每年8月安全專業(yè)人員都會期待黑帽大會和DEF CON安全會議上展現(xiàn)的研究結果。這些會議是了解最新攻擊趨勢、漏洞和漏洞利用的最佳場所，今年的黑帽大會上，軟件定義網(wǎng)絡成為安全研究人員的焦點。

Hellfire Security公司的Gregory Picket在黑帽大會中揭露了對開放網(wǎng)絡安裝環(huán)境(ONIE)的漏洞利用，ONIE是基于Linux，它用于在白盒交換機中啟動基礎操作系統(tǒng)以恢復更強大的網(wǎng)絡操作系統(tǒng)。通過ONIE，交換機可以啟動和恢復Big Switch Networks、Cumulus Networks等供應商的網(wǎng)絡操作系統(tǒng)。

 [[146501]]

于此同時，Picket解釋了如何利用ONIE的一些缺陷，包括缺乏身份驗證和加密，至少有一個網(wǎng)絡供應商已經(jīng)知道這些缺陷功能。Big Switch公司首席技術官Rob Sherwood最近發(fā)布了博客文章，其中介紹了應對ONIE中缺陷問題的安全方法。Rob討論了Big Switch硬件如何利用管理網(wǎng)絡端口來通過ONIE加載其網(wǎng)絡操作系統(tǒng)。

目前利用設備固件和預重啟環(huán)境是流行的攻擊方式，對于攻擊者而言，在操作系統(tǒng)完全加載之前能夠插入惡意代碼是非常有吸引力的做法。操作系統(tǒng)級安全軟件無法在預重啟環(huán)境中運行，固件被軟件的幾乎所有其他部分認為是已知/良好的組件，在這個地方引入攻擊媒介可以讓攻擊持續(xù)，繼續(xù)整個系統(tǒng)重裝或升級。

即使檢測到攻擊，企業(yè)不太可能會考慮更換硬件來完全移除攻擊，而這在白盒環(huán)境更加可行，因為成本更低。

ONIE的安全問題源自于其需要加速發(fā)展以緊跟軟件定義網(wǎng)絡的步伐。ONIE是很好的軟件，它允許白盒交換機自由地啟動多個網(wǎng)絡操作系統(tǒng)，它讓企業(yè)可以簡單地測試白盒環(huán)境，而不需要復雜的軟件加載過程。ONIE讓白盒交換機快速啟動和運行，讓專業(yè)人士專注于配置。

在白盒交換機開發(fā)周期中，添加關鍵功能來與商用網(wǎng)絡交換機競爭，可以控制潛在安全問題。如果消費者愿意因為特定功能集而選擇具有SDN網(wǎng)絡操作系統(tǒng)的白盒交換機，開發(fā)團隊會愿意花時間來編寫這些功能。

對于ONIE安全問題的擔憂并不會持續(xù)太久。根據(jù)Sherwood表示，現(xiàn)在已經(jīng)在開始開發(fā)增強版的ONIE，其中將會為引導程序和操作系統(tǒng)軟件引入校驗和驗證。這個新的安全版本肯定會增加身份驗證和系統(tǒng)強化來防止Pickett展示的這種漏洞利用。

軟件定義網(wǎng)絡也會有安全挑戰(zhàn)，讓軟件定義網(wǎng)絡與眾不同之處是軟件的快速開發(fā)周期，以及缺乏特定專有硬件的支持。白盒交換機具有共同架構，這有助于快速軟件開發(fā)，這意味著安全問題可以迅速修復，并在幾個發(fā)布周期中最終得到緩解，這可能是幾周，而不是幾個月或者幾年，

網(wǎng)絡總是會有安全挑戰(zhàn)，但SDN將幫助網(wǎng)絡專業(yè)人員更快速地解決這些挑戰(zhàn)。