The previously discussed FlowVisor

The previously discussed FlowVisor [55], which separates the network into disjunct slicesfor controllers to manage, is a viable and practical approach. Although the presentation ofthe software was performed with homogeneous NOX controllers, FlowVisor is theoreticallyagnostic of the controller design due to the standardised OpenFlow communication protocol.It might be feasible to implement diverse controllers as proposed in the threat vector approach (see Figure 4.1). Using distributed controllers for a single FlowVisor network slice itis also possible to integrate further DoS robustness and the Replication aspect. FlowVisor,however, is not able to operate multiple controller types on the same network slice withoutintroducing rule conflicts.The hypervisor proposal CoVisor [108] addresses this problem and specifically focusses onthe deployment of different controller platforms and applications in the network in order toprovide administrators with the ability to select the best network applications and functions.Using detailed access control the modification capabilities of the controllers are limited totheir dedicated purposes. Additionally, administrators can customise the control and topology view of the controller to limit the power of malicious or faulty devices. The project hasbeen published very recently in May 2015. Albeit an feasible concept, a full assessment ofits practicality is not possible yet.If Diversity is present in the network the impact factor of individual vulnerabilities is
significantly reduced. Diversity specifically addresses the Denial of Service threat by reducing
the overall availability of switch and controller bugs to an attacker. The amount of security
holes and the resulting Tampering risk in the software might increase with different controller
types, but a software failure will not affect all network components. If a switch or controller
is incapacitated due to an attack, an immune device could theoretically take over the load in
the network and prevent Denial of Service. Additionally, Elevation of Privilege is limited as
the concurrent devices are restricted to only perform certain actions, as proposed in CoVisor.
It is achievable to utilise the FlowVisor mechanism to construct an architecture as described
in this chapter. However, the lack of current practical implementations impedes a proper
evaluation of the concept. Overall, negligence of controller interoperability and northbound
interface standardisation poses a potential future problem, which is currently circumvented
with the use of application hypervisors.
It might be a matter of debate, if a diverse system is a necessity when designing for security or if a homogeneous approach is not sufficient. In risk assessments such as CVSS [66]
homogeneous systems increase the severity of the environmental risk factor. On the other
hand high diversity might violate the Saltzer & Schroeder [64] principle of keeping the system simple. Many different controllers and switches in the network increase the complexity and
overall fault probability that SDN attempted to solve. A counterargument is the choice of
”best of breed applications” [108] to achieve maximum security and reliability. In summary,
Diversity is currently neglected in SDN and is not mandatory for security, but provides additional reliability, which could work in favour of the network. Nevertheless it is unlikely that
this principle can be fulfilled, as controller interoperability requires the same standardisation
process as the southbound interface. At this moment true diversity is not practical.

Các thảo luận trước FlowVisor [55], tách mạng thành lát bậc hở
cho các bộ điều khiển để quản lý, là một giải pháp khả thi và thiết thực. Mặc dù phần trình bày của
các phần mềm đã được thực hiện với các bộ điều khiển NOX đồng nhất, FlowVisor là về mặt lý thuyết
bất khả tri của thiết kế bộ điều khiển do các giao thức truyền thông OpenFlow chuẩn hóa.
Nó có thể là khả thi để thực hiện bộ điều khiển đa dạng như đề xuất trong phương pháp vector mối đe dọa (xem Hình 4.1). Sử dụng các bộ điều khiển phân phối cho một đơn lát mạng FlowVisor nó
cũng có thể tích hợp thêm vững mạnh DoS và các khía cạnh Replication. FlowVisor,
tuy nhiên, không có khả năng vận hành nhiều loại điều khiển trên cùng một miếng mạng mà không cần
giới thiệu các cuộc xung đột quy luật.
Đề nghị hypervisor CoVisor [108] địa chỉ vấn đề này và đặc biệt focusses về
việc triển khai của các nền tảng điều khiển và ứng dụng khác trong mạng để
cung cấp cho các quản trị viên có khả năng để lựa chọn các ứng dụng mạng tốt nhất và chức năng.
Sử dụng kiểm soát truy cập chi tiết các tính năng sửa đổi của bộ điều khiển được giới hạn cho
các mục đích chuyên dụng của họ. Ngoài ra, các quản trị viên có thể tùy chỉnh các điều khiển và cấu trúc liên kết điểm của bộ điều khiển để hạn chế quyền lực của các thiết bị độc hại hoặc bị lỗi. Dự án này đã
được xuất bản gần đây tháng năm 2015. Tuy có một khái niệm có tính khả thi, đánh giá đầy đủ
thực tiễn của nó là không thể nào.
Nếu đa dạng có mặt trong mạng lưới các yếu tố tác động của lỗ hổng bảo mật cá nhân được
giảm đáng kể. Đa dạng giải quyết cụ thể các mối đe dọa từ chối dịch vụ bằng cách giảm
các khả dụng chung của chuyển đổi và điều khiển lỗi cho những kẻ tấn công. Số lượng an ninh
lỗ và nguy cơ giả mạo kết quả là phần mềm có thể tăng với bộ điều khiển khác nhau
các loại, nhưng một lỗi phần mềm sẽ không ảnh hưởng đến tất cả các thành phần mạng. Nếu một switch hoặc bộ điều khiển
là mất khả năng do một cuộc tấn công, một thiết bị miễn dịch lý thuyết có thể tiến hành tải trong
mạng và ngăn chặn tấn công từ chối dịch vụ. Ngoài ra, Cao Privilege được giới hạn như
các thiết bị đồng thời được giới hạn chỉ có thực hiện hành động nào đó, như đã đề xuất trong CoVisor.
Nó có thể đạt được để sử dụng các cơ chế FlowVisor để xây dựng một kiến trúc như được mô tả
trong chương này. Tuy nhiên, việc thiếu của việc triển khai thực hiện tại cản trở một hợp
đánh giá của các khái niệm. Nhìn chung, do sơ suất của bộ điều khiển khả năng tương tác và hướng bắc
chuẩn giao diện đặt ra một vấn đề trong tương lai tiềm năng, hiện đang được phá vỡ
với việc sử dụng các siêu giám sát ứng dụng.
Nó có thể là một vấn đề của cuộc tranh luận, nếu một hệ thống đa dạng là một điều cần thiết khi thiết kế cho an ninh hoặc nếu một đồng nhất cách tiếp cận là chưa đủ. Trong các đánh giá rủi ro như CVSS [66]
hệ thống đồng nhất tăng mức độ nghiêm trọng của các yếu tố nguy cơ về môi trường. Mặt khác
tay đa dạng cao có thể vi phạm các Saltzer & Schroeder [64] nguyên tắc giữ các hệ thống đơn giản. Nhiều điều khiển khác nhau và chuyển mạch trong mạng tăng sự phức tạp và
lỗi tổng xác suất mà SDN đã cố gắng để giải quyết. Một phản biện là sự lựa chọn của
"tốt nhất của các ứng dụng giống" [108] để đạt được an ninh tối đa và độ tin cậy. Tóm lại,
sự đa dạng hiện đang bị bỏ quên trong SDN và không phải là bắt buộc đối với an ninh, nhưng độ tin cậy cung cấp bổ sung, mà có thể làm việc trong lợi của mạng. Tuy nhiên nó không chắc rằng
nguyên tắc này có thể được thực hiện, như bộ điều khiển khả năng tương tác đòi hỏi các tiêu chuẩn cùng một
quy trình như giao diện hướng Nam. Tại thời điểm này đa dạng đúng là không thực tế.