Le SDN est une nouvelle technologie qui permet de gérer un réseau informatique d’entreprise grâce à un logiciel appelé contrôleur SDN. Celui-ci centralise toute la gestion de votre réseau, permettant de faire des économies, d’automatiser certaines tâches et de bénéficier d’une grande flexibilité pour suivre l’évolution de vos besoins. Cependant, tous ces avantages ont aussi un revers. Élément central de la gestion de votre réseau informatique, le contrôleur SDN peut aussi en devenir le maillon faible. La sécurité est en effet un véritable défi dans un environnement SDN. Découvrez l’ensemble des menaces qui peuvent planer sur votre réseau SDN, ainsi que des solutions appropriées pour limiter les risques d’attaques.
Pourquoi le SDN pose-t-il des défis en matière de sécurité ?
Les spécificités du modèle SDN
Dans un réseau SDN, un logiciel contrôle l’ensemble des périphériques, des applications et des services réseau. L’architecture SDN repose sur la séparation du plan de contrôle et du plan de données, ainsi que sur la virtualisation. Le logiciel, ou contrôleur SDN, se charge de diriger les flux de données et d’orchestrer le fonctionnement de l’ensemble des périphériques réseau.
Ainsi, l’administrateur réseau n’a plus besoin d’intervenir sur chaque équipement physique. Il peut définir des politiques de routage pour chacun et des règles de sécurité pour l’ensemble du réseau, pour plus d’efficacité et un système plus sûr. Il peut aussi automatiser une partie des tâches d’administration réseau, pour gagner du temps et faire des économies.
Les principaux risques liés à cette architecture
Le modèle SDN repose sur un élément central qui est le contrôleur SDN. C’est donc l’élément critique qui peut, s’il est mal sécurisé, devenir une cible privilégiée pour des pirates informatiques souhaitant vous nuire ou s’infiltrer dans votre réseau à des fins d’espionnage ou de vol de données. Partant de ce constat, il est évident qu’il faut prendre la problématique de la sécurité très au sérieux avec le SDN, car le contrôleur est un point central de défaillance.
De plus, le fonctionnement du SDN utilise des API ouvertes. Ce sont des logiciels permettant d’établir une communication entre le contrôleur réseau et les différents équipements, les applications et les services réseau. Or ces API ont un code source ouvert auquel tout le monde a accès, même les hackers. Si vous ne prenez pas les mesures de sécurité nécessaires, vous risquez de leur laisser la porte grande ouverte !
Enfin, un des atouts du SDN Network est son interopérabilité avec de nombreux systèmes, même les plus anciens. Cependant, du matériel ancien n’est plus toujours mis à jour et peut présenter des failles de sécurité qui ne sont plus corrigées. En le conservant dans votre SDN, vous créez une vulnérabilité.
Les principales menaces de sécurité dans un réseau SDN
Les attaques sur le contrôleur SDN
Comme il est au cœur du réseau SDN, le contrôleur est une cible de choix pour les hackers. En l’attaquant, ils peuvent mettre à mal l’ensemble du système informatique de votre entreprise. Par exemple, une attaque par déni de service ou DDoS avec l’envoi de requêtes en très grand nombre au contrôleur SDN pourrait engendrer une surcharge. Le logiciel ne pourrait alors plus piloter le réseau, ce qui entraînerait une paralysie totale.
Pour éviter ce type d’incident, il est important de prévoir la redondance du contrôleur SDN. Un autre système doit être en mesure de prendre le relais en cas de défaillance de cet élément critique du réseau SDN, pour garantir une haute disponibilité. De plus, il est important de segmenter le réseau pour isoler les parties les plus sensibles et de sécuriser les accès en mettant en place une authentification forte.
Les attaques via les API ouvertes
Les API sont les interfaces de programmation qui permettent au contrôleur d’interagir avec les équipements réseau, les applications et les services réseau. Ces API sont ouvertes, ce qui signifie que leur code est public. Les hackers peuvent ainsi avoir connaissance de leurs défaillances et chercher à les exploiter pour exécuter des commandes malveillantes sur un SDN. Par exemple, un pirate peut profiter d’une vulnérabilité au sein d’une API pour injecter de fausses règles de routage, prendre le contrôle du réseau ou accéder à des données sensibles.
Pour éviter cela, il est important de restreindre l’accès aux API en mettant en place des règles strictes comme l’authentification forte. De plus, le chiffrement des données échangées entre les différents éléments de votre réseau permet d’éviter leur interception et de protéger leur confidentialité. Un monitoring efficace permet aussi, par le contrôle régulier des logs, de détecter les anomalies et les activités suspectes sur le réseau.
Interception du trafic et attaque de type « Man-in-the-Middle »
Un pirate peut profiter de failles dans les protocoles de communication pour espionner les échanges entre le contrôleur SDN et un équipement du réseau comme un hub, chargé de diriger les flux de données. Ainsi, il peut modifier le trafic réseau pour le rediriger vers un serveur piraté en manipulant le protocole OpenFlow.
Aussi, il est impératif de chiffrer les communications entre le contrôleur et les commutateurs à l’aide du protocole TLS. L’installation d’un pare-feu spécifique au SDN permet aussi d’éviter qu’un pirate puisse infiltrer le réseau et commettre une telle attaque.
Intrusions via les hôtes connectés au SDN Network
En plus de s’attaquer au contrôleur du réseau SDN, les pirates s’intéressent aussi à vos équipements réseau. En effet, un périphérique piraté peut servir à prendre le contrôle du SDN. Par exemple, un hôte infecté peut utiliser un exploit Zero-Day, autrement dit une faille encore inconnue dans une API, pour envoyer de fausses requêtes au contrôleur SDN.
Pour éviter ces intrusions, la solution est d’appliquer une segmentation réseau dynamique via le SDN pour isoler les menaces. La mise en place d’un monitoring permet aussi de s’apercevoir de l’existence d’activités anormales sur le réseau.
Les bonnes pratiques pour sécuriser un réseau SDN
Pour optimiser le fonctionnement de votre réseau SDN et garantir une sécurité élevée, voici les bonnes pratiques à adopter.
La sécurisation du contrôleur SDN
Acteur majeur de votre réseau, le contrôleur SDN doit faire l’objet de toutes vos attentions. Tout d’abord, il faut penser à sa redondance pour garantir une haute disponibilité et éviter les points de défaillance. Ensuite, il est important d’en restreindre les accès grâce à un système d’authentification forte comme l’authentification multifacteurs (MFA).
Le chiffrement et l’authentification des communications
De plus, la sécurisation du SDN Network passe obligatoirement par le chiffrement et l’authentification des communications. Le protocole TLS permet de sécuriser efficacement les communications entre le contrôleur SDN et les équipements réseau, en cryptant les échanges. De plus, il est important d’authentifier les périphériques avec des certificats numériques pour s’assurer qu’ils sont bien à l’origine des échanges.
Renforcement de la sécurité des API
Les API peuvent présenter des failles de sécurité et ouvrir la porte à l’intrusion d’un hacker dans votre réseau. D’où l’importance de restreindre l’accès à leurs interfaces en mettant en place une authentification forte. De plus, la mise en place d’un système de surveillance des requêtes API suspectes permettra de s’apercevoir de toute activité anormale sur votre réseau.
Détection et réponse aux intrusions
Enfin, la protection du réseau SDN passe par la prévention et la détection des intrusions. Pour cela, vous pouvez intégrer le SDN avec un SIEM (Security Information and Event Management). De plus, l’installation de firewalls spécifiques aux environnements SDN est indispensable pour contrer les tentatives d’intrusion dans ces réseaux.
Pour conclure, l’architecture d’un réseau SDN pose un certain nombre de défis de sécurité. Point central du réseau, le contrôleur SDN est aussi son composant le plus critique. Il peut subir des attaques directes de hackers souhaitant prendre son contrôle. Ceux-ci peuvent aussi arriver à leurs fins en utilisant les failles dans les API ouvertes, par une attaque Man-In-The-Middle ou en utilisant un périphérique réseau compromis. Aussi, pour garder un réseau SDN sûr et performant, il est indispensable de mettre en place une surveillance continue et de veiller aux mises à jour régulières des protocoles de communication SDN.
Vous souhaitez mettre en place un SDN Network pour optimiser la gestion de votre réseau et bénéficier d’un environnement informatique plus sûr ? CityPassenger vous propose une solution SDN sécurisée et adaptée aux entreprises. Contactez-nous dès maintenant pour obtenir les réponses à toutes vos questions et bénéficier d’une étude et d’un devis sur mesure.
City passenger est expert en solutions de connectivité et de sécurité managées pour les réseaux d’entreprise, comme la mise en place d’un pare-feu managé, une architecture SD-WAN ou encore un Wifi managé pour libérer les entreprises des contraintes techniques tout en améliorant leur connectivité et leur sécurité.
Citypassenger est votre partenaire pour protéger votre réseau d'entreprise des Cybermenaces !
Citypassenger vous accompagne dans le déploiement de solutions réseau performantes.
Bruno DUVAL
CEO Citypassenger
Nous fournissons des outils managés pour la gestion de vos besoins de connectivité digitale
