Estrategias de seguridad de SDN para prevenir ataques a la red

La tecnología de redes definidas por software (SDN) lleva el plano de control de una red hacia un controlador SDN dedicado, que gestiona y media en todas las funciones y servicios de redes virtuales y físicas. Debido a esta separación y control, las estrategias de seguridad SDN ofrecen un mayor nivel de granularidad de análisis de paquetes, monitoreo de red y el control del tráfico que ayudará a largo plazo en la prevención de ataques de red.

El aumento del monitoreo definido por software

Recientemente Microsoft reveló que internamente está utilizando una plataforma de agregación de redes basada en OpenFlow, desarrollada por la misma compañía (denominado Distributed Monitoring Ethernet, o DEMON). La herramienta tiene como objetivo hacer frente al gran volumen de tráfico en la red de la nube de Microsoft. Anteriormente, los miles de conexiones y flujos individuales eran  demasiado para ser administrados por los mecanismos tradicionales de captura como SPAN o puertos espejo.

Mediante la programación de conmutadores flexibles y otros dispositivos de red para actuar como plataformas de intercepción de paquetes y redireccionamiento, los equipos de seguridad potencialmente pueden detectar y mitigar una serie de ataques que se observan con frecuencia en la actualidad. Muchas fuentes de la industria se refieren a los análisis de seguridad vía SDN como monitoreo definido por software (SDM). En SDM, los switches SDN pueden actuar como agentes de paquetes y los controladores pueden ayudar en el seguimiento y análisis.

Uso de SDN para el monitoreo de la seguridad y el análisis de paquetes

Para empezar, los switches programables SDN de uso común y relativamente baratos, de fabricantes como IBM, Juniper, HP y Arista Networks, pueden ser utilizados para tomar el lugar de agentes de paquetes más costosos. Al igual que en el caso de uso de Microsoft, un gran número de conexiones y flujos individuales pueden ser agregados y enviados colectivamente a múltiples plataformas de análisis y captura de paquetes de seguridad. Una primera capa de interruptores podría ser utilizado para la captura y el enrutamiento de paquetes, mientras que una segunda capa (y potencialmente una tercera) se utilizaría para terminar el monitoreo de los puertos de la primera capa. Estos switches también podrían agregar potencialmente tráfico y enviar el flujo de datos y estadísticas a otros dispositivos de control y plataformas.

Un controlador SDN compatible con OpenFlow (preferentemente compatible con sFlow también), como el Big Switch Controller, se puede utilizar para programar y gestionar varios switches compatibles con SDN. Mientras tanto, el monitoreo de la seguridad que se superpone a productos de software, como Big Switch de Big Tap, permite a los ingenieros programar filtros más granulares y capacidades de asignación de puertos para emular la funcionalidad tradicional apertura o cierre del flujo en los interruptores SDN.

En este contexto, varias capas de herramientas de análisis de paquetes pueden recibir tráfico de los puertos de SDM. Los puertos SDM pueden fungir como herramientas de hardware, tales como agentes de paquetes y dispositivos forenses de red, o como analizadores de protocolos basados ​​en software, como Wireshark.

Cómo abordan las estrategias de seguridad SDN la prevención de ataques a la red

SDN ofrece un nuevo nivel de visibilidad de la red, incluso en los entornos más complejos. Como resultado, los controladores y los interruptores son capaces de identificar los diversos atributos de paquetes. Esto permite el bloqueo automático o la descarga de tráfico en ataques de denegación de servicio (DoS), por ejemplo. En efecto, SDN puede detener una serie de ataques, incluyendo:

1. Ataques volumétricos, como las inundaciones SYN: Estos ataques consisten en enormes cantidades de paquetes TCP solamente con las banderas SYN configuradas. Esto puede obstruir el ancho de banda, así como rellenar las colas de conexión en sistemas concretos que pueden tenerse en cuenta. Los interruptores programados para SDN pueden ser capaces de actuar como primera línea de defensa en la identificación de patrones particulares y en umbrales de volumen de paquetes de una sola fuente o varias fuentes dentro de un plazo determinado. Estos interruptores se pueden dejar ir el tráfico o reorientarlo usando otras técnicas y protocolos. La mayoría de los ruteadores y otras plataformas de redes carecen de este nivel de control granular.
2. Ataques a aplicaciones y servicios específicos: Estos ataques se dirigen a servicios web con series de peticiones HTTP muy particulares (usando cadenas específicas de agentes de usuarios con variables específicas de cookies y similares). Los dispositivos SDN pueden identificar, registrar y descartar estas peticiones.
3. Ataques DDoS enfocados contra el comportamiento del protocolo: Estos ataques llenan las tablas de estado de los dispositivos de la red, pero los dispositivos SDN pueden identificar este comportamiento basado en el tiempo de flujo y los límites de conexión.

Además, SDN puede emular muchas de las funciones básicas de firewall. Los controladores pueden ejecutar secuencias de comandos (scripts) y comandos que pueden actualizar rápidamente las direcciones MAC e IP y el filtrado de puertos, lo que permite una respuesta rápida y cambios a las políticas y normas de tráfico. Esto también libera otros dispositivos de red de la carga de manejar grandes cantidades de tráfico.

Esto apenas comienza a arañar la superficie de las capacidades de seguridad SDN. Con la capacidad de manejar cantidades mayores de tráfico, aprovechando los atributos de paquetes específicos, los analistas de seguridad de red pueden hacer mucho más que el filtrado de paquetes básicos y la detección de DDoS. Casos de uso de respuesta a incidentes y detección de intrusiones más avanzada no sólo son posibles, sino también probables.

Sobre el autor: Dave Shackleford es propietario y director de consultoría en Voodoo Security, vicepresidente senior de investigación y director de tecnología de IANS, así como analista, profesor y autor de cursos de SANS. Él es un VMware vExpert y tiene una amplia experiencia en el diseño y configuración de infraestructuras virtualizadas seguras. Es co-autor del primer curso publicado en la seguridad de virtualización para el SANS Institute, miembro de la junta de directores del SANS Technology Institute y ayuda a dirigir el capítulo de Atlanta de la Cloud Security Alliance.