defensa proactiva y reactiva ante ataques ddos en un...
TRANSCRIPT
Escuela de Ingeniería y Arquitectura
Universidad de Zaragoza
Defensa proactiva y reactiva ante ataquesDDoS en un entorno simulado de redes
de�nidas por software
Trabajo Fin de Grado
Autor
Jorge Paracuellos Cortés
Director
Ricardo J. Rodriguez
Abril 2016
2016
1Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
2Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
3
Introducción
MotivaciónI Incremento de
amenazas debido aataques
I Nueva arquitectura dered en desarrollo
I Adaptación de lasempresas tecnológicas
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
4
Introducción
Objetivos TFGI Familiarización con la tecnología Software Defined Network
(SDN)
I Estudio controladores SDN
I Estudio tipos de ataques Distributed Denial of Service (DDoS)
I Diseño e implementación de un mecanismo de defensaproactivo y reactivo
I Evaluación en diferentes escenarios y configuraciones
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
5Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
6
Conceptos SDNArquitectura SDN
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
7
Conceptos SDNProtocolo OpenFlow
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
7
Conceptos SDNProtocolo OpenFlow
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
8
Conceptos SDNComparativa controladores SDN de código abierto
Pox FloodLight OpenDayLightInterfaces SB SB & NB SB & NB
Virtualización Mininet &Openv Switch
Mininet &Openv Switch
Mininet &Openv Switch
GUI Sí Web UI Sí
REST API No Sí Sí
Documentación Escasa Media Media
LenguajeProgramación Python Java + cualquier lenguaje
que utilice REST Java
Modularidad Media Alta Alta
S.O. Soportado Linux, Mac Osand Windows
Linux, Mac Osand Windows Linux
Edad 3 años 4 años 2 años
SoporteOpenFlow OF v1.0 OF v1.3 OF v1.3
OpenStackNetworking No Medio Medio
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
9
Conceptos SDNOpenDayLight
CaracterísticasI Apoyo de la industria (Intel, Cisco, Nec ...)I Proyecto de código abiertoI Desarrollo en JavaI Extensa documentación y comunidad activa en constante
movimientoI Arquitectura modular
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
10Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
11
Ataques DDoS
ClasificaciónI InundaciónI ReflexiónI Amplificación
Mecanismos de defensa ante DDoSI PrevenciónI Detección
I PatronesI Anomalías
I Identificación del origenI Mitigación
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
11
Ataques DDoS
ClasificaciónI InundaciónI ReflexiónI Amplificación
Mecanismos de defensa ante DDoSI PrevenciónI Detección
I PatronesI Anomalías
I Identificación del origenI Mitigación
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
12Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
13
Arquitectura del sistemaDiagrama de despliegue
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
14
Arquitectura del sistemaExplicación formal
ParámetrosI Tcoste : tiempo
que tarda enrecuperarse unnodo
I Tslot : tiempoque tarda enrecuperar k < nréplicas enparalelo
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
14
Arquitectura del sistemaExplicación formal
ParámetrosI Tcoste : tiempo
que tarda enrecuperarse unnodo
I Tslot : tiempoque tarda enrecuperar k < nréplicas enparalelo
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
15
Arquitectura del sistemaFuncionamiento: Rejuvenecimiento
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
16
Arquitectura del sistemaImplementación
par
alt
[is_TCP]
ref
receivePacket
ref
executeDefense()
ProReactDefense
PacketHandler
2: Packet.Ignore
1: set_activeDefense (true)
loop
alt
[i < z]
ProReactDefense
3: loadBalanceProactive(k,l,t_out)
2: loadBalanceReactive(k,j,t_out)
1: detectReactive()
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
16
Arquitectura del sistemaImplementación
par
alt
[is_TCP]
ref
receivePacket
ref
executeDefense()
ProReactDefense
PacketHandler
2: Packet.Ignore
1: set_activeDefense (true)
loop
alt
[i < z]
ProReactDefense
3: loadBalanceProactive(k,l,t_out)
2: loadBalanceReactive(k,j,t_out)
1: detectReactive()
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
17Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
18
Evaluación y resultadosTopología de los escenarios
Archivo de105MBytesservido a1,46MBytes/s
Tiempo deservicio entre66 y 68segundos
EscenariosI 1 atacanteI 2 atacantesI 3 atacantes
Probabilidad de ataqueI 25%I 50%I 75%
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
19
Evaluación y resultadosComparativa tiempos de servicio
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(a) 1 atacante, defensa desactivada
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(b) 3 atacantes, defensa desactivada
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(c) 1 atacante, defensa activada
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(d) 3 atacantes, defensa activada
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
19
Evaluación y resultadosComparativa tiempos de servicio
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(a) 1 atacante, defensa desactivada
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(b) 3 atacantes, defensa desactivada
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(c) 1 atacante, defensa activada
Probabilidad de ataque 25% 50% 75%
Tie
mpo
de
serv
icio
(s)
65
70
75
80(d) 3 atacantes, defensa activada
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
20
Evaluación y resultadosFuncionamiento del sistema ante ataques DDoS
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
21Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
22
Trabajo relacionado
Áreas de estudioI Vulnerabilidades de SDN
I Estudio de amenazas y posibles solucionesI Mecanismos proactivos
I Aplicados sobre SDN en un ámbito distintoI Mecanismos reactivos
I Implementan sistemas de defensa sobre SDNI Mecanismos proactivos y reactivos
I Desarrollados en otras áreas
ContribuciónMecanismo proactivo y reactivo para mitigar ataques DDoS siendocapaz de gestionar y modificar la arquitectura de red SDN
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
22
Trabajo relacionado
Áreas de estudioI Vulnerabilidades de SDN
I Estudio de amenazas y posibles solucionesI Mecanismos proactivos
I Aplicados sobre SDN en un ámbito distintoI Mecanismos reactivos
I Implementan sistemas de defensa sobre SDNI Mecanismos proactivos y reactivos
I Desarrollados en otras áreas
ContribuciónMecanismo proactivo y reactivo para mitigar ataques DDoS siendocapaz de gestionar y modificar la arquitectura de red SDN
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
23Índice
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
24
Conclusiones y líneas futuras
ConclusionesI Estudio y comprensión de la arquitectura de red SDNI Estudio y comprensión de los distintos ataques DDoSI Implementación del mecanismo de defensa proactivo y reactivo
en OpenDayLightI Corroboración de la viabilidad y funcionamiento de la defensa
Líneas futurasI Formalizar el proyecto mediante modelos de MarkovI Actualizar la versión Beryllium de OpenDayLightI Añadir mecanismos de detecciónI Complementar con un honeypot
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
24
Conclusiones y líneas futuras
ConclusionesI Estudio y comprensión de la arquitectura de red SDNI Estudio y comprensión de los distintos ataques DDoSI Implementación del mecanismo de defensa proactivo y reactivo
en OpenDayLightI Corroboración de la viabilidad y funcionamiento de la defensa
Líneas futurasI Formalizar el proyecto mediante modelos de MarkovI Actualizar la versión Beryllium de OpenDayLightI Añadir mecanismos de detecciónI Complementar con un honeypot
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Muchas gracias por su atención