軟件定義交換機(jī)似乎給網(wǎng)絡(luò)運(yùn)營商提供了許多功能，但在拉斯維加斯Black Hat 2015全球頂尖安全會議上，一篇名為《STAYING PERSISTENT IN SOFTWARE DEFINED NETWORKS》的演講稿中的最新研究表明其安全措施并不到位。芝加哥安全公司Hellfire Security的創(chuàng)始人Gregory Pickett針對使用ONIE(Open Network Install Environment)的網(wǎng)絡(luò)交換機(jī)自主開發(fā)了一些攻擊軟件。

[[147199]]

ONIE是基于Linux的小型操作系統(tǒng)，運(yùn)行在白盒交換機(jī)上，解除交換機(jī)軟硬件綁定的黑盒狀態(tài)，形成硬件標(biāo)準(zhǔn)化、軟硬件分離的新模式。網(wǎng)絡(luò)操作系統(tǒng)安裝在ONIE之上，便于快速交換操作系統(tǒng)。

Pickett主要研究運(yùn)行在ONIE上的三個網(wǎng)絡(luò)操作系統(tǒng):Switch Light, Cumulus Linux和Mellanox OS。他發(fā)現(xiàn)了很多問題，有時候能夠在ONIE固件上安裝持久性的惡意軟件。這是相當(dāng)危險的，惡意軟件能夠全面了解所有運(yùn)行在交換機(jī)上的數(shù)據(jù)流，網(wǎng)絡(luò)中數(shù)據(jù)流的走向被大范圍得監(jiān)視，甚至可能造成網(wǎng)絡(luò)的全面癱瘓。

Pickett開發(fā)的惡意軟件稱之為“Big Brother”。它只需要安裝到目標(biāo)公司網(wǎng)絡(luò)中的一臺用戶主機(jī)上，然后就能搜尋到交換機(jī)并且在上面安裝惡意軟件，接著就可以向命令控制型服務(wù)器推送數(shù)據(jù)。Pickett還認(rèn)為將可能開發(fā)一個蠕蟲病毒來感染目標(biāo)網(wǎng)絡(luò)的所有交換機(jī)。

SDN畢竟屬于相對較新的領(lǐng)域，安全舉措還沒有做好。網(wǎng)絡(luò)操作系統(tǒng)以及ONIE往往缺乏身份驗(yàn)證、加密、訪問控制和權(quán)限這些功能。　　　　

如果說ONIE易受攻擊，那么網(wǎng)絡(luò)操作系統(tǒng)需要去保護(hù)它。但是，如果攻擊者可以闖過操作系統(tǒng)，ONIE就只能等著被侵襲了。

Pickett表示SDN的形勢似乎是一個雞生蛋還是蛋生雞的問題:對于是SDN平臺還是網(wǎng)絡(luò)操作系統(tǒng)需要負(fù)責(zé)阻止惡意攻擊的問題似乎并沒有過多地關(guān)注。如果這兩方都在期待另一方收拾殘局的話，真是太糟糕了，他們認(rèn)為自己是安全的，因?yàn)檫@些Linux交換機(jī)位于防火墻之后。

Pickett已經(jīng)通知Switch Light、Cumulus Linux、Mellanox OS和ONIE目前發(fā)現(xiàn)的問題，希望他們能夠修復(fù)漏洞。他不打算把發(fā)現(xiàn)的瞬時攻擊在周四的Black Hat和周六的Def Con會議上發(fā)布，但他將在會上發(fā)布開發(fā)惡意軟件的代碼。他還將描述SDN平臺的改進(jìn)列表以及網(wǎng)絡(luò)操作系統(tǒng)的補(bǔ)救措施。