j'ai compris

Défis de la sécurité des contrôleurs SDN

publié il y a  2021-8-19 12:38:26 140 0 0 0 0

Salut à tous!!!


Huawei a un dernier contrôleur SDN "iMaster NCE". Mais lorsque nous parlons de contrôleurs SDN, il y a des problèmes de sécurité. Par rapport aux périphériques réseau conventionnels, un contrôleur SDN a les exigences de sécurité suivantes :


  • Ouverture: Le contrôleur SDN ouvre des API vers le nord pour intégrer des applications tierces (applications) dans le réseau. Pour s'assurer que l'ouverture n'entraîne pas de nouveaux risques, une solution globale est nécessaire. En tant que tel, une architecture stricte de contrôle des privilèges et de contrôle d'accès est requise.

  • Centralisation : Une fois les plans de contrôle et de transfert séparés, les fonctions de gestion et de contrôle de l'ensemble du réseau sont mises en œuvre sur un nœud central. Si les attaquants contrôlent le contrôleur SDN, ils peuvent infliger des dommages à l'ensemble du réseau, ce qui nécessite une protection avancée de l'intégrité du système et une amélioration de la disponibilité.

  • Séparation des plans de contrôle et de transfert : les dispositifs de réseau conventionnels sont conçus sur la base de l'architecture ITU-T X.805. Les plans de gestion, de contrôle et de transmission sont situés à l'intérieur du même élément de réseau et les messages associés n'ont pas besoin d'être exposés au réseau. Dans la solution SDN, cependant, les plans de contrôle et de gestion sont éloignés les uns des autres, ce qui pose des exigences plus élevées en matière de confidentialité, d'intégrité et de cohérence des messages entre les redirecteurs et le contrôleur.


Tout type de modèle de sécurité nécessite une collaboration conjointe entre les plans de données, de contrôle et de gestion pour assurer la sécurité globale. En tant que telle, la solution Huawei SDN utilise l'usurpation d'identité, la falsification, la répudiation, la divulgation d'informations, le déni de service et l'élévation de privilèges (STRIDE) pour la modélisation et l'analyse des menaces afin d'identifier efficacement les risques de sécurité SDN.


Analyse des risques de sécurité SDN sur les plans de données

Dans la solution SDN, le plan de données est construit sur des commutateurs ou des routeurs. Les risques de sécurité suivants sont impliqués :

  • Violation de données : les risques de divulgation d'informations doivent être pris en compte pour l'isolement des données entre les locataires et les flux de données basés sur les VPN, les listes de contrôle d'accès et les tables de flux de données.

  • Inondation de trafic : Le plan de données dispose de fortes capacités de traitement des données. Sur un réseau fédérateur de télécommunications, le trafic en petites rafales peut amener les FAI, les entreprises ou même les utilisateurs finaux à être confrontés à des attaques par déni de service (DoS). Le contrôleur SDN est requis pour refuser le trafic d'attaque.

  • NE DoS : Un contrôleur s'exécute généralement dans un environnement multi-machines virtualisé et offre une capacité de calcul bien supérieure à celle d'un redirecteur. En tant que tel, une rafale de message d'un contrôleur peut provoquer une congestion sur un expéditeur, entraînant un DoS.


Analyse des risques de sécurité SDN sur le plan de contrôle

Lorsqu'un contrôleur SDN envoie diverses instructions de contrôle à un transitaire, la confidentialité et l'intégrité des instructions doivent être bien protégées. Pour mettre en œuvre cela, une authentification et une autorisation strictes doivent être mises en œuvre à la fois sur le contrôleur et le transitaire afin d'éviter tout abus des instructions de contrôle.

  • Authentification et autorisation d'identité : le contrôleur doit authentifier les messages d'un transmetteur, tandis que le transmetteur doit authentifier les instructions du contrôleur. Les deux nécessitent un mécanisme d'authentification et d'autorisation de sécurité strict pour garantir que les identités des deux parties sont dignes de confiance.

  • Contrôle d'accès aux API : les redirecteurs ouvrent les API de gestion et de contrôle au contrôleur, et le contrôleur doit authentifier strictement les identités des opérateurs et des objets exploités pour empêcher l'utilisation non autorisée des API.


Analyse des risques de sécurité SDN sur le plan de gestion

Le plan de gestion assume les responsabilités principales de la sécurité de la solution SDN. Le plan de gestion est confronté aux risques de sécurité dans les aspects suivants :

  • Gestion des comptes : les comptes utilisateurs du contrôleur doivent se voir attribuer différents privilèges par rôle, et un contrôle d'accès basé sur les rôles (RBAC) doit être mis en œuvre.


  • Cryptage de la communication : des protocoles de transmission cryptés et des algorithmes avec une force de cryptage élevée doivent être utilisés pour crypter les données de communication entre le contrôleur et les transitaires, garantissant la confidentialité et l'intégrité des données.


  • Audit de journal : tous les événements de fonctionnement du contrôleur (y compris les instructions et les messages) pour les redirecteurs doivent être strictement et complètement enregistrés pour l'audit post-événement. De plus, les journaux d'audit doivent être bien stockés et des privilèges de contrôle d'accès et des mesures de protection de l'intégrité appropriés doivent être fournis.

Analyse hiérarchique des risques de sécurité SDN

La centralisation SDN permet une énorme expansion des charges de trafic et de l'espace de stockage sur les périphériques réseau conventionnels. De tels dispositifs sont construits sur l'architecture du système embarqué, qui ne peut pas répondre aux exigences de la grande plate-forme de gestion et de contrôle centralisée. Pour résoudre ce problème, le contrôleur SDN doit utiliser les technologies de virtualisation informatique et de cloudification.


Du point de vue vertical et hiérarchique, la solution SDN est confrontée aux risques de sécurité dans les aspects suivants :


Couche physique

  • Sécurité de l'hôte : Les hôtes physiques, y compris la plate-forme serveur du contrôleur et les plates-formes matérielles des expéditeurs, sont confrontés à des risques de surcharge de service causés par des ressources informatiques insuffisantes. À ce titre, des mesures de protection appropriées doivent être prises.

  • Cohérence matérielle : Le contrôleur est généralement éloigné des transitaires. Si le contrôleur ou le transitaire est usurpé, de graves risques de sécurité peuvent être causés. L'intégrité et la cohérence des plates-formes matérielles doivent être assurées pour prévenir de tels risques.


Hyperviseur

  • Pour isoler le contrôleur ou des applications spécifiques s'exécutant sur des machines virtuelles, les machines virtuelles correspondantes doivent être isolées les unes des autres. Cependant, une fois que l'HyperVisor est compromis, l'isolation de la VM n'est plus efficace.

  • L'HyperVisor nécessite que l'architecture informatique de confiance fournisse un mécanisme de protection de l'intégrité pour empêcher la pénétration et l'implantation et assurer l'isolement des frontières.


Tas/Pile

  • La plupart des attaques (par exemple, un débordement de tampon conventionnel) sont causées par des contrôles aux frontières lâches.

  • Les attaquants exploitent généralement les défauts d'exécution de tas/pile pour implanter des instructions malveillantes et lancer des attaques par débordement de tampon.

  • Les mécanismes de prévention de l'exécution des données (DEP), pas d'exécution (NX) et de randomisation de la disposition de l'espace d'adressage (ASLR) peuvent être utilisés pour renforcer la sécurité des tas/piles.


Couche de machine virtuelle


  • Les machines virtuelles utilisent la technologie CGroup pour restreindre, collecter des statistiques et séparer les ressources (telles que le processeur, la mémoire et les E/S de disque) d'un groupe de processus, empêchant ainsi certains processus d'abuser des ressources système.


Couche du système d'exploitation

  • L'architecture de sécurité de base d'un système d'exploitation doit se concentrer sur le contrôle d'accès et la sécurité du noyau.

  • Security-Enhanced Linux (SELinux) peut être utilisé pour fournir plusieurs modèles de contrôle d'accès, tels que DAC, MAC et RBAC, afin d'empêcher les vulnérabilités de sécurité d'un module d'infecter d'autres.

  • De plus, le noyau Linux doit être renforcé.


Couche d'application

  • L'ouverture d'applications vers le nord peut entraîner des risques de sécurité incontrôlables, un abus de ressources et un accès non autorisé, introduisant des risques importants pour les périphériques réseau.

  • Le cœur de la sécurité des applications vers le nord est le contrôle d'accès, qui nécessite un contrôle strict des droits d'accès des objets (tels que les VPN, les tunnels et les interfaces) pour les sujets (applications et utilisateurs).


Couche réseau


  • Collecte d'informations : d'éventuels défauts de sécurité et vulnérabilités sont obtenus en scannant les ports et en collectant des informations.

  • Reniflage : les attaquants surveillent les données du réseau, telles que les mots de passe et les configurations en texte clair. Ils peuvent facilement accéder à toutes les informations en clair transmises sur un réseau à l'aide de renifleurs de paquets de données, et peuvent déchiffrer des paquets de données chiffrés à l'aide d'algorithmes de hachage légers et déchiffrer des charges utiles pour obtenir des données confidentielles.

  • Spoofing : Les attaquants falsifient leur identité sur un réseau en utilisant une fausse adresse source ou un faux identifiant. Les attaquants peuvent dissimuler la source de l'attaque initiale ou contourner une liste de contrôle d'accès (ACL) utilisée pour restreindre l'accès à l'hôte en fonction des règles d'adresse source.

  • DoS/DDoS : Les utilisateurs autorisés ne peuvent pas accéder aux serveurs ou aux services.


Couche système

  • Virus, chevaux de Troie et vers : les virus sont des programmes malveillants conçus pour détruire les systèmes d'exploitation ou les applications. Les chevaux de Troie sont des virus qui incluent du code malveillant dans des fichiers de données ou des programmes exécutables apparemment inoffensifs. Les vers sont similaires aux chevaux de Troie mais peuvent se dupliquer d'un serveur à un autre. Ils peuvent être difficiles à détecter car ils ne créent pas régulièrement des fichiers visibles. Les vers ne sont généralement remarqués que lorsqu'ils commencent à occuper les ressources du système, ce qui entraîne une réponse lente du système ou l'arrêt d'autres programmes.


  • Empreinte : les empreintes incluent l'analyse des ports, l'analyse ping et l'énumération NetBIOS, et peuvent être exploitées par des attaquants pour collecter des informations au niveau du système qui peuvent renforcer leur attaque. Les empreintes peuvent révéler plusieurs types d'informations, telles que les détails du compte, les versions du système d'exploitation ou du logiciel, les noms de serveur et les spécificités relatives à l'architecture de la base de données.


  • Craquage de mot de passe : Si aucune connexion anonyme à un serveur ne peut être établie, des attaquants peuvent tenter d'établir une connexion via l'authentification. Pour cela, l'attaquant doit obtenir un nom d'utilisateur et un mot de passe valides. Si le nom d'utilisateur par défaut est utilisé, le piratage du système devient plus facile car l'attaquant n'a qu'à déchiffrer le mot de passe du compte. Si aucun mot de passe n'est défini, ou si le mot de passe est faible, l'attaquant peut facilement le déchiffrer.


  • DoS : Les attaques DoS peuvent prendre plusieurs formes et viser plusieurs cibles d'infrastructure. Les attaquants sur un hôte peuvent attaquer brutalement des applications afin de détruire des services, ou utiliser les défauts des services où résident les applications ou les défauts du système d'exploitation sur un serveur pour lancer des attaques DoS.


  • Exécution de code arbitraire : si un attaquant peut exécuter du code malveillant sur votre serveur, l'attaquant peut compromettre les ressources du serveur ou attaquer les périphériques en aval. Si les processus serveur exécutant un tel code malveillant sont exécutés au-delà de l'autorité, l'exécution de code arbitraire entraîne des risques plus importants. Les défauts courants incluent les serveurs soumis à des attaques de routage récursif ou de débordement de tampon en raison de correctifs manquants. Dans ce cas, l'exécution de code arbitraire peut se produire.


  • Accès non autorisé : les utilisateurs non autorisés peuvent accéder aux informations ou effectuer des opérations si le contrôle d'accès est mal mis en œuvre.


Couche de service et d'application

  • Authentification d'entrée : une tentative d'attaque du système par le biais d'un débordement de tampon, d'un craquage par force brute et d'attaques par table arc-en-ciel


  • Authentification d'identité : interception de réseau, attaques par force brute, attaques par dictionnaire, relecture de cookies et vol d'identifiants


  • Autorisation : élévation de privilèges, divulgation de données confidentielles, falsification de données et attaques de leurre


  • Gestion de la configuration : accès non autorisé à l'interface de gestion, accès non autorisé au périphérique de stockage de configuration, récupération de la configuration en clair et accès non autorisé à la configuration


  • Données sensibles : accès aux données sensibles sur les périphériques de stockage, écoute du réseau et falsification des données


  • Gestion de session : piratage de session, relecture de session et attaques man-in-the-middle


  • Cryptage : génération ou gestion de clés non sécurisées, et technologies de cryptage fragiles ou définies par l'utilisateur


  • Opération de paramètre : interrogation de chaîne de caractères, opérations de champ de formulaire, de cookie et d'en-tête HTTP


  • Traitement des exceptions : divulgation d'informations et attaques DoS


  • Audit de sécurité : utilisateurs refusant d'effectuer certaines opérations, attaquants utilisant des applications sans enregistrements de traçage ou attaquants dissimulant leurs enregistrements de traçage


J'espère que cela vous a été bénéfique. En cas de questions, n'hésitez pas à me le faire savoir dans les commentaires.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.