软件定义交换机似乎给网络运营商提供了许多功能,但在拉斯维加斯Black Hat 2015全球顶尖安全会议上,一篇名为《STAYING PERSISTENT IN SOFTWARE DEFINED NETWORKS》的演讲稿中的最新研究表明其安全措施并不到位。芝加哥安全公司Hellfire Security的创始人Gregory Pickett针对使用ONIE(Open Network Install Environment)的网络交换机自主开发了一些攻击软件。
ONIE是基于Linux的小型操作系统,运行在白盒交换机上,解除交换机软硬件绑定的黑盒状态,形成硬件标准化、软硬件分离的新模式。网络操作系统安装在ONIE之上,便于快速交换操作系统。
Pickett主要研究运行在ONIE上的三个网络操作系统:Switch Light, Cumulus Linux和Mellanox OS。他发现了很多问题,有时候能够在ONIE固件上安装持久性的恶意软件。这是相当危险的,恶意软件能够全面了解所有运行在交换机上的数据流,网络中数据流的走向被大范围得监视,甚至可能造成网络的全面瘫痪。
Pickett开发的恶意软件称之为“Big Brother”。它只需要安装到目标公司网络中的一台用户主机上,然后就能搜寻到交换机并且在上面安装恶意软件,接着就可以向命令控制型服务器推送数据。Pickett还认为将可能开发一个蠕虫病毒来感染目标网络的所有交换机。
SDN毕竟属于相对较新的领域,安全举措还没有做好。网络操作系统以及ONIE往往缺乏身份验证、加密、访问控制和权限这些功能。
如果说ONIE易受攻击,那么网络操作系统需要去保护它。但是,如果攻击者可以闯过操作系统,ONIE就只能等着被侵袭了。
Pickett表示SDN的形势似乎是一个鸡生蛋还是蛋生鸡的问题:对于是SDN平台还是网络操作系统需要负责阻止恶意攻击的问题似乎并没有过多地关注。如果这两方都在期待另一方收拾残局的话,真是太糟糕了,他们认为自己是安全的,因为这些Linux交换机位于防火墙之后。
Pickett已经通知Switch Light、Cumulus Linux、Mellanox OS和ONIE目前发现的问题,希望他们能够修复漏洞。他不打算把发现的瞬时攻击在周四的Black Hat和周六的Def Con会议上发布,但他将在会上发布开发恶意软件的代码。他还将描述SDN平台的改进列表以及网络操作系统的补救措施。
