLEN VON APPS MIT DEM ADT PLUGIN VON ECLIPSE

EXCHANGE Neuerungen und Praxis

{ Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }

Lizenzierung von System Center 2012

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Vorlesung 11: Netze. Sommersemester Peter B. Ladkin

DIE SCHRITTE ZUR KORREKTEN LIZENZIERUNG

Content Management System mit INTREXX 2002.

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!

2. Installation der minitek-app auf einem Smartphone. 3. Verbindung zwischen minitek-app und minitek herstellen

Agenda. TERRA CLOUD GmbH Zahlen, Daten, Fakten Private & Hybrid Cloud Szenarien Public Cloud Szenarien Lessons Learned

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Root-Server für anspruchsvolle Lösungen

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

SCS School Community System

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Unterbrechungsfreie Relokalisierung von virtuellen Maschinen in einer Data- Center-Cloud (DCCloud)

Praktikum Rechnernetze für Studiengang Elektrotechnik / Elektronik

spezial Software Defined Networking

Netzwerke 3 Praktikum

IT-Infrastruktur an Schulen. Andreas Grupp. Landesakademie für Fortbildung und Personalentwicklung an Schulen.

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Donato Quaresima Matthias Hirsch

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Einführung in die. Netzwerktecknik

Installationsanleitung dateiagent Pro

Panda GateDefender Virtual eseries ERSTE SCHRITTE

Wir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber!

Chapter 9 Troubleshooting. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

WIE ERHÖHT MAN DIE EFFIZIENZ DES BESTEHENDEN RECHENZENTRUMS UM 75% AK Data Center - eco e.v. 1. Dezember 2009

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Reporting Services und SharePoint 2010 Teil 1

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Windows Server 2012 R2 Essentials & Hyper-V

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Sicht eines Technikbegeisterten

Fallstudie HP Unified WLAN Lösung

Virtuelle Entwicklungsarbeitsplätze und Linux

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Der neue Feuerwehrführerschein, erste Erfahrungen aus Baden-Württemberg.

Bedienungsanleitung für den Dokumentenserver

Sichere Internetnutzung

Anleitung: Confixx auf virtuellem Server installieren

Panda GateDefender Software eseries ERSTE SCHRITTE

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Kommunikation! Andreas Raum

Test zur Bereitschaft für die Cloud

Step by Step Webserver unter Windows Server von Christian Bartl

Immer noch wolkig - aktuelle Trends bei Cloud Services

Mediadaten KINO&CO Netzwerk

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004

Beispiel Zugangsdaten -Konto

VPN/WLAN an der Universität Freiburg

Beispiel Zugangsdaten -Konto

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Was meinen die Leute eigentlich mit: Grexit?

Information über das Virtual Private Networks (VPNs)

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake Schmallenberg

Inbetriebnahme Profinet mit Engineer. Inhaltsverzeichnis. Verwendete Komponenten im Beispiel:

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

HBF IT-Systeme. BBU-BSK Übung 2 Stand:

NaaS as Business Concept and SDN as Technology. How Do They Interrelate?

Daten haben wir reichlich! The unbelievable Machine Company 1

Sichere Freigabe und Kommunikation

Installation der SAS Foundation Software auf Windows

Transkript:

Danube IT Services GmbH www.danubeit.com SDN Security Defined Network? <Autor> IT SecX, FH St. Pölten

Ein kurzer Überblick über Trends im Netzwerkbereich und deren Implikationen auf Security / Sicherheit Mag. Lorenz Intichar, Danube IT Services, Wien Senior Network Engineer, CCNP Mail: lorenz.intichar@danubeit.com Tal. +43 1 96094 446 2

SDN Software Defined Network Buzzword im Netzwerkbereich seit ca. 2011 Neue Epoche in der Netzwerktechnik" Technologie mitten in der Entwicklung, fast jede Woche Neuigkeiten Definition(en): a) Automatisierung von Konfigurationsprozessen b) Netzwerkvirtualisierung (VXLAN, NVGRE, Contrail...) c) Infrastrukturerweiterung (Layer2 Routing) d) Trennung von control plane und forwarding plane (OpenFlow) 3

Ausgangssituation "Security Gap" (Komplexitätsdifferenz zwischen System und Kontrollmechanismen) weitet sich auch im Netzwerkbereich aus. Protokollverschlüsselungen haben mit der Entwicklung der Kryptographie oft nicht Schritt gehalten: MS CHAPv2 (MS PPTP, WPA2 Enterprise etc.) benutzt DES Routing Updates in EIGRP, OSPF, IS IS und BGP verwenden MD5 Problematische CBC Keys bei ssh sind oft defaultmäßig aktiv SDN bringt technische Umwälzungen mit sich Re Evaluierung der bestehenden Sicherheitsmechanismen notwendig 4

Automatisierung Auch klassisch möglich: VLANs, Skripting von Geräten über ssh... APIs für Devices, Konfiguration per XML In Rechenzentren: Gemeinsame Verwaltung für Server und Netzwerke virtualisierungsbasiert (MS SystemCenter, vsphere, virt manager) zusammenfassend / allgemein (CloudStack, openstack etc.) 5

Auswirkungen der Automatisierung Vorteile Anzahl der Konfigurationsfehler durch "menschliches Versagen" wird deutlich reduziert Probleme "Security by Obscurity" entfällt endgültig Zentrale Management-Instanz zentralisiert / automatisiert auch Admin-Berechtigungen Standardisierungszwang kann zu "technischem Mißbrauch" von Lösungen führen 6

Netzwerkvirtualisierung Gemeinsames "Transportnetz" für das gesamte Netz Layer 2 Pakete werden über das Transportnetz getunnelt Derzeit in oder nahe der Produktionsreife: VXLAN (vmware, Arista, Cisco...): L2 over UDP NVGRE (Microsoft, F5, IronNetworks, bald Cisco): L2 over GRE Angekündigt Contrail (Juniper): ibgp over MPLS 7 (c) IXIA Networks, Inc.

Auswirkungen der Virtualisierung Vorteile Verschiedene Kunden (im RZ) bzw. Netze (am Campus) sind auf Layer 2 getrennt (Layer2-Pakete werden routbar) Probleme Overhead von ca. 50 Bytes pro Paket fällt v.a. bei kleinen Paketen (VoIP) ins Gewicht Physische Sicherheit des Transportnetzes wird extrem wichtig Gemeinsames Transportnetz ist nur durch die Virtualisierung ("unsichtbare" Netzwerkkarte) gesichert Bei Verwendung über (physisch unsichere) WAN-Links wird das LAN per Layer2 unmittelbar zugänglich 8

Infrastrukturerweiterung Diverse proprietäre Implementierungen, basieren auf zwei Standards: TRILL (TRansparent Interconnection of Lots of Links) z.b. Cisco FabricPath SPB (Shortest Path Bridging) z.b. Alcatel Lucent/Avaya, Enterasys, HP Beide verwenden IS IS als Layer2 Routingprotokoll Layer2 Domain verhält sich wie ein geroutetes Netz Loops sind erlaubt, kein Spanning Tree mehr notwendig etc. 9

Auswirkungen des Layer2 Routings Vorteile Nur funktionalitätsweise, nicht bezüglich Security (Layer2-Pakete werden routbar) Probleme IS-IS ist securityweise wenig erforscht, für einzelne Angriffsvektoren existiert PoC Physische Sicherheit des Transportnetzes wird wichtiger (Route Spoofing möglich) Bei Verwendung über (physisch unsichere) WAN-Links wird das LAN per Layer2 unmittelbar zugänglich 10

OpenFlow Netzwerkgeräte (v.a. Switches) entscheiden nicht mehr autonom über Paketweiterleitung Zentrale Controller (in Software) geben "dummen" data plane Geräte Anweisungen. 11 (c) Open Networks Foundation

OpenFlow (2) Extrem mächtige Technik: Keine Probleme mehr mit L2 loops; L2 Routing / L2Address rewrite ( L2 NAT ) werden möglich 12 (c) Open Networks Foundation

Auswirkungen von openflow Schwer abzuschätzen, weil die aktuellen großen Deployments (Google, Facebook) nur sehr wenig über Security reden In breiter Masse erst ab 2014 einsatzreif (Skalierung, Herstellerunabhängigkeit) 13 Vorteile Firewalling kann in Flow-Controller integriert werden, wird mächtiger Geringere Angriffsfläche aus dem Netzwerk (Switches sind kein lohnendes Ziel mehr) Probleme Verbindung zum Controller wird zum Hot Spot gute Sicherung (physisch/logisch) notwendig Controller in Software (Java) relativ leichtes Ziel für Denial of Service- Attacken Mächtige Technik ermöglicht mächtigen Mißbrauch

Fazit Viele der beschriebenen Technologien verlassen sich für Sicherheit auf höhere Layer (4 oder höher, z.b. PKI) und vor allem auf physische Sicherheit Rechenzentrum: Physische Sicherheit ist relativ leicht zu gewährleisten Nächster Meilenstein: Security Evaluation von VXLAN und NVGRE bei Attacken aus IaaS bzw. Kundeneigenen virtuellen Maschinen Übernächster Meilenstein: OpenFlow ist eine angekündigte Revolution findet sie auch statt? Für Campus Netze (eingeschränkte physische Kontrolle über Kabel etc.) überwiegen derzeit eher noch die Risiken. 14

Danke! 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback