軟件定義交換機(jī)似乎給網(wǎng)絡(luò)運(yùn)營(yíng)商提供了許多功能，但在拉斯維加斯Black Hat 2015全球頂尖安全會(huì)議上，一篇名為《STAYING PERSISTENT IN SOFTWARE DEFINED NETWORKS》的演講稿中的最新研究表明其安全措施并不到位。芝加哥安全公司Hellfire Security的創(chuàng)始人Gregory Pickett針對(duì)使用ONIE(Open Network Install Environment)的網(wǎng)絡(luò)交換機(jī)自主開(kāi)發(fā)了一些攻擊軟件。

[[147199]]

ONIE是基于Linux的小型操作系統(tǒng)，運(yùn)行在白盒交換機(jī)上，解除交換機(jī)軟硬件綁定的黑盒狀態(tài)，形成硬件標(biāo)準(zhǔn)化、軟硬件分離的新模式。網(wǎng)絡(luò)操作系統(tǒng)安裝在ONIE之上，便于快速交換操作系統(tǒng)。

Pickett主要研究運(yùn)行在ONIE上的三個(gè)網(wǎng)絡(luò)操作系統(tǒng):Switch Light, Cumulus Linux和Mellanox OS。他發(fā)現(xiàn)了很多問(wèn)題，有時(shí)候能夠在ONIE固件上安裝持久性的惡意軟件。這是相當(dāng)危險(xiǎn)的，惡意軟件能夠全面了解所有運(yùn)行在交換機(jī)上的數(shù)據(jù)流，網(wǎng)絡(luò)中數(shù)據(jù)流的走向被大范圍得監(jiān)視，甚至可能造成網(wǎng)絡(luò)的全面癱瘓。

Pickett開(kāi)發(fā)的惡意軟件稱(chēng)之為“Big Brother”。它只需要安裝到目標(biāo)公司網(wǎng)絡(luò)中的一臺(tái)用戶(hù)主機(jī)上，然后就能搜尋到交換機(jī)并且在上面安裝惡意軟件，接著就可以向命令控制型服務(wù)器推送數(shù)據(jù)。Pickett還認(rèn)為將可能開(kāi)發(fā)一個(gè)蠕蟲(chóng)病毒來(lái)感染目標(biāo)網(wǎng)絡(luò)的所有交換機(jī)。

SDN畢竟屬于相對(duì)較新的領(lǐng)域，安全舉措還沒(méi)有做好。網(wǎng)絡(luò)操作系統(tǒng)以及ONIE往往缺乏身份驗(yàn)證、加密、訪問(wèn)控制和權(quán)限這些功能。　　　　

如果說(shuō)ONIE易受攻擊，那么網(wǎng)絡(luò)操作系統(tǒng)需要去保護(hù)它。但是，如果攻擊者可以闖過(guò)操作系統(tǒng)，ONIE就只能等著被侵襲了。

Pickett表示SDN的形勢(shì)似乎是一個(gè)雞生蛋還是蛋生雞的問(wèn)題:對(duì)于是SDN平臺(tái)還是網(wǎng)絡(luò)操作系統(tǒng)需要負(fù)責(zé)阻止惡意攻擊的問(wèn)題似乎并沒(méi)有過(guò)多地關(guān)注。如果這兩方都在期待另一方收拾殘局的話(huà)，真是太糟糕了，他們認(rèn)為自己是安全的，因?yàn)檫@些Linux交換機(jī)位于防火墻之后。

Pickett已經(jīng)通知Switch Light、Cumulus Linux、Mellanox OS和ONIE目前發(fā)現(xiàn)的問(wèn)題，希望他們能夠修復(fù)漏洞。他不打算把發(fā)現(xiàn)的瞬時(shí)攻擊在周四的Black Hat和周六的Def Con會(huì)議上發(fā)布，但他將在會(huì)上發(fā)布開(kāi)發(fā)惡意軟件的代碼。他還將描述SDN平臺(tái)的改進(jìn)列表以及網(wǎng)絡(luò)操作系統(tǒng)的補(bǔ)救措施。