软件定义的交换机给网络运营商带来了很多希望,但即将在黑帽大会上发表的一项新研究将表明,安全措施还没有完全跟上。
格雷戈里·皮克特是这家总部位于芝加哥的安全公司的创始人地狱火安全该公司开发了几种攻击网络交换机的方法Onie(开放网络安装环境)。
观看视频:愚蠢的系统管理员在用iMac机顶盒制作的iWheel上玩了一会儿
Onie是一个小型的,基于Linux的操作系统,运行在一个裸机交换机上。一个网络操作系统被安装在Onie之上,它被设计用来使操作系统与另一个不同的操作系统交换变得简单和快速。
Onie的主要竞争对手是OpenDaylight,这是另一个软件定义的网络项目,旨在为网络运营商提供更灵活的交换机配置,而不是让组织只能使用一个供应商。
皮克特的研究集中于在Onie上运行的三种网络操作系统:光开关,积云Linux和Mellanox操作系统。他发现每个软件都有很多问题,在某些情况下,他可以在Onie的固件中安装一个持久的恶意软件。
这是非常非常糟糕的,因为恶意软件坐在交换机上可以完全看到通过交换机运行的所有通信,从而实现大规模的间谍活动。皮克特说,也有可能将开关完全装上砖块,关闭网络。
他的恶意软件被称为“老大哥”。它只需要安装在目标公司网络内的用户计算机上。从那里,它可以找到交换机,并在交换机上安装一种狡猾的二级恶意软件,然后将数据推送到命令控制服务器上。他还认为有可能开发出一种蠕虫来感染给定网络中的所有交换机。
SDN的主要问题是,它是一个相对较新的领域,安全还没有跟上,Pickett说。网络操作系统和Onie通常缺乏认证、加密、访问控制和权限。
如果Onie是脆弱的,这意味着网络操作系统需要保护它。但是,如果攻击者能够通过操作系统,Onie就可以被利用了。
“如果你通过了,你就在固件中了,”皮克特说。
Pickett说,SDN的情况似乎是一个先有鸡还是先有蛋的问题:SDN平台端和网络操作端似乎都没有太多关注谁应该对阻止不良活动负责。
他说:“我想知道他们是否都希望对方来收拾残局。”“这是非常糟糕的。他们认为自己是安全的,因为这些是Linux交换机,而且是在防火墙后面。”
Pickett已经通知了Switch Light、Cumulus Linux、Mellanox OS和Onie的问题,希望能够修复他发现的漏洞。他发现了一个零日漏洞,他不打算在黑帽和Def Con上发布这个漏洞,但会发布他开发的恶意软件的代码。
他还将描述一系列SDN平台的改进以及网络操作系统的补救措施。皮克特将于黑帽星期四和下午Def Con会议在周六。
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk
