《软件定义安全》之二:SDN/NFV环境中的安全问题

已于 2024-06-09 08:31:43 修改
阅读量2k 收藏 18
点赞数 42
CC 4.0 BY-SA版权
分类专栏: 网络学习及实战 文章标签: 安全 网络 SDN NFV Security Network
于 2024-06-07 07:48:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuxiaobing1234/article/details/139513775

第2章 SDN/NFV环境中的安全问题

1.架构安全

SDN强调了控制平面的集中化,从架构上颠覆了原有的网络管理,所以SDN的架构安全就是首先要解决的问题。例如,SDN实现中网络控制器相关的安全问题。

1.1 SDN架构的安全综述

从网络安全的角度,SDN带来了网络架构的革新,也引入了新的安全威胁和挑战。从架构层面来看,新引入的SDN控制器由于逻辑集中的特点,自然易成为攻击的对象;开放的API接口也使应用层的安全威胁将扩散到控制层,进一步威胁到基础设施层承载的用户业务;SDN控制层和基础设施层之间新引入的协议,如OpenFlow协议及其实现,需要经过长期的安全评测;在基础设施层,SDN交换机在控制器的控制下完成流转发,SDN数据流也可能面临由南向协议、控制层相关的安全问题导致的威胁。

1.2 集中控制平面:SDN引入的新问题

控制器承载着网络环境中的所有控制功能,其安全性直接关系着网络服务的可用性、可靠性和数据安全性。攻击者一旦成功实施了对控制器的攻击,将造成网络服务的大面积瘫痪,影响控制器覆盖的整个网络范围。同时,控制器具有全局视野,它从各交换机收集了全局拓扑,甚至全局流信息。
脆弱的SDN控制器的具体安全风险如下。

  1. 可通过流的重定向使流绕过安全策略所要求的安全机制,从而使安全机制失效。
  2. 如DNS查询被破坏,使业务流无法建立;只通过SDN控制器就可改变流转发路径,将大量的数据流发往被攻击节点;
  3. 中间人攻击,非安全的控制通道容易受到中间人攻击。
  4. 流的完整性被破坏,如插入恶意代码。

因此,控制平面的安全是SDN安全首先要解决的问题。下面从针对控制器的主要威胁入手,分析它们的威胁方式、影响及相应的解决对策。

攻击者利用控制器安全漏洞或南向协议(如OpenFlow)实施拒绝服务攻击

当数据包到达SDN交换机时,交换机对包的处理流程如下图所示。当包不匹配所有流表中的所有流表项时,交换机将包通过与控制器间的安全信道转发给控制器处理;当匹配了任一条流表项时,则检测流表项中的actions字段,根据该字段中指定的操作动作,对此包进行相应处理。这个处理流程,使得通过数据平面对控制平面的控制器进行攻击成为可能。
最低0.47元/天 解锁文章

200万优质内容无限畅学
SDN框架漏洞
weixin_46937901的博客
10-02 1208
Sk A , Kk A , Na A , et al. A Comprehensive Survey of DDoS Defense Solutions in SDN: Taxonomy, Research Challenges, and Future Directions[J]. Computers & Security, 2021.
软件定义安全》之一:SDNNFV:下一代网络的变革
大龄IT民工
06-06 2419
SDNSDN的体系结构可以分为3层:基础设施层与控制层之间通过控南向接口进行交互,控制层与应用层之间通过北向接口进行交互。NFVNFV分为3部分:NFVSDN之间的关系NFVSDN的目标都是尽可能使用通用硬件来实现网络功能,前者可使网络功能开发者只关注于虚拟网络资源的管理,而不需要关心底层硬件规格和其他细节;同样后者可让网络运维开发者只关注上层的网络业务特性和控制,而不需要关注底层网络组网技术和数据包转发逻辑上。① 基础设施层,包括交换机处理流程的设计与实现、转发规则对交换机流表的高效利用,以及交换机流
网络系列--SDN安全
Cheney ' blog
05-02 2132
本文分析了当前SDN安全相关的研究论文,综合各类观点总结出本篇文章 文章目录一:网络空间安全概述1.1:网络空间1.2:网络空间安全1.3:网络空间安全形势二:SDN概述2.1:简介2.2:技术优势2.3:发展现状三:SDN安全问题3.1:SDN安全模型与传统网络安全模型对比3.2:OpenFlow协议安全性3.3:SDN各层/接口面临的安全问题四:SDN安全机制4.1:解决方案:4.1.1 SDN安全控制器的设计与开发4.1.2 可组合安全模块库的开发和部署4.1.3 控制器DoS/DDoS攻击防御4.
SDN网络安全模型(非常详细)从零基础到精通,收藏这篇就够了!_sdn安全
最新发布
喜欢Python编程的程序员柚柚呀
05-14 639
流量分类很重要,但更重要的是根据实际情况选择合适的安全策略。
什么是SDN,为什么要有SDNSDN有什么安全问题
weixin_42100211的博客
12-31 2846
传统网络靠供应商设备实现(交换机、路由器),所有的功能都受限于厂商。 配置设备时需要逐台配置(或者依赖配置协议,间接控制)。 状态更新较慢(信息需要在链路上传播,近邻比远邻先得到消息)。 这些厂商不会乐意开源和做兼容。用户无法自定义功能。 SDN的全称是软件定义网络。Software define network SDN的最大优势就是灵活。地址、拓扑、路由、安全都可由用户控制(而不再是硬件供应商)。不同的设备可以协作。用户可以自定义功能。用户可以用高级语言和API来进行各种控制(粒度之细可以达到“如何处理某
混合SDN中的安全问题研究
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
11-23 758
为了缓解混合SDN中攻击者利用IP和MAC地址伪装成合法用户的ARP攻击。基于图的遍历机制用于检测合法用户的实际位置和攻击者的位置。根据这些位置信息,我们可以阻止恶意用户的端口。在混合SDN中,控制器拥有所有节点的整体网络视图和拓扑信息。该信息还指示用户和相应交换机之间的连接。我们在固定的时间间隔后生成整个拓扑的图形。该图包含网络中所有设备的所有连接信息。每当恶意设备向服务器发送ARP请求并试图欺骗网络时,就会使用图遍历来检测攻击者的实际位置。采用改进的深度优先搜索(DFS)机制来跟踪攻击者的位置。在第一阶
【研究方向是SDN该怎么做?】软件定义网络SDN)的安全挑战和机遇
谈论现实
12-20 1413
软件定义网络SDN)的安全挑战和机遇 目录软件定义网络SDN)的安全挑战和机遇写在前面的话SDN是什么?有必要研究SDN安全问题吗?SDN的优点与缺点SDN中的集中化对于攻击者和防御者,谁的好处更多?攻击者和防御者的灵活性和适应性SDN是更复杂,还是更简单?研究方向安全SDN配置的自动派生SDN环境中的安全操作基于SDN安全SDN安全架构总结 写在前面的话 看个数据: 2016年,市场研究公司国际数据公司(IDC)预测,到2020年,SDN网络应用的市场规模将达到35亿美元。 这个数据在工业
软件定义安全》之六:SDNNFV安全实践
大龄IT民工
06-11 1642
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
网络中间设备的发展及其在SDN/NFV环境下的角色转变与挑战
03-28
接着讨论了软件定义网络(SDN)和网络功能虚拟化(NFV)背景下,中间设备面临的机遇和挑战,以及两者融合的趋势。最后展望了未来网流监控技术的发展前景,特别是在高效载荷过滤算法和敏捷策略管理机制方面的突破。 适合...
Trie与功能组合:SDN/NFV安全体系结构的创新防护策略
他们提出的基于Trie的功能组合算法,旨在通过对网络服务功能进行高效的分类和组织,实现对SDN/NFV环境中潜在威胁的快速识别和响应。 该算法的主要优势包括: 1. 高效性:Trie数据结构允许对功能进行快速查找,从而...
面向5G的NFVSDN安全
JohnLeeK的博客
11-01 3496
最近网络信息安全要结课了老师让写一篇关于5G安全的论文,自己也是用了一段时间查阅了大量的文献,整理出来了这样的一篇文章,目前5G还没有落地没有真正的走进千家万户,关于5G、NFVSDN安全的文章也是很少,这里自己也是做一个总结,希望能够帮助到从事这方面研究和工作的朋友。 摘要:2019年是5G元年,意味着上一代通信技术将会慢慢脱离人们的视角,5G通信技术将会走入大众视野,为用户提供更好的...
SDN架构及安全性研究
10-29
本文首先分析了SDN架构的产生背景,阐述了SDN网络技术架构原理及目前的发展现状:随后对SDN架构中的安全特点、安全威胁进行了分析;最后,提出了一种SDN架构下的安全技术框架.从威胁分析、防御规则、防御方法3个方面对SDN中的安全问题提出了建议。
SDN网络资料
04-13
软件定义网络(Software Defined NetworkSDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。总结SDN
IETF的SDN方案I2RS
02-16
IETF提出的基于NetConf的SDN方案,用于抗衡ONF的OpenFlow的SDN方案
识别SDN中的安全隐患
weixin_34216196的博客
07-03 1144
现如今,软件定义网络可以说是企业的一大福音,其为企业在削减管理成本的同时提高网络的灵活性提供了机会。但是,SDN技术同样也相应的带来了一些新的安全风险问题,而企业将如何管理这些风险则可能意味着成功的业务实施与毁灭性灾难之间的显著差别。 借助SDN架构模型,可以从物理基础设施对网络的控制解耦,使管理员能够跨来自多个供应商的不同类型的设备管理网络服务。企业...
SDN能解决很多问题,但不包括安全
weixin_33943347的博客
07-04 321
随着数字化企业努力寻求最佳安全解决方案来保护其不断扩张的网络,很多企业正在寻求提供互操作性功能的下一代工具。 软件定义网络SDN)具有很多的优势,通过将多个设备的控制平面整合到单个控制器中,该控制器将成为整个网络中的决策者,实现集中控制。但是开发人员在构建SDN产品时仍然没有安全保证,因此SDN中存在可能危及企业安全的弱点。 罗马Sapienza大学博...
SDN 网络攻击实验、网络安全学习、SDN 安全讨论——参考链接
m_iNoError的博客
04-22 968
参考链接: 基于SDN的DDoS攻击检测与防御:https://zhuanlan.zhihu.com/p/270995073(MIninet,SDN 在控制 DDoS 攻击中的作用,下发流表 drop 恶意流量) 请问一下各位网络大佬,学习SDN技术需要什么能力?:https://www.zhihu.com/question/431158823/answer/1585885850(VXLAN基础和EVPN基础) 基于模拟实验理解SDN与传统路由交换网络的关系:https://blog.csdn.net
FRESCO:SDN安全控制器框架
loy的专栏
09-26 2555
FRESCO:SDN安全控制器框架 一、前言 SDN软件定义网络)把网络的控制层与数据层进行分离,它给网络定制提供了完全的灵活性。通过对网络中所有网络设备的集中控制,我们发现它不仅消除了设备配置带来的繁琐工,还让我们对网络体系架构得到新的认识。 SDN从一个更高的角度对全网进行统筹管理,新的模式带来良好的体验效果,也催生出很多新的网络应用,成了网络创新的沃土。但是好的东西总会有缺陷,集中控
SDN网络安全模型(非常详细)从零基础到精通,收藏这篇就够了!
Python_0011的博客
05-08 1026
流量分类很重要,但更重要的是根据实际情况选择合适的安全策略。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

-风中叮铃-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值