SDN曝安全漏洞 利用流表展开KYE攻击

­软件定义网络(SDN)控制器通过向交换机中添加新的流规则来响应网络状况,而意大利的研究人员表示将会造成意想不到的安全问题。

该研究人员表示SDN环境可能造成系统管理员不希望公之于众的信息泄露,包括网络虚拟化设置、服务质量(QoS)策略,更重要的是将泄露安全工具的配置信息,如网络扫描攻击检测阈值。

他们表示即便是一个单独的交换机的流表,也能泄露这类信息,并且将会作为一个侧信道被攻击者所利用。

来自帕多瓦大学(University of Padova)的Mauro Conti、Sapienza大学的Fabio De Gaspari、Luigi Mancini组成的科研小组,特别关注SDN被攻击者利用创建目标网络的配置文件,这是他们所强调的Know Your Enemy (KYE)攻击。

例如,他们认为攻击者将采取如下攻击行为:

☘    连接到大部分SDN交换机都有的被动侦听端口,包括用于远程调试、检索流表的端口(他们以HP Procurve的dpctl工具为例);

☘    从抖动(jitter)中推断一些流表信息;

☘    抓取控制流(不使用TLS或不通过证书进行验证)

☘    利用交换机操作系统可能存在的漏洞,如系统后门;

☘    将流表或存储器内容复制到交换机之外。

文章指出,这些都不是针对特定的设备:“KYE攻击利用的是SDN结构的弱点,攻击的是按需管理网络流量的设备,这又是SDN的主要特点和优势。”

由于SDN的设计旨在通过向交换机中添加流规则来响应网络,攻击者很容易找出控制器向交换机添加规则的方式。

因此,KYE攻击只需要探测出环境(发现交换机上可供他们访问的流规则,无论是内部的或是远程的);并使用推理阶段的信息来制定符合特定规则的策略。

他们提供的解决方案是SDN架构师需要在他们的网络中混合一些其他流,以避免攻击者利用SDN响应获得相关的网络信息。“如果有可能阻止攻击者了解流量对应的流规则,KYE攻击将从源头上解决。”

这看起来似乎并不是很困难:文中给出的一个例子是控制器围绕网络路径,而不是直接连接到交换机,这使得网络更加难以被攻击。

SDN–5G的关键技术

5G不仅要整合创新的空口技术和已有的无线接入技术,还需要调整、优化天线设计,扩展频谱,并升级基站(实现超密集组网、新型多址等)。此外,5G网络架构也将有显著变化,特别是随着大数据应用的落地,5G网络架构将向着分布式、智能化等方向演进。届时,SDN将成为关键!
2.5G带来的不仅仅是更高的带宽和更低的延迟,其灵活、敏捷、可管理等特性,还将为运营商打造更多创新服务,以更好地应对OTT的冲击。而SDN将是实现这一切的基础,其同时改变了传统的一个应用一个硬件的“烟囱构架。
3.SDN实现了控制层面和转发(数据)层面的解耦分离,使网络更开放,可以灵活支撑上层业务/应用。对运营商而言,SDN实现了动态控制方面的诸多创新,包括分组数据连接、可变QoS、下行链路缓冲、在线计费、数据包转换和选择性链接等。而据了解,目前ONF的移动网络中工作组正在加快这些创新的落地。
目前已经有越来越多的5G架构开始基于SDN理念构建,例如移动通信网NGMN设想的架构,借助硬件和软件分离,以及SDN和NFV提供的可编程能力,全面覆盖5G的各个方面,包括设备、移动/固网基础设施、网络功能等,从而实现5G系统的自动化编排。
SDN带来的敏捷特性,可以更好地满足5G时代不同应用的不同需求,让每一个应用都有特定的带宽、延迟等。同时IT人员还能借助SDN的可编程性,将网络资源变成独立的、端到端的“切片”,包括无线、回程、核心和管理域。
有了SDN架构的支撑,运营商真正实现了将网络作为一种服务,并在连续提供服务的同时有效地管理网络资源。SDN还将为运营商提供最佳数据传输路径,进一步优化运营商的网络。综合来看,基于SDN构建的5G架构,将会进一步降低运营商的capex和opex,让运营商有更多的资金去实现服务的创新,将网络真正转化为价值收益。

OSS成为NFV发展瓶颈,运营商将如何破解

根据IHS Markit分析师Michael Howard的观点,为了让网络功能虚拟化(NFV)实现其提出时的目标,OSS/BSS厂商不得不提升自身以适应物理和虚拟环境的混合。

在Howard的年度NFV战略调查报告中,OSS/BSS一贯是运营商面对的最大的问题。最近,这个问题成为了名列第二的问题,这个问题今年有59%的受访者表示会是一个大问题,排名第一的问题是如何将NFV与旧有网络进行集成(67%受访者)。

尽管如此,NFV的趋势是不可避免的。从本周公布的调查结果显示,在接受调查的27个运营商都有计划实施NFV,其中59%的运营商表示已经部署了NFV或将在今年部署NFV。(27可能听起来比较少,但是是以目前运营商市场上比较大的公司。Howard表示,他的调查代表了世界运营商资本市场的一半以上。)

OSS在相当长的时间内是一个故障点,它包括为非常老旧的,没有引入NFV的电信服务设计的软件。此外,大型运营商通过收购各种不同的OSS公司进行扩张。
Physical + Virtual
Howard说:“这就是为什么2年半之前,我开始参加OSS会议并参与了相关的活动。每个与会者都在试图找出如何在物理和虚拟功能中添加服务。”

这是一个棘手的问题。事实上,它与NFV和旧的网络之间的问题密切相关。

Howard举了一个OSS厂商产品Netcracker的例子,它能适应这些物理加虚拟的服务,并指出它是在NTT的推动下产生的。

由Linux基金会管理的开源NFV项目Open-O,计划解决这方面的问题。Howard并不认为仅靠这些努力就能解决OSS的问题。

Howard说:“Open-O关注这个问题是一个伟大的举措,但是要花费太长的时间。OSS/BSS厂商将不得不带头解决这个问题。

IHS:NFV的部署从vCPE起步

根据IHS Markit的最新调查报告显示,明年主要的网络功能虚拟化(NFV)的部署将是企业虚拟客户端设备(vCPE)的部署。

vCPE的重要性在过去几年中不断增长,因为它可以让企业节省成本且拥有更多的盈利空间。它可以用软件代替物理CPE,同时具备快速创新和快速推出新服务的能力。

根据IHS最新的NFV策略调查显示,受访者中所有的服务提供商从业者均表示将在未来部署NFV,其中的81%预计2017年部署NFV。此外,59%运营商受访者表示今年已经部署或即将部署NFV。

该IHS Markit调查结果是以全球27个服务提供商的决策者的访谈为基础的。

在2015年和2016年,部署NFV最大的障碍是如何将NFV集成到现有网络以及缺乏电信级产品。

根据IHS Markit的调查显示,许多运营商在2016年正在将他们的NFV从概念验证(PoC)测试和实验室调查阶段逐渐向与NFV产品的厂商们进行商业合作。

尽管IHS Markit宣布了其NFV战略调查的结果,但是并没有说明企业将会部署什么类型的vCPE。但是,SD-WAN市场已经随着企业及其分支机构的部署发展的如火如荼,这可能能够表明vCPE能够获得高部署的原因。http://mp.weixin.qq.com/s?__biz=MzAxMDA1NjMwMQ==&mid=2651746185&idx=1&sn=866327664cc6990b3c9b4022ca317eb9&scene=0#wechat_redirect

天地互连与ONOS公司签署合作协议

2016年8月,天地互连(BII)与ONOS(Open Network Operating System)在SDN(Software Defined Network,SDN)控制器领域达成合作意向并签署战略合作协议,正式成为ONOS官方合作伙伴。协议开启后,天地互连将与ONOS共享研究资源和相关实践经验,共同进行控制器开发,推进ONOS社区的成熟和SDN控制器的发展。同时在测试方面,天地互连还将授权ON.Lab使用OFsuite测试工具开展测试工作,完善和提升ONOS控制器能力。

 

ONOS作为业界首款面向运营商的SDN控制器和先进的开源社区组织,目前已经汇聚了超过50家合作伙伴,并获得ONF、ONS、ONRC的大力支持。在谈及此次合作时,ONOS首席技术执行官William Snow提到:“我们非常看重天地互连在SDN测试领域丰富的经验,和一流的技术实力以及卓越的领导能力。期待今后不仅能够与天地互连在开发测试方面进行合作,还能在其他方面共同进行更加深入的研究。”

 

同时,天地互连-全球SDN测试认证中心主任李震也在采访中强调:“我们希望此次合作能够成为一个良好的开端,在双方的共同努力之下推进ONOS社区的成熟和发展。此外,天地互连还将继续与全世界优秀的开发者协作,为SDN控制器用户提供更多性能分析方法和工具。”据悉,在协议签订之后,天地互连将联合ON.Lab对ONOS展开全面测试,并协助其完成测试报告。具体的测试包括控制器性能、管理的最大交换机数量、拓扑发现能力、下发流表能力、处理OpenFlow消息的吞吐和时延、控制器建立端到端路径的时间等多个方面。

 

天地互连-全球SDN测试认证中心在今年陆续发布了《RYU控制器性能测试报告》、《OpenDaylight控制器性能测试报告》及《ONOS控制器性能测试报告》,并推出面向商用控制器的测试业务。已推出的报告中全部使用其自主研发的控制器性能测试工具OFsuite_Performance。据悉,OFsuite_Performance不仅支持性能测试,还可以提供多控制器连接、TLS加密通道连接,测试结果可视化等附加功能。

 

今后,全球SDN测试认证中心将以OFsuite为工具,面向全球范围开展SDN控制器测试业务,持续帮助各大开源组织以及企业验证其SDN控制器产品设备的整体功能,促进产品的不断成熟和完善。并提供详实有效的数据支持,为网络用户选择高性能SDN控制器提供依据,促进SDN产业快速步入成熟阶段。

 

关于ON.Lab(开放网络实验室):

开放网络实验室(ON.Lab)是一个非营利性组织,由来自斯坦福大学和加州大学伯克利分校软件定义网络(SDN)的发明者和领导者创立,以促进开源社区开发工具和平台来实现SDN的全部潜力。

 

关于ONOS(Open Network Operating System):

ONOS由ON.Lab创立,是业界首个面向运营商业务场景的开源SDN控制器平台。目前由Linux基金会运营,参与者包括业界顶级运营商和最有综合实力的设备商,重点聚焦运营商网络和业务场景。

 

关于天地互连-全球SDN测试认证中心

天地互连-全球SDN测试认证中心(www.sdnctc.com)是第三方中立的SDN/NFV技术评测和创新中心,致力于SDN/NFV技术研发、测试认证和部署推广。全球SDN测试认证中心与SDN/NFV国际标准组织合作,承担其测试规范制订、认证体系建设以及测试工具研发等工作,同时面向全球提供权威中立的测试与认证服务,推动技术产品的完善和产品的互联互通性,进一步推进全球SDN/NFV商业部署

 

 

获取 Outlook for Android

5G能够驱动虚拟化发展原因

为什么5G能够驱动虚拟化发展?

5G是分析师和营销人员的梦想:这个新兴技术非常适合网络虚拟化(NV),软件定义网络(SDN),网络功能虚拟化(NFV)以及物联网(IoT)等技术领域。5G市场受到人们的追捧的原因是,它能够通过NV技术将这些方面的市场衔接在一起。

 

5G现在仍处于发展的早期阶段,它的发展目标是为移动网络提供更大的带宽以及保证灵活性。虽然目前为止5G的相关标准或者定义很少,但是相关的标准正在催生,5G将通过集成NV和SDN驱动虚拟化的发展。

5G如何驱动虚拟化发展

最近,SDxCentral网站报道了5G标准的发展前景,这则报道认为前景尚不明确。不管最终5G发展成何种形式,我们只需要知道它能够提供更大的带宽以及千兆的网速,它将越来越多的关注服务质量(QoS)或根据服务需求将应用程序“分片”。这将促进整个网络的端到端虚拟化,包括用5G技术实现软件定义广域网,满足企业虚拟连接的需求。

把5G技术看做是向移动世界的连接方式,再加上移动设备(iPhone、wifi、平板电脑等)主导的技术实现,将会加速网络行业重心的转变。

事实上:5G标准跟现存标准存在很大的差异,大多数人不希望其标准一直到2018年才出现。5G的支持者们甚至不清楚能否将5G标准推行到核心网,而且很多细节目前都不明确。5G的门外汉对5G的期望只停留在它能够通过无线接入网络(RAN)提供4G(LTE)100X以上的带宽,不过,不存在的事情我们无法确认。

带宽问题将涉及到最具技术挑战性的部分——如何实现千兆网速的无线连接。网络虚拟化技术能够建立虚拟化,端到端连接,包括通过定义网络核心的服务层扩展成为了5G技术的救星。至少到目前为止,最大的移动运营商一直在补充5G的概念,首个初始的应用可能是固定的移动接入。想象一下由多个不同的流量通道和不同层次服务构成的移动网络画面。

QoS问题

不管5G技术最终是以固定接入技术或者更广泛的应用,我们看看它如何改变网络的“游戏规则”。传统上,包括移动服务在内的服务都是建立在专用设备的分层网络的节点上。大多数情况下,私人网络和公共网络包括云服务和e-service提供商网络之间存在脱节。5G将提高服务提供商广域网创建无缝虚拟化服务的需求,企业应用可以通过云来保证QoS。

同时,NFV似乎得移动领域的青睐,包括4-7层的服务和移动应用,如vEPC。这意味着移动网络正朝着数据中心驱动的虚拟化模块前进,这种方式更接近于企业云的构建方式。现在想象一个具备可调性,千兆速率带宽的QoS网络。这对5G网络有着巨大的影响,特别是运行在世界各地的数据中心中的大量的数据的核心网将受到巨大的影响。

SDxCentral近期的一则新闻报道中表明,Verizon的工作重心在于构建一组在边缘网络交付NFV的区域数据中心。AT&T是NFV忠实的拥趸,该公司表示他们的数据中心计划将重心放在将其80%的网络实现虚拟化。

网络供应商看到5G带来机遇

厂商们当然会紧抓5G发展带来的机会,他们不想错过发展的下一波浪潮。厂商的越来越关注数据驱动的移动应用,特别是NFV,这种转变将对网络体系架构产生深远的影响,而网络体系架构原本是属于网络设备提供商的“面包”。

我们来看一下几个主要的厂商如何应对这种巨大的转变:

■ Brocade看到了无线领域发展的机会,于是前段时间收购了无线厂商Ruckus,并且表示:“Brocade收购Ruckus将会大大增强Brocade在5G移动服务、IoT、智慧城市、LTE/WiFi市场的竞争力。”

■ Ericsson在5G驱动网络切片的需求方面探讨了很多,认为5G能够适应增长的视频和M2M流量,该公司正在促进SDN和NFV技术来实现这一点。

■ 爱立信的合作伙伴Cisco认为5G将对移动回程和其他网络基础设施产生影响,随着5G和物联网技术的发展,推动Cisco和爱立信达成合作。

■ VMware希望通过引入NFV vCloud等产品来捍卫自己的虚拟化系列产品的地位,这将使得服务提供商为移动应用构建基于云计算的服务和NFV基础设施。

■ Nokia指出5G将驱动SDN和NFV的需求,以适应大规模的需求。该公司近期发布了基于SDN的5G架构,可以自动适应无线访问和核心网资源,以满足不同服务的需求,满足流量随时间和位置变化以及网络拓扑的需求。

以上是世界上最大的几个网络供应商在5G方面的定位,即便不考虑芯片市场消费设备的巨大市场,大的芯片厂商如Broadcom、Cavium、Intel也对5G市场机遇垂涎三尺。

在接下来的一年中,SDxCentral将探寻这些的可能性,我们将在这方面加强研究和报道。2016年,我们将推出两个关于5G和物联网的全新报告,我们可以从这两个报告中了解巨大的潜在市场。从5G、智慧城市、M2M、自动连接、安全、视频连接等方面的应用程序将有一个巨大的增长,网络将会变得更加动态且能够自动回应数据模式和需求,这正是NV和SDN擅长的领域。

原文链接:https://www.sdxcentral.com/articles/analysis/5g-will-drive-virtualization/