防御网络攻击的SDN安全策略

日期: 2013-07-16 作者:Dave Shackleford翻译:邹铮 来源:TechTarget中国 英文

软件定义网络(SDN)技术将网络控制转移到专用SDN控制器上,由它负责管理和控制虚拟网络和物理网络的所有功能。由于SDN安全策略实现了这种隔离和控制,所以它支持更深层次的数据包分析、网络监控和流量控制,对于防御网络攻击有很大帮助。 软件定义监控的兴起   最近,微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控,DEMON)。这个工具可用于处理微软云网络的大规模流量。

以前,其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。   通过使用可编程的灵活交换机和其他网络设备,让它们作为数据包拦截和重定向平台,……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

软件定义网络(SDN)技术将网络控制转移到专用SDN控制器上,由它负责管理和控制虚拟网络和物理网络的所有功能。由于SDN安全策略实现了这种隔离和控制,所以它支持更深层次的数据包分析、网络监控和流量控制,对于防御网络攻击有很大帮助。

软件定义监控的兴起

  最近,微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控,DEMON)。这个工具可用于处理微软云网络的大规模流量。以前,其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。

  通过使用可编程的灵活交换机和其他网络设备,让它们作为数据包拦截和重定向平台,安全团队就可以检测和防御目前的各种常见攻击。许多行业将SDN驱动的安全分析技术称为软件定义监控(SDM)。在SDM中,SDN交换机作为数据包分析设备,而控制器则作为监控和分析设备。

使用SDN监控安全性和分析数据包

  首先,来自IBM、Juniper、惠普和Arista Networks等供应商的相对较便宜的消费类可编程SDN交换机,可用于取代较昂贵的数据包分析设备。与微软的用例类似,大量的个人连接和数据流聚合到一起发送到多个安全数据包捕捉与分析平台。第一层交换机可用于捕捉和转发数据包,然后第二层(或者第三层)设备终止第一层的监控端口。此外,这些交换机还可以聚集流量,将数据流和统计数据发送到其他监控设备和平台。

  兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于编程实现和管理多种兼容SDN的交换机,如Big Switch控制器。同时,安全监控堆叠软件产品(Big Switch的Big Tap)可以帮助工程师编程实现更加细粒度的过滤和端口分配功能,从而在SDN交换机上模拟出传统分流功能。

  在这种环境中,多个层次的数据包分析工具可以从SDM端口接收流量。SDM端口可以连接各种硬件工具,如数据包分析设备和网络侦测设备,也可以连接基于软件的协议分析器,如Wireshark。

SDN安全策略如何防御网络攻击

  SDN可以为最复杂的环境提供更高级的网络监控功能。因此,控制器和交换机就能够分辨各种数据包属性。例如,这样就可以自动阻挡或卸载拒绝服务(DoS)攻击。实际上,SDN可以防御许多攻击:

  1.淹没攻击,如SYN洪水攻击:这些攻击包含大量只设置了SYN标记的TCP数据包。它们会占用带宽,也会填满目标系统的连接队列。基于SDN开发的交换机可以作为第一道防御线,分辨特定模式和设定一段特定时间内来自一个或多个来源的数据包容量临界值。然后,这些交换机可以选择丢弃数据包,或者使用其他技术和协议将它重定向到其他目标。大多数路由器和其他网络平台都没有这样细致的控制机制。
  2.针对特定应用与服务的攻击:这些攻击只针对带有非常特殊HTTP请求序列的Web服务(使用带有特殊Cookie变量等信息的用户代理字符串)。SDN设备可以分辨、记录和抛弃这些请求。
  3.针对协议行为的DDoS攻击:这些攻击会填满设备的状态表,但是SDN设备可以根据流顺序和连接限制分辨这些行为。

  除此之外,SDN可以模拟许多基础的防火墙功能。控制器可以执行脚本和命令,快速更新MAC、IP地址及端口过滤方式,因此可以快速响应和更新流量的策略与规则。另外,它可以解放其他网络设备,使它们不需要处理大量的流量。

  前面只介绍了最基本的SDN安全功能。由于能够处理更多的流量,也能够处理特定的数据包属性,所以网络安全分析能够实现的安全功能不只有基本数据包过滤和DDoS检测。而且,它也很可能能够处理更加高级的入侵检测和意外响应。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

翻译

邹铮
邹铮

相关推荐

  • 安全操作中心之于SDN

    SDN有利于公司保持敏捷性,并确保网络可以跟上业务不断变化的步伐。不过如果做法不当,它可能有损于风险管理和安全。因此安全操作中心需要一开始就纳入SDN方案中来。

  • SDN安全:SDN软件堆栈是否安全?(二)

    Palmer预计供应商将会在2015年开始证明SDN软件堆栈的安全性。2014年是SDN的概念验证之年。人们都在试用这项技术。一些重要的安全功能将会浮出水面。

  • SDN安全:SDN软件堆栈是否安全?(一)

    在SDN成为主流之前,整个行业都必须解决一些SDN安全问题,同时要让网络工程师保证SDN基本软件堆的完整性。