Propuesta de Metodología para el Análisis de Seguridad en Redes Definidas por Software Methodology Proposal for Security Analysis in Software ...

Página creada Isabela Gonzallez

Computación y tecnología

Español

Gusta
Compartir
Incrustar
Pantalla completa
Diapositivas
Descargar HTML
Descargar PDF
Abuso

←

SEGUIR LEYENDO

→

Transcripción del contenido de la página

Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu                                                          Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

Tipo de artículo: Artículo original

Propuesta de Metodología para el Análisis de Seguridad en
Redes Definidas por Software
Methodology Proposal for Security Analysis in Software
Defined Networks

Alexander Narciso López Gavilán1* , https://orcid.org/0000-0002-3385-7583
Henry Raúl González Brito2 , https://orcid.org/0000-0002-3226-9210
Dainys Gainza Reyes3 , https://orcid.org/0000-0002-6087-141X
1
  Dirección Territorial de ETECSA Pinar del Río, Alameda 11-A, Pinar del Río, Cuba. CP 20100. alexander.lopez@etecsa.cu
2
  Centro de Telemática, Facultad 2, Universidad de las Ciencias Informáticas. henryraul@uci.cu
3
  Dirección de educación de posgrado, Universidad de las Ciencias Informáticas. dgainza@uci.cu

* Autor para correspondencia: alexander.lopez@etecsa.cu

Resumen
En la actualidad, garantizar los crecientes requerimientos de las redes informáticas y de telecomunicaciones constituye un gran
desafío, dado que las redes convencionales basadas en hardware se encuentran casi al límite de sus posibilidades para satisfacer
las exigencias de las empresas y de los usuarios. Las Redes Definidas por Software (SDN) se presentan como una solución de
actualización para infraestructuras de red, donde la capacidad para ofrecer una red programable provee una vía de Calidad de
Servicio (QoS) dinámica y de separación de tráfico reconfigurable. En este trabajo se realizó un estudio de las principales
características del paradigma SDN, haciendo hincapié en las fortalezas y debilidades de dicha arquitectura en materia de
seguridad y en los principales aspectos a tener en cuenta para diseñar una metodología para el análisis de seguridad en
implementaciones SDN. A partir de esta investigación se diseñó una metodología para la realización del Análisis de Seguridad en
las SDN, que se adapta a las condiciones particulares de cada entorno, permite cubrir brechas de seguridad y sirve de guía a los
especialistas encargados de asegurar la plataforma, así como a los auditores, para obtener resultados más confiables e integrales.
Se comprobó la funcionalidad y efectividad de la metodología diseñada aplicando el módulo correspondiente a la Seguridad en el
Plano de Control en un escenario de prueba integrado por un Controlador OpenDayLigth.

Palabras clave: Redes Definidas por Software (SDN), Seguridad de Redes, Análisis de Seguridad, Vulnerabilidades,
Ciberataques.

Abstract
At present, guaranteeing the growing requirements of computer and telecommunications networks is a great challenge, since
conventional hardware-based networks are almost at the limit of their possibilities to satisfy the demands of companies and
users. Software Defined Networks (SDN) are presented as an upgrade solution for network infrastructures, where the ability to
offer a programmable network provides a dynamic Quality of Service (QoS) pathway and reconfigurable traffic separation. In
this work, a study of the main characteristics of the SDN paradigm was carried out, emphasizing the strengths and weaknesses of
said architecture in terms of security and the main aspects to take into account to design a methodology for the analysis of
security in SDN implementations. Based on this research, a methodology was designed to carry out Security Analysis in SDN,
which is adapted to the particular conditions of each environment, allows covering security gaps and serves as a guide to the
specialists in charge of securing the platform, as well as auditors, to obtain more reliable and comprehensive results. The

                       Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
                      (CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu              45

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

functionality and effectiveness of the methodology designed was verified by applying the module corresponding to Security in the
Control Plane in a test scenario integrated by an OpenDayLight Controller.

Keywords: Software Defined Networks (SDN), Network Security, Security Analysis, Vulnerabilities, Cyber Attacks.

Recibido: 18/10/2020
Aceptado: 18/05/2021
Introducción
Las Redes Definidas por Software (SDN) son una tecnología en evolución que tiene grandes implicaciones sobre
cómo se gestionan y controlan las infraestructuras de las redes actuales y futuras. SDN proporciona los medios para
simplificar la gestión y el control de las redes y emerge como la tecnología insignia para permitir dinamismo y
elasticidad en las redes de próxima generación. Ofrece un camino para la orquestación de redes en la nube y muchas
redes empresariales ya han implementado o planean implementar soluciones de este tipo en el futuro cercano.
Mientras que algunos están motivados por su costo operativo reducido, otros hacen el cambio para mejorar la
flexibilidad de sus arquitecturas de red y las nuevas funcionalidades de red (LEE et al. 2018; SAGARE and
KHONDOKER 2018; YOON et al. 2017).
Las ventajas de las SDN se han probados con éxito en varios escenarios y redes de backbone y dentro de los desafíos
que enfrenta, la seguridad constituye un aspecto clave y por tanto, el análisis de la seguridad en las SDN se vuelve
extremadamente importante a medida que esta tecnología evoluciona y se complejiza. Existen numerosas
investigaciones que han analizado la seguridad en SDN y han demostrado la existencia de vulnerabilidades y
debilidades en los planos e interfaces que componen la arquitectura. En el plano de datos y plano de control se
concentran la mayor cantidad de estudios que analizan la seguridad en las SDN debido a que la separación de estos
planos y la aparición del controlador como el núcleo de la arquitectura definen lo novedoso de las SDN.
Es en estos planos es donde aparecen las mayores diferencias con las arquitecturas tradicionales y por ende los nuevos
desafíos de seguridad (AHMAD et al. 2015; SHAGHAGHI et al. 2020). Por ejemplo, en el plano de control se han
investigado el impacto de los ataques de denegación de servicio debido a “cuellos de botella por arquitectura” que
tiene el modelo (GAO et al. 2018; KOTANI and OKABE 2016; PORRAS et al. 2015; WANG, H. et al. 2015) y a
debilidades en los mecanismos de autenticación. En el plano de aplicación, se identifican como debilidades más
recurrentes la falta de mecanismos para asegurar la confianza entre el controlador y las aplicaciones y los deficientes
mecanismos de control de acceso y gestión de administración (LAKHANI and KOTHARI 2020; YAN et al. 2016).
En el caso de las vulnerabilidades de las interfaces, entre los principales ataques a los que se encuentran expuestas las
API en dirección hacia el sur, se encuentran la denegación de servicio, las escuchas (eavesdrop), los ataques de

Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
(CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu 46

intercepción y los ataques TCP (LIN et al. 2017; SHAGHAGHI et al. 2020) y en el caso de las interfaces hacia el
norte, son susceptibles también a los ataques de interceptación, escucha y disponibilidad (HONG et al. 2015).
En este complejo escenario tiene importancia vital evaluar la seguridad de cada una de las arquitecturas SDN que se
proyecten para su estudio, modelaje o puesta en producción. Existe el consenso entre los especialistas y auditores de
seguridad que es imposible realizar un análisis de seguridad con la calidad necesaria si no se posee una metodología,
guía o procedimiento adecuado (BARCELÓ and HERZOG 2010). En el caso de las SDN, aplicar una metodología
que abarque la seguridad de los activos críticos, los planos e interfaces de la arquitectura y los principales vectores de
ataque, puede ser muy efectivo teniendo en cuenta lo novedoso y complejo del paradigma SDN y la falta de experticia
de muchos controladores y ejecutores sobre dicha tecnología.
Se ha podido constatar que las metodologías, procedimientos y técnicas existentes para la evaluación de la seguridad
de los sistemas están orientadas a las infraestructuras físicas o virtuales tradicionales y no incluyen las especificidades
y nuevos desafíos que en materia de seguridad presentan las redes SDN. No contar con una metodología que incluya
esto, dificulta la realización de evaluaciones más certeras en las diferentes fases del despliegue de soluciones SDN y
por lo tanto, ponen el riesgo de la seguridad de las mismas.
Es por ello, que, en este trabajo, se diseñó una metodología específica para analizar la seguridad en soluciones de
redes SDN, que permite evaluar el cumplimiento de los controles de seguridad en este tipo de arquitectura y provee a
los evaluadores de una herramienta que les permite obtener resultados más confiables e integrales en sus
evaluaciones. Para el desarrollo del mismo se consultaron y utilizaron resultados en el modelado de amenazas y
metodologías para el análisis de seguridad y su aplicación permitió concluir que los especialistas en redes o seguridad
informática que cumpla con las actividades de esta metodología pueden obtener resultados exitosos en su trabajo.

Materiales y métodos
En la realización de la investigación se definió como objetivo de estudio la seguridad de las redes SDN y como campo
de acción las Evaluaciones de Seguridad en este tipo de redes. El objetivo general de la misma fue el diseño de una
metodología para analizar la seguridad en soluciones de redes SDN, que permita evaluar el cumplimiento de los
mecanismos de seguridad en este tipo de arquitectura y provea a los comprobadores de una herramienta que les
permita obtener resultados confiables e integrales en sus evaluaciones.
Las principales tareas que se llevaron a cabo fueron:

1) Investigación sobre el estado del arte de las redes SDN y la seguridad en estas tecnologías.

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu                                                          Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

    2) Estudio de herramientas y metodologías de modelado de amenazas que se utilizan en la actualidad para el
         análisis de seguridad.

    3) Selección de las diferentes metodologías que se utilizan, de los aspectos positivos que pueden servir de base
         para el diseño de la nueva propuesta.

    4) Diseño de la metodología propuesta.

    5) Aplicación y validación de la metodología en un entorno de pruebas.

Los métodos de investigación utilizados fueron:
       Hipotético-deductivo: Empleado en la elaboración de la hipótesis de la investigación y en la propuesta de
         líneas de trabajo a partir de los resultados.
       Análisis documental: Utilizado en el trabajo de revisión bibliográfica y el análisis de estándares de seguridad.
       Analítico-Sintético: Empleado en la selección de los aspectos más positivos de las metodologías y
         herramientas disponibles estudiadas, que sirven como base para al diseño de la metodología.
       Sistémico e inductivo y Modelación: Empleado en la modelación de la estructura de la metodología y de sus
         componentes.
       Experimentación: Utilizado en la aplicación y validación de la metodología en un escenario de pruebas.

                                             Resultados y discusión
Oportunidades y Amenazas para la seguridad en las SDN
La arquitectura SDN ofrece oportunidades que pueden ser beneficiosas para la seguridad. La centralización del
control, que caracteriza el paradigma SDN, proporciona ventajas significativas sobre las arquitecturas convencionales,
especialmente en términos de rapidez y precisión en la detección de ataques, así como su neutralización
(BURAGOHAIN and MEDHI 2016; XU and LIU 2016). En la tabla 1 se relacionan algunas de las oportunidades
para mejorar la seguridad de la red que facilitan las características de la arquitectura SDN:
                     Tabla 1. Oportunidades de mejoras para la seguridad de la red de la arquitectura SDN.
 Área                     Oportunidad
 Ataques y detección      Mejores rendimientos y mayor precisión en la detección de actividades maliciosas aprovechando la
 de actividades no        programabilidad estandarizada de SDN.

                       Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
                      (CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu              48

autorizadas y su Superación de las limitaciones de IDS/IPS tradicionales aprovechando las características de control
mitigación. centralizado y vista global de red de SDN (JANKOWSKI and AMANOWICZ 2015).

Protección contra Superación de las limitaciones de enfoques tradicionales para detectar ataques DDoS por botnet que
DDoS. explotan vulnerabilidades de aplicaciones, apoyándose en aplicaciones del controlador y utilización
de reglas de flujos en los conmutadores (LIM et al. 2014; XU and LIU 2016).
Detección de ataques con menores gastos generales en comparación con los enfoques tradicionales,
valiéndose de la posibilidad que brinda el control centralizado en las SDN para reunir informaciones
estadísticas de todos los conmutadores.
Posibilidad de personalizar la estrategia de protección (detección y mitigación) según los
requerimientos de aplicación (BAWANY et al. 2017).
Control de Acceso / Combinar características SDN con las arquitectura de red existentes para fortalecer el control de
Gestión de Red. acceso a la red (KULIESIUS and DANGOVAS 2016).
Resolver el problema de la validación de la dirección de origen mediante el uso del protocolo
OpenFlow.
Protección de redes de acceso mediante características de OpenFlow (BENABBOU et al. 2019).

En comparación con las redes tradicionales, cinco características de las SDN pueden tener el mayor impacto en su
seguridad, estas incluyen el controlador centralizado (considerado un punto único de falla), las interfaces
programables abiertas, la gestión de protocolos de dispositivos de reenvío, los servicios de red de terceros y las redes
lógicas virtualizadas (BENABBOU et al. 2019; TOURRILHES et al. 2014).

Ejes de Seguridad en redes SDN
Partiendo de los estudios realizados, puede afirmarse que existe el consenso en señalar a la Disponibilidad, Control de
Acceso e Integridad como los ejes para garantizar un diseño seguro (AZIZ et al. 2018). Por tanto, en cualquier
evaluación de seguridad en SDN hay enfocarse en determinar el nivel de fortaleza de la propuesta en relación a estos
ejes y revisar el potencial de mejora de la arquitectura en función de la seguridad.

 Disponibilidad de la red: Es la primera línea de defensa, esta dirección debe ser preventiva, fortaleciendo la
resistencia intrínseca de cada elemento y en especial el controlador.
o Resistencia intrínseca del controlador (CHANDRASEKARAN and BENSON 2014; SHIN et al.
2014).

o Mecanismos de redundancia y replicación (SHIN and GU 2013).
o Resistencia del plano de datos (ADRICHEM et al. 2014; KUŹNIAR et al. 2013; ZHU et al. 2018).
o Resistencia y prevención contra ataques de disponibilidad, incluidos ataques DDoS (ALI et al. 2017;
BAWANY et al. 2017; BURAGOHAIN and MEDHI 2016; YAN et al. 2016).
 Control de acceso: Los canales del sur y del norte de comunicación son vulnerables a las amenazas que
pueden afectar a la disponibilidad, el rendimiento, la confidencialidad y la integridad de la red. De manera
general las investigaciones proponen como buenas prácticas el uso de TLS como protocolo de comunicación
y autenticación, así como, mecanismos de gestión de autenticación y autorización más seguros (ALMAINI et
al. 2021; FERRAZANI MATTOS and DUARTE 2016; NAMAL et al. 2013; YU 2013). En cuanto a la
interfaz hacia el norte existen requisitos específicos para el control de acceso (NIFE and KOTULSKI 2020;
PORRAS et al. 2015; SCOTT-HAYWARD et al. 2014; WEN et al. 2013).
 Integridad: La consistencia de las políticas de seguridad puede ser alterada a través mecanismos de
autorización débiles utilizados para la gestión de aplicaciones (conflictos en reglas de flujo).

Metodologías para el modelado de amenazas y el análisis de seguridad
Existen varias herramientas de modelado de amenazas y metodologías para el análisis de seguridad, la elección de una
y otra depende del objetivo y alcance de la tarea y de las particularidades de las tecnologías y el entorno a
diagnosticar (SAGARE and KHONDOKER 2018). Dentro de estas se destacan: Attack Tree (WANG, PING and LIU
2013), OCTAVE (PYKA and SOBIESKI 2012), CC (Common Criteria) y STRIDE (PALANIVEL and
SELVADURAI 2014; RUFFY et al. 2016). Los estudios realizados en SDN coinciden en recomendar el uso de la
metodología STRIDE, pues es posible analizar y enumerar sus posibles vulnerabilidades sin la necesidad de una
implementación real. Sin embargo, ninguna de estas metodologías cubre por si sola todos los elementos para el
análisis de seguridad del paradigma SDN, pues tienen un propósito y alcance más general.

Metodología Para Evaluación de la Seguridad en Implementaciones SDN
La metodología que se propone en este trabajo hace énfasis en los elementos que revisten mayor importancia dentro
de la arquitectura y son más propensos a ser comprometidos. El alcance de esta propuesta se enmarca solamente en
controles de tipo técnicos y operativos de seguridad y con mayor profundidad en los aspectos que diferencian a SDN
de las tecnologías tradicionales. Quedan fuera del alcance de la propuesta la seguridad física, controles

administrativos, y otras técnicas cuyas medidas de seguridad son similares a las redes tradicionales y por ende ya
están debidamente planteadas y aceptadas en otras metodologías y procedimientos.
Dentro de las características principales de la metodología se señala la intención de que pueda nutrirse periódicamente
de la experiencia y conocimientos de los especialistas de seguridad. Por tal motivo se considera la metodología una
primera versión de un proyecto que deberá actualizarse y desarrollarse periódicamente.

Estructura de la Metodología
Para la estructura de la metodología se decidió dividir y organizar el trabajo en diferentes módulos, secciones y tareas.
Esto garantiza una organización coherente a la hora de aplicar la metodología en su totalidad y permite igualmente, de
ser requerido, centrar únicamente el análisis de seguridad en un plano o elemento especifico de la solución SDN a
evaluar.
A continuación, se relaciona la composición de cada Módulo:
 Módulo (I) Seguridad en el Plano de Datos:
o Seguridad en los Dispositivos de reenvío SDN “Conmutadores SDN”.
o Seguridad en las API y protocolos hacia el Sur.
 Módulo (II) Seguridad en el plano de control:
o Seguridad en Controladores SDN.
 Módulo (III) Seguridad en los canales de control
o Seguridad en Canales de Control hacia el Sur.
o Seguridad en Canal de Control Este Oeste.
o Seguridad en Canal de Control hacia el Norte.
 Módulo (IV) Seguridad en el Plano de Aplicaciones
o Seguridad en Aplicaciones SDN.
o Seguridad en las API y protocolos hacia el Norte.
La metodología también pone a disposición una relación de soluciones de seguridad para las SDN y que resuelven de
manera más eficiente los problemas de seguridad que se tratan en cada sección. A continuación, se enumerarán los
principales componentes de la metodología propuesta.

Propuesta de Metodología para el Análisis de Seguridad en las SDN

Módulo (I) Seguridad en el Plano de Datos

Sección 1. Seguridad en Conmutadores SDN
 Tarea 1.1 Seguridad del Hardware en Conmutadores SDN.
 Tarea 1.2 Control de Acceso y buenas prácticas en la configuración de conmutadores SDN.
 Tarea 1.3 Detección de elementos de reenvió no autorizados en el Plano de Datos.
 Tarea 1.4 Protección de flujo de datos y tablas de flujo en Conmutadores SDN contra cuello de botella de la
arquitectura.
 Tarea 1.5 Protección de flujo de datos y tablas de flujo en Conmutadores SDN contra fuga de datos.
 Tarea 1.6 Protección contra ataques de denegación de servicios en el plano de datos.
 Tarea 1.7 Implementar sistema tolerante a fallas o ataques en el plano de datos.
Sección 2 Seguridad en las API y protocolos hacia el Sur
 Tarea 1.8 Utilización de versiones actuales y seguras de protocolo y APIs.
 Tarea 1.9 Comprobar errores de configuración y vulnerabilidades de protocolo y APIs.

Módulo (II) Seguridad en el Plano de Control
Sección 1 Seguridad en Controladores SDN:
 Tarea 2.1 Implementar mecanismos para proteger al controlador contra fallas de autorización de aplicaciones
SDN.
 Tarea 2.2 Implementar mecanismos de autenticación robustos entre los controladores y los conmutadores
SDN o los hosts.
 Tarea 2.3 Implementar mecanismos de autenticación robustos entre los controladores y las Aplicaciones.
 Tarea 2.4 Implementar mecanismos para controlar o restringir el uso de variables externas en el controlador.
 Tarea 2.5 Implementar mecanismos de filtrado (Cortafuegos o ACL) en el controlador.
 Tarea 2.6 Aplicar mecanismos de seguridad para evitar o minimizar congestión en el plano de control.
 Tarea 2.7 Implementar mecanismos de redundancia y replicación de los controladores.
 Tarea 2.8 Asegurar los sistemas operativos de propósito general donde se ejecutan los controladores SDN.
 Tarea 2.9 Implementar procedimientos para gestión de vulnerabilidades en los controladores.

Módulo (III) Seguridad en los Canales de Comunicación
Sección 1 Seguridad en Canal de Comunicación hacia el Sur:
 Tarea 3.1 Implementar mecanismos de conexión cifrada segura entre los controladores y conmutadores SDN.
 Tarea 3.2 Comprobar Seguridad en las API y protocolos hacia el Sur
Sección 2 Seguridad en Canales de Comunicación Este -Oeste
 Tarea 3.3 Implementar mecanismos de conexión segura entre controladores o dominios SDN.
Sección 3 Seguridad en Canales de Comunicación hacia el Norte
 Tarea 3.4 Implementar mecanismos de conexión segura entre aplicaciones y controladores.

Módulo (IV) Seguridad en el Plano de Aplicaciones
Sección 1 Seguridad en APIs y Protocolos hacia el hacia el Norte.
 Tarea 4.1 Implementar configuración apropiada y segura de los protocolos y API hacia el norte según
métodos disponibles para cada caso.
 Tarea 4.2 Implementar mecanismos de monitoreo y detección de vulnerabilidades específicas a las
aplicaciones SDN y APIs implementadas.
Sección 2 Seguridad en Aplicaciones SDN
 Tarea 4.3 Implementar mecanismos para detección de aplicaciones maliciosas o con problemas de
configuración.
 Tarea 4.4 Implementar aplicaciones de seguridad SDN que aprovechan las potencialidades que brinda la
arquitectura.
 Tarea 4.5 Validar periódicamente que las reglas de las aplicaciones de seguridad implementadas (IPS/IDS,
Cortafuegos y las tecnologías de filtrado) funcionen correctamente y estén actualizadas.
 Tarea 4.6 Implementar mecanismos que permitan o faciliten el análisis forense.

Implementación práctica
Para evaluar la efectividad de la metodología propuesta en este trabajo se decidió aplicarla a un escenario de prueba
similar al propuesto en un trabajo de investigación implementado en ETECSA Pinar del Rio para simular soluciones
de Redes de Acceso Definidas por Software (SDAN) (BRITO JAIME 2019). Para cumplir este objetivo se aplicó al
Controlador OpenDayLigth el Módulo (II) Seguridad en el Plano de Control. Se eligió la aplicación de este módulo

en el caso de estudio por incluir la seguridad en el controlador que es el punto más crítico de la arquitectura en lo que
se refiere a la seguridad.
Para implementar el caso de estudio se utilizaron las herramientas:
 Oracle VirtualBox en su versión 5.1.28 como software de virtualización.
 Mininet en su versión 2.1.1, contenida en la MV SDN Hub.
 OpenDayLight (ODL) en su versión Lithium contenido en la MV SDN Hub.
 Ubuntu 18.04 de 64 bits en la imagen de SDN Hub.
De la aplicación de la metodología al controlador Opendayligth del caso de estudio se obtuvieron los siguientes
resultados:
 Se pudieron ejecutar acciones en todas las tareas diseñadas en la metodología para la protección de un
controlador.
 Las acciones y mecanismos de seguridad propuestos en la metodología protegen al controlador
OpenDayLight de los principales vectores de ataques documentados e identificados para el plano de control.
 Existen soluciones o herramientas de seguridad que cubren más de una tarea o acciones propuestas en la
metodología. Solo se debe garantizar que las herramientas y medidas implementadas cubran todos los
aspectos de seguridad requeridos.
 Las experiencias obtenidas durante la aplicación de la metodología en una arquitectura SDN pueden ser
utilizadas para enriquecer y actualizar la metodología (incorporar herramientas específicas para determinadas
tecnologías, nuevas configuraciones y mecanismos de seguridad, entre otros elementos).

Conclusiones
Una vez concluida la investigación, y luego de haber llevado a cabo las tareas programadas, se llegó a las
conclusiones siguientes:
 Se obtuvo una metodología para el Análisis de Seguridad en Redes Definidas por Software (SDN) dirigida a
los controles operativos y técnicos de seguridad a implementar en los activos más importantes y críticos en
SDN.
 La metodología incluye medidas de seguridad para los activos críticos y vectores de ataques más importantes
documentados para las SDN y combina diversos métodos, técnicas y herramientas de evaluación de
seguridad, además utilizar como referencias e incorporar elementos de otras metodologías, como STRIDE.

 Permite evaluar el cumplimiento de los mecanismos de seguridad en arquitecturas SDN y provee a los
especialistas de una guía que les permite obtener resultados confiables e integrales en sus evaluaciones.
 La metodología garantiza en cada una de las fases del despliegue de soluciones SND, identificar
vulnerabilidades y configuraciones inadecuadas, disminuir los niveles de amenazas, proponer arquitecturas
más robustas, evitar análisis incompletos y eliminar falsos positivos.
 Puede ser utilizada para evaluar la seguridad en soluciones SDAN como las que están en fase de estudio para
su implementación en ETECSA.
 La metodología podría utilizarse como vía de capacitación de los recursos humanos vinculados a la seguridad
de los sistemas informáticos.

Los resultados obtenidos han confirmado la posibilidad de obtener una metodología de seguridad específica para
soluciones SDN que se adapte de forma idónea a las especificidades de este tipo de arquitectura y permita obtener
evaluaciones de seguridad con la calidad, fiabilidad y eficiencia requerida por lo que se recomienda para la evaluación
y fortalecimiento de las medidas de seguridad en Redes Definidas por Software.

Conflictos de intereses
Los autores de la investigación declaran no poseer conflictos de intereses.

Contribución de los autores
1. Conceptualización: Alexander Narciso López Gavilán
2. Curación de datos: Alexander Narciso López Gavilán
3. Análisis formal: Alexander Narciso López Gavilán
4. Adquisición de fondos: Alexander Narciso López Gavilán, Henry Raúl González Brito, Dainys Gainza Reyes
5. Investigación: Alexander Narciso López Gavilán, Henry Raúl González Brito
6. Metodología: Alexander Narciso López Gavilán,
7. Administración del proyecto: Alexander Narciso López Gavilán
8. Recursos: Alexander Narciso López Gavilán, Henry Raúl González Brito, Dainys Gainza Reyes
9. Software: Alexander Narciso López Gavilán
10. Supervisión: Henry Raúl González Brito, Dainys Gainza Reyes

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu                                                          Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

    11. Validación: Alexander Narciso López Gavilán
    12. Visualización: Alexander Narciso López Gavilán
    13. Redacción – borrador original: Alexander Narciso López Gavilán, Dainys Gainza Reyes
    14. Redacción – revisión y edición: Henry Raúl González Brito, Dainys Gainza Reyes

                                                    Financiamiento
La investigación ha sido financiada por las instituciones de los autores y no requirió fuentes de financiación externas.

                                                       Referencias
ADRICHEM, N. L. M. V.; B. J. V. ASTEN, et al. Fast Recovery in Software-Defined Networks. 2014 Third
         European Workshop on Software Defined Networks, 2014. 61-66 p. 2379-0369
AHMAD, I.; S. NAMAL, et al. Security in Software Defined Networks: A Survey IEEE Communications Surveys &
         Tutorials, 2015, 17(4): 2317-2346.
ALI, A.; R. CZIVA, et al. SDNFV-based DDoS detection and remediation in multi-tenant, virtualised infrastructures.
         en: Guide to Security in SDN and NFV. Springer, 2017. 171-196.p.
ALMAINI, A.; A. AL-DUBAI, et al. Lightweight edge authentication for software defined networks Computing,
         2021, 103(2): 291-311.
AZIZ, N. A.; T. MANTORO, et al. Software Defined Networking (SDN) and its Security Issues. 2018 International
         Conference on Computing, Engineering, and Design (ICCED), 2018. 40-45 p.
BARCELÓ, M. and P. HERZOG. OSSTMM: Open Source Security Testing Methodology Manual.                                    Barcelona
         (España), Institute for Security and Open Methodologies (ISECOM), 2010. 213 p.
BAWANY, N. Z.; J. A. SHAMSI, et al. DDoS Attack Detection and Mitigation Using SDN: Methods, Practices, and
         Solutions Arabian Journal for Science and Engineering, 2017, 42(2): 425-441.
BENABBOU, J.; K. ELBAAMRANI, et al. Security in OpenFlow-based SDN, opportunities and challenges, 2019,
         37(Photonic Network Communications): 1–23.
BRITO JAIME, Z. Redes NGA basadas en FTTH y su evolución a SDA (SDN+NFV). Facultad de Ciencias Técnicas
         Dpto. de Telecomunicaciones y Electrónica. Pinar del Río., Universidad de Pinar del Río 2019. p.
BURAGOHAIN, C. and N. MEDHI. FlowTrApp: An SDN based architecture for DDoS attack detection and
         mitigation in data centers. 2016 3rd International Conference on Signal Processing and Integrated Networks
         (SPIN), 2016. 519-524 p.

                       Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
                      (CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu              56

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu                                                          Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

CHANDRASEKARAN, B. and T. BENSON. Tolerating SDN application failures with LegoSDN. Proceedings of the
         third workshop on Hot topics in software defined networking. Chicago, Illinois, USA, Association for
         Computing Machinery, 2014. 235–236.
FERRAZANI MATTOS, D. M. and O. C. M. B. DUARTE AuthFlow: authentication and access control mechanism
         for software defined networking Annals of Telecommunications, 2016, 71(11): 607-615.
GAO, D.; Z. LIU, et al. Defending against Packet-In messages flooding attack under SDN context Soft Computing,
         2018, 22(20): 6797-6809.
HONG, S.; L. XU, et al. Poisoning Network Visibility in Software-DefinedNetworks: New Attacks and
         Countermeasures. Network and Distributed System Security (NDSS) Symposium, E.E.UU, 2015. 1-15 p.
JANKOWSKI, D. and M. AMANOWICZ Intrusion Detection in Software Defined Networks with Self-organized
         Maps Journal of telecommunications and information technology, 2015.
KOTANI, D. and Y. OKABE A Packet-In Message Filtering Mechanism for Protection of Control Plane in
         OpenFlow Switches IEICE Transactions on Information and Systems, 2016, E99.D(3): 695-707.
KULIESIUS, F. and V. DANGOVAS. SDN enhanced campus network authentication and access control system.
         2016 Eighth International Conference on Ubiquitous and Future Networks (ICUFN), 2016. 894-899 p. 2165-
         8536
KUŹNIAR, M.; P. PEREŠÍNI, et al. Automatic failure recovery for software-defined networks. Proceedings of the
         second ACM SIGCOMM workshop on Hot topics in software defined networking. Hong Kong, China,
         Association for Computing Machinery, 2013. 159–160.
LAKHANI, G. and A. KOTHARI Fault Administration by Load Balancing in Distributed SDN Controller: A Review
         Wireless Personal Communications, 2020, 114(4): 3507-3539.
LEE, C.; C. YOON, et al. INDAGO: A New Framework For Detecting Malicious SDN Applications. 2018 IEEE 26th
         International Conference on Network Protocols (ICNP), 2018. 220-230 p. 1092-1648
LIM, S.; J. HA, et al. A SDN-oriented DDoS blocking scheme for botnet-based attacks. 2014 Sixth International
         Conference on Ubiquitous and Future Networks (ICUFN), 2014. 63-68 p. 2165-8536
LIN, P.; P. LI, et al. Inferring OpenFlow rules by active probing in software-defined networks. 2017 19th
         International Conference on Advanced Communication Technology (ICACT), 2017. 415-420 p.
NAMAL, S.; I. AHMAD, et al. Enabling Secure Mobility with OpenFlow. 2013 IEEE SDN for Future Networks and
         Services (SDN4FNS), 2013. 1-5 p.

                       Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
                      (CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu              57

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu                                                          Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

NIFE, F. N. and Z. KOTULSKI Application-Aware Firewall Mechanism for Software Defined Networks Journal of
         Network and Systems Management, 2020, 28(3): 605-626.
PALANIVEL, M. and K. SELVADURAI Risk-driven security testing using risk analysis with threat modeling
         approach SpringerPlus, 2014, 3(1): 754.
PORRAS, P. A.; S. CHEUNG, et al. Securing the software defined network control layer. Network and Distributed
         System Security (NDSS) Symposium, E.E.UU, 2015. 1-15 p.
PYKA, M. and Ś. SOBIESKI. Implementation of the OCTAVE Methodology in Security Risk Management Process
         for Business Resources. en:         Internet - Technical Developments and Applications 2. KAPCZYŃSKI,
         A.;TKACZ, E.et al. Berlin, Heidelberg, Springer Berlin Heidelberg, 2012. 235-252.p.
RUFFY, F.; W. HOMMEL, et al. A STRIDE-based security architecture for software-defined networking. ICN 2016 :
         The Fifteenth International Conference on Networks, IARIA, 2016. 95-107 p. 978-1-61208-450-3
SAGARE, A. A. and R. KHONDOKER. Security Analysis of SDN Routing Applications. en: SDN and NFV
         Security: Security Analysis of Software-Defined Networking and Network Function Virtualization.
         KHONDOKER, R. Cham, Springer International Publishing, 2018. 1-17.p.
SCOTT-HAYWARD, S.; C. KANE, et al. OperationCheckpoint: SDN Application Control. Proceedings of the 2014
         IEEE 22nd International Conference on Network Protocols, IEEE Computer Society, 2014. 618–623.
SHAGHAGHI, A.; M. A. KAAFAR, et al. Software-Defined Network (SDN) Data Plane Security: Issues, Solutions,
         and Future Directions. en: Handbook of Computer Networks and Cyber Security: Principles and Paradigms.
         GUPTA, B. B.;PEREZ, G. M.et al. Cham, Springer International Publishing, 2020. 341-387.p.
SHIN, S. and G. GU. Attacking software-defined networks: a first feasibility study. Proceedings of the second ACM
         SIGCOMM workshop on Hot topics in software defined networking. Hong Kong, China, Association for
         Computing Machinery, 2013. 165–166.
SHIN, S.; Y. SONG, et al. Rosemary: A Robust, Secure, and High-performance Network Operating System.
         Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. Scottsdale,
         Arizona, USA, Association for Computing Machinery, 2014. 78–89.
TOURRILHES, J.; P. SHARMA, et al. SDN and OpenFlow Evolution: A Standards Perspective Computer, 2014, 47:
         22-29.
WANG, H.; L. XU, et al. FloodGuard: A DoS Attack Prevention Extension in Software-Defined Networks. 2015 45th
         Annual IEEE/IFIP International Conference on Dependable Systems and Networks, 2015. 239-250 p. 2158-
         3927

                       Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
                      (CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu              58

ISSN: 2306-2495 | RNPS: 2343_______________________________________Serie Científica de la Universidad de las Ciencias Informáticas
http://publicaciones.uci.cu                                                          Vol. 14, No. 1, Mes: Enero, 2021, Pág. 45-59

WANG, P. and J.-C. LIU. Improvements of Attack-Defense Trees for Threat Analysis, Berlin, Heidelberg, Springer
         Berlin Heidelberg, 2013. 91-100 p. 978-3-642-35473-1
WEN, X.; Y. CHEN, et al. Towards a secure controller platform for openflow applications. Proceedings of the
         second ACM SIGCOMM workshop on Hot topics in software defined networking. Hong Kong, China,
         Association for Computing Machinery, 2013. 171–172.
XU, Y. and Y. LIU. DDoS attack detection under SDN context. IEEE INFOCOM 2016 - The 35th Annual IEEE
         International Conference on Computer Communications, 2016. 1-9 p.
YAN, Q.; F. R. YU, et al. Software-Defined Networking (SDN) and Distributed Denial of Service (DDoS) Attacks in
         Cloud Computing Environments: A Survey, Some Research Issues, and Challenges IEEE Communications
         Surveys & Tutorials, 2016, 18(1): 602-622.
YOON, C.; S. LEE, et al. Flow Wars: Systemizing the Attack Surface and Defenses in Software-Defined Networks
         IEEE/ACM Transactions on Networking, 2017, 25(6): 3514-3530.
YU, D. Authentication for Resilience: The Case of SDN (Transcript of Discussion), Berlin, Heidelberg, Springer
         Berlin Heidelberg, 2013. 45-53 p. 978-3-642-41717-7
ZHU, Z.; Q. LI, et al. CAFFE: Congestion-Aware Fast Failure Recovery in Software Defined Networks. 2018 27th
         International Conference on Computer Communication and Networks (ICCCN), 2018. 1-9 p. 1095-2055

                       Esta obra está bajo una licencia Creative Commons de tipo Atribución 4.0 Internacional
                      (CC BY 4.0)
Grupo Editorial “Ediciones Futuro” Universidad de las Ciencias Informáticas. La Habana, Cuba seriecientifica@uci.cu              59

También puede leer