Autor: Stefan Achleitner;
Aufmacherbild: Charles Rondeau via www.publicdomainpictures.net, Public Domain
Eine Schlüsseltechnologie für die nächste Generation von Computernetzwerken ist Software Defined Networking, oder kurz SDN. Sie macht Computernetzwerke und ihr Verhalten programmierbar. Statt bislang vor allem auf Hardware wie Router oder Switches zu setzen, werden Netzwerkressourcen virtualisiert. Aus der klassischen Hardware-Anwendung „Vernetzung“ wird somit eine Software-Anwendung. Dies ermöglicht eine Vielzahl neuer Applikationen und Optimierungen von Netzwerken, da diese nun dynamisch programmiert werden können. Allerdings gibt es noch einige Probleme zu lösen, an denen die Netzwerkforschung bereits mit Hochdruck arbeitet.
Der Siegeszug von Technologien wie Network Function Virtualization (NFV) oder Software Defined Networking (SDN) hat mehrere Gründe: Zum einen erlauben sie einen flexibleren und leistungsoptimierten Transport von Daten über ein Computernetzwerk.
Zum anderen gibt es aber auch einen wirtschaftlichen Hintergrund: Da die Preise klassischer Netzwerk-Hardware einem drastischen Verfall unterliegen, brechen etablierten Konzerne wie Cisco, Ericsson oder Huawei ihre traditionellen Geschäftsfelder nach und nach weg. Dies bringt sie in Zugzwang, neue und innovative Platformen zu entwickeln.
Diese Entwicklung ermöglicht es aber gleichzeitig jungen Start-Up-Unternehmen, innovative Lösungen anzubieten und mit Großkonzernen zu konkurrieren. Deshalb bietet der Trend zu Software Defined Networking auch neuen Playern die Chance, den Markt zu verändern oder etablierte Konkurrenten zu überflügeln.
So funktioniert Software Defined Networking
Worum geht es bei dieser Entwicklung genau? In einem traditionellen Computernetzwerk werden Datenpakete von Routern oder Switches basierend auf ihren Adressen, den MAC- oder IP-Adressen, weitergeleitet. Dabei finden die Kontrolle der Weiterleitung („Control-Plane“) und der eigentliche Datentransport („Data Plane“) auf ein und derselben Ebene statt.
Bei Software Defined Networking werden diese beiden Ebenen voneinander gelöst. Die Kontrollebene oder „Control Plane“ wird dabei virtualisiert und auf einen eigenen Server ausgelagert. Dieser Server, der auch als „Controller“ bezeichnet wird, führt nun spezialisierte Software aus, die der Transportebene oder „Data Plane“ mitteilt, wie genau die Datenpakete im Netzwerk behandelt und gesteuert werden sollen.
Im Vergleich zu traditionellen Netzwerken, wo die Hardware den Datentransport quasi „mechanisch“ abarbeitet, wird ein auf Software Defined Networking basierendes Netz intelligenter. Es kann dann zum Beispiel sehr schnell auf verändernde Bedingungen reagieren. Deshalb spielt SDN eine große Rolle für das Internet of Things sowie künftige „Ad hoc“-Netzwerke mobiler Endgeräte. In beiden Szenarien kann Software Defined Networking den Datenfluss optimieren und somit zur Steigerung der Datengeschwindigkeit beitragen.
Die folgende rund 9-minütige Videoerklärung der Firma Brocade vermittelt die Konzepte Software Defined Networking (SDN) und Network Function Virtualization (NFV) sehr anschaulich:
Etwas werblicher, aber dafür mit rund 2 Minuten kurz und knackig erklärt AT&T das Grundprinzip in diesem englischsprachigen Video:
Das offene Transport-Protokoll OpenFlow
Ein wichtiger Aspekt von Software Defined Networking ist die Übermittlung der Transport-Regeln zwischen Control Plane und Data Plane. Das zur Zeit am weitesten verbreitete Verfahren ist das Open-Source-Protokoll „OpenFlow“. Obwohl OpenFlow ein offenes Protokoll ist, sind viele Branchengrößen an seiner Entwicklung beteiligt, und viele moderne, SDN-kompatible Netzwerkeinheiten basieren darauf.
OpenFlow ermöglicht es, Datenpakete in einem SDN-basierten Netzwerk anhand einer Reihe von Eigenschaften wie IP-Adressen oder Port-Nummern zu identifizieren und auf diese Pakete bestimmte Aktionen anzuwenden. Solche Aktionen können ein Paket einfach weiterleiten, aber auch bestimmte Daten wie etwa IP-Adressen dynamisch verändern. Dies ermöglicht die Implementierung virtueller Netzwerke oder innovativer Sicherheitsmechanismen.
Allerdings ist Sicherheit auch ein wichtiger Aspekt dieser neuen Technologie. Denn bei allen bisher beschriebenen Vorteilen bietet SDN Cyber-Kriminellen auch neue Angriffsmöglichkeiten. Wer sich Zugriff auf die Control Plane verschaffen kann, kann den gesamten Netzwerkverkehr in seinem Sinne steuern, umleiten oder verändern. Daher sind gerade sicherheitsrelevante Fragen derzeit ein besonders heißes Thema in der IT-Forschung.
Innovative Sicherheitslösungen mit SDN
Erfreulicherweise bietet gerade die dynamische Programmierbarkeit von SDN-basierten Netzwerkelementen auch die Möglichkeit, innovative Sicherheitsmechanismen zu implementieren.
In traditionellen Computernetzen werden Firewalls oder Access-Control-Listen am Rand des Netzwerks installiert, um ankommende Datenverbindungen zu filtern. Software Defined Networking ermöglicht die Platzierung solcher Kontrollmechanismen direkt in der Control Plane – und zwar mit erhöhter Granularität, um einzelne Bereiche des Netzwerks gezielt überwachen zu können.
Darüber hinaus bietet SDN auch die Grundlage für die Entwicklung neuartiger Sicherheitslösungen. So führt Schadsoftware wie Viren oder Würmer, die sich über Netzwerke verbreiten, vor den eigentlichen Angriffen oftmals einen Scan des Netzwerkes durch, um mögliche Ziele zu identifizieren und auszuspionieren. In einem SDN-basierten Netzwerk kann eine spezielle Software in der Control Plane solche Scan-Vorgänge identifizieren und ihren Initiator gezielt mit falschen Informationen versorgen. So wird eine Umleitung von Angriffen auf so genannte „Honeypots“ möglich – eine Art „Dummy-Server“, auf dem der Angriff keinen Schaden anrichtet und der die echten Server somit davor schützt.
Können bei so einem Vorgang genügend Daten über den Angreifer gesammelt werden, ist es auch möglich, die Quelle der bösartigen Datenpakete zu identifizieren und weitere Schritte zur Netzverteidigung einzuleiten.
Zentrale Sicht aufs Netzwerk
Neben der Programmierbarkeit von Netzwerken durch Software Defined Networking ist die zentrale Ansicht der SDN-Kontrolleinheit über das Netzwerk ein integraler Bestandteil und großer Vorteil dieser Technologie. Die Control Plane kann so Entscheidungen, über welche Verbindungen bestimmte Datenflüsse geleitet warden, unter Berücksichtigung des aktuellen Netzwerkstatus getroffen werden. So können Datenströme zum Beispiel um hochbelastete Verbindungen oder Server herumgeleitet werden, was die Effizienz und Geschwindigkeit eines Netzes steigern kann. Aus Sicht des gesamten Netzwerks werden so immer optimale Routing-Entscheidungen getroffen.
Vor allem in Serverfarmen und Datencentern oder bei der Implementierung des nächsten Mobilfunktstandards 5G wird SDN so zu einer großen Geschwindigkeits- und Effizienzsteigerung führen.
Wird das Prinzip SDN in sehr großen, zusammenhängenden Netzen eingesetzt, macht dies allerdings den Einsatz von verteilten Kontrolleinheiten notwendig – und diese Kontrolleinheiten müssen ihrerseits miteinander kommunizieren. Die erforderliche Synchronisation von mehreren verteilten Kontrolleinheiten stellt noch ein offenes Problem in der aktuellen Netzwerkforschung dar. Denn vor allem die gleichzeitige Umprogrammierung von mehreren Netzwerkelementen kann zu einem inkonsistenten Netzwerkstatus führen und könnte sogar spontan Sicherheitslücken öffnen.
An diesen Fragen arbeiten Hochschulen weltweit. Führend in den USA sind etwa das Institute for Networking and Security Research der Penn State Unversity, das Department fuer Computer Science and Engineering der Princeton University sowie die Fakultät Electrical Engineering an der renommierten kalifornischen Standford University. In Europa ist das Centre for Wireless Communication (CWC) an der University of Oulu, Finland in der SDN-Forschung sehr aktiv, aber auch der Fachbereich Informatik an der Universität Stuttgart, der Lehrstuhl für Kommunikationsnetze an der TU München und viele weitere.
Ein führender Player im Bereich SDN ist darüberhinaus das US-Start-Up Big Switch Networks aus Santa Clara. Daneben arbeiten auch die Forschungs- und Entwicklungs-Abteilungen von Branchengrößen wie Cisco, Ericsson oder Brocade an dieser spannenden und zukunftsträchtigen Schlüsseltechnologie.