P
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Qué riesgos presenta la vulnerabilidad del protocolo OpenFlow?

Los investigadores encontraron una vulnerabilidad en OpenFlow que puede causar problemas. Conozca cómo los controladores SDN específicos del proveedor pueden causar estas vulnerabilidades del protocolo OpenFlow.

Los investigadores de seguridad descubrieron una vulnerabilidad importante en OpenFlow, el protocolo dominante...

para las redes definidas por software, que puede causar varios problemas, incluidos los ataques de denegación de servicio. ¿Qué implica la vulnerabilidad de OpenFlow y qué riesgos presenta para las empresas que utilizan el protocolo SDN?

La vulnerabilidad en el protocolo OpenFlow se debe a la ausencia de un requisito de autenticación y autorización.

Como lo señaló el investigador Kashyap Thimmaraju, candidato a un doctorado por la Universidad Técnica de Berlín, el proceso de intercambio de OpenFlow "no requiere el controlador [de red definida por software (SDN)] para autenticar los conmutadores" y "el controlador no debe autorizar el acceso de los conmutadores al controlador". Debido a que la vulnerabilidad está en el propio protocolo OpenFlow, cualquier implementación de OpenFlow puede ser vulnerable.

La vulnerabilidad permite a un atacante usar uno o más conmutadores configurados malintencionadamente para conectarse al controlador víctima mediante el protocolo OpenFlow. Debido a que la autenticación no es necesaria, el atacante puede usar identificadores de conmutador falsificados, conocidos como IDs de Datapath (DPID), durante el proceso de intercambio utilizado para abrir una conexión OpenFlow.

Un atacante puede provocar un ataque de denegación de servicio (DoS) contra el controlador porque el controlador no puede verificar el DPID involucrado en el intercambio de OpenFlow. Los switches maliciosos pueden aprovechar el protocolo de enlace de OpenFlow para la comunicación encubierta porque los mecanismos de seguridad en el plano de datos se omiten cuando se reenvía el tráfico a una red de destino según la lógica del plano de control. El controlador también confiará en las características de OpenFlow que responden a los mensajes enviados por el interruptor malicioso.

Al simular la topología de la red, un atacante puede hacerse pasar por un host conectado a los conmutadores maliciosos. Debido a que el seguimiento del host no requiere autenticación o autorización, el atacante puede usar el host suplantado para engañar al controlador y hacerle creer que un auténtico host ha migrado a una nueva ubicación de red física.

Para que un atacante inicie un ataque, el conmutador debe primero establecer una conexión de transporte segura con el controlador mediante un protocolo seguro como el de seguridad de la capa de transporte (TLS) o TCP. Un atacante también puede explotar las nuevas vulnerabilidades de TLS incluso después de que se establezcan los certificados TLS para los switches.

A medida que las empresas utilizan cada vez más los controladores SDN, la corrección de este tipo de vulnerabilidad en los conmutadores OpenFlow en una red no segmentada se ha vuelto más compleja. Sin embargo, otros protocolos utilizados dentro del protocolo OpenFlow pueden introducir nuevas vulnerabilidades porque los controladores SDN son específicos del proveedor.

Mientras que algunos solo se comunican con los switches, otros extienden su comunicación a los firewalls y balanceadores de carga para reducir la latencia. En general, los firewalls que están correctamente configurados para un segmento de la red pueden no funcionar bien para otro segmento cuando se usa el protocolo OpenFlow.

Este artículo se actualizó por última vez en diciembre 2018

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close