SarDiNe: Forschung für die Sicherheit virtualisierter Netze (Teil 1)

SarDiNe: Forschung für die Sicherheit virtualisierter Netze (Teil 1)

Mit virtualisierten Systemen und zunehmend auch Netzen können in der IT deutliche Effizienzsteigerungen erzielt werden. Der Wegfall von physikalischen Systemen und Grenzen ist jedoch eine Herausforderung für die IT-Sicherheit. In diesem Artikel erklärt der Forscher Claas Lorenz die Herausforderungen und Chancen von Software Defined Networking für die Sicherheit in Unternehmens- und Behördennetzen.

Software Defined Networking (SDN) ist eine neues Paradigma zum Aufbau und zur Steuerung von Netzwerken. In klassischen Netzen sind die Netzgeräte auf eine möglichst hohe Autonomie ausgelegt. Wenn ein Fehler auftritt, kann sich das betroffene Netzsegment bis zu einem gewissen Grad selbstständig rekonfigurieren und so den Betrieb wieder aufnehmen. Diese Verfahren sind unter Umständen recht komplex und zeitaufwändig, sodass stets große Überkapazitäten vorgehalten werden müssen. Die komplexen Protokolle erfordern zusätzlich einen hohen Entwicklungsaufwand, was Innovationen verlangsamt und die Kosten für jedes Netzgerät erhöht.

SDN: Netzoptimierung durch zentralen Controller

SDN bricht mit dem Autonomiegrundsatz und trennt die Steuerungslogik von der Datenweiterleitung. Die Steuerung wird von einem zentralisierten Controller für alle Netzgeräte übernommen. Die Geräte konzentrieren sich auf ihre Kernaufgabe – die Datenweiterleitung – und melden Statistiken und Fehler an den Controller. Dieser hat dadurch eine globale Sicht auf den Zustand des Netzes und kann so für eine optimale Lastverteilung und Fehlerbehandlung sorgen.

Die zentralisierte Sicht auf das Netz ermöglicht ganzheitliche Lösungen für die Steuerung und Optimierung des Netzes sowie eine schnelle Reaktion im Fehlerfall. So können bisher nötige Überkapazitäten abgebaut und Kosten beim Betrieb des Netzes gesenkt werden. Hinzu kommt die Verwendung offener Standards wie OpenFlow, die es Anbietern erlaubt, zueinander kompatible Geräte herzustellen. Kunden sind dadurch nicht mehr im Ökosystem eines Herstellers gefangen. Der sogenannte Vendor-Lockin wird verhindert und die Anschaffungskosten können so gesenkt werden.

Ein ergänzender Trend ist die Virtualisierung von Netzfunktionen (NFV). Zahlreiche komplexe Aufgaben wie die Erstellung und Aufrechterhaltung von virtuellen, privaten Netzen (VPN) oder die Lastverteilung zwischen Servern werden von kostenintensiven Speziallösungen umgesetzt – den sogenannten Mittelboxen. Die Idee hinter NFV ist nun die Funktionalitäten der Mittelboxen zu virtualisieren und mit Cloudtechniken zu skalieren. Dies ermöglicht den Einsatz von günstiger Standardserverhardware. Zusätzlich kann so der Eingriff der Netzfunktionen in den Datenverkehr besser überwacht und in einer zentralen Managementlösung berücksichtigt werden.

Im Projekt SarDiNe sollen diese Techniken zur Umsetzung einer Firewalllösung eingesetzt und anhand der Anwendungsfälle Isolation von Diensten und Bring-Your-Own-Device (BYOD) demonstriert werden.

Neue Lösungen für Netzwerksicherheit gefragt

In Netzen mit unterschiedlichen Sicherheitsniveaus ist es wichtig, den Zugriff auf klassifizierte Dienste effektiv zu separieren. Herkömmliche Ansätze lösen diese Herausforderung durch eine physikalische Unterteilung. Firewalls agieren dabei als Schutzbastionen an den Übergabeknoten zwischen den Teilnetzen. Hier kann ein Zugriff auf sensible Dienste und Daten effektiv verhindert werden. SDN erlaubt eine weitgehende Aufhebung der physikalischen Netztrennung und erfordert nun neue Lösungen für diese Herausforderung. Darüber hinaus bietet SDN zahlreiche Funktionen, die eine feingranulare Steuerung und Überwachung des Netzes ermöglichen. Im Vorgängerprojekt vmFIRE konnte gezeigt werden, dass klassische Netzwerkattacken wie ARP-Spoofing und Smurfing mit SDN effektiv verhindert werden können. Dadurch können Sicherheit und Zuverlässigkeit der Netze sogar erhöht werden.

Sichere unternehmensweite Einbindung privater Mobilgeräte (BYOD) mit SDN und NFV

Ein Trend der letzten Jahre ist die zunehmende Nutzung privater Mobilgeräte durch Mitarbeiter in Unternehmen. Diese Geräte konnten nicht durch einen zentralen Einkauf standardisiert und durch die IT-Abteilung in die vorhandene Infrastruktur integriert werden. Dadurch ist die Durchsetzung einer unternehmensweiten Sicherheitsrichtlinie zu einer echten Herausforderung geworden. Mit Hilfe von SDN und NFV kann diese Problematik effektiv angegangen und Mobilgeräte können sicher in Unternehmensnetzen eingebunden werden.

Der Mischbetrieb von SDN- und Altgeräten stellt einen weiteren Schwerpunkt innerhalb von SarDiNe dar. Die geringere Kontrolle über klassische Netzgeräte und die dadurch einhergehenden Sicherheitsherausforderungen müssen dabei genauso berücksichtigt werden wie deren performante Einbindung in das Netz. Gemischte Netze werden in einer Migrationsphase, insbesondere in Unternehmens- und Behördennetzen, weit verbreitet sein. Aus Kosten- aber auch Umweltgründen ist der Weiterbetrieb von Altgeräten sinnvoll und wünschenswert. Daher ist für eine umfassende Sicherheitslösung deren Betrachtung notwendig.

Im zweiten Teil dieses Artikels werden wir Anwendungsfälle genauer betrachten und einen Blick in die Zukunft wagen!

Partner im Projekt SarDiNe sind der Lehrstuhl für Kommunikationsnetze an der TU München, der Lehrstuhl III Kommunikationsnetze der Universität Würzburg sowie die Firmen infosim und genua. Das Projekt wird durch das Bundesministerium für Bildung und Forschung  gefördert.

Lesen Sie auch: SarDiNe: Forschung für die Sicherheit virtualisierter Netze (Teil2)

Bildquelle: ©Péter Mács, anyaberkut - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.