勒索病毒后的反思:开放的NFV/SDN安全吗?

NFV、SDN、开源、网络转型,无疑是这两年电信业的热词。不少运营商正进入兴奋的验证阶段,AT&T已经宣告应用于实例,大吊同行胃口,令人羡慕嫉妒恨。

然而,传统网络设备虽然是“黑匣子”解决方案,但这样的好处是安全。NFV虽灵活、敏捷、低成本,但这种基于开源软件和白盒硬件的网络构架,伴随而来的还有敞开的漏洞和不可忽视的安全问题,一如今天的IT网络。

一旦网络开放,如果安全问题处理不好,我们固若金汤的通信网络可能就会像这次感染勒索病毒一样,漏洞被攻击,且不断传播、感染。

OpenStack的安全隐患

OpenStack是NFV的标准构建模块,它应用于创建开源的云或数据中心平台。它假定OpenStack控制器(controller) 和计算节点(compute nodes)位于同一网络,且距离甚近。

可一旦应用到庞大的电信NFV网络中,计算节点在核心网之外,运营商不得不妥协折中,放宽控制器和计算节点间的安全规则,这就带来了安全风险。

所有的OpenStack控制器需运行专用协议,且必须在防火墙配置规则来管理流。在某些情况下,必须在防火墙打开多个pinholes(针孔)OpenStack才能工作。记得早前有一份英国BT对企业网虚拟化的测试显示,为了使计算节点工作,其不得不在防火墙为控制器打开500多个pinholes。

显然,在这种构架下,安全是一个问题。

OpenStack目前表面上看起来还安全,不排除有规模化的因素,一旦电信网络大量采用,规模庞大,难保喜欢搞事的攻击者们不认真研究一番。

软件在攻击面前不堪一击

尽管传统电信设备功能单一,但采用专用ASIC,可实现高性能处理且运行稳定,尤其在网络高峰期能经受考验,坚挺而可靠。

NFV现在要把传统电信设备的一些物理功能软件化,并将这些软件运行于通用的CPU之上。

问题来了。一些物理功能被软件代替,这些软件在网络负载增加时,相对更加脆弱,尤其在受到DoS和DDoS攻击时,网络负荷狂增,难说不会不堪一击。

控制面开放且可远程操作很危险

传统的电信设备是将控制面集成在一个封闭的盒子里的,且控制面协议绝大部分预定义于设备中,只预留了少量的几个参数可修改、调整。

现在SDN/NFV要做的是,将控制面从设备分离,并抽取出来,整个主机都可以通过外部控制器来进行编程,这为那些黑客提供了机会。

另一方面,我们说网络转型要以用户为中心,要实现终端用户的自助服务,比如用户可以自助调整宽带网速,甚至是添加类似防火墙一类的虚拟功能,但是,这一切需用户通过一个公共的外部网站或平台来实现。

当用户自助修改功能时,需求通过外部网络传送到NFV编排器(Orchestrator),这就意味着,在外网和运营商内网之间为终端用户打开了一条控制网络的通道。

可怕的是,这个“用户”也可能是个不怀好意的黑客,他可以像这次WannaCry病毒一样,通过漏洞或pinhole发起攻击。

恶意软件可以在虚拟机和主机间快速传播

传统的网络安全机制,大部分是在外围设置保护措施,比如通过防火墙或其他保护机制来控制进出运营商网络的内容,如同一道高高的围墙。

NFV讲的是虚拟化,计算要虚拟化,存储要虚拟化,网络要虚拟化。它利用虚拟化软件Hypervisor将物理服务器和软件功能分开,运行不同操作系统的各种虚拟机运行于物理服务器上。

通俗的讲,传统的电信设备的物理功能变成了通用服务器,这些服务器运行于虚拟化环境。每一个主机上运行一个虚拟化网络(虚拟交换机),并与整个网络连接。

这种运行于虚拟环境下的主机遍布网络,从数据中心到基站,到客户驻地。

这样,由于虚拟机是经常被实例化的软件(打开和关闭),一旦受到攻击,病毒就可能从一个虚拟机传播到另一个,或从一个主机上的虚拟机传播到其它主机上,最终蔓延整个网络。

为此,每个主机运行的虚拟化网络,都必须被单独监视和保护。以前高高的防护围墙,现在要细化到一个个封闭的格子间。

总之,为了解决这些网络安全风险,我们必须重新思考网络安全机制,过去那一套机制是行不通的。我们不仅要防止恶意软件侵入网络,还要做最坏的打算,不断假设网络如果被恶意攻击需要采取怎样的措施,还要能够快速应对。

然而,习惯了封闭的运营商网络,我们准备好了吗?

本文参考:4 Cyber Security Threats on NFV Networks,Avi Dorfman,linkedin

British Telecom threatens to abandon OpenStack in its current form,John Bensalhia

编者按:本文来自微信公众号“网优雇佣军”(ID:hr_opt),36氪经授权发布。

NFV、SDN、开源、网络转型,无疑是这两年电信业的热词。不少运营商正进入兴奋的验证阶段,AT&T已经宣告应用于实例,大吊同行胃口,令人羡慕嫉妒恨。

然而,传统网络设备虽然是“黑匣子”解决方案,但这样的好处是安全。NFV虽灵活、敏捷、低成本,但这种基于开源软件和白盒硬件的网络构架,伴随而来的还有敞开的漏洞和不可忽视的安全问题,一如今天的IT网络。

一旦网络开放,如果安全问题处理不好,我们固若金汤的通信网络可能就会像这次感染勒索病毒一样,漏洞被攻击,且不断传播、感染。

OpenStack的安全隐患

OpenStack是NFV的标准构建模块,它应用于创建开源的云或数据中心平台。它假定OpenStack控制器(controller) 和计算节点(compute nodes)位于同一网络,且距离甚近。

可一旦应用到庞大的电信NFV网络中,计算节点在核心网之外,运营商不得不妥协折中,放宽控制器和计算节点间的安全规则,这就带来了安全风险。

所有的OpenStack控制器需运行专用协议,且必须在防火墙配置规则来管理流。在某些情况下,必须在防火墙打开多个pinholes(针孔)OpenStack才能工作。记得早前有一份英国BT对企业网虚拟化的测试显示,为了使计算节点工作,其不得不在防火墙为控制器打开500多个pinholes。

显然,在这种构架下,安全是一个问题。

OpenStack目前表面上看起来还安全,不排除有规模化的因素,一旦电信网络大量采用,规模庞大,难保喜欢搞事的攻击者们不认真研究一番。

软件在攻击面前不堪一击

尽管传统电信设备功能单一,但采用专用ASIC,可实现高性能处理且运行稳定,尤其在网络高峰期能经受考验,坚挺而可靠。

NFV现在要把传统电信设备的一些物理功能软件化,并将这些软件运行于通用的CPU之上。

问题来了。一些物理功能被软件代替,这些软件在网络负载增加时,相对更加脆弱,尤其在受到DoS和DDoS攻击时,网络负荷狂增,难说不会不堪一击。

控制面开放且可远程操作很危险

传统的电信设备是将控制面集成在一个封闭的盒子里的,且控制面协议绝大部分预定义于设备中,只预留了少量的几个参数可修改、调整。

现在SDN/NFV要做的是,将控制面从设备分离,并抽取出来,整个主机都可以通过外部控制器来进行编程,这为那些黑客提供了机会。

另一方面,我们说网络转型要以用户为中心,要实现终端用户的自助服务,比如用户可以自助调整宽带网速,甚至是添加类似防火墙一类的虚拟功能,但是,这一切需用户通过一个公共的外部网站或平台来实现。

当用户自助修改功能时,需求通过外部网络传送到NFV编排器(Orchestrator),这就意味着,在外网和运营商内网之间为终端用户打开了一条控制网络的通道。

可怕的是,这个“用户”也可能是个不怀好意的黑客,他可以像这次WannaCry病毒一样,通过漏洞或pinhole发起攻击。

恶意软件可以在虚拟机和主机间快速传播

传统的网络安全机制,大部分是在外围设置保护措施,比如通过防火墙或其他保护机制来控制进出运营商网络的内容,如同一道高高的围墙。

NFV讲的是虚拟化,计算要虚拟化,存储要虚拟化,网络要虚拟化。它利用虚拟化软件Hypervisor将物理服务器和软件功能分开,运行不同操作系统的各种虚拟机运行于物理服务器上。

通俗的讲,传统的电信设备的物理功能变成了通用服务器,这些服务器运行于虚拟化环境。每一个主机上运行一个虚拟化网络(虚拟交换机),并与整个网络连接。

这种运行于虚拟环境下的主机遍布网络,从数据中心到基站,到客户驻地。

这样,由于虚拟机是经常被实例化的软件(打开和关闭),一旦受到攻击,病毒就可能从一个虚拟机传播到另一个,或从一个主机上的虚拟机传播到其它主机上,最终蔓延整个网络。

为此,每个主机运行的虚拟化网络,都必须被单独监视和保护。以前高高的防护围墙,现在要细化到一个个封闭的格子间。

总之,为了解决这些网络安全风险,我们必须重新思考网络安全机制,过去那一套机制是行不通的。我们不仅要防止恶意软件侵入网络,还要做最坏的打算,不断假设网络如果被恶意攻击需要采取怎样的措施,还要能够快速应对。

然而,习惯了封闭的运营商网络,我们准备好了吗?

本文转自d1net(转载)

时间: 2024-10-26 21:03:24

勒索病毒后的反思:开放的NFV/SDN安全吗?的相关文章

勒索病毒后:微软升级安全更新 建议XP用户优先下载

6月14日消息,国外媒体报道,微软定期发布安全更新,但是星期二增加了额外更新:让所有客户,即使是使用旧版Windows的用户,也更新他们的软件. 这一举措是为了避免像WannaCry或WannaCrypt(永恒之蓝),这样的勒索病毒再次爆发.在上个月WannaCry勒索病毒全球大爆发,至少150个国家.30万名用户中招. 微软网络防御运营中心总经理Adrienne Hall在一篇博文中写道:"WannaCry勒索病毒作为一个非常真实的例子,对全球个人和企业的网络攻击产生危险.在审查本月的更新时,

安全专家警告:继勒索病毒后WinXP将迎来第2波攻击

安全专家近日向Windows XP和Windows Server 2003用户发布了安全警告,提防继"WannaCry"敲诈勒索病毒之后的第二轮网络攻击.该攻击手段主要利用名为EsteemAudit的黑客工具,可以攻击开放了3389端口且开启了智能卡登陆的Windows XP和 Windows 2003 机器,一旦感染之后就能使用其他类型的恶意软件对网络内的其他设备发起攻击. 2016年8月,名为"Shadow Brokers"的黑客组织入侵了方程式(Equatio

想哭(WannaCry)勒索病毒的用户防护和处置指南

本文讲的是想哭(WannaCry)勒索病毒的用户防护和处置指南, 一.前言 北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件:众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索:而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等.截止到北京时间5月15日09点,目前事件趋势已经

详解让乌克兰总理都“哭泣”的勒索病毒,你到底要不要怕

  北京时间 6 月 27 日晚间,欧洲遭到新一轮的未知病毒的冲击,该病毒传播方式与今年 5 月爆发的 WannaCry 病毒非常相似. 据雷锋网(公众号:雷锋网)宅客频道了解,受影响最严重的国家是乌克兰,而且已经有国内企业中招.此外,俄罗斯(俄罗斯石油公司 Rosneft).西班牙.法国.英国(全球最大广告公司 WPP ).丹麦(航运巨头 AP Moller-Maersk).印度.美国(律师事务所 DLA Piper)也受到不同程度的影响. 此前,国内的安全公司已确认该勒索病毒为 Petya

技术分析 | 新型勒索病毒Petya如何对你的文件进行加密

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球. 雷锋网报道,欧洲.俄罗斯等多国政府.银行.电力系统.通讯系统.企业以及机场都不同程度的受到了影响. 阿里云安全团队第一时间拿到病毒样本,并进行了分析: 这是一种新型勒索蠕虫病毒.电脑.服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行. 目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑. 一.Petya与WannaCry病毒的对比1.加密目标文件类型 Petya加密的文件类型相比WannaC

新勒索病毒:冒充王者荣耀诱导下载 传播者仅13岁

 6月8日消息,近日,一种新型勒索病毒开始在手机出现.该病毒冒充王者荣耀等时下热门手游辅助工具诱导用户下载,且与PC版"永恒之蓝"的界面和勒索手法几乎一致,病毒运行后会对手机中的照片.下载.云盘等目录下的个人文件进行加密,并索要赎金.不过,目前该勒索病毒的制作者已被抓获. 据河南安阳警方官方微博@平安安阳表示,目前已抓获了勒索病毒制作者:"6月7日上午,专案组分别在芜湖.安阳将勒索病毒制作者陈某(男,20岁,安徽芜湖人)及主要传播者晋某(男,13岁,安阳市人)抓获.同时,在该

想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密)

本文讲的是想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密), 一.前言 受WannaCry勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件.当前没有完美的解密工具或者方案,但根据对病毒的分析,我们发现病毒采用加密原文件后再删除原文件的方式,于是针对被删除的文件就存在一定恢复的可能性,我们只要恢复出删除的原文件即可. 我们在13号嘶吼的采访中提到,可使用数据恢复软件通过恢复被删除的加密前的文件,能恢复部分文件,一定程度上挽回用户损失.应用户

不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

 病毒相关 Q 为什么此次勒索病毒"永恒之蓝"感染人数如此之多? A此次勒索软件利用了NSA黑客武器库泄漏的"永恒之蓝"工具进行网络感染,只要是Windows XP.Windows2003.Windows Vista.Windows7 .Windows 2008.Windows 10.Windows2012,对外开放445端口(系统默认开放)且没有更新微软官方MS17-010漏洞补丁的均有可能被感染,而在国内符合这些条件的PC主机数量非常大,而且经过安恒信息安全专家

“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

 相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的"永恒之蓝"工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人及企业重要文件数据造成严重损失.受感染图片如下所示: "EternalBlue"工具利用的是微软Windows