Software-Defined Networking (SDN) bietet Möglichkeiten, Netzwerke mithilfe eines zentralen Netzwerk-Controllers effizienter und besser zu managen. Viele Unternehmen haben sich bereits aufgrund erhöhter Flexibilität und möglicher Kostenreduzierung für SDN entschieden. Mit der Entwicklung von AutoSec nutzt das Fraunhofer SIT die Vorteile von SDN und integriert neue Schutzmechanismen in SDN-basierte Netzwerke und bindet Endgeräte mit ein.  

Software-Defined Networking (SDN) und Network Functions Virtualization (NFV)

Das SDN-Konzept basiert auf der Trennung der Kontrollschicht (Control Plane) von der Datenschicht (Data Plane): Während ein SDN-Controller (Control Plane) Entscheidungen aufgrund von Weiterleitungsregeln trifft, führen Router, Switche etc. (Data Plane) diese Entscheidungen aus. Diese zwei Schichten kommunizieren mittels Protokollen wie z.B. OpenFlow. Zusätzlich können Hersteller von SDN-Netzwerkkomponenten mit NFV ihren Kunden ein einheitliches Konfigurationsmanagement sowie eine programmierbare zentralisierte Kontrolle über das gesamte Netzwerk anbieten. 

Integration angeschlossener Endgeräte

AutoSec integriert Endgeräte wie Workstations oder Laptops in SDN und NFV, indem es ihre Konfiguration programmierbar macht. Im Fall eines Sicherheitsrisikos, das durch ein Netzwerküberwachungssystem erkannt wurde, ist AutoSec in der Lage, Sicherheitsregeln dynamisch anzuwenden, um Maßnahmen zur Behandlung des Vorfalls auszuführen. Wenn sich zum Beispiel ein Computerwurm innerhalb eines Unternehmensnetzwerks ausbreitet, weist AutoSec die Netzwerkkomponenten an, die Vervielfältigung des Wurms zu verhindern und die betroffenen Clients zu isolieren. Anschließend konfiguriert AutoSec die nicht infizierten Clients neu, um diese gegen den Wurm zu immunisieren.

Dynamische Sicherheit

Um miteinander verbundene Geräte in die Netzwerkschutz-Strategie zu integrieren, setzt AutoSec Managementwerkzeuge zur Systemkonfiguration ein. Abhängig von der jeweiligen Bedrohungssituation in einem Netzwerk, ist AutoSec in der Lage, die folgenden Sicherheitsmechanismen zu aktivieren:

• Verschlüsselung und Integritätsschutz von Netzwerkverbindungen      
• Aktivierung oder Änderung von Firewall-Regeln        
• Einsatz von Malware-Erkennungs- und Beseitigungstools        
• Einsatz von zusätzlichen Netzwerküberwachungswerkzeugen, um detaillierte Angriffsinformationen zu bekommen 
• Individuelle Fernkonfiguration von Geräten und Service

Weitere Features können durch die Geräte- und Netzwerkbetreiber definiert werden. AutoSec befindet sich momentan in der Proof of Concept-Phase. Das Fraunhofer SIT bietet SDN und Data Center-Betreibern, Internet Service Providern, Anbietern von Konfigurationsmanagement-Werkzeugen und Telekommunikationsanbietern an, AutoSec in ihre Produkte, Netzwerke und Services zu integrieren.