Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD DE COSTA RICA
SISTEMA DE ESTUDIOS DE POSGRADO
OFUSCANDO ESCANEOS MALICIOSOS MEDIANTE SDN
UTILIZANDO DEFENSAS DE BLANCO MÓVIL
Trabajo final de investigación aplicada sometido a la consideración de la
Comisión del Programa de Estudios de Posgrado en Computación e
Informática para optar al grado y título de Maestría Profesional en
Computación e Informática
ADRIÁN FERNÁNDEZ FERNÁNDEZ
Ciudad Universitaria Rodrigo Facio, Costa Rica
2018
1
Este trabajo final de investigación aplicada fue aceptado por la Comisión del Programa
de Estudios de Posgrado en Computación e Informática de la Universidad de Costa Rica,
como requisito parcial para optar al grado y título de Maestría Profesional en
Computación e Informática.
____________________________________________
Dr. Álvaro Morales Ramírez
Decano
Sistema de Estudios de Posgrado
____________________________________________
Dra. Elena Gabriela Barrantes Sliesarieva
Profesora Guía
____________________________________________
Dra. Gabriela Marín Raventós
Directora
Programa de Posgrado en Ciencias de la Computación e Informática
____________________________________________
Adrián Fernández Fernández
Sustentante
2
Índice General
Resumen 6
Capítulo 1 7
Introducción 7
1.1 Descripción del problema. 8
1.1.2 Modelo de amenaza. 8
1.1.3 Modelo de defensa. 9
1.2 Objetivos. 10
1.2.1 Hipótesis. 10
1.3 Alcance y limitaciones. 10
1.4 Justificación. 11
1.5 Organización del trabajo de investigación. 11
Capítulo 2 12
Marco Teórico 12
2.1 Redes definidas por software. 12
2.2 Openflow. 13
2.3 Controlador. 15
2.4 Virtualización de redes y SDN. 15
2.5 Herramientas de escaneo. 18
2.5.1 NMAP. 19
2.5.2 Escaneo tipo TCP SYN. 19
2.5.3 Escaneo horizontal. 19
2.6 Superficie de ataque. 20
2.7 Defensas de blanco móvil. 20
2.8 Seguridad y desempeño. 21
2.9 Latencia de respuesta percibida por el usuario. 21
2.9.1 Performance Analysis Reference. 21
Capítulo 3 23
Antecedentes 23
3.1 Trabajo relacionado. 24
Capítulo 4 25
Metodología 25
3
4.1 Implementación del modelo de defensa. 25
4.2 Implementación del sistema. 27
4.3 Implementación de la defensa. 29
4.4 Diseño de los experimentos. 31
4.4.1 Experimento 1: Protección del MTD ante escaneo. 31
4.4.1.1 Diseño Estadístico. 31
4.4.1.1.1 Unidad Experimental. 31
4.4.1.1.2 Aleatorización de las ejecuciones 31
4.4.1.1.3 Modelo Estadístico / Modelo Empírico. 31
4.4.1.1.4 Hipótesis Estadística. 32
4.4.2 Experimento 2: Efecto del MTD en la latencia de respuesta. 33
4.4.2.1 Diseño estadístico. 33
4.4.2.1.1 Unidad experimental. 33
4.4.2.1.2 Aleatorización de las ejecuciones. 33
4.4.2.1.3 Modelo Estadístico. 33
4.4.2.1.4 Hipótesis estadística. 34
Capítulo 5 35
Resultados y análisis 35
5.1 Experimento 1: Potencial de protección del MTD ante escaneo. 36
5.1.1 Variable de Respuesta. 37
5.1.2 Factores de Diseño. 37
5.1.3 Resultados y análisis de la ejecución del experimento. 38
5.2 Experimento 2: Impacto del MTD en la latencia de respuesta. 46
5.2.1 Variable de respuesta. 46
5.2.2 Factores de diseño. 47
5.2.3 Resultados y análisis de la ejecución del experimento. 47
5.3 Funcionalidad y Seguridad. 56
Capítulo 6 57
Conclusiones y trabajo futuro. 57
6.1 Conclusiones. 57
6.1.1 Contribuciones. 58
6.3 Trabajo Futuro. 58
7. Referencias 59
4
8. Anexos 61
8.1 Anexos Experimento 1: Potencial de protección del MTD ante escaneo. 62
8.2 Anexos Experimento 2: Impacto del MTD en la latencia de respuesta. 68
Índice de Figuras
Figura 1. Arquitectura general SDN. 13
Figura 2. Especificación de OFS. [6] 14
Figura 3. Estructura de un flow [6]. 15
Figura 4. Virtualización de funciones de red (NFV). 16
Figura 5. Redes virtuales. 17
Figura 6. Implementación de Mininet en Linux. 18
Figura 7. Escaneo de puertos utilizando paquetes TCP SYN. 19
Figura 8. Panel general de Performance Analysis Reference. 22
Figura 9. Descripción de proceso de MTD de modificación IP. 26
Figura 10. Ejemplo de cómo las mIP aparecen como clientes nuevos. 26
Figura 11. Implementación de arquitectura SDN con MTD basado en modificación IP. 27
Figura 12. Unidad de experimentación. 28
Figura 13. Proceso modificación IP. 29
Figura 14. Simulación de ataque y recolección de datos. 36
Figura 15. Gráfico de cajas para el factor de intervalo de modificación IP. 39
Figura 16. Gráfico de cajas para el factor de tamaño de red protegida. 40
Figura 17. Medias de intervalo de modificación IP versus variable de respuesta. 40
Figura 18. Medias de tamaño de red protegida versus variable de respuesta. 41
Figura 19. Comparación par-a-par de medias del número de éxitos para el factor tamaño de red
protegida usando Tukey. 43
Figura 20. Comparación par-a-par de medias del número de éxitos para el factor tamaño de red
protegida usando Fisher. 43
Figura 21. Comparación par-a-par de medias de la latencia percibida por el usuario para la
interacción de factores usando Fisher. 44
Figura 22. Gráficos de interacción para los factores versus variable de respuesta. 45
Figura 23. Simulación de desempeño y recolección de datos. 46
Figura 24. Gráfico de cajas para el factor de intervalo de modificación IP. 48
Figura 25. Gráfico de cajas para el factor de número de usuarios protegidos. 49
Figura 26. Medias de intervalo de modificación IP versus variable de respuesta. 50
Figura 27. Medias de número de usuarios protegidos versus variable de respuesta. 50
Figura 28. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor intervalo de modificación IP usando Tukey. Error! Bookmark not defined.
Figura 29. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor intervalo de modificación IP usando Fisher. 52
Figura 30. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor número de usuarios protegidos usando Tukey. 53
5
Figura 31. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor número de usuarios protegidos usando Fisher. 53
Figura 32. Comparación par-a-par de medias de la latencia percibida por el usuario para la
interacción de factores usando Fisher. 54
Figura 33. Gráficos de interacción para los factores versus variable de respuesta. 55
Figura 34. Gráfico de probabilidad normal de los residuos. 62
Figura 35. Residuos versus el orden de recopilación de datos. 63
Figura 36. Gráfico de residuos versus valores ajustados. 63
Figura 37. Residuos versus valor ajustado para factor intervalo de modificación IP. 64
Figura 38. Residuos versus valor ajustado para factor de tamaño de red protegida. 64
Figura 39. Prueba de igualdad de varianzas. 65
Figura 40. Comparación par-a-par de medias del número de éxitos para el factor intervalo de
modificación IP usando Tukey. 66
Figura 41. Comparación par-a-par de medias del número de éxitos para el factor intervalo de
modificación IP usando Fischer. 66
Figura 42. Análisis de medias y efectos. 67
Figura 43. Gráfico de probabilidad normal de los residuos. 68
Figura 44. Residuos versus el orden de recopilación de datos. 69
Figura 45. Gráfico de residuos versus valores ajustados. 69
Figura 46. Residuos versus valor ajustado para factor intervalo de modificación IP. 70
Figura 47. Residuos versus valor ajustado para factor número de usuarios protegidos. 70
Figura 48. Prueba de igualdad de varianzas. 71
Figura 49. Análisis de medias y efectos. 72
Índice de tablas
Tabla 1. Conjunto de datos del experimento 1. Cantidad de conexiones HTTP establecidas por
el atacante a clientes de la red protegida luego de un escaneo inicial. 38
Tabla 2. Análisis de varianza para el modelo de efectos de dos factores, intervalo de
modificación IP, tamaño de red protegida y su interacción. 41
Tabla 3. Conjunto de datos experimento 2. Latencia percibida por el usuario al cargar una
página web en milisegundos. 48
Tabla 4. Análisis de varianza para el modelo de efectos de dos factores, intervalo de
modificación IP, número de usuarios protegidos y su interacción. 51
6
Resumen
Tradicionalmente, las redes son implementadas con configuraciones estáticas. Esto es una
desventaja desde el punto de vista de seguridad ya que, si un atacante logra identificar la
superficie de ataque, por ejemplo, utilizando técnicas de escaneo, cuenta con tiempo infinito para
planificar un ataque. En este trabajo se implementó un sistema capaz de reducir el alcance de
los escaneos maliciosos, modificando frecuentemente las direcciones IP de los clientes. Se hizo
uso de técnicas de blanco de defensa móvil que permiten aumentar la diversidad del sistema
cambiando constantemente la superficie de ataque y de redes definidas por software que ofrecen
un punto centralizado de gestión para sincronizar la reconfiguración dinámica de direcciones IP
de forma transparente al usuario. Se plantearon dos experimentos con el objetivo de probar el
potencial de defensa y de evaluar el impacto en la eficiencia del sistema desde el punto de vista
del usuario final producto de la implementación de la defensa. Los resultados demuestran que la
defensa es efectiva para el modelo de ataque investigado y que el impacto en la eficiencia tiene
poco efecto en la experiencia de usuario.
Abstract
Traditionally, networks are developed using static configurations, which from a security
perspective, give an advantage to the attacker. After a successful identification of the attack
surface of a network, the time required to plan an attack is infinite due to the static nature of the
network. Mapping networks is a trivial task using easy available tools like network scanners. This
graduation project proposes a prototype defense system that reduces malign scanners accuracy
by constantly changing the IP addresses of protected hosts. The defense system is developed
using moving target defense techniques, which increase the diversity of the system by modifying
the IP headers of the hosts. The modification process is managed using SDN techniques, which
centralizes control and makes network communication transparent to users. Two frameworks
where propose to test its defense potential and to measure the impact on the efficiency of the
network from the user's perspective. Results show that defense system is effective against
malicious scans and the impact on the efficiency of the network has little effect on the user's
experience.
7
Capítulo 1
Introducción
Las redes tradicionales continúan siendo implementadas con configuraciones estáticas y canales
de comunicación predecibles [13]. Esto facilita la identificación de puntos de ataque en una red
al utilizar herramientas de escaneo. Un escaneo se encarga de identificar dispositivos y servicios
en una red y puede ser utilizado como etapa precursora a un ataque. Al completar un escaneo,
un atacante cuenta con tiempo infinito para explotar puntos vulnerables debido a la naturaleza
estática de la red. Aunque existen métodos para mitigar la fuga de información ante escaneos,
este es un problema que está lejos de resolverse.
Para este trabajo de investigación aplicada se hizo uso de defensas de blanco móvil (MTD, por
sus iniciales en inglés) y redes definidas por software (SDN, por sus iniciales en inglés), que en
conjunto permiten lograr un modelo de seguridad capaz de reducir el alcance de los escaneos
maliciosos, reconfigurando automáticamente las direcciones IP de los clientes.
El MTD aplica medidas proactivas de defensa para aumentar la seguridad del sistema. Al realizar
cambios en las configuraciones de red se introduce diversidad y contribuye a que los puntos de
ataque sean más difíciles de encontrar. A nivel de redes, un MTD puede utilizar técnicas como
la manipulación de paquetes TCP/UDP, asignación de rutas de transporte en forma aleatoria y
dinámica, entre otros.
La implementación de un MTD en redes tradicionales representa desafíos importantes debido al
control distribuido de los dispositivos. La reconfiguración en tiempo real de múltiples equipos en
un ambiente descentralizado y de manera colaborativa representa un desafío importante de
operación y mantenimiento.
Este problema se resuelve mediante el uso de SDN. SDN son redes que, al ofrecer un punto
centralizado de gestión, permite mantener el estado de los dispositivos en sincronía por medio
de un controlador lógico. En SDN, las políticas de tráfico son gestionadas desde un punto central,
por lo que la reconfiguración de dispositivos y modificación de paquetes ocurre en tiempo real y
sin intervención del usuario final. Al usar SDN es posible reconfigurar dinámicamente parámetros
de red, convirtiendo los dispositivos estáticos en blancos móviles, como medida de protección
8
ante un escaneo. Esto introduce incertidumbre en los resultados de un escaneo reduciendo su
efectividad y elevando el costo de realizar un ataque.
Durante dos cursos del programa de maestría se desarrolló un prototipo encargado únicamente
de modificar direcciones IP. De estos cursos surgió la necesidad de comprender mejor la defensa
ante el modelo propuesto. Fue necesario realizar modificaciones para obtener evidencia del
potencial de protección y lograr medir la eficiencia del sistema al implementar la defensa.
Se describe a continuación la descripción del problema, el modelo de amenaza, el modelo de
defensa, los objetivos, las hipótesis, el alcance y limitaciones, la justificación, y la organización
general del trabajo de investigación.
1.1 Descripción del problema.
Comúnmente, los ataques se lanzan con la condición previa de conocer la dirección IP del
objetivo [3]. Los sistemas que asignan direcciones IP estáticas a sus dispositivos pueden ser
fácilmente escaneados y mapeados. Como consecuencia, se puede tomar ventaja de un
ambiente de red fijo e identificar puntos específicos de la superficie de ataque. Generalmente,
las herramientas de escaneo envían sondas de prueba con el objetivo de descubrir
características de una red. Mediante un escaneo es posible identificar puntos de ataque como
dispositivos, servicios, aplicaciones y sus versiones, sistemas operativos, filtros o firewalls
activos, entre otros. El hecho de que las configuraciones IP sean estáticas, brinda a un atacante
tiempo infinito para analizar posibles vulnerabilidades a partir de la información recopilada en la
etapa de escaneo.
1.1.2 Modelo de amenaza.
El MTD propuesto abarca el modelo de amenaza según las siguientes características.
Equipo que será defendido:
● La defensa protege los clientes (equipos activos o servicios) de una intranet protegida
completa y que utiliza el protocolo IPv4.
● El direccionamiento IP de los clientes es estático.
● Los clientes de la red protegida exponen al menos un servicio TCP y responden a
solicitudes de ICMP Echo Request.
9
● Los clientes pueden iniciar comunicaciones con servicios al exterior de la intranet, y
pueden recibir conexiones desde redes externas.
El atacante:
● El atacante se ubica en una red externa a la protegida.
● El atacante tiene la posibilidad de mapear la intranet desde el exterior por medio de
escaneos basados en la generación de paquetes TCP/IP. Es posible identificar
características como dirección IP, versiones de software, rutas de transporte, entre otros.
● El atacante en un inicio desconoce las direcciones IP de los clientes de la red protegida
por lo que ejecuta un escaneo inicial para identificar el ambiente de red de su objetivo.
1.1.3 Modelo de defensa.
El MTD propuesto busca ofuscar usuarios activos y servicios de escaneos externos y hacer más
costoso el trabajo de los atacantes que intenta identificar la superficie de ataque. Esto
corresponde específicamente a la fase de reconocimiento de un ataque. Al producir cambios
constantemente, se reduce la oportunidad de encontrar y explotar las vulnerabilidades de un
sistema.
El modelo MTD consiste en asignar direcciones IP modificadas (mIP) al azar a cada cliente activo
mientras se mantiene el control de su asociación con la dirección IP estática real (rIP). Este
control se lleva a cabo de manera que el cambio en el direccionamiento de los clientes es
transparente al usuario.
La defensa se activa al iniciar o recibir una solicitud de conexión hacia una red externa. Los
encabezados IP de las respuestas de los usuarios son modificados para esconder su verdadero
origen, ocultando puntos de ataque y variando la superficie de ataque.
Al proponer un modelo de defensa se debe evaluar su funcionalidad y el costo adicional que se
introduce en el sistema donde es aplicado. Este trabajo busca evaluar estas dos condiciones
mediante experimentos prácticos.
10
1.2 Objetivos.
Los objetivos principales del trabajo son:
1. Mejorar la defensa de blanco móvil desarrollada en los cursos de laboratorio para proteger
una red de clientes estáticos, que utiliza técnicas de SDN para ocultar direcciones de las
máquinas potencialmente vulnerables.
2. Obtener evidencia sobre el potencial de protección del método para el modelo de ataque
investigado.
3. Evaluar el impacto en la eficiencia del sistema de la aplicación de la defensa.
1.2.1 Hipótesis.
Hipótesis 1: Se tiene como hipótesis que al utilizar un MTD basado en la modificación de
direcciones IP de clientes protegidos se disminuye el número de clientes identificados por
escáneres como Nmap en un periodo de tiempo determinado, a diferencia de un sistema
tradicional con direccionamiento estático y periodo infinito. Esto significa que la información
recolectada por el atacante durante la fase de escaneo es de poca utilidad al momento de
planificar un ataque sobre un periodo de tiempo determinado, mejorando la protección ante el
modelo de ataque investigado.
Hipótesis 2: Al utilizar un MTD basado en la modificación de direcciones IP aumenta la latencia
percibida por el usuario comparado al mismo sistema sin defensa, según la métrica de tiempo de
carga de páginas web, debido al uso adicional de recursos. Esto significa que al utilizar la defensa
el usuario experimenta un aumento en los tiempos de respuesta en sus tareas, como al solicitar
contenido de una red externa, impactando de forma negativa la eficiencia del sistema.
1.3 Alcance y limitaciones.
El sistema de defensa propuesto abarca únicamente intentos de escaneo originados desde una
fuente externa a la red protegida. Los usuarios de la red interna se comunican entre ellos
utilizando el direccionamiento IP original. Por ende, un ataque generado desde un equipo dentro
de la red local tendrá la capacidad de escanear todos los equipos activos.
11
1.4 Justificación.
Este trabajo se justifica en la necesidad de reducir las oportunidades de identificar un sistema
utilizando técnicas tradicionales, efectivas y de fácil acceso, como son los escáneres. El MTD
busca esconder los usuarios activos en una red de escáneres externos y distorsionar la superficie
de ataque, esto significa que la información recolectada en la fase de escaneo es de poca utilidad
y más costosa de analizar al planificar un ataque. Además, se analizarán las posibilidades de
integrar nuevas técnicas como MTD y SDN en una sola solución para resolver problemas de
seguridad, al aumentar el costo de mapear una red mientras se mantiene una percepción de
usuario adecuada.
1.5 Organización del trabajo de investigación.
El resto del documento se organiza de la siguiente forma: La sección 2 corresponde al marco
teórico donde se describen conceptos utilizados en el desarrollo de la investigación.
Seguidamente en la sección de antecedentes se menciona el trabajo previo realizado en el área
de SDN y MTD. En la sección 4 se presenta la metodología que describe el proceso de
implementación y diseño de los experimentos. En la sección 5 se presentan y analizan los
resultados obtenidos. Finalmente, se discuten las conclusiones y trabajo futuro en la sección 6.
12
Capítulo 2
Marco Teórico
En esta sección se describen los conceptos utilizados durante el desarrollo de la investigación.
Se discuten conceptos relacionados a SDN, MTD, ataques de escaneo y emulación de redes.
2.1 Redes definidas por software.
Redes definidas por software (SDN) puede definirse en dos características principales [16]. La
primera es separar el plano de control y de datos los cuales son tradicionalmente integrados. El
plano de control es el sistema que toma las decisiones de dónde se debe enviar el tráfico y el
plano de datos es el sistema encargado de reenviar el tráfico. La segunda característica es que
en SDN se consolida el plano de control de manera que un solo programa controla múltiples
elementos del plano de datos desde un punto común.
A diferencia de SDN, las redes IP tradicionales son complejas de mantener ya que dependen de
una configuración distribuida e independiente para cada uno de los dispositivos que las
componen. La integración del plano de control y datos en los dispositivos de red limita la
flexibilidad y evolución de las redes y no se adapta a las necesidades actuales. Este modelo ha
detenido la innovación, al incrementar la complejidad de las redes y aumentar los costos de
capital y operación [16]. Al separar la lógica del hardware, SDN permite que el consumidor
produzca su propio software de control, el cual se ejecuta de forma centralizada mediante el uso
de un sistema operativo de red. Esto logra que la lógica que gobierna una red sea agnóstica al
fabricante y que el usuario pueda crear aplicaciones de red independientes del hardware de
manera flexible y dinámica, similar a como se desarrollan aplicaciones para teléfonos
inteligentes.
SDN cuenta con el apoyo de la industria mediante la creación de consorcios como Open
Networking Foundation [18] y Open Networking Research Center [20]. Estas iniciativas están
respaldadas por grupos de grandes compañías de tecnologías de información a nivel mundial
como Google y Cisco.
13
En la figura 1 se muestra una estructura típica de SDN. Los dispositivos de transporte de datos
en la capa de infraestructura (ej. switches) son gestionados de manera centralizada por medio
de un controlador de red (capa de control o sistema operativo de red) utilizando protocolos
estándar como OpenFlow [18]. El controlador ejerce un control directo sobre los elementos que
componen el plano de datos por medio de una interface de aplicación (API) [2].
Figura 1. Arquitectura general SDN.
2.2 Openflow.
Openflow (OF) es un protocolo estándar que permite la programación remota del plano de datos
[18] [14]. OF es el protocolo de control más utilizado en SDN. La integración de OF en
arquitecturas SDN nació en el año 2007 gracias a proyectos predecesores como ForCES, SANE,
Ethane, 4D, entre otros, que abogaban por la separación del plano de datos y control [11]. El
plano de control hace uso de OF para programar el plano de datos y conocer su estado.
En la figura 2 se muestra la arquitectura de un switch OpenFlow (OFS). Un OFS se compone de
al menos tres partes: (1) tabla de flows, (2) un canal seguro para la conexión con el controlador
y (3) el protocolo OF que ofrece una interfaz abierta y estándar para que el controlador se
comunique con el switch [14].
14
Figura 2. Especificación de OFS. [6]
OF hace uso de reglas para el manejo de paquetes. Cada regla consiste de un patrón que se
compara contra los bits del encabezado de los paquetes. Cuando un paquete llega a un OFS el
tráfico se compara contra la tabla de reglas y se ejecutan acciones de reenvío de acuerdo a ellas.
La combinación de regla y acción es llamada flow. El controlador se encarga de enviar flows a
los switches, los cuales son instalados en la tabla de flows. Un flow se compone de varias
características de red, como direcciones IP o puertos. OF establece para cada entrada en la tabla
de flows tres elementos: regla, acción y estadísticas. Una vez que se recibe tráfico en los
switches, estos consultan la tabla de flows para decidir cómo manejar el flujo de datos. Si no
existe una coincidencia en la tabla de flows, el paquete es enviado al controlador quien instala
un flow en los switches correspondientes de acuerdo a las políticas programadas. Esto permite
que un equipo que soporta OF pueda comportarse como switch, router, firewall o en general
cualquier middlebox. En la figura 3 se muestra la estructura de un flow.
SDN en conjunto con OF ha sido utilizado para innovar en diferentes áreas como ingeniería de
tráfico, seguridad, virtualización de redes, etc. Fabricantes en la industria como HP y Cisco,
ofrecen switches comerciales que soportan OF. Las primeras implementaciones importantes de
manera comercial fueron creadas por Google [30] y Nicira [17] quién fue adquirida por VMWare.
15
Figura 3. Estructura de un flow [6].
2.3 Controlador.
Las redes actuales son gestionadas por medio de la configuración de componentes individuales.
Esto introduce complejidad en el mantenimiento y operación de redes. Un controlador es el
equivalente a un sistema operativo que provee una interface de programación centralizada para
toda la red. El controlador forma la capa de control como se muestra en la figura 2. El controlador
permite que las aplicaciones de red se ejecuten como programas de alto nivel en vez de
algoritmos distribuidos de bajo nivel, como se utiliza hoy en día [15]. Existen varios controladores
disponibles como Floodlight [25], NOX [15] o RYU [27].
2.4 Virtualización de redes y SDN.
Virtualización de funciones de red (NFV) abstrae la red de manera que desacoplada la red del
equipo físico que la soporta [16]. NFV permite abstraer y virtualizar cada una de las funciones de
red como se muestra en la figura 4.
16
Figura 4. Virtualización de funciones de red (NFV).
NFV busca usar tecnología de virtualización disponible en servidores estándar para consolidar
equipo de red lo cual ofrece ventajas como flexibilidad, reducción de consumo energético y
utilización de hardware estándar. Por ejemplo, es posible crear diferentes redes virtuales sobre
una misma infraestructura lo cual es equivalente a la creación de múltiples máquinas virtuales en
un mismo hardware como se muestra en la figura 5.
17
Figura 5. Redes virtuales.
El uso de NFV permite crear redes virtuales en las que se pueden evaluar y probar SDN’s. Un
ejemplo de esto es Mininet que permite desarrollar prototipos de redes grandes de manera rápida
en los recursos limitados de una computadora personal [28]. Mininet utiliza virtualización a nivel
de sistema operativo para crear los nodos que componen una red. Como se muestra en la figura
6, Mininet crea redes virtuales asignando los procesos de cada cliente a Linux namespaces y
conectando cada uno mediante pares ethernet virtuales (veth). Los clientes se conectan por
medio de un software switch como Open vSwitch (OVS). OVS son switches de código abierto
que se ejecutan a nivel de kernel de Linux y fueron diseñados para utilizarse en ambientes
virtuales [10].
18
Figura 6. Implementación de Mininet en Linux.
2.5 Herramientas de escaneo.
Un escaneo o reconocimiento de red consiste en enviar sondas de prueba con el objetivo de
determinar qué servicios (aplicación y versión) se encuentran activos y en qué dispositivos [5].
Un escaneo es la primera etapa de un intento de intrusión donde el atacante identifica de manera
remota puntos vulnerables de una red. Es posible determinar otras características como sistemas
operativos y sus versiones, firewalls y filtros, entre otros. Con el paso del tiempo los atacantes
han ido mejorando su habilidad de escanear redes utilizando mecanismos cada vez más
sofisticados como por ejemplo escaneos distribuidos. Los escaneos permiten al atacante
reconocer y definir la superficie de ataque. Luego de identificar las características de una red, el
atacante utiliza la información para investigar posibles debilidades y explotar vulnerabilidades.
19
2.5.1 NMAP.
Nmap es una herramienta gratuita y de código libre utilizada para descubrimiento de redes y
auditorias de seguridad [4]. Nmap fue diseñado para escanear grandes redes de forma rápida y
eficiente. Nmap permite identificar decenas de características de clientes y servicios disponibles
en una red.
2.5.2 Escaneo tipo TCP SYN.
Los puertos TCP/UDP reconocen aplicaciones específicas en una misma máquina como HTTP
o FTP. La opción TCP SYN es la más utilizada en escaneo de puertos TCP [5]. Un escaneo TCP
SYN típico se muestra en la figura 7. El escaneo funciona enviando paquetes de tipo SYN que
solicitan iniciar conexiones TCP y de acuerdo a las respuestas recibidas, el escáner clasifica los
resultados en tres estados: abierto, cerrado o filtrado. Una respuesta de tipo SYN/ACK contiene
el número de puerto si se encuentra abierto. Si se recibe un paquete RST se considera que
corresponde a un puerto cerrado. Si no se obtiene respuesta, el puerto es marcado como filtrado.
Este mecanismo es el más popular debido a que es rápido, cauteloso y discreto, ya que nunca
completa las conexiones. Además, tiene la ventaja de que los paquetes SYN son aceptados por
cualquier sistema que obedezca a una pila de TCP.
Figura 7. Escaneo de puertos utilizando paquetes TCP SYN.
2.5.3 Escaneo horizontal.
Un escaneo horizontal se define como un escaneo realizado desde una fuente común, dirigido a
múltiples máquinas y apuntando a un mismo puerto destino. En este caso el atacante busca
cualquier máquina que exponga un servicio específico ya que busca una vulnerabilidad en
particular [29].
20
2.6 Superficie de ataque.
La superficie de ataque es el subconjunto de recursos que un atacante puede utilizar para atacar
un sistema. El conjunto de entradas y salidas, canales e información vulnerable son los recursos
relevantes que conforman la superficie de ataque [24]. Entre estas características se encuentran
las direcciones IP, puertos, lenguaje de programación, etc. Se propone la definición de la
superficie de ataque como:
𝐸𝑠 = [𝑀, 𝐶, 𝐼]
Donde 𝑆 es un sistema en un ambiente 𝐸 que tiene una superficie de ataque que se compone de
𝑀, 𝐶 e 𝐼, donde 𝑀 es el conjunto de métodos de entrada y salida del sistema, 𝐶 es el conjunto
de canales utilizados por el atacante para conectarse e invocar métodos como puertos TCP e 𝐼
es el conjunto de información vulnerable (componentes de datos como archivos, bases de datos
o registros).
2.7 Defensas de blanco móvil.
Una defensa de blanco móvil (MTD) es una técnica de defensa basada en el uso de maniobras
que al ejecutarse alteran el medio ambiente con el objetivo de incrementar la seguridad de un
sistema [21]. Los MTD han emergido como una solución prometedora para mitigar las debilidades
de los sistemas de hoy en día al remover muchas de las oportunidades de ataque al explotar una
misma vulnerabilidad en máquinas similares. Las técnicas de blanco móvil son diseñadas para
crear incertidumbre a los atacantes y elevar el costo de atacar sistemas protegidos haciéndolos
menos homogéneos, estáticos y determinísticos [31]. Al realizar cambios en la superficie de
ataque es posible engañar, evitar y defender los sistemas de ataques. En [31] se identifican tres
desafíos principales de un MTD: (1) cobertura, que describe la superficie de ataque en
movimiento, (2) impredictibilidad, que se refiere al rango de movimiento y la oportunidad de que
un atacante prediga ese movimiento y (3) oportunidad, que se preocupa por aplicar el movimiento
entre el rango de la observación de un atacante y el tiempo en finalizar un ataque.
Técnicas de blanco móvil han sido sugeridas en diversas áreas como virtualización,
aleatorización de instrucciones y memoria, redes, entre otros. Desde el punto de vista de redes
en general, un MTD cambia constantemente la configuración de la red para incrementar la
dificultad de intrusión. [32] Identifica las redes dinámicas como una de las cinco categorías de
21
alto nivel en taxonomías de MTD. Las redes dinámicas se encargan de cambiar propiedades de
la red como protocolos o direcciones [23].
En SDN, el modelo de seguridad reside en el controlador, quien abstrae el estado actual de la
red inyectando adaptaciones de red aleatorias. El controlador además analiza datos y eventos
en tiempo real y es capaz de reaccionar ante amenazas. Se han propuesto técnicas MTD
basadas en SDN en áreas como reconocimiento de red, sistemas operativos, versión de servicios
y aleatorización de clientes y rutas.
2.8 Seguridad y desempeño.
Uno de los desafíos de introducir agilidad en un sistema es el costo [22]. Los sistemas MTD
introducen costos adicionales en los sistemas y en los usuarios que protegen por lo que el costo
de introducir movilidad debe ser razonable y permitir una operación adecuada de los sistemas.
Los costos se pueden manifestar por ejemplo en desempeño debido a la necesidad de utilizar
recursos adicionales o en disponibilidad debido a la reconfiguración del medio ambiente.
2.9 Latencia de respuesta percibida por el usuario.
La latencia de respuesta percibida por el usuario se define como la diferencia de tiempo entre la
solicitud del contenido y su presentación en el navegador del usuario [8]. Esta latencia involucra
3 componentes principales: latencia de red, latencia servidor y latencia del navegador. [8]
Muestra que tiempos de respuesta inferiores a 500 milisegundos no son percibidos por el usuario,
sin embargo, el usuario reconoce la latencia luego de 1000 milisegundos con muy alta
probabilidad. El estudio indica que la mayoría de usuarios no están dispuestos a esperar más de
2 segundos por información solicitada a la web.
2.9.1 Performance Analysis Reference.
Performance Analysis Reference [6] es una herramienta de Google Chrome para desarrolladores
con la cual se pueden tomar varias métricas que influyen directamente en la experiencia de
usuario. Chrome permite grabar y analizar todas las actividades de una aplicación mientras se
ejecuta. A través de un API se puede obtener información detallada de los tiempos de carga de
cada recurso servido por el navegador y obtener la métrica de latencia al solicitar contenido de
una página web. En la figura 8 se muestra el panel general.
23
Capítulo 3
Antecedentes
En esta sección se presentan trabajos de investigación que hacen uso de técnicas SDN y MTD
para la implementación del método de defensa y se ubican en la categoría de redes dinámicas.
[28] OpenFlow Random Host Mutation: Transparent Moving Target Defense using Software
Defined Networking describe cómo cambiar las direcciones IP puede esconder los clientes de
gusanos de propagación y escáneres tanto internos como externos. Se diferencia de este trabajo
en varios puntos. Adiciona en el modelo de ataque escáneres presentes en una red interna
además de escáneres externos. Extiende la cobertura de la defensa a propagación de gusanos
y otras técnicas de escaneo. Estudia la conectividad por medio de resolución de nombres
además de direcciones IP, utilizando servidores DNS en el modelo. Amplia los protocolos
soportados introduciendo la posibilidad de utilizar IPv6.
Sus objetivos principales son que el cambio de dirección IP sea transparente y que la frecuencia
de cambio sea altamente impredecible y veloz para maximizar la distorsión de un ataque.
El artículo establece que el método de defensa debe ser transparente y define un sistema
transparente como un sistema donde no se requiere modificar la configuración de
direccionamiento IP en el usuario protegido. Esto deja de lado otros factores que un usuario
puede percibir al activar la defensa, como por ejemplo el tiempo de ejecución de tareas. A
diferencia del artículo, en este trabajo de investigación aplicada, se toma en cuenta la experiencia
del usuario como parámetro de un sistema transparente.
En cuanto a la frecuencia de modificación IP esta se establece en base a dos objetivos. El primer
objetivo es definir el rango de direcciones IP que satisfagan un mínimo de frecuencia de cambio
para un número de clientes determinado. El segundo es maximizar la impredictibilidad y
frecuencia de cambio de acuerdo al requerimiento de cada subred. Con base en estos objetivos
establece el cambio de direcciones IP de forma adaptativa, según la característica de cada
subred. En este trabajo la frecuencia de cambio, tamaño de red y número de clientes protegidos
son definidos por el investigador de acuerdo al objetivo de cada experimento.
24
3.1 Trabajo relacionado.
En esta sección se presenta un resumen del trabajo relacionado al uso de MTD aplicado a redes
como método de defensa.
[26] Define un algoritmo de Random Route Mutation (RRM) el cual permite cambiar las rutas
entre fuente y destino de forma periódica y aleatoria. A diferencia de este trabajo de investigación
el objetivo de RRM es proteger ante ataques de intercepción pasiva y denegación de servicio. El
cambio de rutas no realiza ninguna modificación a la dirección IP de los clientes por lo que no es
funcional contra ataques de escaneo.
[12] Introduce Moving Target IPv6 Defense (MT6D) que esconde la asignación de direcciones
IPv6 mediante el uso de paquetes tunelizados. Al implementar el sistema en IPv6 se aprovecha
la ventaja del enorme espacio disponible para mover los clientes en una misma subred. Aparte
de movimiento, MT6D utiliza encriptación para prevenir ataques de hombre en el medio. Utiliza
túneles basados en la implementación IPSec presente en IPv6 y propone un paquete propietario
MT6D que se encarga de procesar autenticidad de los paquetes. El paquete incluye
identificadores de interfaz, llave secreta y nonce. MT6D opera a nivel de usuario por lo que tiene
desventaja en los recursos del sistema operativo y en consecuencia en el procesamiento de
paquetes.
[28] Busca desarrollar un método de defensa que funcione específicamente contra gusanos de
tipo “hitlist”. Este tipo de ataque de gusano tiene la característica de que utilizan para su
propagación listas prefabricadas de blancos vulnerables identificados por su dirección IP pública.
Esto les permite infectar miles de usuarios en cuestión de minutos. Network Address Space
Randomization (NASR) proponer utilizar DHCP Updates para forzar a los clientes a cambiar su
dirección IP pública frecuentemente. Al requerir aplicar cambios de direccionamiento por medio
de DHCP necesita cooperación y coordinación entre clientes finales, servidores, equipos,
proveedores y rutas de transporte a nivel global, lo cual no lo hace factible.
[7] Utiliza un hipervisor en cada nodo de la red introduciendo movimiento en el sistema. Self-
shielding Dynamic Network Architecture (SDNA) manipula los paquetes entre la red y sistema
operativo con el objetivo de esconder las direcciones de red del sistema operativo mientras
mantiene los servicios requeridos por los usuarios. Los autores utilizan mecanismos
criptográficos que validan la fuente de los paquetes y la conexión en combinación con
hipervisores sobre el protocolo IPv6.
25
Capítulo 4
Metodología
En esta sección se introduce con más detalle el modelo defensa. Se describe a profundidad la
implementación del sistema y la unidad de experimentación. Se muestra paso a paso el proceso
de modificación de direcciones IP. Se establece el diseño de los experimentos realizados para
alcanzar los objetivos y responder las hipótesis. Este trabajo de investigación aplicada se
compone de dos experimentos y se presentan en la sección de diseño de experimentos. El primer
experimento se encarga de obtener evidencia sobre el potencial de protección contra escaneos
al utilizar los resultados de un escaneo para lanzar un ataque e identificar el número de máquinas
alcanzadas. El segundo experimento busca evaluar el impacto en la eficiencia del sistema al
aplicar la defensa desde la perspectiva del usuario, utilizando como métrica el tiempo de carga
de una página web específica.
4.1 Implementación del modelo de defensa.
El MTD tiene la función de modificar los encabezados IP por medio de un controlador SDN que
realiza las traducciones entre direcciones IP modificadas y reales. Las direcciones IP reales son
modificadas utilizando las direcciones disponibles del mismo rango de subred. El número de
direcciones disponibles para ocultar los clientes es proporcional al número de direcciones
asignadas a los dispositivos reales. Por ejemplo, si se protege una subred con un bloque CIDR
de 254 direcciones utilizables y se asignan 10 de ellas de manera fija y estática a dispositivos
reales, se tendrán disponibles 244 direcciones para asignar por el MTD.
El proceso de modificación se describe en la figura 9. Primero, se crea una asociación entre la
dirección IP modificada (mIP) y la dirección IP real (rIP). El administrador define la frecuencia de
cambio en segundos y la re-utilización de mIP por medio de un parámetro de peso. Las mIP son
almacenadas y mapeadas a pesos con valores entre 0 y 5. Las direcciones modificadas con un
valor de 0 no son elegibles mientras que se da preferencia a las direcciones con pesos más altos,
esto evita que se utilicen las mismas direcciones modificadas en ciclos consecutivos.
26
Figura 9. Descripción de proceso de MTD de modificación IP.
Las mIP son elegidas al azar y son utilizadas para completar el diccionario en donde se mapea
y controla la correspondencia entre rIP ⇔ mIP.
Como se muestra en la figura 10, las diferentes respuestas fabricadas por el MTD actúan como
señuelos que provocan cambios en los resultados de cada escaneo y por ende el atacante
obtiene una superficie de ataque diferente en cada intento de reconocimiento. La defensa se
aplica a usuarios internos de la red protegida, al iniciar o recibir una solicitud de conexión hacia
una red externa. El controlador tiene la tarea de monitorear constantemente el tráfico en la red y
se encarga de orquestar la modificación de las direcciones IP de los clientes. Al recibir una nueva
conexión, la solicitud es enviada al controlador por el switch que la recibe. Luego, el controlador
clasifica el tráfico e instala las reglas de reenvío correspondientes. El flow determina los
parámetros de la modificación IP que se utilizan en cada sesión.
Figura 10. Ejemplo de cómo las mIP aparecen como clientes nuevos.
27
4.2 Implementación del sistema.
En la figura 11 se muestra la arquitectura SDN del ambiente de pruebas que soporta el MTD para
modificación de direcciones IP. El MTD comunica los mensajes correspondientes por medio del
controlador. El controlador hace uso de OpenFlow para la orquestación de las funciones de los
switches OVS.
En la figura 12 se muestra la unidad de experimentación. Se creó una red virtual en Mininet
versión 2.2.1, con switches OVS versión 2.3.1 como equipo de infraestructura, la cual es
gestionada por el controlador Ryu versión 3.20.2 a través del protocolo OpenFlow versión 1.3. El
ambiente de pruebas se ejecutó sobre el sistema operativo Ubuntu 16.04 de arquitectura de 64
bits, con un procesador Intel Core [email protected].
Figura 11. Implementación de arquitectura SDN con MTD basado en modificación IP.
28
Por medio de Mininet se establecen las características de la topología de trabajo según
requerimientos del experimento. Cada conexión entre equipos tiene un ancho de banda virtual
de 1 Gbps. Se utilizó la función de Mininet pingAll() que realiza un ping entre cada par de nodos
para verificar conectividad. Cada cliente en la red protegida se instala con un servicio HTTP
disponible en el puerto 80, el cual representa una oportunidad de ataque. Se verifica la
disponibilidad del servicio a la máquina del atacante realizando una solicitud de tipo HTTP hacia
cada uno de los clientes de la red protegida.
Figura 12. Unidad de experimentación.
La aplicación MTD se desarrolló utilizando el controlador SDN Ryu. Ryu ofrece el sistema
operativo de red donde se manejan los cambios de direccionamiento IP de acuerdo a las políticas
de control establecidas por el programa. Ryu comunica las políticas de transporte a los switches
por medio de OF de forma sincrónica y dinámica utilizando flows. Los OFS se encargan de la
traducción rIP ⇔ mIP de acuerdo a las instrucciones recibidas por el controlador.
29
4.3 Implementación de la defensa.
El proceso de comunicación se muestra en la figura 13 y se describe a continuación.
Figura 13. Proceso modificación IP.
1 - Se inicia la comunicación por parte de un usuario de una red externa hacia la red protegida.
2 - Cuando el switch OVS recibe un paquete que no coincide con ningún flow en la tabla, envía
el tráfico al controlador.
3 - El MTD analiza el tráfico para habilitar la conexión de acuerdo a las políticas de acceso
programadas. La fuente de direcciones de IP para crear mIP es obtenida a partir de la selección
aleatoria sobre el rango no utilizado de una subred elegida, por lo tanto, las rIP y mIP comparten
el mismo bloque IP. Las mIP son reservadas a los clientes en diferentes intervalos de tiempo
constantes (ej. cada 10 segundos). A cada host se le asigna una nueva mIP después de cada
intervalo de modificación. Las conexiones activas deben mantenerse funcionales inclusive si
ocurre una modificación por lo que los flows se eliminan una vez se finalice la sesión. Para
30
garantizar la comunicación entre usuarios, cada conexión debe ser única debido al mapeo entre
rIP ⇔ mIP. La asignación de mIP tiene dos restricciones importantes: no puede asignarse una
mIP en un mismo intervalo de tiempo a más de un cliente y una misma mIP no puede ser
asignada en ciclos consecutivos a cualquier cliente. El controlador se encarga de asignar las mIP
a cada host y de mantener el control de las traducciones rIP ⇔ mIP.
4 - El controlador Ryu envía los flows a los switches virtuales OVS de acuerdo a las políticas de
transporte por medio de OpenFlow. Los switches son los encargados de modificar los
encabezados IP y del envío de paquetes. La modificación de direcciones IP funciona de forma
transparente para el usuario ya que no se realiza ninguna configuración en el equipo final.
5 - El cliente recibe el paquete del remitente sin modificar. Cuando el OVS recibe la respuesta
del cliente, revisa nuevamente la tabla de flows y aplica la política de modificación según
corresponda.
6 - Se envía el paquete con su encabezado IP modificado con destino a la red externa.
7 - El remitente obtiene la respuesta del usuario de la red protegida con una mIP como fuente.
Las conexiones externas se mantienen activas mientras exista un flow en la tabla de los switches.
Si una conexión se finaliza, el flow es eliminado del switch y cada nueva solicitud será dirigida al
controlador, quien instalará un nuevo flow y continuará con el proceso.
Al concluir con éxito las mejoras sobre el prototipo desarrollado en cursos de maestría y lograr la
implementación completa de un sistema que implementa técnicas de SDN y defensa de blanco
móvil para ocultar las direcciones IP de máquinas potencialmente vulnerables, se cumple con el
objetivo número uno del trabajo de investigación aplicada.
31
4.4 Diseño de los experimentos.
En esta sección se presentan los experimentos estudiados para alcanzar los objetivos del trabajo
de investigación.
4.4.1 Experimento 1: Protección del MTD ante escaneo.
En el primer experimento “Protección del MTD ante escaneo”, tiene el objetivo de cuantificar el
potencial de protección contra escaneos, al utilizar los resultados de un escaneo para lanzar un
ataque e identificar el número de máquinas alcanzadas generando evidencia sobre el potencial
de protección de acuerdo al objetivo número dos además de generar datos para evaluar la
hipótesis uno. El experimento simula un escaneo inicial de un atacante apuntando al puerto 80
de los clientes protegidos (abiertos por defecto durante el experimento) y se confecciona una
lista de blancos potenciales. A partir de la lista, se realiza una solicitud HTTP a cada uno de los
clientes marcados como disponibles. El número de respuestas HTTP será el indicador de un
ataque exitoso.
4.4.1.1 Diseño Estadístico.
En esta sección se presenta el diseño estadístico correspondiente al experimento 1.
4.4.1.1.1 Unidad Experimental.
La unidad experimental corresponde a la red que contiene los usuarios y servicios donde se
aplican los tratamientos y está descrita en la figura 12. Durante este experimento se mantendrán
100 usuarios protegidos.
4.4.1.1.2 Aleatorización de las ejecuciones
Por cada una de las combinaciones, entre factores y sus respectivos niveles, se tomaron datos
en orden aleatorio para un total de 36 muestras. En la sección 8.1 de anexos se encuentra el
orden de corridas utilizado. Una corrida corresponde a la ejecución del ataque sobre el sistema
(configurado con los niveles de los factores correspondientes) por la duración del escaneo.
4.4.1.1.3 Modelo Estadístico / Modelo Empírico.
En la ecuación 1 se representa el modelo sobre la relación cuantitativa entre la variable de
respuesta y los factores de diseño. Se utilizará un diseño factorial completo de dos factores, cada
32
uno con tres niveles, con un modelo de efectos para medir el efecto de la defensa en los
resultados de los escaneos al activar el MTD. El interés es identificar cuales factores y
combinaciones marcan la diferencia y estimar la magnitud en el cambio de la variable de
respuesta. El modelo estadístico se describe a continuación:
𝑦𝑖𝑗𝑘 = 𝜇 + 𝜏𝑖 + 𝛽𝑗 + (𝜏𝛽)𝑖𝑗 + 𝜖𝑖𝑗𝑘 (1)
𝑖 = 1,5,10: niveles del factor intervalo de modificación IP.
𝑗 = 128,256,1024: niveles del factor tamaño de red protegida.
𝑘 = 4: representa el número de réplicas para cada combinación de niveles del factor
𝑦𝑖𝑗𝑘: representa la muestra de la variable de respuesta con el valor 𝑖 del factor intervalo, el nivel
𝑗 del factor tamaño, y la réplica𝑘de esa combinación de niveles).
𝜇: corresponde a la media global de la variable de respuesta.
𝜏𝑖: efecto del factor intervalo de modificación IP evaluado en los niveles de 1, 5 y 10.
𝛽𝑗: efecto del factor tamaño de red protegida evaluado los niveles 128, 256 y 1024.
(𝜏𝛽)𝑖𝑗: Efecto de la interacción entre los factores.
𝜖𝑖𝑗𝑘: representa el error aleatorio correspondiente a esta muestra.
4.4.1.1.4 Hipótesis Estadística.
Las hipótesis estadísticas correspondientes al modelo estadístico se describen a continuación.
En cuanto al factor intervalo de modificación IP, la hipótesis nula es que no hay efecto al aplicar
cada uno de los niveles (todos los promedios son iguales a 0), y la hipótesis alternativa es que
al menos un nivel tiene efecto.
𝐻0: 𝜏1 = 𝜏5 = 𝜏10 = 0
𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝜏𝑖 ≠ 0
Para el factor tamaño de red protegida, la hipótesis nula es que no hay efecto al aplicar cada uno
de los niveles, y la alternativa es que al menos un nivel tiene efecto.
𝐻0: 𝛽128 = 𝛽256 = 𝛽1024 = 0
𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝛽𝑗 ≠ 0
Adicionalmente, se prueba la interacción de los tratamientos, donde la hipótesis nula es que
ninguna interacción tiene efecto, y la alternativa es que al menos una de las interacciones lo
tiene.
𝐻0: (𝜏𝛽)𝑖𝑗 = 0, 𝑝𝑎𝑟𝑎 𝑡𝑜𝑑𝑜 𝑖, 𝑗
𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 (𝜏𝛽)𝑖𝑗 ≠ 0
33
4.4.2 Experimento 2: Efecto del MTD en la latencia de respuesta.
En el segundo experimento, “Efecto del MTD en la latencia de respuesta”, evalúa el impacto en
la eficiencia del sistema al aplicar la defensa de acuerdo al objetivo número tres y busca evaluar
la hipótesis dos. La eficiencia se evalúa desde la perspectiva del usuario, utilizando como métrica
el tiempo de carga de una página web específica externa a la red protegida. La página web puede
ser accedida por cualquier cliente de la red protegida. Se utilizó la herramienta “Performance
Analysis Reference” de Google Chrome para medir el tiempo de carga de las solicitudes por parte
de los clientes a la página web de prueba.
4.4.2.1 Diseño estadístico.
En esta sección se presenta el diseño estadístico correspondiente al experimento 2.
4.4.2.1.1 Unidad experimental.
La unidad experimental corresponde a la red que contiene los usuarios y servicios donde se
aplican los tratamientos y está descrita en la figura 12.
4.4.2.1.2 Aleatorización de las ejecuciones.
Por cada una de las combinaciones, entre factores y sus respectivos niveles, se tomaron datos
en orden aleatorio para un total de 36 muestras. En el anexo 8.2 se encuentra el orden de corridas
utilizado. Una corrida corresponde a la finalización de la solicitud HTTP por parte del cliente
protegido a la página de prueba externa (configurado con los niveles de los factores
correspondientes) por la duración desde que inició la solicitud hasta recibir el último byte del
contenido.
4.4.2.1.3 Modelo Estadístico.
En la ecuación 2 se representa el modelo de la relación cuantitativa entre la variable de respuesta
y los factores de diseño. Se utilizará un diseño factorial completo de dos factores, cada uno con
tres niveles para medir el efecto que tiene la defensa en la eficiencia del sistema. Se busca lograr
identificar los factores que tienen un efecto particular en el sistema y su interacción. El modelo
estadístico se describe a continuación:
𝑦𝑖𝑗𝑘 = 𝜇 + 𝜏𝑖 + 𝛽𝑗 + (𝜏𝛽)𝑖𝑗 + 𝜖𝑖𝑗𝑘 (2)
34
𝑖 = 0,1,5: niveles del factor intervalo de modificación IP.
𝑗 = 10,50,100: número de usuarios protegidos.
𝑘 = 4: representa el número de réplicas para cada combinación de niveles del factor).
𝑦𝑖𝑗𝑘: representa la muestra de la variable de respuesta con el valor 𝑖 del factor intervalo de
modificación IP, el nivel 𝑗 del factor número de usuarios protegidos, y la réplica𝑘de esa
combinación de niveles).
𝜇: corresponde a la media global de la variable de respuesta.
𝜏𝑖: efecto del factor intervalo de modificación IP evaluado en los niveles de 0, 1 y 5.
𝛽𝑗: efecto del factor tamaño de red protegida evaluado los niveles 10, 50 y 100.
(𝜏𝛽)𝑖𝑗: efecto de la interacción entre los factores.
𝜖𝑖𝑗𝑘: representa el error aleatorio correspondiente a esta muestra.
4.4.2.1.4 Hipótesis estadística.
La hipótesis estadística correspondiente al modelo estadístico se describe a continuación.
En cuanto al factor intervalo de modificación IP, la hipótesis nula es que no hay efecto al aplicar
cada uno de los niveles (todos los promedios son iguales a 0), y la hipótesis alternativa es que
al menos un nivel tiene efecto.
𝐻0: 𝜏0 = 𝜏1 = 𝜏5 = 0
𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝜏𝑖 ≠ 0
Para el factor número de usuarios protegidos, la hipótesis nula es que no hay efecto al aplicar
cada uno de los niveles, y la alternativa es que al menos un nivel tiene efecto.
𝐻0: 𝛽10 = 𝛽50 = 𝛽100 = 0
𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 𝛽𝑗 ≠ 0
Adicionalmente se prueba la interacción de los tratamientos, donde la hipótesis nula es que
ninguna interacción tiene efecto, y la alternativa es que al menos una de las interacciones lo
tiene.
𝐻0: (𝜏𝛽)𝑖𝑗 = 0, 𝑝𝑎𝑟𝑎 𝑡𝑜𝑑𝑜 𝑖, 𝑗
𝐻1: 𝑎𝑙 𝑚𝑒𝑛𝑜𝑠 𝑢𝑛 (𝜏𝛽)𝑖𝑗 ≠ 0
Para facilitar la lectura del documento y lograr mayor claridad sobre el detalle de los datos y
observaciones, se presenta el diseño completo de cada experimento junto con sus respectivos
resultados y análisis directamente en el siguiente capítulo “Resultados y análisis”.
35
Capítulo 5
Resultados y análisis
En esta sección se presentan en detalle los dos experimentos que componen este trabajo de
investigación aplicada. Cada experimento se compone de reconocimiento y definición del
problema, selección de variable de respuesta, selección de factores con niveles y rangos, diseño
experimental seleccionado y por último resultados y análisis de los datos.
Se presentan los resultados en un gráfico de cajas. Los gráficos de cajas muestran un resumen
de la distribución de los datos con la información del mínimo, máximo, los percentiles 25 y 75 y
la mediana en una sola gráfica. Los gráficos de cajas permiten entender y comparar la
distribución de las muestras mediante estadística descriptiva.
Se presentan diagramas de media de factores los cuales ofrecen una comparación entre las
medias de los factores y cada uno de sus niveles. Las medias permiten visualizar cómo afecta
cada uno de los factores y sus niveles la variable de respuesta.
Se presentan las gráficas de interacción las cuales ofrecen una comparación entre las medias
de los factores y cada uno de sus niveles. Estas gráficas muestran cómo la relación entre un
factor y una respuesta depende del valor de un segundo factor. Cuando las líneas son paralelas
quiere decir que no hay interacción y cuando las líneas no son paralelas es un indicador de
interacción. Entre menos paralelas sean las líneas, mayor es la interacción.
Se utilizará un análisis de varianza o ANOVA el cual es un procedimiento que utiliza las varianzas
para determinar si las medias de los tratamientos son diferentes entre sí. Al comparar la varianza
entre la media de los grupos contra la varianza entre grupos se puede determinar si los grupos
son parte de una sola población o poblaciones distintas con diferentes características. Para esto
se analizan los supuestos de normalidad e independencia que permiten aplicar el análisis de
varianza para el modelo de efectos seleccionado. La tabla de análisis de varianza permite evaluar
la significancia estadística al observar cada uno de los efectos y los valores reportados.
Se muestran gráficas de análisis de medias como apoyo gráfico del ANOVA, con las que se
prueba la igualdad de las medias poblacionales. Estos gráficos presentan las medias de los
niveles de los factores, la media general y los límites de decisión. Si el resultado muestra algún
36
dato fuera de los límites de decisión, es evidencia de que la media de los niveles
correspondientes al factor en estudio es significativamente diferente de la media general. La
gráfica superior muestra que los efectos de interacción y los límites de decisión. Las dos gráficas
de la parte inferior muestran las medias de los niveles de los dos factores y muestra el efecto
principal como la diferencia entre la media y la línea central.
A continuación, se presentan las condiciones y parámetros de cada experimento iniciando con la
variable de respuesta y los factores de diseño. Luego se presenta el diseño estadístico completo
y por último los resultados y análisis de la ejecución del experimento. En la sección 5.1 se
presenta en detalle el experimento 1 que estudia el potencial de protección del método para el
modelo de ataque investigado. Seguidamente, en la sección 5.2 se muestra en detalle el
experimento 2 que estudia el impacto del MTD en la latencia de respuesta
5.1 Experimento 1: Potencial de protección del MTD ante escaneo.
En este experimento se busca obtener evidencia sobre el potencial de protección del MTD para
el modelo de ataque investigado de acuerdo al objetivo número dos “Obtener evidencia sobre el
potencial de protección del método para el modelo de ataque investigado” y evaluar la hipótesis
uno “se tiene como hipótesis que al utilizar un MTD basado en la modificación de direcciones IP
de clientes protegidos se disminuye el número de clientes identificados por escáneres como
Nmap en un periodo de tiempo determinado, a diferencia de un sistema tradicional con
direccionamiento estático y periodo infinito”. El experimento comienza simulando un escaneo
inicial de un atacante utilizando la opción de TCP SYN de forma horizontal apuntando al puerto
80 de los clientes protegidos. Una vez que se obtienen los resultados, se hace una solicitud HTTP
a cada uno de los clientes marcados como disponibles por el resultado del escaneo inicial. El
número de respuestas HTTP será el indicador de un ataque exitoso. El proceso de simulación
de un ataque y la recopilación de los datos se describe en la figura 14.
Figura 14. Simulación de ataque y recolección de datos.
37
5.1.1 Variable de Respuesta.
Se eligió como variable de respuesta la cantidad de conexiones HTTP establecidas por el
atacante a clientes de la red protegida luego de un escaneo inicial y será referenciada como
“número de éxitos” (del atacante). Una conexión HTTP exitosa provee información acerca de la
habilidad de un atacante de hacer efectivo los datos recopilados por el escaneo inicial. Esta
variable de respuesta representa que el atacante logró utilizar la información obtenida de la fase
de reconocimiento para interactuar con servicios de la red protegida. El número de éxitos busca
comprobar la hipótesis de que al utilizar un MTD basado en la modificación de direcciones IP de
clientes protegidos se disminuye el número de clientes identificados correctamente por
escáneres como Nmap, a diferencia de un sistema tradicional con direccionamiento estático. Se
busca que este valor sea lo más pequeño posible (idealmente 0).
El proceso de recolección de la variable de respuesta inicia con la activación del MTD en la red.
En la fase 1 del ataque se realiza un escaneo inicial desde el equipo atacante y se almacenan
los resultados. Estos resultados alimentan una lista de blancos potenciales a utilizar por el
atacante. En la fase 2 se simula un ataque realizando solicitudes al servidor HTTP de cada
servidor potencial obtenidos en la primera fase. Cada respuesta HTTP que obtenga el atacante
será un indicador de un ataque exitoso.
5.1.2 Factores de Diseño.
Se eligieron dos factores de diseño: el intervalo de modificación IP y el tamaño de red protegida.
El intervalo de modificación IP es el intervalo de tiempo en segundos que un cliente mantiene su
mIP sin alterar. Este factor fue elegido debido a que la frecuencia en que ocurre la modificación
IP afecta directamente el escaneo, ya que entre más baja sea la frecuencia de cambio, más
tiempo le son útiles los resultados del escáner a un atacante. Los niveles de este factor son de
tipo discreto y se ajustan al valor deseado por el administrador del programa MTD. Su rango de
operación es tiempo en segundos, con un caso especial de “0”, que corresponde a “no cambia”,
o una cantidad muy grande de tiempo. En realidad, este valor sirve para comparar la situación
en que la defensa no está operando. Al inicio se evaluarán únicamente los tres niveles de defensa
activa entre sí: 1, 5 y 10 segundos. Se escogieron los niveles considerando que el tiempo de
escaneo aproximado para una red de 1024 direcciones IP toma en promedio menos de 10
segundos. Este dato fue obtenido a través de una serie de pre-experimentos. El objetivo es
38
comparar los resultados si el intervalo de modificación es similar al tiempo de escaneo (10
segundos) o menor (1 y 5 segundos).
El factor tamaño de red protegida representa la cantidad de direcciones IP que conforman la red
protegida, incluyendo las direcciones reales y las direcciones disponibles para utilizar en el
proceso de modificación. La proporción entre el número real de máquinas y el tamaño de la red
protegida influye directamente en la diversidad del sistema. El tamaño total de la red protegida
es un factor de tipo discreto y es establecido en el código de Mininet y MTD por el administrador.
La cantidad de equipos reales es fija, y corresponde a 100 IP’s. Se utilizaron 3 tamaños de red:
128, 256 y 1024. Conforme más grande la red, tanto menos probable es que los ataques tengan
éxito, dado que la proporción de números reales entre números disponibles se vuelve más
pequeña. Para cada combinación de niveles de los factores de diseño, se realizaron 4 réplicas.
5.1.3 Resultados y análisis de la ejecución del experimento.
En este experimento se buscaba cumplir con el objetivo dos del trabajo “Obtener evidencia sobre
el potencial de protección del método para el modelo de ataque investigado” y responder a la
hipótesis uno “Se tiene como hipótesis que al utilizar un MTD basado en la modificación de
direcciones IP de clientes protegidos se disminuye el número de clientes identificados por
escáneres como Nmap en un periodo de tiempo determinado, a diferencia de un sistema
tradicional con direccionamiento estático y periodo infinito”. Además, se buscaba identificar
posibles combinaciones de tratamientos que produjeran efectos en los resultados de escaneo y
estudiar su interacción. En la tabla 1 se presenta el resultado de la recolección de muestras.
Tabla 1. Conjunto de datos obtenidos en el experimento 1. En las celdas internas, se despliega la cantidad de conexiones HTTP establecidas por el atacante a clientes de la red protegida luego de un escaneo inicial.
Tamaño Red Protegida.
Intervalo de Modificación
IP 128 256 1024
1 27 26 10 14 0 0
25 26 20 9 1 0
5 24 27 13 18 3 3
27 28 10 17 3 7
10 25 24 22 13 3 2
21 26 24 29 0 3
39
En las figuras 15 y 16 se presentan los gráficos de cajas para los factores de intervalo de
modificación IP y tamaño de red protegida.
Se puede observar que la mediana de número de éxitos aumenta conforme aumenta el intervalo
de modificación con valores de 12, 15 y 21.5. Esto da la impresión de que un intervalo de
modificación menor resulta en una mejor defensa reduciendo la cantidad de éxitos del atacante,
sin embargo, los rangos inter-cuartiles son similares en todos los niveles lo que sugiere que la
influencia del intervalo de modificación es poca. En general, los mínimos y máximos para el
intervalo de modificación son similares. Para todos los niveles de intervalo de modificación se
obtuvieron mínimos bastantes bajos, siendo el mínimo más alto igual a 3 éxitos y mínimos igual
a 0 éxitos en los niveles de 1 y 10 segundos, lo que sugiere que existe algún potencial de
protección para el modelo de ataque investigado.
Figura 15. Gráfico de cajas para el factor de intervalo de modificación IP.
En el caso del factor de tamaño de red protegida se observa que la mediana de éxitos disminuye
considerablemente conforme aumenta la cantidad de clientes disponibles para la modificación
IP. Los rangos inter-cuartiles sugieren que al existir una mayor diversidad en el sistema se reduce
la cantidad de ataques exitosos. El máximo número de éxitos fue de 29, lo que parece indicar
algún grado de protección al sistema, a pesar de utilizarse en situaciones con poco espacio para
generar diversidad como lo son los niveles de 128 y 256 clientes. Los resultados con más
beneficio para la defensa se obtuvieron al utilizar el factor de tamaño de red protegida con un
nivel de 1024, donde la mayor cantidad de éxitos para el atacante fue de 7 éxitos con una
mediana de 2.5 éxitos, lo cual sugiere un comportamiento esperado, de que al disminuir el valor
de la proporción entre usuarios reales y el tamaño de la red protegida mejora el potencial de
protección.
40
Figura 16. Gráfico de cajas para el factor de tamaño de red protegida.
En las figuras 17 y 18 se presenta la comparación de las medias de los factores contra la variable
de respuesta.
Figura 17. Medias de intervalo de modificación IP versus variable de respuesta.
La media de éxitos para los intervalos de modificación IP 1, 5, y 10 fue de 13.25, 15 y 16
respectivamente. Esto sugiere que no existe una gran diferencia entre los niveles de intervalo de
modificación IP. En cambio, las medias para los niveles de 128, 256 y 1024 fueron de 25.5, 16.58
y 2.17 respectivamente, lo cual sugiere que al utilizar un bloque de direcciones IP que permite
más opciones para aplicar la modificación IP, tiene un efecto considerable en el potencial de
protección.
41
Figura 18. Medias de tamaño de red protegida versus variable de respuesta.
Para confirmar los posibles efectos observados mediante estadística descriptiva es necesario
realizar un análisis de varianza y confirmar que las diferencias son en realidad significativas. Para
poder hacer uso del análisis de varianza se necesitan validar los siguientes supuestos: se
requiere que los residuos mantengan una distribución aproximadamente normal, la recopilación
de los datos debe ser aleatoria, los datos deben mostrar independencia, y debe existir igualdad
de varianzas. El cumplimiento de estos supuestos se detalla en la sección 8.1 de los anexos.
Se muestra el análisis de varianza correspondiente al experimento “Potencial de protección del
MTD ante escaneo” en la tabla 2.
Tabla 2. Análisis de varianza para el modelo de efectos de dos factores, intervalo de modificación IP, tamaño de red protegida y su interacción.
Factor Grados
de Libertad
Suma Cuadrados
Media de Cuadrados
Valor-F Valor-P
Intervalo Modificación IP 2 46.50 23.25 2.14 0.138
Tamaño Red Protegida 2 3327.17 1663.58 152.91 0.000
Intervalo Modificación IP * Tamaño Red Protegida
4 171.33 42.83 3.94 0.012
Error 27 293.75 10.88
Total 35 3838.75
𝑆 = 3.29843
𝑅2 = 92.35%
𝑅2𝑎𝑗𝑢𝑠𝑡𝑎𝑑𝑜 = 90.08%
42
En todos los casos, para la comprobación de las hipótesis estadísticas se usa 𝑎𝑙𝑓𝑎 = 0.5, pero
también se recurre al valor de P, que es calculado automáticamente por Minitab para ANOVA.
Haciendo uso de ANOVA se confirma que el efecto del factor intervalo de modificación IP es no
significativo, a pesar de lo que parecía sugerir la estadística descriptiva. El valor-F
correspondiente es igual a 2.14, pero 𝐹0.05,2,27 = 3.35. El factor de intervalo de modificación IP
muestra un valor P de 0.138, lo cual soporta la hipótesis nula. El valor-P mayor al nivel de
significancia no ofrece suficiente evidencia para concluir que la diferencia entre las medias de las
poblaciones es estadísticamente significativa e indica que no tiene un efecto significativo en la
defensa. Una posible explicación para este comportamiento es que el intervalo de modificación
tiene influencia en el número de éxitos cuando el cambio de dirección IP se realiza en el periodo
entre que el atacante realiza el escaneo y lanza el ataque y no necesariamente una alta
frecuencia de cambio se traduce en una mejor defensa.
En el caso del factor de red protegida, debido a que 𝐹0.05,2,27 = 3.35 se concluye que el efecto es
significativo ya que el valor-F es 152.91. El efecto es además muy pronunciado, ya que el valor
P es inferior a 10−4.
Para determinar cuáles niveles del factor tamaño de red protegida son diferentes entre sí, se
realizó una comparación par-a-par de los niveles utilizando Fisher y Tukey. Lo mismo se realizó
para las combinaciones de nivel de los factores. Aquellos intervalos de confianza que no incluyen
el cero, indican una diferencia significativa.
En las figuras 19 y 20 se muestran las gráficas de Tukey y Fisher para el factor de tamaño de
red protegida. Las figuras muestran que los intervalos de confianza no incluyen el cero, lo cual
indica una diferencia significativa en las medias para todos los niveles. Esto significa que se
pueden realizar afirmaciones sobre el efecto de este factor.
43
Figura 19. Comparación par-a-par de medias del número de éxitos para el factor tamaño de red
protegida usando Tukey.
Figura 20. Comparación par-a-par de medias del número de éxitos para el factor tamaño de
red protegida usando Fisher.
Para la interacción entre factores se tiene que 𝐹0.05,4,27 = 2.73 y el valor-F es de 3.94, por lo que
podemos concluir que existe interacción entre los factores. En otras palabras, el número de éxitos
para un nivel del intervalo de modificación IP depende del nivel tamaño de red protegida.
44
En la figura 21 se muestra la gráfica de Fisher para la interacción de los factores. Para el análisis
se utilizó también Tukey, sin embargo, no se muestra la gráfica debido a que se obtuvieron los
mismos resultados.
Las combinaciones que no tienen una diferencia significativa entre sí son (5-128, 1-128), (10-
128, 1-128), (10-128, 5-128), (10-256, 10-128), (10-256, 1-128), (10-256, 5-128), (5-256, 1-256),
(5-1024, 1-1024), (10-1024, 1-1024) y (10-1024, 5-1024).
Figura 21. Comparación par-a-par de medias de la latencia percibida por el usuario para la
interacción de factores usando Fisher.
No hubo una diferencia significativa entre la interacción de factores con un nivel de 128 como
tamaño de red protegida. La combinación de una frecuencia de cambio de 10 segundos junto
con una red protegida de 256 tuvo el mismo efecto que cualquier combinación de factores con
un tamaño de red protegida de 128. Para un tamaño de red protegida de 256 la única
combinación de intervalo de modificación IP con una diferencia de medias no significativa fue
45
para los valores de 1 y 5 segundos, ya que al utilizar 10 segundos no se ofrece una mejoría en
el potencial de defensa debido a que los resultados de las medias no son diferentes a un tamaño
de red de 128. Para un tamaño de red de 1024 las medias en general no son significativamente
diferentes los que indica que los niveles del intervalo de modificación no afectan la cantidad de
éxitos por parte del atacante.
En la figura 22 se muestran los gráficos de interacción entre los niveles de cada factor. En el
caso del factor tamaño de red protegida las líneas paralelas indican que no ocurre interacción.
En el caso de intervalo de modificación IP la gráfica muestra que existe interacción entre los
factores. Este efecto de interacción indica que la relación entre intervalo de modificación IP y
número de éxitos depende del valor asignado a tamaño de red protegida.
Figura 22. Gráficos de interacción para los factores versus variable de respuesta.
A partir de los factores estudiados y los resultados obtenidos podemos afirmar que se cumple la
hipótesis uno de la investigación ya que la defensa de blanco móvil disminuye el número de
clientes identificados por escáneres como Nmap en un periodo de tiempo determinado a
diferencia de un sistema tradicional con direccionamiento estático y, en consecuencia, la
información recolectada por el atacante durante la fase de reconocimiento es de poca utilidad al
momento de planificar un ataque. Adicionalmente se obtuvo evidencia sobre el potencial de
protección del método para el modelo de ataque investigado cumpliendo así con el objetivo
número dos del trabajo.
46
5.2 Experimento 2: Impacto del MTD en la latencia de respuesta.
Al introducir movilidad en un sistema se adicionan costos de forma inevitable. Este experimento
busca completar el objetivo número tres “Evaluar el impacto en la eficiencia del sistema de la
aplicación de la defensa” y responder a la hipótesis dos “Al utilizar un MTD basado en la
modificación de direcciones IP aumenta la latencia percibida por el usuario comparado al mismo
sistema sin defensa, según la métrica de tiempo de carga de páginas web, debido al uso adicional
de recursos”. Se tomará como métrica la latencia de respuesta percibida desde el punto de vista
de un usuario, que desde la red protegida accede a una página web de una red externa. En la
figura 23 describe el escenario de cómo se realiza la simulación donde un usuario de la red
protegida accesa un servidor web en una red externa.
Se habilitó un servidor Apache 1.0 en un cliente externo a la red protegida, donde se aloja una
página web utilizando el protocolo HTTP y puerto 80. El servicio puede ser accedido por cualquier
cliente de la red protegida. El navegador Google Chrome versión 62.0 está disponible para todos
los usuarios junto con las herramientas de desarrollador donde es posible observar y medir el
tiempo de carga de las solicitudes por parte de los clientes a la página web de prueba.
Figura 23. Simulación de desempeño y recolección de datos.
5.2.1 Variable de respuesta.
Como variable de respuesta se utilizó la medida de latencia percibida por el usuario. Esta variable
se obtiene de la herramienta de desarrolladores utilizando la métrica de “Performance” que se
define como el tiempo total desde el inicio de la solicitud hasta que se recibe el último byte
contenido en la respuesta. La variable es tipo discreto y es medida en milisegundos. Su rango
de operación es igual o mayor a cero milisegundos. Esta variable de respuesta provee
información importante acerca del efecto de la defensa en las tareas comunes del usuario. Se
47
considera que un tiempo menor de 500 milisegundos no es significante para los usuarios, pero
un tiempo mayor a 2 segundos provoca pérdida de atención y percepción de la tarea. Esta
variable de respuesta busca comprobar la hipótesis de que utilizar un MTD basado en la
modificación de direcciones IP se aumenta la latencia del sistema, por lo que disminuye la
usabilidad percibida por el usuario a diferencia de no utilizar el MTD.
5.2.2 Factores de diseño.
Se utilizarán los factores de diseño intervalo de modificación y número de usuarios protegidos.
Para el factor intervalo de modificación se eligieron los valores de 0, 1 y 5 segundos considerando
los siguientes motivos: evaluar el sistema sin defensa y con intervalos alrededor del tiempo
máximo antes de perder la atención de un usuario (2 segundos). El nivel de este factor es de tipo
discreto y se ajusta al valor deseado por el administrador del programa MTD. Su rango de
operación es cualquier tiempo en segundos incluido cero segundos. El nivel de cero segundos
establece que la defensa no se encuentra activa.
El factor de número de usuarios protegidos representa a los usuarios reales de la red protegida.
El número de usuarios influye directamente en la defensa ya que entre más usuarios protegidos
existan, mayor es la cantidad de flows que se instalan en la tabla de los switches. La cantidad de
flows afecta directamente la capacidad del sistema. También se tomó en cuenta las limitantes de
la unidad de experimentación y los recursos disponibles. El número de usuarios es de tipo
discreto mayor a cero y se establece por el administrador en el código de Mininet y MTD. Se
utilizaron 3 niveles de aplicación: 10, 50 y 100 usuarios protegidos.
5.2.3 Resultados y análisis de la ejecución del experimento.
En este experimento se buscaba cumplir con el objetivo tres “Evaluar el impacto en la eficiencia
del sistema de la aplicación de la defensa” y responder a la hipótesis dos “Al utilizar un MTD
basado en la modificación de direcciones IP aumenta la latencia percibida por el usuario
comparado al mismo sistema sin defensa, según la métrica de tiempo de carga de páginas web,
debido al uso adicional de recursos”. Además, se buscaba identificar posibles combinaciones de
tratamientos que produzcan efectos en los resultados de escaneo y estudiar su interacción.
En la tabla 3 se presenta el resultado de la recolección de muestras.
48
Tabla 3. Conjunto de datos experimento 2. Latencia percibida por el usuario al cargar una página web en milisegundos.
Número de Usuarios Protegidos
Intervalo de Modificación IP
10 50 100
0 175 212 196 236 233 235
231 222 223 230 188 234
1 180 187 276 200 288 427
224 211 175 246 433 478
5 219 183 226 203 322 353
208 190 210 207 241 375
En las figuras 24 y 25 se presentan los gráficos de cajas para los factores de intervalo de
modificación IP y número de usuarios protegidos.
Para el factor de intervalo de modificación IP, las medianas se mantienen con valores muy
similares. El valor máximo para el intervalo de modificación IP se registró en el nivel de 1
segundo. Este es un efecto esperado ya que aumenta la necesidad de recursos y modificar las
direcciones IP para reducir la oportunidad de ataque. Para el valor de 5 segundos se observa
una disminución en la latencia respecto a valor de 1 segundo. Este comportamiento sugiere que
la variable de respuesta se acerca cada más al valor esperado de no usar defensa o factor de 0
segundos, conforme aumenta el intervalo de modificación IP.
Figura 24. Gráfico de cajas para el factor de intervalo de modificación IP.
49
Para el factor de número de usuarios protegidos se muestra un aumento en la latencia de acuerdo
al número de usuarios protegidos. Este comportamiento sugiere que la cantidad de flows que
existen en los switches encargados de la traducción entre rIP y mIP tiene influencia en la
eficiencia del sistema. Un mayor número de usuarios, necesita un mayor número de flows para
la defensa provocando un aumento en el tamaño de la tabla de flows de los switches y elevando
la latencia. La latencia percibida por el usuario tiene un comportamiento similar en los niveles de
10 y 50 usuarios protegidos lo que puede ser un indicador de que cuando la defensa trabaja con
pocos usuarios, tiene poco impacto en la eficiencia del sistema.
Figura 25. Gráfico de cajas para el factor de número de usuarios protegidos.
En las figuras 26 y 27 se muestra una comparación entre las medias de los factores y sus niveles.
Las gráficas sugieren que ambos factores afectan el tiempo de carga de contenido solicitado al
exterior por los usuarios. El intervalo de modificación IP provoca una mayor latencia desde el
punto de vista de los usuarios comparado al sistema sin la defensa activa.
Conforme se aumentan los clientes protegidos el tiempo de carga es mayor, esto puede ser un
indicador de que la necesidad de aumentar la cantidad de flows requeridos por el proceso
aumenta la latencia del sistema.
50
Figura 26. Medias de intervalo de modificación IP versus variable de respuesta.
Figura 27. Medias de número de usuarios protegidos versus variable de respuesta.
Con el fin de confirmar los posibles efectos observados mediante estadística descriptiva es
necesario realizar un análisis de varianza y confirmar que las diferencias son en realidad
significativas. Para poder hacer uso del análisis de varianza se necesitan validar los siguientes
supuestos: se requiere que los datos sigan una distribución aproximadamente normal, la
recopilación de los datos debe ser aleatoria y que exista igualdad de varianzas. Estos supuestos
se detallan en la sección 8.2 de los anexos. En general, no se observa algún problema grave que
pueda tener un impacto severo en el análisis de resultados y conclusiones.
51
El análisis de varianza correspondiente al experimento “Efecto del MTD en la latencia de
respuesta” se muestra en la tabla 4.
Tabla 4. Análisis de varianza para el modelo de efectos de dos factores, intervalo de modificación IP, número de usuarios protegidos y su interacción.
Factor Grados de Libertad
Suma Cuadrados
Media de Cuadrados
Valor-F Valor-P
Intervalo Modificación IP 2 35487 17743 6.83 0.004
Número de Usuarios Protegidos
2 97402 48701 18.76 0.000
Intervalo Modificación IP * Número de Usuarios Protegidos
4 53599 13400 5.16 0.003
Error 27 70092 2596
Total 35 256580
𝑆 = 50.9510
𝑅2 = 72.68%
𝑅2𝑎𝑗𝑢𝑠𝑡𝑎𝑑𝑜 = 64.59%
En todos los casos, para la comprobación de las hipótesis estadísticas se utiliza 𝑎𝑙𝑓𝑎 = 0.5, pero
también se recurre al valor de P, que es calculado automáticamente por Minitab para ANOVA.
Debido a que 𝐹0.05,2,27 = 3.35 se concluye que el efecto es significativo para ambos factores donde
los valores F son 6.83 y 18.76. El valor F correspondiente al factor número de usuarios protegidos
muestra el efecto más significativo.
Para determinar cuáles niveles del factor tamaño de red protegida son diferentes entre sí, se
realizó una comparación par-a-par de los niveles usando tanto Fisher como Tukey. Lo mismo se
realizó para las combinaciones de nivel de los factores. Aquellos intervalos de confianza que no
incluyen el cero, indican una diferencia significativa.
En las figuras 28 y 29 se muestran los resultados para el factor de intervalo de modificación IP.
Al analizar las medias del factor de intervalo de modificación IP utilizando tanto el método de
comparación de Tukey como Fisher podemos afirmar que las medias son no significativamente
diferentes a excepción de la combinación de los niveles 1 y 0. Esto indica que existe una
diferencia significativa entre no aplicar cambios a las mIP y utilizar una alta frecuencia en la
52
modificación de direcciones IP. Es esperable que conforme disminuye la frecuencia de cambio
las medias se acerquen más a las medias de un sistema sin defensa.
Figura 28. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor intervalo de modificación IP usando Tukey.
Figura 29. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor intervalo de modificación IP usando Fisher.
En las figuras 30 y 31 se muestran los resultados para el factor de número de usuarios protegidos.
Se muestra que la combinación de 10 y 50 usuarios protegidos es la única con medias que no
son significativamente diferentes lo que indica que el impacto en el sistema es similar para ambos
niveles. Las combinaciones que contienen las medidas correspondientes a 100 usuarios
muestran que tienen una significancia importante en la variable de respuesta. Como se esperaba,
una cantidad alta de usuarios en el sistema demanda una mayor cantidad de recursos para
53
mantener el proceso de modificación IP aumentando el impacto en la eficiencia del sistema, lo
cual es congruente con los resultados.
Figura 30. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor número de usuarios protegidos usando Tukey.
Figura 31. Comparación par-a-par de medias de la latencia percibida por el usuario para el
factor número de usuarios protegidos usando Fisher.
El valor P menor a 10−4 para el factor de número de usuarios protegidos proporciona fuerte
evidencia en contra de la hipótesis nula. En general todos los valores P obtenidos del análisis de
varianza indican que la diferencia entre las medias es estadísticamente significativa y rechaza la
hipótesis nula. Ambos factores analizados en el experimento tienen un efecto significativo en la
defensa, siendo el número de usuarios protegidos el más influyente. Estos resultados indican
54
que existe un impacto en la eficiencia del sistema producto de la aplicación de la defensa, como
se esperaba.
Al evaluar la interacción entre los factores en el ANOVA se observa que un valor-F de 5.16, lo
cual es mayor que 𝐹0.05,4,27 = 2.73, por lo que podemos concluir que existe interacción entre los
factores de intervalo de modificación IP y tamaño de red protegida.
Con respecto a las interacciones entre factores que son significativas, se realizó un análisis tanto
para Fisher como Tukey, pero únicamente se muestra el de Fisher en la figura 32 ya que los
resultados obtenidos para ambas mediciones son los mismos.
Figura 32. Comparación par-a-par de medias de la latencia percibida por el usuario para la
interacción de factores usando Fisher.
Las combinaciones que no tienen una diferencia significativa entre sí son (0-50,0-10), (0-100,0-
10), (0-100,0-50), (1-10,0-10), (1-50,0-10), (5-10,0-10), (5-50,0-10), (1-10,0-50), (1-50,0-50), (5-
10,0-50), (5-50,0-50), (1-10,0-100), (1-50,0-100), (5-10,0-100), (5-50,0-100), (1-50,1-10), (5-10,1-
55
10), (5-50,1-10), (5-10,1-50), (5-50,1-50) y (5-50,5-10). Sin la defensa todas las medias son
iguales, lo cual era esperado. Las combinaciones con 10 y 50 usuarios no muestran diferencias
significativas cuando se comparan entre ellas. En el caso en el que se esperaría un mayor
impacto (sin tomar en cuenta el nivel de 100 usuarios), corresponde a un tamaño de red de 50
usuarios con la frecuencia más alta de cambio de 1 segundo, sin embargo, se muestra que el
comportamiento no es significativamente diferente a un sistema sin la defensa activa con pocos
usuarios por ejemplo 10 usuarios sin cambio de IP.
Las combinaciones que sí tienen una diferencia significativa entre sí son (1-100,0-10), (5-100,0-
10), (1-100,0-50), (5-100,0-50), (1-100,0-100), (5-100,0-100), (1-100,1-10), (5-100,1-10), (1-
100,1-50), (5-100,1-50), (5-10,1-100), (5-50,1-100), (5-100,1-100), (5-100,5-10), (5-100,5-50).
Todas las combinaciones que incluyen al factor 100 en el número de usuarios junto con la
defensa activa, niveles 1 y 5, muestran diferencia de medias significativa. La latencia es más baja
al utilizar 100 usuarios si el intervalo de modificación se mantiene bajo, lo cual es consistente con
la mayor demanda de recursos del sistema para mantener el proceso de modificación IP.
En la figura 33 se presentan los gráficos de interacción para los factores del experimento. En el
caso del factor número de usuarios protegidos no se observa interacción en consecuencia del
intervalo de modificación IP, ya que las gráficas muestran líneas paralelas. En el caso del factor
de intervalos de modificación IP se observa interacción debido a las líneas no paralelas. Este
efecto indica que la relación entre el intervalo de modificación IP y la latencia percibida por el
usuario depende del número de usuarios protegidos.
Figura 33. Gráficos de interacción para los factores versus variable de respuesta.
56
A partir de estos resultados podemos afirmar que se cumple la hipótesis dos de la investigación
ya que al utilizar un MTD basado en la modificación de direcciones IP aumenta la latencia
percibida por el usuario comparado al mismo sistema sin defensa, según la métrica de tiempo de
carga de páginas web, debido al uso adicional de recursos. Esto quiere decir que al implementar
la defensa en un sistema se debe tomar en cuenta el aumento en los tiempos de respuesta al
solicitar contenido a redes externas. Adicionalmente se evaluó el impacto en la eficiencia del
sistema de la aplicación de la defensa cumpliendo así con el objetivo número tres de este trabajo.
5.3 Funcionalidad y Seguridad.
El MTD propuesto tiene la ventaja de que es completamente transparente al usuario por lo que
aporta un valor positivo en el aspecto de funcionalidad. Al no requerir cooperación del usuario se
facilita la administración del sistema. La defensa cuenta también con la ventaja de un plano de
control centralizado que proporciona SDN, por lo que ofrece un costo reducido y una mejor
administración de los dispositivos.
Según los resultados obtenidos, el MTD ofrece una mejora significativa en la seguridad del
sistema, sin embargo, esto viene con un costo. El MTD necesita dos flows por cada usuario en
la red protegida, uno para modificar la IP real y otro para devolver la IP a su valor original.
Conforme aumente la cantidad de usuarios que se requiera proteger mayor será la demanda de
recursos computacionales y aumentará la latencia del sistema lo que puede llegar a provocar
una percepción negativa en la experiencia de usuario.
57
Capítulo 6
Conclusiones y trabajo futuro.
En esta sección se resumen las conclusiones y contribuciones obtenidas del trabajo de
investigación y se plantean posibles futuras investigaciones en el área de SDN y MTD.
6.1 Conclusiones.
Para el escenario investigado en el primer experimento el efecto del factor intervalo de
modificación IP es no significativo. Una posible explicación para este comportamiento es que el
intervalo de modificación tiene influencia en el número de éxitos cuando el cambio de dirección
IP se realiza en el periodo entre que el atacante realiza el escaneo y lanza el ataque y no
necesariamente una alta frecuencia de cambio se traduce en una mejor defensa. El factor de red
protegida tiene el efecto más importante en el potencial de defensa siendo significativo en todos
los casos, entre más espacio disponible para la modificación de direcciones IP exista en la red
seleccionada mejor será el potencial de defensa. En cuanto a la interacción, el número de éxitos
para un nivel del intervalo de modificación IP depende del nivel tamaño de red protegida.
Manteniendo la cantidad de usuarios protegidos igual a 100, se obtuvieron los mejores
resultados, desde el punto de vista de potencial de defensa, utilizando el nivel más alto de tamaño
de red investigado de 1024 direcciones.
Se obtuvo evidencia sobre el potencial de defensa para el modelo de ataque investigado y se
determinó que la defensa de blanco móvil disminuye el número de clientes identificados por
escáneres como Nmap en un periodo de tiempo determinado a diferencia de un sistema
tradicional con direccionamiento estático y, en consecuencia, la información recolectada por el
atacante durante la fase de reconocimiento es de poca utilidad al momento de planificar un
ataque.
Para el escenario investigado en el segundo experimento se determinó que el intervalo de
modificación IP y el número de clientes protegidos tienen un efecto en la eficiencia del sistema
siendo el número de clientes protegidos el más importante. El factor de intervalo de modificación
IP indica que existe una diferencia significativa entre un sistema sin defensa y un sistema que
utiliza una alta frecuencia en la modificación de direcciones IP. Conforme disminuye la frecuencia
58
de cambio las medias se acerquen más a las medias de un sistema sin defensa. El factor de
número de usuarios protegidos indica que el impacto es bajo y similar para niveles con pocos
usuarios protegidos como 10 y 50. El efecto más pronunciado en la latencia percibida por el
usuario se registró al utilizar 100 usuarios protegidos, lo que indica que aumentar la demanda de
recursos para mantener el proceso de modificación IP tiene un impacto importante en la eficiencia
del sistema. Los efectos significativos en la interacción de los factores corresponden a aquellas
combinaciones con la defensa activa y 100 usuarios protegidos. Se obtiene una latencia más
baja si el intervalo de modificación se mantiene bajo, lo cual es consistente con la mayor
demanda de recursos del sistema para mantener el proceso de modificación IP.
Se probó que al utilizar un MTD basado en la modificación de direcciones IP aumenta la latencia
percibida por el usuario comparado al mismo sistema sin defensa, según la métrica de tiempo de
carga de páginas web, debido al uso adicional de recursos, sin embargo, el aumento de la carga
en el sistema no afecta la experiencia de usuario ya que la latencia se mantuvo por debajo los
500 milisegundos en todas las pruebas.
6.1.1 Contribuciones.
Se implementó un sistema de defensa de blanco móvil utilizando técnicas de SDN en un
ambiente de recursos limitados. El prototipo se desarrolló utilizando herramientas de software
libre y de fácil acceso.
Se probó que la modificación IP como técnica de defensa de blanco móvil es una opción viable
para mejorar la seguridad de un sistema.
6.3 Trabajo Futuro.
Este trabajo de investigación abre la posibilidad de abarcar otros modelos de ataque, por
ejemplo, preparar el MTD para reaccionar ante ataques como denegación de servicio. Esto
naturalmente propone investigar otras técnicas de modificación TCP/IP y en general
complementar la defensa para contrarrestar otras técnicas de escaneo como por ejemplo
reconocimiento de sistemas operativos, nombres de dominio, entre otros. Como trabajo futuro se
propone probar el prototipo con más usuarios concurrentes consumiendo una mayor cantidad de
servicios y así observar el efecto que tiene en la eficiencia de un sistema más complejo. Además,
sería necesario evaluar este escenario en hardware real y ambientes de producción.
59
7. Referencias
[1] B. a. H. B. a. M. N. Lantz, "A Network in a Laptop: Rapid Prototyping for Software-defined
Networks," Proceedings of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks,
2010.
[2] D. F. M. V. P. U. S. Kreutz, "Software-Defined Networking: A Comprehensive Survey,"
IEEE, 2014.
[3] F. R. S. S. M. Lau, "Distributed denial of service attacks," IEEE International Conference on
Systems, Man, and Cybernetics, pp. vol. 3, pp. 2275–2280, 2000.
[4] G. Lyon, "Nmap Security Scanner," 2017. [Online]. Available: https://nmap.org/.
[5] G. Lyon, The Official Nmap Project Guide to Network Discovery and Security Scanning,
Insecure.Com LLC, 2011.
[6] Google, "Chrome Developer Tools," 2017. [Online]. Available:
https://developers.google.com/web/tools/chrome-devtools/evaluate-performance/reference.
[7] H. B. X. Y. a. J. L. J. Yackoski, "Applying Self-Shielding Dynamics to the Network
Architecture," pp. 97-115, 2012.
[8] I. a. B. X. a. C. B. B. Arapakis, "Impact of Response Latency on User Behavior in Web
Search," Proceedings of the 37th International ACM SIGIR Conference on Research, pp.
103-112, 2014.
[9] J. H. a. A.-S. E. a. D. Q. Jafarian, "Openflow Random Host Mutation: Transparent Moving
Target Defense Using Software Defined Networking," Proceedings of the First Workshop
on Hot Topics in Software Defined Networks, pp. 127-132, 2012.
[10] Linux Foundation, "Open vSwitch," 2016. [Online]. Available: http://openvswitch.org/.
[11] M. a. S. S. a. P. G. a. A. G. a. L. J. a. V. R. J. a. W. P. a. M. N. Kobayashi, "Maturing of
OpenFlow and Software-defined Networking Through Deployments," Comput. Netw., pp.
151-175, 2014.
[12] M. D. a. S. G. a. W. U. a. R. M. a. J. Tront, "MT6D: A Moving Target IPv6 Defense,"
MILCOM 2011 Military Communications Conference, pp. 1321-1326, 2011.
[13] M.-k. C. E.-s. C. S.-s. K. G. P. J.-H. L. Rosslin John Robles, "Common threats and
vulnerabilities of critical infrastructure," International Journal of Control and Automation,
2008.
[14] N. a. A. T. a. B. H. a. P. G. a. P. L. a. R. J. a. S. S. a. T. J. McKeown, "OpenFlow: Enabling
Innovation in Campus Networks," SIGCOMM Comput. Commun. Rev., pp. 69-74, 2008.
[15] N. a. K. T. a. P. J. a. P. B. a. C. M. a. M. N. a. S. S. Gude, "NOX: Towards an Operating
System for Networks," SIGCOMM Comput. Commun. Rev., pp. 105-110, 2008.
[16] N. a. R. J. a. Z. E. Feamster, "The Road to SDN: An Intellectual History of Programmable
Networks," SIGCOMM Comput. Commun. Rev., pp. 87-98, 2014.
[17] Nicira, "It’s time to virtualize the network," 2012.
[18] ONF Fundation, "ONF Specification," 2017. [Online]. Available:
https://www.opennetworking.org/software-defined-standards/specifications/.
[19] ONF Fundation, 2017. [Online]. Available: https://www.opennetworking.org.
60
[20] Open Networking Research Center, "ONRC Research," 2017. [Online]. Available:
http://onrc.stanford.edu/index.html.
[21] P. a. J. T. a. L. P. T. F. a. P. N. a. W. R. J. a. K. A. a. M. L. a. S. A. a. M. P. a. K. S. V. a. N.
I. McDaniel, "Security and Science of Agility," Proceedings of the First ACM Workshop on
Moving Target Defense, pp. 13-19, 2014.
[22] P. a. J. T. a. L. P. T. F. a. P. N. a. W. R. J. a. K. A. a. M. L. a. S. A. a. M. P. a. K. S. V. a. N.
I. McDaniel, "Security and Science of Agility," Proceedings of the First ACM Workshop on
Moving Target Defense, pp. 13-19, 2014.
[23] P. K. a. H. P. a. T. Beyene, "SDN-based solutions for Moving Target Defense network
protection," Proceeding of IEEE International Symposium on a World of Wireless, Mobile
and Multimedia Networks 2014, pp. 1-6, 2014.
[24] P. K. W. J. M. Manadhata, "A Formal Model for a System’s Attack Surface," Advances in
Information Security, pp. 1-28, 2011.
[25] Project Floodlight, 2017. [Online]. Available: http://www.projectfloodlight.org/.
[26] Q. D. J. H. J. Ehab Al-Shaer, "On the Random Route Mutation Moving Target Defense,"
National Symposium on Moving Target Research, 2012.
[27] Ryu, 2017. [Online]. Available: https://osrg.github.io/ryu/.
[28] S. a. A. P. a. M. E. P. a. A. K. G. Antonatos, "Defending Against Hitlist Worms Using
Network Address Space Randomization," Proceedings of the 2005 ACM Workshop on
Rapid Malcode, pp. 30-40, 2005.
[29] S. a. H. J. A. a. M. J. M. Staniford, "Practical Automated Detection of Stealthy Portscans,"
J. Comput. Secur., pp. 105-136, 2002.
[30] S. a. K. A. a. M. S. a. O. J. a. P. L. a. S. A. a. V. S. a. W. J. a. Z. J. a. Z. M. a. Z. J. a. H. U.
a. S. S. a. V. A. Jain, "B4: Experience with a Globally-deployed Software Defined Wan,"
SIGCOMM Comput. Commun. Rev., pp. 3-14, 2013.
[31] T. a. O. H. a. B. D. a. R. R. a. S. W. Hobson, "On the Challenges of Effective Movement,"
Proceedings of the First ACM Workshop on Moving Target Defense, pp. 41-50, 2014.
[32] T. M. W. L. T. H. D. H. Okhravi /M.A. Rabe, "Survey of Cyber Moving Targets," Lincoln
Laboratory MIT, 2013.
61
8. Anexos
La gráfica de probabilidad normal de los residuos se presenta para verificar el supuesto de que
los residuos siguen una distribución normal. La gráfica de probabilidad debe seguir un patrón de
línea recta aproximadamente.
Las gráficas de residuos versus orden se utilizan para verificar la asunción de que los residuos
no están correlacionados unos con otros. Los residuos en la gráfica deben mostrar un patrón
aleatorio alrededor de la línea central y así confirmar la asunción de que los errores son
independientes unos de otros.
Se presentan gráficas de residuos versus valores ajustados con el objetivo de verificar la
asunción de que los residuos tienen una varianza constante y un error constante. En esta gráfica
se busca que los residuos se presenten aleatoriamente alrededor del cero. Además, se presentan
gráficas de residuos versus cada una de las variables. Se busca en estas gráficas patrones en
los residuos que indiquen que la variable influye en la respuesta.
Se muestra la prueba de igualdad de varianza que busca identificar si las desviaciones estándar
y por ende las varianzas son significativamente diferentes entre poblaciones o niveles de los
factores del experimento. El ANOVA parte del supuesto de que, aunque las diferentes muestras
pueden provenir de poblaciones con medias diferentes, tienen la misma varianza.
Se utilizaron comparaciones múltiples de las medias con las pruebas de Tukey y Fisher lo que
permite examinar cuáles medias son diferentes y estimar el grado de diferencia. El método de
Tukey se utiliza en ANOVA para crear intervalos de confianza para todas las diferencias en
parejas y entre las medias de los niveles de los factores mientras controla la tasa de error por
familia en un nivel específico. Al utilizar intervalos de confianza de 95% en el método de Tukey
se reduce a un máximo de 5% la probabilidad de que uno o más intervalos de confianza no
contengan la verdadera diferencia, así que aquellos intervalos de confianza no incluyen el cero,
indican una diferencia significativa.
62
8.1 Anexos Experimento 1: Potencial de protección del MTD
ante escaneo.
Para poder hacer uso del análisis de varianza se requiere que los datos sigan una distribución
aproximadamente normal como se muestra en la figura 34.
Figura 34. Gráfico de probabilidad normal de los residuos.
En la figura 35 se representan los residuos de acuerdo al orden en que se recopilaron los datos
lo que permite asumir independencia en el modelo. En la figura 28 se observan los residuos
versus los valores ajustados. Los residuos se encuentran esparcidos alrededor del cero. No se
63
observa ningún residuo que se comporte como extremo. En general no se observa ninguna
anomalía grave en el modelo.
Figura 35. Residuos versus el orden de recopilación de datos.
Figura 36. Gráfico de residuos versus valores ajustados.
La varianza en los niveles de intervalo de modificación y tamaño de red protegida se muestran
en las figuras 37 y 38. El factor intervalo de modificación IP muestra varianzas similares siendo
el nivel 10 un poco mayor al resto. En el caso de tamaño de red protegida el nivel 256 muestra
64
una varianza mayor a los niveles de 128 y 1024, sin embargo, se cumple la igualdad de varianzas
en la figura 24. No se observa algún problema grave que pueda tener un impacto severo en el
análisis de resultados y conclusiones.
Figura 37. Residuos versus valor ajustado para factor intervalo de modificación IP.
Figura 38. Residuos versus valor ajustado para factor de tamaño de red protegida.
En la figura 39 se muestra la prueba para igualdad de varianzas con un grado de confianza de
95%. Los intervalos en la figura se intersecan en todos los niveles lo quiere decir que las
desviaciones estándar no son significativamente diferentes. Este supuesto se soporta utilizando
el valor P para la prueba de comparación múltiple el cual es menor que el nivel de significancia
65
elegido por lo que las diferencias entre las desviaciones estándar y varianzas no son
significativamente diferentes.
Figura 39. Prueba de igualdad de varianzas.
En las figuras 40 y 41 se muestran las gráficas de Tukey y Fisher para el factor de intervalo de
modificación IP. Las gráficas muestran que las medias no son significativamente diferentes para
todos los niveles ya que los intervalos de confianza contienen el valor cero. Esto soporta el
análisis de que el intervalo de modificación IP no tiene un efecto significativo en la defensa.
66
Figura 40. Comparación par-a-par de medias del número de éxitos para el factor intervalo de
modificación IP usando Tukey.
Figura 41. Comparación par-a-par de medias del número de éxitos para el factor intervalo de
modificación IP usando Fischer.
.
En la figura 42 se muestra el análisis de medias y efectos. La gráfica superior corresponde a los
efectos de interacción.
La gráfica de efectos para el intervalo de modificación IP presenta los puntos dentro de los límites
de decisión lo que es un indicador de que no existe evidencia de que la media sea
67
significativamente diferente a la media general cuando α=0.05. En el caso de tamaño de red
protegida los niveles de 128 y 1024 se encuentra claramente fuera de los límites de decisión
Figura 42. Análisis de medias y efectos.
68
8.2 Anexos Experimento 2: Impacto del MTD en la latencia de
respuesta.
Los siguientes supuestos permiten hacer uso del análisis de varianza. En la figura 43 se muestra
la gráfica de normalidad con su distribución aproximadamente normal y no se observan residuos
que podamos identificar como extremos.
Figura 43. Gráfico de probabilidad normal de los residuos.
En la figura 44 se representan los residuos de acuerdo al orden en que se recopilaron los datos.
No se observan patrones según el orden cronológico lo que permite asumir independencia en el
modelo.
En la figura 45 se muestran los residuos esparcidos alrededor del cero lo que indica una
distribución aleatoria.
69
Figura 44. Residuos versus el orden de recopilación de datos.
Figura 45. Gráfico de residuos versus valores ajustados.
En la figura 46 y 47 se muestran las gráficas de residuos versus las variables
70
.
Figura 46. Residuos versus valor ajustado para factor intervalo de modificación IP.
Figura 47. Residuos versus valor ajustado para factor número de usuarios protegidos.
Los resultados de la prueba de igualdad de varianzas se representan en la figura 48 y es un
indicador de que las varianzas de las poblaciones son iguales. En general, no se observa algún
problema grave que pueda tener un impacto severo en el análisis de resultados y conclusiones
71
.
Figura 48. Prueba de igualdad de varianzas.
El análisis de medias y efectos se muestran en la figura 49. En el caso de la gráfica de efectos
de interacción se muestra que existe efecto en la combinación de los niveles 0 y 1 segundos para
intervalo de modificación IP con 100 usuarios protegidos, según se establece en los límites de
decisión.
La gráfica de efectos para el intervalo de modificación IP establece la media de las muestras
para los niveles de 0 y 1 segundos fuera de los límites de decisión. Al seleccionar un nivel de 0
segundos, se elimina el factor de cambio en la defensa manteniendo la mIP estática a cada
cliente protegido.
En el caso de número de usuarios protegidos se evidencia un efecto significativo en cada uno de
los niveles.