F

SDN: Schützt OpenFlow Software-defined Networks?

OpenFlow und SDN führen zu Änderungen für Unternehmensnetzwerke. Das bedeutet aber nicht immer auch automatisch mehr Sicherheit.

OpenFlow ist ein Protokoll, das Software-defined Networking (SDN) ermöglicht. SDN ist, einfach gesagt, ein aufstrebender Ansatz im Bereich Enterprise-Networking, bei dem die Control-Plane von der eigentlichen Netzwerk-Hardware entkoppelt wird. Statt dem direkten Zugriff kümmert sich eine Software um das Verhalten der einzelnen Geräte. Die große Hoffnung ist, dass SDN eine größere Flexibilität bei der Zusammenarbeit unterschiedlicher Netzwerkhersteller ermöglicht.

OpenFlow ist eine der Maschinensprachen, mit der sich Controller und andere Geräte unterhalten können. Wenn ein OpenFlow-kompatibler Switch im Netzwerk Verwendung findet, benötigt er zudem einen Controller. Der Netzwerkadministrator legt anschließend fest, wie Flow-Tabellen die Netzwerkströme im LAN leiten. Flow-Tabellen bestehen aus sogenannten „Flows“, mit denen das jeweilige Verhalten im Netzwerk definiert wird. Ein Flow kann etwa eine TCP-Verbindung sein, der komplette Traffic innerhalb einer bestimmten IP-Range oder jede andere Netzwerkfunktion, die der Administrator definiert.

Stimmt ein eingehendes Netzwerkpaket mit einem definierten Flow überein, leitet ein OpenFlow-fähiger Switch diesen gemäß der etablierten Flow-Tabelle weiter. Erreicht ein Paket den Switch, das nicht mit den Definitionen übereinstimmt, wird es zum Controller weitergeleitet, um dort weiter verarbeitet zu werden. Hier zeigt sich die Stärke von SDN: Ein Administrator kann potentiell die Flow-Tabellen so granular anpassen, dass der Traffic einer bestimmten Applikation speziell geleitet wird. Die Flow-Tabellen lassen sich zudem spontan anpassen, so dass Administratoren gezielt Einfluss auf die laufenden Applikationen nehmen können.

Dieses System erlaubt interessante Möglichkeiten beim Testen von neuen Programmen oder einzelnen Protokollen. Entwickler und Forscher können einzelne Applikationen in realen Umgebungen testen, ohne dass dabei der eigentliche Datenverkehr der Produktionsumgebung beeinträchtigt wird. Denkt man einen Schritt weiter,ermöglicht SDN – wenn die Entwicklung weiter fortschreitet – den Einsatz als Sicherheitskomponente. Administratoren können so gezielt festlegen, welche Arten von Applikationen mit welchen anderen Endpunkten kommunizieren dürfen und welche nicht. Eines Tages ist damit eine komplett neue Ebene des Defense-in-Depth-Sicherheitsansatzes möglich.

Dennoch ist zu bedenken, dass OpenFlow und SDN aber Techniken sind, die gerade erst entstehen und für die meisten Unternehmen noch nicht ausgereift genug sind. Obwohl die meisten größeren Netzwerk- und IT-Anbieter auf die eine oder andere Weise an OpenFlow arbeiten, haben Schwergewichte wie Cisco Systems oder VMware eigene Techniken in der Entwicklung, die die Universalität von OpenFlow beeinträchtigen könnten. Einige Experten sind zudem der Ansicht, dass SDN ein Sicherheitsrisiko darstellen kann: Schafft es ein Angreifer, den SDN-Controller zu übernehmen, hat er Zugriff auf das komplette Netzwerk des Unternehmens. Dennoch ist OpenFlow eine Technik, derer sich Sicherheitsexperten in Unternehmen nicht verschließen können. Sie sollten sie stattdessen weiter verfolgen und die Entwicklungen in diesem Bereich im Auge behalten – in einigen Jahren könnte OpenFlow der neue Standard in Unternehmensnetzwerken sein.

Artikel wurde zuletzt im August 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Protokolle

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close