從理論上講,軟體定義網路( sdn )技術應該帶來更安全的網路。因為,通過虛擬化網路到可程式設計的堆疊,網路會變得更加靈活,操作應該更加自動化,這應該意味著更少的「胖手指」災難。
但對於任何互聯系統,當我們分配基本操作到軟體時,我們同時也引入了新風險。當我們將伺服器聯網時,我們知道有些伺服器將會受到攻擊,所以我們盡最大努力來減小這種風險。但當網路本身受到攻擊時會發生什麼呢?sdn工具包是什麼樣?全面的有效的sdn安全是什麼樣的?我們怎樣避免sdn漏洞呢?
sdn是stuxnet夢想的搖籃?
sdn已經成為網路可程式設計新的簡稱。無論是基於標準的解決方案還是來自單個**商的專有技術(即構建自己的opendaylight解決方案或者vmware打造的sdn環境),它們都帶來同樣的困境:你都會被迫相信這個新的比較複雜的軟體攜帶著通往你的王國的鑰匙。這個「解決方案」將涉及更廣的範圍,將會改變權力和容量,程度甚至超過任何高階管理員。它還會控制網路日誌的現狀。
然而,事情並沒有那麼糟糕,但企業需要考慮sdn安全帶來一些影響,或者更糟的是,零日漏洞利用。stuxnet如此難以創造的原因之一是它需要克服的各種各樣的挑戰,它需要應對多個版本的專有工業控制器和使用各種協議及應用程式介面(api)的作業系統。但在sdn環境下,情況就不同了。
sdn帶來新的網路安全問題
通過可程式設計網路,蠕蟲不再需要利用現有的網路裂縫;它們可以抓住乙個弱控制點,並通過這個控制點建立乙個後門,然後將其隱藏起來。與stuxnet不同,sdn蠕蟲不需要管理數以百計的不同的攻擊向量。即使在專有廠商部署中,sdn蠕蟲也可以通過良好記錄的易於導航的api來提供控制。
當我們從cli、snmp和其他「舊世界」介面轉移時,還面臨乙個額外的威脅,我們將通過sdn架構連線我們的效能監控和安全政策掃瞄系統。也就是說,如果攻擊者破壞sdn控制層,他們將可以從監控和安全系統隱藏其行蹤。隨著技術逐漸成熟,並且,我們越來越依賴於自動化,我們也應該期望在管理員配置出現與系統相同的變化,特別是在中小企業方面。畢竟,較小的經驗不足的團隊不太可能比它們取代的綠屏管理員更能發現安全問題。
如何避免sdn安全噩夢
sdn的未來是光明的,我們不應該妄下結論,認為sdn將會帶來通往美國****局的後門。該技術確實會帶來一系列新的挑戰,但我們可以利用從其他可程式設計平台獲取的豐富經驗來解決這些問題,例如伺服器。無論你正在與**商溝通還是試圖構建自己的sdn解決方案,當你部署安全的sdn時,請務必考慮以下問題:
與其他任何新技術一樣,網路可程式設計性在初期會遇到一些問題,但如果我們把眼光放遠一點,提出問題,將其放在實驗室的顯微鏡下研究,這將是乙個好事情
網路安全知識(一)
計算機病毒的破壞行為 計算機病毒的破壞行為主要分為四類 1 刪除 修改檔案。被開啟檔案變為乙個可執行檔案,原檔案內容被覆蓋。2 占用系統資源。絕大多數的蠕蟲病毒。瘋狂在計算機網路中傳播,占用網路以及本地計算機資源。3 非法訪問系統程序。主要以黑客病毒為主。通過感染計算機,然後黑客或非法使用者獲得對已...
網路安全知多少(一)
由於對資訊共享和資訊傳遞應用的迫切需求,計算機應用日益滲透到各行業中。計算機已不僅僅是一種計算的工具,而是更多地應用於資訊的收集 處理和傳輸。可以說,計算機網路有以下幾大功能 1 資料通訊 用以在計算機系統之間傳送各種資訊 2 資源共享 通過資源共享,可使網路中分散在異地的各種資源互通有無,分工協作...
呼叫send傳送網路資料報一定會立馬傳送出去嗎?
linux應用層呼叫了send傳送網路資料,那麼按照簡單的思維,這個動作會觸發網絡卡傳送資料,而現實並不是如此!首先對於send來說,分為阻塞傳送和非阻塞傳送 1 阻塞操作 核心會檢測傳送緩衝區是否存在足夠的空間存放使用者資料,如果空間足夠那麼直接拷貝資料到socket send buffer,後續...