Ist SDN der nächste Security-Albtraum?

Netzwerkvirtualisierung und Software-defined Networking (SDN) sind drauf und dran die Netzwerkerei umzukrempeln. Wie sieht es aber in Sachen Security aus?

» Von Jens Stark , 03.03.2014 11:21.

weitere Artikel

Dieser Frage ging Branchen-Veteran, IPv6-Miterfinder und Check-Point-Fellow Robert Hinden dieser Tage in einem Vortrag an der RSA Conference in San Francisco nach. Er warnte davor, bei der Einführung von SDN die Security zu wenig zu berücksichtigen.

Denn diverse Vorteile von SDN, wie Entkoppelung der Kontrollebene von der Weiterleitungsebene, die Möglichkeit, Netzwerke mit Software auf einem handelsüblichen Server zu betreiben, seien mit Vorsicht zu geniessen. «Was passiert, wenn genau der Server, der das Netzwerk organisiert, angegriffen wird? Und was, wenn ein Hacker den SDN-Contoller kapert?», fragt sich Hinden denn auch. Ihm zufolge könnten Angreifer den Netzwerkverkehr umleiten, etwa um die Firewall herum, sie könnten Malware im Netzwerk verstecken oder  Man-in-the-Middle-Attacken durchführen.

Auch Software-Bugs könnten ein Problem darstellen, so Hinden. Daneben stellt er die Fähigkeit von SDN in Frage, bei Netzwerkausfällen für den Datenverkehr eine neue, alternative Route zu finden.

Neben den Sicherheitsbedenken, äusserte Hinden auch Vorbehalte bezüglich der Skalierbarkeit von SDN. Klassische Netzwerke konzentrieren sich ganz auf das Ziel, das ein Datenpaket ansteuern soll und greifen dabei auf Routing-Tabellen zurück. Dagegen wird bei SDN der Datenfluss wichtig. Positiv daran sei, dass Netzwerkadministratoren sehr differenzierte Policies erstellen könnten. Nachteil: All diese Einträge über den Datenfluss müssten an alle beteiligten Geräte  geschickt werden. «Das kann schnell unhandlich werden», meint Hinden.

Es gibt laut Hinden aber auch positive Aspekte in Sachen SDN und Sicherheit. So könne die Kontrollsoftware Sicherheitsrichtlinien an alle Router und Switches im Netzwerk schicken, was zu einer gewissen Einheitlichkeit in Sachen Security-Policies führe.

Daneben lasse sich ein verseuchter Host sehr schnell durch den Controller vom Rest des Netzes isolieren, führt Hinden an.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.