网络通信 频道

灵活与安全 SDN如何解决自相矛盾问题?

  SDNCentral:我们上次还谈到了FRESCO。好像FRESCO一直发展得不错。你写的有关FRESCO的论文成为了首个讨论SDN/OpenFlow安全的论文,因而论文被提交到了INFOSEC的高层安全会议。这意味着SDN正成为主流吗?

  Phil:“我认为INFOSEC社区给予OpenFlow的关注会增多。去年,我看到网络安全研究者们的OpenFlow意识都在增强,而我们与其他研究OpenFlow的同僚也有过多次联系,我们双方都希望将其作为发展新安全以及对安全挑战进行分析的机遇。”我暂时还没有把OpenFlow或SDN视为INFOSEC社区的主流话题。FRESCO本周会在ISOC 网络与分布式系统安全会议上发布 。这将促使学术研究者们弄清楚SDN将如何改变我们应对恶意网络流量的方式。OpenFlow有潜力推动智能动态网络安全防守的创新,对此我非常欣喜。而要解决OpenFlow对网络边缘防守的传统观念所带来的安全挑战,还有很多工作要做。

  SDNCentral:能和读者分享一些你论文中的趣闻和精华吗?

  Phil:“当然可以,我们的团队,包括来自Texas A&M的Guofei Gu和Seungwon Shin,开发出了FRESCO,这是一个应用开发框架,可以加快设计以及OF安全模块的组合。FRESCO本身是我们托管在FortNOX的OpenFlow应用。”它提供了一种Click-inspired脚本语言,可以让我们开发和共享许多安全检测和减灾模块。研究者们可以编写这些模块,以便快速制作复杂安全服务的原型。部署完后,这些服务就可以和FortNOX一起确保控制器落实所生成的安全策略。这篇论文对几个独特的反恶意软件和其他FRESCO脚本语言编写的安全应用进行了评估。

  SDNCentral:你对FRESCO和SDN社区有什么希望?

  Phil:“最终,我们希望FRESCO这样的工具可以帮助安全研究员降低成本,让他们为OpenFlow网络设计新的防御措施。”

  借助FRESCO力量,我们已经开发出了一套脚本语言,这套语言可以让我们专注于安全响应模块,可以轻松地把这些模块组合起来,重复利用。例如,我们可以使用FRESCO定义一个模块,以部署本地主机的隔离检查。

  而通过FRESCO API,任何基于历史DPI的安全应用都可以在检测到主机感染时发起隔离响应。对于如何把数据流规则转换到OF交换中,FRESCO模块提取了其中隔离观念的细节。我们可以把各种模块编排到一块,来开发更复杂的只有FRESCO的安全服务。由于我们转向FRESCO,这些安全模块可以不用改变就操作安全环节逻辑中整合的控制器。

   SDNCentral:SE内核要增加控制器吗?

  Phil:“从内部来看,我们目前没有资源在多个控制器上支持安全减灾服务。我希望这种情况可以得到改变。由于我们已经把安全减灾逻辑从NOX Classic重新部署到Floodlight,所以我们不得不考虑如何将安全减灾服务从控制器到控制器上实现模块化。”虽然从NOX到Floodlight的转变涉及到完整的重新部署,目前,原始的FortNOX设计在Floodlight内部发展得还不错。我们也有兴趣了解可以跨控制器分享哪些要素。特别是,我们在和各种对北向API有兴趣的人交流,希望可以贡献一套基础要求,可以让FERSCO这样的应用框架实现跨控制器接驳。

  SDNCentral:采用SE内核和转向有商业力量支撑的控制器是有利可图的吗?

  Phil: “我认为急需用一些参考性的部署解决OpenFlow基础安全挑战。最终,让OpenFlow融入敏感运算环境中,如金融社区,政府,医疗和其他对安全要求很高的行业。那时OpenFlow社区就不得不融入INFOSEC社区。我是赞成尽快加入INFOSEC的。简而言之,我认为强效方案等同于改进OpenFlow的安全性,使其成为商业成功的先决条件,至少对这些行业是如此。”

  SDNCentral: 你认为什么时候我们能看到人们对SDN安全的关注度上升呢?前期好像大家关注更多的是寻找很酷的网络应用。

  Phil:“如你所言,要分两方面来看:SDN带来的对安全挑战的分析以及潜在信息防御功能的开发。我期望今年能有更多讨论围绕OpenFlow堆栈中必须解决的不安全因素而展开。这个领域的研究将会硕果累累,还可能会挫伤一些人运营OpenFlow网络的信心。但开发出安全扩展和解决这些问题的新协议仍需要安全评估。

  至于安全应用,我认为OpenFlow确实不能为那些想创建检测系统的人提供任何新功能。记住,INFOSEC社区过去二十年来一直在开发恶意流量分析技术,我并不认为OpenFlow为改进威胁检测带来了有影响力的新机遇。

  SDN让我兴奋的点在于,它为智能响应的发展带来机遇。在过去几十年里,传统网络设备对于安全威胁的响应一直都没有本质上的改变:都是依靠拦截。OpenFlow让INFOSEC程序员们使用标准协议重组交换机的数据层,目的是对已察觉威胁部署更为有力的响应。例如,我对部署了复杂响应的OpenFlow应用十分兴奋,如Reflector Nets,Quarantine Systems,Emergency Broadcast,Tarpits,启用高级OpenFlow的Honeynet。我们的FRESCO论文提供了这类响应策略的示例,阐述了它们在OpenFlow下如何被有效部署。不论OpenFlow最终是通过何种方式推向市场,我希望SDN网络的防御功效能成为网络安全社区中更有影响力的研发成果之一。”  

2
相关文章