国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　比來關于美國***局在IT根本架構植進后門事務的報導良多，此中軟件定義收集(SDN)必定也會成為間諜***的方針。

　　事實上，在這些手藝成為主流之前，全部行業(yè)都必需解決一些SDN安然標題問題，同時要讓收集工程師包管SDN根基軟件堆的完全性。

　　就職于一家全球收集公司的收集工程師Nick Buraglio說：“NSA事務讓我從頭思慮了一下這個標題問題。當轉發(fā)節(jié)制面板與各個設備完全無關，并且節(jié)制面板只有一兩臺Linux設備時，這意味著甚么?假定有人報復打擊了這臺設備呢?他們可以隨便改變您的流量流?！?/P>

　　ONF已發(fā)現(xiàn)了兩個根基的SDN安然標題問題

　　SDN社區(qū)已知道這個標題問題。負責治理OpenFlow和談的開放收集聯(lián)盟(ONF)在往年10月頒發(fā)了一篇論文，文中指出了兩個暗藏的SDN安然標題問題，也是行業(yè)必需封堵的兩個報復打擊路子：

　　集中節(jié)制是一個“暗藏的單點報復打擊和故障源”。

　　節(jié)制器與數(shù)據(jù)轉發(fā)設備之間的南向接口(如OpenFlow)很等閑“遭到報復打擊而降落收集的可用性、機能和完全性。”

　　Matthew Palmer是SDNCentral.com的共同初創(chuàng)人和SDN供給商及云辦事供給商咨詢公司W(wǎng)iretap Ventures的合股人，他說：“我們從客戶聽到的最首要的反饋是：‘我們把安然性視為SDN的首要標題問題。’”

　　SDN節(jié)制器將成為報復打擊方針

　　SDN節(jié)制器是黑客一個首要報復打擊方針，因為它既是一個集中的收集干擾點，也是一個暗藏的單點故障源。

　　Voodoo Security安然咨詢師和IANS帶領成員Dave Shackleford說：“假定不寄望節(jié)制器，那么它會成為報復打擊者的最首要方針，他們可能會輕松攻破它，點竄代碼庫，改變流量節(jié)制，從而在一些位置過濾或躲匿數(shù)據(jù)，任由報復打擊者操控數(shù)據(jù)?！?/P>

　　“只需要點竄節(jié)制器，報復打擊者就會有良多機緣點竄收集流量行動的全部運行根本。我們碰著的標題問題是史無前例的。即便傳統(tǒng)收集治理東西也沒法如許矯捷地動態(tài)點竄各個節(jié)點的收集行動?！?/P>

　　SDN節(jié)制器的可編程性是一把雙刃劍。工程師可以在節(jié)制器的北向接口上安裝安然利用法度，從而獲得一種在收集中利用安然策略的新編制。這些利用法度可以唆使節(jié)制器互換機和路由器，然后將它們作為策略履行點。

　　但是，這類可編程北向接口也是一個暗藏的縫隙。這些利用法度可以經(jīng)由過程節(jié)制器對收集進行從頭編程。黑客可以棍騙工程師安裝一些受報復打擊的利用法度。因為對節(jié)制器上運行的良性利用法度有足夠的體味，所以黑客只需要給收集發(fā)送一些精心設置的數(shù)據(jù)包，便可以節(jié)制收集往做一些完全讓人出乎料想的工作。

　　非盈利性研究與立異中間SRI International的項目主管Phil Porras說：“OpenFlow利用法度之間可以彼此影響。它們可以插進一些組合法則，產(chǎn)生讓人意想不到和不想看到的交叉效應?！?/P>

　　SDN節(jié)制器凡是還不沒法讓安然利用法度獲得高于其他利用法度的通信優(yōu)先級。假定節(jié)制器不知道若何措置與安然策略沖突的利用要求，那么即便是一個無歹意的利用法度也可能粉碎安然策略。

　　Porras說：“假定OpenFlow安然利用法度覺得有一個內部主機的運行編制像是傳染了病毒。那么這個安然利用法度就會隔離這個主機，往除它與收集的通信能力。同時，有一個負載均衡利用法度可能會監(jiān)督這個主機，然后讓收集中負載最小的主機領受它的負載。如許負載均衡利用法度就會決定讓流量開端轉到被隔離的主機上?！?/P>

　　SE-Floodlight：一個面向更智能的安然節(jié)制器的模型

　　Porras說：“我們正在尋覓編制束縛SDN利用，從而包管一些特定的策略必然會履行。這些OpenFlow利用其實不必然是歹意利用。它們可能只是完全不知道有哪些安然策略?！?/P>

　　Porras已開辟出SE-Floodlight，它是基于開源Floodlight OpenFlow節(jié)制器點竄的版本，專門用于包管安然利用法度的完全性。

　　Porras說：“SE-Floodlight引進了一個概念，即OpenFlow利用可以運行在分級角色上。這些角色將由數(shù)字認證手藝指派?！?/P>

　　他指出，經(jīng)由過程利用SE-Floodlight，工程師便可以給安然利用法度指定高于其他利用法度的優(yōu)先級。當有一個負載均衡利用給節(jié)制器發(fā)送的流量法則與安然利用法度策略產(chǎn)生沖突時，這個節(jié)制器便可能拒盡這個法則。別的，它還會給負載均衡利用法度發(fā)送反饋，使它知道必需尋覓其他編制來轉發(fā)流量。

　　Porras說：“我覺得，假定我們預備在金融辦事收集、醫(yī)療收集或當局收集中利用OpenFlow，那么必需用到此刻SE-Floodlight所做的工作。我們需要利用一個強力的安然模型，包管添加SDN不會消弱一些組件的安然性。我覺得，SDN供給商和尺度委員會都應當更當真地核閱OpenFlow的安然架構。我接觸的良多供給商都很存眷這個標題問題?！?/P>

　　南向接口安然性

　　ONF還發(fā)現(xiàn)節(jié)制器與數(shù)據(jù)轉發(fā)設備之間的南向通信也等閑遭到報復打擊。OpenFlow等南向接口和談有一個根本身份認證手藝，它可以避免黑客從節(jié)制器向互換機發(fā)送棍騙性的流號令。但是，Palmer指出，工程師應當要求SDN供給商驗證他們已在節(jié)制器和SDN互換機之間實現(xiàn)了準確的身份驗證證書。

　　可是，黑客可能不會試圖劫持南向接口，因為還有更簡單編制可以粉碎它。黑客可能會針對節(jié)制器、互換機或虛擬互換機等倡議拒盡辦事報復打擊。

　　Porras說：“有人可能會讓節(jié)制面板保持高負載，或讓節(jié)制面板與數(shù)據(jù)面板之間的接口保持高負載，如許可能降落全部收集的運行速度。我們會看到一些匹敵模型，此中‘報復打擊方針’其實不會試圖讓收集完全解體，而是經(jīng)由過程發(fā)送大年夜量的數(shù)據(jù)包來讓數(shù)據(jù)面板和節(jié)制面板產(chǎn)生過量交互。”

　　我們應當若何措置SDN安然標題問題?

　　工程師沒有需要因為安然標題問題而拋卻SDN。每種環(huán)境都有不合程度的風險容忍力。并且，此刻大年夜大都SDN擺設都處于試用或概念驗證階段。但是，假定寄望這些標題問題，工程師便可以自行采納一些辦法來呵護SDN軟件倉庫。

　　Buraglio說：“要極力鎖定節(jié)制器。不要讓任何沒有合法來由經(jīng)由過程的東西進出節(jié)制器。要保持節(jié)制器的更新。要給它設置基線。要記實CPU利用率、內存利用率和接口統(tǒng)計信息。要匯集所有的數(shù)據(jù)，然后在設備上設置臨界值和警報?！?/P>

　　Shackleford指出，工程師需要在SDN節(jié)制器上利用與敏感數(shù)據(jù)辦事器不異級別的安然性，如諾言卡號和常識產(chǎn)權等。

　　他說：“我們必需存眷于完全性監(jiān)控，非分出格警戒日記陳述，對拜候實施多重身份驗證。我們必需包管所有這些方面都有分層次拜候?！?/P>

　　可是，在SDN手藝的安然性和完全性獲得驗證之前，它還不會用于主流出產(chǎn)擺設。節(jié)制器供給商特別需要向暗藏客戶證實這一點。

　　Palmer說：“這其實不是一個安然標題問題。這是一個合規(guī)性標題問題。除非他們可以向合規(guī)性團隊證實SDN在安然性方面可以或許和遺留系統(tǒng)做得一樣好，不然他們是不會同意擺設的?！?/P>

　　Palmer估計供給商將會在2015年開端證實SDN軟件倉庫的安然性。他說：“2014年是SDN的概念驗證之年。人們都在試用這項手藝。我覺得，一些首要的安然功能將會浮出水面?？墒?，我們仍然需要等候一年或一年半時候，這些安然特點才會真正進進節(jié)制器和其他SDN產(chǎn)品中。”