ofuscando escaneos maliciosos mediante sdn...

UNIVERSIDAD DE COSTA RICA

SISTEMA DE ESTUDIOS DE POSGRADO

OFUSCANDO ESCANEOS MALICIOSOS MEDIANTE SDN

UTILIZANDO DEFENSAS DE BLANCO MÓVIL

Trabajo final de investigación aplicada sometido a la consideración de la

Comisión del Programa de Estudios de Posgrado en Computación e

Informática para optar al grado y título de Maestría Profesional en

Computación e Informática

ADRIÁN FERNÁNDEZ FERNÁNDEZ

Ciudad Universitaria Rodrigo Facio, Costa Rica

2018

1

Este trabajo final de investigación aplicada fue aceptado por la Comisión del Programa

de Estudios de Posgrado en Computación e Informática de la Universidad de Costa Rica,

como requisito parcial para optar al grado y título de Maestría Profesional en

Computación e Informática.

____________________________________________

Dr. Álvaro Morales Ramírez

Decano

Sistema de Estudios de Posgrado

____________________________________________

Dra. Elena Gabriela Barrantes Sliesarieva

Profesora Guía

____________________________________________

Dra. Gabriela Marín Raventós

Directora

Programa de Posgrado en Ciencias de la Computación e Informática

____________________________________________

Adrián Fernández Fernández

Sustentante

2

Índice General

Resumen 6

Capítulo 1 7

Introducción 7

1.1 Descripción del problema. 8

1.1.2 Modelo de amenaza. 8

1.1.3 Modelo de defensa. 9

1.2 Objetivos. 10

1.2.1 Hipótesis. 10

1.3 Alcance y limitaciones. 10

1.4 Justificación. 11

1.5 Organización del trabajo de investigación. 11

Capítulo 2 12

Marco Teórico 12

2.1 Redes definidas por software. 12

2.2 Openflow. 13

2.3 Controlador. 15

2.4 Virtualización de redes y SDN. 15

2.5 Herramientas de escaneo. 18

2.5.1 NMAP. 19

2.5.2 Escaneo tipo TCP SYN. 19

2.5.3 Escaneo horizontal. 19

2.6 Superficie de ataque. 20

2.7 Defensas de blanco móvil. 20

2.8 Seguridad y desempeño. 21

2.9 Latencia de respuesta percibida por el usuario. 21

2.9.1 Performance Analysis Reference. 21

Capítulo 3 23

Antecedentes 23

3.1 Trabajo relacionado. 24

Capítulo 4 25

Metodología 25

3

4.1 Implementación del modelo de defensa. 25

4.2 Implementación del sistema. 27

4.3 Implementación de la defensa. 29

4.4 Diseño de los experimentos. 31

4.4.1 Experimento 1: Protección del MTD ante escaneo. 31

4.4.1.1 Diseño Estadístico. 31

4.4.1.1.1 Unidad Experimental. 31

4.4.1.1.2 Aleatorización de las ejecuciones 31

4.4.1.1.3 Modelo Estadístico / Modelo Empírico. 31

4.4.1.1.4 Hipótesis Estadística. 32

4.4.2 Experimento 2: Efecto del MTD en la latencia de respuesta. 33

4.4.2.1 Diseño estadístico. 33

4.4.2.1.1 Unidad experimental. 33

4.4.2.1.2 Aleatorización de las ejecuciones. 33

4.4.2.1.3 Modelo Estadístico. 33

4.4.2.1.4 Hipótesis estadística. 34

Capítulo 5 35

Resultados y análisis 35

5.1 Experimento 1: Potencial de protección del MTD ante escaneo. 36

5.1.1 Variable de Respuesta. 37

5.1.2 Factores de Diseño. 37

5.1.3 Resultados y análisis de la ejecución del experimento. 38

5.2 Experimento 2: Impacto del MTD en la latencia de respuesta. 46

5.2.1 Variable de respuesta. 46

5.2.2 Factores de diseño. 47

5.2.3 Resultados y análisis de la ejecución del experimento. 47

5.3 Funcionalidad y Seguridad. 56

Capítulo 6 57

Conclusiones y trabajo futuro. 57

6.1 Conclusiones. 57

6.1.1 Contribuciones. 58

6.3 Trabajo Futuro. 58

7. Referencias 59

4

8. Anexos 61

8.1 Anexos Experimento 1: Potencial de protección del MTD ante escaneo. 62

8.2 Anexos Experimento 2: Impacto del MTD en la latencia de respuesta. 68

Índice de Figuras

Figura 1. Arquitectura general SDN. 13

Figura 2. Especificación de OFS. [6] 14

Figura 3. Estructura de un flow [6]. 15

Figura 4. Virtualización de funciones de red (NFV). 16

Figura 5. Redes virtuales. 17

Figura 6. Implementación de Mininet en Linux. 18

Figura 7. Escaneo de puertos utilizando paquetes TCP SYN. 19

Figura 8. Panel general de Performance Analysis Reference. 22

Figura 9. Descripción de proceso de MTD de modificación IP. 26

Figura 10. Ejemplo de cómo las mIP aparecen como clientes nuevos. 26

Figura 11. Implementación de arquitectura SDN con MTD basado en modificación IP. 27

Figura 12. Unidad de experimentación. 28

Figura 13. Proceso modificación IP. 29

Figura 14. Simulación de ataque y recolección de datos. 36

Figura 15. Gráfico de cajas para el factor de intervalo de modificación IP. 39

Figura 16. Gráfico de cajas para el factor de tamaño de red protegida. 40

Figura 17. Medias de intervalo de modificación IP versus variable de respuesta. 40

Figura 18. Medias de tamaño de red protegida versus variable de respuesta. 41

Figura 19. Comparación par-a-par de medias del número de éxitos para el factor tamaño de red

protegida usando Tukey. 43


protegida usando Fisher. 43

Figura 21. Comparación par-a-par de medias de la latencia percibida por el usuario para la

interacción de factores usando Fisher. 44

Figura 22. Gráficos de interacción para los factores versus variable de respuesta. 45

Figura 23. Simulación de desempeño y recolección de datos. 46

Figura 24. Gráfico de cajas para el factor de intervalo de modificación IP. 48

Figura 25. Gráfico de cajas para el factor de número de usuarios protegidos. 49

Figura 26. Medias de intervalo de modificación IP versus variable de respuesta. 50

Figura 27. Medias de número de usuarios protegidos versus variable de respuesta. 50

Figura 28. Comparación par-a-par de medias de la latencia percibida por el usuario para el

factor intervalo de modificación IP usando Tukey. Error! Bookmark not defined.


factor intervalo de modificación IP usando Fisher. 52


factor número de usuarios protegidos usando Tukey. 53

5


factor número de usuarios protegidos usando Fisher. 53


interacción de factores usando Fisher. 54

Figura 33. Gráficos de interacción para los factores versus variable de respuesta. 55

Figura 34. Gráfico de probabilidad normal de los residuos. 62

Figura 35. Residuos versus el orden de recopilación de datos. 63

Figura 36. Gráfico de residuos versus valores ajustados. 63

Figura 37. Residuos versus valor ajustado para factor intervalo de modificación IP. 64

Figura 38. Residuos versus valor ajustado para factor de tamaño de red protegida. 64

Figura 39. Prueba de igualdad de varianzas. 65

Figura 40. Comparación par-a-par de medias del número de éxitos para el factor intervalo de

modificación IP usando Tukey. 66


modificación IP usando Fischer. 66

Figura 42. Análisis de medias y efectos. 67

Figura 43. Gráfico de probabilidad normal de los residuos. 68

Figura 44. Residuos versus el orden de recopilación de datos. 69

Figura 45. Gráfico de residuos versus valores ajustados. 69

Figura 46. Residuos versus valor ajustado para factor intervalo de modificación IP. 70

Figura 47. Residuos versus valor ajustado para factor número de usuarios protegidos. 70

Figura 48. Prueba de igualdad de varianzas. 71

Figura 49. Análisis de medias y efectos. 72

Índice de tablas

Tabla 1. Conjunto de datos del experimento 1. Cantidad de conexiones HTTP establecidas por

el atacante a clientes de la red protegida luego de un escaneo inicial. 38

Tabla 2. Análisis de varianza para el modelo de efectos de dos factores, intervalo de

modificación IP, tamaño de red protegida y su interacción. 41

Tabla 3. Conjunto de datos experimento 2. Latencia percibida por el usuario al cargar una

página web en milisegundos. 48

Tabla 4. Análisis de varianza para el modelo de efectos de dos factores, intervalo de

modificación IP, número de usuarios protegidos y su interacción. 51

6

Resumen

Tradicionalmente, las redes son implementadas con configuraciones estáticas. Esto es una

desventaja desde el punto de vista de seguridad ya que, si un atacante logra identificar la

superficie de ataque, por ejemplo, utilizando técnicas de escaneo, cuenta con tiempo infinito para

planificar un ataque. En este trabajo se implementó un sistema capaz de reducir el alcance de

los escaneos maliciosos, modificando frecuentemente las direcciones IP de los clientes. Se hizo

uso de técnicas de blanco de defensa móvil que permiten aumentar la diversidad del sistema

cambiando constantemente la superficie de ataque y de redes definidas por software que ofrecen

un punto centralizado de gestión para sincronizar la reconfiguración dinámica de direcciones IP

de forma transparente al usuario. Se plantearon dos experimentos con el objetivo de probar el

potencial de defensa y de evaluar el impacto en la eficiencia del sistema desde el punto de vista

del usuario final producto de la implementación de la defensa. Los resultados demuestran que la

defensa es efectiva para el modelo de ataque investigado y que el impacto en la eficiencia tiene

poco efecto en la experiencia de usuario.

Abstract

Traditionally, networks are developed using static configurations, which from a security

perspective, give an advantage to the attacker. After a successful identification of the attack

surface of a network, the time required to plan an attack is infinite due to the static nature of the

network. Mapping networks is a trivial task using easy available tools like network scanners. This

graduation project proposes a prototype defense system that reduces malign scanners accuracy

by constantly changing the IP addresses of protected hosts. The defense system is developed

using moving target defense techniques, which increase the diversity of the system by modifying

the IP headers of the hosts. The modification process is managed using SDN techniques, which

centralizes control and makes network communication transparent to users. Two frameworks

where propose to test its defense potential and to measure the impact on the efficiency of the

network from the user's perspective. Results show that defense system is effective against

malicious scans and the impact on the efficiency of the network has little effect on the user's

experience.

7

Capítulo 1

Introducción

Las redes tradicionales continúan siendo implementadas con configuraciones estáticas y canales

de comunicación predecibles [13]. Esto facilita la identificación de puntos de ataque en una red

al utilizar herramientas de escaneo. Un escaneo se encarga de identificar dispositivos y servicios

en una red y puede ser utilizado como etapa precursora a un ataque. Al completar un escaneo,

un atacante cuenta con tiempo infinito para explotar puntos vulnerables debido a la naturaleza

estática de la red. Aunque existen métodos para mitigar la fuga de información ante escaneos,

este es un problema que está lejos de resolverse.

Para este trabajo de investigación aplicada se hizo uso de defensas de blanco móvil (MTD, por

sus iniciales en inglés) y redes definidas por software (SDN, por sus iniciales en inglés), que en

conjunto permiten lograr un modelo de seguridad capaz de reducir el alcance de los escaneos

maliciosos, reconfigurando automáticamente las direcciones IP de los clientes.

El MTD aplica medidas proactivas de defensa para aumentar la seguridad del sistema. Al realizar

cambios en las configuraciones de red se introduce diversidad y contribuye a que los puntos de

ataque sean más difíciles de encontrar. A nivel de redes, un MTD puede utilizar técnicas como

la manipulación de paquetes TCP/UDP, asignación de rutas de transporte en forma aleatoria y

dinámica, entre otros.

La implementación de un MTD en redes tradicionales representa desafíos importantes debido al

control distribuido de los dispositivos. La reconfiguración en tiempo real de múltiples equipos en

un ambiente descentralizado y de manera colaborativa representa un desafío importante de

operación y mantenimiento.

Este problema se resuelve mediante el uso de SDN. SDN son redes que, al ofrecer un punto

centralizado de gestión, permite mantener el estado de los dispositivos en sincronía por medio

de un controlador lógico. En SDN, las políticas de tráfico son gestionadas desde un punto central,

por lo que la reconfiguración de dispositivos y modificación de paquetes ocurre en tiempo real y

sin intervención del usuario final. Al usar SDN es posible reconfigurar dinámicamente parámetros

de red, convirtiendo los dispositivos estáticos en blancos móviles, como medida de protección

8

ante un escaneo. Esto introduce incertidumbre en los resultados de un escaneo reduciendo su

efectividad y elevando el costo de realizar un ataque.

Durante dos cursos del programa de maestría se desarrolló un prototipo encargado únicamente

de modificar direcciones IP. De estos cursos surgió la necesidad de comprender mejor la defensa

ante el modelo propuesto. Fue necesario realizar modificaciones para obtener evidencia del

potencial de protección y lograr medir la eficiencia del sistema al implementar la defensa.

Se describe a continuación la descripción del problema, el modelo de amenaza, el modelo de

defensa, los objetivos, las hipótesis, el alcance y limitaciones, la justificación, y la organización

general del trabajo de investigación.

1.1 Descripción del problema.

Comúnmente, los ataques se lanzan con la condición previa de conocer la dirección IP del

objetivo [3]. Los sistemas que asignan direcciones IP estáticas a sus dispositivos pueden ser

fácilmente escaneados y mapeados. Como consecuencia, se puede tomar ventaja de un

ambiente de red fijo e identificar puntos específicos de la superficie de ataque. Generalmente,

las herramientas de escaneo envían sondas de prueba con el objetivo de descubrir

características de una red. Mediante un escaneo es posible identificar puntos de ataque como

dispositivos, servicios, aplicaciones y sus versiones, sistemas operativos, filtros o firewalls

activos, entre otros. El hecho de que las configuraciones IP sean estáticas, brinda a un atacante

tiempo infinito para analizar posibles vulnerabilidades a partir de la información recopilada en la

etapa de escaneo.

1.1.2 Modelo de amenaza.

El MTD propuesto abarca el modelo de amenaza según las siguientes características.

Equipo que será defendido:

● La defensa protege los clientes (equipos activos o servicios) de una intranet protegida

completa y que utiliza el protocolo IPv4.

● El direccionamiento IP de los clientes es estático.

● Los clientes de la red protegida exponen al menos un servicio TCP y responden a

solicitudes de ICMP Echo Request.

9

● Los clientes pueden iniciar comunicaciones con servicios al exterior de la intranet, y

pueden recibir conexiones desde redes externas.

El atacante:

● El atacante se ubica en una red externa a la protegida.

● El atacante tiene la posibilidad de mapear la intranet desde el exterior por medio de

escaneos basados en la generación de paquetes TCP/IP. Es posible identificar

características como dirección IP, versiones de software, rutas de transporte, entre otros.

● El atacante en un inicio desconoce las direcciones IP de los clientes de la red protegida

por lo que ejecuta un escaneo inicial para identificar el ambiente de red de su objetivo.

1.1.3 Modelo de defensa.

El MTD propuesto busca ofuscar usuarios activos y servicios de escaneos externos y hacer más

costoso el trabajo de los atacantes que intenta identificar la superficie de ataque. Esto

corresponde específicamente a la fase de reconocimiento de un ataque. Al producir cambios

constantemente, se reduce la oportunidad de encontrar y explotar las vulnerabilidades de un

sistema.

El modelo MTD consiste en asignar direcciones IP modificadas (mIP) al azar a cada cliente activo

mientras se mantiene el control de su asociación con la dirección IP estática real (rIP). Este

control se lleva a cabo de manera que el cambio en el direccionamiento de los clientes es

transparente al usuario.

La defensa se activa al iniciar o recibir una solicitud de conexión hacia una red externa. Los

encabezados IP de las respuestas de los usuarios son modificados para esconder su verdadero

origen, ocultando puntos de ataque y variando la superficie de ataque.

Al proponer un modelo de defensa se debe evaluar su funcionalidad y el costo adicional que se

introduce en el sistema donde es aplicado. Este trabajo busca evaluar estas dos condiciones

mediante experimentos prácticos.

10

1.2 Objetivos.

Los objetivos principales del trabajo son:

1. Mejorar la defensa de blanco móvil desarrollada en los cursos de laboratorio para proteger

una red de clientes estáticos, que utiliza técnicas de SDN para ocultar direcciones de las

máquinas potencialmente vulnerables.

2. Obtener evidencia sobre el potencial de protección del método para el modelo de ataque

investigado.

3. Evaluar el impacto en la eficiencia del sistema de la aplicación de la defensa.

1.2.1 Hipótesis.

Hipótesis 1: Se tiene como hipótesis que al utilizar un MTD basado en la modificación de

direcciones IP de clientes protegidos se disminuye el número de clientes identificados por

escáneres como Nmap en un periodo de tiempo determinado, a diferencia de un sistema

tradicional con direccionamiento estático y periodo infinito. Esto significa que la información

recolectada por el atacante durante la fase de escaneo es de poca utilidad al momento de

planificar un ataque sobre un periodo de tiempo determinado, mejorando la protección ante el

modelo de ataque investigado.

Hipótesis 2: Al utilizar un MTD basado en la modificación de direcciones IP aumenta la latencia

percibida por el usuario comparado al mismo sistema sin defensa, según la métrica de tiempo de

carga de páginas web, debido al uso adicional de recursos. Esto significa que al utilizar la defensa

el usuario experimenta un aumento en los tiempos de respuesta en sus tareas, como al solicitar

contenido de una red externa, impactando de forma negativa la eficiencia del sistema.

1.3 Alcance y limitaciones.

El sistema de defensa propuesto abarca únicamente intentos de escaneo originados desde una

fuente externa a la red protegida. Los usuarios de la red interna se comunican entre ellos

utilizando el direccionamiento IP original. Por ende, un ataque generado desde un equipo dentro

de la red local tendrá la capacidad de escanear todos los equipos activos.

11

1.4 Justificación.

Este trabajo se justifica en la necesidad de reducir las oportunidades de identificar un sistema

utilizando técnicas tradicionales, efectivas y de fácil acceso, como son los escáneres. El MTD

busca esconder los usuarios activos en una red de escáneres externos y distorsionar la superficie

de ataque, esto significa que la información recolectada en la fase de escaneo es de poca utilidad

y más costosa de analizar al planificar un ataque. Además, se analizarán las posibilidades de

integrar nuevas técnicas como MTD y SDN en una sola solución para resolver problemas de

seguridad, al aumentar el costo de mapear una red mientras se mantiene una percepción de

usuario adecuada.

1.5 Organización del trabajo de investigación.

El resto del documento se organiza de la siguiente forma: La sección 2 corresponde al marco

teórico donde se describen conceptos utilizados en el desarrollo de la investigación.

Seguidamente en la sección de antecedentes se menciona el trabajo previo realizado en el área

de SDN y MTD. En la sección 4 se presenta la metodología que describe el proceso de

implementación y diseño de los experimentos. En la sección 5 se presentan y analizan los

resultados obtenidos. Finalmente, se discuten las conclusiones y trabajo futuro en la sección 6.

12

Capítulo 2

Marco Teórico

En esta sección se describen los conceptos utilizados durante el desarrollo de la investigación.

Se discuten conceptos relacionados a SDN, MTD, ataques de escaneo y emulación de redes.

2.1 Redes definidas por software.

Redes definidas por software (SDN) puede definirse en dos características principales [16]. La

primera es separar el plano de control y de datos los cuales son tradicionalmente integrados. El

plano de control es el sistema que toma las decisiones de dónde se debe enviar el tráfico y el

plano de datos es el sistema encargado de reenviar el tráfico. La segunda característica es que

en SDN se consolida el plano de control de manera que un solo programa controla múltiples

elementos del plano de datos desde un punto común.

A diferencia de SDN, las redes IP tradicionales son complejas de mantener ya que dependen de

una configuración distribuida e independiente para cada uno de los dispositivos que las

componen. La integración del plano de control y datos en los dispositivos de red limita la

flexibilidad y evolución de las redes y no se adapta a las necesidades actuales. Este modelo ha

detenido la innovación, al incrementar la complejidad de las redes y aumentar los costos de

capital y operación [16]. Al separar la lógica del hardware, SDN permite que el consumidor

produzca su propio software de control, el cual se ejecuta de forma centralizada mediante el uso

de un sistema operativo de red. Esto logra que la lógica que gobierna una red sea agnóstica al

fabricante y que el usuario pueda crear aplicaciones de red independientes del hardware de

manera flexible y dinámica, similar a como se desarrollan aplicaciones para teléfonos

inteligentes.

SDN cuenta con el apoyo de la industria mediante la creación de consorcios como Open

Networking Foundation [18] y Open Networking Research Center [20]. Estas iniciativas están

respaldadas por grupos de grandes compañías de tecnologías de información a nivel mundial

como Google y Cisco.

13

En la figura 1 se muestra una estructura típica de SDN. Los dispositivos de transporte de datos

en la capa de infraestructura (ej. switches) son gestionados de manera centralizada por medio

de un controlador de red (capa de control o sistema operativo de red) utilizando protocolos

estándar como OpenFlow [18]. El controlador ejerce un control directo sobre los elementos que

componen el plano de datos por medio de una interface de aplicación (API) [2].

Figura 1. Arquitectura general SDN.

2.2 Openflow.

Openflow (OF) es un protocolo estándar que permite la programación remota del plano de datos

[18] [14]. OF es el protocolo de control más utilizado en SDN. La integración de OF en

arquitecturas SDN nació en el año 2007 gracias a proyectos predecesores como ForCES, SANE,

Ethane, 4D, entre otros, que abogaban por la separación del plano de datos y control [11]. El

plano de control hace uso de OF para programar el plano de datos y conocer su estado.

En la figura 2 se muestra la arquitectura de un switch OpenFlow (OFS). Un OFS se compone de

al menos tres partes: (1) tabla de flows, (2) un canal seguro para la conexión con el controlador

y (3) el protocolo OF que ofrece una interfaz abierta y estándar para que el controlador se

comunique con el switch [14].

14

Figura 2. Especificación de OFS. [6]

OF hace uso de reglas para el manejo de paquetes. Cada regla consiste de un patrón que se

compara contra los bits del encabezado de los paquetes. Cuando un paquete llega a un OFS el

tráfico se compara contra la tabla de reglas y se ejecutan acciones de reenvío de acuerdo a ellas.

La combinación de regla y acción es llamada flow. El controlador se encarga de enviar flows a

los switches, los cuales son instalados en la tabla de flows. Un flow se compone de varias

características de red, como direcciones IP o puertos. OF establece para cada entrada en la tabla

de flows tres elementos: regla, acción y estadísticas. Una vez que se recibe tráfico en los

switches, estos consultan la tabla de flows para decidir cómo manejar el flujo de datos. Si no

existe una coincidencia en la tabla de flows, el paquete es enviado al controlador quien instala

un flow en los switches correspondientes de acuerdo a las políticas programadas. Esto permite

que un equipo que soporta OF pueda comportarse como switch, router, firewall o en general

cualquier middlebox. En la figura 3 se muestra la estructura de un flow.

SDN en conjunto con OF ha sido utilizado para innovar en diferentes áreas como ingeniería de

tráfico, seguridad, virtualización de redes, etc. Fabricantes en la industria como HP y Cisco,

ofrecen switches comerciales que soportan OF. Las primeras implementaciones importantes de

manera comercial fueron creadas por Google [30] y Nicira [17] quién fue adquirida por VMWare.

15

Figura 3. Estructura de un flow [6].

2.3 Controlador.

Las redes actuales son gestionadas por medio de la configuración de componentes individuales.

Esto introduce complejidad en el mantenimiento y operación de redes. Un controlador es el

equivalente a un sistema operativo que provee una interface de programación centralizada para

toda la red. El controlador forma la capa de control como se muestra en la figura 2. El controlador

permite que las aplicaciones de red se ejecuten como programas de alto nivel en vez de

algoritmos distribuidos de bajo nivel, como se utiliza hoy en día [15]. Existen varios controladores

disponibles como Floodlight [25], NOX [15] o RYU [27].

2.4 Virtualización de redes y SDN.

Virtualización de funciones de red (NFV) abstrae la red de manera que desacoplada la red del

equipo físico que la soporta [16]. NFV permite abstraer y virtualizar cada una de las funciones de

red como se muestra en la figura 4.

16

Figura 4. Virtualización de funciones de red (NFV).

NFV busca usar tecnología de virtualización disponible en servidores estándar para consolidar

equipo de red lo cual ofrece ventajas como flexibilidad, reducción de consumo energético y

utilización de hardware estándar. Por ejemplo, es posible crear diferentes redes virtuales sobre

una misma infraestructura lo cual es equivalente a la creación de múltiples máquinas virtuales en

un mismo hardware como se muestra en la figura 5.

17

Figura 5. Redes virtuales.

El uso de NFV permite crear redes virtuales en las que se pueden evaluar y probar SDN’s. Un

ejemplo de esto es Mininet que permite desarrollar prototipos de redes grandes de manera rápida

en los recursos limitados de una computadora personal [28]. Mininet utiliza virtualización a nivel

de sistema operativo para crear los nodos que componen una red. Como se muestra en la figura

6, Mininet crea redes virtuales asignando los procesos de cada cliente a Linux namespaces y

conectando cada uno mediante pares ethernet virtuales (veth). Los clientes se conectan por

medio de un software switch como Open vSwitch (OVS). OVS son switches de código abierto

que se ejecutan a nivel de kernel de Linux y fueron diseñados para utilizarse en ambientes

virtuales [10].

18

Figura 6. Implementación de Mininet en Linux.

2.5 Herramientas de escaneo.

Un escaneo o reconocimiento de red consiste en enviar sondas de prueba con el objetivo de

determinar qué servicios (aplicación y versión) se encuentran activos y en qué dispositivos [5].

Un escaneo es la primera etapa de un intento de intrusión donde el atacante identifica de manera

remota puntos vulnerables de una red. Es posible determinar otras características como sistemas

operativos y sus versiones, firewalls y filtros, entre otros. Con el paso del tiempo los atacantes

han ido mejorando su habilidad de escanear redes utilizando mecanismos cada vez más

sofisticados como por ejemplo escaneos distribuidos. Los escaneos permiten al atacante

reconocer y definir la superficie de ataque. Luego de identificar las características de una red, el

atacante utiliza la información para investigar posibles debilidades y explotar vulnerabilidades.

19

2.5.1 NMAP.

Nmap es una herramienta gratuita y de código libre utilizada para descubrimiento de redes y

auditorias de seguridad [4]. Nmap fue diseñado para escanear grandes redes de forma rápida y

eficiente. Nmap permite identificar decenas de características de clientes y servicios disponibles

en una red.

2.5.2 Escaneo tipo TCP SYN.

Los puertos TCP/UDP reconocen aplicaciones específicas en una misma máquina como HTTP

o FTP. La opción TCP SYN es la más utilizada en escaneo de puertos TCP [5]. Un escaneo TCP

SYN típico se muestra en la figura 7. El escaneo funciona enviando paquetes de tipo SYN que

solicitan iniciar conexiones TCP y de acuerdo a las respuestas recibidas, el escáner clasifica los

resultados en tres estados: abierto, cerrado o filtrado. Una respuesta de tipo SYN/ACK contiene

el número de puerto si se encuentra abierto. Si se recibe un paquete RST se considera que

corresponde a un puerto cerrado. Si no se obtiene respuesta, el puerto es marcado como filtrado.

Este mecanismo es el más popular debido a que es rápido, cauteloso y discreto, ya que nunca

completa las conexiones. Además, tiene la ventaja de que los paquetes SYN son aceptados por

cualquier sistema que obedezca a una pila de TCP.

Figura 7. Escaneo de puertos utilizando paquetes TCP SYN.

2.5.3 Escaneo horizontal.

Un escaneo horizontal se define como un escaneo realizado desde una fuente común, dirigido a

múltiples máquinas y apuntando a un mismo puerto destino. En este caso el atacante busca

cualquier máquina que exponga un servicio específico ya que busca una vulnerabilidad en

particular [29].

20

2.6 Superficie de ataque.

La superficie de ataque es el subconjunto de recursos que un atacante puede utilizar para atacar

un sistema. El conjunto de entradas y salidas, canales e información vulnerable son los recursos

relevantes que conforman la superficie de ataque [24]. Entre estas características se encuentran

las direcciones IP, puertos, lenguaje de programación, etc. Se propone la definición de la

superficie de ataque como:

𝐸𝑠 = [𝑀, 𝐶, 𝐼]

Donde 𝑆 es un sistema en un ambiente 𝐸 que tiene una superficie de ataque que se compone de

𝑀, 𝐶 e 𝐼, donde 𝑀 es el conjunto de métodos de entrada y salida del sistema, 𝐶 es el conjunto

de canales utilizados por el atacante para conectarse e invocar métodos como puertos TCP e 𝐼

es el conjunto de información vulnerable (componentes de datos como archivos, bases de datos

o registros).

2.7 Defensas de blanco móvil.

Una defensa de blanco móvil (MTD) es una técnica de defensa basada en el uso de maniobras

que al ejecutarse alteran el medio ambiente con el objetivo de incrementar la seguridad de un

sistema [21]. Los MTD han emergido como una solución prometedora para mitigar las debilidades

de los sistemas de hoy en día al remover muchas de las oportunidades de ataque al explotar una

misma vulnerabilidad en máquinas similares. Las técnicas de blanco móvil son diseñadas para

crear incertidumbre a los atacantes y elevar el costo de atacar sistemas protegidos haciéndolos

menos homogéneos, estáticos y determinísticos [31]. Al realizar cambios en la superficie de

ataque es posible engañar, evitar y defender los sistemas de ataques. En [31] se identifican tres

desafíos principales de un MTD: (1) cobertura, que describe la superficie de ataque en

movimiento, (2) impredictibilidad, que se refiere al rango de movimiento y la oportunidad de que

un atacante prediga ese movimiento y (3) oportunidad, que se preocupa por aplicar el movimiento

entre el rango de la observación de un atacante y el tiempo en finalizar un ataque.

Técnicas de blanco móvil han sido sugeridas en diversas áreas como virtualización,

aleatorización de instrucciones y memoria, redes, entre otros. Desde el punto de vista de redes

en general, un MTD cambia constantemente la configuración de la red para incrementar la

dificultad de intrusión. [32] Identifica las redes dinámicas como una de las cinco categorías de

21

alto nivel en taxonomías de MTD. Las redes dinámicas se encargan de cambiar propiedades de

la red como protocolos o direcciones [23].

En SDN, el modelo de seguridad reside en el controlador, quien abstrae el estado actual de la

red inyectando adaptaciones de red aleatorias. El controlador además analiza datos y eventos

en tiempo real y es capaz de reaccionar ante amenazas. Se han propuesto técnicas MTD

basadas en SDN en áreas como reconocimiento de red, sistemas operativos, versión de servicios

y aleatorización de clientes y rutas.

2.8 Seguridad y desempeño.

Uno de los desafíos de introducir agilidad en un sistema es el costo [22]. Los sistemas MTD

introducen costos adicionales en los sistemas y en los usuarios que protegen por lo que el costo

de introducir movilidad debe ser razonable y permitir una operación adecuada de los sistemas.

Los costos se pueden manifestar por ejemplo en desempeño debido a la necesidad de utilizar

recursos adicionales o en disponibilidad debido a la reconfiguración del medio ambiente.

2.9 Latencia de respuesta percibida por el usuario.

La latencia de respuesta percibida por el usuario se define como la diferencia de tiempo entre la

solicitud del contenido y su presentación en el navegador del usuario [8]. Esta latencia involucra

3 componentes principales: latencia de red, latencia servidor y latencia del navegador. [8]

Muestra que tiempos de respuesta inferiores a 500 milisegundos no son percibidos por el usuario,

sin embargo, el usuario reconoce la latencia luego de 1000 milisegundos con muy alta

probabilidad. El estudio indica que la mayoría de usuarios no están dispuestos a esperar más de

2 segundos por información solicitada a la web.

2.9.1 Performance Analysis Reference.

Performance Analysis Reference [6] es una herramienta de Google Chrome para desarrolladores

con la cual se pueden tomar varias métricas que influyen directamente en la experiencia de

usuario. Chrome permite grabar y analizar todas las actividades de una aplicación mientras se

ejecuta. A través de un API se puede obtener información detallada de los tiempos de carga de

cada recurso servido por el navegador y obtener la métrica de latencia al solicitar contenido de

una página web. En la figura 8 se muestra el panel general.

22

Figura 8. Panel general de Performance Analysis Reference.

23

Capítulo 3

Antecedentes

En esta sección se presentan trabajos de investigación que hacen uso de técnicas SDN y MTD

para la implementación del método de defensa y se ubican en la categoría de redes dinámicas.

[28] OpenFlow Random Host Mutation: Transparent Moving Target Defense using Software

Defined Networking describe cómo cambiar las direcciones IP puede esconder los clientes de

gusanos de propagación y escáneres tanto internos como externos. Se diferencia de este trabajo

en varios puntos. Adiciona en el modelo de ataque escáneres presentes en una red interna

además de escáneres externos. Extiende la cobertura de la defensa a propagación de gusanos

y otras técnicas de escaneo. Estudia la conectividad por medio de resolución de nombres

además de direcciones IP, utilizando servidores DNS en el modelo. Amplia los protocolos

soportados introduciendo la posibilidad de utilizar IPv6.

Sus objetivos principales son que el cambio de dirección IP sea transparente y que la frecuencia

de cambio sea altamente impredecible y veloz para maximizar la distorsión de un ataque.

El artículo establece que el método de defensa debe ser transparente y define un sistema

transparente como un sistema donde no se requiere modificar la configuración de

direccionamiento IP en el usuario protegido. Esto deja de lado otros factores que un usuario

puede percibir al activar la defensa, como por ejemplo el tiempo de ejecución de tareas. A

diferencia del artículo, en este trabajo de investigación aplicada, se toma en cuenta la experiencia

del usuario como parámetro de un sistema transparente.

En cuanto a la frecuencia de modificación IP esta se establece en base a dos objetivos. El primer

objetivo es definir el rango de direcciones IP que satisfagan un mínimo de frecuencia de cambio

para un número de clientes determinado. El segundo es maximizar la impredictibilidad y

frecuencia de cambio de acuerdo al requerimiento de cada subred. Con base en estos objetivos

establece el cambio de direcciones IP de forma adaptativa, según la característica de cada

subred. En este trabajo la frecuencia de cambio, tamaño de red y número de clientes protegidos

son definidos por el investigador de acuerdo al objetivo de cada experimento.

24

3.1 Trabajo relacionado.

En esta sección se presenta un resumen del trabajo relacionado al uso de MTD aplicado a redes

como método de defensa.

[26] Define un algoritmo de Random Route Mutation (RRM) el cual permite cambiar las rutas

entre fuente y destino de forma periódica y aleatoria. A diferencia de este trabajo de investigación

el objetivo de RRM es proteger ante ataques de intercepción pasiva y denegación de servicio. El

cambio de rutas no realiza ninguna modificación a la dirección IP de los clientes por lo que no es

funcional contra ataques de escaneo.

[12] Introduce Moving Target IPv6 Defense (MT6D) que esconde la asignación de direcciones

IPv6 mediante el uso de paquetes tunelizados. Al implementar el sistema en IPv6 se aprovecha

la ventaja del enorme espacio disponible para mover los clientes en una misma subred. Aparte

de movimiento, MT6D utiliza encriptación para prevenir ataques de hombre en el medio. Utiliza

túneles basados en la implementación IPSec presente en IPv6 y propone un paquete propietario

MT6D que se encarga de procesar autenticidad de los paquetes. El paquete incluye

identificadores de interfaz, llave secreta y nonce. MT6D opera a nivel de usuario por lo que tiene

desventaja en los recursos del sistema operativo y en consecuencia en el procesamiento de

paquetes.

[28] Busca desarrollar un método de defensa que funcione específicamente contra gusanos de

tipo “hitlist”. Este tipo de ataque de gusano tiene la característica de que utilizan para su

propagación listas prefabricadas de blancos vulnerables identificados por su dirección IP pública.

Esto les permite infectar miles de usuarios en cuestión de minutos. Network Address Space

Randomization (NASR) proponer utilizar DHCP Updates para forzar a los clientes a cambiar su

dirección IP pública frecuentemente. Al requerir aplicar cambios de direccionamiento por medio

de DHCP necesita cooperación y coordinación entre clientes finales, servidores, equipos,

proveedores y rutas de transporte a nivel global, lo cual no lo hace factible.

[7] Utiliza un hipervisor en cada nodo de la red introduciendo movimiento en el sistema. Self-

shielding Dynamic Network Architecture (SDNA) manipula los paquetes entre la red y sistema

operativo con el objetivo de esconder las direcciones de red del sistema operativo mientras

mantiene los servicios requeridos por los usuarios. Los autores utilizan mecanismos

criptográficos que validan la fuente de los paquetes y la conexión en combinación con

hipervisores sobre el protocolo IPv6.

25

Capítulo 4

Metodología

En esta sección se introduce con más detalle el modelo defensa. Se describe a profundidad la

implementación del sistema y la unidad de experimentación. Se muestra paso a paso el proceso

de modificación de direcciones IP. Se establece el diseño de los experimentos realizados para

alcanzar los objetivos y responder las hipótesis. Este trabajo de investigación aplicada se

compone de dos experimentos y se presentan en la sección de diseño de experimentos. El primer

experimento se encarga de obtener evidencia sobre el potencial de protección contra escaneos

al utilizar los resultados de un escaneo para lanzar un ataque e identificar el número de máquinas

alcanzadas. El segundo experimento busca evaluar el impacto en la eficiencia del sistema al

aplicar la defensa desde la perspectiva del usuario, utilizando como métrica el tiempo de carga

de una página web específica.

4.1 Implementación del modelo de defensa.

El MTD tiene la función de modificar los encabezados IP por medio de un controlador SDN que

realiza las traducciones entre direcciones IP modificadas y reales. Las direcciones IP reales son

modificadas utilizando las direcciones disponibles del mismo rango de subred. El número de

direcciones disponibles para ocultar los clientes es proporcional al número de direcciones

asignadas a los dispositivos reales. Por ejemplo, si se protege una subred con un bloque CIDR

de 254 direcciones utilizables y se asignan 10 de ellas de manera fija y estática a dispositivos

reales, se tendrán disponibles 244 direcciones para asignar por el MTD.

El proceso de modificación se describe en la figura 9. Primero, se crea una asociación entre la

dirección IP modificada (mIP) y la dirección IP real (rIP). El administrador define la frecuencia de

cambio en segundos y la re-utilización de mIP por medio de un parámetro de peso. Las mIP son

almacenadas y mapeadas a pesos con valores entre 0 y 5. Las direcciones modificadas con un

valor de 0 no son elegibles mientras que se da preferencia a las direcciones con pesos más altos,

esto evita que se utilicen las mismas direcciones modificadas en ciclos consecutivos.

26

Figura 9. Descripción de proceso de MTD de modificación IP.

Las mIP son elegidas al azar y son utilizadas para completar el diccionario en donde se mapea

y controla la correspondencia entre rIP ⇔ mIP.

Como se muestra en la figura 10, las diferentes respuestas fabricadas por el MTD actúan como

señuelos que provocan cambios en los resultados de cada escaneo y por ende el atacante

obtiene una superficie de ataque diferente en cada intento de reconocimiento. La defensa se

aplica a usuarios internos de la red protegida, al iniciar o recibir una solicitud de conexión hacia

una red externa. El controlador tiene la tarea de monitorear constantemente el tráfico en la red y

se encarga de orquestar la modificación de las direcciones IP de los clientes. Al recibir una nueva

conexión, la solicitud es enviada al controlador por el switch que la recibe. Luego, el controlador

clasifica el tráfico e instala las reglas de reenvío correspondientes. El flow determina los

parámetros de la modificación IP que se utilizan en cada sesión.

Figura 10. Ejemplo de cómo las mIP aparecen como clientes nuevos.

27

4.2 Implementación del sistema.

En la figura 11 se muestra la arquitectura SDN del ambiente de pruebas que soporta el MTD para

modificación de direcciones IP. El MTD comunica los mensajes correspondientes por medio del

controlador. El controlador hace uso de OpenFlow para la orquestación de las funciones de los

switches OVS.

En la figura 12 se muestra la unidad de experimentación. Se creó una red virtual en Mininet

versión 2.2.1, con switches OVS versión 2.3.1 como equipo de infraestructura, la cual es

gestionada por el controlador Ryu versión 3.20.2 a través del protocolo OpenFlow versión 1.3. El

ambiente de pruebas se ejecutó sobre el sistema operativo Ubuntu 16.04 de arquitectura de 64

bits, con un procesador Intel Core [email protected].

Figura 11. Implementación de arquitectura SDN con MTD basado en modificación IP.

28

Por medio de Mininet se establecen las características de la topología de trabajo según

requerimientos del experimento. Cada conexión entre equipos tiene un ancho de banda virtual

de 1 Gbps. Se utilizó la función de Mininet pingAll() que realiza un ping entre cada par de nodos

para verificar conectividad. Cada cliente en la red protegida se instala con un servicio HTTP

disponible en el puerto 80, el cual representa una oportunidad de ataque. Se verifica la

disponibilidad del servicio a la máquina del atacante realizando una solicitud de tipo HTTP hacia

cada uno de los clientes de la red protegida.

Figura 12. Unidad de experimentación.

La aplicación MTD se desarrolló utilizando el controlador SDN Ryu. Ryu ofrece el sistema

operativo de red donde se manejan los cambios de direccionamiento IP de acuerdo a las políticas

de control establecidas por el programa. Ryu comunica las políticas de transporte a los switches

por medio de OF de forma sincrónica y dinámica utilizando flows. Los OFS se encargan de la

traducción rIP ⇔ mIP de acuerdo a las instrucciones recibidas por el controlador.

29

4.3 Implementación de la defensa.

El proceso de comunicación se muestra en la figura 13 y se describe a continuación.

Figura 13. Proceso modificación IP.

1 - Se inicia la comunicación por parte de un usuario de una red externa hacia la red protegida.

2 - Cuando el switch OVS recibe un paquete que no coincide con ningún flow en la tabla, envía

el tráfico al controlador.

3 - El MTD analiza el tráfico para habilitar la conexión de acuerdo a las políticas de acceso

programadas. La fuente de direcciones de IP para crear mIP es obtenida a partir de la selección

aleatoria sobre el rango no utilizado de una subred elegida, por lo tanto, las rIP y mIP comparten

el mismo bloque IP. Las mIP son reservadas a los clientes en diferentes intervalos de tiempo

constantes (ej. cada 10 segundos). A cada host se le asigna una nueva mIP después de cada

intervalo de modificación. Las conexiones activas deben mantenerse funcionales inclusive si

ocurre una modificación por lo que los flows se eliminan una vez se finalice la sesión. Para

30

garantizar la comunicación entre usuarios, cada conexión debe ser única debido al mapeo entre

rIP ⇔ mIP. La asignación de mIP tiene dos restricciones importantes: no puede asignarse una

mIP en un mismo intervalo de tiempo a más de un cliente y una misma mIP no puede ser

asignada en ciclos consecutivos a cualquier cliente. El controlador se encarga de asignar las mIP

a cada host y de mantener el control de las traducciones rIP ⇔ mIP.

4 - El controlador Ryu envía los flows a los switches virtuales OVS de acuerdo a las políticas de

transporte por medio de OpenFlow. Los switches son los encargados de modificar los

encabezados IP y del envío de paquetes. La modificación de direcciones IP funciona de forma

transparente para el usuario ya que no se realiza ninguna configuración en el equipo final.

5 - El cliente recibe el paquete del remitente sin modificar. Cuando el OVS recibe la respuesta

del cliente, revisa nuevamente la tabla de flows y aplica la política de modificación según

corresponda.

6 - Se envía el paquete con su encabezado IP modificado con destino a la red externa.

7 - El remitente obtiene la respuesta del usuario de la red protegida con una mIP como fuente.

Las conexiones externas se mantienen activas mientras exista un flow en la tabla de los switches.

Si una conexión se finaliza, el flow es eliminado del switch y cada nueva solicitud será dirigida al

controlador, quien instalará un nuevo flow y continuará con el proceso.

Al concluir con éxito las mejoras sobre el prototipo desarrollado en cursos de maestría y lograr la

implementación completa de un sistema que implementa técnicas de SDN y defensa de blanco

móvil para ocultar las direcciones IP de máquinas potencialmente vulnerables, se cumple con el

objetivo número uno del trabajo de investigación aplicada.

31

4.4 Diseño de los experimentos.

En esta sección se presentan los experimentos estudiados para alcanzar los objetivos del trabajo

de investigación.

4.4.1 Experimento 1: Protección del MTD ante escaneo.

En el primer experimento “Protección del MTD ante escaneo”, tiene el objetivo de cuantificar el

potencial de protección contra escaneos, al utilizar los resultados de un escaneo para lanzar un

ataque e identificar el número de máquinas alcanzadas generando evidencia sobre el potencial

de protección de acuerdo al objetivo número dos además de generar datos para evaluar la

hipótesis uno. El experimento simula un escaneo inicial de un atacante apuntando al puerto 80

de los clientes protegidos (abiertos por defecto durante el experimento) y se confecciona una

lista de blancos potenciales. A partir de la lista, se realiza una solicitud HTTP a cada uno de los

clientes marcados como disponibles. El número de respuestas HTTP será el indicador de un

ataque exitoso.

4.4.1.1 Diseño Estadístico.

En esta sección se presenta el diseño estadístico correspondiente al experimento 1.

4.4.1.1.1 Unidad Experimental.

La unidad experimental corresponde a la red que contiene los usuarios y servicios donde se

aplican los tratamientos y está descrita en la figura 12. Durante este experimento se mantendrán

100 usuarios protegidos.

4.4.1.1.2 Aleatorización de las ejecuciones

Por cada una de las combinaciones, entre factores y sus respectivos niveles, se tomaron datos

en orden aleatorio para un total de 36 muestras. En la sección 8.1 de anexos se encuentra el

orden de corridas utilizado. Una corrida corresponde a la ejecución del ataque sobre el sistema

(configurado con los niveles de los factores correspondientes) por la duración del escaneo.

4.4.1.1.3 Modelo Estadístico / Modelo Empírico.

En la ecuación 1 se representa el modelo sobre la relación cuantitativa entre la variable de

respuesta y los factores de diseño. Se utilizará un diseño factorial completo de dos factores, cada

32

uno con tres niveles, con un modelo de efectos para medir el efecto de la defensa en los

resultados de los escaneos al activar el MTD. El interés es identificar cuales factores y

combinaciones marcan la diferencia y estimar la magnitud en el cambio de la variable de

respuesta. El modelo estadístico se describe a continuación:

𝑦𝑖𝑗𝑘 = 𝜇 + 𝜏𝑖 + 𝛽𝑗 + (𝜏𝛽)𝑖𝑗 + 𝜖𝑖𝑗𝑘 (1)

𝑖 = 1,5,10: niveles del factor intervalo de modificación IP.

𝑗 = 128,256,1024: niveles del factor tamaño de red protegida.

𝑘 = 4: representa el número de réplicas para cada combinación de niveles del factor

𝑦𝑖𝑗𝑘: representa la muestra de la variable de respuesta con el valor 𝑖 del factor intervalo, el nivel

𝑗 del factor tamaño, y la réplica𝑘de esa combinación de niveles).

𝜇: corresponde a la media global de la variable de respuesta.

𝜏𝑖: efecto del factor intervalo de modificación IP evaluado en los niveles de 1, 5 y 10.

𝛽𝑗: efecto del factor tamaño de red protegida evaluado los niveles 128, 256 y 1024.

(𝜏𝛽)𝑖𝑗: Efecto de la interacción entre los factores.

𝜖𝑖𝑗𝑘: representa el error aleatorio correspondiente a esta muestra.

4.4.1.1.4 Hipótesis Estadística.

Las hipótesis estadísticas correspondientes al modelo estadístico se describen a continuación.

En cuanto al factor intervalo de modificación IP, la hipótesis nula es que no hay efecto al aplicar

cada uno de los niveles (todos los promedios son iguales a 0), y la hipótesis alternativa es que

al menos un nivel tiene efecto.

𝐻0: 𝜏1 = 𝜏5 = 𝜏10 = 0

𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝜏𝑖 ≠ 0

Para el factor tamaño de red protegida, la hipótesis nula es que no hay efecto al aplicar cada uno

de los niveles, y la alternativa es que al menos un nivel tiene efecto.

𝐻0: 𝛽128 = 𝛽256 = 𝛽1024 = 0

𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝛽𝑗 ≠ 0

Adicionalmente, se prueba la interacción de los tratamientos, donde la hipótesis nula es que

ninguna interacción tiene efecto, y la alternativa es que al menos una de las interacciones lo

tiene.

𝐻0: (𝜏𝛽)𝑖𝑗 = 0, 𝑝𝑎𝑟𝑎 𝑡𝑜𝑑𝑜 𝑖, 𝑗

𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 (𝜏𝛽)𝑖𝑗 ≠ 0

33

4.4.2 Experimento 2: Efecto del MTD en la latencia de respuesta.

En el segundo experimento, “Efecto del MTD en la latencia de respuesta”, evalúa el impacto en

la eficiencia del sistema al aplicar la defensa de acuerdo al objetivo número tres y busca evaluar

la hipótesis dos. La eficiencia se evalúa desde la perspectiva del usuario, utilizando como métrica

el tiempo de carga de una página web específica externa a la red protegida. La página web puede

ser accedida por cualquier cliente de la red protegida. Se utilizó la herramienta “Performance

Analysis Reference” de Google Chrome para medir el tiempo de carga de las solicitudes por parte

de los clientes a la página web de prueba.

4.4.2.1 Diseño estadístico.

En esta sección se presenta el diseño estadístico correspondiente al experimento 2.

4.4.2.1.1 Unidad experimental.

La unidad experimental corresponde a la red que contiene los usuarios y servicios donde se

aplican los tratamientos y está descrita en la figura 12.

4.4.2.1.2 Aleatorización de las ejecuciones.

Por cada una de las combinaciones, entre factores y sus respectivos niveles, se tomaron datos

en orden aleatorio para un total de 36 muestras. En el anexo 8.2 se encuentra el orden de corridas

utilizado. Una corrida corresponde a la finalización de la solicitud HTTP por parte del cliente

protegido a la página de prueba externa (configurado con los niveles de los factores

correspondientes) por la duración desde que inició la solicitud hasta recibir el último byte del

contenido.

4.4.2.1.3 Modelo Estadístico.

En la ecuación 2 se representa el modelo de la relación cuantitativa entre la variable de respuesta

y los factores de diseño. Se utilizará un diseño factorial completo de dos factores, cada uno con

tres niveles para medir el efecto que tiene la defensa en la eficiencia del sistema. Se busca lograr

identificar los factores que tienen un efecto particular en el sistema y su interacción. El modelo

estadístico se describe a continuación:

𝑦𝑖𝑗𝑘 = 𝜇 + 𝜏𝑖 + 𝛽𝑗 + (𝜏𝛽)𝑖𝑗 + 𝜖𝑖𝑗𝑘 (2)

34

𝑖 = 0,1,5: niveles del factor intervalo de modificación IP.

𝑗 = 10,50,100: número de usuarios protegidos.

𝑘 = 4: representa el número de réplicas para cada combinación de niveles del factor).

𝑦𝑖𝑗𝑘: representa la muestra de la variable de respuesta con el valor 𝑖 del factor intervalo de

modificación IP, el nivel 𝑗 del factor número de usuarios protegidos, y la réplica𝑘de esa

combinación de niveles).

𝜇: corresponde a la media global de la variable de respuesta.

𝜏𝑖: efecto del factor intervalo de modificación IP evaluado en los niveles de 0, 1 y 5.

𝛽𝑗: efecto del factor tamaño de red protegida evaluado los niveles 10, 50 y 100.

(𝜏𝛽)𝑖𝑗: efecto de la interacción entre los factores.

𝜖𝑖𝑗𝑘: representa el error aleatorio correspondiente a esta muestra.

4.4.2.1.4 Hipótesis estadística.

La hipótesis estadística correspondiente al modelo estadístico se describe a continuación.

En cuanto al factor intervalo de modificación IP, la hipótesis nula es que no hay efecto al aplicar

cada uno de los niveles (todos los promedios son iguales a 0), y la hipótesis alternativa es que

al menos un nivel tiene efecto.

𝐻0: 𝜏0 = 𝜏1 = 𝜏5 = 0

𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝜏𝑖 ≠ 0

Para el factor número de usuarios protegidos, la hipótesis nula es que no hay efecto al aplicar

cada uno de los niveles, y la alternativa es que al menos un nivel tiene efecto.

𝐻0: 𝛽10 = 𝛽50 = 𝛽100 = 0

𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝛽𝑗 ≠ 0

Adicionalmente se prueba la interacción de los tratamientos, donde la hipótesis nula es que

ninguna interacción tiene efecto, y la alternativa es que al menos una de las interacciones lo

tiene.

𝐻0: (𝜏𝛽)𝑖𝑗 = 0, 𝑝𝑎𝑟𝑎 𝑡𝑜𝑑𝑜 𝑖, 𝑗

𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 (𝜏𝛽)𝑖𝑗 ≠ 0

Para facilitar la lectura del documento y lograr mayor claridad sobre el detalle de los datos y

observaciones, se presenta el diseño completo de cada experimento junto con sus respectivos

resultados y análisis directamente en el siguiente capítulo “Resultados y análisis”.

35

Capítulo 5

Resultados y análisis

En esta sección se presentan en detalle los dos experimentos que componen este trabajo de

investigación aplicada. Cada experimento se compone de reconocimiento y definición del

problema, selección de variable de respuesta, selección de factores con niveles y rangos, diseño

experimental seleccionado y por último resultados y análisis de los datos.

Se presentan los resultados en un gráfico de cajas. Los gráficos de cajas muestran un resumen

de la distribución de los datos con la información del mínimo, máximo, los percentiles 25 y 75 y

la mediana en una sola gráfica. Los gráficos de cajas permiten entender y comparar la

distribución de las muestras mediante estadística descriptiva.

Se presentan diagramas de media de factores los cuales ofrecen una comparación entre las

medias de los factores y cada uno de sus niveles. Las medias permiten visualizar cómo afecta

cada uno de los factores y sus niveles la variable de respuesta.

Se presentan las gráficas de interacción las cuales ofrecen una comparación entre las medias

de los factores y cada uno de sus niveles. Estas gráficas muestran cómo la relación entre un

factor y una respuesta depende del valor de un segundo factor. Cuando las líneas son paralelas

quiere decir que no hay interacción y cuando las líneas no son paralelas es un indicador de

interacción. Entre menos paralelas sean las líneas, mayor es la interacción.

Se utilizará un análisis de varianza o ANOVA el cual es un procedimiento que utiliza las varianzas

para determinar si las medias de los tratamientos son diferentes entre sí. Al comparar la varianza

entre la media de los grupos contra la varianza entre grupos se puede determinar si los grupos

son parte de una sola población o poblaciones distintas con diferentes características. Para esto

se analizan los supuestos de normalidad e independencia que permiten aplicar el análisis de

varianza para el modelo de efectos seleccionado. La tabla de análisis de varianza permite evaluar

la significancia estadística al observar cada uno de los efectos y los valores reportados.

Se muestran gráficas de análisis de medias como apoyo gráfico del ANOVA, con las que se

prueba la igualdad de las medias poblacionales. Estos gráficos presentan las medias de los

niveles de los factores, la media general y los límites de decisión. Si el resultado muestra algún

36

dato fuera de los límites de decisión, es evidencia de que la media de los niveles

correspondientes al factor en estudio es significativamente diferente de la media general. La

gráfica superior muestra que los efectos de interacción y los límites de decisión. Las dos gráficas

de la parte inferior muestran las medias de los niveles de los dos factores y muestra el efecto

principal como la diferencia entre la media y la línea central.

A continuación, se presentan las condiciones y parámetros de cada experimento iniciando con la

variable de respuesta y los factores de diseño. Luego se presenta el diseño estadístico completo

y por último los resultados y análisis de la ejecución del experimento. En la sección 5.1 se

presenta en detalle el experimento 1 que estudia el potencial de protección del método para el

modelo de ataque investigado. Seguidamente, en la sección 5.2 se muestra en detalle el

experimento 2 que estudia el impacto del MTD en la latencia de respuesta

5.1 Experimento 1: Potencial de protección del MTD ante escaneo.

En este experimento se busca obtener evidencia sobre el potencial de protección del MTD para

el modelo de ataque investigado de acuerdo al objetivo número dos “Obtener evidencia sobre el

potencial de protección del método para el modelo de ataque investigado” y evaluar la hipótesis

uno “se tiene como hipótesis que al utilizar un MTD basado en la modificación de direcciones IP

de clientes protegidos se disminuye el número de clientes identificados por escáneres como

Nmap en un periodo de tiempo determinado, a diferencia de un sistema tradicional con

direccionamiento estático y periodo infinito”. El experimento comienza simulando un escaneo

inicial de un atacante utilizando la opción de TCP SYN de forma horizontal apuntando al puerto

80 de los clientes protegidos. Una vez que se obtienen los resultados, se hace una solicitud HTTP

a cada uno de los clientes marcados como disponibles por el resultado del escaneo inicial. El

número de respuestas HTTP será el indicador de un ataque exitoso. El proceso de simulación

de un ataque y la recopilación de los datos se describe en la figura 14.

Figura 14. Simulación de ataque y recolección de datos.

37

5.1.1 Variable de Respuesta.

Se eligió como variable de respuesta la cantidad de conexiones HTTP establecidas por el

atacante a clientes de la red protegida luego de un escaneo inicial y será referenciada como

“número de éxitos” (del atacante). Una conexión HTTP exitosa provee información acerca de la

habilidad de un atacante de hacer efectivo los datos recopilados por el escaneo inicial. Esta

variable de respuesta representa que el atacante logró utilizar la información obtenida de la fase

de reconocimiento para interactuar con servicios de la red protegida. El número de éxitos busca

comprobar la hipótesis de que al utilizar un MTD basado en la modificación de direcciones IP de

clientes protegidos se disminuye el número de clientes identificados correctamente por

escáneres como Nmap, a diferencia de un sistema tradicional con direccionamiento estático. Se

busca que este valor sea lo más pequeño posible (idealmente 0).

El proceso de recolección de la variable de respuesta inicia con la activación del MTD en la red.

En la fase 1 del ataque se realiza un escaneo inicial desde el equipo atacante y se almacenan

los resultados. Estos resultados alimentan una lista de blancos potenciales a utilizar por el

atacante. En la fase 2 se simula un ataque realizando solicitudes al servidor HTTP de cada

servidor potencial obtenidos en la primera fase. Cada respuesta HTTP que obtenga el atacante

será un indicador de un ataque exitoso.

5.1.2 Factores de Diseño.

Se eligieron dos factores de diseño: el intervalo de modificación IP y el tamaño de red protegida.

El intervalo de modificación IP es el intervalo de tiempo en segundos que un cliente mantiene su

mIP sin alterar. Este factor fue elegido debido a que la frecuencia en que ocurre la modificación

IP afecta directamente el escaneo, ya que entre más baja sea la frecuencia de cambio, más

tiempo le son útiles los resultados del escáner a un atacante. Los niveles de este factor son de

tipo discreto y se ajustan al valor deseado por el administrador del programa MTD. Su rango de

operación es tiempo en segundos, con un caso especial de “0”, que corresponde a “no cambia”,

o una cantidad muy grande de tiempo. En realidad, este valor sirve para comparar la situación

en que la defensa no está operando. Al inicio se evaluarán únicamente los tres niveles de defensa

activa entre sí: 1, 5 y 10 segundos. Se escogieron los niveles considerando que el tiempo de

escaneo aproximado para una red de 1024 direcciones IP toma en promedio menos de 10

segundos. Este dato fue obtenido a través de una serie de pre-experimentos. El objetivo es

38

comparar los resultados si el intervalo de modificación es similar al tiempo de escaneo (10

segundos) o menor (1 y 5 segundos).

El factor tamaño de red protegida representa la cantidad de direcciones IP que conforman la red

protegida, incluyendo las direcciones reales y las direcciones disponibles para utilizar en el

proceso de modificación. La proporción entre el número real de máquinas y el tamaño de la red

protegida influye directamente en la diversidad del sistema. El tamaño total de la red protegida

es un factor de tipo discreto y es establecido en el código de Mininet y MTD por el administrador.

La cantidad de equipos reales es fija, y corresponde a 100 IP’s. Se utilizaron 3 tamaños de red:

128, 256 y 1024. Conforme más grande la red, tanto menos probable es que los ataques tengan

éxito, dado que la proporción de números reales entre números disponibles se vuelve más

pequeña. Para cada combinación de niveles de los factores de diseño, se realizaron 4 réplicas.

5.1.3 Resultados y análisis de la ejecución del experimento.

En este experimento se buscaba cumplir con el objetivo dos del trabajo “Obtener evidencia sobre

el potencial de protección del método para el modelo de ataque investigado” y responder a la

hipótesis uno “Se tiene como hipótesis que al utilizar un MTD basado en la modificación de

direcciones IP de clientes protegidos se disminuye el número de clientes identificados por

escáneres como Nmap en un periodo de tiempo determinado, a diferencia de un sistema

tradicional con direccionamiento estático y periodo infinito”. Además, se buscaba identificar

posibles combinaciones de tratamientos que produjeran efectos en los resultados de escaneo y

estudiar su interacción. En la tabla 1 se presenta el resultado de la recolección de muestras.

Tabla 1. Conjunto de datos obtenidos en el experimento 1. En las celdas internas, se despliega la cantidad de conexiones HTTP establecidas por el atacante a clientes de la red protegida luego de un escaneo inicial.

Tamaño Red Protegida.

Intervalo de Modificación

IP 128 256 1024

1 27 26 10 14 0 0

25 26 20 9 1 0

5 24 27 13 18 3 3

27 28 10 17 3 7

10 25 24 22 13 3 2

21 26 24 29 0 3

39

En las figuras 15 y 16 se presentan los gráficos de cajas para los factores de intervalo de

modificación IP y tamaño de red protegida.

Se puede observar que la mediana de número de éxitos aumenta conforme aumenta el intervalo

de modificación con valores de 12, 15 y 21.5. Esto da la impresión de que un intervalo de

modificación menor resulta en una mejor defensa reduciendo la cantidad de éxitos del atacante,

sin embargo, los rangos inter-cuartiles son similares en todos los niveles lo que sugiere que la

influencia del intervalo de modificación es poca. En general, los mínimos y máximos para el

intervalo de modificación son similares. Para todos los niveles de intervalo de modificación se

obtuvieron mínimos bastantes bajos, siendo el mínimo más alto igual a 3 éxitos y mínimos igual

a 0 éxitos en los niveles de 1 y 10 segundos, lo que sugiere que existe algún potencial de

protección para el modelo de ataque investigado.

Figura 15. Gráfico de cajas para el factor de intervalo de modificación IP.

En el caso del factor de tamaño de red protegida se observa que la mediana de éxitos disminuye

considerablemente conforme aumenta la cantidad de clientes disponibles para la modificación

IP. Los rangos inter-cuartiles sugieren que al existir una mayor diversidad en el sistema se reduce

la cantidad de ataques exitosos. El máximo número de éxitos fue de 29, lo que parece indicar

algún grado de protección al sistema, a pesar de utilizarse en situaciones con poco espacio para

generar diversidad como lo son los niveles de 128 y 256 clientes. Los resultados con más

beneficio para la defensa se obtuvieron al utilizar el factor de tamaño de red protegida con un

nivel de 1024, donde la mayor cantidad de éxitos para el atacante fue de 7 éxitos con una

mediana de 2.5 éxitos, lo cual sugiere un comportamiento esperado, de que al disminuir el valor

de la proporción entre usuarios reales y el tamaño de la red protegida mejora el potencial de

protección.

40

Figura 16. Gráfico de cajas para el factor de tamaño de red protegida.

En las figuras 17 y 18 se presenta la comparación de las medias de los factores contra la variable

de respuesta.

Figura 17. Medias de intervalo de modificación IP versus variable de respuesta.

La media de éxitos para los intervalos de modificación IP 1, 5, y 10 fue de 13.25, 15 y 16

respectivamente. Esto sugiere que no existe una gran diferencia entre los niveles de intervalo de

modificación IP. En cambio, las medias para los niveles de 128, 256 y 1024 fueron de 25.5, 16.58

y 2.17 respectivamente, lo cual sugiere que al utilizar un bloque de direcciones IP que permite

más opciones para aplicar la modificación IP, tiene un efecto considerable en el potencial de

protección.

41

Figura 18. Medias de tamaño de red protegida versus variable de respuesta.

Para confirmar los posibles efectos observados mediante estadística descriptiva es necesario

realizar un análisis de varianza y confirmar que las diferencias son en realidad significativas. Para

poder hacer uso del análisis de varianza se necesitan validar los siguientes supuestos: se

requiere que los residuos mantengan una distribución aproximadamente normal, la recopilación

de los datos debe ser aleatoria, los datos deben mostrar independencia, y debe existir igualdad

de varianzas. El cumplimiento de estos supuestos se detalla en la sección 8.1 de los anexos.

Se muestra el análisis de varianza correspondiente al experimento “Potencial de protección del

MTD ante escaneo” en la tabla 2.

Tabla 2. Análisis de varianza para el modelo de efectos de dos factores, intervalo de modificación IP, tamaño de red protegida y su interacción.

Factor Grados

de Libertad

Suma Cuadrados

Media de Cuadrados

Valor-F Valor-P

Intervalo Modificación IP 2 46.50 23.25 2.14 0.138

Tamaño Red Protegida 2 3327.17 1663.58 152.91 0.000

Intervalo Modificación IP * Tamaño Red Protegida

4 171.33 42.83 3.94 0.012

Error 27 293.75 10.88

Total 35 3838.75

𝑆 = 3.29843

𝑅2 = 92.35%

𝑅2𝑎𝑗𝑢𝑠𝑡𝑎𝑑𝑜 = 90.08%

42

En todos los casos, para la comprobación de las hipótesis estadísticas se usa 𝑎𝑙𝑓𝑎 = 0.5, pero

también se recurre al valor de P, que es calculado automáticamente por Minitab para ANOVA.

Haciendo uso de ANOVA se confirma que el efecto del factor intervalo de modificación IP es no

significativo, a pesar de lo que parecía sugerir la estadística descriptiva. El valor-F

correspondiente es igual a 2.14, pero 𝐹0.05,2,27 = 3.35. El factor de intervalo de modificación IP

muestra un valor P de 0.138, lo cual soporta la hipótesis nula. El valor-P mayor al nivel de

significancia no ofrece suficiente evidencia para concluir que la diferencia entre las medias de las

poblaciones es estadísticamente significativa e indica que no tiene un efecto significativo en la

defensa. Una posible explicación para este comportamiento es que el intervalo de modificación

tiene influencia en el número de éxitos cuando el cambio de dirección IP se realiza en el periodo

entre que el atacante realiza el escaneo y lanza el ataque y no necesariamente una alta

frecuencia de cambio se traduce en una mejor defensa.

En el caso del factor de red protegida, debido a que 𝐹0.05,2,27 = 3.35 se concluye que el efecto es

significativo ya que el valor-F es 152.91. El efecto es además muy pronunciado, ya que el valor

P es inferior a 10−4.

Para determinar cuáles niveles del factor tamaño de red protegida son diferentes entre sí, se

realizó una comparación par-a-par de los niveles utilizando Fisher y Tukey. Lo mismo se realizó

para las combinaciones de nivel de los factores. Aquellos intervalos de confianza que no incluyen

el cero, indican una diferencia significativa.

En las figuras 19 y 20 se muestran las gráficas de Tukey y Fisher para el factor de tamaño de

red protegida. Las figuras muestran que los intervalos de confianza no incluyen el cero, lo cual

indica una diferencia significativa en las medias para todos los niveles. Esto significa que se

pueden realizar afirmaciones sobre el efecto de este factor.

43


protegida usando Tukey.

Figura 20. Comparación par-a-par de medias del número de éxitos para el factor tamaño de

red protegida usando Fisher.

Para la interacción entre factores se tiene que 𝐹0.05,4,27 = 2.73 y el valor-F es de 3.94, por lo que

podemos concluir que existe interacción entre los factores. En otras palabras, el número de éxitos

para un nivel del intervalo de modificación IP depende del nivel tamaño de red protegida.

44

En la figura 21 se muestra la gráfica de Fisher para la interacción de los factores. Para el análisis

se utilizó también Tukey, sin embargo, no se muestra la gráfica debido a que se obtuvieron los

mismos resultados.

Las combinaciones que no tienen una diferencia significativa entre sí son (5-128, 1-128), (10-

128, 1-128), (10-128, 5-128), (10-256, 10-128), (10-256, 1-128), (10-256, 5-128), (5-256, 1-256),

(5-1024, 1-1024), (10-1024, 1-1024) y (10-1024, 5-1024).


interacción de factores usando Fisher.

No hubo una diferencia significativa entre la interacción de factores con un nivel de 128 como

tamaño de red protegida. La combinación de una frecuencia de cambio de 10 segundos junto

con una red protegida de 256 tuvo el mismo efecto que cualquier combinación de factores con

un tamaño de red protegida de 128. Para un tamaño de red protegida de 256 la única

combinación de intervalo de modificación IP con una diferencia de medias no significativa fue

45

para los valores de 1 y 5 segundos, ya que al utilizar 10 segundos no se ofrece una mejoría en

el potencial de defensa debido a que los resultados de las medias no son diferentes a un tamaño

de red de 128. Para un tamaño de red de 1024 las medias en general no son significativamente

diferentes los que indica que los niveles del intervalo de modificación no afectan la cantidad de

éxitos por parte del atacante.

En la figura 22 se muestran los gráficos de interacción entre los niveles de cada factor. En el

caso del factor tamaño de red protegida las líneas paralelas indican que no ocurre interacción.

En el caso de intervalo de modificación IP la gráfica muestra que existe interacción entre los

factores. Este efecto de interacción indica que la relación entre intervalo de modificación IP y

número de éxitos depende del valor asignado a tamaño de red protegida.

Figura 22. Gráficos de interacción para los factores versus variable de respuesta.

A partir de los factores estudiados y los resultados obtenidos podemos afirmar que se cumple la

hipótesis uno de la investigación ya que la defensa de blanco móvil disminuye el número de

clientes identificados por escáneres como Nmap en un periodo de tiempo determinado a

diferencia de un sistema tradicional con direccionamiento estático y, en consecuencia, la

información recolectada por el atacante durante la fase de reconocimiento es de poca utilidad al

momento de planificar un ataque. Adicionalmente se obtuvo evidencia sobre el potencial de

protección del método para el modelo de ataque investigado cumpliendo así con el objetivo

número dos del trabajo.

46

5.2 Experimento 2: Impacto del MTD en la latencia de respuesta.

Al introducir movilidad en un sistema se adicionan costos de forma inevitable. Este experimento

busca completar el objetivo número tres “Evaluar el impacto en la eficiencia del sistema de la

aplicación de la defensa” y responder a la hipótesis dos “Al utilizar un MTD basado en la

modificación de direcciones IP aumenta la latencia percibida por el usuario comparado al mismo

sistema sin defensa, según la métrica de tiempo de carga de páginas web, debido al uso adicional

de recursos”. Se tomará como métrica la latencia de respuesta percibida desde el punto de vista

de un usuario, que desde la red protegida accede a una página web de una red externa. En la

figura 23 describe el escenario de cómo se realiza la simulación donde un usuario de la red

protegida accesa un servidor web en una red externa.

Se habilitó un servidor Apache 1.0 en un cliente externo a la red protegida, donde se aloja una

página web utilizando el protocolo HTTP y puerto 80. El servicio puede ser accedido por cualquier

cliente de la red protegida. El navegador Google Chrome versión 62.0 está disponible para todos

los usuarios junto con las herramientas de desarrollador donde es posible observar y medir el

tiempo de carga de las solicitudes por parte de los clientes a la página web de prueba.

Figura 23. Simulación de desempeño y recolección de datos.

5.2.1 Variable de respuesta.

Como variable de respuesta se utilizó la medida de latencia percibida por el usuario. Esta variable

se obtiene de la herramienta de desarrolladores utilizando la métrica de “Performance” que se

define como el tiempo total desde el inicio de la solicitud hasta que se recibe el último byte

contenido en la respuesta. La variable es tipo discreto y es medida en milisegundos. Su rango

de operación es igual o mayor a cero milisegundos. Esta variable de respuesta provee

información importante acerca del efecto de la defensa en las tareas comunes del usuario. Se

47

considera que un tiempo menor de 500 milisegundos no es significante para los usuarios, pero

un tiempo mayor a 2 segundos provoca pérdida de atención y percepción de la tarea. Esta

variable de respuesta busca comprobar la hipótesis de que utilizar un MTD basado en la

modificación de direcciones IP se aumenta la latencia del sistema, por lo que disminuye la

usabilidad percibida por el usuario a diferencia de no utilizar el MTD.

5.2.2 Factores de diseño.

Se utilizarán los factores de diseño intervalo de modificación y número de usuarios protegidos.

Para el factor intervalo de modificación se eligieron los valores de 0, 1 y 5 segundos considerando

los siguientes motivos: evaluar el sistema sin defensa y con intervalos alrededor del tiempo

máximo antes de perder la atención de un usuario (2 segundos). El nivel de este factor es de tipo

discreto y se ajusta al valor deseado por el administrador del programa MTD. Su rango de

operación es cualquier tiempo en segundos incluido cero segundos. El nivel de cero segundos

establece que la defensa no se encuentra activa.

El factor de número de usuarios protegidos representa a los usuarios reales de la red protegida.

El número de usuarios influye directamente en la defensa ya que entre más usuarios protegidos

existan, mayor es la cantidad de flows que se instalan en la tabla de los switches. La cantidad de

flows afecta directamente la capacidad del sistema. También se tomó en cuenta las limitantes de

la unidad de experimentación y los recursos disponibles. El número de usuarios es de tipo

discreto mayor a cero y se establece por el administrador en el código de Mininet y MTD. Se

utilizaron 3 niveles de aplicación: 10, 50 y 100 usuarios protegidos.

5.2.3 Resultados y análisis de la ejecución del experimento.

En este experimento se buscaba cumplir con el objetivo tres “Evaluar el impacto en la eficiencia

del sistema de la aplicación de la defensa” y responder a la hipótesis dos “Al utilizar un MTD

basado en la modificación de direcciones IP aumenta la latencia percibida por el usuario

comparado al mismo sistema sin defensa, según la métrica de tiempo de carga de páginas web,

debido al uso adicional de recursos”. Además, se buscaba identificar posibles combinaciones de

tratamientos que produzcan efectos en los resultados de escaneo y estudiar su interacción.

En la tabla 3 se presenta el resultado de la recolección de muestras.

48

Tabla 3. Conjunto de datos experimento 2. Latencia percibida por el usuario al cargar una página web en milisegundos.

Número de Usuarios Protegidos

Intervalo de Modificación IP

10 50 100

0 175 212 196 236 233 235

231 222 223 230 188 234

1 180 187 276 200 288 427

224 211 175 246 433 478

5 219 183 226 203 322 353

208 190 210 207 241 375

En las figuras 24 y 25 se presentan los gráficos de cajas para los factores de intervalo de

modificación IP y número de usuarios protegidos.

Para el factor de intervalo de modificación IP, las medianas se mantienen con valores muy

similares. El valor máximo para el intervalo de modificación IP se registró en el nivel de 1

segundo. Este es un efecto esperado ya que aumenta la necesidad de recursos y modificar las

direcciones IP para reducir la oportunidad de ataque. Para el valor de 5 segundos se observa

una disminución en la latencia respecto a valor de 1 segundo. Este comportamiento sugiere que

la variable de respuesta se acerca cada más al valor esperado de no usar defensa o factor de 0

segundos, conforme aumenta el intervalo de modificación IP.

Figura 24. Gráfico de cajas para el factor de intervalo de modificación IP.

49

Para el factor de número de usuarios protegidos se muestra un aumento en la latencia de acuerdo

al número de usuarios protegidos. Este comportamiento sugiere que la cantidad de flows que

existen en los switches encargados de la traducción entre rIP y mIP tiene influencia en la

eficiencia del sistema. Un mayor número de usuarios, necesita un mayor número de flows para

la defensa provocando un aumento en el tamaño de la tabla de flows de los switches y elevando

la latencia. La latencia percibida por el usuario tiene un comportamiento similar en los niveles de

10 y 50 usuarios protegidos lo que puede ser un indicador de que cuando la defensa trabaja con

pocos usuarios, tiene poco impacto en la eficiencia del sistema.

Figura 25. Gráfico de cajas para el factor de número de usuarios protegidos.

En las figuras 26 y 27 se muestra una comparación entre las medias de los factores y sus niveles.

Las gráficas sugieren que ambos factores afectan el tiempo de carga de contenido solicitado al

exterior por los usuarios. El intervalo de modificación IP provoca una mayor latencia desde el

punto de vista de los usuarios comparado al sistema sin la defensa activa.

Conforme se aumentan los clientes protegidos el tiempo de carga es mayor, esto puede ser un

indicador de que la necesidad de aumentar la cantidad de flows requeridos por el proceso

aumenta la latencia del sistema.

50

Figura 26. Medias de intervalo de modificación IP versus variable de respuesta.

Figura 27. Medias de número de usuarios protegidos versus variable de respuesta.

Con el fin de confirmar los posibles efectos observados mediante estadística descriptiva es

necesario realizar un análisis de varianza y confirmar que las diferencias son en realidad

significativas. Para poder hacer uso del análisis de varianza se necesitan validar los siguientes

supuestos: se requiere que los datos sigan una distribución aproximadamente normal, la

recopilación de los datos debe ser aleatoria y que exista igualdad de varianzas. Estos supuestos

se detallan en la sección 8.2 de los anexos. En general, no se observa algún problema grave que

pueda tener un impacto severo en el análisis de resultados y conclusiones.

51

El análisis de varianza correspondiente al experimento “Efecto del MTD en la latencia de

respuesta” se muestra en la tabla 4.

Tabla 4. Análisis de varianza para el modelo de efectos de dos factores, intervalo de modificación IP, número de usuarios protegidos y su interacción.

Factor Grados de Libertad

Suma Cuadrados

Media de Cuadrados

Valor-F Valor-P

Intervalo Modificación IP 2 35487 17743 6.83 0.004

Número de Usuarios Protegidos

2 97402 48701 18.76 0.000

Intervalo Modificación IP * Número de Usuarios Protegidos

4 53599 13400 5.16 0.003

Error 27 70092 2596

Total 35 256580

𝑆 = 50.9510

𝑅2 = 72.68%

𝑅2𝑎𝑗𝑢𝑠𝑡𝑎𝑑𝑜 = 64.59%

En todos los casos, para la comprobación de las hipótesis estadísticas se utiliza 𝑎𝑙𝑓𝑎 = 0.5, pero

también se recurre al valor de P, que es calculado automáticamente por Minitab para ANOVA.

Debido a que 𝐹0.05,2,27 = 3.35 se concluye que el efecto es significativo para ambos factores donde

los valores F son 6.83 y 18.76. El valor F correspondiente al factor número de usuarios protegidos

muestra el efecto más significativo.

Para determinar cuáles niveles del factor tamaño de red protegida son diferentes entre sí, se

realizó una comparación par-a-par de los niveles usando tanto Fisher como Tukey. Lo mismo se

realizó para las combinaciones de nivel de los factores. Aquellos intervalos de confianza que no

incluyen el cero, indican una diferencia significativa.

En las figuras 28 y 29 se muestran los resultados para el factor de intervalo de modificación IP.

Al analizar las medias del factor de intervalo de modificación IP utilizando tanto el método de

comparación de Tukey como Fisher podemos afirmar que las medias son no significativamente

diferentes a excepción de la combinación de los niveles 1 y 0. Esto indica que existe una

diferencia significativa entre no aplicar cambios a las mIP y utilizar una alta frecuencia en la

52

modificación de direcciones IP. Es esperable que conforme disminuye la frecuencia de cambio

las medias se acerquen más a las medias de un sistema sin defensa.


factor intervalo de modificación IP usando Tukey.


factor intervalo de modificación IP usando Fisher.

En las figuras 30 y 31 se muestran los resultados para el factor de número de usuarios protegidos.

Se muestra que la combinación de 10 y 50 usuarios protegidos es la única con medias que no

son significativamente diferentes lo que indica que el impacto en el sistema es similar para ambos

niveles. Las combinaciones que contienen las medidas correspondientes a 100 usuarios

muestran que tienen una significancia importante en la variable de respuesta. Como se esperaba,

una cantidad alta de usuarios en el sistema demanda una mayor cantidad de recursos para

53

mantener el proceso de modificación IP aumentando el impacto en la eficiencia del sistema, lo

cual es congruente con los resultados.


factor número de usuarios protegidos usando Tukey.


factor número de usuarios protegidos usando Fisher.

El valor P menor a 10−4 para el factor de número de usuarios protegidos proporciona fuerte

evidencia en contra de la hipótesis nula. En general todos los valores P obtenidos del análisis de

varianza indican que la diferencia entre las medias es estadísticamente significativa y rechaza la

hipótesis nula. Ambos factores analizados en el experimento tienen un efecto significativo en la

defensa, siendo el número de usuarios protegidos el más influyente. Estos resultados indican

54

que existe un impacto en la eficiencia del sistema producto de la aplicación de la defensa, como

se esperaba.

Al evaluar la interacción entre los factores en el ANOVA se observa que un valor-F de 5.16, lo

cual es mayor que 𝐹0.05,4,27 = 2.73, por lo que podemos concluir que existe interacción entre los

factores de intervalo de modificación IP y tamaño de red protegida.

Con respecto a las interacciones entre factores que son significativas, se realizó un análisis tanto

para Fisher como Tukey, pero únicamente se muestra el de Fisher en la figura 32 ya que los

resultados obtenidos para ambas mediciones son los mismos.


interacción de factores usando Fisher.

Las combinaciones que no tienen una diferencia significativa entre sí son (0-50,0-10), (0-100,0-

10), (0-100,0-50), (1-10,0-10), (1-50,0-10), (5-10,0-10), (5-50,0-10), (1-10,0-50), (1-50,0-50), (5-

10,0-50), (5-50,0-50), (1-10,0-100), (1-50,0-100), (5-10,0-100), (5-50,0-100), (1-50,1-10), (5-10,1-

55

10), (5-50,1-10), (5-10,1-50), (5-50,1-50) y (5-50,5-10). Sin la defensa todas las medias son

iguales, lo cual era esperado. Las combinaciones con 10 y 50 usuarios no muestran diferencias

significativas cuando se comparan entre ellas. En el caso en el que se esperaría un mayor

impacto (sin tomar en cuenta el nivel de 100 usuarios), corresponde a un tamaño de red de 50

usuarios con la frecuencia más alta de cambio de 1 segundo, sin embargo, se muestra que el

comportamiento no es significativamente diferente a un sistema sin la defensa activa con pocos

usuarios por ejemplo 10 usuarios sin cambio de IP.

Las combinaciones que sí tienen una diferencia significativa entre sí son (1-100,0-10), (5-100,0-

10), (1-100,0-50), (5-100,0-50), (1-100,0-100), (5-100,0-100), (1-100,1-10), (5-100,1-10), (1-

100,1-50), (5-100,1-50), (5-10,1-100), (5-50,1-100), (5-100,1-100), (5-100,5-10), (5-100,5-50).

Todas las combinaciones que incluyen al factor 100 en el número de usuarios junto con la

defensa activa, niveles 1 y 5, muestran diferencia de medias significativa. La latencia es más baja

al utilizar 100 usuarios si el intervalo de modificación se mantiene bajo, lo cual es consistente con

la mayor demanda de recursos del sistema para mantener el proceso de modificación IP.

En la figura 33 se presentan los gráficos de interacción para los factores del experimento. En el

caso del factor número de usuarios protegidos no se observa interacción en consecuencia del

intervalo de modificación IP, ya que las gráficas muestran líneas paralelas. En el caso del factor

de intervalos de modificación IP se observa interacción debido a las líneas no paralelas. Este

efecto indica que la relación entre el intervalo de modificación IP y la latencia percibida por el

usuario depende del número de usuarios protegidos.

Figura 33. Gráficos de interacción para los factores versus variable de respuesta.

56

A partir de estos resultados podemos afirmar que se cumple la hipótesis dos de la investigación

ya que al utilizar un MTD basado en la modificación de direcciones IP aumenta la latencia


carga de páginas web, debido al uso adicional de recursos. Esto quiere decir que al implementar

la defensa en un sistema se debe tomar en cuenta el aumento en los tiempos de respuesta al

solicitar contenido a redes externas. Adicionalmente se evaluó el impacto en la eficiencia del

sistema de la aplicación de la defensa cumpliendo así con el objetivo número tres de este trabajo.

5.3 Funcionalidad y Seguridad.

El MTD propuesto tiene la ventaja de que es completamente transparente al usuario por lo que

aporta un valor positivo en el aspecto de funcionalidad. Al no requerir cooperación del usuario se

facilita la administración del sistema. La defensa cuenta también con la ventaja de un plano de

control centralizado que proporciona SDN, por lo que ofrece un costo reducido y una mejor

administración de los dispositivos.

Según los resultados obtenidos, el MTD ofrece una mejora significativa en la seguridad del

sistema, sin embargo, esto viene con un costo. El MTD necesita dos flows por cada usuario en

la red protegida, uno para modificar la IP real y otro para devolver la IP a su valor original.

Conforme aumente la cantidad de usuarios que se requiera proteger mayor será la demanda de

recursos computacionales y aumentará la latencia del sistema lo que puede llegar a provocar

una percepción negativa en la experiencia de usuario.

57

Capítulo 6

Conclusiones y trabajo futuro.

En esta sección se resumen las conclusiones y contribuciones obtenidas del trabajo de

investigación y se plantean posibles futuras investigaciones en el área de SDN y MTD.

6.1 Conclusiones.

Para el escenario investigado en el primer experimento el efecto del factor intervalo de

modificación IP es no significativo. Una posible explicación para este comportamiento es que el

intervalo de modificación tiene influencia en el número de éxitos cuando el cambio de dirección

IP se realiza en el periodo entre que el atacante realiza el escaneo y lanza el ataque y no

necesariamente una alta frecuencia de cambio se traduce en una mejor defensa. El factor de red

protegida tiene el efecto más importante en el potencial de defensa siendo significativo en todos

los casos, entre más espacio disponible para la modificación de direcciones IP exista en la red

seleccionada mejor será el potencial de defensa. En cuanto a la interacción, el número de éxitos

para un nivel del intervalo de modificación IP depende del nivel tamaño de red protegida.

Manteniendo la cantidad de usuarios protegidos igual a 100, se obtuvieron los mejores

resultados, desde el punto de vista de potencial de defensa, utilizando el nivel más alto de tamaño

de red investigado de 1024 direcciones.

Se obtuvo evidencia sobre el potencial de defensa para el modelo de ataque investigado y se

determinó que la defensa de blanco móvil disminuye el número de clientes identificados por

escáneres como Nmap en un periodo de tiempo determinado a diferencia de un sistema

tradicional con direccionamiento estático y, en consecuencia, la información recolectada por el

atacante durante la fase de reconocimiento es de poca utilidad al momento de planificar un

ataque.

Para el escenario investigado en el segundo experimento se determinó que el intervalo de

modificación IP y el número de clientes protegidos tienen un efecto en la eficiencia del sistema

siendo el número de clientes protegidos el más importante. El factor de intervalo de modificación

IP indica que existe una diferencia significativa entre un sistema sin defensa y un sistema que

utiliza una alta frecuencia en la modificación de direcciones IP. Conforme disminuye la frecuencia

58

de cambio las medias se acerquen más a las medias de un sistema sin defensa. El factor de

número de usuarios protegidos indica que el impacto es bajo y similar para niveles con pocos

usuarios protegidos como 10 y 50. El efecto más pronunciado en la latencia percibida por el

usuario se registró al utilizar 100 usuarios protegidos, lo que indica que aumentar la demanda de

recursos para mantener el proceso de modificación IP tiene un impacto importante en la eficiencia

del sistema. Los efectos significativos en la interacción de los factores corresponden a aquellas

combinaciones con la defensa activa y 100 usuarios protegidos. Se obtiene una latencia más

baja si el intervalo de modificación se mantiene bajo, lo cual es consistente con la mayor

demanda de recursos del sistema para mantener el proceso de modificación IP.

Se probó que al utilizar un MTD basado en la modificación de direcciones IP aumenta la latencia


carga de páginas web, debido al uso adicional de recursos, sin embargo, el aumento de la carga

en el sistema no afecta la experiencia de usuario ya que la latencia se mantuvo por debajo los

500 milisegundos en todas las pruebas.

6.1.1 Contribuciones.

Se implementó un sistema de defensa de blanco móvil utilizando técnicas de SDN en un

ambiente de recursos limitados. El prototipo se desarrolló utilizando herramientas de software

libre y de fácil acceso.

Se probó que la modificación IP como técnica de defensa de blanco móvil es una opción viable

para mejorar la seguridad de un sistema.

6.3 Trabajo Futuro.

Este trabajo de investigación abre la posibilidad de abarcar otros modelos de ataque, por

ejemplo, preparar el MTD para reaccionar ante ataques como denegación de servicio. Esto

naturalmente propone investigar otras técnicas de modificación TCP/IP y en general

complementar la defensa para contrarrestar otras técnicas de escaneo como por ejemplo

reconocimiento de sistemas operativos, nombres de dominio, entre otros. Como trabajo futuro se

propone probar el prototipo con más usuarios concurrentes consumiendo una mayor cantidad de

servicios y así observar el efecto que tiene en la eficiencia de un sistema más complejo. Además,

sería necesario evaluar este escenario en hardware real y ambientes de producción.

59

7. Referencias

[1] B. a. H. B. a. M. N. Lantz, "A Network in a Laptop: Rapid Prototyping for Software-defined

Networks," Proceedings of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks,

2010.

[2] D. F. M. V. P. U. S. Kreutz, "Software-Defined Networking: A Comprehensive Survey,"

IEEE, 2014.

[3] F. R. S. S. M. Lau, "Distributed denial of service attacks," IEEE International Conference on

Systems, Man, and Cybernetics, pp. vol. 3, pp. 2275–2280, 2000.

[4] G. Lyon, "Nmap Security Scanner," 2017. [Online]. Available: https://nmap.org/.

[5] G. Lyon, The Official Nmap Project Guide to Network Discovery and Security Scanning,

Insecure.Com LLC, 2011.

[6] Google, "Chrome Developer Tools," 2017. [Online]. Available:

https://developers.google.com/web/tools/chrome-devtools/evaluate-performance/reference.

[7] H. B. X. Y. a. J. L. J. Yackoski, "Applying Self-Shielding Dynamics to the Network

Architecture," pp. 97-115, 2012.

[8] I. a. B. X. a. C. B. B. Arapakis, "Impact of Response Latency on User Behavior in Web

Search," Proceedings of the 37th International ACM SIGIR Conference on Research, pp.

103-112, 2014.

[9] J. H. a. A.-S. E. a. D. Q. Jafarian, "Openflow Random Host Mutation: Transparent Moving

Target Defense Using Software Defined Networking," Proceedings of the First Workshop

on Hot Topics in Software Defined Networks, pp. 127-132, 2012.

[10] Linux Foundation, "Open vSwitch," 2016. [Online]. Available: http://openvswitch.org/.

[11] M. a. S. S. a. P. G. a. A. G. a. L. J. a. V. R. J. a. W. P. a. M. N. Kobayashi, "Maturing of

OpenFlow and Software-defined Networking Through Deployments," Comput. Netw., pp.

151-175, 2014.

[12] M. D. a. S. G. a. W. U. a. R. M. a. J. Tront, "MT6D: A Moving Target IPv6 Defense,"

MILCOM 2011 Military Communications Conference, pp. 1321-1326, 2011.

[13] M.-k. C. E.-s. C. S.-s. K. G. P. J.-H. L. Rosslin John Robles, "Common threats and

vulnerabilities of critical infrastructure," International Journal of Control and Automation,

2008.

[14] N. a. A. T. a. B. H. a. P. G. a. P. L. a. R. J. a. S. S. a. T. J. McKeown, "OpenFlow: Enabling

Innovation in Campus Networks," SIGCOMM Comput. Commun. Rev., pp. 69-74, 2008.

[15] N. a. K. T. a. P. J. a. P. B. a. C. M. a. M. N. a. S. S. Gude, "NOX: Towards an Operating

System for Networks," SIGCOMM Comput. Commun. Rev., pp. 105-110, 2008.

[16] N. a. R. J. a. Z. E. Feamster, "The Road to SDN: An Intellectual History of Programmable

Networks," SIGCOMM Comput. Commun. Rev., pp. 87-98, 2014.

[17] Nicira, "It’s time to virtualize the network," 2012.

[18] ONF Fundation, "ONF Specification," 2017. [Online]. Available:

https://www.opennetworking.org/software-defined-standards/specifications/.

[19] ONF Fundation, 2017. [Online]. Available: https://www.opennetworking.org.

60

[20] Open Networking Research Center, "ONRC Research," 2017. [Online]. Available:

http://onrc.stanford.edu/index.html.

[21] P. a. J. T. a. L. P. T. F. a. P. N. a. W. R. J. a. K. A. a. M. L. a. S. A. a. M. P. a. K. S. V. a. N.

I. McDaniel, "Security and Science of Agility," Proceedings of the First ACM Workshop on

Moving Target Defense, pp. 13-19, 2014.

[22] P. a. J. T. a. L. P. T. F. a. P. N. a. W. R. J. a. K. A. a. M. L. a. S. A. a. M. P. a. K. S. V. a. N.

I. McDaniel, "Security and Science of Agility," Proceedings of the First ACM Workshop on

Moving Target Defense, pp. 13-19, 2014.

[23] P. K. a. H. P. a. T. Beyene, "SDN-based solutions for Moving Target Defense network

protection," Proceeding of IEEE International Symposium on a World of Wireless, Mobile

and Multimedia Networks 2014, pp. 1-6, 2014.

[24] P. K. W. J. M. Manadhata, "A Formal Model for a System’s Attack Surface," Advances in

Information Security, pp. 1-28, 2011.

[25] Project Floodlight, 2017. [Online]. Available: http://www.projectfloodlight.org/.

[26] Q. D. J. H. J. Ehab Al-Shaer, "On the Random Route Mutation Moving Target Defense,"

National Symposium on Moving Target Research, 2012.

[27] Ryu, 2017. [Online]. Available: https://osrg.github.io/ryu/.

[28] S. a. A. P. a. M. E. P. a. A. K. G. Antonatos, "Defending Against Hitlist Worms Using

Network Address Space Randomization," Proceedings of the 2005 ACM Workshop on

Rapid Malcode, pp. 30-40, 2005.

[29] S. a. H. J. A. a. M. J. M. Staniford, "Practical Automated Detection of Stealthy Portscans,"

J. Comput. Secur., pp. 105-136, 2002.

[30] S. a. K. A. a. M. S. a. O. J. a. P. L. a. S. A. a. V. S. a. W. J. a. Z. J. a. Z. M. a. Z. J. a. H. U.

a. S. S. a. V. A. Jain, "B4: Experience with a Globally-deployed Software Defined Wan,"

SIGCOMM Comput. Commun. Rev., pp. 3-14, 2013.

[31] T. a. O. H. a. B. D. a. R. R. a. S. W. Hobson, "On the Challenges of Effective Movement,"

Proceedings of the First ACM Workshop on Moving Target Defense, pp. 41-50, 2014.

[32] T. M. W. L. T. H. D. H. Okhravi /M.A. Rabe, "Survey of Cyber Moving Targets," Lincoln

Laboratory MIT, 2013.

61

8. Anexos

La gráfica de probabilidad normal de los residuos se presenta para verificar el supuesto de que

los residuos siguen una distribución normal. La gráfica de probabilidad debe seguir un patrón de

línea recta aproximadamente.

Las gráficas de residuos versus orden se utilizan para verificar la asunción de que los residuos

no están correlacionados unos con otros. Los residuos en la gráfica deben mostrar un patrón

aleatorio alrededor de la línea central y así confirmar la asunción de que los errores son

independientes unos de otros.

Se presentan gráficas de residuos versus valores ajustados con el objetivo de verificar la

asunción de que los residuos tienen una varianza constante y un error constante. En esta gráfica

se busca que los residuos se presenten aleatoriamente alrededor del cero. Además, se presentan

gráficas de residuos versus cada una de las variables. Se busca en estas gráficas patrones en

los residuos que indiquen que la variable influye en la respuesta.

Se muestra la prueba de igualdad de varianza que busca identificar si las desviaciones estándar

y por ende las varianzas son significativamente diferentes entre poblaciones o niveles de los

factores del experimento. El ANOVA parte del supuesto de que, aunque las diferentes muestras

pueden provenir de poblaciones con medias diferentes, tienen la misma varianza.

Se utilizaron comparaciones múltiples de las medias con las pruebas de Tukey y Fisher lo que

permite examinar cuáles medias son diferentes y estimar el grado de diferencia. El método de

Tukey se utiliza en ANOVA para crear intervalos de confianza para todas las diferencias en

parejas y entre las medias de los niveles de los factores mientras controla la tasa de error por

familia en un nivel específico. Al utilizar intervalos de confianza de 95% en el método de Tukey

se reduce a un máximo de 5% la probabilidad de que uno o más intervalos de confianza no

contengan la verdadera diferencia, así que aquellos intervalos de confianza no incluyen el cero,

indican una diferencia significativa.

62

8.1 Anexos Experimento 1: Potencial de protección del MTD

ante escaneo.

Para poder hacer uso del análisis de varianza se requiere que los datos sigan una distribución

aproximadamente normal como se muestra en la figura 34.

Figura 34. Gráfico de probabilidad normal de los residuos.

En la figura 35 se representan los residuos de acuerdo al orden en que se recopilaron los datos

lo que permite asumir independencia en el modelo. En la figura 28 se observan los residuos

versus los valores ajustados. Los residuos se encuentran esparcidos alrededor del cero. No se

63

observa ningún residuo que se comporte como extremo. En general no se observa ninguna

anomalía grave en el modelo.

Figura 35. Residuos versus el orden de recopilación de datos.

Figura 36. Gráfico de residuos versus valores ajustados.

La varianza en los niveles de intervalo de modificación y tamaño de red protegida se muestran

en las figuras 37 y 38. El factor intervalo de modificación IP muestra varianzas similares siendo

el nivel 10 un poco mayor al resto. En el caso de tamaño de red protegida el nivel 256 muestra

64

una varianza mayor a los niveles de 128 y 1024, sin embargo, se cumple la igualdad de varianzas

en la figura 24. No se observa algún problema grave que pueda tener un impacto severo en el

análisis de resultados y conclusiones.

Figura 37. Residuos versus valor ajustado para factor intervalo de modificación IP.

Figura 38. Residuos versus valor ajustado para factor de tamaño de red protegida.

En la figura 39 se muestra la prueba para igualdad de varianzas con un grado de confianza de

95%. Los intervalos en la figura se intersecan en todos los niveles lo quiere decir que las

desviaciones estándar no son significativamente diferentes. Este supuesto se soporta utilizando

el valor P para la prueba de comparación múltiple el cual es menor que el nivel de significancia

65

elegido por lo que las diferencias entre las desviaciones estándar y varianzas no son

significativamente diferentes.

Figura 39. Prueba de igualdad de varianzas.

En las figuras 40 y 41 se muestran las gráficas de Tukey y Fisher para el factor de intervalo de

modificación IP. Las gráficas muestran que las medias no son significativamente diferentes para

todos los niveles ya que los intervalos de confianza contienen el valor cero. Esto soporta el

análisis de que el intervalo de modificación IP no tiene un efecto significativo en la defensa.

66


modificación IP usando Tukey.


modificación IP usando Fischer.

.

En la figura 42 se muestra el análisis de medias y efectos. La gráfica superior corresponde a los

efectos de interacción.

La gráfica de efectos para el intervalo de modificación IP presenta los puntos dentro de los límites

de decisión lo que es un indicador de que no existe evidencia de que la media sea

67

significativamente diferente a la media general cuando α=0.05. En el caso de tamaño de red

protegida los niveles de 128 y 1024 se encuentra claramente fuera de los límites de decisión

Figura 42. Análisis de medias y efectos.

68

8.2 Anexos Experimento 2: Impacto del MTD en la latencia de

respuesta.

Los siguientes supuestos permiten hacer uso del análisis de varianza. En la figura 43 se muestra

la gráfica de normalidad con su distribución aproximadamente normal y no se observan residuos

que podamos identificar como extremos.

Figura 43. Gráfico de probabilidad normal de los residuos.

En la figura 44 se representan los residuos de acuerdo al orden en que se recopilaron los datos.

No se observan patrones según el orden cronológico lo que permite asumir independencia en el

modelo.

En la figura 45 se muestran los residuos esparcidos alrededor del cero lo que indica una

distribución aleatoria.

69

Figura 44. Residuos versus el orden de recopilación de datos.

Figura 45. Gráfico de residuos versus valores ajustados.

En la figura 46 y 47 se muestran las gráficas de residuos versus las variables

70

.

Figura 46. Residuos versus valor ajustado para factor intervalo de modificación IP.

Figura 47. Residuos versus valor ajustado para factor número de usuarios protegidos.

Los resultados de la prueba de igualdad de varianzas se representan en la figura 48 y es un

indicador de que las varianzas de las poblaciones son iguales. En general, no se observa algún

problema grave que pueda tener un impacto severo en el análisis de resultados y conclusiones

71

.

Figura 48. Prueba de igualdad de varianzas.

El análisis de medias y efectos se muestran en la figura 49. En el caso de la gráfica de efectos

de interacción se muestra que existe efecto en la combinación de los niveles 0 y 1 segundos para

intervalo de modificación IP con 100 usuarios protegidos, según se establece en los límites de

decisión.

La gráfica de efectos para el intervalo de modificación IP establece la media de las muestras

para los niveles de 0 y 1 segundos fuera de los límites de decisión. Al seleccionar un nivel de 0

segundos, se elimina el factor de cambio en la defensa manteniendo la mIP estática a cada

cliente protegido.

En el caso de número de usuarios protegidos se evidencia un efecto significativo en cada uno de

los niveles.

72

Figura 49. Análisis de medias y efectos.

ofuscando escaneos maliciosos mediante sdn...

Documents