Bizpoint — January 27, 2016 at 5:57 pm

SDN – Şansa unei construcţii securizate de la început

by
 Reţelele definite prin software
Reţelele definite prin software

Asigurarea securităţii datelor folosite în cadrul unei reţele reprezintă, probabil, cea mai importantă prioritate a factorilor responsabili cu IT-ul din companii la ora actuală. Reţelele definite prin software (SDN) nu fac excepţie de la această situaţie, chiar dacă ele sunt, încă, un concept care aparţine mai degrabă viitorului decât prezentului.

Pentru definirea cât mai exactă a conceptului, SDN înseamnă o abordare a universului reţelisticii prin care se separă zona controlului datelor de zona transferului de date, pentru a sprijini virtualizarea reţelei. SDN înseamnă o nouă paradigmă pentru virtualizarea reţelelor. Cele mai multe modelele arhitecturale de SDN, conform experţilor, dispun de trei straturi de funcţionare: un strat inferior al dispozitivelor hardware de reţea echipate SDN, un strat de mijloc constituit de controllere SDN, şi un strat superior al aplicaţiilor şi serviciilor care au nevoie de SDN sau configurează o astfel de reţea.


Chiar dacă multe sisteme SDN sunt noi, iar conceptul în sine se găseşte încă în faza de adaptare timpurie de către entuziaşti, pe măsură ce tehnologia se maturizează şi adoptarea ei devine tot mai răspândită, astfel de reţele vor deveni tot mai des ţinte pentru infractorii cibernetici. În încercarea de a asigura o construcţie cât mai protejată din start, analiştii şi experţii în securitate şi reţele anticipează că este foarte probabil ca straturile menţionate mai sus să devină principalele ţinte ale unor astfel de atacuri.
Astfel, este foarte posibil ca atacatorii să ţintească elemente ale reţelei chiar din interiorul acesteia. Teoretic, un atacator ar putea obţine acces fizic sau virtual neautorizat la reţea sau ar putea compromite o gazdă care este deja conectată la SDN, de unde să încerce să efectueze atacuri care să destabilizeze elementele reţelei.

În aceeaşi măsură, stratul constituit de controllerele reţelei este foart posibil să devină o ţintă favorită a atacatorilor. Motivul este simplu. Dacă un atacator poate ajunge să emuleze cu succes fluxuri de date de la un controller legitim, atunci el ar căpăta posibilitatea de a controla după propria dorinţă traficul din reţea şi poate chiar posibilitatea de a scurtcircuita politicile implementate vizavi de asigurarea securităţii.

În fine, nu sunt de neglijat nici potenţialele atacuri la nivelul stratului SDN. Controllerele SDN folosesc multe interfeţe cu aplicaţiile şi serviciile. Dacă un atacator poate pătrunde într-o astfel de interfaţă, atunci el ar putea căpăta control asupra întregii reţele prin intermediul controllerului. Mai mult decât atât, al ar putea ajunge să îşi genereze un set propriu de politici SDN, iar prin aceasta să capete control asupra întregului mediu de funcţionare SDN.

Cele de mai sus sunt motive reale pentru întărirea unui sistem SDN, dacă acesta a fost deja implementat, sau pentru proiectarea unuia mai sigur încă de la început. Iar această asigurare se poate face la toate cele trei nivele ale reţelei, ceea ce are ca afect, în final, o asigurare la nivel global a reţelei.
Asigurarea la nivelul datelor şi aplicaţiilor s-ar putea face, de pildă, proiectând sisteme care să folosească alte protocoale de comunicare. Sesiunile de comunicare bazate pe protocolul HTTP, de pildă, sunt actualmente socotite a fi depăşite, deoarece sunt susceptibile a fi ţinta unei game variate de atacuri care pot pune în pericol integritatea nivelului de date şi aplicaţii. O soluţie în acest sens, spun experţii, ar putea fi proiectarea reţelei bazată pe protocolul TLS (fost SSL), un protocol menit să autentifice şi să cripteze traficul dintre echipamentele reţelei şi controller.

În mod similar, proiectarea unei reţele SDN ar trebui să ia în calcul întărirea securităţii la nivelul controllerului, care se reduce, în esenţă, la întărirea securităţii sistemului de operare. Iar aici sunt, în mod cert, aplicabile toate bunele practici de întărire a securităţii serverelor. Pe lângă asta, însă, un arhitect care va proiecta securitatea noii reţele la nivel de controller va ţine cont şi de alte aspecte, precum transpunerea în practică a unor politici de acces mai dure şi elaborarea unei arhitecturi cu controllere de înaltă disponibilitate.

Din punct de vedere SDN, deocamdată se pot face doar anticipări ale ţintelor posibile vizate de atacatori. Acest gen de reţele este nou, protocoalele folosite sunt noi, software-ul cu care este dotat controllerul este nou, şi nu există un istoric al atacurilor asupra SDN. Însă pe baza conceperii unei arhitecturi adecvate, se pot prevedea locurile cele mai probabil unde un atacator va acţiona. Dacă arhitectul unei astfel de reţele se poate pune în locul atacatorului, ar putea depista punctele slabe, predispuse la atac, şi astfel ar putea lua măsuri de întărire a acestora.

Înainte de a se angaja în proiectul de instalare a unei reţele SDN, orice organizaţie ar trebui să se gândească la modul cum va securiza sistemul în fazele timpurii de proiectare a lui. Dacă ea va aştepta până ce reţeaua funcţionează, atunci luarea unor măsuri ulterioare de securizare poate genera probleme pentru serviciile asigurate de acea reţea. Ca în atâtea alte circumstanţe, proiectarea adecvată din start a unei astfel de reţele va scuti organizaţiile beneficiare de multe dureri de cap care ar putea apărea pe parcurs.

Mai multe detalii pe www.alliedtelesis.com/sdn.