Danube IT Services GmbH www.danubeit.com SDN Security Defined Network? <Autor> IT SecX, FH St. Pölten
Ein kurzer Überblick über Trends im Netzwerkbereich und deren Implikationen auf Security / Sicherheit Mag. Lorenz Intichar, Danube IT Services, Wien Senior Network Engineer, CCNP Mail: lorenz.intichar@danubeit.com Tal. +43 1 96094 446 2
SDN Software Defined Network Buzzword im Netzwerkbereich seit ca. 2011 Neue Epoche in der Netzwerktechnik" Technologie mitten in der Entwicklung, fast jede Woche Neuigkeiten Definition(en): a) Automatisierung von Konfigurationsprozessen b) Netzwerkvirtualisierung (VXLAN, NVGRE, Contrail...) c) Infrastrukturerweiterung (Layer2 Routing) d) Trennung von control plane und forwarding plane (OpenFlow) 3
Ausgangssituation "Security Gap" (Komplexitätsdifferenz zwischen System und Kontrollmechanismen) weitet sich auch im Netzwerkbereich aus. Protokollverschlüsselungen haben mit der Entwicklung der Kryptographie oft nicht Schritt gehalten: MS CHAPv2 (MS PPTP, WPA2 Enterprise etc.) benutzt DES Routing Updates in EIGRP, OSPF, IS IS und BGP verwenden MD5 Problematische CBC Keys bei ssh sind oft defaultmäßig aktiv SDN bringt technische Umwälzungen mit sich Re Evaluierung der bestehenden Sicherheitsmechanismen notwendig 4
Automatisierung Auch klassisch möglich: VLANs, Skripting von Geräten über ssh... APIs für Devices, Konfiguration per XML In Rechenzentren: Gemeinsame Verwaltung für Server und Netzwerke virtualisierungsbasiert (MS SystemCenter, vsphere, virt manager) zusammenfassend / allgemein (CloudStack, openstack etc.) 5
Auswirkungen der Automatisierung Vorteile Anzahl der Konfigurationsfehler durch "menschliches Versagen" wird deutlich reduziert Probleme "Security by Obscurity" entfällt endgültig Zentrale Management-Instanz zentralisiert / automatisiert auch Admin-Berechtigungen Standardisierungszwang kann zu "technischem Mißbrauch" von Lösungen führen 6
Netzwerkvirtualisierung Gemeinsames "Transportnetz" für das gesamte Netz Layer 2 Pakete werden über das Transportnetz getunnelt Derzeit in oder nahe der Produktionsreife: VXLAN (vmware, Arista, Cisco...): L2 over UDP NVGRE (Microsoft, F5, IronNetworks, bald Cisco): L2 over GRE Angekündigt Contrail (Juniper): ibgp over MPLS 7 (c) IXIA Networks, Inc.
Auswirkungen der Virtualisierung Vorteile Verschiedene Kunden (im RZ) bzw. Netze (am Campus) sind auf Layer 2 getrennt (Layer2-Pakete werden routbar) Probleme Overhead von ca. 50 Bytes pro Paket fällt v.a. bei kleinen Paketen (VoIP) ins Gewicht Physische Sicherheit des Transportnetzes wird extrem wichtig Gemeinsames Transportnetz ist nur durch die Virtualisierung ("unsichtbare" Netzwerkkarte) gesichert Bei Verwendung über (physisch unsichere) WAN-Links wird das LAN per Layer2 unmittelbar zugänglich 8
Infrastrukturerweiterung Diverse proprietäre Implementierungen, basieren auf zwei Standards: TRILL (TRansparent Interconnection of Lots of Links) z.b. Cisco FabricPath SPB (Shortest Path Bridging) z.b. Alcatel Lucent/Avaya, Enterasys, HP Beide verwenden IS IS als Layer2 Routingprotokoll Layer2 Domain verhält sich wie ein geroutetes Netz Loops sind erlaubt, kein Spanning Tree mehr notwendig etc. 9
Auswirkungen des Layer2 Routings Vorteile Nur funktionalitätsweise, nicht bezüglich Security (Layer2-Pakete werden routbar) Probleme IS-IS ist securityweise wenig erforscht, für einzelne Angriffsvektoren existiert PoC Physische Sicherheit des Transportnetzes wird wichtiger (Route Spoofing möglich) Bei Verwendung über (physisch unsichere) WAN-Links wird das LAN per Layer2 unmittelbar zugänglich 10
OpenFlow Netzwerkgeräte (v.a. Switches) entscheiden nicht mehr autonom über Paketweiterleitung Zentrale Controller (in Software) geben "dummen" data plane Geräte Anweisungen. 11 (c) Open Networks Foundation
OpenFlow (2) Extrem mächtige Technik: Keine Probleme mehr mit L2 loops; L2 Routing / L2Address rewrite ( L2 NAT ) werden möglich 12 (c) Open Networks Foundation
Auswirkungen von openflow Schwer abzuschätzen, weil die aktuellen großen Deployments (Google, Facebook) nur sehr wenig über Security reden In breiter Masse erst ab 2014 einsatzreif (Skalierung, Herstellerunabhängigkeit) 13 Vorteile Firewalling kann in Flow-Controller integriert werden, wird mächtiger Geringere Angriffsfläche aus dem Netzwerk (Switches sind kein lohnendes Ziel mehr) Probleme Verbindung zum Controller wird zum Hot Spot gute Sicherung (physisch/logisch) notwendig Controller in Software (Java) relativ leichtes Ziel für Denial of Service- Attacken Mächtige Technik ermöglicht mächtigen Mißbrauch
Fazit Viele der beschriebenen Technologien verlassen sich für Sicherheit auf höhere Layer (4 oder höher, z.b. PKI) und vor allem auf physische Sicherheit Rechenzentrum: Physische Sicherheit ist relativ leicht zu gewährleisten Nächster Meilenstein: Security Evaluation von VXLAN und NVGRE bei Attacken aus IaaS bzw. Kundeneigenen virtuellen Maschinen Übernächster Meilenstein: OpenFlow ist eine angekündigte Revolution findet sie auch statt? Für Campus Netze (eingeschränkte physische Kontrolle über Kabel etc.) überwiegen derzeit eher noch die Risiken. 14
Danke! 15