ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FACULTAD DE INFORMÁTICA Y ELECTRÓNICA

Anteproyecto del
TRABAJO DE TITULACIÓN

Título
Análisis de vulnerabilidades insider contra ataques de denegación de servicio (DoS) en
redes definidas por software

Presentado por: Jairo Alcivar Arce Villacres

Director del Trabajo de Titulación: Ing. Hugo Oswaldo Moreno.

Carrera: Ingeniería Electrónica en Telecomunicaciones y Redes

Tipo de Trabajo de Titulación: Propuesta Tecnológica.

Fecha de presentación del anteproyecto: 21 de septiembre de 2018.

1. TITULO DEL ANTEPROYECTO DEL TRABAJO DE TITULACIÓN

Análisis de vulnerabilidades insider contra ataques de denegación de servicio (DoS) en redes

definidas por software.

2. INFORMACIÓN GENERAL

2.1 PROPONENTE(S):

NOMBRE: Jairo Alcivar Arce Villacres

CEDULA: 060408888-0
CÓDIGO: jairo.arce@espoch.edu.ec
E-MAIL: 9
CARRERA: Escuela de Ingeniería en Electrónica Telecomunicaciones y Redes
ESCUELA: Ingeniería en Electrónica, Telecomunicaciones y Redes

2.4 DIRECTOR DEL TRABAJO DE TITULACIÓN:

NOMBRE: Ing. Hugo Oswaldo Moreno.

CEDULA: 0602928780
E-MAIL: h_moreno@espoch.edu.ec

2.5 EMPRESA / INSTITUCIÓN DONDE SE APLICARÁ EL TRABAJO:

Escuela Superior Politécnica de Chimborazo.

3. FORMULACION GENERAL DEL PROYECTO DEL TRABAJO DE TITULACIÓN

3.1 PLANTEAMIENTO DEL PROBLEMA

3.1.1 ANTECEDENTES

El surgimiento de nuevas tendencias tecnológicas, implementación de servicios en la nube

el gran aumento de dispositivos conectados a la red y la llegada de las redes programables
son algunos motivos por la cuales estas pueden ser afectadas con ataques que provengan
del interior o exterior de una organización o empresa. Debido a todo esto factores existe la
necesidad de crear nuevos protocolos o mecanismos de seguridad que permitan proteger
de una manera mas eficiente los recursos tanto físicos como lógicos. (Álvarez, 2015).

El nacimiento de las Software Defined Networks (SDN) trae consigo un numero de

soluciones para los usuarios que cambian constantemente de necesidades la mayoría en
tiempo real para lo cual las redes deben tener tiempo de respuestas cortos evitando así
interrupciones en sus servicios. Las SDN permiten crear redes flexibles y escalables que
reaccionar de forma dinámica a los recursos demandados por aplicaciones. (Formeta, 2017)

Este desarrollo de las SDN posibilita la separación del plano de control, datos y aplicaciones.
Con esta mejora se incorpora un controlador, el cual es el corazón de esta tecnología que
puede ser tanto una solución en software como hardware, en el controlador se puede
configurar, administrar y controlar distintas reglas tráfico de flujos de acuerdo con políticas,
por ejemplo: QoS, balanceo de carga, seguridad, entre otras aplicaciones. (Vargas, n.d.)

Al separar los planos los dispositivos aumentan su eficiencia ya que solo se encargan del
plano de datos es decir solo del envío de paquetes del origen hacia el destino, mientras que
el controlador es el encargado del plano de control y para su posterior comunicación con los
 distintos planos se usa el protocolo estándar OpenFlow que es el que gobierna las redes
definidas por software. (Rodrigues et al., 2015)

Todas las redes desde sus orígenes están expuestas ataques activos y pasivos, pero los
mas frecuentes son los ataques de denegación de servicios (DoS) muchos de estos son
usados con fines políticos o lucrativos y a medida que la tecnología avanza existe un mayor
grado de vulnerabilidad y son difíciles de contrarrestarlos. Un ejemplo reciente es el ataque
DoS hacia el repositorio GitHub afectando a servidores usados por negocio e instituciones
que al no esta protegidos de con un sistema de autenticación formaron parte del ataque a
dicha organización. (Morales & Ilbay, n.d.)

En Ecuador a igual que en otros países del planeta los ataques DoS han incrementado, un
ejemplo reciente es una amenaza del grupo Anonymus a través de las redes sociales lo cual
afecto a varias páginas gubernamentales provocando una saturación sobre dichas páginas.
Este ataque ocurrió en el año 2017. (Morales & Ilbay, n.d.)

3.1.2 FORMULACIÓN DEL PROBLEMA

¿Cómo se pueden analizar las vulnerabilidades de seguridad contra ataques DoS en redes
definidas por software?

3.1.3 SISTEMATIZACIÓN DEL PROBLEMA

¿Cuáles son las vulnerabilidades en las Redes SDN?

¿Qué impacto tienen los ataques DoS en las redes SDN?
¿Qué medidas son usadas para disminuir los ataques Denegación de Servicio en una
Organización?
¿Cuáles son la consecuencia de un ataque DoS en redes definidas por Software?

3.2 JUSTIFICACION DEL TRABAJO DE TITULACIÓN

3.2.1 JUSTIFICACIÓN TEÓRICA

Todas las redes están expuestas a riegos en cuanto a seguridades y la excepción no son la
SDN debido al estar basadas en leguajes de programación y a su vez que la reglas están
alojadas en el controlado, en caso de que este se vea afectado provocara fallos en todo el
dispositivo de la red. (Rodrigues et al., 2015)

Las redes SDN son aptas para optimizar recursos y brindar un dinamismo en las aplicaciones
que requiere el usuario, por lo tanto, están propensas a ataques informáticos como: los
ataques DoS, fuerza bruta, ataques de diccionario, entre otros. DoS es uno de los ataques
mas comunes en las infraestructuras de comunicaciones por su rápida expansión y fácil
desarrollo.

Denial of service o mejor conocido como Dos es un tipo de ataque que se realiza a la
generación de una masiva cantidad de peticiones a un servidor provocando una sobrecarga
de este y por consiguiente que los servicios se vean afectados hacia el usuario. Una solución
para contrarrestar este ataque es identificando la dirección IP de la maquina del atacante
para posteriormente el bloquearla. (Peña, 2017)
El presente proyecto pretende analizar las vulnerabilidades que existen en las redes SDN
enfocándose exclusivamente en los ataques denegación de servicio DoS y los impactos que
ocasionan para posteriormente realizar una guía de estudio de vulnerabilidades.

3.2.2 JUSTIFICACIÓN APLICATIVA

 Las redes SDN se encuentran en una etapa de desarrollo, tanto a nivel de tráfico como de
complejidad y a medida que se van implementando se continúan desarrollando nuevos virus,
ataques, etc… y cada vez estos son más sofisticados siendo difíciles de detectar. Por lo
tanto, algunas empresas han empezado a desarrollar medidas para mitigar la problemática.

Para desarrollar el tema propuesto se lo realizará de manera simulada y también una

implementación física usando un equipo básico, el cual tenga soporte del protocolo
OpenFlow. El equipo que será usado como controlador estará conectado a diferentes
terminales que actúan como clientes, servidores. Como se mencionó con anterioridad en el
controlador se alojarán todas las configuraciones de red además de las políticas para
analizar el tráfico y a su vez las vulnerabilidades que ocurren con el mismo, con el fin de
ofrecer medidas para disminuir los ataques de denegación de servicio (DoS). Para la
conectividad de los elementos de red se usa el protocolo OPENFLOW.

El escenario planteado se muestra en la figura 1.

Figura.1-Esquema de Implementación

3.3 OBJETIVOS

3.3.1 OBJETIVO GENERAL

Analizar las vulnerabilidades insider contra ataques DoS en redes definidas por software

3.3.2 OBJETIVOS ESPECIFICOS

 Estudiar las vulnerabilidades insider en Redes Definidas por Software.

 Desarrollar escenarios de pruebas para la explotación de vulnerabilidades DoS en
las redes SDN.
 Evaluar los resultados obtenidos antes y después de realizar los ataques de DoS en
los escenarios de prueba.
 Desarrollar una guía de buenas prácticas para análisis de vulnerabilidades insider
en Redes Definidas por Software.

3.4 MARCO TEÓRICO

SDN (Software Defined Network).

Las SDN, nacen en base a la necesidad de tener una mejor administración, distribución,
flexibilidad y sobre todo para una asignación eficiente del ancho de banda dependiendo de
las diferentes necesidades de los centros de datos.

Las redes actuales se encuentran limitadas a medida que crece la demanda de aplicaciones
para los diferentes tipos de requerimientos de los usuarios finales, quienes no se sienten a
gusto atados a un escritorio. Al aplicar SDN se les puede brindar la opción de la libertad de
movilidad y la facilidad de acceso a la información en cualquier lugar y hora que esta sea
requerida.

SDN se encuentran en pleno crecimiento, a nivel mundial, por las bondades de sus
características en programación que brindan una mayor garantía en lo referente a seguridad;
permite además redundancia, que es posible implementar, sin olvidar los beneficios que
anteriormente se mencionaron para los administradores y clientes

Software Defined Network o redes definidas por software es un paradigma emergente para
la gestión de las redes de comunicaciones consiste en desacoplar las funciones de recepción
y envió de paquetes. Figura 2.

En SDN, el plano de control y el de datos se desacoplan totalmente. El elemento del plano

de control, el controlador y los elementos del plano de datos, los switches son normalmente
elementos separados, incluso físicamente y se comunican por medio de un protocolo
estándar. (Díaz, n.d.)

Esta migración del control, desde los dispositivos individuales de red, a dispositivos
computacionalmente accesibles, permite que la infraestructura subyacente sea abstraída
para que aplicaciones y servicios de red puedan tratar a la red como una entidad lógica o
virtual. (Pegado, 2015)

Figura 2. Red SDN

El controlador de una SDN es una entidad centralizada, es decir, que puede tratarse de
varias instancias físicas o virtuales, pero se comporta como un único componente, que
mantendrá un estado global de la red (o fragmento de ésta), permitiendo que empresas y
operadores ganen control sobre toda la red desde un único punto lógico, simplificando
enormemente el diseño y operación.

Además, SDN simplifica también los dispositivos de red, ya que no es necesario que
entiendan y procesen miles de protocolos, sino únicamente aceptar las instrucciones del
controlador, definidas por el administrador de la red. Si nos fijamos en una arquitectura de
 red tradicional, consiste en un conjunto de medios de transmisión (aire, fibra, cobre, …) y
conmutación (switches, routers, ...).

La gestión de estas redes es distribuida, cada elemento de conmutación incorpora un

firmware que toma sus propias decisiones en función de determinados campos en las tramas
y paquetes recibidos. Si bien es verdad que han ayudado a mitigar los efectos de los
requerimientos de los nuevos servicios de red, debemos darnos cuenta de que ya no resultan
eficientes y presentan limitaciones. (Isa Hidalgo, 2016)

ARQUITECTURA Y ELEMENTOS SDN

Toda arquitectura de SDN se basa en un elemento central, el controlador, que se encarga

de comunicar las capas de control y aplicación mediante el uso de los APIs: la NorthBound
API y la SouthBound API. NorthBound API es la encargada de interpretar las aplicaciones y
establecer la comunicación con el controlador, mientras que la SouthBound API se encarga
de comunicar el hardware con el controlador de manera transparente e independiente del
elemento hardware que se encuentra debajo. Se puede observar en la figura 5 cómo
funciona dichas API entre el plano de control y de aplicación, teniendo al controlador en un
punto intermedio. (Paracuellos, 2016)

Así pues, los elementos más importantes son:

 Controlador: como ya se ha descrito, el controlador es el elemento central y

más importante de la arquitectura. Además de que se permite repicar el
controlador, se puede utilizar varios controladores para diferentes dominios de
modo que hacen las redes SDN mucho más escalables y seguras. Uno de los
puntos fuertes de la arquitectura SDN es que se puedan incluir nuevos módulos
en el núcleo del controlador según las necesidades del sistema.

 SouthBound API: se encarga de la comunicación entre el controlador y los

elementos de la red. Permite hacer cambios dinámicos en todos los elementos
de la red para adaptarse a las necesidades en tiempo real por parte de los
usuarios. Existen varios tipos de soluciones a esta problemática pero el que está
tomando mayor relevancia en la actualidad.

 NorthBound API: se encarga de facilitar la comunicación entre el core de

controlador con nueva APIs o aplicaciones. Gracias a la presente arquitectura
de SDN las aplicaciones pueden incluir nuevas funcionalidades de red más
potentes.

Figura 5.- Estructura de SDN

PROTOCOLO OPENFLOW
En realidad, es un stack de protocolos que permiten el desarrollo de más protocolos
experimentales en redes de campus universitarios, OPENFLOW reemplazaría la mayoría de
características de capa 2 y capa 3 de los switches y routers que se utilizan en la actualidad.

El modelo OpenFlow que difunde la ONF no es un protocolo en sí, es un conjunto de

protocolos y una API2, los componentes principales de este se muestran en la Figura 6,
donde se puede ver dos partes, los dispositivos de la red y el controlador.

Figura 6. Protocolo OPENFLOW

OpenFlow se divide en dos grandes protocolos:

1. Protocolo de Conexión

2. Protocolo de Administración y Configuración

Protocolo de Conexión

Se encarga de varias tareas:

 Establecer un control de sesión

 Definir la estructura del mensaje para la modificación de flujos
 Recolectar Estadísticas

Protocolo de Administración y Configuración

Denominado (of-config), basado en NETCONFIG que realiza las siguientes funciones:

 Asigna los puertos físicos del dispositivo de red a un controlador especifico

 Definir el comportamiento del elemento de red en caso de desconexión del
controlador

ATAQUES DE DENEGACION DE SERVICIO

Los ataques DOS nacen como una consecuencia natural de la propia arquitectura de
Internet. No es necesario tener grandes conocimientos para realizar este tipo de ataques y
no es tan arriesgado como realizar un ataque directo contra un servidor: este tipo de ataques
utilizan otros equipos intermedios para luego poder borrar rastros.

Por ejemplo: Si un servidor tiene un ancho de banda de 1mbps y un usuario tiene un ancho
de banda de 30mbps, este usuario podría denegar el servicio del servidor haciéndole muchas
peticiones y agotando su ancho de banda.
 Existen tres tipos básicos de denegación de servicio:

 Consumo de recursos: El atacante intenta consumir los recursos del servidor hasta
agotarlos: ancho de banda, tiempo de cpu, memoria, disco duro…
 Destrucción o alteración de la configuración: Se intenta modificar la información de
la máquina. Este tipo de ataques necesitan de técnicas más sofisticadas.
 Destrucción o alteración física de los equipos: Se intenta denegar el servicio
destruyendo físicamente el servidor o algunos de sus componentes, cortando el
cable de conexión, o el cable de la red eléctrica.

Los sistemas de DOS más utilizados:

 Mail Bombing: El primer sistema de denegación de servicio fue el denominado mail

bombing, consistente en el envío masivo de mensajes a una máquina hasta saturar
el servicio.
 Smurfing: Este sistema de ataque se basa en transmitir a la red una trama ICMP
correspondiente a una petición de ping. Esta trama lleva como dirección de origen
la dirección IP de la víctima (usando IP Spoofing) y como dirección de destino la
dirección broadcast de la red atacada. De esta forma todos los equipos de la red
contestan a la víctima de tal modo que pueden llegar a saturar su ancho de banda
 SYN Flood: El sistema atacante utiliza una IP inexistente y envia multitud de tramas
SYN de sincronización a la víctima. Como la víctima no puede contestar al
peticionario (porque su IP es inexistente) las peticiones llenan la cola de tal manera
que las solicitudes reales no puedan ser atendidas.

3.5 TEMARIO TENTATIVO DESGLOSADO, CAPITULOS, SUBCAPITULOS

1. CAPÍTULO I: MARCO TEÓRICO.

1. CAPITULO I: MARCO TEORICO

1.1. Redes SDN
1.1.1. Arquitectura SDN
1.2. OPEFLOW
1.2.1. Componentes de OPENFLOW
1.2.2. Mensajes de OPENFOW
1.3. Controlador SDN
1.3.1. Tipos de controladores
1.3.1.1. Ryu
1.3.1.1.1. Funcionamiento
1.3.1.1.2. Componentes
1.3.1.1.3. Aplicaciones
1.3.1.1.4. Librerías
1.3.1.1.5. Controlador Openflow
1.4. Ataques de denegación de servicio
1.4.1.1. Ping de la muerte

2. CAPITULO II: MARCO METODOLOGICO

2.1. Implementación de la SDN
2.1.1. Switch OPENFLOW
2.1.1.1. Configuración básica
2.1.1.2. Instancia OPENFLOW
2.1.1.3. Controlador
2.2. Pruebas
2.2.1. Ataques
2.3. Análisis de tráfico en la SDN
 3. CAPITULO III: MARCO DE RESULTADOS
3.1. Pruebas de conectividad
3.2. Evaluación de resultados
3.3. Conclusiones y recomendaciones

3.6 BIBLIOGRAFIA

3.6.1 BIBLIOGRAFÍA GENERAL

Álvarez, R. (2015). ESTUDIO DE LAS REDES DEFINIDAS POR SOFTWARE MEDIANTE EL

DESARROLLO DE ESCENARIOS VIRTUALES BASADOS EN EL CONTROLADOR
OPENDAYLIGHT,2014.

Carlos, S. (2018). IMPLEMENTACIÓN DE UN CLÚSTER-CONTROLADOR DE SDN BASADO EN UN

FRAMEWORK DE SOFTWARE LIBRE PARA LA INFRAESTRUCTURA CLOUD DE LA
FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS., 269.

Díaz, A. (n.d.). Trabajo de Fin de Grado energía en redes definidas por Software. Formeta, D. (2017). Desarrollo
de aplicaciones. ResearchGate, (July 2016), 1.

Retrieved from http://www.startcapps.com/blog/desarrollo-de-aplicaciones/

Nuñez, A. (2015). RED DEFINIDA POR SOFTWARE (SDN) EN BASE A UNA INFRAESTRUCTURA DE
SOFTWARE DE LIBRE DISTRIBUCIÓN.

Olaya, M. (n.d.). ESTUDIO DE LAS REDES DEFINIDAS POR SOFTWARE MEDIANTE EL

DESARROLLO DE ESCENARIOS VIRTUALES BASADOS EN EL CONTROLADOR
OPENDAYLIGHT.

Paracuellos, j. . (2016). Trabajo Fin de Grado Defensa proactiva y reactiva ante ataques DDoS en un entorno
simulado de redes definidas por software.

Pegado, T. M. (2015). Desarrollo de un sistema de monitorización para SDNs (Software Defined Networks).

Peña, Ó. (2017). Tendencias digitales 2016/17. Grey Group. Retrieved from

http://grey.com/emea/spain/noticias/oscar/tendencias-digitales-2016-
2017/tendencias_digitales_2016_2017.pdf

Vargas, W. A. V. (n.d.). Emulación de una red definida por software utilizando MiniNet. Escuela Técnica
Superior de Ingenieros En Telecomunicaciones (ETSIT - UPM), 8.

3.6.2 BIBLIOGRAFÍA RELACIONADA AL TEMA

Isa Hidalgo, R. (2016). Implementación de un laboratorio virtual para aprendizaje de SDN (Virtual lab
implementation for SDN learning). Obtenido de
https://repositorio.unican.es/xmlui/bitstream/handle/10902/9377/387880.pdf

Pegado, T. M. (2015). Desarrollo de un sistema de monitorización para SDNs (Software Defined Networks).
Obtenido de https://repositorio.uam.es/bitstream/handle/10486/669460/Pegado_Boureghid
a_Maria_Teresa_tfg.pdf?sequence=1
Vargas, W. A. V. (n.d.). Emulación de una red definida por software utilizando MiniNet. Obtenido de
https://s3.amazonaws.com/academia.edu.documents/32767731/articuloFinal.
pdf?AWSAccessKeyId=AKIAIWOWYYGZ2Y53UL3A&Expires=1520908989&
Signature=dVlCFNE7zeykdcUGNOJk9RvFqQ8%3D&response-content- disposition=inline%3B
filename%3DEmulacion_de_una_red_definida_por_softwa.pdf

Morales, L., & Ilbay, P. (n.d.). IMPLEMENTACIÓN DE LA CALIDAD DE SERVICIOS (QoS) Y

MONITOREO DE REDES PARA GESTIONAR EL BALANCEO DE CARGA DEL ENLACE A
INTERNET EN LA FACULTAD DE ADMINISTRACIÓN FINANZAS E INFORMÁTICA.

Rodrigues, C. P., Costa, L. C., Vieira, M. A. M., Vieira, L. F. M., Macedo, D. F., & Vieira, A. B. (2015).
Avaliação de Balanceamento de Carga Web em Redes Definidas por Software, 585–598. Retrieved from
http://sbrc2015.ufes.br/wp- content/uploads/138783.1.pdf

4. EJECUCION DEL PROYECTO DE TRABAJO DE TITULACIÓN

4.1 MÉTODOS Y TÉCNICAS

Para este trabajo se aplicarán tanto métodos como técnicas. Dentro de los métodos se
pueden mencionar:

 Método descriptivo: para detallar el diseño y explicación del funcionamiento del

programa. Es decir, detallar las actividades a realizar.
 Método experimental: para comprobar el correcto funcionamiento del trabajo
de titulación.
 Método científico: consiste en describir y definir las ideas propuestas en la
investigación.

También se aplicarán técnicas, tanto para desarrollar la investigación bibliográfica y en la

web.

4.2 RECURSOS NECESARIOS

4.2.1 HARDWARE

4 computadoras
Router con soporte Openflow

4.2.2 SOFTWARE

Python (software libre)

Ryu (software libre)
Snort (software libre)
Suricata (software libre)
VirtualBox (software libre)
Wireshark (software libre)
OpenDayLight (software libre)

4.2.3 MATERIALES A UTILIZAR

Útiles de oficina
Impresora

2.2.4 OTROS
 Internet

4.3 PLAN GENERAL DE TRABAJO

Para realizar este trabajo de titulación nos basaremos en el siguiente plan de trabajo con el
siguiente orden:

1. Investigar acerca de las redes SDN y sus vulnerabilidades contra ataques DoS : es
necesario este paso como el inicial para poder realizar la investigación y con ello
determinar si será factible o no este proyecto. (2 semanas)

2. Estudio del funcionamiento de los elementos de la red SDN: analizar el modo de

funcionamiento de los controladores ya que allí es donde se van a procesar toda la
investigación. (2 semanas)

3. Recopilación de manuales o guías de los softwares a usar en esta investigación: para

poder manejar cada uno de los softwares. (1 semana)

4. Obtención de los softwares para realizar la investigación. (1 semana)

5. Diseño del escenario a realizar en el estudio del proyecto: luego de recopilar la

información se procede a analizar el tráfico de la red para determinar vulnerabilidades
para posteriormente realizar tomar medidas para contrarrestar la problematica. (8
semanas).

6. Recopilar datos obtenidos. (1 semana)

7. Documentación del proyecto con la respectiva presentación ante el tribunal

correspondiente: todo documentado con resultados obtenidos durante la realización del
trabajo de titulación y defensa y presentación del trabajo. (5 semanas)

4.4 CRONOGRAMA TENTATIVO (GANTT)

4.5 PRESUPUESTO

PRESUPUESTO
 Cant. Descripción V. Unitario V. Total
1 Router con soporte OpenFlow $400 $400
2 Adquisición de las licencias de $100 $100
softwares
1 Laptops $800 $800
Útiles de oficina $50
Otros $50
Total $1400
Tabla 1.- Presupuesto
4.6 FUENTE DE FINANCIAMIENTO

Este Proyecto de Titulación será autofinanciado por el proponente para su realización.