Атака Know Your Enemy позволяет получить важные данные об инфраструктуре целевой SDN-сети

Группа итальянских исследователей разработала новый метод атаки, позволяющий получить важные данные о конфигурации программно-определяемых сетей (Software-defined networking, SDN), включая информацию о поведении сети, а также настройках сетевой виртуализации, политиках и конфигурации инструментов защиты.

Основным элементом концепции SDN является протокол Openflow, обеспечивающий взаимодействие контроллера с сетевыми устройствами. Контроллер используется для управления таблицами потоков коммутаторов, на основании которых принимается решение о передаче принятого пакета на конкретный порт коммутатора.

Даже единственная таблица потока может предоставить важную информацию или использоваться для атаки по стронним каналам, утверждают исследователи. К примеру, атакующий потенциально может подключиться к портам маршрутизатора, используемым для удаленной отладки и извлечь таблицу потока, перехватить трафик, проэксплуатировать уязвимости в ОС коммутатора или сделать копию таблицы или контента памяти.

По словам исследователей, проблема не затрагивает какие-либо определенные устройства. Атака, окрещенная Know Your Enemy, эксплуатирует структурную уязвимость программно-конфигурируемой сети, которая возникает из-за специфики управления сетевым потоком. Поскольку SDN разработана таким образом, чтобы взаимодействовать с сетью путем отправки правил потоков на коммутаторы, атакующему необходимо определить, при каких условиях контроллер отправит правило на устройство и выяснить, какие политики активируют определенное правило.

Как отмечают эксперты, архитекторам SDN-сетей необходимо реализовать технологию обфускации потоков для предотвращения эксплуатации ответов SDN с целью получения доступа к важной информации.

«Если преступник не сможет определить, какой сетевой поток приводит к установке какого-либо конкретного правила, атака Know Your Enemy будет бесполезна», - подчеркнули исследователи.