7
D
i
s
e
ño
d
e
un
a
a
p
li
c
a
c
i
ón
S
D
N
d
e
s
e
g
u
r
i
d
a
d
y
s
u
i
m
p
a
c
t
o
e
n
e
l
d
e
s
e
m
p
e
ño
d
e
la
r
e
d
D
e
s
i
g
n
of
s
D
n s
e
c
u
r
i
t
y
a
pp
li
c
a
t
i
o
n
a
nd
i
t
s
i
m
p
a
c
t
o
n
t
h
e
n
e
t
w
o
r
k
p
e
r
fo
r
m
a
n
c
e
M
Sc
.
I
n
g
.
Y
a
n
k
o
A
n
t
o
n
i
o
M
a
r
í
n
M
u
r
o
1
,
D
rSc
.
F
é
li
x
Á
l
v
a
r
e
z P
a
li
z
a
2
,
M
Sc
.
I
n
g
.
A
b
e
l
A
l
fo
n
s
o
L
ó
p
e
z
C
a
r
b
o
n
e
ll
3
,
M
Sc
.
I
n
g
.
C
a
r
l
o
s L
e
st
e
r
D
u
e
ñ
a
s S
a
n
t
o
s
4
El nacimiento
d
e las aplicaciones en tiempo
r
eal, la t
r
ansmisión de video, la ma
s
i
f
i-
cación de las redes sociales, la int
r
oducción de la computación en la nube y mucho
s
otros servicios
h
an dado como
r
esultado el c
r
ecimiento exponencial del t
r
á
f
ico que
circula por las
r
edes de telecomunicaciones. En consecuencia, se plantea la nece
s
i-
dad de cambiar la
f
o
r
ma de comunicacn en las
r
edes actuales hacia nuevo
s
méto-
dos que proporcionen mayo
r
inteligencia a la misma. Es así que nace el concepto de
las Redes
D
e
f
inidas po
r
So
f
t
w
a
r
e
(
S
DN)
, el cual está
r
evolucionando el campo de la
s
co-
municaciones mediante el cont
r
ol de los dispositivos de la
r
ed desde un so
f
t
w
a
r
e exterior.
S
erán las aplicaciones S
DN
que se ejecuten sob
r
e el cont
r
olado
r
de la
r
ed quiene
s
gobernarán el compo
r
tamiento de los dispositivos. La aplicación que se exp
o
ne en
este artículo es un ejemplo de ello. Esta aplicación pe
r
mite cont
r
ola
r
el acce
s
o de
los usuarios a los
r
ecu
r
sos de una
r
ed, lo cual dota a la
r
ed de una mayo
r
seg
u
ridad.
A
demás, se ha comp
r
obado su impacto sob
r
e el desempeño de la
r
ed en
r
mino
s
de
latencia y tasa de t
r
ans
f
e
r
encia de datos. Los expe
r
imentos se han llevado a cabo en
el emulador Mininet. La plata
f
o
r
ma de p
r
ueba desa
rr
ollada en el t
r
abajo junto a la
aplicación crea
d
a evidencia las potencialidades de las S
DN
. Finalmente, se compara
el impacto de la aplicación de segu
r
idad en la
r
ed cuando se utilizan los método
s
activo y proactivo.
1
E
m
p
r
e
s
a
d
e
T
e
l
e
c
o
m
un
i
c
a
c
i
o
n
e
s
d
e
C
ub
a
S
.
A
.
L
a
H
a
b
a
n
a
,
C
ub
a
.
y
a
n
k
o
.
m
a
r
i
n
@
e
t
e
cs
a
.
c
u
2
U
n
i
v
e
rs
i
d
a
d
C
e
n
tr
a
l
d
e
L
a
s
V
ill
a
s ¨
M
a
rt
a
A
b
r
e
u
¨
.
L
a
s
V
ill
a
s,
C
ub
a
.
fp
a
li
z
a
@
e
t
e
cs
a
.
c
u
3
E
m
p
r
e
s
a
d
e
T
e
l
e
c
o
m
un
i
c
a
c
i
o
n
e
s
d
e
C
ub
a
S
.
A
.
L
a
H
a
b
a
n
a
,
C
ub
a
.
a
b
e
l
.
l
op
e
z@
e
t
e
cs
a
.
c
u
4
E
m
p
r
e
s
a
d
e
T
e
l
e
c
o
m
un
i
c
a
c
i
o
n
e
s
d
e
C
ub
a
S
.
A
.
L
a
H
a
b
a
n
a
,
C
ub
a
.
c
a
r
l
o
s
.
du
e
n
a
s@
e
t
e
cs
a
.
c
u
i
N
v
e
s t i g a c i ó
N
PAlA
b
RAs clAveResu
m
en
Rede
s
De
f
inida
s
por
S
oftware
Open
F
low
M
ininet
Rede
s
programable
s
R
e
c
i
b
i
d
o
:
11
/
2017
|
A
c
e
p
t
a
d
o
:
02
/
2018
The birth of real
-
time applications, video t
r
ansmission, the massi
f
ication o
f
s
ocial
net
w
orks, the int
r
oduction o
f
cloud computing and many othe
r
se
r
vices have re-
sulted in the exponential g
r
o
w
th o
f
t
r
a
f
f
ic on the telecommunications net
w
ork
s
.
Consequently, it is necessa
r
y to change the
w
ay o
f
communication in the current
net
w
orks to ne
w
methods that p
r
ovide g
r
eate
r
net
w
o
r
k intelligence. This i
s
ho
w
the concept of
S
o
f
t
w
a
r
e
D
e
f
ined
N
et
w
o
r
ks
(
S
DN)
is bo
r
n
w
hich is
r
evolutionizing
the
f
ield of communications by cont
r
olling the device o
f
the net
w
o
r
k
fr
om external
KeyWoRdsA
b
stRAct
S
oftware De
f
ined
Network,
Open
F
low,
M
ininet,
programmable network
s
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
8
soft
w
are
w
ith the
h
elp o
f
O
pen
f
lo
w
p
r
otocol specially c
r
eated
f
o
r
this pu
r
pose. It
w
ill be the
SDN
applications
r
unning on the net
w
o
r
k cont
r
olle
r
that
w
ill cont
r
ol the
behavior of the de
v
ice. The application that is exposed in this pape
r
is an example of
this. This application allo
w
s to cont
r
ol the access o
f
the use
r
s to the net
w
o
r
k
r
es
o
ur-
ces, and improving net
w
o
r
k secu
r
ity.
I
n addition it has been ve
r
i
f
ied its impact on
the performance o
f
the net
w
o
r
k in te
r
ms o
f
latency and th
r
oughput. The expe
r
iment
s
have been carried
o
ut in the Mininet emulato
r
and P
OX
cont
r
olle
r
. The test plat
f
orm
developed in the
w
o
r
k togethe
r
w
ith the application c
r
eated evidences the potential
of the
SDN
.
F
inally, the impact o
f
the secu
r
ity application in the net
w
o
r
k
w
hen using
active and proactive methods is compa
r
ed.
i
N
v
e
s t i g a c i ó
N
M
Sc
.
I
n
g
.
Y
.
A
.
M
a
r
í
n
M
u
r
o
,
D
rSc
.
F
.
Á
l
v
a
r
e
z P
a
li
z
a
,
M
Sc
.
I
n
g
.
A
.
A
.
L
ó
p
e
z
C
a
r
b
o
n
e
ll
,
M
Sc
.
I
n
g
.
C
.
L
.
S
a
n
t
o
s
I
n
t
r
odu
cc
i
ón
Du
r
ante mucho tiempo, las tecnologías de
r
edes
han evolucionado a un ritmo s lento en compa
r
ación
con ot
r
as tecnolo
g
ías de comunicaciones, lo cual ha in
-
c
r
ementado la osi
f
icación de la red (Jarraya et al., 2014;
Li y Chen,2015
)
. La Internet basada en el
P
rotocolo de
In
te
r
net
(IP)
ha tenido gran éxito, centrándose principal
-
mente en los conceptos tradicionales de conmutación y
en
r
utamiento.
S
in embargo, la complejidad de la
s
r
edes
actuales se en
fr
enta a problemas importantes ent
r
e los
que
f
igu
r
an: la calidad del servicio, la seguridad, la ges
-
tión de la movilidad y escalabilidad (
K
reutz, Ramos,
Esteves Ve
r
issimo, Esteve Rothenberg,
A
zodolmolky y
Uhlig, 2015
)
.
Equipos de
r
ed como los conmutadores y en
r
u
-
tado
r
es han sido tradicionalmente desarrollados po
r
f
ab
r
icantes que diseñan su propia gica de cont
r
ol
pa
r
a ope
r
a
r
sus dispositivos de una manera exclusiva
y ce
rr
ada. Esto
fr
ena el avance de las innovaciones en
las tecnologías de redes y provoca un aumento de los
cativamente la complejidad, el costo de administ
r
ación
y la gestión de la
r
ed.
D
ebido a estas limitaciones, la
s
comunidades cientí
f
icas de
r
edes y líde
r
es indust
r
iale
s
del me
r
cado han colabo
r
ado con el
f
in de
r
eplantear
el diseño de las
r
edes t
r
adicionales.
D
e esta manera,
su
r
gió un nuevo pa
r
adigma de
r
edes llamado Rede
s
P
r
og
r
amables con el objetivo de
f
acilita
r
la evolución
de la
r
ed. Su p
r
incipio
f
undamental es pe
r
miti
r
que la
r
ed sea más
f
lexible, adaptable y dinámica
(
Ja
rr
aya, et
al., 2014
)
. Pa
r
a mate
r
ializa
r
este concepto, su
r
gieron
po
r
los años 90, dos escuelas sepa
r
adas de pensamien-
tos:
O
penSig, de la comunidad de las telecomunica-
ciones, y Redes
A
ctivas, de la comunidad de las
r
e
d
e
s
I
P. Ent
r
e las p
r
incipales
r
azones po
r
las que estos
g
ru-
pos no tuvie
r
on éxito
f
igu
r
an los p
r
oblemas de
r
endi-
miento, complejidad y segu
r
idad int
r
oducidos en su
s
p
r
opuestas
(N
unes, Mendonca,
N
guyen,
O
b
r
aczka y
Tu
r
letti, 2014
)
.
D
espués de las
r
edes p
r
og
r
amables, su
r
gieron
ot
r
os p
r
oyectos con un nuevo en
f
oque
r
elacionado
con la sepa
r
ación de los planos de cont
r
ol y de dato
s
,
c
o
stos de gestión y operación, cada vez que se des
-
pliegan nuevos servicios, tecnologías y equipos. Este
a
p
oya
do
p
r
incipalm
e
nt
e
en
l
o
s
e
s
f
ue
r
zo
s
de
c
r
ea
r
i
n
-
e
s
un p
r
oblema universal, que ha hecho que cada día
te
rf
aces abie
r
tas y estánda
r
es ent
r
e estos dos plano
s
;
las a
r
quitectu
r
as de redes sean cada vez s complejas
destacándose la a
r
quitectu
r
a pa
r
a la sepa
r
ación de lo
s
y tengan una baja capacidad de escalabilidad. Se han
elementos de t
r
ansmisión y cont
r
ol
(
Fo
r
CES
)
.
O
t
r
o
s
p
r
opuesto du
r
ante todos estos años muchas soluciones
p
r
oyectos que p
r
omueven la sepa
r
ación de planos de
pa
r
a
r
eemplaza
r
la tecnología de red actual, per
o
nun
-
cont
r
ol y de datos son la plata
f
o
r
ma de cont
r
ol de enru-
ca se han aplicado por ser extremadamente di
f
íciles
tamiento
(
RCP
)
y la a
r
quitectu
r
a segu
r
a pa
r
a las
r
e
d
e
s
de p
r
oba
r
(
Nunes, Mendonca,
N
guyen,
O
braczka y
emp
r
esa
r
iales
(
S
AN
E
)
y Ethane
(N
unes, Mendonca,
Tu
r
letti, 2014
)
.
N
guyen,
O
b
r
aczka y Tu
r
letti, 2014
)
.
La a
r
quitectura de las redes actuales se compone
En los últimos años, también ha su
r
gido el pa
r
adig-
de t
r
es planos lógicos: plano de control, plano de datos
ma de las Redes
D
e
f
inidas po
r
So
f
t
w
a
r
e
(
S
DN)
como
y el plano de gestión.
H
asta ahora, los equipos de
r
e
-
una p
r
opuesta pa
r
a supe
r
a
r
las limitaciones ante
r
ior-
des se han desa
rro
llado con los planos de control y demente mencionadas
(
Ja
rr
aya, et al., 2014
)
;
(Kr
eutz,
datos est
r
echamente acoplados. Esto aumenta signi
f
i
-
Ramos, Esteves
V
e
r
issimo, Esteves Rothenberg,
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
9
D
i
s
e
ño
d
e
un
a
a
p
li
c
a
c
i
ón
S
D
n
d
e
s
e
g
u
r
i
d
a
d
y
s
u
i
m
p
a
ct
o
e
n
e
l
d
e
s
e
m
p
e
ño
d
e
la
r
e
d
i
N
v
e
s t i g a c i ó
N
Azodolmolk
y,
y
U
hlig, 2015). Recientemente, lastodo el ancho de banda disponible. La especi
f
icacn
Redes De
f
ini
d
as por
S
oft
w
are han ganado popula
r
i
-
de
f
ine el p
r
otocolo ent
r
e el cont
r
olado
r
y los co
n
muta-
dad en la academia y la industria. Las
SDN
es unado
r
es y un conjunto de ope
r
aciones que se pueden rea-
r
e
f
o
r
mulación de investigaciones anteriore
s
con losliza
r
ent
r
e ellos. Las inst
r
ucciones de
r
eenvío se ba
s
an
empeños de
s
eparar el plano de control y el plano deen
f
lujos y son aplicadas a todos los paquetes que com-
datos, así como centralizar la inteligencia de la
r
ed,pa
r
ten una se
r
ie de ca
r
acte
r
ísticas comunes.
ab
r
iendo un camino para la innovación mediante la
U
n
f
lujo en un conmutado
r
puede esta
r
de
f
inido
p
r
og
r
amación de aplicaciones que pueden cont
r
ola
r
po
r
muchos c
r
ite
r
ios ent
r
e los que se encuent
r
an: puer-
di
r
ectamente el plano de datos de la red.
A
l se
r
un nue
-
to donde se
r
ecibe el paquete, etiqueta
V
L
AN
,
MA
C
vo concepto, no se ha alcanzado aún un consenso so
-
o
r
igen o destino, p
r
otocolo, etc. Si un paquete
n
o en-
b
r
e su de
f
inición exacta.
D
e hecho, una gran va
r
iedadcuent
r
a ninguna coincidencia en las tablas debe ser en-
de di
f
e
r
entes de
f
iniciones (
H
u,
H
ao y Bao, 2014
)
hanviado al cont
r
olado
r
S
DN
. Este cont
r
olado
r
de
f
inirá un
su
r
gido en lo
s
últimos años, cada una tiene sus p
r
o
-
nuevo
f
lujo pa
r
a el paquete y envia
r
á al conmutador
pios
r
itos.
S
egún la
O
pen Networking Foundationuna o más ent
r
adas pa
r
a las tablas de
f
lujo existente
s
.
(
ON
F)
, consorcio sin
f
ines de lucro dedicado al de
-
Pa
r
a la p
r
óxima ocasión los paquetes que coi
n
cidan
sa
rr
ollo, estandarización y comercialización de lascon este nuevo
f
lujo no tend
r
án que espe
r
a
r
la
r
e
s
pue
s
-
S
DN, la de
f
i
n
ición más aceptada es:ta del cont
r
olado
r
, sino que se
r
án encaminados a velo-
Las Redes
D
e
f
inidas por
S
oft
w
are se de
f
inencidad de línea po
r
el conmutado
r
O
penFlo
w
. Exi
s
ten
como una a
r
quitectura de red dinámica, gestionable,dos en
f
oques pa
r
a la gestión de las tablas de
f
l
u
jo
s
de
adaptable, de costo e
f
iciente. Lo cual la hace ideal pa
r
alos dispositivos de la capa de in
fr
aest
r
uctu
r
a: el control
las altas demandas de ancho de banda y la natu
r
alezade
f
lujo
r
eactivo y p
r
oactivo.
dinámica de las aplicaciones actuales. Esta arquitectu
-
El cont
r
olado
r
puede instala
r
ent
r
adas de
f
lujo de
r
a desacopla el control de la red y la funcionalidad de
f
o
r
ma pe
r
manente o tempo
r
al, en pa
r
ticula
r
, ante
s
de
r
eenvío de in
f
ormación permitiendo que el cont
r
ol de
que
r
ealmente se necesiten. Este en
f
oque se conoce
la
r
ed pueda ser completamente programable log
r
ando
como gestión de
f
lujo p
r
oactiva. Este método
r
equiere
que las aplicaciones y servicios de red se abst
r
aigan de
de g
r
andes capacidades de memo
r
ia del tipo TC
AM
.
la in
fr
aest
r
uctura de red subyacente”.
Estas memo
r
ias son costosas, po
r
lo que un enfoque
Los bene
f
icios del despliegue de las
SD
N son va
-
pa
r
a optimiza
r
la cantidad de ent
r
adas de
f
lujo
s
y la
r
iados y ent
r
e ellos se destacan: visión uni
f
icada de la
capacidad de memo
r
ia utilizada en los conmutadore
s
est
r
uctu
r
a de la red, enrutamiento mejorad
o
, monito
-
es la instalación de estas
r
eglas en demanda y de forma
r
ización y alertas centralizadas, Ingeniea de T
r
á
f
ico
r
eactiva.
(
TE
)
cent
r
alizada, manejo más rápido de fallos,
r
educ
-
El en
f
oque
r
eactivo solo contiene las ent
r
ada
s
de
ción de la complejidad a través de la automatización,
f
lujo utilizadas
r
ecientemente en la tabla. Po
r
un lado,
cont
r
ol cent
r
alizado de entornos de múltiples p
r
ovee
-
esta pe
r
spectiva pe
r
mite lidia
r
con pequeñas tabla
s
de
do
r
es, mayo
r
tasa de innovación y un aumento de la
f
ia
-
r
eenvío. Po
r
ot
r
o lado, se
r
equie
r
e la inte
r
acción con
bilidad y la se
g
uridad de la red (
H
u,
H
ao y Bao, 2014
)
.
el cont
r
olado
r
si los paquetes de un
f
lujo llegan a un
En la a
r
quitectura
SDN
, el plano de control es
r
es
-
conmutado
r
que no tiene una ent
r
ada ap
r
opiada en la
ponsable de la con
f
iguración de los dispositivos de la
tabla de
f
lujo.
D
espués de un tiempo, la ent
r
ada correc-
capa de in
fr
aestructura.
U
n controlador
O
penFlo
w
ins
-
ta se instala
r
á eventualmente en el conmutador para
tala las ent
r
adas de
f
lujo en las tablas de reenvío de los
que los paquetes puedan
r
eenvia
r
se. El
r
et
r
aso re
s
ul-
conmutado
r
e
s
.
tante depende del canal de cont
r
ol y la ca
r
ga actual del
Los conmutadores tradicionales utilizan
S
TP, SPB
cont
r
olado
r
. Po
r
lo tanto, la gestión de
f
lujos de forma
o TR
I
LL pa
r
a determinar cómo se reenvían los paque
-
r
eactiva
r
educe la necesidad de g
r
andes tablas en lo
s
tes. Open
F
lo
w
traslada esta decisión de reenvío de los
conmutado
r
es, pe
r
o aumenta el
r
eta
r
do en la
r
ed y lo
s
conmutado
r
e
s
a los controladores.
U
na aplicación de
r
eque
r
imientos de con
f
iabilidad del canal de control,
gestión se ejecutará en las interfaces del cont
r
olado
r
a como del so
f
t
w
a
r
e del cont
r
olado
r
.
que unen todos los conmutadores en la red, facilitando
La segu
r
idad de la
r
ed es una pa
r
te notable de la
s
egu-
la con
f
igu
r
aci
ó
n de caminos de reenvío que utiliza
r
án
r
idad cibe
r
nética y está ganando atención constantemente.
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
1
0
2017
)
. En este a
s
pecto, las
SDN
ofrecen una plata
f
o
r-
ma conveniente para centralizar, combinar y co
n
t
r
ola
r
la
s
políticas y con
f
iguraciones para asegurarse de que la
implementación cumple con la protección requeri
d
a.
D
e
e
s
ta mane
r
a, de una forma proactiva se evitan brechas de
s
egu
r
idad.
P
o
r
ot
r
a parte, las
SDN
proporcionan mejo
r
es
métodos pa
r
a detectar y defenderse de ataques de
f
o
r
ma
r
eactiva. Debido a que las
SDN
tienen la capacidad de
r
ecopila
r
el estad
o
de la red, se pueden analizar los pa
-
t
r
ones de t
r
á
f
ico en busca de amenazas de seguri
d
ad po
-
te
n
ciales. Los ataques, como “ataques de ráfaga de baja
velocidad y denegación de servicio distribuido (D
D
oS
)
,
s
e pueden detectar simplemente mediante el análisis de
pat
r
ones de t
r
á
f
ic
o
.
Las
r
edes
SDN
pueden ser desplegadas en cual
-
quie
r
ento
r
no de red tradicional, desde las redes do
-
mésticas y emp
r
esariales hasta en los centros de datos
y puntos de acceso a Internet. Tal variedad de ento
r
nos
ha dado luga
r
a una amplia gama de aplicaciones de
r
ed de segu
r
idad.
Una de las conclusiones que expone el in
f
o
r
me
Cibe
r
segu
r
idad: un desa
f
io mundial”, que recoge los
temas que se t
r
ataron en el foro
F
uture Trends
F
o
r
um,
t
h
ink
-
tank de la
F
undación de la Innovación Bankinte
r
,
que tuvo luga
r
en Madrid en diciembre de 201
5
, es la
s
iguiente:
El cibe
r
c
r
imen, es decir, los ataques cont
r
a em
-
Las p
r
ácticas t
r
adicionales relacionadas con la se
-
El estudio que a continuación se p
r
esenta se ha
g
ur
idad de
r
ed se implementan desplegando co
r
ta
-
cent
r
ado en el desa
rr
ollo de una aplicación de seguri-
f
uegos,
S
BC, servidores proxy para proteger una
r
ed
dad que se ejecuta sob
r
e un cont
r
olado
r
S
DN
basado
f
í
s
ica.
en
O
penFlo
w
con el objetivo de demost
r
a
r
que la ma-
Debido a la heterogeneidad de las aplicaciones en
yo
r
ía de las
f
uncionalidades de un co
r
ta
f
uego pueden
la
s
r
edes, ga
r
antizar accesos exclusivos para las aplica
-
se
r
implementadas po
r
so
f
t
w
a
r
e sin la necesidad de un
ci
o
nes a la
r
ed, implica la aplicación de una política en
ha
r
d
w
a
r
e dedicado.
toda la
r
ed y una tediosa con
f
iguración de cortaf
u
egos,
A
t
r
avés de la capa de cont
r
ol, las aplicacione
s
s
e
r
vido
r
es p
r
oxy y otros dispositivos (Banse y
S
chuette,
S
DN
, que son conside
r
adas el “ce
r
eb
r
o de la
r
ed pue-
den tene
r
en tiempo
r
eal una visión global de la misma
a t
r
avés de la inte
rf
az hacia el no
r
te de los cont
r
ola-
do
r
es.
U
tilizando esta in
f
o
r
mación, las aplicacione
s
S
DN
pueden implementa
r
mediante la p
r
og
r
amación
est
r
ategias pa
r
a manipula
r
las
r
edes
f
ísicas subyacen-
tes utilizando un lenguaje de alto nivel p
r
opo
r
cionado
po
r
la capa de cont
r
ol.
D
e lo ante
r
io
r
se in
f
ie
r
e la necesidad de c
r
ea
r
una
aplicación de segu
r
idad pa
r
a la investigación, en
s
e-
ñanza y evaluacn del desempeño de las
r
edes SD
N
basadas en el p
r
otocolo
O
penFlo
w
, lo cual conduce al
p
r
oblema cientí
f
ico de esta investigación:
¿Cómo implementa
r
una aplicación S
DN
que per-
mita detecta
r
int
r
usos y cont
r
ola
r
el acceso a los
r
ecur-
sos de la
r
ed?
¿Cuánto se
r
á el impacto en la latencia y la tasa de
t
r
as
f
e
r
encia de datos en la
r
ed cuando se aplican polí-
ticas de segu
r
idad?
La aplicación que se desc
r
ibi
r
á pe
r
mite el control
de acceso a la
r
ed en tiempo
r
eal, detectando aquello
s
usua
r
ios que t
r
aten de accede
r
a los
r
ecu
r
sos sin auto-
r
ización. Se most
r
a
r
án los detalles de implementación
de la aplicación, así como el
r
esultado de la experi-
mentación.
A
demás, se analiza el impacto en la laten-
cia y la tasa de t
r
as
f
e
r
encia de datos en la
r
ed cuando
s
e
aplican políticas de segu
r
idad en los modos
r
eacti
v
o
s
y p
r
oactivos.
p
r
esas y gobie
r
nos, se realiza cada vez con may
or
fr
e
-
c
u
enci
a y s
o
n
a
t
aque
s
m
ás
s
o
f
i
s
ticado
s y o
rganiz
a
dos
,
m
a
t
e
r
ial
e
s
y
m
é
t
odo
s
c
o
n bene
f
icios millonarios para sus autores. De he
-
Pa
r
a
la ejecución
de la investigación
se
r
ealizó un
cho, solo en el año 2015 las pérdidas mundiales po
r
estudio desc
r
iptivo del estado del
a
r
te de
la p
r
oblemá-
cibe
r
ataques
f
ue
r
on de $350 000 millones de d
ó
la
r
es.
tica en cuestión. Se desa
rr
olló una aplicacn de segu-
Según los datos encontrados en empresas norteame
-
r
i
d
a
d
qu
e
s
e
ejecut
a
s
o
b
r
e
u
n
cont
r
ol
a
do
r
S
DN
basa
do
r
icanas, b
r
itánicas, alemanas y australianas, solo 35
%
en
O
penFlo
w
con el objetivo de demost
r
a
r
que la ma-
de estas identi
f
ica un ataque informático en cuestión de
yo
r
í
a
de
l
a
s
f
uncionalidade
s
de
un
c
o
r
ta
f
ueg
o
p
uede
n
minutos, 22
%
r
equiere al menos de un a para nota
r
lo
se
r
im
p
l
e
mentada
s
po
r
so
f
t
w
a
r
e
si
n
l
a
nec
e
sida
d
d
e
u
n
y 5
%
indicó que necesita por lo menos una semanaha
r
d
w
a
r
e dedicado. Se eligió el cont
r
olado
r
P
OX
entre
pa
r
a pode
r
detectar amenazas.muchos cont
r
olado
r
es po
r
se
r
de código abie
r
to,
p
o-
i
N
v
e
s t i g a c i ó
N
M
Sc
.
I
n
g
.
Y
.
A
.
M
a
r
í
n
M
u
r
o
,
D
rSc
.
F
.
Á
l
v
a
r
e
z P
a
li
z
a
,
M
Sc
.
I
n
g
.
A
.
A
.
L
ó
p
e
z
C
a
r
b
o
n
e
ll
,
M
Sc
.
I
n
g
.
C
.
L
.
S
a
n
t
o
s
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
11
see
r
buena documentacn y estar escrito en Python
que es un lenguaje de programación mu
y
popula
r
.
El ento
r
no de desarrollo utilizado fue el PyCha
r
m
Community Edition 4.0.4.
P
ara crear la topología de
r
ed
S
DN, utilizó como hipervisor
O
racle
V
i
r
tual Box
ve
r
sión 5.0.14r105127 y Mininet 1.0 los cuales se eje
-
cutan sob
r
e una computadora con procesador
I
ntel
(
R
)
Co
r
e i5
-
2540M C
PU
@ 2.60
GH
z y 4
G
B de me
-
mo
r
ia instalada.
r
e
s
u
l
t
a
do
s
y
d
i
sc
u
s
i
ón
Ap
li
c
a
c
i
ón
p
a
r
a
e
l
c
on
t
r
o
l
d
e
a
cc
e
s
o
a
la
r
e
d
Con el objetivo de desarrollar la aplicación de se
-
gu
r
idad
f
ue
ro
n manejados dos enfoques. El p
r
ime
r
o
consistía en preestablecer las reglas en las tablas de
f
lujo de
f
o
r
ma proactiva; mientras que el segundo se
-
r
ía maneja
r
los paquetes directamente de forma
r
eacti
-
va a medida que entren al conmutador.
A
pesa
r
de que
el manejo p
ro
activo permite bloquear paquetes inne
-
cesa
r
ios desde la capa de infraestructura utilizando las
ventajas del método de instalación de reglas de
f
o
r
ma
p
r
edete
r
minada, se decidió, debido a la
f
lexibilidad
que o
fr
ece para la gestión de la red y la detección de
eventos en tiempo real, manejar los paquetes ent
r
an
-
tes en modo reactivo. Este enfoque requie
r
e envia
r
todo el t
r
á
f
ico
A
R
P
al controlador para su análisis y
la aplicación que se está ejecutando en él dete
r
mina
el compo
r
tamiento de los elementos en la capa de
in
fr
aest
r
uctu
r
a.
La aplicación parte de una base de datos de usua
-
r
ios auto
r
izados.
A
demás, debe ser capaz de
r
ecopila
r
aspectos importantes de la red tales como la topología,
con
f
igu
r
ación de los puertos en los conmutado
r
es y
di
r
ecciones
IP
/M
A
C de los usuarios autorizados. En
la
f
igu
r
a 1 se muestra el escenario de prueba sob
r
e el
cual se ejecuta la aplicación. El escenario es c
r
eado
con Mininet y está constituido por tres conmutado
r
es
con topología lineal, los que a su vez tienen conectado
un host.
y gene
r
a
r
una ala
r
ma que pe
r
mita detecta
r
int
r
us
os
en la
r
ed. También, si los usua
r
ios auto
r
izados t
r
atan de acce-
de
r
desde un conmutado
r
, pue
r
to, M
A
C,
I
P, no previa-
mente auto
r
izadas en la tabla se les debe
r
á denegar el
acceso a la
r
ed.
La aplicación pa
r
a pode
r
ejecuta
r
estas política
s
en
la
r
ed p
r
ime
r
o debe se
r
capaz de
r
ealiza
r
las
f
u
n
cione
s
de un conmutado
r
t
r
adicional de capa dos en las que e
s
necesa
r
io implementa
r
un mecanismo en el que con
s
-
tantemente los conmutado
r
es estén ap
r
endiendo la
s
di-
r
ecciones M
A
C de las inte
rf
aces, así como el puerto por
donde se obse
r
va el t
r
á
f
ico. En este p
r
oceso es vital la
implementación del p
r
otocolo
A
RPque es la
f
uente prin-
cipal pa
r
a el ap
r
endizaje de las di
r
ecciones M
A
C y el
pue
r
to del conmutado
r
.
La c
r
eación de la base de datos de usua
r
ios autori-
zados en la
r
ed
f
ue implementada utilizando va
r
iable
s
del tipo dicciona
r
io de Python. Los usua
r
ios autori-
zados son p
r
eviamente establecidos y no es objeto de
esta investigacn la gestión dinámica de los mi
s
mo
s
.
En dicha red se desea que solamente lo
s
usua
r
ios
auto
r
izados
(
host h1 y h2) puedan acceder a la misma
La
f
igu
r
a 2 muest
r
a el digo
f
uente la c
r
eación de la
desde sus conmutadores, dirección M
A
C de la inte
rf
az
base de datos ante
r
io
r
mente mencionada, así como la
de
r
ed e
IP
es
p
eci
f
icados en una lista de control de acce
-
habilitación de las
f
unciones de segu
r
idad.
D
a
d
o que
so, la cual se muestra en la
f
igura 2.
S
in un usua
r
io que
P
OX
está basado en Python, cualquie
r
a de las e
s
truc-
no esté en esta lista, como es el caso del host “h3, t
r
atatu
r
as de datos de este lenguaje puede usa
r
se pa
r
a alma-
de accede
r
a la red; se le debe denegar la comunicacióncena
r
la in
f
o
r
mación necesa
r
ia.
D
i
s
e
ño
d
e
un
a
a
p
li
c
a
c
i
ón
S
D
n
d
e
s
e
g
u
r
i
d
a
d
y
s
u
i
m
p
a
ct
o
e
n
e
l
d
e
s
e
m
p
e
ño
d
e
la
r
e
d
i
N
v
e
s t i g a c i ó
N
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
f
i
g
u
r
a
1
.
e
sc
e
n
a
r
i
o
d
e
p
r
u
e
b
a
p
a
r
a
l
a
i
m
p
l
e
m
e
n
t
a
c
i
ó
n
d
e
l
a
a
p
li
c
a
c
i
ó
n
s
D
n
.
1
2
f
i
g
u
r
a
2
.
b
a
s
e
d
e
d
a
t
o
s
qu
e
c
o
n
t
i
e
n
e
l
a
li
s
t
a
d
e
c
o
n
t
r
o
l
d
e
a
cc
e
s
o
.
En el diseñ
o
de la aplicación está previsto que
c
u
ando inicia la aplicación, se invoca automáticamen
-
te la
f
unción launch que es donde la aplicación regist
r
a
todos los evento
s
y crea los objetos de cualquier clase
de aplicación. En la línea 254 es creado el argumento
de ent
r
ada
r
eactivo para de
f
inir por nea de coman
-
dos el compo
r
tamiento de la aplicacn en los modos
r
eactivo y p
r
oactivo. (
F
igura 3)
f
i
g
u
r
a
3
.
l
a
f
un
c
i
ó
n
l
a
un
c
h
e
s
i
n
v
o
c
a
d
a
e
n
e
l
i
n
i
c
i
o
d
e
l
a
a
p
li
c
a
c
i
ó
n
.
po
r
donde ent
r
a el t
f
ico se obtiene en la línea 97. El
c
o
nt
r
olado
r
debe posibilitar primero las funcionalida
-
des de conmutación L2 y L3; para ello es necesa
r
io
crea
r
las tablas AR
P
e I
P
de todos los conmutado
r
es.
En la medida q
u
e el t
f
ico va circulando por la
r
ed
el cont
r
olado
r
va ap
r
endiendo las di
r
ecciones M
A
C,
I
P y el conmutado
r
de cada usua
r
io al mismo tiempo
que va compa
r
ando con la base de datos que posee la
lista de cont
r
ol de acceso. El cont
r
olado
r
va c
r
eando
una visión de toda la
r
ed que pe
r
mite aplica
r
política
s
de segu
r
idad en tiempo
r
eal a uno o múltiples nodo
s
de la
r
ed.
f
i
g
u
r
a
4
.
f
un
c
i
ó
n
qu
e
m
a
n
e
j
a
l
o
s
p
a
qu
e
t
e
s
e
n
t
r
a
n
t
e
s
.
Pa
r
a el análisis de los paquetes en la
r
ed el contro-
lado
r
P
OX
p
r
opo
r
ciona va
r
ias p
r
imitivas que pe
r
miten
p
r
ocesa
r
paquetes bien conocidos.
La
f
unción _ handle_Packet
I
n además identi
f
ica
(
Líneas 105 y 108
)
en el t
r
á
f
ico ent
r
ante los p
r
otocolo
s
A
RP e
I
P pa
r
a invoca
r
las
f
unciones de p
r
ocesamiento
de estos tipos de t
r
á
f
icos.
En el modo reactivo se invoca la función _ hand
-
L
a
f
i
gu
r
a 5 m
uest
r
a
e
l có
di
go
f
uent
e de la
f
unció
n
le_
P
acket
I
n que es la encargada de recibir el t
r
á
f
ico
qu
e
p
r
oce
sa
e
l
p
r
otocol
o
A
RP
.
p
r
oveniente de los conmutadores, identi
f
icar l
o
s p
r
o
-
Esta
f
unción lo p
r
ime
r
o que
r
ealiza es compro-
tocolos; así como de establecer en los dispositivos deba
r
si están habilitadas las políticas de segu
r
idad e
n
la
la capa de in
fr
aestructura las reglas necesarias pa
r
a
r
ed y que el evento a analiza
r
sea el p
r
otocolo
A
RP.
pe
r
miti
r
o no la comunicación a partir del análisis dePoste
r
io
r
mente, se obtiene el
ID
del s
w
itch, SRCMAC,
los pue
r
tos de entrada, conmutadores, direcciones
I
Py
D
STM
A
C, SRC
I
P y
D
S
T
I
P pa
r
a llena
r
las tablas ARP
MAC de los disp
o
sitivos.
e
I
P de cada
u
no de los nod
o
s de la
r
ed.
La
f
unción _ handle_
P
acketIn se activa cada vez
La aplicacn detecta los mensajes de di
f
usión
que llega un mensaje
OFP
T_
PA
C
K
ET_I
N
al co
n
t
r
ola
-
A
RP pa
r
a da
r
le la o
r
den a los conmutado
r
es que re-
do
r
. Lo p
r
ime
r
o
q
ue debe realizar la función es identi
-
pliquen el mensaje po
r
todos los pue
r
tos con excep-
f
ica
r
el conmuta
d
or que envió la trama, obteniendo el
ción del pue
r
to po
r
donde se
r
ecibió el t
r
á
f
ico. Cuando
dpid del evento
(F
igura 4). El puerto del conm
u
tado
r
se
r
ecibe una t
r
ama con una M
A
C de destino que no
esté en la tabla
A
RP de la aplicación, se debe también
ap
r
ende
r
esta nueva di
r
ección y di
f
undi
r
la t
r
ama por
todos los pue
r
tos con excepción de po
r
donde se
r
eci-
bió el t
r
á
f
ico. El caso en el que la t
r
ama
r
ecibida e
s
té
di
r
igida a una
D
STM
A
C ya descubie
r
ta en la tabla
i
N
v
e
s t i g a c i ó
N
M
Sc
.
I
n
g
.
Y
.
A
.
M
a
r
í
n
M
u
r
o
,
D
rSc
.
F
.
Á
l
v
a
r
e
z P
a
li
z
a
,
M
Sc
.
I
n
g
.
A
.
A
.
L
ó
p
e
z
C
a
r
b
o
n
e
ll
,
M
Sc
.
I
n
g
.
C
.
L
.
S
a
n
t
o
s
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
1
3
AR
P
se debe buscar el puerto y el conmuta
d
o
r
donde
se encuent
r
a
o
alcanza ese usuario y enviar el t
r
á
f
ico a
ese pue
r
to en especí
f
ico.
En las
f
ig
u
ras 5 y 6 se puede observar que la
f
un
-
ción de p
r
ocesamiento de trá
f
ico
A
R
P
invoca ot
r
a
f
un
-
ción llamada “seguridad_arp”, si está habilitada la op
-
ción de segu
r
idad en la red. Esta función es el núcleo
puede se
r
tan compleja como se desee. y pu
d
ie
r
a invo
-
ca
r
ot
r
as
f
unciones de red tales como inspección p
r
o
-
f
unda de paquetes (
DP
I), detección de ataques de de
-
negación de servicio distribuidos (
DD
o
S
), ent
r
e ot
r
as.
Ot
r
o aspecto importante a tener en cuenta en el
desa
rr
ollo de aplicaciones de este tipo es que es vital
conoce
r
la topología de la red para identi
f
ica
r
los pue
r-
tos que si
r
ve
n
como enlaces entre elementos de
r
ed.
S
upongamos que se permite que un usuario
s
olamente
pueda gene
r
a
r
y recibir t
f
ico desde un co
n
mutado
r
/
pue
r
to/MAC/
IP
. Teniendo en cuenta el ejemplo de la
f
igu
r
a 1, el usuario h1 solamente puede accede
r
desde
el conmutado
r
S
1-eth1.
S
i el host h1 genera un paquete
de di
f
usn
A
R
P
, este debe llegar a todos l
o
s pue
r
tos
involuc
r
ados en la red.
P
ara que esto ocurra debe ese
t
r
á
f
ico viaja
r
por los enlaces troncales entre los con
-
mutado
r
es
S
1,
S
2 y
S
3. Cuando el paquete
A
RP llega
al conmutado
r
S
2, este último lo envía al cont
r
olado
r
pa
r
a
r
ealiza
r
un análisis de seguridad. El cont
r
olado
r
entonces bloquea el t
f
ico porque la M
A
C de o
r
igen
00:00:00:00:00:01 no está permitida pasar po
r
el pue
r
to
S
2
-
eth2.
El caso ideal en este tipo de estudio es implemen
-
ta
r
aplicaciones
SDN
encargadas de descubri
r
la topo
-
luciona
r
el p
r
oblema ante
r
io
r
mente planteado. Debido
a que descub
r
i
r
la topología de la
r
ed no es objeto del
p
r
esente estudio,
f
ue necesa
r
io c
r
ea
r
una base de dato
s
con los tipos de pue
r
tos de
r
ed
(
ve
r
f
igu
r
a 7
)
donde
s
e
identi
f
ican los pue
r
tos como t
r
oncal o acceso.
f
undamental que garantiza la seguridad dent
r
o de la
r
ed según los requerimientos de esta investigación y
f
i
g
u
r
a
6
.
f
r
a
g
m
e
n
t
o
d
e
l
a
f
un
c
i
ó
n
d
e
s
e
g
u
r
i
d
a
d
.
f
i
g
u
r
a
7
.
v
a
r
i
a
b
l
e
d
e
l
t
i
p
o
d
i
cc
i
o
n
a
r
i
o
qu
e
p
o
s
ee
l
o
s
t
i
p
o
s
d
e
pu
e
r
t
o
s
d
e
r
e
d
.
A
pa
r
ti
r
de la base de datos de tipos de puerto
s
de
r
ed, se c
r
eó la
f
unción que apa
r
ece en la
f
igura 8
llamada pue
r
to_de_acceso que se invoca de
s
de la
s
f
unciones segu
r
idad_a
r
p y segu
r
idad_
I
P con el
f
in de aplica
r
las políticas de segu
r
idad ante
r
io
r
mente
mencionadas solamente en los pue
r
tos de acce
s
o. En
los pue
r
tos t
r
oncales se pudie
r
an aplica
r
ot
r
as políti-
cas de segu
r
idad, lo cual puede se
r
abo
r
dado en
f
utura
s
investigaciones.
loa de la
r
ed y utilizar esta información pa
r
a nut
r
i
r
la
aplicación de seguridad, de forma tal que se pueda so
-
f
i
g
u
r
a
8
.
f
un
c
i
ó
n
qu
e
i
d
e
n
t
i
f
i
c
a
s
i
un
pu
e
r
t
o
e
s
d
e
a
cc
e
s
o
.
D
i
s
e
ño
d
e
un
a
a
p
li
c
a
c
i
ón
S
D
n
d
e
s
e
g
u
r
i
d
a
d
y
s
u
i
m
p
a
ct
o
e
n
e
l
d
e
s
e
m
p
e
ño
d
e
la
r
e
d
i
N
v
e
s t i g a c i ó
N
f
i
g
u
r
a
5
.
f
un
c
i
ó
n
qu
e
p
r
o
c
e
s
a
e
l
p
r
o
t
o
c
o
l
o
ar
p
.
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
1
4
C
o
m
p
r
ob
a
c
i
ón
d
e
l
f
un
c
i
on
a
m
i
e
n
t
o
d
e
la
a
p
li
c
a
c
i
ón
P
a
r
a comp
r
obar el funcionamiento de la aplica
-
ción desde Mini
n
et se realiza un
P
I
NG
desde el host
h
3
al h1 en el que todos los paquetes son desca
r
ta
-
dos, como se puede apreciar en la
f
igura 9.
A
l mis
-
mo tiempo la aplicación
SDN
genera una ala
r
ma el
a 11 de octub
r
e de 2017 a las 20:37:12 indicando
q
u
e se ha detectado un intruso en la red por el pue
r-
to 1 del conmutador
S
3 con dirección I
P
=10
.
0.0.3,
MAC=00:00:00:00:00:03 tratando de acceder a la
I
P
1
0
.0.0.1 que co
r
responde al host h1, ver
f
igura 10.
f
i
g
u
r
a
10
.
a
l
a
r
m
a
g
e
n
e
r
a
d
a
p
o
r
l
a
a
p
li
c
a
c
i
ó
n
a
l
d
e
t
e
c
t
a
r
un
e
v
e
n
t
o
d
e
s
e
g
u
r
i
d
a
d
p
r
o
du
c
i
d
o
p
o
r
e
l
i
n
t
e
n
t
o
d
e
a
cc
e
s
o
a
l
a
r
e
d
d
e
un
u
s
u
a
r
i
o
n
o
a
u
t
o
r
i
z
a
d
o
.
Hasta este punto del trabajo se han mostrado lasse conecte desde los host
(
h2, h3...hn
)
. Poste
r
io
r
me
n
te,
p
r
incipales pa
r
tes del código fuente de la aplicaciónse va ampliando el tamaño de la
r
ed sen el valo
r
de
creada, el código completo se puede encontra
r
enn y luego se
r
ealiza una p
r
ueba de conectividad
(
Ping
(
Ma
r
ín Mu
r
o, 2016).desde el usua
r
io h1 a hn
)
en la que se computan la laten-
cia mínima, máxima, p
r
omedio y la desviación estándar.
También se computa la pé
r
dida de paquetes, pe
r
o no
s
e
muest
r
a en
f
o
r
ma de g
r
á
f
ica po
r
que en todos los ca
s
o
s
f
ue ce
r
o. Fue utilizada la he
rr
amienta de código abier-
to
I
PERF, pa
r
a medi
r
la tasa de t
r
ans
f
e
r
encia de dato
s
ent
r
e los nodos h1 y hn con el objetivo de estudia
r
tam-
bién el impacto en la tasa de t
r
ans
f
e
r
encia de datos entre
dos puntos de una
r
ed en c
r
ecimiento y con política
s
de
segu
r
idad.
El expe
r
imento
f
ue
r
ealizado con el siguiente
p
r
ocedimiento:
sudo./pox.py
f
o
rw
a
r
ding.uclv_
L2_L3_SW
I
TC
H
_
A
CL_TR
A
Z
A
sudo mn
--
topo linea
r
,n
--
mac
--
s
w
itch ovsk
--
con-
t
r
olle
r
r
emote
h1 ping hn
-
c 3 & ipe
rf
A
nalizando el
r
esultado del expe
r
imento y que e
s
most
r
ado en las
f
igu
r
as 11 y 12, se pudo comp
r
obar
que la aplicación de segu
r
idad cuando es implemen-
tada en el modo
r
eactivo gene
r
a una latencia en la
r
ed
r
ed en la medida que esta c
r
ece.
Poste
r
io
r
mente, se desa
rr
olla el mismo experi-
mento activando el módulo de segu
r
idad de de
f
en
s
a
p
r
oactiva y son analizadas las mismas mét
r
icas. E
s
te
módulo instala las políticas de segu
r
idad en toda la
r
ed en el momento que el conmutado
r
se conecta al
cont
r
olado
r
.
D
e esta mane
r
a cuando ing
r
esa una tra-
ma al conmutado
r
, este último posee de
f
o
r
ma p
r
e
v
ia
las
r
eglas y acciones pa
r
a encamina
r
cualquie
r
tipo de
t
r
á
f
ico. Cuando una t
r
ama ent
r
ante no encuent
r
a c
o
in-
cidencias, es enviada al cont
r
olado
r
y analizada po
r
el
módulo de segu
r
idad.
E
val
u
a
c
i
ón
d
e
l
d
e
s
e
m
p
e
ño
d
e
la
r
e
d
A
na
l
izand
o
el
r
esult
a
d
o
d
e
l
e
xpe
r
ime
n
t
o
y que e
s
Ot
r
o de los objetivos perseguidos con esta investiga
-
most
r
ado en las
f
igu
r
as 13 y 14, se pudo comp
r
obar
ci
ó
n es evalua
r
el impacto en la latencia y la tasa de t
r
as
-
que la aplicación de segu
r
idad cuando es impleme
n
ta-
f
e
r
encia de datos en la red cuando se aplican políticas de
da en el modo p
r
oactivo
r
educe conside
r
ablemente la
s
egu
r
idad en los modos reactivos y proactivos.
P
a
r
a ello,
latencia en la
r
ed y aunque depende del tamaño de la
s
e
c
r
e
ó
un
a
r
e
d
SDN
linea
l
co
n
topologí
a
simila
r
a
l
a
d
e
misma, los valo
r
es están po
r
debajo de 1 ms.
la
f
igu
r
a 1 pe
r
o de tamaño diferente hasta n usuari
o
s y se
Po
r
ot
r
a pa
r
te, la tasa de t
r
ans
f
e
r
encia dismi
n
u-
c
o
n
f
igu
r
a
r
on las listas de acceso de la aplicación S
DN
ye ent
r
e los nodos de la
r
ed en la medida que la red
de segu
r
idad desa
r
rollada para que el usuario auto
r
izado
c
r
ece.
i
N
v
e
s t i g a c i ó
N
M
Sc
.
I
n
g
.
Y
.
A
.
M
a
r
í
n
M
u
r
o
,
D
rSc
.
F
.
Á
l
v
a
r
e
z P
a
li
z
a
,
M
Sc
.
I
n
g
.
A
.
A
.
L
ó
p
e
z
C
a
r
b
o
n
e
ll
,
M
Sc
.
I
n
g
.
C
.
L
.
S
a
n
t
o
s
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
f
i
g
u
r
a
9
.
p
i
ng
d
e
s
d
e
e
l
h
o
s
t
h
3
a
l
h
1
e
s
d
e
sc
a
r
t
a
d
o
.
que depende del tamaño de la misma. Po
r
su pa
r
te, la
tasa de t
r
ans
f
e
r
encia disminuye ent
r
e los nodos de la
1
5
D
i
s
e
ño
d
e
un
a
a
p
li
c
a
c
i
ón
S
D
n
d
e
s
e
g
u
r
i
d
a
d
y
s
u
i
m
p
a
ct
o
e
n
e
l
d
e
s
e
m
p
e
ño
d
e
la
r
e
d
i
N
v
e
s t i g a c i ó
N
C
on
c
l
u
s
i
on
e
s
Las S
DN
desde una pe
r
spectiva de segu
r
idad, tienen
una buena ca
r
acte
r
ística, que es la conectividad de ruta
explícita. En las
r
edes t
r
adicionales, los dispositiv
os
coo-
pe
r
an pa
r
a establece
r
r
utas ent
r
e todos los usua
r
ios de la
r
ed. Si algunas de estas
r
utas
r
ep
r
esentan inte
r
accione
s
no válidas o insegu
r
as, es necesa
r
io un co
r
ta
f
uego para
bloquea
r
las. Con las S
DN
es posible de
f
ini
r
sol
o
ruta
s
válidas y ot
r
os paquetes simplemente se elimina
r
ían. La
aplicación
r
ealizada cumple satis
f
acto
r
iamente con e
s
ta
f
uncionalidad y adiciona una nueva
f
unción que es la
s
u-
f
i
g
u
r
a
13
.
i
m
p
a
c
t
o
d
e
l
a
a
p
li
c
a
c
i
ó
n
d
e
s
e
g
u
r
i
d
a
d
e
n
l
a
l
a
t
e
n
c
i
a
e
n
t
r
e
d
o
s
n
o
d
o
s
d
e
l
a
r
e
d
e
n
m
o
d
o
p
r
o
a
c
t
i
v
o
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018
La
s
SDN
mejo
r
an la
s
egu
r
idad de la
r
ed me-
diante la vi
s
n global del e
s
tado de la
r
ed, donde
una amenaza puede
r
e
s
olve
rs
e
f
ácilmente desde el
plano de cont
r
ol lógicamente cent
r
alizado.
La a
r
quitectu
r
a
SDN
pe
r
mite monito
r
ea
r
activa-
mente el t
r
á
f
ico, a
s
í como la detección de amenaza
s
en la
r
ed en tiempo
r
eal; pe
r
mitiendo además alte-
La popula
r
idad de la
s
SDN
en el mundo de la
s
telecomunicacione
s
hoy
s
e demue
s
t
r
a po
r
l
os
nu-
me
r
o
s
o
s
ca
s
o
s
de u
s
o que p
r
oli
f
e
r
an en e
s
ta área.
A
unque exi
s
ten co
r
ta
f
uego
s
excepcionale
s
en el
me
r
cado, e
s
ba
s
tante co
s
to
s
o pa
r
a la
s
em
p
re
s
a
s
in
s
tala
r
nume
r
o
s
o
s
co
r
ta
f
uego
s
en toda la
r
e
d
para
ga
r
antiza
r
una alta
s
egu
r
idad.
S
i
s
e
f
ue
r
a a
r
ealizar
e
s
ta mi
s
ma implementación en una
r
ed t
r
adicional
s
e
r
ía nece
s
a
r
io con
f
igu
r
a
r
cada conmutado
r
por
s
e-
pa
r
ado con la con
s
iguiente po
s
ibilidad de generar
p
r
oblema
s
en toda la
r
ed po
r
e
rr
o
r
e
s
humano
s
. El
mi
s
mo p
r
oblema
s
e p
r
e
s
enta
r
ía
s
i
s
e qui
s
ie
r
an elimi-
na
r
o c
r
ea
r
nuevo
s
u
s
ua
r
io
s
en la
s
li
s
ta
s
de control
de acce
s
o.
En la
s
SDN
con la
s
epa
r
acn del cont
r
ol de lo
s
elemento
s
de la capa de in
fr
ae
s
t
r
uctu
r
a
s
e log
r
a una
f
lexibilidad en la
r
ed
s
in p
r
ecedente
s
que c
r
ea enor-
me
s
potencialidade
s
en el campo de la
s
egu
r
idad de
la
s
r
ede
s
como
s
e intentó demo
s
t
r
a
r
en e
s
te t
r
abajo.
f
i
g
u
r
a
11
.
i
m
p
a
c
t
o
d
e
l
a
a
p
li
c
a
c
i
ó
n
d
e
s
e
g
u
r
i
d
a
d
e
n
l
a
r
a
r
el compo
r
tamiento de la mi
s
ma en cue
s
tión de
l
a
t
e
n
c
i
a
e
n
t
r
e
d
o
s
n
o
d
o
s
d
e
l
a
r
e
d
.
mili
s
egundo
s
.
pe
r
visión de amenazas en tiempo
r
eal.
En lo
s
expe
r
imento
s
r
ealizado
s
s
e pudo com-
p
r
oba
r
que la ta
s
a de t
r
an
sf
e
r
encia di
s
minuye entre
lo
s
nodo
s
de la
r
ed en la medida que la
r
ed c
r
ece
s
in
impo
r
ta
r
s
i la aplicación de
s
egu
r
idad e
s
implemen-
tada en lo
s
modo
s
p
r
oactivo o
r
eactivo.
f
i
g
u
r
a
14
.
i
m
p
a
c
t
o
d
e
l
a
a
p
li
c
a
c
i
ó
n
d
e
s
e
g
u
r
i
d
a
d
e
n
m
o
d
o
La aplicación de
s
egu
r
idad, cuando e
s
imple-
p
r
o
a
c
t
i
v
o
e
n
e
l
a
n
c
h
o
d
e
b
a
nd
a
e
n
t
r
e
d
o
s
n
o
d
o
s
d
e
l
a
r
e
d
mentada en el modo p
r
oactivo
r
educe con
s
idera-
f
i
g
u
r
a
12
.
i
m
p
a
c
t
o
d
e
l
a
a
p
li
c
a
c
i
ó
n
d
e
s
e
g
u
r
i
d
a
d
e
n
m
o
d
o
r
e
a
c
t
i
v
o
e
n
e
l
a
n
c
h
o
d
e
b
a
nd
a
e
n
t
r
e
d
o
s
n
o
d
o
s
d
e
l
a
r
e
d
.
1
6
blemente la latencia en la
r
ed y aunque depende delLa implementacn de aplicacione
s
SDN
de
tamaño de la misma, los valo
r
es están po
r
debajo de
s
egu
r
idad deben in
s
tala
r
r
egla
s
de
f
o
r
ma p
r
oac-
1 m
s
. Ocurre lo cont
r
a
r
io cuando se emplea el modotiva a aquello
s
s
e
r
vicio
s
que
s
ean
s
en
s
ible
s
a
reactivo, en el q
u
e el
r
eta
r
do puede alcanza
r
valo
r
e
s
demo
r
a
s
en la
r
ed. Entonce
s
maneja
r
de
f
o
r
ma
s
uperiore
s
a lo
s
150 ms en una
r
ed con topol
o
a li
-r
eactiva la
s
t
r
ama
s
que no coincidan con la
s
r
e-
neal de 10 conmutado
r
es.gla
s
p
r
ee
s
tablecida
s
.
r
e
f
e
r
e
n
c
ia
B
a
n
s
e
,
C
.
y
S
c
hu
e
tt
e
,
J
.
(
2017
)
A
t
a
x
o
n
o
m
y
b
a
s
e
d
a
pp
r
o
a
c
h
f
o
r
s
ec
u
r
i
t
y
i
n
s
o
f
t
w
a
r
e
d
e
f
i
-
n
e
d
n
e
t
w
o
r
k
i
n
g
.
I
EEE
I
n
t
e
r
n
a
t
i
o
n
a
l
C
o
n
f
e
r
e
n
ce
o
n
C
o
mm
u
n
i
c
a
t
i
o
n
s
(
I
CC
)
,
1
-
6
Hu
,
F
.,
H
a
o
,
Q
.
y
B
a
o
,
K
.
(
2014
)
A
S
u
r
v
e
y
o
n
S
o
f
t
w
a
r
e
D
e
f
i
n
e
d
N
e
t
w
o
r
k
a
n
d
O
p
e
n
-
F
l
o
w
:
F
r
o
m
C
o
n
ce
p
t
t
o
I
m
p
l
e
m
e
n
t
a
t
i
o
n
.
I
EEE
C
o
mm
u
n
i
c
a
t
i
o
n
s
S
u
r
v
e
y
s
a
n
d
T
u
t
o
r
i
a
l
s
.
16
(
4
)
,
2181
-
2206
K
r
e
u
t
z
,
D
.,
R
a
m
o
s
,
F
.
M
.
V
.,
E
s
t
e
v
e
s
V
e
r
i
ss
i
m
o
,
P
.,
E
s
t
e
v
e
R
o
t
h
e
n
b
e
r
g
,
C
.,
A
z
o
d
o
l
m
o
l
k
y,
S
.
y
U
h
l
i
g
,
S
.
(
2015
)
.
S
o
f
t
w
a
r
e
D
e
f
i
n
e
d
N
e
t
w
o
r
k
i
n
g
:
A
C
o
m
p
r
e
h
e
n
s
i
v
e
S
u
r
v
e
y.
I
EEE
103
(
1
)
:
14
-
76
.
L
i
,
Y
.
y
C
h
e
n
,
M
.
(
2
015
)
S
o
f
t
w
a
r
e
D
e
f
i
n
e
d
N
e
t
w
o
r
k
F
u
n
c
t
i
o
n
V
i
r
t
u
a
l
i
z
a
t
i
o
n
:
A
S
u
r
v
e
y.
I
EEE
Acce
ss
3
,
254
2
-
2553
.
M
a
r
í
n
M
u
r
o
,
Y
a
n
k
o
A
n
t
o
n
i
o
.
(
2016
)
.
P
l
a
t
a
f
o
r
m
a
d
e
p
r
u
e
b
a
s
p
a
r
a
e
v
a
l
u
a
r
e
l
d
e
s
e
m
p
e
ñ
o
d
e
l
a
s
r
e
d
e
s
d
e
f
i
n
i
d
a
s
p
o
r
s
o
f
t
w
a
r
e
b
a
s
a
d
a
s
e
n
e
l
p
r
o
t
o
c
o
l
o
O
P
E
N
F
L
O
W
.
V
i
ll
a
C
l
a
r
a
,
U
n
i
v
e
r
s
i
d
a
d
C
e
n
t
r
a
l
M
a
r
t
a
A
b
r
e
u
d
e
L
a
s
V
i
ll
a
s
N
u
n
e
s
,
B
.
A
.
A
.,
M
e
n
d
o
n
c
a
,
M
.,
N
g
u
y
e
n
,
X
.
N
.,
O
b
r
a
c
z
ka
,
K
.
y
T
u
r
l
e
tt
i
,
T
.
(
2014
)
A
S
u
r
v
e
y
o
f
S
o
f
t
w
a
r
e
D
e
f
i
n
e
d
N
e
t
w
o
r
k
i
n
g
:
P
a
s
t
,
P
r
e
s
e
n
t
,
a
n
d
F
u
t
u
r
e
o
f
P
r
o
g
r
a
mm
a
b
l
e
N
e
t
w
o
r
k
s
.
I
EEE
C
o
mm
u
n
i
c
a
t
i
o
n
s
S
u
r
v
e
y
s
a
n
d
T
u
t
o
r
i
a
l
s
16
,
1617
-
1634
O
p
e
n
N
e
t
w
o
r
k
i
n
g
F
o
u
n
d
a
t
i
o
n
.
S
o
f
t
w
a
r
e
D
e
f
i
n
e
d
N
e
t
w
o
r
k
i
n
g
(
S
D
N
)
D
e
f
i
n
i
t
i
o
n
i
N
v
e
s t i g a c i ó
N
M
Sc
.
I
n
g
.
Y
.
A
.
M
a
r
í
n
M
u
r
o
,
D
rSc
.
F
.
Á
l
v
a
r
e
z P
a
li
z
a
,
M
Sc
.
I
n
g
.
A
.
A
.
L
ó
p
e
z
C
a
r
b
o
n
e
ll
,
M
Sc
.
I
n
g
.
C
.
L
.
S
a
n
t
o
s
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
5
-
14
,
2018