VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Netzwerk ErdeEine Vielzahl von miteinander verbundenen Geräten und das Cloud Computing haben traditionelle Netzwerke an ihre Grenzen gebracht. Das ist einer der Gründe für den aktuellen Übergangsprozess von traditionellen zu virtualisierten Netzwerkfunktionen und Controllern. 

Telekommunikationsanbieter und Hoster nutzen zunehmend Technologien für Software Defined Networks (SDN) oder Network Functions Virtualisation (NFV). Ziel ist es, die Netzwerkleistung zu steigern sowie die Netze insgesamt elastischer und schneller zu machen. Und SDN hat tatsächlich das Potenzial Rechenzentren zu revolutionieren. Schlicht, weil sie flexibel genug sind, sich an die dynamische Natur aktueller Anwendungen und Arbeitserfordernisse anzupassen.

Beim Thema Sicherheit in der SDN-Welt allerdings fällt auf, dass zwar Dienste und Richtlinien verteilt sind, verwaltet wird das Ganze aber über einen zentralen SDN-Controller. Das ist Fluch und Segen zugleich. Wird solch ein zentraler Controller kompromittiert, hat das sehr schnell Einfluss auf das gesamte Netzwerk. Für einen Angreifer ist es zudem möglich auf diesem Weg die Kontrolle über das komplette Netzwerk zu erlangen. Was konkret DDoS-Angriffe anbelangt wird der SDN-Controller schnell selbst Teil des Problems. Denn er stoppt legitimen Traffic und dieser kann seinen Zustellungsort nicht erreichen. 

Was sind virtualisierte Netzwerke und warum Unternehmen sich dafür entscheiden 

Software Defined Networking ist ein Ansatz, der es Administratoren gestattet dynamische Netzwerke leichter und in kürzerer Zeit aufzubauen. Dabei helfen offene Schnittstellen und die Abstraktion von Funktionalitäten auf niedrigerem Level. Dazu trennt SDN die Intelligenz, die darüber entscheidet wo die Informationen hingeschickt werden sollen (die Steuerungsebene oder Control Plane wie etwa Ciscos IOS Betriebssystem) von der Hardware, die Daten tatsächlich weitertransportiert (die eigentliche Weiterleitungsebene, auch als Forwarding Plane bezeichnet).

Die Trennung der beiden Ebenen verlegt den Entscheidungsprozess in einen zentralen Software-basierten Controller, so dass nicht mehr jeder einzelne Knoten innerhalb des Netzwerks seine eigenen Entscheidungen trifft. Sämtliche Anwendungen richten ihre Anfragen an diesen Controller. Er hat Einsicht in das gesamte Netzwerk und übernimmt alle Entscheidungen auf der Weiterleitungsebene und für jeden Knoten. Das bedeutet aber gleichzeitig, dass sich die IT-Sicherheit darüber Gedanken machen muss wie sie diese empfindliche Steuerungsebene schützen kann. Sie ist als Single Point of Failure besonders anfällig und schon eine einzige Schwachstelle kann dazu führen, dass ein ganzes Netzwerk offen steht wie das sprichwörtliche Scheunentor. 

SDN haben etliche Vorteile. Beispielsweise ist es möglich Sicherheitsrichtlinien über Netzwerkzugriffskontrollen sehr viel feinschichtiger abzustufen als dies in traditionellen Netzwerken der Fall ist. Trotzdem kommen bei SDNs neue Herausforderungen dazu, die so bei der Konfiguration traditioneller Netzwerkarchitekturen nicht auftreten. 

SDN: In Sachen Sicherheit ein zweischneidiges Schwert?

In Sachen Sicherheit erlaubt SDN schlussendlich abgestufte Sicherheitsrichtlinien für maximale Sicherheit in virtualisierten Umgebungen. Und das automatisch auch dann, wenn sich die Arbeitslast innerhalb der Infrastruktur hin und her bewegt. Das Risiko dabei: Der SDN-Controller wird zu einem Single Point of Failure, über den potenziell ein ganzes Netzwerk kompromittiert werden kann. Unabhängig ob das Motiv darin besteht, die betreffenden Daten zu stehlen oder mithilfe einer DDoS-Attacke den Ausfall des Netzwerks zu provozieren. 

Vergleicht man SDNs mit einer Wasserleitung, dann hat ein einzelnes Leck signifikanten Einfluss auf den Wasserdruck innerhalb des Gesamtsystems – und damit auf eventuelle Schäden im gesamten Gebäude. Wenn man sich die riesigen mit SDN-Bereitstellungen assoziierten Bandbreiten vor Augen hält, vergrößert sich damit ganz natürlich die Angriffsfläche. Selbst Multi-Gigabit-Angriffe mit einem vergleichsweise niedrigen Bandbreitenvolumen (aber handwerklich klug ausgearbeitet) können ein Rechenzentrum quasi stilllegen. Etwa indem man mittels einer DDoS-Attacke die Steuerungsebene mit einer hohen Dichte an Sessions überflutet. Letztlich reicht schon eine einzige niedrig-volumige Attacke um ernsthaften Schaden anzurichten bis hin zum vollständigen Ausfall der Online-Präsenz für einen bestimmten Zeitraum. 

Best Practices

Will man eine belastbare und sichere Umgebung mit SDN und NFV schaffen, kommt man um einen automatisierten Schutz vor DDoS-Angriffen an der Netzwerkgrenze des Rechenzentrums nicht herum. Traditionelle Lösungen reichen in aller Regel nicht aus. Sie liefern nicht die nötige Transparenz und bieten keine Optionen an, um in Echtzeit auf eventuelle Vorfälle zu reagieren. Indem man die Schnittstellen zwischen SDN-Controller und DDoS-Abwehr miteinander verbindet, verhindert man, dass der Controller kompromittiert wird. Gleichzeitig lassen sich DDoS-Angriffe abwehren, wenn sie auftauchen. Im Falle einer Überflutung mit schädlichem Traffic signalisiert die DDoS-Abwehr das unmittelbar und der Angriff wird eingedämmt beziehungsweise nur der bereinigte Datenstrom weiter geleitet. 

Fazit

Alles in allem bieten beide, SDN und NFV, große Vorteile, was kritische Netzwerkfunktionalitäten anbelangt. Unternehmen profitieren von diesen Vorteilen und können auf spezielle physische Appliances verzichten. Konkret helfen SDN und NFV die Kosten zu senken und die Komplexität von Netzwerkinfrastrukturen zu senken. Gleichzeitig sind die betreffenden Umgebungen leichter zu skalieren, elastischer und die Bereitstellung etwa von Software nimmt weniger Zeit in Anspruch. Ungeachtet dieser Vorteile ist es Netzwerkinfrastrukturen dieser Art inhärent, dass sie anfällig für Angriffe sind und entsprechende Schwachstellen aufweisen. Wollen Firmen von den unbestreitbaren Vorteilen profitieren, sollte die Umgebung vollständig transparent sein, um auftauchende Risiken erkennen und darauf reagieren zu können. Ein tauglicher Ansatz sollte bei der Integration der DDoS-Abwehr direkt ins Herz des SDN-Controllers beginnen und die Schnittstellen innerhalb des Systems miteinander verbinden. Es empfiehlt sich in jedem Fall die Zuleitungen in einer virtualisierten Umgebung sehr genau zu beobachten, um die Sicherheit von Prozessen und Daten dauerhaft zu gewährleisten.

Sean Newman

 

 

Autor: Sean Newman, Director of Product Management bei Corero Network Security

 

GRID LIST
Security Concept

IT-Sicherheit ist auch für KMUs bezahlbar

Mit der zunehmenden Digitalisierung von Arbeitsprozessen in Unternehmen kommt mit jedem…
EU-Flagge Paragraf

Fünf Schritte zur NIS-Compliance

Betreiber kritischer Infrastrukturen sind in Deutschland bereits seit Juli 2015 durch das…
Security Concept Shield

Gute Basisarbeit in der IT-Security fängt 90 Prozent aller Cyber-Attacken ab

Unternehmen setzen bei der IT-Sicherheit meist auf die neuesten Tools. Allerdings helfen…
Security Concept

Cyberschutz: Unternehmen brauchen wirksame Instrumente

"Cyberkriminalität wird in den meisten Unternehmen unterschätzt. Insbesondere kleine und…
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Airlock WAF 7.1: Automatisierung der IT-Security

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Cloud Account Defense: Sicherheit bei Office-365-Accounts

Proofpoint, Inc. (NASDAQ: PFPT), gab die Verfügbarkeit von Proofpoint Cloud Account…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security