OrchSec

Sicherheit durch SDN - Software-Defined Networking

Mit Software-Defined Networking können Unternehmen ihre Netzwerke effizienter gestalten, indem sie programmierbare Netzkomponenten zentral per Software steuern. Einige Unternehmen setzen SDN bereits in ihren Netzen und Datenzentren ein, um das Netzmanagement zu vereinfachen, die Flexibilität zu steigern und somit Kosten zu reduzieren. Das Frauhofer SIT hat mit OrchSec (Orchestrator for Security Applications) eine Lösung entwickelt, die die Vorteile von SDN nutzt und dadurch ein höheres Maß an Netzwerksicherheit bietet, als dies in konventionellen Netzwerken möglich ist.

Gerade große Unternehmen leiden häufig unter dem Problem, dass in klassischen Netzwerken die Netzkomponenten wie Switches oder Router manuell über unkomfortable Management-Schnittstellen konfiguriert werden müssen. Dies macht große Netze oft unflexibel und pflegeaufwendig. Auch eine zentrale Erkennung von Netzwerkangriffen sowie deren dynamische Bekämpfung, z. B. durch automatisierte Reorganisation einzelner Netzsegmente, lassen sich so nicht realisieren.

SDN: Flexible zentrale Netzwerksteuerung

SDN bietet durch die Virtualisierung des Netzwerks ein einheitliches Konfigurationsmanagement sowie eine automatisierte zentrale Steuerung des gesamten Netzes. Das Konzept basiert auf einer Trennung von Kontrollschicht (Control Plane) und Datenschicht (Data Plane): Die einzelnen Geräte wie Router, Switches etc. dienen hier lediglich zum Durchleiten der Datenpakete, während ein SDN-Controller die zentrale Kontrolle über sämtliche Netzfunktionen und Gerätekonfigurationen übernimmt.

Mehr Netzwerksicherheit

Durch den globalen Blick auf das Netzwerk, der mit SDN erreicht wird, ist es möglich, effektiver auf Angriffe zu reagieren. Die von Fraunhofer SIT entwickelte Sicherheitslösung OrchSec setzt diesen Vorteil von SDN gezielt ein, um selbst in komplexen Netzwerken Angriffe frühzeitig zu erkennen und erfolgreich zu bekämpfen. Erkennt OrchSec einen Netzwerkangriff, ergreift es schnell wirksame Gegenmaßnahmen. So lassen sich viele typische Attacken abwehren, wie ARP Spoofing, Distributed Denial of Service (DDoS), DNS Amplification und Slow-Read-Attacken.

Individualisierbare Sicherheits-Apps

Fraunhofer SIT bietet Herstellern von SDN-Komponenten die Möglichkeit, OrchSec individuell angepasst in ihre Produkte zu integrieren. Dafür wird OrchSec in die Controller- und Monitoring-Architektur des jeweiligen SDN integriert. Die Fraunhofer-Lösung basiert auf einem Modul-Konzept, das maßgeschneiderte Netzwerksicherheit ermöglicht: Einzelne Sicherheits-Applikationen (Apps) werden modular in ein Netzwerk eingesetzt. Die Apps lassen sich für jeden Netzwerkbetreiber individuell entwickeln, konfigurieren und miteinander kombinieren. Die Sicherheitsfunktionen des betreffenden Netzes werden auf diese Weise spezifisch angepasst und aktuell gehalten.
Die praktische Erprobung von OrchSec im Unternehmensalltag hat bereits begonnen.