کنترلرهای شبکههای نرمافزار محور(SDN) با ارسال قواعد جدید جریان به سوئیچ به شرایط مختلف شبکه پاسخ میدهند. محققان ایتالیایی میگویند این کار موجب مشکلات امنیتی غیرمنتظرهای میشود. این پژوهشگران توانستند محیط SDN پیرامون خود را وادار به نشت اطلاعاتی کنند که مدیران سامانه احتمالاً نمیخواستند در دید عموم قرار گیرد، اطلاعاتی شامل تنظیمات راهاندازی و مجازیسازی شبکه، کیفیت سیاستگذاری خدمات و از همه مهمتر اطلاعات مربوط به ابزارهای امنیتی نظیر «آستانههای تشخیص حمله برای بررسی شبکه».
حتی یک جدول واحد جریان سوئیچ که آنها نوشتند که میتوانند این نوع اطلاعات را ارائه کند؛ اطلاعاتی که میتواند یک کانال جانبی برای بهرهبرداری مهاجمان باشد.
سه نفر از پژوهشگران شبکه به نامهای: مائورو کونتی از دانشگاه پادوا و فابیو د گاسپاری و لویجی مانچینی از دانشگاه ساپینزا، بهطور ویژه در مورد شبکههای SDN و بهرهبرداری از آنها برای مهاجمان جهت کمک به اهداف خود و انجام حملاتی که به نام «حملهی شناخت دشمن» KYE مشهور است، تحقیق کرده و نگرانی خود را ابراز کردهاند.
برای مثال، آنان نوشتهاند که یک مهاجم بهصورت بالقوه میتواند:
•به اکثر درگاههای منفعلانه شنود سوئیچی SDN که برای اشکالزدایی از راه دور استفاده میشوند متصل شود و جدول جریان را دریافت کند (مثلاً آنها نمونهی ابزار HP Procurves dpctl را مثال زدهاند)
•اطلاعات مربوط به jitter را از جدول جریان دریافت کنند (که برحسب زمان رفت و برگشت RTT است)
•به شنود ترافیک کنترل به دلیل عدم حفاظت کافی بپردازند (در صورت عدم استفاده از TLS، یا استفاده نکردن از گواهینامهها یا احراز هویت)
•از آسیبپذیریهایی بهرهبرداری کنند که ممکن است در سامانه عاملهای سوئیچ وجود داشتند باشد، همچون درپشتیها
•از جدول جریان یا محتوای حافظهی یک سوئیچ به یک مکان خارجی رونوشتبرداری کنند
در این مقاله خاطرنشان شده است که هیچکدام از این موارد به یک دستگاه خاص محدود نمیشوند: «حملات KYE از یک آسیبپذیری ساختاری SDN بهرهبرداری میکنند که از مدیریت برحسب تقاضای جریانهای شبکه ناشی میشود و آن هم بهنوبه خود یکی از ویژگیها و نقاط قوت شبکههای SDN است».
از آنجایی که SDN برای این طراحی شده است تا با ارسال قواعد جریان به سمت سوئیچ پاسخ دهد، مهاجم میتواند بهراحتی دریابد که چه وضعیتهایی موجب خواهد شد تا در آن کنترلر یکی از قواعد جریان را به سوئیچ ارسال کند.
از اینرو حملهی KYE تنها نیاز به بررسی محیط دارد (تا بتواند کشف کند که چه قواعد جریانی روی سوئیچ هستند و از آنها برای دسترسی به آنها استفاده کند چه این کار از داخل صورت گیرد و یا از راه دور)؛ و از این اطلاعات بهدستآمده در «مرحلهی استنتاج» استفاده کرده و دریابد که چه نوع سیاستگذاری میتواند قواعد خاصی را فعال کند.
پیشنهاد آنها این است که معماران SDN این نکته را در نظر بگیرند که میتوانند برخی از جنبههای ایجاد ابهام را به جریان شبکه اضافه کنند تا یک مهاجم نتواند از پاسخهای SDN برای افشای اطلاعات شبکهی آنها استفاده کند: «اگر این امکان وجود داشته باشد که نگذاریم تا یک مهاجم متوجه شود که کدام جریان شبکه موجب اجرای کدام قاعدهی جریان میشود، آنگاه حملهی KYE دیگر بیاثر خواهد شد».
به نظر میرسد که این کار خیلی سختی نیست: یکی از نمونههایی که در این مقاله ارائه شده است این است که کنترلرها دستورالعملها را به مسیرهایی دیگری در شبکه بهجز مسیرهای منتهی به سوئیچ ارسال کنند و به این وسیله مهاجم نتواند بهراحتی دستورالعملهای جریان را با محرکهای جعلی خود پیدا کند.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.