OpenFlow交換機協議曝身份驗證漏洞

作為一項早期軟件定義網絡協議，OpenFlow 中曝出一項安全漏洞，這項漏洞年代久遠、無處不在，且很難在短時間內得到修復。

柏林科技大學的卡希帕普?希馬拉朱在 oss-sec 上發布的文章當中寫道，OpenFlow 協議的握手機制一直缺少認證步驟，其“不需要控制器進行交換機驗證”，也“不需要控制器對訪問該控制器的交換機進行驗證”。

由于這是一項協議漏洞，因此任何 OpenFlow 實現方案都有可能受其影響。

此項協議的設計者在2011年2月發布 OpenFlow 1.0 時可能根本沒有考慮到這項漏洞，因為攻擊者需要將經過惡意配置的交換機接入目標網絡（并建立指向控制器的 TLS 連接）方能對其加以利用。

但在斯諾登曝光大量安全問題之后，研究人員已經無法信任單靠物理訪問要求保護的網絡設計方案。

文章中提到的潛在攻擊途徑包括：

? 拒絕服務——惡意交換機可以偽造用于在OpenFlow中認證交換機的數據路徑標識符。

? 隱蔽通信——文章提到“由交換機發送的OpenFlow‘功能應答’消息在本質上直接受到控制器信任”。

研究人員們表示，在未對協議本身（以及眾多第三方軟件）進行更新的情況下，OpenFlow 連接可以通過為交換機提供惟一TLS 證書的方式將交換機 DPID 與控制器列入白名單，并允許控制器驗證 DPID 及其證書。

考慮到最新 OpenFlow 交換機規范的發布也已經是2015年4月的事，于是研究人員與開放網絡基金會取得了聯系，希望了解對方是否有意重新編寫握手協議。

來源：E安全