Comparacin entre un Firewall de Hardware y
un Firewall basado en SDN-OpenFlow
Bernardo Cuervo Bentez
Maestra en Ingeniera de Sistemas y Computacin
Universidad Tecnolgica de Pereira
bcuervo@utp.edu.co
Resumen Este artculo compara las caractersticas entre un
firewall convencional de hardware y un firewall implementado
en SDN y OpenFlow. Software-Defined Networking (SDN) es
una arquitectura de red emergente la cual se caracteriza por ser
dinmica, flexible, de fcil manejo, rentable y adaptable. Esta
arquitectura desacopla el control de la red de los datos y
permite una mayor efectividad en el uso de los recursos que en
una red convencional. El protocolo OpenFlow es un
elemento fundamental para la construccin de soluciones
SDN.
Abstract This paper compare the features between a
hardware firewall and SDN-OpenFlow-based Firewall.
Software-Defined Networking (SDN) is an emerging
architecture that is dynamic, manageable, cost-effective,
and adaptable. This architecture decouples the network
control and forwarding functions enabling the network
control to become directly programmable and the
underlying infrastructure to be abstracted for applications
and network services. The OpenFlow protocol is a
foundational element for building SDN solutions.
ndice de TrminosFirewall, NetFPGA, OpenFlow
Protocol, Software Defined Networking, Seguridad.
I. INTRODUCCIN
Un cortafuegos (Firewall) es un dispositivo de hardware o
software que permite gestionar y filtrar la totalidad de trfico
entrante y saliente que hay entre dos redes, una red protegida
(interna) y una red insegura (externa o internet), o equipos de
una misma red. El firewall est diseado para bloquear el
acceso no autorizado, permitiendo comunicaciones
autorizadas. Un firewall por hardware puede proteger una red
completa o un simple PC, mientras que un firewall por
software solo puede proteger un Pc.
Bsicamente el firewall es un filtro que hace cumplir las
polticas de seguridad de la red, indicando que hacer ante
diferentes tipos de trfico y proteger la red de ataques
externos. Se puede hacer una analoga del firewall con la
seguridad en la frontera entre dos pases, en la cual se controla
la entrada y salida de personas.
Con el crecimiento del acceso a internet, tambin aumentan
las amenazas a las redes empresariales. Segn un informe
1
elaborado por la organizacin de seguridad informtica
estadounidense FireEye, identifica que 98% de las empresas
nacionales son objeto de ataques informticos
permanentemente y lo que es ms grave, ante el aviso de fallas
y acciones de hackers (pirata informtico), los mayora de los
responsables de estas firmas no se dan cuenta. Los sectores
ms atacados son gobierno, educacin, servicios y consultora,
alta tecnologa y finanzas. Los tipos de ataques ms frecuentes
son va web o por correo electrnico.
Un estudio realizado por la firma Kaspersky en el ao 2012
denominado Estudio Global sobre la Seguridad TI
Empresarial, que consult a 3.300 empresas en 22 pases,
encontr que el 68% de las compaas de Latinoamrica
fueron vctimas de virus, gusanos, spyware (programa que
recopila informacin y la transmite a una entidad externa sin
el conocimiento del propietario del equipo) y otros programas
maliciosos en los ltimos 12 meses. Globalmente, el 63% de
las empresas pequeas y el 60% de las medianas admitieron
que sufrieron un ataque. Las grandes empresas, por su parte,
son el blanco de ataques dirigidos como el ciberespionaje,
phishing (suplantacin de identidad) y ataques de denegacin
de servicios.
Las necesidades de un firewall son ms evidentes ahora que la
nube es una prioridad y las aplicaciones son ms variadas.
Segn un estudio de HP, el 84% de las vulnerabilidades
ocurren al nivel de la aplicacin. Es un ejemplo perfecto de
cmo los atacantes van evolucionando para aprovechar las
partes del sistema ms vulnerables.
II. IPTABLES
Es una herramienta firewall que permite no solamente filtrar
paquetes, sino tambin realizar traduccin de direcciones de
red (NAT) para IPv4 o mantener registros de log. El proyecto
Netfilter no slo ofrece componentes disponibles como
mdulos del ncleo sino que tambin ofrece herramientas de
espacio de usuario y libreras.
Netfilter es un framework disponible en el ncleo Linux que
permite interceptar y manipular paquetes de red. Dicho
framework permite realizar el manejo de paquetes en
diferentes estados del procesamiento. Netfilter es tambin el
nombre que recibe el proyecto que se encarga de ofrecer
herramientas libres para cortafuegos basados en Linux.
 III. COMPARACIN ENTRE UN FIREWALL FSICO
(HARDWARE) Y UN FIREWALL BASADO EN SDN Y OPENFLOW
Los firewall de ayer estn perdiendo la capacidad defensiva
frente a las amenazas actuales. Dada la proliferacin de
ataques web, la sofisticacin del malware (tipo de software
que tiene como objetivo infiltrarse o daar un equipo de
cmputo o un sistema de informacin sin el consentimiento de
su propietario) que usa protocolos de alto volumen y el riesgo
cada vez mayor de filtraciones, se necesitan soluciones de
filtrado para redes que estn a la altura.
Figura 1. Firewall por hardware
Incluso con las caractersticas ms avanzadas y con el mayor
rendimiento nunca antes logrado, los firewalls estn sufriendo
una crisis de identidad. Las amenazas estn cambiando
rpidamente y el filtrado tradicional basado en puertos,
direcciones IP y contenido ya no es suficiente para detenerlas.
Los firewalls han evolucionado en trminos de complejidad y
efectividad, a tal punto de ser prcticamente imprescindibles
para cualquier red informtica.
Un sistema firewall contiene un conjunto de reglas
predefinidas que permiten:
* Autorizar una conexin (allow);
* Bloquear una conexin (deny);
* Redireccionar un pedido de conexin sin avisar al emisor
(drop).
El conjunto de estas reglas permite instalar un mtodo de
filtracin dependiente de la poltica de seguridad adoptada por
la organizacin. Se distinguen habitualmente dos tipos de
polticas de seguridad que permiten:
- Permitir nicamente las comunicaciones autorizadas
explcitamente: "Todo lo que no es autorizado explcitamente
est prohibido".
- Impedir cualquier comunicacin que fue explcitamente
prohibida.
El primer mtodo es el ms seguro, pero requiere de una
definicin precisa de las necesidades de comunicacin de toda
la red.
2
Varios dispositivos de red como switches, routers, firewalls,
bandwidth manages, load balancers, y proxies fueron creados
con un propsito especfico. La lgica de estos de estos
dispositivos es desconocida y los fabricantes dejan solo unos
pocos parmetros de configuracin a los usuarios finales.
Su funcionalidad es muy rgida y limitada, de acuerdo a las
cabeceras acepta o deniega el trfico. Permiten la gestin
contenido, as como el uso de expresiones regulares. Tambin
se pueden agregar listas negras de sitios restringidos.
El firewall se encarga de denegar o permitir las diferentes
conexiones que pasan a travs de l, ya sea de dentro a fuera o
de fuera a dentro. Para hacer esto deberemos especificar 4
cosas:
-IP de origen
-IP de destino
-Tipo de paquete.
-Puerto a travs del cual entrara el paquete.
Un firewall funciona definiendo una serie de autorizaciones
para la comunicacin, tanto de entrada como de salida,
mediante reglas. Estas reglas se pueden definir teniendo en
cuenta los puertos de comunicacin, los programas o la IPs de
conexin. Estas reglas pueden ser tanto restrictivas como
permisivas, es decir, pueden ser reglas que denieguen o
autoricen las comunicaciones a un determinado puerto,
aplicacin o IP.
Las funcionalidades bsicas necesarias que debera tener un
firewall por hardware son:
Transferencia de archivos
Filtrado de paquetes
NAT (Traduccin de direcciones de red)
Bloqueo o permiso de direcciones IP
Bloqueo o permiso de protocolos
Bloqueo o permiso de mensajes ICMP (Protocolo de
mensajes de control de internet)
VPN (red virtual privada)
Gestin de contenido
Nmero de sesiones: > 10
Administracin remota
Puede ocurrir que la empresa sea tan pequea que no necesite
un firewall, pero se debe hacer un anlisis adecuado antes de
tomar esa decisin. Hay que tener en cuenta que los atacantes
se aprovechan de las empresas pequeas para conseguir la
informacin que les abra la puerta a las organizaciones ms
grandes. Una pyme, como miembro de un proceso productivo,
tiene una responsabilidad de proteger la cadena.
Con respecto a la tecnologa de los firewall por hardware, se
destaca la UTM (Unified Threat Management): La Gestin
Unificada de Amenazas. Este trmino describe los cortafuegos
de red que engloban mltiples funcionalidades en una misma
mquina. Entre algunas de las funcionalidades incluye:
 UDP (User Datagram Protocol): protocolo de red del nivel
de transporte basado en el intercambio de datagramas.
VPN (Virtual Private Nertwork): Red Virtual privada
Antispam (contra el correo basura)
AntiPhishing (contra la suplantacin de identidad)
Antispyware (contra los programas espa)
Filtro de Contenidos
Antivirus Figura 2. Firewall basado en SDN y OpenFlow.
Deteccin / Prevencin de Intrusos (IDS/IPS)
El prototipo consiste de un switch con el protocolo OpenFlow
Este tipo de dispositivo ofrece un sin nmero de ventajas, habilitado y un controlador con el firewall.
como la sustitucin de varios sistema independientes por uno
solo facilitando su gestin, complejidad mnima, simplicidad, FRESCO provee un framework para implementar aplicaciones
fcil administracin. Aunque constituye un punto nico de de seguridad con dispositivos OpenFlow. El framework est
falla de alta importancia para la red al reunir tantos servicios conformado por componentes modulares, programables y
en un solo dispositivo. reutilizables usados para funcionalidades de seguridad como
firewalls. En un firewall SDN se definen las polticas de
DPI (Deep Packet Inspection - Inspeccin profunda o a fondo firewall, a travs del Sistema Operativo de Red (NOS) y el
de paquetes): son firewalls que se integran con sistemas IDS e software de controlador. El concepto de NOS est basado en el
IPS para analizar en profundidad el trfico que lo atraviesa, la funcionamiento del sistema operativo computacional el cual
inspeccin se realiza en el momento en que el paquete pasa un permite un alto nivel de abstraccin de informacin, recursos
punto de inspeccin en la bsqueda de incumplimientos del y hardware.
protocolo, virus, spam, intrusiones o criterios predefinidos
para decidir qu medidas tomar sobre el paquete.

Ventajas
Varias funcionalidades
Presentan tiempos de respuesta rpidos, y por lo tanto
manejan ms cargas de trfico.
Cuenta con su propio sistema operativo lo que lo
hace menos propenso a los ataques. Esto a su vez
reduce el riesgo de seguridad.

Desventajas
Son costosos
Algunos son difciles de configurar y administrar y
actualizar.
Son rgidos, no permiten realizar configuraciones de
acuerdo al tiempo, tipo de datos y estado de la red.
Punto nico de falla para el trfico de red.
Ocupa un espacio fsico lo cual implica cableado.
Impacto potencial sobre la latencia el ancho
Su mayor inconveniente es el mantenimiento, ya que
son difciles de actualizar y de configurar
correctamente
FIREWALL BASADO EN OPENFLOW Y SDN
Se convierte en una alternativa flexible y de bajo costo para
las pequeas, medianas grandes empresas. En los firewalls de
hardware orientados a SDN y OpenFlow la ejecucin de las
polticas de seguridad es realizada a nivel de switchs mientras
que la toma de decisiones de cmo regular el trfico es
realizado por un controlador.
Figura 3. Arquitectura SDN-OpenFlow
NOX es el primer Sistema Operativo de Red para OpenFlow
implementado en C++ y consiste de 2 elementos: un
controlador de procesos y una visin global de la red. El
trfico es manejado a niveles de flujos. La imagen anterior
muestra otros sistemas operativos como POX que fue
implementado en Python, Beacon implementado en java.
Existen tambin frameworks como Procera que permite
expresar o definir polticas de configuracin de red en alto
nivel, esta arquitectura provee diferentes acciones y dominios
de control para programar el comportamiento de la red. Los
principales dominios de control son: tiempo, uso de datos,
flujo y estados. Con estos dominios un usuario puede
determinar un comportamiento que dependa, por ejemplo de la
cantidad de datos transmitidos, de una hora determinada, del
tipo de trfico.

3
Ventajas
Se puede programar para que el firewall se active en
determinado rango de tiempo para definir el trfico y
las rutas.
Ofrece mayor funcionalidad de acuerdo a las
necesidades de la organizacin.
Es muy verstil y dinmico.
Toma rutas dependiendo de la cabecera, revisa de
donde viene el paquete, para donde va y como est la
congestin en la red.
Si hay congestin en determinada ruta enviar los
paquetes por otra ruta determinada.
Ofrece libertad al administrador de la red.
Desventajas
Es necesario reestructurar las redes actuales en un
ambiente ms dinmico.
Falta de conocimiento de la tecnologa
Falta de inversin de recursos de las empresas para
implementar la tecnologa en las redes de las
organizaciones
SDN posee una arquitectura que separa la lgica de control de
la red de su infraestructura fsica. Esto permite programar
fcilmente las redes sin tener que configurar manualmente
cada dispositivo de red.
SDN permite controlar protocolos y el trfico de datos sin
tener que reconfigurar los dispositivos separando el control de
los datos, adems permite modificar fcilmente la
funcionalidad de la red a travs de una programacin bsica.
POX es el controlador de red basado en Python, este es un
framework que provee una API para el desarrollo en
OpenFlow. La mayora de trabajos realizados investigativos
en SDN se enfocan en enrutamiento y calidad de servicio.
IV. CONCLUSIONES
Este artculo describe un comparativo entre el funcionamiento
bsico de un firewall por hardware y un firewall basado en
OpenFlow y SDN. Un firewall por hardware acepta o deniega
de acuerdo a unas polticas o reglas definidas, otros poseen
ms funcionalidades, sin embargo la gran diferencia frente a
un firewall basado en OpenFlow y SDN es la versatilidad y el
dinamismo que ofrece al administrador de la red. Esto porque
la SDN es una arquitectura de red que elimina la rigidez
presente en las redes tradicionales. SDN emerge como una
alternativa a los problemas comunes de las redes actuales ya
que permite a los administradores tener una visin global e
integral de la red, adems de la oportunidad de controlar la red
de acuerdo a las necesidades de cada organizacin.
4
V. RECOMENDACIONES
Debido a que es SDN y OpenFlow son temas recientes y
que son pocas las investigaciones realizadas en esta rea se
recomienda realizar investigaciones, simulaciones,
optimizaciones y prototipos de dispositivos de red orientados a
la seguridad.
El Grupo de Investigacin en Telecomunicaciones Nyquist
cuenta con los equipos especializados y las tarjetas NetFPGAs
para realizar simulaciones e implementaciones de los
dispositivos de red.
Sera bueno dejar intacta la implementacin para que las
personas que quieran pertenecer al semillero de investigacin
puedan continuar con el proyecto y lo conozcan de manera
prctica.
Se podra buscar el apoyo de otras empresas y universidades
de la regin para poder llevar a cabo implementaciones en
conjunto, garantizando el buen uso de los recursos.
Se pretende mejorar las condiciones sobre seguridad
informtica en las pequeas, medianas y grandes empresas
frente a las amenazas actuales que van evolucionando y
mejorando su resistencia da a da, es decir, dada la
proliferacin de ataques web, la sofisticacin del malware y el
riesgo cada vez mayor intrusiones y filtraciones a la red
empresarial, se deben ajustar y mejorar las funcionalidades de
los firewalls actuales.
REFERENCIAS
[1] F. d. O. Silva, J. H. d. S. Pereira, P. F. Rosa, S. T. Kofuji,
Enabling Future Internet Architecture Research and
Experimentation by Using Software Defined
Networking, in European Workshop on Software
Defined Networking. 2012.
[2] R. Prices, M. Jarschel, S. Goll, On the Usability of
OpenFlow in Data Center Environments in Workshop on
Clouds, Networks and Data Centers. IEEE 2012
[3] H. Kim, J. Kim, Y. Ko, Developing a Cost-Effective
OpenFlow Testbed for Small-Scales Software Defined
Networking, February 16~19, 2014 ICACT2014.
[4] C. Rotsos, G. Antichi, M. Bruyere, P. Owezarski, A. W.
Moore, An open testing framework for next-generation
OpenFlow switches, in Third European Workshop on
Software-Defined Networks. IEEE 2014
[5] A. W. Moore, N. McKEown, S. Shenker, A. Covington,
NetFPGA- Software Defined Networking and
OpenFlow, 2012.
[6] J. Gregory, W. E. Yu, Development of a Distributed
Firewall Using Software Defined Networking
Technology, IEEE, 2014.

[7] M. Suh, S. H Park, B lee, S. Yang, Building Firewall

over the Software-Defined Network Controller, ICACT
2014.

[8] T. Javid, T. Riaz, A. Rasheed, A Layer2 Firewall for

software Defined Network, Conference on Information
Assurance and Cyber Security (CIACS), IEEE 2014.

[9] ONF Open Networking Foundation, OpenFLow-enabled

SDN and Network Functions Virtualization, ONF
Solution Brief, February 2014.

[10] M. Jammal, t. Singh, A. Shami, r. Asal, Y. Li,

Software Defined Networking: State of the art and
research challenges, Computers Networks, Science
Direct, 2014.

[11] S. Shin, P. Porras, V. Yegneswaran, M. Fong, G. Gu,

M. Tyson, FRESCO: Modular Composable Security
Services for Software-Defined Networks, ISOC Network
and Distributed System security Symposium, Frebruary
2013.

[12] UTM y cortafuegos de ltima generacin. [en lnea]

< https://www.sophos.com/es-es/products/unified-threat-
management/tech-specs.aspx#start>[Citado en Enero de
2015]

[13] SDN based hardware accelerated firewall. [en lnea]

<http://sdnbasedfirewall.com/project-overview.html>
[Citado en Enero de 2015].