VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Netzwerk ErdeEine Vielzahl von miteinander verbundenen Geräten und das Cloud Computing haben traditionelle Netzwerke an ihre Grenzen gebracht. Das ist einer der Gründe für den aktuellen Übergangsprozess von traditionellen zu virtualisierten Netzwerkfunktionen und Controllern. 

Telekommunikationsanbieter und Hoster nutzen zunehmend Technologien für Software Defined Networks (SDN) oder Network Functions Virtualisation (NFV). Ziel ist es, die Netzwerkleistung zu steigern sowie die Netze insgesamt elastischer und schneller zu machen. Und SDN hat tatsächlich das Potenzial Rechenzentren zu revolutionieren. Schlicht, weil sie flexibel genug sind, sich an die dynamische Natur aktueller Anwendungen und Arbeitserfordernisse anzupassen.

Beim Thema Sicherheit in der SDN-Welt allerdings fällt auf, dass zwar Dienste und Richtlinien verteilt sind, verwaltet wird das Ganze aber über einen zentralen SDN-Controller. Das ist Fluch und Segen zugleich. Wird solch ein zentraler Controller kompromittiert, hat das sehr schnell Einfluss auf das gesamte Netzwerk. Für einen Angreifer ist es zudem möglich auf diesem Weg die Kontrolle über das komplette Netzwerk zu erlangen. Was konkret DDoS-Angriffe anbelangt wird der SDN-Controller schnell selbst Teil des Problems. Denn er stoppt legitimen Traffic und dieser kann seinen Zustellungsort nicht erreichen. 

Was sind virtualisierte Netzwerke und warum Unternehmen sich dafür entscheiden 

Software Defined Networking ist ein Ansatz, der es Administratoren gestattet dynamische Netzwerke leichter und in kürzerer Zeit aufzubauen. Dabei helfen offene Schnittstellen und die Abstraktion von Funktionalitäten auf niedrigerem Level. Dazu trennt SDN die Intelligenz, die darüber entscheidet wo die Informationen hingeschickt werden sollen (die Steuerungsebene oder Control Plane wie etwa Ciscos IOS Betriebssystem) von der Hardware, die Daten tatsächlich weitertransportiert (die eigentliche Weiterleitungsebene, auch als Forwarding Plane bezeichnet).

Die Trennung der beiden Ebenen verlegt den Entscheidungsprozess in einen zentralen Software-basierten Controller, so dass nicht mehr jeder einzelne Knoten innerhalb des Netzwerks seine eigenen Entscheidungen trifft. Sämtliche Anwendungen richten ihre Anfragen an diesen Controller. Er hat Einsicht in das gesamte Netzwerk und übernimmt alle Entscheidungen auf der Weiterleitungsebene und für jeden Knoten. Das bedeutet aber gleichzeitig, dass sich die IT-Sicherheit darüber Gedanken machen muss wie sie diese empfindliche Steuerungsebene schützen kann. Sie ist als Single Point of Failure besonders anfällig und schon eine einzige Schwachstelle kann dazu führen, dass ein ganzes Netzwerk offen steht wie das sprichwörtliche Scheunentor. 

SDN haben etliche Vorteile. Beispielsweise ist es möglich Sicherheitsrichtlinien über Netzwerkzugriffskontrollen sehr viel feinschichtiger abzustufen als dies in traditionellen Netzwerken der Fall ist. Trotzdem kommen bei SDNs neue Herausforderungen dazu, die so bei der Konfiguration traditioneller Netzwerkarchitekturen nicht auftreten. 

SDN: In Sachen Sicherheit ein zweischneidiges Schwert?

In Sachen Sicherheit erlaubt SDN schlussendlich abgestufte Sicherheitsrichtlinien für maximale Sicherheit in virtualisierten Umgebungen. Und das automatisch auch dann, wenn sich die Arbeitslast innerhalb der Infrastruktur hin und her bewegt. Das Risiko dabei: Der SDN-Controller wird zu einem Single Point of Failure, über den potenziell ein ganzes Netzwerk kompromittiert werden kann. Unabhängig ob das Motiv darin besteht, die betreffenden Daten zu stehlen oder mithilfe einer DDoS-Attacke den Ausfall des Netzwerks zu provozieren. 

Vergleicht man SDNs mit einer Wasserleitung, dann hat ein einzelnes Leck signifikanten Einfluss auf den Wasserdruck innerhalb des Gesamtsystems – und damit auf eventuelle Schäden im gesamten Gebäude. Wenn man sich die riesigen mit SDN-Bereitstellungen assoziierten Bandbreiten vor Augen hält, vergrößert sich damit ganz natürlich die Angriffsfläche. Selbst Multi-Gigabit-Angriffe mit einem vergleichsweise niedrigen Bandbreitenvolumen (aber handwerklich klug ausgearbeitet) können ein Rechenzentrum quasi stilllegen. Etwa indem man mittels einer DDoS-Attacke die Steuerungsebene mit einer hohen Dichte an Sessions überflutet. Letztlich reicht schon eine einzige niedrig-volumige Attacke um ernsthaften Schaden anzurichten bis hin zum vollständigen Ausfall der Online-Präsenz für einen bestimmten Zeitraum. 

Best Practices

Will man eine belastbare und sichere Umgebung mit SDN und NFV schaffen, kommt man um einen automatisierten Schutz vor DDoS-Angriffen an der Netzwerkgrenze des Rechenzentrums nicht herum. Traditionelle Lösungen reichen in aller Regel nicht aus. Sie liefern nicht die nötige Transparenz und bieten keine Optionen an, um in Echtzeit auf eventuelle Vorfälle zu reagieren. Indem man die Schnittstellen zwischen SDN-Controller und DDoS-Abwehr miteinander verbindet, verhindert man, dass der Controller kompromittiert wird. Gleichzeitig lassen sich DDoS-Angriffe abwehren, wenn sie auftauchen. Im Falle einer Überflutung mit schädlichem Traffic signalisiert die DDoS-Abwehr das unmittelbar und der Angriff wird eingedämmt beziehungsweise nur der bereinigte Datenstrom weiter geleitet. 

Fazit

Alles in allem bieten beide, SDN und NFV, große Vorteile, was kritische Netzwerkfunktionalitäten anbelangt. Unternehmen profitieren von diesen Vorteilen und können auf spezielle physische Appliances verzichten. Konkret helfen SDN und NFV die Kosten zu senken und die Komplexität von Netzwerkinfrastrukturen zu senken. Gleichzeitig sind die betreffenden Umgebungen leichter zu skalieren, elastischer und die Bereitstellung etwa von Software nimmt weniger Zeit in Anspruch. Ungeachtet dieser Vorteile ist es Netzwerkinfrastrukturen dieser Art inhärent, dass sie anfällig für Angriffe sind und entsprechende Schwachstellen aufweisen. Wollen Firmen von den unbestreitbaren Vorteilen profitieren, sollte die Umgebung vollständig transparent sein, um auftauchende Risiken erkennen und darauf reagieren zu können. Ein tauglicher Ansatz sollte bei der Integration der DDoS-Abwehr direkt ins Herz des SDN-Controllers beginnen und die Schnittstellen innerhalb des Systems miteinander verbinden. Es empfiehlt sich in jedem Fall die Zuleitungen in einer virtualisierten Umgebung sehr genau zu beobachten, um die Sicherheit von Prozessen und Daten dauerhaft zu gewährleisten.

Sean Newman

 

 

Autor: Sean Newman, Director of Product Management bei Corero Network Security

 

GRID LIST
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Doppelpack

Informationssicherheit und Datenschutz im Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen…
Jens Heidland

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Fensterputzer

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security