03.03.2014, 11:21 Uhr

Ist SDN der nächste Security-Albtraum?

Netzwerkvirtualisierung und Software-defined Networking (SDN) sind drauf und dran die Netzwerkerei umzukrempeln. Wie sieht es aber in Sachen Security aus?
$$
Robert Hinden nennt die Security-Gefahren aber auch -Chancen von SDN beim Namen
Dieser Frage ging Branchen-Veteran, IPv6-Miterfinder und Check-Point-Fellow Robert Hinden dieser Tage in einem Vortrag an der RSA Conference in San Francisco nach. Er warnte davor, bei der Einführung von SDN die Security zu wenig zu berücksichtigen.
Denn diverse Vorteile von SDN, wie Entkoppelung der Kontrollebene von der Weiterleitungsebene, die Möglichkeit, Netzwerke mit Software auf einem handelsüblichen Server zu betreiben, seien mit Vorsicht zu geniessen. «Was passiert, wenn genau der Server, der das Netzwerk organisiert, angegriffen wird? Und was, wenn ein Hacker den SDN-Contoller kapert?», fragt sich Hinden denn auch. Ihm zufolge könnten Angreifer den Netzwerkverkehr umleiten, etwa um die Firewall herum, sie könnten Malware im Netzwerk verstecken oder  Man-in-the-Middle-Attacken durchführen.
Auch Software-Bugs könnten ein Problem darstellen, so Hinden. Daneben stellt er die Fähigkeit von SDN in Frage, bei Netzwerkausfällen für den Datenverkehr eine neue, alternative Route zu finden.
Neben den Sicherheitsbedenken, äusserte Hinden auch Vorbehalte bezüglich der Skalierbarkeit von SDN. Klassische Netzwerke konzentrieren sich ganz auf das Ziel, das ein Datenpaket ansteuern soll und greifen dabei auf Routing-Tabellen zurück. Dagegen wird bei SDN der Datenfluss wichtig. Positiv daran sei, dass Netzwerkadministratoren sehr differenzierte Policies erstellen könnten. Nachteil: All diese Einträge über den Datenfluss müssten an alle beteiligten Geräte  geschickt werden. «Das kann schnell unhandlich werden», meint Hinden.
Es gibt laut Hinden aber auch positive Aspekte in Sachen SDN und Sicherheit. So könne die Kontrollsoftware Sicherheitsrichtlinien an alle Router und Switches im Netzwerk schicken, was zu einer gewissen Einheitlichkeit in Sachen Security-Policies führe.
Daneben lasse sich ein verseuchter Host sehr schnell durch den Controller vom Rest des Netzes isolieren, führt Hinden an.


Das könnte Sie auch interessieren