SarDiNe: Forschung für die Sicherheit virtualisierter Netze (Teil 2)

SarDiNe: Forschung für die Sicherheit virtualisierter Netze (Teil 2)

Im Forschungsprojekt SarDiNe entwickeln Experten eine verlässliche Lösung für die Virtualisierung von Systemen und Netzen. In Teil 1 haben wir bereits die Herausforderungen und Chancen von Software Defined Networking untersucht. Nun möchten wir anhand von konkreten Anwendungsfällen das Projekt genauer beleuchten und einen Blick in die Zukunft werfen.

Field Firewall: SDN und Isolation von Diensten

In diesem Abschnitt wird nun eine Diskussion der technischen Aspekte im Projekt vorgenommen. Die Grafik unten zeigt eine Umsetzung der Anwendungsfälle Dienstseparation und BYOD in einem gemischten Netzwerk. Um einen ganzheitlichen Sicherheitsansatz umsetzen zu können, wird zentral eine Sicherheitspolicy definiert, die dann durch verschiedene Managementbestandteile umgesetzt wird.

Das Legacy-Netzmanagement kümmert sich um das Zusammenspiel mit den SDN-Netzbestandteilen, die wiederum durch den SDN-Controller gesteuert werden. Der Cloud-Controller kümmert sich um die Provisionierung und Platzierung von virtualisierten Anwendungen und Netzfunktionen (VNF).

Der Begriff Cloud bezieht sich im Kontext des Projektes weniger auf öffentliche Clouds wie z. B. die Amazon- oder Google-Cloud sondern vielmehr auf private Clouds sowie virtualisierte Netzsegmente und Rechenkapazitäten, die mit Cloudtechniken administriert werden. Dies erlaubt dann die nötige Breitenskalierung für VNF und hält gleichzeitig ein hohes Sicherheitsniveau aufrecht, weil der Netzbetreiber zugleich auch Betreiber der Rechenkapazitäten ist.

Beispielhafte Umsetzung zweier Anwendungsfälle in einem gemischten Netzwerk

Bei der Isolation von Diensten darf ein Nutzer nur auf Daten und Dienste zugreifen, für die er eine Freigabe hat. So sind zum Beispiel Daten der Personalabteilung besonders sensibel und dürfen nur von bestimmten Mitarbeitern bearbeitet werden. Mit Hilfe von SDN können Anfragen von Nutzern virtuellen Subnetzen zugeordnet werden. Das Netz sorgt dann dafür, dass nur Dienste genutzt werden können, für die eine entsprechende Freigabe vorhanden ist. Wie im Schaubild zu sehen, kann potenziell jeder SDN-Switch diese Klassifizierung vornehmen und filtern.

Das OpenFlow-Protokoll erlaubt hier sehr feingranulare Filtermechanismen. Die Architektur einer solchen verteilten Firewall nennt man auch Field Firewall. Die größte technische Herausforderung ist eine performante und sichere Ausgestaltung. Zum einen müssen die virtuellen Netze abgesichert sein, sodass ein Angreifer nicht eindringen kann. Zum anderen soll die Lösung performant sein und andere Aspekte der Netzverwaltung möglichst wenig beeinträchtigen. So soll zum Beispiel die globale Lastverteilung nicht gestört werden.

Die Grundidee des Ansatzes in SarDiNe ist, dass die Paketklassifizierung nur an Randknoten des Netzes durchgeführt wird und das Paket anschließend ganz normal durch das Netz geleitet wird. Eine weitere Herausforderung ist die Umsetzung von Filtermöglichkeiten für Protokolle höherer Schichten. Dies ist für eine qualitativ hochwertige Klassifizierung dringend erforderlich. Während durch das OpenFlow-Protokoll eine Realisierung von zustandslosen Filtern relativ leicht möglich ist, sind zustandsbehaftete Ansätze in der Forschung bisher nur bedingt berücksichtigt worden. Eines der Ziele von SarDiNe ist daher eine skalierbare und flexible Umsetzung von zustandsbehafteten Firewalls mit SDN und NFV.

Service Chaining: SDN und BYOD

Der zweite Anwendungsfall – BYOD – greift auf ähnliche Techniken zurück wie der erste. Wenn ein Mobilgerät ins Netz eingebracht wird, muss es isoliert werden bis es sich authentifiziert hat. Erst dann kann es gemäß seiner Klassifikation Dienste in Anspruch nehmen. Die sukzessive Ausführung von VNF nennt man Service Chaining und erlaubt eine flexible Kombination verschiedener Funktionalitäten.

Zum Beispiel könnte das Mobilgerät nach der Authentifizierung durch eine zustandsbehaftete Netzfunktion auf Policykonformität geprüft werden um dann mit Hilfe eines VPN-Endpunktes einen Dienst in einem entfernten Standort aufzurufen. Im Kontext einer Cloud ist dies mit geringen Latenzen möglich. Die technische Herausforderung liegt hier vor allem in einer intelligenten Platzierung von VNF in der Cloud, um Bandbreiten und Rechenkapazitäten zu minimieren. Bisher wurden diese Dienste mit speziellen Mittelboxen umgesetzt, die strategisch geschickt und statisch im Netz verteilt werden mussten. Einmal platziert ist eine Anpassung an neue Bedürfnisse heute nur schwer möglich. Die Virtualisierung erlaubt hingegen eine Flexibilisierung und somit ein hohes Einsparpotenzial.

Neben den Chancen, die SDN und NFV für die Netzsicherheit bieten, befasst sich SarDiNe auch mit den Risiken. Insbesondere die zentralisierte Steuerungseinheit (Controller) bietet Angreifern ein attraktives Ziel. In der Forschung gibt es bereits zahlreiche Ansätze zur Absicherung und im Projekt soll eine Liste von Best-Practices erarbeitet werden, die ein hohes Schutzniveau ermöglichen sollen. Diese reichen von einfachen Ratschlägen wie der Verschlüsselung der Verbindungen von Netzgeräten mit dem Controller, über den Einsatz leichtgewichtiger Intermediate-Firewalls zur Absicherung des OpenFlow-Kommunikationskanals bis zur Härtung des Controllers und dessen Betrieb in einer vertrauenswürdigen Umgebung.

Ausblick

Neben meinen Projekttätigkeiten unterstützt mich genua im Zuge meines Promotionsvorhabens, welches thematisch eng an die in SarDiNe erforschte Thematik anknüpft. Mein Ziel ist es, mit Hilfe von formalen Verifikationstechniken die Separation und die Einbindung von virtuellen Netzfunktionen nachweisbar sicher umzusetzen. Dadurch können die zahlreichen Best-Practices zur Netzsicherheit, die in SarDiNe angewandt werden, weiter ergänzt werden und so wird eine ganzheitliche Lösung ermöglicht.

Bestehende Ansätze zur formalen Verifikation von SDN-Netzverhalten mit Fokus auf Sicherheit sind meist auf reine SDN-Netze ausgelegt. Zustandsbehaftetes Firewalling oder sogar Protokollfilterung auf dem Anwendungslevel werden nicht betrachtet. Hybride Netze mit Legacy-Geräten und die Turing-mächtigen virtuellen Netzfunktionen stellen weitere Herausforderungen dar.

Für meine Arbeit kann ich die Infrastruktur von genua und einen Teil meiner Arbeitszeit nutzen, um meine Forschung durch das Schreiben von wissenschaftlichen Veröffentlichungen, dem Halten von Vorträgen und dem Besuch von Konferenzen voranzutreiben.

Fazit

Im Forschungsprojekt SarDiNe werden zahlreiche Aspekte zur Absicherung von gemischten Unternehmens- und Behördennetzen untersucht. Ziel ist die Umsetzung einer Field-Firewall mit Software Defined Networking und virtualisierten Netzfunktionen. Die Ergebnisse sollen anhand der Separation von Diensten unterschiedlicher Klassifizierung und dem Anwendungsfall BYOD demonstriert werden.

Das SDN-Paradigma bringt erhebliche ökonomische sowie technische Chancen und Herausforderungen mit sich – auch für die Sicherheit. Mit SarDiNe soll hier eine angemessene Antwort erarbeitet werden, welche die hohe Flexibilität und Innovationskraft von SDN mit dem hohen Sicherheitsstandard physikalisch getrennter Netze verbindet.

Partner im Projekt SarDiNe sind der Lehrstuhl für Kommunikationsnetze an der TU München, der Lehrstuhl III Kommunikationsnetze der Universität Würzburg sowie die Firmen infosim und genua. Das Projekt wird durch das Bundesministerium für Bildung und Forschung gefördert.

Lesen Sie auch: SarDiNe: Forschung für die Sicherheit virtualisierter Netze (Teil 1)

Bildquelle: ©Péter Mács - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.