INVESTIGACIÓN EN (JNIC2021 LIVE) - Manuel A. Serrano - Eduardo Fernández-Medina Cristina Alcaraz - Noemí de Castro - Guillermo Calvo - UCLM
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
EDITORES: Manuel A. Serrano - Eduardo Fernández-Medina Cristina Alcaraz - Noemí de Castro - Guillermo Calvo Actas de las VI Jornadas Nacionales (JNIC2021 LIVE) INVESTIGACIÓN EN
Investigación en Ciberseguridad Actas de las VI Jornadas Nacionales ( JNIC2021 LIVE) Online 9-10 de junio de 2021 Universidad de Castilla-La Mancha
Investigación en Ciberseguridad Actas de las VI Jornadas Nacionales ( JNIC2021 LIVE) Online 9-10 de junio de 2021 Universidad de Castilla-La Mancha Editores: Manuel A. Serrano, Eduardo Fernández-Medina, Cristina Alcaraz Noemí de Castro Guillermo Calvo Cuenca, 2021
© de los textos e ilustraciones: sus autores © de la edición: Universidad de Castilla-La Mancha Edita: Ediciones de la Universidad de Castilla-La Mancha. Colección JORNADAS Y CONGRESOS n.º 34 © de los textos: sus autores. © de la edición: Universidad de Castilla-La Mancha. © de los textos e ilustraciones: sus autores © de la edición: Universidad de Castilla-La Mancha Edita: Ediciones Esta de la Universidad editorial esdemiembro Castilla-Lade Mancha la UNE, lo que garantiza la difusión y comercialización de sus publicaciones a nivel nacional e internacional Colección JORNADAS Edita: Ediciones de YlaCONGRESOS Universidad de n.º Castilla-La 34 Mancha. Colección JORNADAS Y CONGRESOS n.º 34 I.S.B.N.: 978-84-9044-463-4 Esta editorial es miembro de la UNE, lo que garantiza la difusión y comercialización de sus publi- caciones a nivel nacional e internacional. D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00 Esta editorial es miembro de la UNE, lo que garantiza la difusión y I.S.B.N.: 978-84-9044-463-4 comercialización de sus publicaciones a nivel nacional e internacional D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00 I.S.B.N.: Esta obra 978-84-9044-463-4 se encuentra bajo una licencia internacional Creative Commons CC BY 4.0. D.O.I.: http://doi.org/10.18239/jornadas_2021.34.00 Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0. obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra no incluida autorización en expresa la licencia Creative de los CC Commons titulares, salvopuede BY 4.0 solo excepción prevista ser realizada con la por la ley. Puede autorización Vd. expresa de losacceder titulares, al texto completo de la licencia en este enlace: salvo excepción prevista por la ley. Puede Vd. acceder al texto completo de la licencia en este enlace: https:// https://creativecommons.org/licenses/by/4.0/deed.es creativecommons.org/licenses/by/4.0/deed.es Esta obra se encuentra bajo una licencia internacional Creative Commons CC BY 4.0. Hecho en España (U.E.) – Made in Spain (E.U.) Hecho en España Cualquier forma de(U.E.) – Made indistribución, reproducción, Spain (E.U.)comunicación pública o transformación de esta obra no incluida en la licencia Creative Commons CC BY 4.0 solo puede ser realizada con la autorización expresa de los titulares, salvo excepción prevista por la ley. Puede Vd. acceder al texto completo de la licencia en este enlace: https://creativecommons.org/licenses/by/4.0/deed.es Hecho en España (U.E.) – Made in Spain (E.U.)
Bienvenida del Comité Organizador Tras la parada provocada por la pandemia en 2020, las VI Jornadas Nacionales de Investiga- ción en Ciberseguridad ( JNIC) vuelven el 9 y 10 de Junio del 2021 con energías renovadas, y por primera vez en su historia, en un formato 100% online. Esta edición de las JNIC es organizada por los grupos GSyA y Alarcos de la Universidad de Castilla-La Mancha en Ciudad Real, y con la activa colaboración del comité ejecutivo, de los presidentes de los distintos comités de programa y del Instituto Nacional de Ciberseguridad (INCIBE). Continúa de este modo la senda de consolidación de unas jornadas que se celebraron por primera vez en León en 2015 y le siguieron Granada, Madrid, San Sebastián y Cáceres, consecutivamente hasta 2019, y que, en condiciones normales se habrían celebrado en Ciudad Real en 2020. Estas jornadas se han convertido en un foro de encuentro de los actores más relevantes en el ámbito de la ciberseguridad en España. En ellas, no sólo se presentan algunos de los trabajos científicos punteros en las diversas áreas de ciberseguridad, sino que se presta especial atención a la formación e innovación educativa en materia de ciberseguridad, y también a la conexión con la industria, a través de propuestas de transferencia de tecnología. Tanto es así que, este año se presentan en el Programa de Transferencia algunas modificaciones sobre su funcionamiento y desarrollo que han sido diseñadas con la intención de mejorarlo y hacerlo más valioso para toda la comunidad investigadora en ciberseguridad. Además de lo anterior, en las JNIC estarán presentes excepcionales ponentes (Soledad Antelada, del Lawrence Berkeley National Laboratory, Ramsés Gallego, de Micro Focus y Mónica Mateos, del Mando Conjunto de Ciberdefensa) mediante tres charlas invitadas y se desarrollarán dos mesas redondas. Éstas contarán con la participación de las organizaciones más relevantes en el panorama industrial, social y de emprendimiento en relación con la ciber- seguridad, analizando y debatiendo el papel que está tomando la ciberseguridad en distintos ámbitos relevantes. En esta edición de JNIC se han establecido tres modalidades de contribuciones de inves- tigación, los clásicos artículos largos de investigación original, los artículos cortos con investi- gación en un estado más preliminar, y resúmenes extendidos de publicaciones muy relevantes y de alto impacto en materia de ciberseguridad publicados entre los años 2019 y 2021. En el caso de contribuciones de formación e innovación educativa, y también de transferencias se han considerado solamente artículos largos. Se han recibido para su valoración un total de 86 7
Bienvenida del Comité Organizador contribuciones organizadas en 26, 27 y 33 artículos largos, cortos y resúmenes ya publicados, de los que los respectivos comités de programa han aceptado 21, 19 y 27, respectivamente. En total se ha contado con una ratio de aceptación del 77%. Estas cifras indican una participación en las jornadas que continúa creciendo, y una madurez del sector español de la ciberseguridad que ya cuenta con un volumen importante de publicaciones de alto impacto. El formato online de esta edición de las jornadas nos ha motivado a organizar las jornadas de modo más compacto, distinguiendo por primera vez entre actividades plenarias (charlas invitadas, mesas redondas, sesión de formación e innovación educativa, sesión de transfe- rencia de tecnología, junto a inauguración y clausura) y sesiones paralelas de presentación de artículos científicos. En concreto, se han organizado 10 sesiones de presentación de artículos científicos en dos líneas paralelas, sobre las siguientes temáticas: detección de intrusos y gestión de anomalías (I y II), ciberataques e inteligencia de amenazas, análisis forense y cibercrimen, ciberseguridad industrial, inteligencia artificial y ciberseguridad, gobierno y riesgo, tecnologías emergentes y entrenamiento, criptografía, y finalmente privacidad. En esta edición de las jornadas se han organizado dos números especiales de revistas con elevado factor de impacto para que los artículos científicos mejor valorados por el comité de programa científico puedan enviar versiones extendidas de dichos artículos. Adicionalmente, se han otorgado premios al mejor artículo en cada una de las categorías. En el marco de las JNIC también hemos contado con la participación de la Red de Excelencia Nacional de Investigación en Ciberseguridad (RENIC), impulsando la ciberseguridad a través de la entrega de los premios al Mejor Trabajo Fin de Máster en Ciberseguridad y a la Mejor Tesis Doctoral en Ciberseguridad. Tam- bién se ha querido acercar a los jóvenes talentos en ciberseguridad a las JNIC, a través de un CTF (Capture The Flag) organizado por la Universidad de Extremadura y patrocinado por Viewnext. Desde el equipo que hemos organizado las JNIC2021 queremos agradecer a todas aquellas personas y entidades que han hecho posible su celebración, comenzando por los autores de los distintos trabajos enviados y los asistentes a las jornadas, los tres ponentes invitados, las personas y organizaciones que han participado en las dos mesas redondas, los integrantes de los distintos comités de programa por sus interesantes comentarios en los procesos de revisión y por su colaboración durante las fases de discusión y debate interno, los presidentes de las sesiones, la Universidad de Extremadura por organizar el CTF y la empresa Viewnext por patrocinarlo, los técnicos del área TIC de la UCLM por el apoyo con la plataforma de comu- nicación, los voluntarios de la UCLM y al resto de organizaciones y entidades patrocinadoras, entre las que se encuentra la Escuela Superior de Informática, el Departamento de Tecnologías y Sistemas de Información y el Instituto de Tecnologías y Sistemas de Información, todos ellos de la Universidad de Castilla-La Mancha, la red RENIC, las cátedras (Telefónica e Indra) y aulas (Avanttic y Alpinia) de la Escuela Superior de Informática, la empresa Cojali, y muy especialmente por su apoyo y contribución al propio INCIBE. Manuel A. Serrano, Eduardo Fernández-Medina Presidentes del Comité Organizador Cristina Alcaraz Presidenta del Comité de Programa Científico Noemí de Castro Presidenta del Comité de Programa de Formación e Innovación Educativa Guillermo Calvo Flores Presidente del Comité de Transferencia Tecnológica 8
Índice General Comité Ejecutivo.............................................................................................. 11 Comité Organizador........................................................................................ 12 Comité de Programa Científico....................................................................... 13 Comité de Programa de Formación e Innovación Educativa........................... 15 Comité de Transferencia Tecnológica............................................................... 17 Comunicaciones Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I 21 Sesión de Investigación A2: Detección de intrusiones y gestión de anomalías II 55 Sesión de Investigación A3: Ciberataques e inteligencia de amenazas............. 91 Sesión de Investigación A4: Análisis forense y cibercrimen............................. 107 Sesión de Investigación A5: Ciberseguridad industrial y aplicaciones.............. 133 Sesión de Investigación B1: Inteligencia Artificial en ciberseguridad............... 157 Sesión de Investigación B2: Gobierno y gestión de riesgos.............................. 187 Sesión de Investigación B3: Tecnologías emergentes y entrenamiento en ciberseguridad................................................................................................... 215 Sesión de Investigación B4: Criptografía.......................................................... 235 Sesión de Investigación B5: Privacidad............................................................. 263 Sesión de Transferencia Tecnológica................................................................ 291 Sesión de Formación e Innovación Educativa.................................................. 301 Premios RENIC.............................................................................................. 343 Patrocinadores................................................................................................. 349 9
Comité Ejecutivo Juan Díez González INCIBE Luis Javier García Villalba Universidad de Complutense de Madrid Eduardo Fernández-Medina Patón Universidad de Castilla-La Mancha Guillermo Suárez-Tangil IMDEA Networks Institute Andrés Caro Lindo Universidad de Extremadura Pedro García Teodoro Universidad de Granada. Representante de red RENIC Noemí de Castro García Universidad de León Rafael María Estepa Alonso Universidad de Sevilla Pedro Peris López Universidad Carlos III de Madrid 11
Comité Organizador Presidentes del Comité Organizador Eduardo Fernández-Medina Patón Universidad de Castilla-la Mancha Manuel Ángel Serrano Martín Universidad de Castilla-la Mancha Finanzas David García Rosado Universidad de Castilla-la Mancha Luis Enrique Sánchez Crespo Universidad de Castilla-la Mancha Actas Antonio Santos-Olmo Parra Universidad de Castilla-la Mancha Difusión Julio Moreno García-Nieto Universidad de Castilla-la Mancha José Antonio Cruz Lemus Universidad de Castilla-la Mancha María A Moraga de la Rubia Universidad de Castilla-la Mancha Webmaster Aurelio José Horneros Cano Universidad de Castilla-la Mancha Logística y Organización Ignacio García-Rodriguez de Guzmán Universidad de Castilla-la Mancha Ismael Caballero Muñoz-Reja Universidad de Castilla-la Mancha Gregoria Romero Grande Universidad de Castilla-la Mancha Natalia Sanchez Pinilla Universidad de Castilla-la Mancha 12
Comité de Programa Científico Presidenta Cristina Alcaraz Tello Universidad de Málaga Miembros Aitana Alonso Nogueira INCIBE Marcos Arjona Fernández ElevenPaths Ana Ayerbe Fernández-Cuesta Tecnalia Marta Beltrán Pardo Universidad Rey Juan Carlos Carlos Blanco Bueno Universidad de Cantabria Jorge Blasco Alís Royal Holloway, University of London Pino Caballero-Gil Universidad de La Laguna Andrés Caro Lindo Universidad de Extremadura Jordi Castellà Roca Universitat Rovira i Virgili José M. de Fuentes García-Romero de Tejada Universidad Carlos III de Madrid Jesús Esteban Díaz Verdejo Universidad de Granada Josep Lluis Ferrer Gomila Universitat de les Illes Balears Dario Fiore IMDEA Software Institute David García Rosado Universidad de Castilla-La Mancha Pedro García Teodoro Universidad de Granada Luis Javier García Villalba Universidad Complutense de Madrid Iñaki Garitano Garitano Mondragon Unibertsitatea Félix Gómez Mármol Universidad de Murcia Lorena González Manzano Universidad Carlos III de Madrid María Isabel González Vasco Universidad Rey Juan Carlos I Julio César Hernández Castro University of Kent Luis Hernández Encinas CSIC Jorge López Hernández-Ardieta Banco Santander Javier López Muñoz Universidad de Málaga Rafael Martínez Gasca Universidad de Sevilla Gregorio Martínez Pérez Universidad de Murcia 13
David Megías Jiménez Universitat Oberta de Cataluña Luis Panizo Alonso Universidad de León Fernando Pérez González Universidad de Vigo Aljosa Pasic ATOS Ricardo J. Rodríguez Universidad de Zaragoza Fernando Román Muñoz Universidad Complutense de Madrid Luis Enrique Sánchez Crespo Universidad de Castilla-La Mancha José Soler Technical University of Denmark-DTU Miguel Soriano Ibáñez Universidad Politécnica de Cataluña Victor A. Villagrá González Universidad Politécnica de Madrid Urko Zurutuza Ortega Mondragon Unibertsitatea Lilian Adkinson Orellana Gradiant Juan Hernández Serrano Universitat Politécnica de Cataluña 14
Comité de Programa de Formación e Innovación Educativa Presidenta Noemí De Castro García Universidad de León Miembros Adriana Suárez Corona Universidad de León Raquel Poy Castro Universidad de León José Carlos Sancho Núñez Universidad de Extremadura Isaac Agudo Ruiz Universidad de Málaga Ana Isabel González-Tablas Ferreres Universidad Carlos III de Madrid Xavier Larriva Universidad Politécnica de Madrid Ana Lucila Sandoval Orozco Universidad Complutense de Madrid Lorena González Manzano Universidad Carlos III de Madrid María Isabel González Vasco Universidad Rey Juan Carlos David García Rosado Universidad de Castilla - La Mancha Sara García Bécares INCIBE 15
Comité de Transferencia Tecnológica Presidente Guillermo Calvo Flores INCIBE Miembros José Luis González Sánchez COMPUTAEX Marcos Arjona Fernández ElevenPaths Victor Villagrá González Universidad Politécnica de Madrid Luis Enrique Sánchez Crespo Universidad de Castilla – La Mancha 17
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I http://doi.org/10.18239/jornadas_2021.34.05 Despliegue de técnicas SDNFV para la detección, gestión y mitigación de amenazas a la seguridad de centros de supercomputación (HPC) Felipe Lemus Prieto ID David Cortés-Polo ID José-Luis González-Sánchez ID CénitS Universidad de Extremadura CénitS Carretera Nacional 521 Km. 41,8 Avda. Universidad S/N EPCC Carretera Nacional 521 Km. 41,8 10.071 Cáceres 10.071 Cáceres 10.071 Cáceres felipe.lemus@cenits.es dcorpol@unex.es joseluis.gonzalez@cenits.es Jesús Calle-Cancho ID Luis Ignacio Jiménez Gil ID CénitS CénitS Carretera Nacional 521 Km. 41,8 10.071 Cáceres Carretera Nacional 521 Km. 41,8 10.071 Cáceres jesus.calle@cenits.es luisignacio.jimenez@cenits.es Resumen—Los incidentes de seguridad son cada vez más la utilización de los recursos. Sin embargo, el incremento frecuentes en todo tipo de organizaciones que experimentan el de servicios virtualizados, la interconexión de máquinas en impacto negativo provocado por este tipo de amenazas. Los cen- remoto o el uso de recursos en plataformas cloud para tros de supercomputación que prestan servicios de computación de alto rendimiento no son ajenos a este tipo de incidentes que incorporarlos al cómputo local, han hecho que los mecanismos afectan a la alta disponibilidad que estos centros crı́ticos deben de seguridad tradicionales no sean suficientes para asegurar garantizar. Por ello, la investigación y diseño de infraestructuras que los recursos de cómputo estén siendo usados de forma que permitan detectar, gestionar y mitigar las amenazas a la correcta y equitativa con respecto al resto de los usuarios. seguridad de este tipo de centros de datos es especialmente Con estas necesidades, los protocolos de comunicaciones, necesaria. Se presenta la investigación en la softwarización y virtualización de red para implementar una infraestructura de ası́ como el hardware de red que se está desplegando en los red basada en NFV y SDN. Se ha desplegado esta infraestructura centros de supercomputación, no sólo atienden a métodos de red donde se aplican tecnologı́as de nueva generación para tradicionales de computación, sino que están migrando a mitigar los incidentes de seguridad mediante funciones de red tecnologı́as como las redes definidas por software (Software virtualizadas y desplegadas en contenedores. Defined Networks, SDN) o a la virtualización de funciones Index Terms—Supercomputación, HPC, seguridad, SDN, NFV de red (Network Function Virtualization, NFV) como dos de las principales tecnologı́as. Tipo de contribución: Investigación en desarrollo Estas dos tendencias en las comunicaciones, basadas en software, proveen una mayor versatilidad a las redes de I. I NTRODUCCI ÓN comunicaciones de forma que pueden ser fácilmente inte- Los centros de supercomputación ofrecen recursos de grables en los centros de supercomputación, siendo, además, computación de altas prestaciones (High Performance Compu- herramientas indispensables para gestionar la seguridad en ting, HPC) escalables, asociados a una institución o grupo de estas infraestructuras [4]. usuarios y adaptados a las necesidades concretas de cada perfil Las arquitecturas SDN y NFV aportan numerosos benefi- de usuario. La partición de los recursos busca la reproduci- cios a este paradigma de arquitecturas de computación y, por bilidad de los experimentos en múltiples infraestructuras de tanto, la integración de ambas en un único marco denominado computación, para que cualquier investigador pueda, a partir red definida por software con funciones virtualizadas (Softwa- de esos experimentos, continuar con el trabajo previamente re Defined NFV, o SDNFV) [5] puede resultar especialmente realizado. Por ello, los entornos de software modulares [1], útil. Es por esto por lo que, a través de una SDNFV, se pueden entornos virtuales [2] o software cientı́fico desplegado en incluir mejoras importantes en los mecanismos de detección contenedores [3] se han convertido en herramientas cotidianas y mitigación de los problemas de seguridad en la red [6]. en los centros de supercomputación, en los que los investiga- La sección II de este artı́culo introduce la arquitectura de dores desarrollan sus aplicaciones que son ejecutadas sobre los red SDNFV usada en esta investigación, ası́ como el diseño y recursos de cómputo. Estas herramientas garantizan, además, el desarrollo de los protocolos que la componen. En la sección la reproducibilidad en los experimentos. Por contra, esta III, se presenta la detección y la mitigación de amenazas virtualización de recursos en un supercomputador hace mucho de seguridad en una red basada en SDNFV, describiendo el más compleja la gestión de la seguridad de la infraestructura. algoritmo para detectar un posible problema de seguridad ası́ Mecanismos como los cortafuegos (software o hardware) o cómo los mecanismos para mitigarlo usando funciones de red las listas de control de acceso (ACL) eran suficientes para virtualizadas en un escenario real. Finalmente, la sección IV gestionar de forma eficiente el acceso a la infraestructura y resume las conclusiones del trabajo realizado. 43
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I II. DESPLIEGUE DE MECANISMOS DE Con esta funcionalidad, el switch adquiere la capacidad SEGURIDAD SOBRE UNA RED SDNFV de reaccionar ante eventos a nivel de paquete, por ejemplo, IMPLEMENTADA EN UN CENTRO HPC analizando los flujos que se están conmutando. Si el resultado En una arquitectura SDN pura el controlador tiene la del análisis coincide con las reglas que el switch tiene en las función principal de gestionar el plano de control y la con- tablas de flujo, entonces puede actuar de acuerdo con la regla. mutación de los flujos en la red. Esta función se mantiene La Fig. 2 muestra la arquitectura de OpenState con la que en una red basada en SDNFV que define servicios de red se ha conseguido que la implementación de las aplicaciones complejos que se ejecutarán en un hardware de propósito de red se simplifique y aumente el rendimiento de estas [11]. general, reemplazando el tradicional hardware especı́fico crea- Se ha modificado el código del switch CPqD/ofsoftswitch13 do para realizar las funciones de comunicación [7]. Dicha para implementar las capacidades OpenState, introduciéndolas función debe complementarse con la orquestación de recursos como una extensión experimental de OpenFlow. Para poder virtualizados en la red, con el fin de implementar las funciones realizarlo, la especificación OpenFlow define la estructura virtualizadas y administrar el ciclo de vida de la función. común de los campos experimentales, con un conjunto de Desde el punto de vista de la seguridad, la función del mensajes y acciones que deben ser definidos. controlador/orquestador es muy importante porque gestiona II-B. Implementación de las funciones NFV servicios clave cuyo propósito es detectar, gestionar y mitigar La arquitectura NFV se implementa mediante dockers en un un ataque, reservar recursos de red para crear black holes y/o clúster de contenedores. El controlador de red debe conocer analizar los flujos de datos de la comunicación. la información del clúster la cual incluye información del La Fig. 1, muestra la arquitectura propuesta y cómo se in- hardware implementado, ası́ como el rango IP usado por el terconectan SDN y NFV mediante el controlador/orquestador clúster. Todas estas caracterı́sticas definen el NFVI. desplegado en la red. Como puede observarse, la arquitectura Con esta información, el controlador puede gestionar los SDNFV se divide en diferentes tipos de nodos interconectados recursos y desplegar las funciones virtualizadas. Como ya en la red, con dos tipos diferenciados de switches SDN. se ha indicado anteriormente, las funciones de la red están A continuación, se detallan individualmente las tecnologı́as empaquetadas en contenedores docker, de modo que la im- usadas en la red SDNFV, especificando la implementación plementación de la función es independiente de la plataforma de SDN y de NFV usadas para, a través de la conjunción utilizada para desplegarla. de ambas, desarrollar un sistema de detección, gestión y El NFVI se interconecta con la red SDNFV a través de mitigación de un ataque real. interfaces de red fı́sica (pNIC). Estas NIC intercambian los II-A. Implementación de la red SDN paquetes entre las funciones de red virtualizadas y la red SDN. En la arquitectura propuesta, la red SDN está compuesta Cada función virtualizada incluida en un contenedor tiene dos por dos tipos de switches. Los switches OpenvSwitch (OVS) interfaces de red virtual, que están interconectadas a través de [8] no son switches inteligentes y su función principal es un bridge. conmutar los paquetes por la red siguiendo las reglas marcadas Con este enfoque, un pequeño clúster puede implementar por el controlador. Este switch también se implementa en los un gran número de instancias, configurando la conexión de diferentes clústeres de contenedores usados para desplegar los red y las interfaces que permiten la comunicación entre los dockers que implementan la arquitectura NFV. contenedores. El switch CPqD [9], modificado por el grupo de tra- Los dockers implementan su funcionalidad básica en un bajo del proyecto BEhavioural BAsed forwarding (BEBA) fichero conocido como Dockerfile. Este archivo incluye un [10], implementa la propuesta OpenState [11], ampliando conjunto de instrucciones para construir automáticamente el las funcionalidades principales de OpenFlow e incluyendo entorno en una imagen de docker. Esta imagen crea una las capacidades para aplicar diferentes reglas basadas en la instancia en el NFVI para ejecutar la función en la red coincidencia con los estados descritos en las tablas de flujo SDNFV. La comunicación entre el controlador/orquestador SDN del switch. y el NFVI se cifra mediante un canal seguro para enviar la configuración de la función de red virtualizada, crear el Dockerfile y los comandos necesarios para implementar la función virtualizada en la infraestructura. II-C. Implementación del Controlador/Orquestador El controlador desplegado en la arquitectura es Ryu [12] y está basado en componentes que son desarrollados para implementar las distintas funcionalidades. Para incluir las funciones básicas de BEBA en Ryu, se deben implementar nuevos mensajes, acciones y campos de comprobación. De hecho, para que el controlador gestione las capacidades BEBA, su implementación básica debe ampliarse, incluyendo las capacidades de gestión de toda la información que proporcionan las diferentes tablas de gestión de flujo. La implementación de BEBA utiliza la funcionalidad apor- Fig. 1. Red SDNFV propuesta tada por OpenFlow para incorporar mensajes experimentales, 44
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I Fig. 2. Arquitectura Openstate usados para implementar la lógica de control, ası́ como III. DETECCI ÓN Y MITIGACI ÓN DE ATAQUE EN definir el payload de los paquetes que deben transportar RED SDNFV la información requerida para conmutar el tráfico, tomar Un centro de supercomputación es un escenario especial- decisiones sobre los flujos o ejecutar reglas en la red. Para mente crı́tico por lo que ha sido necesario crear un entorno esta investigación todas las modificaciones se han realizado seguro para realizar las primeras pruebas sobre la red SDNFV sobre los switches CPqD, de forma que, a la instalación básica propuesta en el presente artı́culo. Además, dicho entorno de Ryu, se le ha incorporado la implementación de BEBA. permite simular el despliegue de nuevas funciones NFV sin Esta implementación ha sido extendida en su funcionalidad necesidad de exponer la infraestructura real del centro y para incluir el orquestador de NFV, obtener la información del comprobar de forma segura que su funcionamiento es el NFVI y desplegar las funciones virtuales sobre el clúster de adecuado. Para ello se han desplegado dos servidores con el docker, implementando la funcionalidad de cortafuegos y ser sistema operativo GNU/Linux. capaz de configurar la red de forma que redirija el tráfico a En el primero de los servidores se encuentra instalado el la función virtualizada de red. controlador Ryu y los módulos encargados de la detección y La Fig. 3 describe la arquitectura completa del controla- mitigación de los ataques. En el segundo servidor se ha simu- dor/orquestador. Como se observa, la arquitectura de Ryu se lado la red mostrada en la Fig. 1, utilizando la herramienta amplı́a para integrar las primitivas de BEBA, de forma que Mininet [13] que permite crear redes virtuales muy realistas y la aplicación SDN puede hacer uso de esas primitivas para soporta Openflow. En este caso en concreto, se ha configurado desarrollar nuevas funcionalidades como la propuesta. un switch OVS para que soporte BEBA y ası́ poder reenviar al controlador estadı́sticas de tráfico. También se encuentra La aplicación desarrollada para este despliegue se sustenta instalado Docker en este segundo servidor y es el que recibe sobre BEBA para analizar los flujos y detectar los que son las instrucciones del controlador mediante una conexión SSH sospechosos. Con esta información el módulo de orquestación para desplegar la función NFV que corresponda. El funciona- NFV elige el mejor servidor de dockers para desplegar el miento del escenario global se describe a continuación. contenedor que implementa la función NFV. Para ello se crea El controlador/orquestador implementa dos módulos para un canal seguro y se ejecutan los comandos necesarios para detectar y mitigar los ataques. La fase de mitigación requiere su despliegue. Una vez se ha realizado la implementación, el la información del flujo: @IP de origen, puerto de origen, @IP controlador modifica las tablas de flujo para redirigir el tráfico de destino, puerto de destino y el protocolo utilizado. Toda seleccionado al contenedor NFV que mitigue el ataque. esta información se obtiene en la fase de detección. El módulo de detección es un subproceso que, periódicamente, envı́a una solicitud a los conmutadores OpenFlow para adquirir información estadı́stica. El Algoritmo 1 describe el bucle principal del análisis de los flujos. En este bucle, se solicitan las estadı́sticas de los flujos al conmutador, utilizando la primitiva implementada en BE- BA: OFPExpStateStatsMultipartRequestAndDelete. Para reci- bir una respuesta del conmutador, se ha creado un controlador de eventos que recibe el mensaje EventOFPExperimenterS- tatsReply con la obtención de las estadı́sticas. Estas estadı́sti- Fig. 3. Arquitectura controlador/orquestador 45
Sesión de Investigación A1: Detección de intrusiones y gestión de anomalías I cas se analizan obteniendo la IP origen y destino del paquete, IV. C ONCLUSIONES ası́ como el puerto destino y el tipo de protocolo de nivel de transporte, TCP o UDP, para recontar los diferentes flujos que Este trabajo presenta la investigación y el despliegue de una se están analizando. arquitectura SDNFV, aplicable a una red de computación, que Una vez analizados los flujos, se calcula la entropı́a. Esta admite la detección y mitigación de ataques DDoS utilizando se usa para detectar ataques DDoS midiendo las propiedades funciones virtualizadas en un contenedor de aplicaciones. estadı́sticas del encabezado del paquete. En este caso, la La arquitectura presentada es una red simple y de bajo muestra de datos reales analizados se basa en la comparación coste basada en SDN que analiza los flujos y detecta los de los paquetes consecutivos de un flujo para identificar un ataques utilizando un mecanismo de entropı́a desarrollado en ataque, de forma que la entropı́a puede ser tratada como se el controlador. Este mecanismo es más avanzado en términos muestra en la Ec. (1): de detección y mitigación, porque sólo se mitiga el flujo involucrado en el ataque. El mecanismo puede discriminar n diferentes valores como IP, puertos o protocolos. Se pueden E=− pi log2 pi (1) implementar diferentes funciones virtualizadas según la apli- i=1 cación que se ejecute en la parte superior del controlador Ryu. Donde E es la entropı́a, n el número de elementos de- Se presenta la función virtualizada de un firewall y, además, tectados en el análisis de los flujos y pi la probabilidad de las capacidades de la arquitectura desarrollada permiten im- encontrar el elemento iésimo en la conjunción de elementos plementar otras funciones como el conformado de tráfico, detectados en el análisis. En este trabajo, hemos utilizado la la inspección profunda de paquetes, analizadores de flujo de @IP de origen, de destino, el puerto de origen y el puerto datos, etc. La simplicidad de la arquitectura desarrollada hace de destino como elementos para detectar la entropı́a. Una vez transparente el despliegue de las funcionalidades de la red para calculada la entropı́a, se ejecuta el algoritmo de detección. El el usuario final. El controlador/orquestador propuesto gestiona algoritmo se basa en las Ec. (2 a 4). el plano de control y administra los recursos de la red para aumentar el rendimiento. linf = x̄p − precision ∗ σp (2) V. AGRADECIMIENTOS lsup = x̄p + precision ∗ σp (3) Esta investigación ha sido financiada en parte por el Minis- terio de Ciencia, Innovación y Universidades bajo el proyecto Go2Edge (RED2018-102585-T). f also Si linf < x < lsup Ataque = (4) R EFERENCIAS verdadero cualquier otro [1] J. L. Furlani and P. W. Osel, “Abstract yourself with modules,” in Donde x̄p es el valor medio de los elementos analizados y {USENIX} 10th Systems Administration Conference ({LISA} 96), 1996. precision es el valor para definir la precisión en el algoritmo [2] J. Smith and R. Nair, Virtual machines: versatile platforms for systems and processes. Elsevier, 2005. de detección. En este caso, los valores utilizados para la [3] N. A. Snow, V. R. Dasari, and B. E. Geerhart, “Openflow experimenter precisión son de un 68 % para precisión baja; de un 95 % labels for encoding adaptive network functions,” in 2018 IEEE 39th para precisión media; y un 99.7 % para una precisión alta. Sarnoff Symposium. IEEE, 2018, pp. 1–5. [4] J. Higgins, V. Holmes, and C. Venters, “Securing user defined containers Si se detecta el ataque, el controlador/orquestador busca for scientific computing,” in 2016 International Conference on High en una base de datos donde se encuentra la información Performance Computing & Simulation (HPCS). IEEE, 2016, pp. 449– sobre el clúster de dockers para elegir el servidor que puede 453. [5] W. Wang, Y. Liu, Y. Li, H. Song, Y. Wang, and J. Yuan, “Consistent state implementar de forma eficiente la función NFV. Una vez que updates for virtualized network function migration,” IEEE Transactions se elige el servidor, el controlador abre un canal seguro para on Services Computing, 2017. desplegar el NFV en un contenedor docker. El despliegue [6] D. Cortés-Polo, F. Lemus-Prieto, J. Calle-Cancho, L. I. Jiménez Gil, and J. L. González-Sánchez, “Gestión de la seguridad de las comunicaciones se realiza mediante el archivo descriptor de Dockerfile. Este para entornos HPC en centros de supercomputación,” in Jornadas archivo describe la función NFV y el comportamiento del SARTECO 2019, 2019. docker. [7] B. Han, V. Gopalakrishnan, L. Ji, and S. Lee, “Network function virtualization: Challenges and opportunities for innovations,” IEEE El Dockerfile define las reglas con las que se lanzará el Communications Magazine, vol. 53, no. 2, pp. 90–97, 2015. docker. Una vez que se construye el contenedor docker, se [8] B. Pfaff, J. Pettit, T. Koponen, E. Jackson, A. Zhou, J. Rajahalme, crean las interfaces y se establece el bridge entre ellas. Todo J. Gross, A. Wang, J. Stringer, P. Shelar et al., “The design and implementation of open vswitch,” in 12th {USENIX} Symposium on ello es desplegado en el servidor elegido entre todos los Networked Systems Design and Implementation ({NSDI} 15), 2015, del clúster de dockers. El controlador, una vez analizada la pp. 117–130. fase de despliegue, modifica las tablas de reenvı́o de los [9] R. Bifulco and A. Matsiuk, “Towards scalable SDN switches: Enabling faster flow table entries installation,” ACM SIGCOMM Computer Com- conmutadores involucrados en la comunicación del ataque munication Review, vol. 45, no. 4, pp. 343–344, 2015. DDoS para mitigarlo. Con este mecanismo, los conmutadores [10] BEBA, “BEBA SDN project home page,” http://www.beba-project.eu/, que reciben el ataque solo tienen que reenviar los paquetes al Último acceso: 2021-02-16. [11] G. Bianchi, M. Bonola, A. Capone, and C. Cascone, “Openstate: puerto de salida, y el ataque se mitiga utilizando un servidor Programming platform-independent stateful openflow applications in- diseñado para absorberlo sin que se produzca un DDoS en el side the switch,” ACM SIGCOMM Computer Communication Review, nodo destino elegido por el atacante. En este caso, el destino vol. 44, no. 2, pp. 44–51, 2014. [12] Ryu project team, “Ryu SDN framework,” https://ryu-sdn.org/, Último es el firewall desplegado como una función NFV, el cual acceso: 2021-03-11. es una implementación software de firewall con las reglas [13] Mininet, “Mininet: An Instant Virtual Network on your Laptop (or other pertinentes para filtrar el trafico malicioso. PC),” http://mininet.org/. 46
También puede leer