Redes definidas por software (SDN)
Resolucion de vulnerabilidades
Eddy Wilmer Canaza Tito
Facultad de Ingeniera de Sistemas y
Electronica
Universidad Tecnologica del Peru
1313497@utp.edu.pe
Abstract
La idea de las Redes Definidas por Software
(SDN) es proporcionar una configuracion mas efi-
ciente de mejor rendimiento y mayor flexibilidad,
en este documento se examina las vulnerabilidades
de esta tecnologa y como la misma las resuelve.
Este artculo tambien abordara temas como
definicion, arquitectura, modelos y estrategias de
seguridad de las SDN.
1. Introduccion
El mercado de telecomunicaciones y tec-
nologa de la informacion esta pasando por un mo-
mento de gran transformacion. El crecimiento ex-
plosivo del uso de dispositivos moviles y de las re-
des sociales, la adopcion cada vez mas frecuente
de computacion en nube y, en un futuro proximo,
el uso masivo de sensores inteligentes en los mas
variados dispositivos, conectando practicamente
cualquier cosa a la red (creando la llamada Inter-
net de las Cosas o IoT (Internet of Everything),
han proporcionado nuevas oportunidades de nego-
cios. Sin embargo, al mismo tiempo, ha trado
enormes desafos a los profesionales de telecomu-
nicaciones y tecnologa de informacion. As, y en-
tre los principales desafos, esta la modernizacion
de las redes de telecomunicaciones.
La arquitectura actual es esencialmente basada
en conceptos que nacieron en la decada de 1950.
A partir de ah, diversos protocolos y componentes
Luis Fernando Yana Espinoza
Facultad de Ingeniera de Sistemas y
Electronica
Universidad Tecnologica del Peru
1313525@utp.edu.pe
fueron agregados, de acuerdo a las necesidades que
surgieron a lo largo del tiempo. Esa arquitectura
de redes, a pesar de atender a las necesidades ac-
tuales, se volvio muy compleja, y de cierta manera,
poco flexible para continuar evolucionando a la ve-
locidad del surgimiento de nuevas aplicaciones que
imaginamos para un futuro proximo. En otras pal-
abras, a pesar de que la arquitectura de redes actual
es bastante resistente, aparentemente, no es lo sufi-
cientemente escalable para las futuras necesidades.
Como respuesta a este desafo, diversos play-
ers del sector de telecomunicaciones y tecnologa
de la informacion, como fabricantes, investi-
gadores y entidades de empadronamiento, em-
pezaron a trabajar en una nueva arquitectura de
redes, basada en patrones abiertos, significativa-
mente menos complejos, mas flexible, mas efi-
ciente y potencialmente mas baratos. El resultado
de ese trabajo es lo que llamamos redes definidas
por softwares o, en ingles, SDN (Software Defined
Networks).
2. Definicion
La red definida por software (SDN) es una
arquitectura de red muy diferente a las conven-
cionales, esta gran diferencia se da en que una
red basada en SDN puede ser programable desde
un centro de inteligencia en el cual se encon-
traran todas las reglas de trabajo que predominan
en la red. Con este modelo de red podemos agre-
gar nuevas reglas de trabajo facilmente e incluso
en tiempo real, la administracion de la misma re-
sulta sencilla debido a que toda la configuracion
esta centralizada y no es necesario configurar cada
router.
La red definida por software (SDN) es un
nuevo enfoque a las redes que tiene el potencial
para permitir la innovacion constante de la red
y activar la red como un componente conectable
y programable de la mayor infraestructura en la
nube..
Algo muy importante que resaltar en SDN es
que es programable y centralizada, esto nos brinda
la facilidad de poder tener una vision y control
global de toda la red, independientemente del ISP.

3. Arquitectura

3.1. Capa de infraestructura Figure 1. Arquitectura de SDN

En esta capa estan los dispositivos que com-

ponen la red (switches, routers, etc), esta arquitec-
tura es diferente a las comunes ya que las instruc-
ciones para el comportamiento de la red estan en
los routers, en cambio, en SDN, las reglas de com-
portamiento estan en la Capa de control.
3.2. Capa de control
Esta capa configura la capa de infraestruc-
tura basandose en las peticiones de servicio que
provienen de la capa de aplicacion, esta capa es-
pecifica como funcionaran los conmutadores en la
capa de infraestructura.
3.3. Capa de aplicacion
el modelo basico de SDN. El enfoque central-
izado simplifica la administracion de flujos com-
plejos que estan relacionados con aplicaciones es-
pecficas, permite que las colas de prioridad se
ajusten alrededor de un solo tipo de informacion,
por ejemplo, datos de voz a traves del trafico de
navegacion web. La gran desventaja que pre-
senta este modelo es que, si se presenta un crec-
imiento exponencial en la red, el controlador nece-
sitara sistemas poderosos con CPUs mas potentes,
mayor almacenamiento y una infraestructura mas
resistente lo que conlleva a una costosa inversion,
por lo tanto, este modelo frente a una red gigante
resulta en un modelo costoso y complejo.

Aqu se encuentran las necesidades de ancho 4.2. Modelo Distribuido

de banda de las aplicaciones que usa la empresa
(nube, administracion, etc), estas necesidades son
las que solicitan el servicio a la capa de control.
4. Modelos SDN
4.1. Modelo Centralizado
Existe un solo controlador que realiza la con-
figuracion en la capa de infraestructura, este es
Este modelo usa a los componentes de la capa
de infraestructura como controladores o agentes,
estos eliminan parte de la carga centralizada.
Gracias a esta caracterstica, el procesamiento y
manejo de peticiones se realiza con mas rapi-
dez ya que se evita que cada peticion sea con-
sultada al controlador central, por ejemplo, un
switch SDN frente a la cada de un enlace podra
tomar la decision de escoger otra ruta alterna-
tiva para poder enviar la informacion sin necesi-
Figure 2. Arquitectura de Modelo Centralizado Figure 3. Arquitectura de Modelo Distribuido

complejo. En una SDN hbrida, el enfoque ideal

dad de recurrir al controlador, solo se le notifica
es tener polticas estrictas respeto a ciertas aplica-
del error ocurrido y se continua enviando paque-
ciones para un mayor control y polticas flexibles
tes. Esta tecnica tambien aplica para las redes
para una mayor agilidad y procesamiento. Este
inalambricas, por ejemplo, en una WLAN, los Ac-
enfoque permite definir polticas manejables, se
ces Point pueden responder a las solicitudes que re-
puede empezar de manera local y mientras la red
quieren una respuesta rapida, las que necesitan un
incrementa, se pueden aplicar polticas a nuevos
procesamiento mas complejo son enviadas al con-
componentes de red, por ejemplo, podemos pri-
trol central de la red inalambrica para que sean ges-
orizar de manera general al trafico de voz, pero si
tionados. La principal ventaja que poseen las SDN
se desea que el trafico de video tome prioridad, se
distribuidas es que los elementos de red tienen un
puede definir la priorizacion de video por una ruta
mejor rendimiento debido a la presencia del agente
especifica ya que podemos contar con multiples
por lo que el procesamiento de datos es mas rapido,
rutas a distintos controladores, de esta manera no
su desventaja se presenta en la flexibilidad ya que,
abarcamos toda la red.
si tenemos una red que pasara a ser una SDN, to-
dos los dispositivos que se tienen en la capa de in-
fraestructura deben ser del mismo fabricante para Sabiendo de que trata SDN y como funciona, va-
que sean compatibles. mos a resaltar la vulnerabilidad que para nosotros
es la que mas cuidado debe tener.
4.3. Modelo Hbrido
5. Inteligencia centralizada
Este modelo junta las caractersticas de los
modelos centralizado y distribuido. Se presenta Si bien esta arquitectura depende de una in-
un gestor centralizado con varios controladores teligencia centralizada, mas alla de ser una ventaja
y cada uno de ellos maneja varios elementos de tambien se convierte en un gran riesgo ya que si
red. Definir polticas es clave para cualquier red, un hacker intenta atacar a nuestra red y logra pen-
y cumplir con los requisitos de una aplicacion etrarla, este invitado no deseado tendra el control
a traves de una red de gran tamano, es muy absoluto de la red.

Figure 4. Arquitectura de Modelo Hbrido
Debemos tener en cuenta que SDN sale a bril-
lar mas en redes empresariales ya que estas re-
des son de gran tamano, por lo tanto, si una red
es grande significa que habra una gran cantidad
de datos viajando por toda la red y si esta red es
hackeada, habra una gran perdida de informacion
afectando mucho a la confidencialidad de la em-
presa. Se debe tener un buen control de los paque-
tes que viajan por medio de toda la red, debemos
inspeccionar cada paquete para asegurarnos de que
todo anda bien dentro de la red.
A mediados del ano 2013 Microsoft revelo
que internamente esta utilizando una plataforma de
agregacion de redes basada en OpenFlow, desar-
rollada por la misma compana denominado DE-
MON (Distributed Monitoring Ethernet). DEMON
tiene como objetivo hacer frente al gran volumen
de trafico en la red de la nube de Microsoft. An-
teriormente, los miles de conexiones y flujos in-
dividuales eran demasiado para ser administrados
por los mecanismos tradicionales de captura como
SPAN o puertos espejo.
Mediante la programacion de conmutadores
flexibles y otros dispositivos de red para actuar
como plataformas de intercepcion de paquetes y
redireccionamiento, los equipos de seguridad po-
tencialmente pueden detectar y mitigar una serie
de ataques que se observan con frecuencia en la
actualidad.
6. Uso de SDN para el monitoreo de la se-
guridad y el analisis de paquetes
Para poder evitar los ataques informaticos es
necesario controlar los paquetes que viajan por la
red, para esto existen dispositivos que pueden ser
programables para SDN. Fabricantes como IBM,
Juniper, HP y Arista Networks poseen switches
que pueden ser utilizados para tomar el lugar de
agentes de paquetes.
Un gran numero de conexiones y flujos indi-
viduales pueden ser agregados y enviados colecti-
vamente a multiples plataformas de analisis y cap-
tura de paquetes de seguridad. Una primera capa
de interruptores podra ser utilizado para la captura
y el enrutamiento de paquetes, mientras que una
segunda capa (y potencialmente una tercera) se uti-
lizara para terminar el monitoreo de los puertos de
la primera capa. Estos switches tambien podran
agregar potencialmente trafico y enviar el flujo de
datos y estadsticas a otros dispositivos de control
y plataformas.
Big Switch Controller es un controlador SDN
compatible con OpenFlow, este se puede utilizar
para programar y gestionar varios switches com-
patibles con SDN. Mientras tanto, el monitoreo de
la seguridad que se superpone a productos de soft-
ware, como Big Switch de Big Tap, este les permite
a los administradores de la red poder programar fil-
tros mas granulares y capacidades de asignacion de
puertos para emular la funcionalidad tradicional de
apertura o cierre del flujo en los interruptores SDN.
7. Estrategias de seguridad de SDN para la
prevencion de ataques a la red
SDN nos brinda una vista global de la red y
tambien en los entornos mas complejos. Como
resultado, los controladores y los interruptores
son capaces de identificar los diversos atributos
de paquetes. Con esto podemos bloquear au-
tomaticamente la descarga de trafico en ataques de
denegacion de servicio, por ejemplo, ataques DoS.
En efecto, SDN puede detener muchos ataques in-
cluyendo los siguientes ataques:
7.1. Ataques volumetricos (inundaciones SYN)
Estos ataques se dan por medio de grandes
cantidades de paquetes TCP con solicitudes SYN
llenando al servidor con muchas peticiones SYN.
Esto puede obstruir el ancho de banda, as como
rellenar las colas de conexion en sistemas con-
cretos que pueden tenerse en cuenta. Los inter-
ruptores programados para SDN pueden ser ca-
paces de actuar como primera lnea de defensa en
la identificacion de patrones particulares y en um-
brales de volumen de paquetes de una sola fuente
o varias fuentes dentro de un plazo determinado.
La mayora de los routers carecen de este nivel de
control granular.
7.2. Ataques a aplicaciones y servicios es-
pecficos
Estos ataques se dirigen a servicios web con
series de peticiones HTTP muy particulares (us-
ando cadenas especficas de agentes de usuarios
con variables especficas de cookies y similares).
Los dispositivos SDN pueden identificar, registrar
y descartar estas peticiones.
7.3. Ataques DDoS enfocados contra el com-
portamiento del protocolo
Estos ataques llenan las tablas de estado de los
dispositivos de la red, pero los dispositivos SDN
pueden identificar este comportamiento basado en
el tiempo de flujo y los lmites de conexion.
Algo particular que tiene SDN es la capacidad de
emular muchas de las funciones de un firewall, el
controlador puede ejecutar scripts y comandos para
actualizar instantaneamente las direcciones MAC,
IP y el filtrado de puertos, esto nos permite la
adaptacion a nuevas reglas de trabajo que pueden
ser agregadas o actualizadas en el centro de in-
teligencia.
8. Desafos de seguridad
La seguridad, como en todo tipo de redes, es
un aspecto crucial en redes SDN, para proteger la
disponibilidad, integridad y privacidad de la infor-
macion que transporta. La seguridad en estas re-
des, aunque existen enfoques competentes, todava
esta en juego, ya que estos enfoques no convergen
en una idea comun. En la arquitectura, hay varios
elementos que deben ser protegidos y acciones a
llevar a cabo:
Asegurar y proteger el controlador: De-
bido a que es el centro de control y decision de
la red, debe ser cuidadosamente controlado.
Ademas, si se produce por ejemplo un ataque
DDoS al controlador y cae vctima de este, la
red cae con el, por lo que debe estar protegido
con los mecanismos de seguridad necesarios
para afianzar su disponibilidad contnua.
Privacidad e integridad: La proteccion de
las comunicaciones en la red es crtica, por lo
que se debe asegurar el controlador, las apli-
caciones que carga y los dispositivos de red
que gestiona y autenticar, estableciendo unos
mecanismos que permitan que son quien di-
cen ser y ademas funcionan correctamente.
Crear un framework de poltica robusto:
Es necesario estar seguro de que el contro-
lador (y demas dispositivos) estan haciendo
lo que queremos que hagan, por lo que habra
que realizar comprobaciones contnuas de los
sistemas en general.
Llevar a cabo analisis forenses de la red:
Para poder determinar, en caso de un ataque,
quien lo realizo, reportarlo y proteger la red
de cara al fut
9. Conclusiones
Las soluciones de redes definidas por software
(SDN) permiten aumentar la agilidad, simplificar
las operaciones y reducir los costos.
 A pesar que este paradigma esta en proceso
de aceptacion, la migracion a arquitecturas SDN
es algo inevitable, solo queda esperar que gob-
iernos, instituciones, empresas y usuarios adopten
esta tecnologa.
Los problemas que conlleva la incorporacion
de una nueva tecnologa a la administracion de una
red de computadoras se logra resolver cuando este
es pone en uso y va madurando con el pasar de los
anos; sin duda, las Redes Definidas por Software
son el futuro del networking.

References

[1] A. Nunez, Red definida por software SDN en base a

una infraestructura de software de libre distribucion,
Tesis de pregrado, Universidad Catolica de Pereira,
Pereira, Colombia, 2014.
[2] P. Murillo, Analisis y evaluacion de las redes definidas
por software, Tesis de pregrado, Universidad de Ex-
tremadura Centro Universitario de Merida, Merida,
Espana, 2015.
[3] A. Ruz, Estado de arte: Redes definidas por software
(SDN), Tesis de pregrado, Universidad Tecnica de Am-
bato, Amabato, Ecuador, 2015.
[4] Wikipedia, la enciclopedia libre, Redes definida
por software. Recuperado Mayo 2016. Disponible:
es.wikipedia.org/wiki/Redes definidas por software
[5] J. Armada, SDN: un cambio superficial?, enRoute,
vol. 23, pp. 2, Nov. 2013.
[6] Logicalis, SDN: Como el nuevo universo trazado por
las redes definidas por software impactara en los nego-
cios, advisor, pp. 2-15, Jun. 2014.