Está en la página 1de 6

Redes definidas por software (SDN)

Resolucion de vulnerabilidades
Eddy Wilmer Canaza Tito Luis Fernando Yana Espinoza
Facultad de Ingeniera de Sistemas y Facultad de Ingeniera de Sistemas y
Electronica Electronica
Universidad Tecnologica del Peru Universidad Tecnologica del Peru
1313497@utp.edu.pe 1313525@utp.edu.pe

Abstract fueron agregados, de acuerdo a las necesidades que


surgieron a lo largo del tiempo. Esa arquitectura
La idea de las Redes Definidas por Software de redes, a pesar de atender a las necesidades ac-
(SDN) es proporcionar una configuracion mas efi- tuales, se volvio muy compleja, y de cierta manera,
ciente de mejor rendimiento y mayor flexibilidad, poco flexible para continuar evolucionando a la ve-
en este documento se examina las vulnerabilidades locidad del surgimiento de nuevas aplicaciones que
de esta tecnologa y como la misma las resuelve. imaginamos para un futuro proximo. En otras pal-
Este artculo tambien abordara temas como abras, a pesar de que la arquitectura de redes actual
definicion, arquitectura, modelos y estrategias de es bastante resistente, aparentemente, no es lo sufi-
seguridad de las SDN. cientemente escalable para las futuras necesidades.
Como respuesta a este desafo, diversos play-
ers del sector de telecomunicaciones y tecnologa
1. Introduccion de la informacion, como fabricantes, investi-
gadores y entidades de empadronamiento, em-
El mercado de telecomunicaciones y tec- pezaron a trabajar en una nueva arquitectura de
nologa de la informacion esta pasando por un mo- redes, basada en patrones abiertos, significativa-
mento de gran transformacion. El crecimiento ex- mente menos complejos, mas flexible, mas efi-
plosivo del uso de dispositivos moviles y de las re- ciente y potencialmente mas baratos. El resultado
des sociales, la adopcion cada vez mas frecuente de ese trabajo es lo que llamamos redes definidas
de computacion en nube y, en un futuro proximo, por softwares o, en ingles, SDN (Software Defined
el uso masivo de sensores inteligentes en los mas Networks).
variados dispositivos, conectando practicamente
cualquier cosa a la red (creando la llamada Inter- 2. Definicion
net de las Cosas o IoT (Internet of Everything),
han proporcionado nuevas oportunidades de nego- La red definida por software (SDN) es una
cios. Sin embargo, al mismo tiempo, ha trado arquitectura de red muy diferente a las conven-
enormes desafos a los profesionales de telecomu- cionales, esta gran diferencia se da en que una
nicaciones y tecnologa de informacion. As, y en- red basada en SDN puede ser programable desde
tre los principales desafos, esta la modernizacion un centro de inteligencia en el cual se encon-
de las redes de telecomunicaciones. traran todas las reglas de trabajo que predominan
La arquitectura actual es esencialmente basada en la red. Con este modelo de red podemos agre-
en conceptos que nacieron en la decada de 1950. gar nuevas reglas de trabajo facilmente e incluso
A partir de ah, diversos protocolos y componentes en tiempo real, la administracion de la misma re-
sulta sencilla debido a que toda la configuracion
esta centralizada y no es necesario configurar cada
router.
La red definida por software (SDN) es un
nuevo enfoque a las redes que tiene el potencial
para permitir la innovacion constante de la red
y activar la red como un componente conectable
y programable de la mayor infraestructura en la
nube..
Algo muy importante que resaltar en SDN es
que es programable y centralizada, esto nos brinda
la facilidad de poder tener una vision y control
global de toda la red, independientemente del ISP.

3. Arquitectura

3.1. Capa de infraestructura Figure 1. Arquitectura de SDN

En esta capa estan los dispositivos que com-


ponen la red (switches, routers, etc), esta arquitec-
tura es diferente a las comunes ya que las instruc- el modelo basico de SDN. El enfoque central-
ciones para el comportamiento de la red estan en izado simplifica la administracion de flujos com-
los routers, en cambio, en SDN, las reglas de com- plejos que estan relacionados con aplicaciones es-
portamiento estan en la Capa de control. pecficas, permite que las colas de prioridad se
ajusten alrededor de un solo tipo de informacion,
3.2. Capa de control por ejemplo, datos de voz a traves del trafico de
navegacion web. La gran desventaja que pre-
Esta capa configura la capa de infraestruc- senta este modelo es que, si se presenta un crec-
tura basandose en las peticiones de servicio que imiento exponencial en la red, el controlador nece-
provienen de la capa de aplicacion, esta capa es- sitara sistemas poderosos con CPUs mas potentes,
pecifica como funcionaran los conmutadores en la mayor almacenamiento y una infraestructura mas
capa de infraestructura. resistente lo que conlleva a una costosa inversion,
por lo tanto, este modelo frente a una red gigante
3.3. Capa de aplicacion resulta en un modelo costoso y complejo.

Aqu se encuentran las necesidades de ancho 4.2. Modelo Distribuido


de banda de las aplicaciones que usa la empresa
(nube, administracion, etc), estas necesidades son Este modelo usa a los componentes de la capa
las que solicitan el servicio a la capa de control. de infraestructura como controladores o agentes,
estos eliminan parte de la carga centralizada.
Gracias a esta caracterstica, el procesamiento y
4. Modelos SDN
manejo de peticiones se realiza con mas rapi-
dez ya que se evita que cada peticion sea con-
4.1. Modelo Centralizado sultada al controlador central, por ejemplo, un
switch SDN frente a la cada de un enlace podra
Existe un solo controlador que realiza la con- tomar la decision de escoger otra ruta alterna-
figuracion en la capa de infraestructura, este es tiva para poder enviar la informacion sin necesi-
Figure 2. Arquitectura de Modelo Centralizado Figure 3. Arquitectura de Modelo Distribuido

complejo. En una SDN hbrida, el enfoque ideal


dad de recurrir al controlador, solo se le notifica
es tener polticas estrictas respeto a ciertas aplica-
del error ocurrido y se continua enviando paque-
ciones para un mayor control y polticas flexibles
tes. Esta tecnica tambien aplica para las redes
para una mayor agilidad y procesamiento. Este
inalambricas, por ejemplo, en una WLAN, los Ac-
enfoque permite definir polticas manejables, se
ces Point pueden responder a las solicitudes que re-
puede empezar de manera local y mientras la red
quieren una respuesta rapida, las que necesitan un
incrementa, se pueden aplicar polticas a nuevos
procesamiento mas complejo son enviadas al con-
componentes de red, por ejemplo, podemos pri-
trol central de la red inalambrica para que sean ges-
orizar de manera general al trafico de voz, pero si
tionados. La principal ventaja que poseen las SDN
se desea que el trafico de video tome prioridad, se
distribuidas es que los elementos de red tienen un
puede definir la priorizacion de video por una ruta
mejor rendimiento debido a la presencia del agente
especifica ya que podemos contar con multiples
por lo que el procesamiento de datos es mas rapido,
rutas a distintos controladores, de esta manera no
su desventaja se presenta en la flexibilidad ya que,
abarcamos toda la red.
si tenemos una red que pasara a ser una SDN, to-
dos los dispositivos que se tienen en la capa de in-
fraestructura deben ser del mismo fabricante para Sabiendo de que trata SDN y como funciona, va-
que sean compatibles. mos a resaltar la vulnerabilidad que para nosotros
es la que mas cuidado debe tener.
4.3. Modelo Hbrido
5. Inteligencia centralizada
Este modelo junta las caractersticas de los
modelos centralizado y distribuido. Se presenta Si bien esta arquitectura depende de una in-
un gestor centralizado con varios controladores teligencia centralizada, mas alla de ser una ventaja
y cada uno de ellos maneja varios elementos de tambien se convierte en un gran riesgo ya que si
red. Definir polticas es clave para cualquier red, un hacker intenta atacar a nuestra red y logra pen-
y cumplir con los requisitos de una aplicacion etrarla, este invitado no deseado tendra el control
a traves de una red de gran tamano, es muy absoluto de la red.
de ataques que se observan con frecuencia en la
actualidad.

6. Uso de SDN para el monitoreo de la se-


guridad y el analisis de paquetes

Para poder evitar los ataques informaticos es


necesario controlar los paquetes que viajan por la
red, para esto existen dispositivos que pueden ser
programables para SDN. Fabricantes como IBM,
Juniper, HP y Arista Networks poseen switches
que pueden ser utilizados para tomar el lugar de
agentes de paquetes.
Un gran numero de conexiones y flujos indi-
viduales pueden ser agregados y enviados colecti-
vamente a multiples plataformas de analisis y cap-
tura de paquetes de seguridad. Una primera capa
Figure 4. Arquitectura de Modelo Hbrido
de interruptores podra ser utilizado para la captura
y el enrutamiento de paquetes, mientras que una
segunda capa (y potencialmente una tercera) se uti-
Debemos tener en cuenta que SDN sale a bril-
lizara para terminar el monitoreo de los puertos de
lar mas en redes empresariales ya que estas re-
la primera capa. Estos switches tambien podran
des son de gran tamano, por lo tanto, si una red
agregar potencialmente trafico y enviar el flujo de
es grande significa que habra una gran cantidad
datos y estadsticas a otros dispositivos de control
de datos viajando por toda la red y si esta red es
y plataformas.
hackeada, habra una gran perdida de informacion
afectando mucho a la confidencialidad de la em- Big Switch Controller es un controlador SDN
presa. Se debe tener un buen control de los paque- compatible con OpenFlow, este se puede utilizar
tes que viajan por medio de toda la red, debemos para programar y gestionar varios switches com-
inspeccionar cada paquete para asegurarnos de que patibles con SDN. Mientras tanto, el monitoreo de
todo anda bien dentro de la red. la seguridad que se superpone a productos de soft-
ware, como Big Switch de Big Tap, este les permite
A mediados del ano 2013 Microsoft revelo
a los administradores de la red poder programar fil-
que internamente esta utilizando una plataforma de
tros mas granulares y capacidades de asignacion de
agregacion de redes basada en OpenFlow, desar-
puertos para emular la funcionalidad tradicional de
rollada por la misma compana denominado DE-
apertura o cierre del flujo en los interruptores SDN.
MON (Distributed Monitoring Ethernet). DEMON
tiene como objetivo hacer frente al gran volumen
de trafico en la red de la nube de Microsoft. An- 7. Estrategias de seguridad de SDN para la
teriormente, los miles de conexiones y flujos in- prevencion de ataques a la red
dividuales eran demasiado para ser administrados
por los mecanismos tradicionales de captura como SDN nos brinda una vista global de la red y
SPAN o puertos espejo. tambien en los entornos mas complejos. Como
resultado, los controladores y los interruptores
Mediante la programacion de conmutadores
son capaces de identificar los diversos atributos
flexibles y otros dispositivos de red para actuar
de paquetes. Con esto podemos bloquear au-
como plataformas de intercepcion de paquetes y
tomaticamente la descarga de trafico en ataques de
redireccionamiento, los equipos de seguridad po-
denegacion de servicio, por ejemplo, ataques DoS.
tencialmente pueden detectar y mitigar una serie
En efecto, SDN puede detener muchos ataques in- 8. Desafos de seguridad
cluyendo los siguientes ataques:
La seguridad, como en todo tipo de redes, es
7.1. Ataques volumetricos (inundaciones SYN) un aspecto crucial en redes SDN, para proteger la
disponibilidad, integridad y privacidad de la infor-
Estos ataques se dan por medio de grandes macion que transporta. La seguridad en estas re-
cantidades de paquetes TCP con solicitudes SYN des, aunque existen enfoques competentes, todava
llenando al servidor con muchas peticiones SYN. esta en juego, ya que estos enfoques no convergen
Esto puede obstruir el ancho de banda, as como en una idea comun. En la arquitectura, hay varios
rellenar las colas de conexion en sistemas con- elementos que deben ser protegidos y acciones a
cretos que pueden tenerse en cuenta. Los inter- llevar a cabo:
ruptores programados para SDN pueden ser ca-
paces de actuar como primera lnea de defensa en Asegurar y proteger el controlador: De-
la identificacion de patrones particulares y en um- bido a que es el centro de control y decision de
brales de volumen de paquetes de una sola fuente la red, debe ser cuidadosamente controlado.
o varias fuentes dentro de un plazo determinado. Ademas, si se produce por ejemplo un ataque
La mayora de los routers carecen de este nivel de DDoS al controlador y cae vctima de este, la
control granular. red cae con el, por lo que debe estar protegido
con los mecanismos de seguridad necesarios
7.2. Ataques a aplicaciones y servicios es-
para afianzar su disponibilidad contnua.
pecficos
Privacidad e integridad: La proteccion de
Estos ataques se dirigen a servicios web con las comunicaciones en la red es crtica, por lo
series de peticiones HTTP muy particulares (us- que se debe asegurar el controlador, las apli-
ando cadenas especficas de agentes de usuarios caciones que carga y los dispositivos de red
con variables especficas de cookies y similares). que gestiona y autenticar, estableciendo unos
Los dispositivos SDN pueden identificar, registrar mecanismos que permitan que son quien di-
y descartar estas peticiones. cen ser y ademas funcionan correctamente.

7.3. Ataques DDoS enfocados contra el com- Crear un framework de poltica robusto:
portamiento del protocolo Es necesario estar seguro de que el contro-
lador (y demas dispositivos) estan haciendo
Estos ataques llenan las tablas de estado de los lo que queremos que hagan, por lo que habra
dispositivos de la red, pero los dispositivos SDN que realizar comprobaciones contnuas de los
pueden identificar este comportamiento basado en sistemas en general.
el tiempo de flujo y los lmites de conexion.

Algo particular que tiene SDN es la capacidad de Llevar a cabo analisis forenses de la red:
emular muchas de las funciones de un firewall, el Para poder determinar, en caso de un ataque,
controlador puede ejecutar scripts y comandos para quien lo realizo, reportarlo y proteger la red
actualizar instantaneamente las direcciones MAC, de cara al fut
IP y el filtrado de puertos, esto nos permite la
adaptacion a nuevas reglas de trabajo que pueden 9. Conclusiones
ser agregadas o actualizadas en el centro de in-
teligencia. Las soluciones de redes definidas por software
(SDN) permiten aumentar la agilidad, simplificar
las operaciones y reducir los costos.
A pesar que este paradigma esta en proceso
de aceptacion, la migracion a arquitecturas SDN
es algo inevitable, solo queda esperar que gob-
iernos, instituciones, empresas y usuarios adopten
esta tecnologa.
Los problemas que conlleva la incorporacion
de una nueva tecnologa a la administracion de una
red de computadoras se logra resolver cuando este
es pone en uso y va madurando con el pasar de los
anos; sin duda, las Redes Definidas por Software
son el futuro del networking.

References

[1] A. Nunez, Red definida por software SDN en base a


una infraestructura de software de libre distribucion,
Tesis de pregrado, Universidad Catolica de Pereira,
Pereira, Colombia, 2014.
[2] P. Murillo, Analisis y evaluacion de las redes definidas
por software, Tesis de pregrado, Universidad de Ex-
tremadura Centro Universitario de Merida, Merida,
Espana, 2015.
[3] A. Ruz, Estado de arte: Redes definidas por software
(SDN), Tesis de pregrado, Universidad Tecnica de Am-
bato, Amabato, Ecuador, 2015.
[4] Wikipedia, la enciclopedia libre, Redes definida
por software. Recuperado Mayo 2016. Disponible:
es.wikipedia.org/wiki/Redes definidas por software
[5] J. Armada, SDN: un cambio superficial?, enRoute,
vol. 23, pp. 2, Nov. 2013.
[6] Logicalis, SDN: Como el nuevo universo trazado por
las redes definidas por software impactara en los nego-
cios, advisor, pp. 2-15, Jun. 2014.