在2006年,史丹佛大學的研究小組開始了Ethane計劃,之後更衍生出OpenFlow協議與SDN概念,從此開啟了網路變革的一條新路。時至今日,許多研發單位提出利用SDN網路特性來增進系統安全,其創新概念早已遠遠超出Ethane計劃當初的範圍。以下介紹幾個「用SDN來做安全」的例子。
軟體定義監控—傳統依交換機實體埠TAP或SPAN Port分流捕捉封包的安全監測方法,在大型雲端資料中心網路中成本太高而難以實施。SDN網路可以做更精細的控制,管理者可以設定政策分層過濾,只針對「有意義」的網路連線進行捕捉監測。
移動目標防禦—所謂移動目標防禦(Moving Target Defense,MTD)的策略,是建立一個(由外部看來)屬性多樣而不斷變化的網路系統,使駭客在發動攻擊前難以對目標進行偵查,藉此增加攻擊的難度而達成防禦。可隨機變動的屬性包含IP、Port、路由、主機身份、指令集合等。比起傳統網路,SDN網路控制與轉發分離的特性更容易實作出這樣的網路系統。北卡羅來納大學基於OpenFlow協議研發的隨機主機轉換(OF-RHM)技術,即是利用SDN網路實作主機IP快速轉換,但同時保持網路服務對用戶透明,實驗證明可有效防範隨機掃描攻擊及蠕蟲傳播。
網路自我防禦—SDN交換器依據流表比對封包L2-L4表頭的若干欄位,包括來源與目的MAC、IP、Port等,來決定是否轉發封包或進行其他處置(如限速),因而可將防火牆ACL功能與一些基本安全機制內建在網路中,大幅提升網路自我防禦能力。例如SDN交換器可檢查來源IP的有效性,或可針對特定來源或目的設置特定時間內封包容量臨界值,超過時則丟棄封包或轉發流量清洗,以抵擋Flooding類的攻擊。
快速應變措施—SDN控制器可以執行腳本,快速更改交換器端口配置,比起傳統網路,更具彈性與快速應變的能力。例如用來應變DDoS攻擊的旁路清洗(Out-Of-Path,OOP)系統,在傳統網路上偵測器需先透過Netflow由交換器或路由器收集足夠資訊,判斷系統遭受攻擊後,再透過BGP更動邊界路由器的路由表,將入向流量(Inbound Traffic)導到流量清洗系統過濾掉攻擊封包後,再導回伺服器,應變時程可能數十分鐘甚至數小時。而在SDN網路,交換器透過OpenFlow協議回報網路狀態,使控制器能即時偵測出DDoS攻擊,隨後可立即改變交換器流表,將入向流量導入流量清洗系統,相同的OOP應變措施幾秒內即可啟動完成。
OpenDaylight是一個開源的也是規模最大的SDN平台計劃,剛在二月初正式發佈第一個版本Hydrogen,就包含了一個DDoS 快速應變模組。可以預期會有更多利用SDN做安全的概念被實作出來,我們拭目以待吧!
(本文作者現任趨勢科技網路威脅防禦技術部副總經理)