SarDiNe: Forschung für die Sicherheit virtualisierter Netze

Mit virtualisierten Systemen und zunehmend auch Netzen können in der IT deutliche Effizienzsteigerungen erzielt werden. Der Wegfall von physikalischen Systemen und Grenzen ist jedoch eine Herausforderung für die IT-Sicherheit. In diesem Artikel erklärt der Forscher Claas Lorenz die Herausforderungen und Chancen von Software Defined Networking für die Sicherheit in Unternehmens- und Behördennetzen.

Software Defined Networking (SDN) ist eine neues Paradigma zum Aufbau und zur Steuerung von Netzwerken. In klassischen Netzen sind die Netzgeräte auf eine möglichst hohe Autonomie ausgelegt. Wenn ein Fehler auftritt, kann sich das betroffene Netzsegment bis zu einem gewissen Grad selbstständig rekonfigurieren und so den Betrieb wieder aufnehmen. Diese Verfahren sind unter Umständen recht komplex und zeitaufwendig, sodass stets große Überkapazitäten vorgehalten werden müssen. Die komplexen Protokolle erfordern zusätzlich einen hohen Entwicklungsaufwand, was Innovationen verlangsamt und die Kosten für jedes Netzgerät erhöht.

SDN: Netzoptimierung durch zentralen Controller

SDN bricht mit dem Autonomiegrundsatz und trennt die Steuerungslogik von der Datenweiterleitung. Die Steuerung wird von einem zentralisierten Controller für alle Netzgeräte übernommen. Die Geräte konzentrieren sich auf ihre Kernaufgabe – die Datenweiterleitung – und melden Statistiken und Fehler an den Controller. Dieser hat dadurch eine globale Sicht auf den Zustand des Netzes und kann so für eine optimale Lastverteilung und Fehlerbehandlung sorgen.

Die zentralisierte Sicht auf das Netz ermöglicht ganzheitliche Lösungen für die Steuerung und Optimierung des Netzes sowie eine schnelle Reaktion im Fehlerfall. So können bisher nötige Überkapazitäten abgebaut und Kosten beim Betrieb des Netzes gesenkt werden. Hinzu kommt die Verwendung offener Standards wie OpenFlow, die es Anbietern erlaubt, zueinander kompatible Geräte herzustellen. Kunden sind dadurch nicht mehr im Ökosystem eines Herstellers gefangen. Der sogenannte Vendor Lock-in wird verhindert und die Anschaffungskosten können so gesenkt werden.

Ein ergänzender Trend ist die Virtualisierung von Netzfunktionen (NFV). Zahlreiche komplexe Aufgaben wie die Erstellung und Aufrechterhaltung von virtuellen privaten Netzen (VPN) oder die Lastverteilung zwischen Servern werden von kostenintensiven Speziallösungen umgesetzt – den sogenannten Mittelboxen. Die Idee hinter NFV ist nun, die Funktionalitäten der Mittelboxen zu virtualisieren und mit Cloud-Techniken zu skalieren. Dies ermöglicht den Einsatz von günstiger Standard-Server-Hardware. Zusätzlich kann so der Eingriff der Netzfunktionen in den Datenverkehr besser überwacht und in einer zentralen Managementlösung berücksichtigt werden.

Im Projekt SarDiNe (Netzsicherheit in Unternehmen und Behörden basierend auf Software Defined Networking) sollen diese Techniken zur Umsetzung einer Firewall-Lösung eingesetzt und anhand der Anwendungsfälle „Isolation von Diensten“ und „Bring Your Own Device“ (BYOD) demonstriert werden.

Neue Lösungen für Netzwerksicherheit gefragt

In Netzen mit unterschiedlichen Sicherheitsniveaus ist es wichtig, den Zugriff auf klassifizierte Dienste effektiv zu separieren. Herkömmliche Ansätze lösen diese Herausforderung durch eine physikalische Unterteilung. Firewalls agieren dabei als Schutzbastionen an den Übergabeknoten zwischen den Teilnetzen. Hier kann ein Zugriff auf sensible Dienste und Daten effektiv verhindert werden. SDN erlaubt eine weitgehende Aufhebung der physikalischen Netztrennung und erfordert nun neue Lösungen für diese Herausforderung. Darüber hinaus bietet SDN zahlreiche Funktionen, die eine feingranulare Steuerung und Überwachung des Netzes ermöglichen. Im Vorgängerprojekt vmFIRE konnte gezeigt werden, dass klassische Netzwerkattacken wie ARP-Spoofing und Smurfing mit SDN effektiv verhindert werden können. Dadurch können Sicherheit und Zuverlässigkeit der Netze sogar erhöht werden.

Ein Trend der letzten Jahre ist die zunehmende Nutzung privater Mobilgeräte durch Mitarbeiter in Unternehmen. Diese Geräte konnten nicht durch einen zentralen Einkauf standardisiert und durch die IT-Abteilung in die vorhandene Infrastruktur integriert werden. Dadurch ist die Durchsetzung einer unternehmensweiten Sicherheitsrichtlinie zu einer echten Herausforderung geworden. Mithilfe von SDN und NFV kann diese Problematik effektiv angegangen und Mobilgeräte können sicher in Unternehmensnetzen eingebunden werden.

Der Mischbetrieb von SDN- und Altgeräten stellt einen weiteren Schwerpunkt innerhalb von SarDiNe dar. Die geringere Kontrolle über klassische Netzgeräte und die dadurch einhergehenden Sicherheitsherausforderungen müssen dabei genauso berücksichtigt werden wie deren performante Einbindung in das Netz. Gemischte Netze werden in einer Migrationsphase, insbesondere in Unternehmens- und Behördennetzen, weitverbreitet sein. Aus Kosten-, aber auch Umweltgründen ist der Weiterbetrieb von Altgeräten sinnvoll und wünschenswert. Daher ist für eine umfassende Sicherheitslösung deren Betrachtung notwendig.

Im zweiten Teil dieses Artikels werden wir Anwendungsfälle genauer betrachten und einen Blick in die Zukunft wagen!

Partner im Projekt SarDiNe sind der Lehrstuhl für Kommunikationsnetze an der TU München, der Lehrstuhl III Kommunikationsnetze der Universität Würzburg sowie die Firmen infosim und genua. Das Projekt wird durch das Bundesministerium für Bildung und Forschung gefördert.

Bildquelle: ©Péter Mács - Fotolia.com