OpenFlow SDN-protokollfeil påvirker alle versjoner, kan føre til DoS-angrep

Her er de største IT-infrastrukturtrendene som CIOs og CTOs trenger å ta hensyn til Cloud forbruksmodeller, flashlagring og programvaredefinert er bare noen få av trender som 451 Research analytiker Simon Robinson sa forretnings- og IT-ledere må undersøke.

OpenFlow, en protokoll som brukes mye i programvaredefinert nettverk (SDN), lider av en alvorlig sikkerhetsfeil: Viktige autentiserings- og autorisasjonstrinn mangler i håndtrykkprosessen.

Mer om nettverk

  • 7 nettverksvarslinger for 2020: Automatisering, edge computing, Wi-Fi 6, mer
  • 8 datasenterprognoser for 2020
  • Topp 11 lagringstrender de siste 20 årene
  • 5G mobilnett: Et jukseark

OpenFlow blir vedlikeholdt av Open Networking Foundation (ONF) og ble opprettet i 2011. Det er designet for å være en leverandørnøytral protokoll for å håndtere pakkebevegelse mellom brytere og bygge programvaredefinerte nettverk.

Det er en viktig del av nettverksprotokollen å sikre tilkoblinger og verifisere at svitsjer på et nettverk antas å være der, og det er en som OpenFlow ser ut til å ha oversett. "OpenFlow-håndtrykk krever ikke at kontrolleren må autentisere brytere under OpenFlow-håndtrykk. Videre er ikke kontrolleren pålagt å autorisere brytere tilgang til kontrolleren, " sa Kashyap Thimmaraju fra det tekniske universitetet i Berlin, en av oppdagerne av feilen .

Det det betyr er at ondsinnede brytere kan utnytte den iboende tilliten OpenFlow setter i nettverkene sine for å forårsake angrep på tjenestenekt og til å utføre skjult kommunikasjon.

For å gjøre vondt verre, blir hver eneste versjon av OpenFlow helt tilbake til 1.0 påvirket. Som registeret rapporterte, har ONF ikke oppdatert OpenFlow-spesifikasjoner siden 2015, noe som betyr at en løsning ikke sannsynligvis vil komme raskt.

Hva dette betyr for OpenFlow-brukere

Selv om virkningene av denne utnyttelsen kan være alvorlige, er det en hovedfaktor som gjør det usannsynlig å se utbredt bruk: Det krever fysisk tilkobling av en ondsinnet bryter på et offernettverk og en vellykket TLS-forbindelse til en nettverkskontroller. Det betyr ikke at det ikke kunne skje eksternt, men det vil kreve mye krefter å utføre et slikt angrep.

ONF har ikke sendt ut en uttalelse om OpenFlow-sårbarheten, og før den gjør det vil det ikke være noen offisiell løsning tilgjengelig. Teamet som oppdaget feilen, har publisert det den sa, er avbøtningstrinn. Alle tre av følgende bør implementeres av OpenFlow-brukere:

  • Gi hver bryter på nettverket ditt et unikt TLS-sertifikat.
  • Hvitliste Datapath Identifiers (DPIDs) for hver bryter på kontrollenivå og inkluderer også bryternees offentlige nøkkel sertifikatidentifikatorer.
  • Forsikre deg om at kontrollerne verifiserer bytter-DPID-er med hver tilkobling.

TechRepublic vil følge med på uttalelser fra ONF og vil oppdatere denne artikkelen med relevant informasjon for OpenFlow nettverksadministratorer.

De store takeawayene for teknologiledere:
  • OpenFlow-nettverkskontrollere krever ikke godkjenning fra brytere på nettverkene sine, noe som kan åpne OpenFlow-brukere for angrepsnekter og andre nettverksutnyttelse. Dette påvirker alle eksisterende versjoner av OpenFlow.
  • Selv om det ikke er noen offisiell oppdatering, kan OpenFlow-brukere iverksette tiltak for å forhindre et angrep ved å kreve at alle brytere har unike TLS-sertifikater, hvitelister alle individuelle brytere på kontrollere og tvinger kontrollører til å bekrefte bryter-IDer med hver tilkobling.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • 27 måter å redusere insider sikkerhetstrusler (gratis PDF) (TechRepublic)
  • Hvor sikker er den lufta spionerte PC-en din? Angripere kan nå suge ut data via kraftledninger (ZDNet)
  • En ondsinnet USB-pinne kan krasje din Windows-PC, selv om den er låst (TechRepublic)
  • Digital transformasjon: tenk globalt, handle lokalt (ZDNet)
  • 10 ting du bør vite om å distribuere et programvaredefinert nettverk (TechRepublic)
Bilde: Open Networking Foundation

© Copyright 2021 | pepebotifarra.com