SENS - Security-Enhanced Networks

Sicherheit für Software-Defined Networking (SDN)

© Fraunhofer AISEC

SDN_Cebit 2015

München, März 2015 -- Auf der CeBIT 2015 präsentiert das Fraunhofer AISEC eine Sicherheitslösung, die SDN (Software-Defined Networking) sicherer macht. Hauptbestandteil ist eine Visualisierungssoftware zur Darstellung der einzelnen Netzkomponenten und Applikationen. So lässt sich unmittelbar erkennen, wie verschiedene Applikationen mit dem Controller kommunizieren und welche Berechtigungen sie besitzen.

Heutige Unternehmensnetzwerke setzen sich aus vielen Geräten zusammen: Router, die Datenpakete an den richtigen Empfänger schicken, Firewall-Komponenten, die interne Netze von der Außenwelt abschirmen oder Switches, also Kupplungsstellen im Netzwerk. Solche Netze sind sehr unflexibel, denn jede Komponente, jeder Router oder jeder Switch, kann nur die eine Aufgabe übernehmen, für die sie hergestellt wurden. Will man das Netz erweitern, muss man neue Router, Firewalls oder Switches einbauen und zunächst von Hand programmieren. Daher geht der Trend in Richtung flexibler Netzwerke.

Die Entwicklung von neuartigen Netzwerken für die Zukunft schreitet unter dem Namen Software-Defined Networking voran. Allerdings hat SDN bei all den Vorteilen auch einen entscheidenden Nachteil: Die Sicherheit von SDN wurde bisher kaum beachtet. Wie sich SDN sicher machen lassen, zeigen Forscher vom Fraunhofer AISEC vom 16. bis 20. März 2015 auf der CeBIT in Hannover. Auf dem Fraunhofer-Gemeinschaftstand (Halle 9, Stand E40) stellen sie eine Lösung vor, mit der sie ein SDN-Netzwerk mitsamt aller Komponenten überwachen können. Hauptbestandteil der Lösung ist eine Visualisierungssoftware, die die einzelnen Komponenten des Netzes zeigt und zudem in Echtzeit darstellt, wie die verschiedenen Applikationen mit dem Controller kommunizieren. »Wir können zeigen, wie eine Software über den Controller das Verhalten der verschiedenen Komponenten beeinflusst – oder im Falle eines Angriffs stört«, sagt Christian Banse, Experte für Netzwerksicherheit am AISEC.

Auf der CeBIT stellen Banse und sein Team neben ihrer Visualisierungslösung technische Möglichkeiten vor, um nicht autorisierten Applikationen oder Schadprogrammen den Zugang ins SDN zu verwehren. Sie entwickeln Wege, um zu überwachen, ob eine App wirklich nur die Aufgabe erfüllt, für die sie gedacht war. Sollte sie nicht vorgesehene und unerwünschte Aktivitäten ausführen, wird sie vom System abgewiesen und blockiert. Schadprogramme werden auf diese Weise geblockt.