Ein verdeckter Timing-Kanal in Software-definierten Netzwerken
Konsep Inti
Software-definierte Netzwerke können durch Switch-Identifikationsteleportation für verdeckte Kanäle genutzt werden.
Abstrak
Einleitung
- SDN als Lösung für Netzwerk-Ossifikation
- Sicherheitsbedenken bei SDNs
Switch-Identifikationsteleportation
- Nutzung von SDN-Teleportation für verdeckte Kanäle
- Beschreibung des theoretischen Modells und Designs
- Implementierung und Evaluierung eines Prototyps
Bedrohungsmodell
- Annahmen über bösartige Switches
- Kontrolle über Switches, aber nicht deren Position
Verdeckter Kanal mit Teleportation
- Übertragung von 2048-Byte RSA-Datei in 13 Minuten
- Beschreibung des Zeitmodells und der Zustandsübergänge
Mehrere Bits übertragen
- Vereinbarung von Kodierungsschema und Start-/Endsignal
- Rahmenbasierte Übertragung von Daten
Design- und Leistungsherausforderungen
- Synchronisation, Zeitintervalle, Rahmenlängen
- Einfluss des Controllers und Netzwerkpfade
Evaluation
- Implementierung mit Open vSwitch und ONOS
- Experimente zur Charakterisierung der Leistung
- Einfluss von Zeitintervallen, Rahmenlängen und Verzögerungen
Diskussion
- Erkennung und Abwehr von Teleportationsangriffen
- Limitierungen und Verbesserungsmöglichkeiten
Terjemahkan Sumber
Ke Bahasa Lain
Buat Peta Pikiran
dari konten sumber
I DPID It My Way! A Covert Timing Channel in Software-Defined Networks
Statistik
Durchsatzraten von bis zu 20 Bits pro Sekunde
Kommunikationsgenauigkeit von ca. 90%
Kutipan
"Software-definierte Netzwerke haben sich als Standard für große Rechenzentren etabliert."
"Verdeckte Kanäle wie der beschriebene werden relevanter, da private Schlüssel für Phishing- und Malware-Kampagnen genutzt werden."
Pertanyaan yang Lebih Dalam
Wie können Teleportationsangriffe in SDNs effektiv erkannt und verhindert werden?
Teleportationsangriffe in Software-Defined Networks (SDNs) können effektiv erkannt und verhindert werden, indem robuste Sicherheitsmaßnahmen implementiert werden. Ein Ansatz besteht darin, die OpenFlow-Verbindungen zu sichern, z. B. durch die Verwendung eindeutiger TLS-Zertifikate für Switches und die Erstellung einer Whitelist von Switch-DPIDs am Controller. Diese Whitelist sollte auch die öffentlichen Schlüsselzertifikate der Switches enthalten. Darüber hinaus kann der Controller so konfiguriert werden, dass er überprüft, ob die DPID, die im OpenFlow-Handshake angekündigt wird, über die TLS-Verbindung mit dem entsprechenden (DPID-)Zertifikat verbunden ist. Durch die Implementierung dieser gehärteten Authentifizierungsschemata kann die Möglichkeit von Teleportationsangriffen reduziert werden.
Welche Verbesserungen könnten die Durchsatzraten des verdeckten Kanals erhöhen?
Um die Durchsatzraten des verdeckten Kanals zu erhöhen, könnten verschiedene Verbesserungen implementiert werden. Eine Möglichkeit besteht darin, die Algorithmen in Open vSwitch (OvS) zu implementieren, da OvS in "C" programmiert ist, was zu schnelleren Reaktionszeiten führen würde. Eine weitere Verbesserungsmöglichkeit besteht darin, mehrere gleichzeitige Verbindungen zum Controller zu initiieren, wobei für jede Verbindung ein eindeutiger DPID verwendet wird. Auf diese Weise kann der Sender so viele Bits senden, wie Verbindungen hergestellt wurden, was den Durchsatz entsprechend erhöht. Zudem könnte die Einführung eines Rückkanals vom Empfänger zum Sender, bei dem der Empfänger jede Frame bestätigt, die Genauigkeit des Kanals verbessern und somit die Durchsatzraten erhöhen.
Inwiefern könnten verdeckte Kanäle in SDNs die Netzwerksicherheit beeinträchtigen?
Verdeckte Kanäle in Software-Defined Networks (SDNs) könnten die Netzwerksicherheit erheblich beeinträchtigen, da sie von Angreifern genutzt werden könnten, um unbemerkt vertrauliche Informationen zu übertragen oder mit einem Command-and-Control-Center zu kommunizieren. Diese Kanäle könnten von Advanced Persistent Threats (APTs) genutzt werden, um private Schlüssel zu übertragen, die dann für Phishing- und Malware-Kampagnen verwendet werden könnten. Da SDNs in großen Rechenzentren und Service-Provider-Netzwerken immer häufiger eingesetzt werden, ist es entscheidend, Mechanismen zur Erkennung und Verhinderung von Teleportationsangriffen zu entwickeln, die APTs eine Möglichkeit bieten, Daten unbemerkt zu übertragen oder zu exfiltrieren. Daher ist es wichtig, Sicherheitsmaßnahmen zu implementieren, um die potenziellen Risiken von verdeckten Kanälen in SDNs zu minimieren.