Defensa proactiva y reactiva ante ataques DDoS en un entorno

Anuncio
Escuela de Ingeniería y Arquitectura
Universidad de Zaragoza
Defensa proactiva y reactiva ante ataques
DDoS en un entorno simulado de redes
denidas por software
Trabajo Fin de Grado
Autor
Jorge Paracuellos Cortés
Director
Ricardo J. Rodriguez
Abril 2016
Índice
1
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Índice
2
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Introducción
3
Motivación
I
Incremento de
amenazas debido a
ataques
I
Nueva arquitectura de
red en desarrollo
I
Adaptación de las
empresas tecnológicas
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Introducción
4
Objetivos TFG
I
Familiarización con la tecnología Software Defined Network
(SDN)
I
Estudio controladores SDN
I
Estudio tipos de ataques Distributed Denial of Service (DDoS)
I
Diseño e implementación de un mecanismo de defensa
proactivo y reactivo
I
Evaluación en diferentes escenarios y configuraciones
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Índice
5
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Conceptos SDN
Arquitectura SDN
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
6
Conceptos SDN
Protocolo OpenFlow
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
7
Conceptos SDN
Protocolo OpenFlow
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
7
Conceptos SDN
Comparativa controladores SDN de código abierto
Interfaces
Virtualización
8
Pox
SB
FloodLight
SB & NB
OpenDayLight
SB & NB
Mininet &
Openv Switch
Mininet &
Openv Switch
Mininet &
Openv Switch
GUI
Sí
Web UI
Sí
REST API
No
Sí
Sí
Documentación
Escasa
Media
Media
Lenguaje
Programación
Python
Java + cualquier lenguaje
que utilice REST
Java
Modularidad
Media
Alta
Alta
S.O. Soportado
Linux, Mac Os
and Windows
Linux, Mac Os
and Windows
Linux
Edad
3 años
4 años
2 años
Soporte
OpenFlow
OF v1.0
OF v1.3
OF v1.3
OpenStack
Networking
No
Medio
Medio
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Conceptos SDN
OpenDayLight
Características
I
Apoyo de la industria (Intel, Cisco, Nec ...)
I
Proyecto de código abierto
I
I
Desarrollo en Java
Extensa documentación y comunidad activa en constante
movimiento
I
Arquitectura modular
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
9
Índice
10
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Ataques DDoS
11
Clasificación
I
Inundación
I
Reflexión
I
Amplificación
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Ataques DDoS
11
Clasificación
I
Inundación
I
Reflexión
I
Amplificación
Mecanismos de defensa ante DDoS
I
I
Prevención
Detección
I
I
Patrones
Anomalías
I
Identificación del origen
I
Mitigación
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Índice
12
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Arquitectura del sistema
Diagrama de despliegue
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
13
Arquitectura del sistema
Explicación formal
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
14
Arquitectura del sistema
Explicación formal
Parámetros
I
Tcoste : tiempo
que tarda en
recuperarse un
nodo
I
Tslot : tiempo
que tarda en
recuperar k < n
réplicas en
paralelo
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
14
Arquitectura del sistema
Funcionamiento: Rejuvenecimiento
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
15
Arquitectura del sistema
Implementación
16
PacketHandler
1: set_activeDefense (true)
ProReactDefense
par
ref
executeDefense()
alt
[is_TCP]
ref
receivePacket
2: Packet.Ignore
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Arquitectura del sistema
Implementación
16
PacketHandler
1: set_activeDefense (true)
ProReactDefense
ProReactDefense
loop
par
ref
alt
[i < z]
executeDefense()
1: detectReactive()
2: loadBalanceReactive(k,j,t_out)
alt
[is_TCP]
ref
3: loadBalanceProactive(k,l,t_out)
receivePacket
2: Packet.Ignore
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Índice
17
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Evaluación y resultados
Topología de los escenarios
18
Archivo de
105MBytes
servido a
1,46MBytes/s
Tiempo de
servicio entre
66 y 68
segundos
Escenarios
Probabilidad de ataque
I
1 atacante
I
25%
I
2 atacantes
I
50%
I
3 atacantes
I
75%
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Evaluación y resultados
Comparativa tiempos de servicio
(a) 1 atacante, defensa desactivada
Tiempo de servicio (s)
80
75
70
65
25%
75%
(b) 3 atacantes, defensa desactivada
80
Tiempo de servicio (s)
50%
Probabilidad de ataque
75
70
65
25%
50%
Probabilidad de ataque
75%
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
19
Evaluación y resultados
Comparativa tiempos de servicio
(a) 1 atacante, defensa desactivada
75
70
25%
Tiempo de servicio (s)
70
25%
50%
Probabilidad de ataque
70
25%
75%
50%
Probabilidad de ataque
75%
(d) 3 atacantes, defensa activada
80
75
65
75
65
75%
(b) 3 atacantes, defensa desactivada
80
Tiempo de servicio (s)
50%
Probabilidad de ataque
(c) 1 atacante, defensa activada
80
Tiempo de servicio (s)
Tiempo de servicio (s)
80
65
19
75
70
65
25%
50%
Probabilidad de ataque
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
75%
Evaluación y resultados
Funcionamiento del sistema ante ataques DDoS
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
20
Índice
21
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Trabajo relacionado
22
Áreas de estudio
I
Vulnerabilidades de SDN
I
I
Mecanismos proactivos
I
I
Aplicados sobre SDN en un ámbito distinto
Mecanismos reactivos
I
I
Estudio de amenazas y posibles soluciones
Implementan sistemas de defensa sobre SDN
Mecanismos proactivos y reactivos
I
Desarrollados en otras áreas
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Trabajo relacionado
22
Áreas de estudio
I
Vulnerabilidades de SDN
I
I
Mecanismos proactivos
I
I
Aplicados sobre SDN en un ámbito distinto
Mecanismos reactivos
I
I
Estudio de amenazas y posibles soluciones
Implementan sistemas de defensa sobre SDN
Mecanismos proactivos y reactivos
I
Desarrollados en otras áreas
Contribución
Mecanismo proactivo y reactivo para mitigar ataques DDoS siendo
capaz de gestionar y modificar la arquitectura de red SDN
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Índice
23
1. Introducción
2. Conceptos SDN
3. Ataques DDoS
4. Arquitectura del sistema
5. Evaluación y resultados
6. Trabajo relacionado
7. Conclusiones y líneas futuras
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Conclusiones y líneas futuras
24
Conclusiones
I
Estudio y comprensión de la arquitectura de red SDN
I
Estudio y comprensión de los distintos ataques DDoS
I
Implementación del mecanismo de defensa proactivo y reactivo
en OpenDayLight
I
Corroboración de la viabilidad y funcionamiento de la defensa
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Conclusiones y líneas futuras
24
Conclusiones
I
Estudio y comprensión de la arquitectura de red SDN
I
Estudio y comprensión de los distintos ataques DDoS
I
Implementación del mecanismo de defensa proactivo y reactivo
en OpenDayLight
I
Corroboración de la viabilidad y funcionamiento de la defensa
Líneas futuras
I
Formalizar el proyecto mediante modelos de Markov
I
Actualizar la versión Beryllium de OpenDayLight
I
Añadir mecanismos de detección
I
Complementar con un honeypot
Jorge Paracuellos Cortés | Defensa proactiva y reactiva ante ataques DDoS en un entorno simulado de redes definidas por software
Muchas gracias por su atención
Descargar