Escuela de Ingeniería y Arquitectura Universidad de Zaragoza Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes denidas por software Trabajo Fin de Grado Autor Jorge Paracuellos Cortés Director Ricardo J. Rodriguez Abril 2016 Índice 1 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Índice 2 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Introducción 3 Motivación I Incremento de amenazas debido a ataques I Nueva arquitectura de red en desarrollo I Adaptación de las empresas tecnológicas Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Introducción 4 Objetivos TFG I Familiarización con la tecnología Software Defined Network (SDN) I Estudio controladores SDN I Estudio tipos de ataques Distributed Denial of Service (DDoS) I Diseño e implementación de un mecanismo de defensa proactivo y reactivo I Evaluación en diferentes escenarios y configuraciones Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Índice 5 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Conceptos SDN Arquitectura SDN Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 6 Conceptos SDN Protocolo OpenFlow Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 7 Conceptos SDN Protocolo OpenFlow Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 7 Conceptos SDN Comparativa controladores SDN de código abierto Interfaces Virtualización 8 Pox SB FloodLight SB & NB OpenDayLight SB & NB Mininet & Openv Switch Mininet & Openv Switch Mininet & Openv Switch GUI Sí Web UI Sí REST API No Sí Sí Documentación Escasa Media Media Lenguaje Programación Python Java + cualquier lenguaje que utilice REST Java Modularidad Media Alta Alta S.O. Soportado Linux, Mac Os and Windows Linux, Mac Os and Windows Linux Edad 3 años 4 años 2 años Soporte OpenFlow OF v1.0 OF v1.3 OF v1.3 OpenStack Networking No Medio Medio Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Conceptos SDN OpenDayLight Características I Apoyo de la industria (Intel, Cisco, Nec ...) I Proyecto de código abierto I I Desarrollo en Java Extensa documentación y comunidad activa en constante movimiento I Arquitectura modular Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 9 Índice 10 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Ataques DDoS 11 Clasificación I Inundación I Reflexión I Amplificación Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Ataques DDoS 11 Clasificación I Inundación I Reflexión I Amplificación Mecanismos de defensa ante DDoS I I Prevención Detección I I Patrones Anomalías I Identificación del origen I Mitigación Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Índice 12 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Arquitectura del sistema Diagrama de despliegue Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 13 Arquitectura del sistema Explicación formal Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 14 Arquitectura del sistema Explicación formal Parámetros I Tcoste : tiempo que tarda en recuperarse un nodo I Tslot : tiempo que tarda en recuperar k < n réplicas en paralelo Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 14 Arquitectura del sistema Funcionamiento: Rejuvenecimiento Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 15 Arquitectura del sistema Implementación 16 PacketHandler 1: set_activeDefense (true) ProReactDefense par ref executeDefense() alt [is_TCP] ref receivePacket 2: Packet.Ignore Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Arquitectura del sistema Implementación 16 PacketHandler 1: set_activeDefense (true) ProReactDefense ProReactDefense loop par ref alt [i < z] executeDefense() 1: detectReactive() 2: loadBalanceReactive(k,j,t_out) alt [is_TCP] ref 3: loadBalanceProactive(k,l,t_out) receivePacket 2: Packet.Ignore Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Índice 17 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Evaluación y resultados Topología de los escenarios 18 Archivo de 105MBytes servido a 1,46MBytes/s Tiempo de servicio entre 66 y 68 segundos Escenarios Probabilidad de ataque I 1 atacante I 25% I 2 atacantes I 50% I 3 atacantes I 75% Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Evaluación y resultados Comparativa tiempos de servicio (a) 1 atacante, defensa desactivada Tiempo de servicio (s) 80 75 70 65 25% 75% (b) 3 atacantes, defensa desactivada 80 Tiempo de servicio (s) 50% Probabilidad de ataque 75 70 65 25% 50% Probabilidad de ataque 75% Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 19 Evaluación y resultados Comparativa tiempos de servicio (a) 1 atacante, defensa desactivada 75 70 25% Tiempo de servicio (s) 70 25% 50% Probabilidad de ataque 70 25% 75% 50% Probabilidad de ataque 75% (d) 3 atacantes, defensa activada 80 75 65 75 65 75% (b) 3 atacantes, defensa desactivada 80 Tiempo de servicio (s) 50% Probabilidad de ataque (c) 1 atacante, defensa activada 80 Tiempo de servicio (s) Tiempo de servicio (s) 80 65 19 75 70 65 25% 50% Probabilidad de ataque Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 75% Evaluación y resultados Funcionamiento del sistema ante ataques DDoS Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software 20 Índice 21 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Trabajo relacionado 22 Áreas de estudio I Vulnerabilidades de SDN I I Mecanismos proactivos I I Aplicados sobre SDN en un ámbito distinto Mecanismos reactivos I I Estudio de amenazas y posibles soluciones Implementan sistemas de defensa sobre SDN Mecanismos proactivos y reactivos I Desarrollados en otras áreas Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Trabajo relacionado 22 Áreas de estudio I Vulnerabilidades de SDN I I Mecanismos proactivos I I Aplicados sobre SDN en un ámbito distinto Mecanismos reactivos I I Estudio de amenazas y posibles soluciones Implementan sistemas de defensa sobre SDN Mecanismos proactivos y reactivos I Desarrollados en otras áreas Contribución Mecanismo proactivo y reactivo para mitigar ataques DDoS siendo capaz de gestionar y modificar la arquitectura de red SDN Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Índice 23 1. Introducción 2. Conceptos SDN 3. Ataques DDoS 4. Arquitectura del sistema 5. Evaluación y resultados 6. Trabajo relacionado 7. Conclusiones y líneas futuras Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Conclusiones y líneas futuras 24 Conclusiones I Estudio y comprensión de la arquitectura de red SDN I Estudio y comprensión de los distintos ataques DDoS I Implementación del mecanismo de defensa proactivo y reactivo en OpenDayLight I Corroboración de la viabilidad y funcionamiento de la defensa Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Conclusiones y líneas futuras 24 Conclusiones I Estudio y comprensión de la arquitectura de red SDN I Estudio y comprensión de los distintos ataques DDoS I Implementación del mecanismo de defensa proactivo y reactivo en OpenDayLight I Corroboración de la viabilidad y funcionamiento de la defensa Líneas futuras I Formalizar el proyecto mediante modelos de Markov I Actualizar la versión Beryllium de OpenDayLight I Añadir mecanismos de detección I Complementar con un honeypot Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software Muchas gracias por su atención