每年8月安全專業(yè)人員都會(huì)期待黑帽大會(huì)和DEF CON安全會(huì)議上展現(xiàn)的研究結(jié)果。這些會(huì)議是了解最新攻擊趨勢(shì)、漏洞和漏洞利用的最佳場(chǎng)所，今年的黑帽大會(huì)上，軟件定義網(wǎng)絡(luò)成為安全研究人員的焦點(diǎn)。

Hellfire Security公司的Gregory Picket在黑帽大會(huì)中揭露了對(duì)開放網(wǎng)絡(luò)安裝環(huán)境(ONIE)的漏洞利用，ONIE是基于Linux，它用于在白盒交換機(jī)中啟動(dòng)基礎(chǔ)操作系統(tǒng)以恢復(fù)更強(qiáng)大的網(wǎng)絡(luò)操作系統(tǒng)。通過ONIE，交換機(jī)可以啟動(dòng)和恢復(fù)Big Switch Networks、Cumulus Networks等供應(yīng)商的網(wǎng)絡(luò)操作系統(tǒng)。

 [[146501]]

于此同時(shí)，Picket解釋了如何利用ONIE的一些缺陷，包括缺乏身份驗(yàn)證和加密，至少有一個(gè)網(wǎng)絡(luò)供應(yīng)商已經(jīng)知道這些缺陷功能。Big Switch公司首席技術(shù)官Rob Sherwood最近發(fā)布了博客文章，其中介紹了應(yīng)對(duì)ONIE中缺陷問題的安全方法。Rob討論了Big Switch硬件如何利用管理網(wǎng)絡(luò)端口來通過ONIE加載其網(wǎng)絡(luò)操作系統(tǒng)。

目前利用設(shè)備固件和預(yù)重啟環(huán)境是流行的攻擊方式，對(duì)于攻擊者而言，在操作系統(tǒng)完全加載之前能夠插入惡意代碼是非常有吸引力的做法。操作系統(tǒng)級(jí)安全軟件無法在預(yù)重啟環(huán)境中運(yùn)行，固件被軟件的幾乎所有其他部分認(rèn)為是已知/良好的組件，在這個(gè)地方引入攻擊媒介可以讓攻擊持續(xù)，繼續(xù)整個(gè)系統(tǒng)重裝或升級(jí)。

即使檢測(cè)到攻擊，企業(yè)不太可能會(huì)考慮更換硬件來完全移除攻擊，而這在白盒環(huán)境更加可行，因?yàn)槌杀靖汀?/p>

ONIE的安全問題源自于其需要加速發(fā)展以緊跟軟件定義網(wǎng)絡(luò)的步伐。ONIE是很好的軟件，它允許白盒交換機(jī)自由地啟動(dòng)多個(gè)網(wǎng)絡(luò)操作系統(tǒng)，它讓企業(yè)可以簡(jiǎn)單地測(cè)試白盒環(huán)境，而不需要復(fù)雜的軟件加載過程。ONIE讓白盒交換機(jī)快速啟動(dòng)和運(yùn)行，讓專業(yè)人士專注于配置。

在白盒交換機(jī)開發(fā)周期中，添加關(guān)鍵功能來與商用網(wǎng)絡(luò)交換機(jī)競(jìng)爭(zhēng)，可以控制潛在安全問題。如果消費(fèi)者愿意因?yàn)樘囟üδ芗x擇具有SDN網(wǎng)絡(luò)操作系統(tǒng)的白盒交換機(jī)，開發(fā)團(tuán)隊(duì)會(huì)愿意花時(shí)間來編寫這些功能。

對(duì)于ONIE安全問題的擔(dān)憂并不會(huì)持續(xù)太久。根據(jù)Sherwood表示，現(xiàn)在已經(jīng)在開始開發(fā)增強(qiáng)版的ONIE，其中將會(huì)為引導(dǎo)程序和操作系統(tǒng)軟件引入校驗(yàn)和驗(yàn)證。這個(gè)新的安全版本肯定會(huì)增加身份驗(yàn)證和系統(tǒng)強(qiáng)化來防止Pickett展示的這種漏洞利用。

軟件定義網(wǎng)絡(luò)也會(huì)有安全挑戰(zhàn)，讓軟件定義網(wǎng)絡(luò)與眾不同之處是軟件的快速開發(fā)周期，以及缺乏特定專有硬件的支持。白盒交換機(jī)具有共同架構(gòu)，這有助于快速軟件開發(fā)，這意味著安全問題可以迅速修復(fù)，并在幾個(gè)發(fā)布周期中最終得到緩解，這可能是幾周，而不是幾個(gè)月或者幾年，

網(wǎng)絡(luò)總是會(huì)有安全挑戰(zhàn)，但SDN將幫助網(wǎng)絡(luò)專業(yè)人員更快速地解決這些挑戰(zhàn)。