Mecanismos de Seguridad

DIPLOMADO BÁSICO DE
SEGURIDAD INFORMÁTICA 2017
Módulo6:
Mecanismos de seguridad
Workshop 14-18 Junio
2017
Jaime Olmos
Recopilación por Jaime Olmos 2017 0
Controles de seguridad
1. Sistemas de Monitoreo.
2. Análisis de tráfico.
3. Sistemas de prevención y detección de intrusos.
4. Análisis de logs o bitácoras y correlación de eventos.
5. Firewalls, routers y switches. Configuración de seguridad de esos
equipos.
6. Implementación segura de DNS. Que puede llevar a los usuarios a sitios
web infectados.
7. Implementación web application firewall.
8. Protección de base de datos. Encriptando de datos y sus transacciones.
Firewall especializados a BD.
9. Filtrado de email y sitios web.
10. Escaneo y remediación de vulnerabilidades.
11. Pruebas de penetración (Pentest)
13. Defensa en contra de denegación de servicio.
14. SDN (Software-Defined Network).
SEGURIDAD INFORMÁTICA 2017 Recopilación por Jaime Olmos 2017 1
Controles de seguridad
15. Endurecimiento (hardening) de servidores y equipos de cómputo.
16. Antimalware.
17. Protección de plataformas móviles (smartphone, tablet).
18. Protección de redes inalámbricas.
19. Prevención de perdida de datos.
20. Encriptación de datos en transmisión y almacenamiento.
21. Plan de respuesta a incidentes.
22. Plan de comunicación, marketing y jurídico.
23. Administración de passwords. Segundo factor de autenticación.
24. Control de acceso físico.
25. Inventario completo de hardware, software, puertos, servicios e
interfaces gráficas GUIs.
26. Entrenamiento y concientización a usuarios.
Sistemas de Monitoreo
Sistemas de monitoreo
• SNMP
• Protocolo Simple de Administración de Red
• Protocolo estándar de Internet para administrar
dispositivos en redes IP.
• Es la manera estándar de monitorear hardware y
software de cualquier fabricantes como Extreme,
Brocade, Cisco, Vyatta, Juniper, etcétera; MACOS,
Windows, Linux, etcétera.
• Parte del protocolo de control de transmisiones /
protocolo de Internet (TCP/IP).
• Utiliza UDP como protocolo de transporte.
SNMP
• Componentes
• Administración de SNMP
• Agente SNMP
• Dispositivos y aplicaciones administradas
SNMP
SNMP
SNMP Alerts
SNMP
SNMP
SNMP
SNMP
SNMP
SNMP
Server SNMP 5
Recopilación por Jaime Olmos 2017
Componentes SNMP
• Dispositivo administrado
• Puede ser cualquier dispositivo de red: Router,
switch, firewall, balanceadores, DNS, DHCP, etc.
• Puede ser cualquier servidor (físico o virtual)
cualquier sistema operativo: Linux, MACOS, Windows,
KVM, XEN, ESXi, Hyper-V, etc.
• Puede ser cualquier dispositivo del Internet de la
Cosas y un agente SNMP.
Componentes SNMP
• Agente SNMP
• Cada fabricante de dispositivos, configura su agente
SNMP en el dispositivo administrado.
• Windows – SNMP (inhabilitado por defecto)
• Linux - Net-SNMP
• Cisco - Cisco SNMP
• Recolecta información administrativa sobre su
entorno local.
• Almacena y recupera información tal como se definió
en la Base para Información Gestionada (MIB).
• Indica cuando su produce un evento al adminitrador.
Componentes SNMP
• Administrador de SNMP
• Su función es recolectar información
administrativa de los agentes SNMP de los
dispositivos administrados y almacenarla de una
manera más legible.
• NMS (Sistema Administrador de Red)
• EMS (Sistema de Gestión de Elementos)
• Soluciones de monitoreo tales como OpManager,
Solarwinds, CACTI, Zabbix, PRTG, LibreNMS, Nagios,
RRDTools etc.
Puertos y Firewall
• Permitir los puertos a través del firewall,
bidireccionalmente:
• SNMP puerto 161 UDP (leer y/o escribir)
• Trap SNMP puerto 162 UDP (lo veremos más adelante)
Versiones de SNMP y seguridad
• Versiones de SNMP más utilizada
• SNMPv1
• Ampliamente utilizado, protocolo de administración de red por
defecto.
• Disponible desde 1988.
• Autenticación mediante nombre de comunidad (por defecto public
y private).
• SNMPv2c
• Modificación de la versión 1.
• Mejoras en el desempeño, seguridad, y en las comunicaciones
entre administradores.
• Incorporación del comando GetBulkRequest
• Escasa seguridad
• Nombre de comunidad envía en texto plano.
• Versión de SNMP más segura
• SNMPv3
• Agrega mejoras en la seguridad de la información y en la
configuración remota.
• Cada entidad SNMP tiene un identificador: SNMPEngineID
• La comunicación es posible únicamente si la entidad SNMP conoce
la identidad de su par. Excepto los Traps y Notificaciones.
• Especificación para USM (Modelo de Seguridad Basado en un
Usuario):
• NoAuthNoPriv (Sin autenticación y privacidad)
• AuthNoPriv (Con autenticación y sin privacidad)
• AuthPriv (Con autenticación y privacidad)
• Protocolos de autenticación: MD5 y SHA
• Protocolos de privacidad: CBC_DES, CFB_AES_128
• SNMPv3
• Brinda un entorno seguro para la administración de sistemas,
cubriendo:
• Procedimiento de descubrimiento
• Procedimiento de sincronización de tiempo, facilitando la autenticación de
comunicaciones entre las entidades SNMP.
• Framework MIB SNMP, para facilitar la configuración remota y la
administración de la entidad SNMP.
• También brinda MIBs:
• MIBs USM para el módulo de seguridad de usuarios, facilitar la configuración
remota y la administración del módulo de seguridad
• MIBs VACM también llamados MIBs del control de acceso basado en vistas para
facilitar la configuración remota y la administración del módulo de acceso.
• Objetivos de seguridad, protección contra la modificación de la
información, enmascaramiento, modificación en el flujo de mensajes y
difusión.
• Trata los problemas relacionados con las implementaciones a gran
escala de SNMP, los registros de actividad y la administración de
fallas.
• Se enfoca en la seguridad (a través de la encriptación y
autenticación) y en la administración (mediante originadores de
notificaciones y redireccionadores de proxy).
• Seguridad de SNMPv3
• USM (modelo de seguridad basada en usuarios) brinda funciones
de cifrado y autenticación. Opera a nivel de mensajes.
• VACM (modelo de control de acceso basado en vistas) determina
si un nodo tiene permitido acceder a cierto objeto MIB para
llevar a cabo funciones específicas. Funciona a nivel de PDU.
• TCM (modo de seguridad de transporte) brinda un método para la
autenticación y el cifrado de mensajes a través de canales de
seguridad externos, mediante SSH y TLS/DTLS.
• Confidencialidad: previene la intromisión de fuentes no
autorizadas
• Integridad: asegura que un paquete no está alterado.
• Autenticación: verifica que el mensaje es recibido
desde una fuente válida.
MIBs y OIDs
• OID (acrónimo para Identificador de Objeto)
• Algo que puede reunir información acerca de un dispositivo con
SNMP activo.
• Se identifica por un nombre (Nombre de objeto)
• Definición de tipo de dato (contador, cadena de caracteres, valor
de medida, entero).
• Nivel de acceso (lectura/escritura).
• Variedad de información
• Ejemplo cada uno es un OID:
• Interfaz: Estado/Tráfico Rx-Tx/Errores/Descartados
• Proceso: Ruta/ID/CPU/Memoria/Instancias
• CPU: Velocidad/Utilización
• Memoria: Total/Utilizada/Disponible
• Disco: Total/Utilizada/Disponible
• OIDs están definidos en MIBs
• OIDs únicos (específico a un dispositivo o subtipo)
• OIDs: pueden ser escalar (disponilidad del sistema) o tabular
(información de interfaz.
• OID: usualmente son una lista de punto de enteros
• sysUpTime: .1.3.6.1.2.1.1.3
MIBs y OIDs
• ¿Cómo localizar el OID sysUpTime de la MIB
[RFC1213]?
• sysUpTime: .1.3.6.1.2.1.1.3
• iso (1)
• Org (3)
• dod (6)
• internet (1)
• mgmt (2)
• mib-2 (1)
• system (1)
• sysDecr (1)
• sysObjectID (2)
• sysUpTime (3)
• sysContact (4)
• sysName (5)
• sysLocation (6)
• sysService (7)
MIBs y OIDs
• MIB (acrónimo para Base para Información
Gestionada)
• Conjunto de OIDs.
• El agento SNMP del dispositivo administrado, mantiene un
base de datos de información que describe los parámetros
de este dispositivo.
• CPU, Memoria, interfaces, etc.
• El agente SNMP recupera el valor de la información
requerida de la MIB cuando el administrador de SNMP lo
requiere.
• El MIB define los objetos gestionados que un
administrador de SNMP puede requerir del agento SNMP.
• En pocas palabras, es un conjunto de preguntas que un
administrador de SNMP puede preguntar al agente.
MIBs y OIDs
• MIB (Base para Información Gestionada)
• Compuesta por objetos gestionados que se identificas
mediante un OID.
• MIBs pueden ser de 2 tipos:
• Estándar RFCs
• Personalizadas/Privadas. Provistas por los fabricantes de
dispositivos.
• Ejemplo: Huawei, Juniper, Brocade, Cisco, etcétera.
MIBs y OIDs
• Diagrama de árbol MIB
Comandos básicos de SNMP
• Comando
• GET recupera un valor del dispositivo gestionado
• Ejemplos: sysName, sysUpTime, etc.
• GET NEXT recupera el valor del siguiente OID
• Utilizado principalmente por las herramientas de monitoreo.
• GET BULK recupera información voluminosa
• Ejemplo: ifTable (tabla de interfaces).
• SET modifica o asigna una valor a un parámetro
• Ejemplo: Umbral de temperatura en un servidor.
• TRAPS iniciadas por el agente al administrador de SNMP ante
la ocurrencia de un evento
• Ejemplo: enlaces, estado del ventilador.
• INFORM como TRAP, pero también incluye confirmación de
administrador SNMP
• RESPONSE comando que se utiliza para llevar los valores o la
señal de acciones dirigidas por el administrador de SNMP
Comunicación SNMP
Administrador de
• Diagrama de comunicación SNMP (NMS)
RECEPTOR DE TRAP/INFORM
DEFINICIONES DE GESTIÓN
Dispositivo Gestionado
Router Switch Server Computer
Agente SNMP
Agente Agente Agente Agente
Definiciones de Definiciones de Definiciones de Definiciones de
gestión gestión gestión gestión
Administración Administración Administración Administración
MIBs de base de datos de base de datos de base de datos de base de datos
20
Trap SNMP
• TRAP
• Notificaciones asícronas, enviadas desde el agente SNMP
al administrador.
• Incluye
• sysUptime (Timeticks) actual
• un OID que identifica el tipo de trap
• enlaces de variables opcionales
• Dirección IP destino de destino de las traps que deben
recolectarse.
• MIB continen las variable de configuración de traps.
• Traps escuchan el puerto 162 UDP.
• Versiones de trap: SNMPv1, SNMPv2c y SNMPv3.
• Ejemplo:
SNMP Trap
• Configuración en emisor (Router)
• snmp-server host 148.202.15.174 version v2c 2 $U2kyXj1k
• Configuración en receptor (Linux)

• snmptrapd -A -d -n -Lf trap.log
• netstat –nlp
• tcpdump –i eth0 –tnn port 162
Demostración de Cacti-EZ
• http://cactiez.cactiusers.org
• Credenciales de acceso a Cacti
user: admin
pass: admin
• Para configurar Nagios
user: nagiosadmin
pass: CactiEZ
Demostración de Libre-NMS
• https://www.librenms.org
• https://docs.librenms.org/Installation/Ubuntu-image/
• SSH
• username: librenms
• password: CIne3fwdfds
• WebUI
• username: librenms
• password: D32fwefwef
Demostración de Zabbix
Análisis de Tráfico
• Enfrentarse a la pérdida de rendimiento en la red
que se gestiona.
• Causas:
• Origen no premeditado por una mala configuración de la
red
• Tormentas de broadcast
• Spanning-tree (STP) mal configurado
• Enlaces redundantes
• Ataques inducidos por terceros que pretenden dejar fuera
de servicio
• Ataque DoS,
• Husmear tráfico mediante un envenenamiento ARP
• Infectar los equipos con código malicioso para que formen parte
de una red zombie o botnet.
• En cualquier caso, conocer el origen del incidente es el
primer paso para poder tomar las contramedidas necesarias y
conseguir una correcta protección.
• Analizadores de tráfico
• Detectar, analizar y correlacionar tráfico identificando las
amenazas de red.
• Posteriormente, limitar su impacto.
• Herramientas avanzadas del mercado:
• Appliance MARS (Monitoring, Analysis and Response System) de Cisco
• IDS/IPS basados en hardware de diversos fabricantes.
• Visibility Fabric de Gigamon para otras herramientas de monitoreo y seguridad que
se implementen a futuro, es decir, dar escalabilidad a la arquitectura desde un
inicio.
• Pero estas soluciones no siempre están al alcance de todas las organizaciones
• Costo (el gasto es superior al beneficio obtenido) y, por lo tanto, no se
justifique su adquisición.
• Software libre
• Wireshark
• TCPDump
• Snort
• IPtraf
Wireshark
• Es un analizador de protocolos open-source (disponible en
MACOS, Windows y Linux). Conocido originalmente como
Ethereal
• Su principal objetivo es el análisis de tráfico para la
resolución de problemas de red.
• Implementa una amplia gama de filtros que facilitan la
definición de criterios de búsqueda para los más de 1100
protocolos soportados.
• Estructura de los protocolos, puede visualizar
• los campos de cada una de las cabeceras y
• capas que componen los paquetes monitoreado.
• Otras herramientas como
• Snort,
• OSSIM
• Así como multitud de IDS/IPS permiten alertar sobre algunos de los
problemas y ataques expuestos.
¿Dónde capturar tráfico?
• El primer paso para poder auditar la red será definir
dónde analizar el tráfico.
• En espacios de LANs que carecen de:
• IDS / IPS
• Equipos de red (Switches, Routers) con soporte de Netflow o
sFlow.
• Dónde instalar el analizador de tráfico.
• UTILIZANDO UN HUB
• Si conectásemos un equipo con Wireshark a uno de los puertos del
switch, solo veríamos las tramas que transcurren entre el switch y
nuestra máquina.
• El switch divide la red en segmentos, creando dominios de colisión
separados y eliminando, de esta forma, la necesidad de que cada
estación compita por el medio.
• Únicamente envía las tramas a todos los puertos (pertenecientes a la
misma VLAN) cuando se trata de difusiones broadcast (por ejemplo, para
saber la dirección física de alguna máquina).
• PUERTO ESPEJEADO EN UN SWITCH (PORT MIRRORING O VACL)
Utilizando un HUB
Conectar el analizador de tráfico a través de HUB, en el
mismo segmento de red donde se encuentre servidores y
hosts. Al tratarse ahora de un medio compartido, todo el
tráfico entre el switch y el servidor podrá analizarse
en equipo con Wireshark. Server
Hub
Host
DIPLOMADO BÁSICO DE Wireshark

Utilizando un PORT MIRRORING O
VACL (VLAN-BASED ACLS)
• Siempre que tengamos acceso al switch, y soporte esta funcionalidad, será
la manera más cómoda para capturar el tráfico de red.
• Denominado modo SPAN
• Permite duplicar el tráfico que transcurre por uno o varios puertos del switch y
replicarlo al puerto que queramos.
• Ventaja de VACL frente al Port Mirroring es que permiten una mayor
granularidad a la hora de especificar el tráfico que se quiere analizar.
• Mientras que configurando Port Mirroring es posible redirigir el tráfico
de un puerto o VLAN a otro, con VACL es posible especificar ACLs para
seleccionar el tipo de tráfico en el que estamos interesados.
Server
SSH@Router(config)# mirror ethernet 1/19
SSH@Router(config)# interface ethernet 4/1
Switch Router(config)# vlan access-map bmf 10
Router(config-access-map)# match ip address lab_10
Router(config-access-map)# action forward capture
SSH@Router(config-if-e10000-4/1)# mon ethernet 1/19 both
Router(config-access-map)# exit
Router(config)# vlan filter bmf vlan-list 14-16
SSH@Router# show monitor actual

Monitored Port 4/1
Input traffic mirrored to: 1/19
Output traffic mirrored to: 1/19
Port Router# show ip access-lists lab_10
Extended IP access list lab_10
mirror permit ip 10.0.0.0 0.255.255.255 any
Host
DIPLOMADO BÁSICO DE Wireshark

Otra manera: Modo Bridge (MitM)
• En caso de no tener acceso al switch, podremos utilizar un equipo
con dos tarjetas de red para situarnos entre el switch y el
servidor. Consiste en un MitM (Man in the Middle), a nivel físico,
donde tendremos un acceso pasivo a todo el caudal de tráfico.
• Hay varias alternativas para poner este modo de funcionamiento,
destacando los bridge-utils (paquete de utilidades bridge para
Linux) por su facilidad de instalación y configuración.
• Únicamente tendremos que crear una interfaz de tipo bridge y
posteriormente añadir las interfaces físicas que forman parte de
dicho puente. Por último, levantaremos la interfaz y ejecutaremos
Wireshark.
root@noc-udg:~# brctl addbr mybridge Server
root@noc-udg:~# brctl addif mybridge eth1
root@noc-udg:~# brctl addif mybridge eth0
root@noc-udg:~# ifconfig mybridge up
MitM
Wireshark
Otra manera: ARP SPOOF (MitM)
• En contadas ocasiones, y en los casos en los que no podamos utilizar los
métodos anteriores, podemos hacer uso de herramientas como Ettercap o
similares para llevar a cabo un MitM (Man in the Middle).
• Es importante entender que se trata de un método bastante ofensivo y que
únicamente será útil en entornos no críticos, donde prima cierta necesidad
en interceptar tráfico entre varias máquinas.
• Lo que conseguiremos será que el equipo que se desea monitorear envíe
todas las tramas a través de nuestro equipo con Wireshark. El proceso se
lleva a cabo contaminando la cache de los equipos involucrados con una
asociación IP/MAC falsa. Algunos switches disponen de funcionalidades que
les permiten detectar este proceso (véase Dynamic Arp Inspection y DHCP
Snooping3).
Server
MitM
root@noc-udg:~# ettercap -T -M arp:remote /10.0.0.1/ /10.0.0.100/ &
Wireshark
Wireshark
Sistemas de prevención y
detección de intrusos
Detección de intrusos
• Es el proceso de detectar acceso, o intentos de
acceso, no autorizado a los recursos de cómputo
de una organización.
• Es el arte de detectar actividad incorrecta,
inapropiada, maliciosa o anómala en los equipos
de cómputo o red de una organización.
• El proceso de detección de intrusos puede
ocuparse de la atención de ataques originados
desde el exterior de la organización, o de
ataques generados en el interior de la propia
organización.
Matriz de Detección de
intrusos
TRUE FALSE
Verdadero-Positivo Falso-Positivo
Una alarma se ha disparado, Una alarma se ha disparado,
Positive indicando una intrusión indicando un intrusión
¡Hay una instrucción ¡La intrusión no existe!
existe!
Verdadero-Negativo Falso-Negativo
No se ha disparado una No se ha disparado una
Negative alarma alarma
¡Existe una intrusión! ¡No hay una intrusión
existe!
Capacidades de los IDS
• Un Sistema Detector de Intrusos (IDS) efectúa
una o más de las siguientes actividades para
realizar la detección de intrusos:
1. Reconocimiento de patrones asociados con ataques
conocidos
2. Análisis estadístico de patrones anormales de
tráfico
3. Verificación de integridad de archivos específicos
4. Monitoreo y análisis de actividad del sistema
5. Monitoreo y análisis de actividad de los usuarios
6. Análisis de tráfico de red
7. Análisis de bitácoras de eventos
IDS basado en red (NIDS)
• Se analiza el tráfico que fluye a través de un
segmento de red, por medio de un sensor
configurado en modo promiscuo (sniffing).
• Los sensores se instalan en posiciones
estratégicas dentro de la organización.
• Usualmente se coloca uno en cada segmento crítico.
• Un IDS basado en red no siempre permite
determinar con exactitud si la intrusión fue
exitosa.
3. Motor de
Consola de Admon.
Detección
NIDS
5. Alerta
4. Creación de
Port Respuesta
Recibida
mirror 2. Paquete
capturado
6. Envío de
Notificación
(sniffing)
Server
7. Almacenar
Alerta
Switch
8. Análisis de
1. Paquete enviado Host periodo
• NIDSs:
• Dragon (www.enterasys.com)
• Snort (www.snort.org)
• ISS Real Secure (www.iss.net)
• Fortigate (www.fortinet.com)
• Palo Alto Networks (www.paloaltonetnetworks.com)
SNORT
• Un IDS basado en red con las siguientes
características:
• Baja utilización de recursos
• Capaz de examinar todo el paquete, no sólo los
encabezados (payload inspection).
• Tres modos de operación:
• Sniffer
• Packet logger
• NIDS
• En este modo snort utiliza un conjunto de reglas que definen el
tráfico que será considerado para la emisión de alertas.
Reglas de SNORT
• Una regla se compone de dos partes:
• Encabezado
• Acción
• Protocolo
• IP origen/máscara
• Puerto origen
• IP destino/máscara
• Puerto destino
• Opciones
• Formato: ( opción1: argumento1; opción2: argumento2; ... )
• Especifican el mensaje de alerta que será emitido
• Especifican qué parte del paquete es verificada en busca de una
coincidencia
• alert tcp any any -> any 80 (content: “adult”; msg “Contenido para adultos”;)
encabezado (opciones)
Reglas de SNORT
• Encabezado
• Acción
• alert Generar una alerta y registrar el paquete en la
bitácora
• log Registrar el paquete en la bitácora
• pass Ignorar el paquete
• activate Generar una alerta y activar otra regla dinámica
• dynamic Permanecer ocioso hasta ser activado por una regla
activate, después comportarse como una regla log.
• Protocolo
• tcp
• udp
• icmp
• ip
Reglas de SNORT
• Encabezado
• IP origen/máscara, IP destino/máscara
• any Cualquier dirección IP
• 10.1.1.0/24 Red clase C: 10.1.1.0
• 172.17.25.34/32 Host 172.17.25.34
• [192.168.1.0/24,172.25.0.0/16] Una lista de redes
• !172.16.1.0/24 Cualquier red, excepto 172.16.1.0/24
• Puerto origen, Puerto destino
• any Cualquier puerto
• 80 El puerto 80 (http)
• 1:1024 Rango de puertos 1 a 1024 inclusive
• :1024 Cualquier puerto menor o igual a 1024
• 500: Cualquier puerto igual o mayor a 500
• !12345 Cualquier puerto, excepto el 12345
Reglas de SNORT
• Encabezado
• Operador de dirección
• -> Origen a la izquierda, destino a la derecha
• <> Considerar los pares de direcciones/puertos en cualquier
dirección. Util para registrar sesiones completas.
• Puerto origen, Puerto destino
• any Cualquier puerto
• 80 El puerto 80
• 1:1024 Rango de puertos 1 a 1024 inclusive
• :1024 Cualquier puerto menor o igual a 1024
• 500: Cualquier puerto igual o mayor a 500
• !12345 Cualquier puerto, excepto el 12345
Reglas de SNORT
• Opciones
• msg Imprimir un mensaje en alertas y registros de
bitácora
• msg: “Texto del mensaje”;
• ttl Evaluar el valor del campo TTL del encabezado IP
• ttl: 128;
• ttl: >220;
• id Evaluar el valor del campo Fragment ID del encabezado
IP
• id: 39426;
• content Buscar la coincidencia de un contenido específico
en el payload de un paquete. El caracter pipe ( | )
delimita datos binarios.
• content: "|0d0a5b52504c5d3030320d0a|"; #Firma de Sub7
• content: “public”;
Reglas de SNORT
• Opciones
• nocase Desactivar case sensivity en la opción
content
• content: “USER root”; nocase;
• flags Evaluar las banderas TCP de un paquete
• Banderas: F (fin), S (syn), R (rst), P (psh), A (ack), U
(urg) 2 (bit reservado 2), 1 (bit reservado 1), 0 (banderas
apagadas)
• Operadores lógicos:
• + Todas las banderas especificadas hacen match (default)
• * Alguna(s) de las banderas especificadas hace(n) match
• ! Hace match si ninguna de las banderas especificadas está
encendida en el paquete
• flags: A+; flags: 0; flags: SA*;
• flags: SF; flags: SRAFPU12; flags: S!
Reglas de SNORT
• Opciones
• ack Evaluar el valor de reconocimiento del protocolo TCP
• ack: 0;
• sid Especificar un número de identificación único de la
regla
• sid: 983;
• rev Especificar el número de revisión de la regla
• sid: 983; rev: 2;
• session Extraer los datos de aplicación de una sesión TCP
• session: printable; #Sólo lo que el usuario normalmente teclea
o ve
• session: all; # Toda la sesión. Caracteres no imprimibles se
sustituyen por su equivalente hexadecimal.
Reglas de SNORT
• Opciones
• flow Permite la inspección de paquetes basada en estados
(en conjunción con TCP stream reassembly preprocessor).
Adicionalmente, permite dar cierto contexto a las reglas.
• from_client Hace match en solicitudes de “nuestro” cliente a un
servidor “externo”
• to_client Hace match en respuestas de un servidor “externo” a
“nuestro“ cliente
• to_server Hace match en una solicitud hacia “nuestro” servidor
por parte de un cliente “externo”
• from_server Hace match en respuestas de “nuestro” servidor a un
cliente “externo”
• established Hace match si el paquete es parte de una conexión
TCP establecida
• stateless Hace match sin importar el estado de la conexión
Reglas de SNORT
• Opciones
• classtype Categoriza las alertas en tipos de ataques. El
administrador puede especificar una prioridad a cada categoría
(classification.config)
• classtype: attempted-admin;
• classtype: web-application-attack;
• classtype: trojan-acttivity;
• Archivo classification.config
...
config classification: attempted-admin, Attempted
Administrator Privilege Gain, 1
config classification: not-suspicious, Not Supicious
Traffic, 3
...
Ejemplos de Reglas de SNORT
• Captura del tráfico intercambiado en sesiones POP3
• log tcp any any -> any 110 (session:printable;)
• Detección y registro de posibles contraseñas
intercambiadas en texto plano
• alert tcp any any -> any any (content: “pass”; nocase; session:
printable; msg: “Posible transferencia de password en texto plano”;)
• Detección de escrutinio TCP NULL a la red 10.1.1.0/24
• alert tcp any any -> 10.1.1.0/24 any (msg: “Detección de NULL scan”;
flags: 0;)
• Intento de enumeración de usuarios a través de FINGER
• alert tcp $EXTERNAL_NET $HTTP_PORT -> $HOME_NET 79 ( msg:”Intento de
enumeracion de cuentas con FINGER”; flow: to-server,established;
content “a b c d e f”; nocase; classtype: attempted-recon; sid 321;
rev: 5;)
Instalar SNORT
Definir la red local en SNORT
Crear un regla en SNORT
Escribir reglar - SNORT
Entrar a configuración de SNORT
Incluir nueva regla SNORT
Ejecutar SNORT
SNORT – En ejecución
SNORT - Resultados
SNORT - Resultados
SNORT - Resultados
SNORT - Resultados
SNORT - Resultados
Ejecución de SNORT desde una captura
previa
Honeypots y Honetnets
• Detección activa
• Un sistema, colocado en un ambiente de red real,
diseñado para atraer y ser comprometido por
atacantes
• Sus objetivos son:
• Mantener a los atacantes alejados de los equipos críticos,
manteniéndolos ocupados con el honeypot
• Ser un mecanismo de alerta en el caso de un ataque
• Registrar la actividad del atacante
• Aprender, para incrementar la capacidad de detección y
respuesta a incidentes del equipo de seguridad
• Honeypot de baja interacción
• Ofrece un nivel de actividad limitado al atacante.
• Normalmente emula servicios y sistemas operativos, de
modo que el atacante no tenga interacción con sistemas
operativos reales, pudiendo dañar a otros sitios
• Fáciles de implantar y mantener
• Ejemplo: Honeyd
• Honeypot de alta interacción
• Sistemas operativos y aplicaciones reales
• Es posible registrar ataques hasta ahora desconocidos.
• Implantación compleja
• Riesgo de que el honeypot pueda ser usado para atacar
otros
• Honeynet
• Una red completa diseñada específicamente para
atraer y ser comprometida por atacantes
• Su diseño debe ser tal que los atacantes piensen que
es un ambiente productivo real
• Características:
• Un firewall, dónde se controla y captura todo el
tráfico generado por el atacante
• Honeypots de alta interacción de diversos tipos:
Windows 2000, switches Cisco, Linux, etcétera.
• Sistemas y servicios reales, no emulaciones.
• Nada se hace para disminuir o incrementar la
seguridad de los componentes.
• Recursos
• Honeypots, Definitions and Value of Honeypots
• http://www.tracking-hackers.com/papers/honeypots.html
• The Honeynet Project
• http://www.honeynet.org
• Honeyd
• http://www.honeyd.org
• http://www.securityprofiling.com/honeyd/honeyd.shtml
• Deception Toolkit
• http://www.all.net/dtk/index.html
Gestión de la seguridad de
información y gestión de eventos
Correlación de eventos
• Security Information and Event Management
(SIEM)
• SIEM (Gestión de la seguridad de información y
gestión de eventos)
• Su foco es la seguridad. La información de seguridad
no son solo logs.
• LM = LOG Management. Su foco son las bitácoras.
No todos los logs son para seguridad.
SIEM
• Es el resultado de la integración de distintas
herramientas de software Open Source.
• Está concebida con una visión integradora para
dar soloción a las siguientes áreas de la
gestión de TIC:
• La gestión y resolución de incidentes
• Correlación de eventos de seguridad
• Monitoreo
• Gestión del conocimiento
• Administración de dispositivos.
Visibilidad en un SIEM robusto
Sensores, Bitácoras
SIEM BD
Eventos de Seguridad Compliance Loggin

Básicos • Logs asegurados
• Dispositivos de Análisis, Manejo de • Altamente
Red incidentes, Reportes escalable
• Aplicaciones • Normalización de eventos • Interfaz de
• Análisis en tiempo real consultas
• Administración unificada
SIEM - Riesgos
• Permite mejorar los controles de seguridad.
• Que tipos de riesgos son los más comunes.
SIEM - Amenazas
• La identificación, permite acciones proactivas.
• De amenazas externas o internas.
SIEM - Vulnerabilidades
• La identificación de vulnerabilidades.
• Provee un mejor conocimiento del entorno.
SIEM - Impacto
• Ataques ¿dónde están generando el impacto?
SIEM – C.I.A.
• Dependiendo el tipo de Alarmas tenemos los
principales puntos del C.I.A que afectan.
SIEM – Cumplimiento
• Normas internacionales.
• Que puntos de Control se ven impactados con las
alarmas generadas
SIEM – Controles
• Controles de la
organización que son
impactados por la
recepción de Alarmas que
están afectando la
infraestructura
de la organización.
SIEM
• Recursos
• AlientValult OSSIM - Open Source SIEM
• https://www.alienvault.com/products/ossim
• FortiSIEM
• https://www.fortinet.com/products/siem/fortisiem.html
Firewalls, routers y switches.
Configuración de seguridad de
esos equipos
FIREWALL
• El término firewall se refería originalmente a
una pared a prueba de fuego (generalmente
hecha de piedra o metal), que evitaba que las
llamas se extendieran entre las estructuras
que conectaba. Luego, el término fue aplicado
a la plancha de metal que separaba el
compartimento del motor de un vehículo o
aeronave del compartimento del pasajero.
• Eventualmente, el término se adaptó para su
uso en las redes de IP:
El firewall evita que tráfico indeseable
ingrese a áreas restringidas de la red.
Limitaciones de los Firewalls
• Si está mal configurado, el firewall puede

tener consecuencias serias (único punto de
falla).
• Muchas aplicaciones no pueden pasar a
través del firewall en forma segura.
• El rendimiento de la red puede disminuir.
Firewall de filtrado de paquetes
(Packet - filtering firewall)
• Típicamente consiste en un router con la capacidad de filtrar
paquetes con algún tipo de contenido, como información de capa 3
y, en ocasiones, de capa 4.
Firewall con estados
(Stateful firewall)
• Monitorea el estado de las conexiones, si están en estado de
iniciación, transferencia de datos o terminación.
Firewall gateway de aplicación
(proxy) (Application gateway
firewall)
• Filtra según información de las capas 3, 4, 5 y 7 del modelo de
referencia OSI. La mayoría del control y filtrado del firewall se
hace por software.
Firewall de traducción de
direcciones (Address translation
firewall)
• Expande el número de direcciones IP disponibles y esconde el
diseño del direccionamiento de la red.
Software-Defined Networking
Networkig
TRABAJO EN RED
INTERNET: la Red de REDES
Con una trayectoria de más 40 décadas de antigüedad

IP ROUTER
ENRUTADOR
Envía paquetes de datos de una red a otra, gracias a la
aplicación de ingeniería de tráfico para configurar la
mejor ruta, y a través de un ID único llamado IP.

LINE CARD
CPU
RIB
SHARED BUS
LINE CARD

Memory
Buffer
Primera Generación de IP Router
LINE CARD
94
András Császár, http://www.ericsson.com/res/thecompany/docs/journal_conference_papers/packet_technologies/evolution_of_router_architectures_and_ip_networks.pdf

Segunda Generación de IP Router

Buffer
CPU RIB Memory
SHARED BUS
Buffer Buffer Buffer

Memory Memory Memory
FORWARDER FORWARDER FORWARDER
LINE CARD LINE CARD LINE CARD

Tercera Generación de IP Router

SWITCHED
BACKPLANE
Buffer Buffer Buffer Buffer

Memory Memory
CPU RIB
Memory Memory
FORWARDER FORWARDER FORWARDER FORWARDER

CPU CARD
LINE CARD LINE CARD LINE CARD LINE CARD

Evolución de los IP Routers
SEPARACIÓN DE PLANOS - tienen tres planos bien identificados:
plano de control | plano de datos o forwarding | plano de Admon
ROUTER
Management Plane
(SSH, SNMP)
Control
Forwarding Plane Forwarding
Plane (RIB, [LIB]) Plane
(FIB, [LFIB]) (FIB, [LFIB])
El desarrollo arquitectónico
El plano de control se hahabía tenido
mantenido
lugarprácticamente
casi exclusivamente
igual. para el plano de
datos o forwarding.
Ejemplo de VRF
Backbone
B’
VRF A’
IP/MPLS VRF C’
ROUTER A ROUTER B
VRF C’
Internet
ROUTER C ROUTER D
VRF D’

Desafíos de las redes
Las redes actuales muchas veces son muy estáticas y lentas para cambiar y
dedicadas a un único servicio
ADEMÁS DE LA
LAS HABILIDADES
COSTOSA
NECESARIAS PARA
LA IMPLEMNETACIÓN ADQUISICIÓN DE
OPERAR SUELEN SER
CONFIGURACIÓN ESCASA O MODIFICACIÓN INFRAESTRUCTURA SE
COMPLEJAS Y PUEDEN
MANUAL AUTOMATIZACIÓN DE PUEDE DEMORAR DEBEN CONSIDERAR
DIFERIR DE LA
PROCESOS HORAS O DÍAS LOS COSTOS
SOLUCIÓN DE UN
ADICONALES PARA
FABRICANTE A OTRO
GRANTIZAR LA
SEGURIDAD

Nuevos requisitos de la red
• Eficiencia
§ SIMPLIFICAR LA RED Y LAS OPERACIONES.
• Velocidad
§ IMPLEMENTACIÓN RÁPIDA DE NUEVOS SERVICIOS.
• Innovación
§ PONER EN PRÁCTICA NUEVOS MODELOS DE NEGOCIO.

Big Picture SDN
CENTRALLY
MANAGED OPEN
10 Gbps Internet /
Servicios negocio
7.5 Gbps
Backup / VM
5 Gbps
2.5 Gbps
DECOUPLING
9 PM 12 AM 3 AM 6CONTROL
AM 9 AM
PROGRAMABLE
PLANE
Asignación dinámica de recursos

Arquitectura
Modelo de
Sistema
Operativo

Aplicación 1
Aplicación 2
Aplicación 3
Aplicación N
Modelo de
Sistema SISTEMA
Servicios básicos
OPERATIVO
Operativo
CPU Almacenamiento Memoria Red

Directamente programable
Aplicación N
Aplicación 1
Aplicación 2
Aplicación 3
PLANO DE APLICACIÓN
de Red
Configurado mediante interfaces de programación
Modelo de Gestión Centralizada

PLANO DE CONTROL SISTEMA
SDN SISTEMA
OPERATIVO
Servicios básicos
OPERATIVO
DE RED
White Boxes
Dispositivo
CPU Dispositivo
Almacenamiento Dispositivo
Memoria Dispositivo
Red
Forwarding Forwarding Forwarding Forwarding
PLANO DE DATOS (FORWARDING)

Net App 1
Net App 2
Net App 3
Net App N
Flujo de
tramas Sistema
Operativo
de Red
Dispositivo Dispositivo Dispositivo Dispositivo

Forwarding Forwarding Forwarding Forwarding

SERVER A
SDN
DESACOPLAR FÍSICAMENTE EL PLANO DE CONTROL
WHITEBOX A WHITEBOX B
Internet
WHITEBOX C WHITEBOX D

SERVER A
VTN
RED DE ARRENDAMIENTO VIRTUAL
WHITEBOX A WHITEBOX B
ISP A VoIPv6 / VC
v v
v v v
v
v
WiFi v v
v v
v
v Internet
WHITEBOX C v v WHITEBOX D
v v DATA CENTER
v v
v v
v v
v v Fuente: http://www.ericsson.com/spotlight/cloud/blog/2015/02/17/5g-network-slices/

Los motores de calculo de rutas
SFP vs. SDN
Fuente: https://www.youtube.com/watch?v=H1fuxmo0wTU&t=5s

Optimización de red
Fuente: https://www.youtube.com/watch?v=H1fuxmo0wTU&t=5s

Visión historica de SDN
LOS DESPLIEGUES DE SDN/OPENFLOW FUERON
INICIALMENTE DE INVESTIGACIÓN EN LAS REDES
DE LAS UNIVERSIDADES (STANFORD).
ANTES DE LA CREACIÓN DE LA ONF EN 2011, LA

ESPECIFICACIÓN OPENFLOW FUE GESTIONADA POR
UN GRUPO DE INDIVIDUOS REUNIDOS FÍSICAMENTE
EN LA UNIVERSIDAD DE STANFORD.
OPENFLOW ES SÓLO UNA INSTANCIA DE LOS

PRINCIPIOS SDN.
SDN ES UNA HERRAMIENTA PARA PERMITIR UN

MAYOR GRADO DE CONTROL SOBRE LOS
DISPOSITIVOS DE RED.

¿Qué es OpenFlow?
• Es un estándar administrado por la
Open Networking Foundation (ONF).
• Se originó en la Universidad de
Stanford entre 2005-2012
Dr. Martín Casado
Fuente: https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.3.0.pdf

¿Qué es OpenFlow?
• OPENFLOW ES SIMPLEMENTE UN PROTOCOLO DE
GESTIÓN DE TABLA DE FORWARDING.
• UN SWITCH OPENFLOW CONSISTE DE:
§ UNA TABLA DE FLUJOS,
§ QUE REALIZA LAS OPERACIONES DE BÚSQUEDA Y
EXPEDICIÓN DE TRAMAS, Y
§ UN CANAL SEGURO A UN CONTROLADOR EXTERNO.
Tabla de
• ENTRADAS DE FLUJO (VALORES DE CABECERA
QUE COINCIDAN CONTRA LAS TRAMAS).
• CONTADORES DE ACTIVIDAD.
• UN CONJUNTO DE ACCIONES QUE SE APLICAN
flujos A LAS TRAMAS QUE CONCUERDEN.

• SI NO HAY ACCIONES QUE ESTÉN PRESENTES,
LA TRAMA ES DESCARTADA.
OpenFlow Switch Specification – version 1.3.0

https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.3.0.pdf
Elementos básicos: Controladora y
agentes • ALGUNAS FUNCIONALIDADES ESTÁN MEJOR
IMPLEMENTADAS DESDE LA COORDINACIÓN
CENTRALIZADA DE TODOS LOS
DISPOSITIVOS EN UN DOMINIO DE RED.
Aplicaciones
CONTROLADORA - PROCESO
EN UN SERVIDOR QUE
INTERACTÚA CON LOS
DISPOSITIVOS DE RED
UTILIZANDO APIS / API
PROTOCOLOS.
CONTROLADORA
Switch OF
API - PERMITEN QUE
LAS APLICACIONES Agente
AGENTE - PROCESO OF
EXTERNAS HABLAR
EN DISPOSITIVOS DE
CON LA
RED QUE
CONTROLADORA PARA
IMPLEMENTAN UNA
CONSULTAR Y
FUNCIÓN
CAMBIAR LA
CONFIGURACIÓN DE ESPECÍFICA.
Agente
LA RED. OF Agente
OF
Switch OF
Switch OF
OpenFlow tiene 2 componentes
•CONTROLA UNO O MÁS SWITCHES.
•FORMULA FLUJOS.
OPENFLOW •PROGRAMA SWITCHES.
•LAS APLICACIONES PUEDEN EJECUTARSE EN LA MISMO
CONTROLLER ESPACIO DE DIRECCIONES COMO LA CONTROLADORA.
•LAS DIRECTIVAS PUEDEN PROVENIR DE APLICACIONES
EXTERNAS A TRAVÉS DE REST API.
OPENFLOW •EL AGENTE OPENFLOW SE EJECUTA EN EL SWITCH

PARA COMUNICARSE CON LA CONTROLADORA.
SWITCH •LAS INSTRUCCIONES PROVIENEN DE LA CONTROLADORA
PARA POBLAR LA TABLA DE FUJO DEL SWITCH.

• NOX
§ FUE LA PRIMERA CONTROLADORA OPENFLOW.
§ HA SIDO LA BASE DE MUCHOS Y DIVERSOS PROYECTOS DE
INVESTIGACIÓN, A COMIENZOS DE LA EXPLORACIÓN DE LAS
REDES DEFINIDAS POR SOFTWARE.
§ POX
§ ES UNA VERSIÓN DE NOX EN PYTHON QUE PROPORCIONA
FUNCIONALIDAD DENTRO DE UN AMBIENTE DE PROTOTIPO
RÁPIDO.

• Proyecto Open Source
§ Miembros Platinum como: Brocade, Cisco, Citrix,
Dell, Ericsson, HP, Intel, Red Hat, entre otros
§ Incluye soporte de multiples protocolos (southbound)
§ OpenFlow, OVSDB, NetConf, BGP-LS, PCE, etcétera.
§ Northbound API: RestConf con YANG
§ Servicio central es un YANG.

• El proyecto ONOS esta asociado con el Linux
Foundation
§ Tiene Como Misión Construir La Mejor Comunidad De
Código Abierto Para Acelarar La Adopción De SDN+NFV.
§ Incluye Conectores (Plug-in) Hacia Diversos
Dispositivos, Como:
§ Openflow, Netconf, Southbound Interfaces.
§ En La Parte Norte Cuenta Con Módulos De Control,
Administración Y Configuración De Aplicaciones.
§ A Través De Una Interfaz De Programación, Intuitiva,
Flexible.

Componentes de la tabla de flujos
show openflow flow
Cada entrada de la tabla de flujos contiene: Reglas, acciones y contadores.
1. Enviar trama a puerto de salida

Regla 2. Encapsular y enviar a controladora
OpenFlow 1.3 3.
4.
Descartar trama
Procesamiento normal de
enrutamiento y envío
5. Aplicar calidad de servicio
6. Modificar campos de la trama
Acciones
Contadores de Paquetes | Bytes

Estadís-
ticas
IPv4 / IPv6

Prioridades en los Flujos
• Las tramas se comparan con las entradas de flujo basado en prioridades.
• La primer entrada con una coincidencia exacta aplicará y no continuará
avanzando. Drop
• Los números más altos tienen mayor 4
prioridad.
2 3

Red híbrida (Switch)
• Una red híbrida tiene ambas modalidades de switch tradicional y SDN
switch operando en la misma topología.
• Los puertos pueden ser designados como puertos sólo OpenFlow, el
resto de los puertos de operar bajo el control del sistema operativo del
switch o de modo híbrido.
• Protegiendo una o varias VLAN

Puertos híbridos
Ingreso de
trama
OpenFlow A controladora
No
¿Concuerda ¿Configuraci-
No No No Por defecto:
¿VLAN con la ón de puerto
¿No concuerda
Protegida? entrada L2/VPLS
= descartar?
Openflow? VLAN?
Sí
Sí
Sí
Ejecución de Acción
OpenFlow Sí
Descarta trama
¿Configuraci-
ón de puerto Sí Procesamiento normal de
L2/VPLS enrutamiento y envío
VLAN?
No

Conexión Switch OF
SDN controller ODL
Switch OF
LAN
ISP 1 Taller SDN/NFV
IPv4 /IPv6
Data Center
SDN & NFV - IPv6
Representaciones lógicas de: v
Funciones de capa 2: vSwitches
Funciones de capa 3: vRouter
Funciones de seguridad: vFirewall
De túneles: vTunnel
Virtual interface v
v
De conectividad capa 1: Virtual Link (vLink)
v
v
v
v
v
NFV & IPv6
v v
v v
v
v

Desarrollo de aplicación SDN – NOC-UDG
Back-End
Aplicación de código abierto

para la mitigación de ataques DoS
Front-End y congestión del tráfico.
A través del monitoreo proactivo
y el establecimiento de políticas de flujo.
sFlow-RT sFlow collector
Web service API Parte Norte

Plano de Control
Aplicación
FlowBot
Traffic Controller
sFlow datagram
sFlow datagram
sFlow datagram
Sistema Operativo de red OpenDayLight Lithium
based
OpenFlow controller
OpenFlow 1.3
Entrada de paquetes Salida de paquetes
Plano de datos
IPv6/IPv4
Router/switch OpenFlow Parte Sur

Dashboard de la Aplicación SDN
•Monitoreo y detección de patrones de
comportamiento en la red (congestión,
abusos, DoS, etc.).
•A través de ports mirror, sflow, syslog,
etc.
•Soporte de los protocolos IPv6 e IPv4.
•Registro de lista de blanca de direcciones IP
(VIP).
•Acciones:
•Redireccionamiento de tráfico.
•Bloqueo de tráfico.
•Limitar el ancho de banda.
•Balanceo de cargas de tráfico.
•Tiempos de contención.
Recopilación por Jaime Olmos 2017 Mascota oficial: León Negro 129
¡Gracias!
Mtro. Jaime Olmos de la

Cruz
Responsable del NOC-UDG
http://www.ipv6.udg.mx
http://ipv6test.udg.mx
jaime@noc.udg.mx
@olmosv6

Mecanismos de Seguridad

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Mecanismos de Seguridad

Cargado por

Copyright:

Formatos disponibles

DIPLOMADO BÁSICO DE

SEGURIDAD INFORMÁTICA 2017

Router Switch Server Computer

• Configuración en receptor (Linux)

DIPLOMADO BÁSICO DE Wireshark

SSH@Router# show monitor actual

DIPLOMADO BÁSICO DE Wireshark

Eventos de Seguridad Compliance Loggin

• Si está mal configurado, el firewall puede

Recopilación por Jaime Olmos 2017 92

Recopilación por Jaime Olmos 2017 93

Recopilación por Jaime Olmos 2017

András Császár, http://www.ericsson.com/res/thecompany/docs/journal_conference_papers/packet_technologies/evolution_of_router_architectures_and_ip_networks.pdf

András Császár, http://www.ericsson.com/res/thecompany/docs/journal_conference_papers/packet_technologies/evolution_of_router_architectures_and_ip_networks.pdf

Buffer Buffer Buffer

FORWARDER FORWARDER FORWARDER

LINE CARD LINE CARD LINE CARD

Recopilación por Jaime Olmos 2017 95

András Császár, http://www.ericsson.com/res/thecompany/docs/journal_conference_papers/packet_technologies/evolution_of_router_architectures_and_ip_networks.pdf

Buffer Buffer Buffer Buffer

FORWARDER FORWARDER FORWARDER FORWARDER

Recopilación por Jaime Olmos 2017 96

Recopilación por Jaime Olmos 2017 98

Recopilación por Jaime Olmos 2017 99

Recopilación por Jaime Olmos 2017 100

Recopilación por Jaime Olmos 2017 101

Recopilación por Jaime Olmos 2017 102

CPU Almacenamiento Memoria Red

Recopilación por Jaime Olmos 2017 103

Configurado mediante interfaces de programación

Modelo de Gestión Centralizada

PLANO DE DATOS (FORWARDING)

Dispositivo Dispositivo Dispositivo Dispositivo

Recopilación por Jaime Olmos 2017 105

Recopilación por Jaime Olmos 2017 106

Recopilación por Jaime Olmos 2017 107

Recopilación por Jaime Olmos 2017 108

Recopilación por Jaime Olmos 2017 109

ANTES DE LA CREACIÓN DE LA ONF EN 2011, LA

OPENFLOW ES SÓLO UNA INSTANCIA DE LOS

SDN ES UNA HERRAMIENTA PARA PERMITIR UN

Recopilación por Jaime Olmos 2017 110

Recopilación por Jaime Olmos 2017 111

flujos A LAS TRAMAS QUE CONCUERDEN.

OpenFlow Switch Specification – version 1.3.0

OPENFLOW •EL AGENTE OPENFLOW SE EJECUTA EN EL SWITCH

Recopilación por Jaime Olmos 2017 114

Recopilación por Jaime Olmos 2017 115

Recopilación por Jaime Olmos 2017 116

Recopilación por Jaime Olmos 2017 120

1. Enviar trama a puerto de salida

Contadores de Paquetes | Bytes

Recopilación por Jaime Olmos 2017 121

Recopilación por Jaime Olmos 2017 122

Recopilación por Jaime Olmos 2017 123

Recopilación por Jaime Olmos 2017 124

Recopilación por Jaime Olmos 2017 126

Aplicación de código abierto

Web service API Parte Norte

Recopilación por Jaime Olmos 2017 128

Mtro. Jaime Olmos de la

Recopilación por Jaime Olmos 2017 130