Software Defined Networking blijkt kwetsbaar

Wetenschappers van twee Italiaanse universiteiten hebben geconstateerd dat het mogelijk is met een analyse van nieuwe flow-rules naar de in het netwerk aanwezige switches een profiel op te bouwen van het netwerk, meldt The Register. Dat maakt de netwerken kwetsbaar voor een zogeheten Know Your Enemy (KYE)-aanval. Bij zo'n aanval proberen hackers eerst zo zorgvuldig mogelijk de systemen waarin zij zijn geïnteresseerd, in kaart te brengen.

Thijs Doorenbosch is freelance journalist en tekstschrijver. Hij was meer dan dertig jaar vaste redacteur bij AG Connect (voorheen AutomatiseringGids) Meer van deze auteur

De controllers reageren steeds op veranderingen in het netwerk door nieuwe flow-rules uit te sturen. De wetenschappers slaagden er in netwerken zo te manipuleren, dat zij de gewenste informatie over het netwerk konden destilleren uit de reacties van hun controllers. Het gaat dan bijvoorbeeld op de netwerk virtualisatieopzet, informatie over de inrichting van Quality of Service-regels en ook de drempelwaarden voor netwerkscanning waarboven de netwerkbeveiliging alarm slaat.

Volgens de onderzoekers zijn deze kwetsbaarheden niet gekoppeld aan specifieke SDN-apparatuur maar een structureel probleem van SDN dat voortvloeit uit de mogelijkheid de configuratie op elk moment te kunnen wijzigen. Zij pleiten er voor de reacties van de controllers te verbergen voor aanvallers. Ze geven als voorbeeld dat de flow rules kunnen lopen via andere netwerkpaden dan de meest directe die er tussen controller en switch bestaat.