Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Este artculo compara las caractersticas entre un elaborado por la organizacin de seguridad informtica
firewall convencional de hardware y un firewall implementado estadounidense FireEye, identifica que 98% de las empresas
en SDN y OpenFlow. Software-Defined Networking (SDN) es nacionales son objeto de ataques informticos
una arquitectura de red emergente la cual se caracteriza por ser permanentemente y lo que es ms grave, ante el aviso de fallas
dinmica, flexible, de fcil manejo, rentable y adaptable. Esta y acciones de hackers (pirata informtico), los mayora de los
arquitectura desacopla el control de la red de los datos y responsables de estas firmas no se dan cuenta. Los sectores
permite una mayor efectividad en el uso de los recursos que en ms atacados son gobierno, educacin, servicios y consultora,
una red convencional. El protocolo OpenFlow es un alta tecnologa y finanzas. Los tipos de ataques ms frecuentes
elemento fundamental para la construccin de soluciones son va web o por correo electrnico.
SDN.
Un estudio realizado por la firma Kaspersky en el ao 2012
Abstract This paper compare the features between a denominado Estudio Global sobre la Seguridad TI
hardware firewall and SDN-OpenFlow-based Firewall. Empresarial, que consult a 3.300 empresas en 22 pases,
Software-Defined Networking (SDN) is an emerging encontr que el 68% de las compaas de Latinoamrica
architecture that is dynamic, manageable, cost-effective, fueron vctimas de virus, gusanos, spyware (programa que
and adaptable. This architecture decouples the network recopila informacin y la transmite a una entidad externa sin
control and forwarding functions enabling the network el conocimiento del propietario del equipo) y otros programas
maliciosos en los ltimos 12 meses. Globalmente, el 63% de
control to become directly programmable and the
las empresas pequeas y el 60% de las medianas admitieron
underlying infrastructure to be abstracted for applications
que sufrieron un ataque. Las grandes empresas, por su parte,
and network services. The OpenFlow protocol is a son el blanco de ataques dirigidos como el ciberespionaje,
foundational element for building SDN solutions. phishing (suplantacin de identidad) y ataques de denegacin
de servicios.
ndice de TrminosFirewall, NetFPGA, OpenFlow
Protocol, Software Defined Networking, Seguridad.
Las necesidades de un firewall son ms evidentes ahora que la
nube es una prioridad y las aplicaciones son ms variadas.
I. INTRODUCCIN
Segn un estudio de HP, el 84% de las vulnerabilidades
Un cortafuegos (Firewall) es un dispositivo de hardware o ocurren al nivel de la aplicacin. Es un ejemplo perfecto de
software que permite gestionar y filtrar la totalidad de trfico cmo los atacantes van evolucionando para aprovechar las
entrante y saliente que hay entre dos redes, una red protegida partes del sistema ms vulnerables.
(interna) y una red insegura (externa o internet), o equipos de
una misma red. El firewall est diseado para bloquear el II. IPTABLES
acceso no autorizado, permitiendo comunicaciones
autorizadas. Un firewall por hardware puede proteger una red Es una herramienta firewall que permite no solamente filtrar
completa o un simple PC, mientras que un firewall por paquetes, sino tambin realizar traduccin de direcciones de
software solo puede proteger un Pc. red (NAT) para IPv4 o mantener registros de log. El proyecto
Netfilter no slo ofrece componentes disponibles como
Bsicamente el firewall es un filtro que hace cumplir las mdulos del ncleo sino que tambin ofrece herramientas de
polticas de seguridad de la red, indicando que hacer ante espacio de usuario y libreras.
diferentes tipos de trfico y proteger la red de ataques
externos. Se puede hacer una analoga del firewall con la Netfilter es un framework disponible en el ncleo Linux que
seguridad en la frontera entre dos pases, en la cual se controla permite interceptar y manipular paquetes de red. Dicho
la entrada y salida de personas. framework permite realizar el manejo de paquetes en
diferentes estados del procesamiento. Netfilter es tambin el
Con el crecimiento del acceso a internet, tambin aumentan nombre que recibe el proyecto que se encarga de ofrecer
las amenazas a las redes empresariales. Segn un informe herramientas libres para cortafuegos basados en Linux.
1
III. COMPARACIN ENTRE UN FIREWALL FSICO
(HARDWARE) Y UN FIREWALL BASADO EN SDN Y OPENFLOW Varios dispositivos de red como switches, routers, firewalls,
bandwidth manages, load balancers, y proxies fueron creados
Los firewall de ayer estn perdiendo la capacidad defensiva con un propsito especfico. La lgica de estos de estos
frente a las amenazas actuales. Dada la proliferacin de dispositivos es desconocida y los fabricantes dejan solo unos
ataques web, la sofisticacin del malware (tipo de software pocos parmetros de configuracin a los usuarios finales.
que tiene como objetivo infiltrarse o daar un equipo de
cmputo o un sistema de informacin sin el consentimiento de Su funcionalidad es muy rgida y limitada, de acuerdo a las
su propietario) que usa protocolos de alto volumen y el riesgo cabeceras acepta o deniega el trfico. Permiten la gestin
cada vez mayor de filtraciones, se necesitan soluciones de contenido, as como el uso de expresiones regulares. Tambin
filtrado para redes que estn a la altura. se pueden agregar listas negras de sitios restringidos.
-IP de origen
-IP de destino
-Tipo de paquete.
-Puerto a travs del cual entrara el paquete.
Ventajas
Varias funcionalidades
Presentan tiempos de respuesta rpidos, y por lo tanto
manejan ms cargas de trfico.
Cuenta con su propio sistema operativo lo que lo
hace menos propenso a los ataques. Esto a su vez
reduce el riesgo de seguridad.
Desventajas
Son costosos
Algunos son difciles de configurar y administrar y Figura 3. Arquitectura SDN-OpenFlow
actualizar.
Son rgidos, no permiten realizar configuraciones de NOX es el primer Sistema Operativo de Red para OpenFlow
acuerdo al tiempo, tipo de datos y estado de la red. implementado en C++ y consiste de 2 elementos: un
Punto nico de falla para el trfico de red. controlador de procesos y una visin global de la red. El
Ocupa un espacio fsico lo cual implica cableado. trfico es manejado a niveles de flujos. La imagen anterior
Impacto potencial sobre la latencia el ancho muestra otros sistemas operativos como POX que fue
Su mayor inconveniente es el mantenimiento, ya que implementado en Python, Beacon implementado en java.
son difciles de actualizar y de configurar Existen tambin frameworks como Procera que permite
correctamente expresar o definir polticas de configuracin de red en alto
nivel, esta arquitectura provee diferentes acciones y dominios
FIREWALL BASADO EN OPENFLOW Y SDN de control para programar el comportamiento de la red. Los
principales dominios de control son: tiempo, uso de datos,
Se convierte en una alternativa flexible y de bajo costo para flujo y estados. Con estos dominios un usuario puede
las pequeas, medianas grandes empresas. En los firewalls de determinar un comportamiento que dependa, por ejemplo de la
hardware orientados a SDN y OpenFlow la ejecucin de las cantidad de datos transmitidos, de una hora determinada, del
polticas de seguridad es realizada a nivel de switchs mientras tipo de trfico.
que la toma de decisiones de cmo regular el trfico es
realizado por un controlador.
3
Ventajas V. RECOMENDACIONES
Se puede programar para que el firewall se active en Debido a que es SDN y OpenFlow son temas recientes y
determinado rango de tiempo para definir el trfico y que son pocas las investigaciones realizadas en esta rea se
las rutas.
recomienda realizar investigaciones, simulaciones,
Ofrece mayor funcionalidad de acuerdo a las optimizaciones y prototipos de dispositivos de red orientados a
necesidades de la organizacin.
la seguridad.
Es muy verstil y dinmico.
El Grupo de Investigacin en Telecomunicaciones Nyquist
Toma rutas dependiendo de la cabecera, revisa de
cuenta con los equipos especializados y las tarjetas NetFPGAs
donde viene el paquete, para donde va y como est la
para realizar simulaciones e implementaciones de los
congestin en la red.
dispositivos de red.
Si hay congestin en determinada ruta enviar los
paquetes por otra ruta determinada.
Sera bueno dejar intacta la implementacin para que las
Ofrece libertad al administrador de la red.
personas que quieran pertenecer al semillero de investigacin
Desventajas puedan continuar con el proyecto y lo conozcan de manera
prctica.
Es necesario reestructurar las redes actuales en un
ambiente ms dinmico. Se podra buscar el apoyo de otras empresas y universidades
Falta de conocimiento de la tecnologa de la regin para poder llevar a cabo implementaciones en
Falta de inversin de recursos de las empresas para conjunto, garantizando el buen uso de los recursos.
implementar la tecnologa en las redes de las
organizaciones Se pretende mejorar las condiciones sobre seguridad
informtica en las pequeas, medianas y grandes empresas
frente a las amenazas actuales que van evolucionando y
SDN posee una arquitectura que separa la lgica de control de mejorando su resistencia da a da, es decir, dada la
la red de su infraestructura fsica. Esto permite programar proliferacin de ataques web, la sofisticacin del malware y el
fcilmente las redes sin tener que configurar manualmente riesgo cada vez mayor intrusiones y filtraciones a la red
cada dispositivo de red. empresarial, se deben ajustar y mejorar las funcionalidades de
los firewalls actuales.
SDN permite controlar protocolos y el trfico de datos sin
tener que reconfigurar los dispositivos separando el control de
los datos, adems permite modificar fcilmente la REFERENCIAS
funcionalidad de la red a travs de una programacin bsica.
[1] F. d. O. Silva, J. H. d. S. Pereira, P. F. Rosa, S. T. Kofuji,
POX es el controlador de red basado en Python, este es un Enabling Future Internet Architecture Research and
framework que provee una API para el desarrollo en Experimentation by Using Software Defined
OpenFlow. La mayora de trabajos realizados investigativos Networking, in European Workshop on Software
en SDN se enfocan en enrutamiento y calidad de servicio. Defined Networking. 2012.
4
[6] J. Gregory, W. E. Yu, Development of a Distributed
Firewall Using Software Defined Networking
Technology, IEEE, 2014.