Eine Visualisierungs-Software soll künftig alle Komponenten eines Software Defined Network überwachen.
Fraunhofer AISEC
Firmennetze bestehen aus Komponenten, die mühsam aufeinander abgestimmt werden müssen. Via Software Defined Networking wollen Informatiker sie künftig per Kontroller zentral steuern. Damit hätten Hacker noch leichteres Spiel – gäbe es nicht den einen Trick.
„Die besten Sicherheitssysteme helfen nichts, wenn die Putzfrau den Datendieb als vermeintlichen Mitarbeiter ins Büro lässt“, schreibt Tobias Schrödel gleich zu Beginn seines Springer-Buchs „Ich glaube, es hackt“. Später gewährt er Einblicke in die irrwitzige Realität der IT-Sicherheit. Die von Schrödel anfangs genannte Variante ist nur eine Möglichkeit, an sensible Daten zu kommen. Viele Firmennetze bieten heute genügend Angriffsfläche, sich dort einzuhacken. Immerhin setzen sich die Unternehmensnetzwerke aus vielen Hundert Geräten zusammen: Router, die Datenpakete an den richtigen Empfänger schicken, Firewall-Komponenten, die interne Netze von der Außenwelt abschirmen oder Switches, also Kupplungsstellen im Netzwerk.
Solche Netze sind sehr unflexibel, denn jede Komponente, jeder Router oder jeder Switch, kann nur die eine Aufgabe übernehmen, für die sie hergestellt wurden. Will man das Netz erweitern, muss man neue Router, Firewalls oder Switches einbauen und zunächst von Hand programmieren. Mit dem Software Defined Networking (SDN) soll nun zwar das flexible Netzwerk der Zukunft entstehen. Doch dieses ist Experten zufolge ebenso anfällig für Hackerangriffe. Noch, behaupten Forscher vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC in Garching bei München.
Wie funktioniert Software Defined Networking?
Sie wollen in Kürze ein demonstrieren, wie sich SDN sicher machen lassen. Anlässlich der diesjährigen CeBIT in Hannover stellen sie einen Demonstrator vor, mit dem sie ein SDN mitsamt aller Komponenten überwachen können. Bestandteil des Systems ist eine Visualisierungssoftware, die die einzelnen Komponenten des Netzes zeigt und zudem in Echtzeit darstellt, wie die verschiedenen Applikationen mit dem Controller kommunizieren. „Wir können zeigen, wie eine Software über den Controller das Verhalten der verschiedenen Komponenten beeinflusst – oder im Falle eines Angriffs stört“, sagt Christian Banse, Sicherheitsexperte am AISEC.
Weitere Artikel zum Thema Software Defined Networking |
Doch wie funktioniert ein SDN und warum ist es anfällig für Angriffe? Dazu erklärt Banse: „Ein Kontroller soll künftig die vielen Netzwerkkomponenten zentral steuern. Überspitzt formuliert, verlieren Router, Firewall und Switches ihre Intelligenz, sie führen nur noch die Befehle aus, die ihnen der Kontroller vorgibt“. Damit wird das Netz sehr viel flexibler, denn einem Router oder dem Switch kann der Kontroller somit ganz neue Aufgaben zuordnen, die bei der Herstellung der Komponente gar nicht vorgesehen waren. Auch die mühsame Programmierung der Komponente beim Einbau entfällt, weil man nicht mehr jeder einzelnen ihren Platz im Netzwerk zuweisen muss – der Kontroller nutzt sie einfach so, wie es gerade nötig ist.
Das sind die Angriffspunkts für Hacker
Inzwischen bieten die Hersteller erste Router oder Switches an, die die nötige Flexibilität mitbringen und für Software Defined Networking (SDN) geeignet sind. „Bei aller Begeisterung über die neue Flexibilität, die die zentrale Steuerung über den Kontroller erlaubt, hat man allerdings die Sicherheit von SDN vernachlässigt“, mahnt Banse. Ein Problem sieht Banse darin, dass die Netzwerke künftig nur mehr von der Kontroller-Zentrale gesteuert werden. Diese könnten für Angreifer eine ideale Lücke sein, um auf das ganze Netz zuzugreifen. Hinzu kommt, dass für SDN heute eine Vielzahl von Applikationen entwickelt werden – beispielsweise Steuerungssoftware für die Firewall-Komponenten oder die Router. Fatal wäre es zum Beispiel, wenn sich Fremde über eine auf den Kontroller eingespielte Software Zugang ins Firmennetzwerk verschaffen würden.
Vor diesem Hintergrund analysierten Banse und seine Kollegen zunächst das Miteinander aller Komponenten in einem SDN, um Schwachstellen zu finden. Laut den IT-Experten muss etwa sehr genau definiert werden, wie tief eine neue Applikation ins Netz eingreifen darf, da sonst die Stabilität und Sicherheit des Netzes nicht gewährleistet ist. Sie bemängeln an dieser Stelle, dass es bis heute noch keine ausreichenden Sicherheitsstandards für die Kommunikation zwischen den einzelnen Bestandteilen eines SDN gibt. Sie fordern deshalb einen internationaler Standard.