齐士忠
2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
官方采纳
齐士忠2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
OpenFlow协议中可能涉及的安全问题包括:
1.控制器与交换机之间缺少数据加密措施。由于OpenFlow 1.3版本以后将TLS设置为可选机制,再加上TLS机制配置复杂和协议本身的脆弱性,使控制器与交换机之间缺乏合适的加密机制。因此,攻击者可以利用这一特性,在控制器与交换机通信不加密数据时,窃听甚至伪造南向通信数据,违反信息机密性、完整性等原则。
2.控制器与交换机通信缺乏认证机制。TLS是一种双向认证技术,交换机端和控制器端均需要产生证书,结合数字签名及公、私钥机制,进行双向确认。这种协议开销较大,不利于实际部署,因此,很多运维者在交换机上跳过TLS的部署,增加了安全隐患。在南向通信层,缺少认证机制会导致中间人攻击和伪造攻击,攻击者可以很容易地监听数据流。如果交换机未经认证与控制器通信,容易造成网络状态被篡改等安全问题。
齐士忠
2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
官方采纳
齐士忠2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
OpenFlow协议中可能涉及的安全问题包括:
控制器与交换机之间缺少数据加密措施:由于OpenFlow 1.3版本以后将TLS设置为可选机制,再加上TLS机制配置复杂和协议本身的脆弱性,使控制器与交换机之间缺乏合适的加密机制。因此,攻击者可以利用这一特性,在控制器与交换机通信不加密数据时,窃听甚至伪造南向通信数据,违反信息机密性、完整性等原则。
控制器与交换机通信缺乏认证机制:TLS是一种双向认证技术,交换机端和控制器端均需要产生证书,结合数字签名及公、私钥机制,进行双向确认。这种协议开销较大,不利于实际部署,因此,很多运维者在交换机上跳过TLS的部署,增加了安全隐患。在南向通信层,缺少认证机制会导致中间人攻击和伪造攻击,攻击者可以很容易地监听数据流。如果交换机未经认证与控制器通信,容易造成网络状态被篡改等安全问题。
推荐文章
