Lehrstuhl Netzarchitekturen und NetzdiensteInstitut für Informatik
Technische Universität München
SDN Security Architectures for
Enterprise Networks
Ledian Xhani
Betreuer: Cornelius Diekmann
Seminar Innovative Internettechnologien und
Mobilkommunikation WS 2013/14
Lehrstuhl Netzarchitekturen und Netzdienste
Fakultät für Informatik
HIER THEMA EINTRAGEN 2
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 3
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 4
Einführung
Die Situation heutzutage
Netzwerke werden immer größer
Zahlreiche Sicherheitsmechanismen (Firewalls, ACLs, etc.)
Angreifer werden ausgeklügelt
• Flame (Mai, 2012), Shamoon (August, 2012), NGRBot (September, 2012)
Neue Sicherheitsarchitecturen für Enterprise Netzwerke
SANE
Ethane
und ein „Betriebssystem“ für Netzwerke
NOX
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 5
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 6
Internet und Enterprise Networks
Centralization vs. Decentralization
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 7
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 8
SANE (Secure Architecture for the Networked Enterprise)
Kommunikation
• Capabilities
Komponenten:
• Switches
• Controller
SANE und Ethane
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 9
Authentifizierung (z.B. Hosts, Users, Switches usw.) :
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Controller
Host Switch
Symmetric Key Symmetric Key
HIER THEMA EINTRAGEN 10
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Controller
Host
NSD
Namen ACL
… …
… …
… …
… …
… …
Host
Capability
HIER THEMA EINTRAGEN 11
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Capabilities: Encrypted Source - routes
Cap - ID
A: {1,2}
B: {1,2}
C: {1,2}
DATA
Name des Hosts
Ort des Services
Pfad
HIER THEMA EINTRAGEN 12
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Host Host
Switch A Switch B Switch C
1
1 12 2
2
Cap - ID
A: {1,2}
DATA
…
Cap - ID
B: {1,2}
…
Cap - ID
C: {1,2}
…
HIER THEMA EINTRAGEN 13
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Revoke Capabilities:
Cap - ID
…
…
…
…
…
Host Switch
Controller
Request
Returns
packet type
REVOKE
HIER THEMA EINTRAGEN 14
SANE und Ethane
Ethane besteht aus zwei Hauptkomponenten:
Komponenten:
• Switches
• Controller
Ethane Service Model:
SDN Security Architectures for Enterprise Networks
Eigene Darstellung in Anlehnung an [2]
Controller
Network Policy
Switch 1 Switch 2
User A User B
Host A Host B
HIER THEMA EINTRAGEN 15
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Authentifizierung (z.B. Hosts, Users, Switches usw.) :
Switch Host
Controller
DHCP
Request
IP Adresse
HIER THEMA EINTRAGEN 16
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Switch
Host A
Controller
Switch
Flow Entry in Flow Table
hinzufügen
Host B
HIER THEMA EINTRAGEN 17
SANE und Ethane
SDN Security Architectures for Enterprise Networks
Switches:
Flow Table
Flow Entry
… …
… …
… …
… …
… …
Flow Entry besteht aus:
Header Action Data}
Forward Drop
HIER THEMA EINTRAGEN 18
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 19
Vergleich von SANE und Ethane
Network Topology
SANE: Nur der Controller
Ethane: Der Controller und die Switches
Kommunikation (SANE vs. Ethane)
SDN Security Architectures for Enterprise Networks
ControllerUser User Switch
HIER THEMA EINTRAGEN 20
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 21
Angriffsmöglichkeiten und Schwächen
SANE:
Switch Angriff
Controller Angriff
• Controller Replizieren
Broadcasting
Implementierung und Kompatibilität
• Translation Proxys
Higher Layer Routing
ACLs konfigurieren und verwalten
Testen
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 22
Angriffsmöglichkeiten und Schwächen
Ethane:
Switch Angriff
Controller Angriff
• Controller Replizieren
Broadcasting
Higher Layer Routing
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 23
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 24
NOX
NOX
NOX Controller
• Applikationen
Switches
• OpenFlow Switches
NOX Service Model:
SDN Security Architectures for Enterprise Networks
Eigene Darstellung in Anlehnung an [3]
HIER THEMA EINTRAGEN 25
Agenda
1 Einführung
2 Internet und Enterprise Networks
3
4
SANE und Ethane
5 Angriffsmöglichkeiten und Schwächen
Vergleich von SANE und Ethane
6 NOX
SDN Security Architectures for Enterprise Networks
7 Zusammenfassung
HIER THEMA EINTRAGEN 26
Zusammenfassung
Im Prinzip sind SANE und Ethane ähnlich
SANE bietet einen Clean-State Ansatz an
Ethane bietet einen flexiblen Ansatz an
Sie unterscheiden sich in den Features
Sie geben eine gute Alternative für die Netzwerkarchitekturen
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 27
Quellen
1. Casado, Martin, Garfinkel, Tal, Aditya, Akella, Freedman, J., Michael, Boneh, Dan, Mckeown, Nick,
Shenker, Scott. SANE: A protection architecture for enterprise networks. Conference Proceeding,
USENIX Security Symposium. 2006.
http://www.usenix.org/event/sec06/tech/full_papers/casado/casado_html/ .
2. Casado, Martin, Freedman, J., Michael, Pettit, Justin, Luo, Jianying, McKeown, Nick, Shenker, Scott.
Ethane: Taking control of the enterprise. Conference Procceeding, ACM SIGCOMM Computer
Communication Review. 2007. http://dl.acm.org/citation.cfm?id=1282382 .
3. Gude, Natasha, Koponen, Teemu, Pettit, Justin, Pfaff, Ben, Casado, Martin, McKeown, Nick,
Shenker, Scott. NOX: Towards an operating system for networks. Journal Article, ACM SIGCOMM
Computer Communication Review, 2008. http://dl.acm.org/citation.cfm?id=1384625 .
SDN Security Architectures for Enterprise Networks
HIER THEMA EINTRAGEN 28
Danke für Ihre Aufmerksamkeit
SDN Security Architectures for Enterprise Networks