COLABORACION DE IMS Y SDN BASADAS EN EL PROTOCOLO OPENFLOW. UNA ARQUITECTURA PARA MITIGAR PROBLEMAS DE SEGURIDAD EN REDES FUTURAS.

Transcripción

1 COLABORACION DE IMS Y SDN BASADAS EN EL PROTOCOLO OPENFLOW. UNA ARQUITECTURA PARA MITIGAR PROBLEMAS DE SEGURIDAD EN REDES FUTURAS. IMS AND SDN COLLABORATION. AN ARCHITECTURE TO MITIGATE SECURITY PROBLEMS IN FUTURE NETWORKS. Ing.Yanko Antonio Marín Muro 1, Dr. C. Ing. Félix Álvarez Paliza 2 1 ETECSA, CUBA, yanko.marin@etecsa.cu 2 UCLV, CUBA, fapaliza@uclv.edu.cu RESUMEN: IMS es una arquitectura basada en el protocolo SIP que se sirve como una infraestructura para el control de llamadas, sesiones y servicios en redes futuras. El Subsistema Multimedia IP (IMS) es una arquitectura de control para las redes de próxima generación (NGN). Se espera que esta arquitectura de red proporcionará nuevos servicios multimedia en entornos de redes convergentes. En este trabajo nos centramos en el estudio de la arquitectura, los mecanismos y las mejores prácticas relacionadas con la gestión de la seguridad en redes IMS. Para ello empleamos una plataforma de código abierto como laboratorio de pruebas para la enseñanza, el aprendizaje y la evaluación del desempeño de los principales elementos de esta arquitectura. Finalmente se propone la colaboración de las arquitecturas IMS y SDN para mitigar problemas de seguridad en redes futuras. Palabras Clave: IMS, SUBSISTEMA MULTIMEDIA IP, SDN, OPENFLOW, OPENIMSCORE ABSTRACT: IMS is a SIP-based network that serves as infrastructure for services, sessions and call control in advanced networks. The IP Multimedia Subsystem (IMS) is a control architecture framework for the Next Generation Network (NGN). It is expected that this new network architecture will provide a new kind of IP multimedia services delivered in network converged environments. In this paper we focus on the study of architecture, mechanisms and best practices related to security management in IMS networks. We use of an open source platform as testbed for teaching, learning and performance evaluation of the main elements of the IMS architecture. Finally the collaboration of the IMS and SDN openflow-based architecture is proposed to mitigate security issues in multimedia networks. KeyWords: IMS, IP MULTIMEDIA SUBSYSTEM, SDN, OPENFLOW,OPENIMSCORE. 1. INTRODUCCIÓN La industria de las telecomunicaciones está experimentando una gran revolución y el catalizador de este cambio son los nuevos modelos de negocios y las tecnologías de Internet. El acceso ubicuo a servicios de voz, datos, video, multimedia, juegos, entretenimiento, etc. basados en IP, está conduciendo a la convergencia de industrias, servicios, redes y modelos de negocios. La convergencia de la red es una vía a través de la cual los operadores facilitan un mejor acceso de los usuarios a servicios y aplicaciones. Unos de los prerrequisitos para empezar a hablar de convergencia de redes es la migración, actualización de las infraestructuras a IP. En el camino del desarrollo del sector de las telecomunica-

2 ciones en primer término encontramos la presencia de Internet en todos los lugares, no solo en empresas y hogares, también en sitios de tránsito como aeropuertos, aviones, rutas, trenes, etc. con un ancho de banda cada vez más alto. El protocolo IP ofrece a los usuarios un libre acceso a cualquier servicio en cualquier momento, lugar y desde cualquier dispositivo. La digitalización y el negocio digital son catalizadores de cambio que están afectando la relación hombre-máquina y conducirán a mejores resultados. Los dispositivos electrónicos están tomando un papel más activo en la vida de los humanos, debido a que están más conectados que nunca, y al supervisar el entorno los hacen más inteligentes. Debido a esto, tienen una mayor capacidad para complementar (o incluso suplantar) puestos de trabajo humanos y para reducir el costos de las operaciones. En otro frente, el rápido crecimiento de los dispositivos inalámbricos ha permitido monitorear y prevenir enfermedades en tiempo real Este tipo de tecnologías está en constante crecimiento debido a que cada día aumentan la variedad de equipos médicos portátiles soportados sobre las redes de telecomunicaciones. Estamos pasando de un mundo donde las personas y ordenadores tienen comportamientos distintos, y vamos hacia un mundo en el que los ordenadores funcionen según el comportamiento de las personas. Los dispositivos electrónicos ya no darán respuestas pasivas a las solicitudes de los humanos. Tomarán medidas proactivas para resolver problemas y para generar interacciones variables. Un ejemplo de aplicaciones de este tipo son las que propone ETSI para la red de transporte.[1] Las redes y dispositivos inalámbricos están aumentando continuamente en velocidad y capacidad, y las conexiones de máquina-máquina están creciendo exponencialmente. La computación en la nube está impactando significativamente en cómo las empresas y los consumidores utilizan las redes; la convergencia a gran escala hacia los datos y las redes IP prometen una mayor productividad, esto se demuestra en la forma en que las Comunicaciones Unificadas y Colaboración están cambiando la forma en que colaboramos. En medio de este cambio, es difícil mantenerse informado sobre el estado de nuestra industria. Existen un grupo de tecnologías que están cambiando al mundo. Tal es el caso de M2M, LTE, Convergencia IP, la computación en la nube, las Comunicaciones Unificadas, las redes definidas por software (SDN) y la virtualización de las funciones de red (NFV). IMS es una evolución del núcleo la red que utiliza protocolos de internet para proporcionar un control global e independiente de las tecnologías de acceso. La arquitectura IMS es un factor clave para la implementación de diversos tipos de servicios y está en el centro de la red de telecomunicaciones con el objetivo de controlar las secciones de los usuarios así como garantizar calidad de servicio en la comunicación. IMS ayuda a proporcionar una red que cumple la promesa de redes completamente IP, lo que permite aplicaciones y servicios en tiempo real y no real. En la Figura 1.1 se puede observar un resumen de los principales servicios ofrecidos en las redes actuales así como algunas tendencias de las telecomunicaciones.[1][2] De forma general existen tres grandes tendencias en los núcleos de las redes actuales: Migración de redes TDM a IP: La conmutación de paquetes provee ventajas superiores y reduce significativamente los costos. Ver figuras 1.2 y 1.3. De comunicación de voz a multimedia: Se incorporan nuevos servicios de video llamada, video conferencia que tienen una alta aceptación por parte de los usuarios. De dominios fijo o móvil a convergencia fijo-móvil. Figura 1.1 Predicciones de tendencias de las redes telecomunicaciones. Fuente: ALCATEL [2] Para implementar redes que satisfagan los requerimientos de los usuarios, se hace necesario un cambio en la concepción de las arquitecturas de telecomunicaciones actuales. IMS llegó para cumplir con el sueño de las redes completamente IP, convergencia fijo-móvil e internet, así como para resolver los problemas con calidad de servicio y seguridad de las redes anteriores. Es por eso que cada año la arquitectura Softswitch va en descenso mientras que IMS en ascenso. La seguridad es un factor clave en las redes, por lo que es uno de los requisitos básicos a cumplir para el buen funcionamiento de las mismas. Con el desarrollo de las tecnologías de la Información y las Comunicaciones (TIC), los teléfonos inteligentes (Smartphone), y la convergencia de servicios, la seguridad de la red IMS afronta muchas amenazas

3 y retos. 2. ARQUITECTURA DE IMS 2.1 Introducción a IMS Figura 1.2 Evolución de las redes de conmutación a IMS. Fuente: Huawei Technologies Co., Ltd.. Figura 1.3 Comparación IMS vs SOFTSWITCH. Fuente: EXACTVENTURES. El motivo de esta investigación está encaminado a analizar las arquitecturas IMS y SDN basada en el protocolo Opeflow; identificar las principales medidas para garantizar la seguridad en IMS; así como identificar algunos beneficios que desde el punto de vista de la seguridad pueden ser utilizados mediante la colaboración entre las dos arquitecturas. IMS, IP Multimedia Subsystem, es una arquitectura que permite la creación de servicios multimedia basados en IP en el entorno de las telecomunicaciones. IMS evoluciona a partir de la tecnología de comunicaciones móviles GSM. El cambio principal que logró IMS fue la posibilidad de soportar tráfico multimedia así como servicios de Video, texto, chat, etc; soportados todos sobre tecnologías de conmutación de paquetes. Es una red basada en una variedad de protocolos definidos principalmente por el 3GPP y el IETF (Internet Engineering Task Force). El protocolo principal de la arquitectura es SIP (Session Initiation Protocol) definido por el IETF, el cual es utilizado para proveer un mecanismo seguro para la señalización. El principal objetivo de la arquitectura IMS es lograr la convergencia de las redes fijas y móviles.[3][4][5][6]. La arquitectura IMS se basa en el Protocolo de Internet (IP) cooperando con las tecnologías existentes en las redes fijas y móviles lo que permite crear conexiones al mismo nivel (peer to peer) con todos los tipos de clientes. Las principales características que hacen a IMS una red inigualable son las siguientes: IMS provee un soporte flexible para secciones multimedia basadas en IP que permite a los operadores diferenciar los servicios. Las secciones Multimedia soportan diferentes tipos de contenido. Soporta aplicaciones de internet que han sido desarrolladas fuera de la comunidad 3GPP. Soporta negociación de calidad de servicio (QoS) a nivel de sesión. Permite al operador de red implementar control de políticas IP. Soporte de itinerancia (roaming) La calidad de servicios de la voz será similar a la de las redes de conmutación de circuitos. Interconexión entre redes IMS. Soporta inter-funcionamiento con las redes PSTN y MLPN. 2.2 Modelo de arquitectura de IMS En la estructura de las redes de nueva generación, encontramos cuatro capas con diferentes funciones, como se observa en la figura 2.1. A estas capas también se les denomina planos de IMS.

4 Figura 2.1 Arquitectura de IMS 3GPP. Fuente: Autores. La capa de servicios: Ofrece una variedad de servicios multimedia soportados sobre la red IMS. En las especificaciones del 3GPP se hace referencia a que es una plataforma de servicios. La comunicación entre el S-CSCF y los componentes de la capa de servicio se basa en el protocolo SIP. La capa de control: Es el cerebro de la red, consta de las entidades funcionales, tales como P/I/S-CSCF, HSS, MGCF, y SSS. El CSCF representa los elementos lógicos principales y son los responsables de la autenticación de usuarios, registro, control de sesión de llamada, etc. El HSS es una base de datos de almacenamiento de los datos relativos a los abonados y servicios. El AGCF trabaja como MGC proporcionando simulación RTC/RDSI para los usuarios tradicionales simulados y usuarios de la familia. El MGCF y MGW asumen la responsabilidad para el inter-funcionamiento con las actuales PSTN / PLMN y se encargar de realizar la adaptación IP-TDM y TDM-IP. La capa de transporte: Este nivel adopta la técnica de conmutación de paquetes y está compuesta por dispositivos que distribuyen la información sobre la red de paquetes como son los routers y los switch entre otros. Esta es usada para proveer a los abonados de una plataforma de transmisión integrada y uniforme, de alta fiabilidad, calidad de servicio y capacidad elevada para realizar su tarea principal: el transporte de paquetes por la red IP. La capa de acceso: El usuario IMS puede acceder a un servicio IMS a través de diferentes redes de acceso como por ejemplo móvil, fijo, xdsl, empresarial, etc. Es usada para conectar subscriptores y una variedad de terminales a la red, además de la función de conversión de formato de información original en una aprovechable para que pueda ser enviada por la red IP. 3. LA SEGURIDAD EN REDES IMS La seguridad es un factor clave en las redes, por lo que es uno de los requisitos básicos a cumplir para el buen funcionamiento de las mismas. Con el desarrollo de las tecnologías de la Información y las Comunicaciones (TIC), los teléfonos inteligentes (Smartphone), y la convergencia de servicios, la seguridad de la red IMS afronta muchas amenazas y retos. La seguridad en IMS protege a los dispositivos electrónicos, programas y datos de la red contra ataques. Para asegurar el desempeño e integridad de la red, la seguridad en IMS previene la congestión de la red, interrupciones, colapsos, y accesos no autorizados. La seguridad en IMS también previene la pérdida, revelación o modificación de los de datos durante la transmisión, procesamiento o almacenamiento de los mismos. Estas medidas de seguridad garantizan: La confiabilidad Integridad Disponibilidad Autenticidad. Control gubernamental. 3.1 Vulnerabilidades Existen diversos factores que atentan contra la seguridad de las redes IMS, pero las más son las siguientes: Redes abiertas (Network openness) Redes basadas en IP Teléfonos Inteligentes (Smartphones) Convergencia de servicios Estructura de red compleja 3.2 Amenazas de seguridad Las amenazas de seguridad más conocidas son: Destrucción: Los atacantes destruyen informaciones y recursos de la red tales como ancho de banda, enlaces de señalización para limitar o deshabilitar la capacidad de brindar servicios por parte de la red IMS. Los atacantes con frecuencia utilizan los métodos de ataques de denegación de servicio (DoS/DDoS) y el envío de paquetes mal conformados. Modificación: Los atacantes Los atacantes manipulan la información, como por ejemplo la identidad del usuario que viaja en los mensajes de señalización para de forma ilegal utilizar los recursos de la red y utilizar la sección del usuario para cometer fraude. Los más conocidos son la interferencia y fraude de sesión. Substracción (Removal): Los atacantes roban o maliciosamente borran información, recurso, tales como registros de operación, ficheros, etc de la red IMS, dando como resultado la pérdida de la información. Instalar un software malicioso como virus o caballos de Troya para borrar ficheros del sistema son estrategia que comúnmente se emplean.

5 Figura 3.2. Principales amenazas de seguridad. Fuente: Autores. Revelación de información (Disclosure): Consiste en revelar información de la red IMS, como por ejemplo la topología de la red, cuentas de usuario y contraseñas, dando como resultado que el equipo quede expuesto y puedan ocurrir, robos y estafas de servicios. Buscar información (scanning) y la intercepción de la misma son los métodos comúnmente utilizados por asaltantes para exponer la información de la red. Interrupción: Los atacantes de forma maliciosa atacan elementos de red para causar interrupciones de servicio en la red IMS. Los ataques del tipo DoS/DDoS son a menudo los más utilizados para interrumpir o degradar los servicios. 3.3 Políticas de seguridad Al implementar una política de seguridad en todos los niveles puede tomarse la Recomendación X.805 de la ITU-T, "Arquitectura de seguridad para los sistemas de comunicaciones de extremo a extremo". Dicha arquitectura puede ser aplicada a varias clases de redes en las cuales la seguridad extremo a extremo es de preocupación, y donde existe independientemente de la tecnología subyacente de la red.[9] Dimensiones de seguridad Una dimensión de seguridad es un conjunto de contramedidas, diseñadas para tratar un aspecto en particular de la seguridad de red. La presente Recomendación X.805 identifica a ocho conjuntos como tal que protegen contra todas las amenazas principales a la seguridad. Las dimensiones de seguridad son: Control de acceso: Limita y controla el acceso a elementos de red, servicios y aplicaciones, mediante contraseñas, ACL-Access Control List y firewalls. A continuación mostramos las principales medidas de seguridad: Listas de control de acceso (ACL). Control del acceso a la operación y mantenimiento de los elementos de red. Administrar en los cortafuegos el acceso a los puertos (Firewall Pinhole) Control de admisión de llamadas (CAC). Mecanismos de listas negras y blancas. Control de ancho de banda. Gestión de la seguridad de la operación y el mantenimiento. Autentificación y Autorización: Provee prueba de identidad. Ejemplos típicos son secretos compartidos, PKI, firma digital y certificado digital. Autorización mínima para el sistema y para el software. No-repudio: Provee métodos para prevenir que un individuo o entidad niegue haber realizado una acción determinada en la red. Por ejemplo, la facturación en IMS debe ser confiable y precisa de forma tal que ningún usuario pueda negar el gasto o registro de llamada (CDR) realizado por el sistema. Para ello se generan LOG, CDR, alarmas, autentificación utilizando certificados digitales. Confidencialidad de datos: Asegura la confidencialidad de los datos, típicamente mediante encriptación. Para lograr esta confidencialidad es necesario: Cifrar la señalización, Cifrar los datos de gestión, operación y mantenimiento. Encriptación de la transmisión IP. Encriptación de las claves de usuarios. Seguridad de la comunicación: Asegura que la información solo fluya de la fuente al destino. Se puede lograr mediante VLANs,VPN, MPLS y L2TP en ATM. Es muy importante que los elementos de red se encuentren en un plano de seguridad aislado. También es necesario proteger con buenos mecanismos de seguridad los accesos remotos. Integridad de los datos: Asegura que los datos son recibidos como se mandaron o recuperados como se guardaron. Se logra mediante MD5, firma digital o software antivirus. La integridad se garantiza mediante el empleo de los siguientes protocolos IPSec (IP Security), TLS (Transport Layer Security, HTTPS (Hypertext Transfer Protocol Secure), SNMP (Simple Network Management Protocol). La integridad del software que se emplea es un factor clave para garantizar la seguridad. Disponibilidad: Asegura que los elementos de red, servicios y aplicaciones estén disponibles a los usuarios. Se logra con redundancia en la red. Sistemas operativos y bases de datos seguras (OS, DB security hardenig). Defensa ante ataques IP. Defensa ante ataques DoS/DDoS Defensa ante ataques paquetes SIP mal formados. Defensa ante ataques SIP del tipo lógica de

6 servicio. Defensa ante ataques de paquetes RTP mal formados. Privacidad. Asegura que la identificación y el uso de la red permanezca privado. Protección de la topología de red y encriptación de la señalización. selecciona el mecanismo con mayor prioridad. La autenticación en un sistema se realiza para impedir que usuarios no autorizados se registren en la red IMS utilizado cuentas vigentes. En la figura observamos un usuario tratando de autentificarse en la red utilizando la identidad de otro usuario Planos de seguridad Un plano de seguridad es una cierta clase de actividad en red, protegida por dimensiones de seguridad. La Recomendación X.805 define tres planos de seguridad para representar las tres clases de actividades protegidas que se lleven a cabo en una red. [9] Los planos de seguridad son: Plano de Control/Señalización. Plano de usuario final. Plano de Seguridad en la Gestión Arquitectura de seguridad de IMS del 3GPP La arquitectura de seguridad se encuentra en constante investigación con el objetivo central de proteger los datos de los usuarios así como a las redes. En esta arquitectura los usuarios necesitan pasar varias etapas de autentificación mediante el empleo de llaves para tener acceso a los servicios. En el dominio de conmutación de paquetes (PS, Packet switch), el servicio no es proveído si no se establece una asociación de seguridad entre el equipo del usuario (UE, user equitment) y la red. En IMS el núcleo de la red no depende de las capas subyacentes, y es por ello que se requiere una asociación de seguridad entre el cliente multimedia e IMS antes de que se conceda acceso a los servicios [10]. 4. AUTENTIFICACIÓN EN IMS La autentificación es un método para identificar y validar una entidad o usuario en la red. En IMS el terminal y la red realizan una autentificación bidireccional. Antes de utilizar un servicio IMS, el usuario deberá tener al menos una IMPU registrada y la IMPI debe estar autentificada en el dominio IMS.[10] La red local autentifica al usuario durante el registro inicial. Cuando un usuario inicia por primera vez el registro en la red, el S-CSCF determina el algoritmo para autentificar al usuario. El S-CSCF determina el algoritmo apropiado analizando el encabezado del mensaje REGISTER así como el mecanismo de autentificación seleccionado por el usuario cuando creo su cuanta en el HSS. Un usuario se puede subscribir a varios mecanismos de autentificación. Durante la negociación de la autentificación, el HSS Figura 4.1: Rechazar usuarios no autorizados. Fuente: Huawei Technologies Co., Ltd. Los mecanismos de autentificación de IMS son: IMS AKA (Authentication and Key Agreement): Es un estándar de seguridad definido por el 3GPP (TS ). Este mecanismo garantiza la seguridad e integridad de la red IMS y el usuario, mediante una autentificación mutua entre el terminal y la red. EARLY IMS: Este es un mecanismo que se aplica a abonados que no soportan la autentificación AKA como por ejemplo abonados 2G. Este mecanismo garantiza la autentificación comparando las direcciones IP. HTTP DIGEST / SIP DIGEST: Se puede utilizan en terminales SIP en la red fija para autentificar los usuarios verificando su nombre de usuario y clave. NASS BUNDLED: Es un sistema de autentificación cuando un usuario de la red fija intenta acceder a la red IMS. CAVE AKA: Mecanismo de autentificación para terminales CDMA. Los mecanismos más recomendados para redes IMS son IMS AKA y SIP DIGEST. Los mecanismos de autentificación en IMS son medidas de seguridad. 5. MEDIDAS PARA GARANTIZAR LA SE- GURIDAD EN REDES IMS El subsistema multimedia IP (IMS) para defenderse utiliza políticas de seguridad rigurosas para evitar

7 ataques a la red. Para evitar ataques a los elementos de la red en IMS se utilizan los controladores de borde de sección (SBC). Los SBC usualmente se despliegan en la frontera de red IP para controlar las secciones de audio, datos y video. Estas arquitecturas también se utilizan para esconder la topología de la red y para garantizar que las secciones VoIP solamente se realicen contra los controladores autorizados. 5.1 División por zonas de Seguridad Según los principios de división por zona de seguridad definidos en ITU E.408, la red IMS está dividida en las siguientes áreas lógicas: Tipo entidad de red (NE), Objetivos de seguridad, Políticas de seguridad. Las subredes o los dispositivos que comparten los requerimientos de seguridad tienen estrechas relaciones de confianza y por tanto requieren iguales o similares políticas de control de acceso. Cada área lógica pertenecerá a una zona segura o de confianza, no segura o desmilitarizada. Zona de confianza (Trusted zone): un área donde los dispositivos son confiables. Lo intercambios de datos tanto en entrada como en salida no son revisados. Si en el núcleo de una red IMS se utiliza una red privada o tecnología VPN, entonces podemos considerarlo como una zona segura. Por tal motivo no serán necesarios equipos de control de políticas ni otros para defenderse de ataques. La zona no segura: Es un área donde los dispositivos están inseguro. El intercambio de información de entrada y salida están controlados y filtrados por políticas. Para el dominio del núcleo de la red IMS todas las redes externas son inseguras. Es por ello que cuando el núcleo de IMS intercambia información de señalización, datos, etc con zonas no seguras se necesita poner en el borde un equipo que proteja los ataques externos. Zona desmilitarizada: Un área entre la zona en la que se confía y en la que no se confía. Esta zona es la que permite que redes externas accedan a IMS después de pasar por un cortafuego. En esta zona también es necesario tener equipos que protejan la red de ataques externos. 5.2 Segregación de los servicios Para asegurar la transmisión de datos entre las zonas de seguridad, en IMS se adopta el principio de segregar los servicios. Con esta política de seguridad se garantiza que un servicio no pueda afectar a otro. Estas políticas de seguridad utilizan las tecnologías de redes de área local virtual (VLAN) y redes privadas virtuales (VPN) para aislar los flujos de datos de diferentes zonas. Mediante la segregación de los servicios, la red IMS puede funcionar de una forma más estable y segura. La tecnología de red de área local virtual (VLAN) divide a la red IMS en diferentes VLANs según el tipo de servicio. Cada VLAN es considerada como un dominio de difusión. Las interfaces de una misma VLAN se pueden comunicar entre sí directamente, mientras que las interfaces de VLANs diferentes pueden comunicarse entre sí a través de enrutadores. En IMS se recomienda utilizar tecnología VLAN de nivel 3 para garantizar la segregación y seguridad de los servicios. Utilizar varias VLAN y a cada una de ellas asignar direcciones IP de diferentes segmentos de red es usualmente lo más recomendado, así como habilitar en los LAN SWITCH la funcionalidad de conmutación a nivel de IP (Nivel 3). Esta configuración ayuda a los operadores a controlar el alcance del dominio de difusión así como a perfeccionar las políticas de seguridad. Las zonas de seguridad en las rede IMS son vulnerables a diferentes amenazas de seguridad, la planificación de las VLAN puede realizarse teniendo en cuenta la probabilidad e impacto de las amenazas de seguridad de cada zona. Entonces, a cada una de las VLAN creadas se le pueden aplicar las políticas de seguridad y controles de acceso según las necesidades del operador. La tecnología VPN establece un túnel temporal, estable, y seguro entre dos dispositivos en la red IMS. Los datos transmitidos a través del túnel pueden pasar una red insegura compleja sin ser afectados, al mismo tiempo que garantiza la seguridad de los datos. Finalmente el principio de la segregación se logra al separar los servicios de control de sesión, accesos de usuarios, gestión, etc en diferentes VLAN que estarán mapeadas a VPNs en el núcleo de la red de transporte. Los elementos de red que están en la misma zona de seguridad intercambian datos sobre una red privada virtual. Para garantizar seguridad de la red e implementar una planificación razonable de VPN, se recomienda que los NE utilicen diferentes interfaces físicas para implementar la segregación de los servicios. Otra medida muy importante es que los puertos en los LANSWITCH que no se está utilizando estén deshabilitado para prevenir interrupciones causadas por tormentas de difusión. 5.3 Codificación IPSec IMS utiliza una red portadora dedicada para la transmisión IP y que generalmente es segura. Sin embargo, en algunos escenarios pueden existir algunos riesgos y tal es el caso de cuando se transmite datos entre dos redes IMS. Las direcciones IP de los paquetes pueden ser cambiadas.

8 El contenido de los paquetes IP puede ser cambiado. Los paquetes IP pueden ser examinados y cambiados durante su transmisión por usuarios no autorizados. Gran cantidad de paquetes transmitido. Para evitar los riesgos de seguridad anteriormente mencionados, la tecnología IPsec (IP security) puede ser utilizada para codificar la información sobre esta red. IPSec es un protocolo de la capa IP definido por el IETF que proporciona seguridad a la capa IP. Permite al sistema seleccionar un protocolo de seguridad y algoritmo que será utilizado para los servicios. IPSec protege los datos transmitidos entre diferentes equipos mediante un mecanismo de criptografía. Mediante la autenticación de encabezado de (AH, authentication header) y encapsulado de la carga útil (ESP,encapsulating security payload) se garantiza la confidencialidad, integridad y autenticidad de los datos. Otro mecanismo que es implementado con este protocolo es la posibilidad de rechazar la retransmisión de datos realizadas por usuarios maliciosos que después de capturar paquetes en la red lo retransmiten repetidamente. 5.4 Medidas de seguridad en el plano de control En el plano de control se deben proteger la topología de la red, cuentas, claves, información personal y autentificación de los usuarios. En IMS la protección contra usuarios no autorizados se garantiza con los mecanismos de autentificación que fue explicada en el capítulo IV. La protección contra de la divulgación de la topología de red es una de las medidas de seguridad más importantes que no pueden omitirse en el diseño de un sistema. Los mensajes del protocolo SIP llevan la información de enrutamiento. Cuando una entidad de red (NE) recibe un mensaje INVITE, este incluye la dirección IP en el campo de cabecera Route. Una vez establecida una sesión, se determina la ruta por donde deben ser enviados el resto de los mensajes. Este es un ejemplo de cómo los mensajes SIP exponen la topología de la red IMS. Los atacantes pueden sondear la topología de la red simplemente analizando el contenido de los mensajes SIP y posteriormente generar ataques utilizando esta información. Por lo tanto, la red IMS debe implementar un mecanismo para ocultar la topología de la red (topology hiding). Este mecanismo permite que los elementos de la red IMS no queden expuestos ante los subscriptores. Esto evita que los hackers lancen ataques contra el núcleo de la red IMS así como a otros operadores después de haber obtenido la topología de su red. Figura 5.1: Ocultando la topología de la red. Fuente: Huawei Technologies Co., Ltd La denegación de servicio (DoS), denegación de servicio distribuida (DDoS) o como también se le conoce ataque por inundación de señalización son uno de los ataques más comunes hoy en día. Los atacantes envían un gran número de paquetes de señalización bien estructurados o mal formados. Estos tipos de ataques son comunes cuando se utiliza el protocolo SIP, H.248 o MGCP. Este tipo de ataque genera congestión en la red o la interrupción de los servicios, debido al agotamiento de los recursos en el equipo atacado. En consecuencia, el nodo atacado no puede prestar servicios para los abonados autorizados. Los ataques DoS y ataques DDoS se diferencias en: Los ataques DoS son lanzados por un equipo independiente, mientras que los ataques DDoS son lanzados por una serie de zombies (host atacado o host disponible). Ver figura 5.2. Figura 5.2: Protección contra ataques DoS/DDoS. La red IMS adopta la estrategia de defensa ante los ataques DoS / DDoS. El controlador de la sesión de borde (SBC), desplegado en la frontera de la red IMS, debe tener la funcionalidad de detectar y restringir este tipo de ataques. El Core IMS también debe estar preparado para mediante mecanismos de control de flujo evitar sobre cargas. Los mecanismos para detectar y controlar este tipo de ataques son los siguientes: Chequear velocidades de señalización en múltiples puntos de la red. Añadir usuarios maliciosos a listas negras. Clasificar los paquetes y distinguir los paquetes no válidos a partir de la lista de usuarios autorizados. Descartar los paquetes mal formados y aña-

9 de al usuario a la lista negra. Implementa un mecanismo de clasificación de paquetes y cola con prioridades según el tipo de paquete. Si el SBC detecta paquetes maliciosos serán descartados automáticamente y así garantiza que al core de IMS solamente se envíen paquetes válidos. Existen otros ataques conocidos como ataques de lógica de servicio donde se utilizan las capacidades de extensión del protocolo SIP y la vulnerabilidad en la lógica de servicio para malversar o interrumpir los servicios IMS mediante la manipulación de los campos de cabecera SIP o parámetros y mensajes relacionados con la lógica de servicio. Para protegerse contra los ataques de lógica de servicio SIP, la red IMS debe comprobar que los paquetes SIP cumplan con lo definido en los estándares de este protocolo. Los ataques de lógica de servicios más conocidos son: Protección contra robo de sesiones: Los atacantes obtienen ilegalmente el nombre de usuario y la contraseña de un abonado para realizar llamadas y utilizar los servicios a expensas del abonado. Para prevenir este fraude se le asigna al usuario una dirección IP fija para el acceso a los recursos de la red. Durante la creación de la cuenta del abonado, se especifica una dirección IP de acceso para evitar el robo de sesión. Si durante la etapa de registro del usuario, la dirección IP del que solicita la comunicación es diferente a la contratada por el abonado, la petición será rechazada. También el SBC y P-CSCF chequean en los mensajes INVITE que la dirección IP y Call-ID sean correctas. El SBC cifra los mensajes SIP utilizando (TLS, Transport Layer Security) o IPSec para que los atacantes no puedan obtener el contenido del mensajes. La activación del servicio suplementario candado electrónico (Password Call Barring) es otra medida que puede activar el usuario para proteger su servicio. Interferencia Sesión: Los atacantes envían ilegalmente mensajes BYE o CANCEL a una o ambas partes durante una sesión. Cuando una de las partes recibe el BYE o CANCEL se libera la sección. Como medida para rechazar este ataque el SBC y el P-CSCF comprueban que la dirección IP, Call- ID, CSeq que contienen los mensajes BYE o el CANCEL sean correctas. También el SBC cifra los mensajes SIP utilizando (TLS, Transport Layer Security) o IPSec para que los atacantes no puedan obtener el contenido del mensajes. La suplantación de la identidad del usuario: Los atacantes falsifican los parámetros P-Asserted- Identity, Contact, From de la cabecera de los mensajes INVITE de modo el número real no sea mostrado a la parte llamada. La suplantación de identidad puede ser utilizada para acometer fraudes, atacar o molestar a la parte llamada. La solución a este tipo de ataques consiste en que los elementos de red de IMS comprueben los parámetros From, Contact, la identidad del usuario y la información de autentificación del mensaje SIP. También se comprueba que la dirección IP en la cabecera de los mensajes SIP coincida con la asignada por la red. Otra variante es que el P-CSCF verifica que el parámetro P-Preferred-Identity es uno de los IMPU del usuario. 6. CAMPO DE PRUEBAS IMS En este trabajo proponemos la implementación de un banco de pruebas de IMS sobre el sistema operativo Debian 7 Wheezy que ayudará a los investigadores a crear su propio núcleo IMS con el objetivo de estudiar los protocolos de estas redes; así como evaluar el comportamiento de las mismas ante los diferentes tipos de ataques que fueron presentados anteriormente. Conocer la naturaleza de cada uno de los ataques permitirá crear implementaciones de redes más seguras en cualquier nivel de la red de telecomunicaciones. Figura 6.1: FOKUS OPEN IMS CORE. Fuente: Open IMS Playground@FOKUS. Para ello utilizamos la plataforma Open IMS Core que es una implementación de código abierto del núcleo de una red IMS, y que consiste de un P- CSCF, I-CSCF, S-CSCF, y un HSS. Open Source IMS Core System es un sistema multimedia IP para pruebas desarrollado por el Instituto Fraunhofer Fokus y no está concebida para aplicaciones comerciales. El subsistema creado por FOKUS es un entorno ideal para desarrolladores que desean crear aplicaciones y servicios basados en IMS. Los componentes del CORE IMS de FOKUS están basado en el software de código abierto SIP Express Router (SER).

10 Figura 6.2: Laboratorio de pruebas. Dominio ims-lab.cu. Fuente: Autores. En esta etapa inicial de la investigación se instaló Open IMS Core en un servidor Debian 7 Wheezy y se configuraron cada uno de los nodos IMS para trabajar localmente el propio servidor. En la segunda etapa de la investigación se instalará cada nodo en un servidor diferente para aumentar el rendimiento del núcleo de IMS y disminuir el tiempo de respuesta de la red. En la figura 6.2 se puede observar el topológico de la prueba de campo propuesta. Después de configurado el núcleo de IMS se procederá a instalar un cliente IMS en las PC1 y PC2. SP1 y SP2 serán dos teléfonos SIP MITEL Los ordenadores WF1 y WF2 accederán a la red vía WIFI y tendrán instalado clientes IMS. Los teléfonos inteligentes y accederán a la red vía WIFI utilizando la aplicación IMSDROID. En la tercera etapa de la investigación se instalará el núcleo de IMS, en la plataforma de virtualización PROXMOX con el objetivo de incrementar el rendimiento de la red. Para lograr lo anterior se crean máquinas virtuales realizando funciones específicas de P-CSCF, S-CSCF. Al incrementar lo cantidad de nodos del núcleo de la red se garantiza in incremento de la capacidad de procesamiento de sesiones así como la mejora de la fiabilidad del sistema ante el fallo de algún nodo. 7. MODELO COMBINADO DE IMS Y SDN BASADA OPENFLOW PARA MITIGAR ATAQUES DE SEGURIDAD EN REDES FUTURAS. Las Redes Definidas por Software (Software Defined Network por sus siglas en inglés) se presentan como un nuevo paradigma de red que tiene el objetivo de solucionar los problemas de complejidad, escalabilidad y dependencia de proveedores de las redes actuales. Las SDN han surgido como un enfoque para fomentar la innovación en la red a través de una mayor flexibilidad, capacidad de programación, gestión y rentabilidad [11] [33]. En las SDN se separa la lógica de control de los routers y switch de la conmutación de tramas y paquetes. Con esta separación los routers se convierten en dispositivos simples especializados en el reenvío de tramas y paquetes.[34] En las SDN la inteligencia de la red se encuentra lógicamente centralizada en controladores, basados en software, que mantienen una visión global de la red. [22], [22], [11] [15], [35], [16] [21]. La separación de los planos de control y renvío de la red no es un concepto nuevo. Es una característica clave de MPLS, y también es una característica de muchas redes Wi-Fi contemporáneas. Sin embargo, si se mira a SDN estrictamente como la desvinculación del plano de control de red desde el plano de renvío de red, entonces su valor se limita a funciones como la reducción de la latencia de red. Figura 7.1: Arquitectura de SDN. Open Network Fundation. Figura 7.2: Arquitectura simplificada de SDN. Se puede definir a SDN como una arquitectura de red con cuatro pilares fundamentales: Los planos de control y de datos se encuentran desacoplados. La Funcionalidad de control es eliminada de los dispositivos de red, los que se convertirán en simples elementos de reenvío de paquetes. Los reenvíos de paquetes se basan en flujos y no en el análisis del destino de cada datagrama. Un flujo se define en general por un conjunto de valores de los campos de los paquetes, que actúan como filtro o criterio y un conjunto de acciones que son las instrucciones. En el

11 contexto SDN / OpenFlow, un flujo es una secuencia de paquetes entre un origen y un destino. Todos los paquetes de un flujo reciben políticas de servicios idénticas en los dispositivos de reenvío. La abstracción de flujo permite unificar el comportamiento de los diferentes tipos de dispositivos de red, incluyendo routers, switches, firewalls, y middleboxes. La programación de flujo permite una flexibilidad sin precedentes, limitado sólo a las capacidades de las tablas. La lógica de control se mueve a una entidad externa, el llamado controlador SDN o NOS. El NOS es una plataforma de software que se ejecuta en tecnología de servidores y que proporciona los recursos esenciales y abstracciones para facilitar la programación de dispositivos de conmutación de paquetes basado en una vista de red abstracta lógicamente centralizada. Su propósito es, por tanto, similar a la de un sistema operativo tradicional. La red se puede programar a través de aplicaciones o programas que estén ejecutándose en la parte superior del NOS que interactúa con los dispositivos del plano de datos subyacentes. Esta es una característica fundamental de las SDN, considerado como su principal propuesta de valor. Las SDN también permiten simplificar los dispositivos de red, pues ya estos no tienen que entender y procesar varios protocolos estándares, sino simplemente aceptar instrucciones de los controladores SDN. La arquitectura de SDN permite a los administradores de red tener un control central programable del tráfico en la red, sin necesidad de acceso físico a los dispositivos de hardware de la red. Como se ilustra en la Fig. 7.1, la capa de aplicación reside por encima de la capa de control. A través de la capa de control, las aplicaciones SDN pueden tener en tiempo real una visión global de la red a través de la interfaz "northbound" de los controladores. Equipado con esta información, las aplicaciones SDN pueden implementar mediante la programación estrategias para manipular las redes físicas subyacentes utilizando un lenguaje de alto nivel proporcionado por la capa de control. En este aspecto, SDN ofrece un modelo de "plataforma como servicio" para la interconexión de redes. En la sección, describimos varias aplicaciones SDN construidas sobre esta plataforma entre las que se destacan: Encaminamiento adaptativo: La conmutación de paquetes y el enrutamiento son las principales funciones de una red. Tradicionalmente, los diseños de conmutación y enrutamiento se basan en enfoques distribuidos. Sin embargo, dichos diseños distribuidos tienen muchas deficiencias relacionadas con la complejidad de las implementaciones, lenta convergencia y limita la capacidad de lograr un control adaptativo. Como solución alternativa SDN ofrece un control lógicamente centralizado que retroalimenta a las aplicaciones del estado global de la red. Este nuevo paradigma permite a las aplicaciones de forma adaptativa controlar el comportamiento de la red. Una de las aplicaciones más populares de SDN es la de balance de carga (load balancing) y crosslayer design. Balance de carga (load balancing): El balance de carga es una técnica ampliamente utilizada para lograr un mejor uso de los recursos de la red. crosslayer es una técnica muy promocionada para mejorar la integración de las entidades en diferentes capas en una arquitectura de capas, por ejemplo, el modelo de referencia OSI, permitiendo a las entidades en diferentes capas intercambiar información entre ellas. Ejemplo de aplicaciones de este tipo en SDN son las que tienen como misión garantizar calidad de servicio (QoS). Roaming Ilimitado (Boundless Roaming), en SDN, las redes de diferentes operadores con diferentes tecnologías podrían tener un plano de control unificado común. Esto permite la movilidad sin límites y realizando conmutaciones entre distintas tecnologías y soportes. Mantenimiento de la red (Network Maintenance): Los errores de configuración son causas comunes de fallas en la red. Se ha reportado que más de 60% de las interrupciones de la red se debe a errores de configuración humanos. Las herramientas de red existentes actualmente que se ocupan del diagnóstico individual como ping, traceroute, tcpdump y NetFlow, no proporcionan una solución de mantenimiento de toda la red. A modo de comparación, la gestión centralizada y automatizada; la aplicación de políticas coherentes, inherente a SDN redes, ayudan a reducir los errores de configuración. Por otra parte, con una visión global y un control centralizado de la configuración, SDN ofrece oportunidades para diseñar un diagnostico comprensivo de la red; con el objetivo de crear un mantenimiento automatizado. Un beneficio clave de los mecanismos de pronóstico basados en SDN es que el control central de una aplicación SDN puede resolver directamente los fallos de red con menor tiempo de convergencia de enrutamiento. Seguridad de la red (Network Security): La seguridad de la red es una parte notable de la seguridad cibernética y está ganando atención constantemente. Las prácticas tradicionales relacionadas con la seguridad de red se implementan desplegando firewalls, SBC, servidores proxy para proteger una red física. Debido a la heterogeneidad de las aplicaciones en las redes, garantizar accesos exclusivos para las aplicaciones a la red, implica la aplicación de una política en toda la red y una tediosa configuración

12 de cortafuegos, servidores proxy, y otros dispositivos. En este aspecto, SDN ofrece una plataforma conveniente para centralizar, combinar y controlar las políticas y configuraciones para asegurarse de que la implementación cumple con la protección requerida. De esta manera de una forma proactiva se evitan brechas de seguridad. Por otra parte, SDN proporciona mejores métodos para detectar y defenderse de ataques de forma reactiva. Debido a que SDN tiene la capacidad de recopilar estado de la red, se pueden analizar los patrones de tráfico en busca de amenazas de seguridad potenciales. Los ataques, como ataques de ráfaga de baja velocidad y distribuidos de denegación de servicio (DDoS), se pueden detectar simplemente mediante el análisis de patrones de tráfico. Al mismo tiempo, SDN proporciona un control programático sobre los flujos de tráfico. En consecuencia, el tráfico de interés puede ser dirigido explícitamente a sistemas prevención de intrusos Sistemas (IPSs) para los sistemas de inspección profunda de paquetes (DPI). Si estos sistemas detectan ataques, SDN puede instalar reglas de reenvío de paquetes a los dispositivos de conmutación para bloquear el tráfico malicioso cuando esté entrando o propagando por la red. El control centralizado de SDN permite poner en cuarentena dinámica a los host atacantes y obligarlos a pasar por un nuevo proceso de autenticación. Por último, SDN es más capaz de proporcionar un control directo y preciso sobre las redes, y le da la oportunidad de poner en práctica nuevas estrategias de protección de la seguridad. Analizando las potencialidades relativas a las aplicaciones de calidad de servicios, balance de carga y seguridad de las redes SDN que fueron abordadas muy brevemente, es evidente que la arquitectura IMS debe colaborar con la arquitectura SDN para que los elementos que las componen puedan en tiempo real realimentarse como por ejemplo de situaciones de seguridad en toda la red. Los dispositivos conmutadores de paquetes de la red deben soportar Openflow que es el protocolo estándar entre la capa de infraestructura y el control. Bajo este escenario es necesario pensar en la integración de las dos arquitecturas de forma tal que permita la creación de novedosos servicios IMS mediante el intercambio de señalización entre el control de IMS y aplicaciones de SDN. En redes donde el servicio IMS no sea virtual se pueden sustituir los switch y router por equipamientos que soporten el protocolo Openflow. De esta forma se puede realizar una migración de los servicios IMS sin necesidad de cambiar el núcleo de la red. Para el caso especial de la seguridad en IMS para mitigar los ataques de denegación de servicio y paquetes malformados se propone la creación de una aplicación SDN especializada en este tipo de ataques. La aplicación SDN podrá a partir de la información estadística que está concebida en el propio protocolo Openflow chequear las velocidades de señalización en múltiples puntos de la red, aplicar reglas de denegación a usuarios maliciosos o trasferir los datagramas a otras aplicaciones de inspección profunda de paquetes (DPI) antes de que los mensajes SIP sean enviados al P-CSCF. Figura 7.3: Colaboración de IMS, SDN basada en el protocolo OpenFlow. Para los ataques de lógica de servicio la aplicación SDN puede emplear filtros para verificar que los mensajes SIP cumplen con lo definido en los estándares de este protocolo. Las aplicaciones SDN corren sobre servidores y plataformas de virtualización que ante ataques y sobre cargas de pueden auto ajustarse por ejemplo incrementando la cantidad de memoria o de procesamiento sin necesidad de incrementar hardware en el núcleo de la red IMS. La arquitectura para mejorar la seguridad de la red debe contemplar los siguientes criterios: Delegar las tareas a varios controladores (en lugar de un solo controlador). En el controlador SDN se deben separar la funciones de control de las de monitoreo con el objetivo de evitar sobrecargas. Crear procedimientos a nivel de aplicación para distinguir entre ataques de alta y baja resolución. Detectar ataques de alta resolución como el envenenamiento ARP Cache (ARP Cache Poisoning), y ARP Spoofing, que no pueden ser identificados sin tener acceso a todos los paquetes entrantes de un dispositivo de red. Detectar ataques de baja resolución como DoS, DDoS y amplificación DNS, sin analizar el 100% de los paquetes entrantes a un dispositivo. Se debe crear una API que permita la comunicación entre los elementos de control de la arquitectura IMS del 3GPP y las aplicaciones de la arquitectura SDN. Se debe crear una API que permita la comunicación entre los PRCF, PCEF de la arquitectura IMS y las aplicaciones encargadas de garantizar la calidad de servicio (QoS) de la arquitectura SDN.

13 8. CONCLUSIONES En este trabajo se realiza un análisis de la convergencia y tendencia de las redes de telecomunicaciones, posteriormente se presenta la arquitectura de IMS donde se muestran las diferencias con las redes anteriores así como todo el proceso de estandarización. Para implementar redes que satisfagan los requerimientos de los usuarios de aquí en adelante, se hace necesario un cambio en la concepción de las arquitecturas de telecomunicaciones actuales. IMS llegó para cumplir con el sueño de las redes completamente IP, convergencia fijo-móvil e internet, así como para resolver los problemas de calidad de servicio y seguridad de las redes anteriores. Este tipo de arquitectura permite desarrollar nuevos servicios innovadores sin la necesidad de cambiar la infraestructura de la red. En el modelo de arquitectura se describen las funciones de los principales elementos de la red para finalmente analizar las vulnerabilidades, amenazas, medidas y de seguridad más importantes de IMS. También se propone la implementación de un banco de prueba que ayudará a los investigadores a crear su propio núcleo IMS con el objetivo de estudiar los protocolos de estas redes; así como evaluar el comportamiento de las mismas ante los diferentes tipos de ataques que fueron presentados anteriormente. Finalmente se propone la colaboración de las arquitecturas IMS y SDN para mitigar problemas de seguridad en redes futuras. 9. REFERENCIAS BIBLIOGRÁFICAS [1] ETSI, "ETSI Intelligent Transport Systems" [2] G. (ALCATEL) Gauthey, "Trends in the Telecom industry Drivers for our connected age", Global Forum- Geneva-17 november 2014, n.o november, [3] 3GPP, "3GPP TS Network architecture" [4] 3GPP, "3GPP TS IP Multimedia Subsystem (IMS); Stage 2" [5] G.- Camarillo, The 3G IP Multimedia Subsystem ( IMS ), 3ra ed [6] A. F. Moreno, ""Optimización de la arquitectura de NGN en Cuba. Introducción de IMS."", Instituto Superior Politécnico José Antonio Echevarría CUJAE, [7] Huawei_Technologies, "IMS Product Documentation", HUAWEI Electronic Document Explorer (HedEx) Lite, [8] ITU-T, "ITU-T Recommendation Y IMS for Next Generation Networks", [9] ITU-T, ITU-T X.805. Security architecture for systems providing end-to-end communications [10] 3GPP, "3GPP TS G Security; Security architecture" [11] "Future Networks: overview of standard industry developments". [En línea]. Disponible en: [Accedido: 11-nov-2015]. [12] "Home - Open Networking Foundation". [En línea]. Disponible en: [Accedido: 29-oct- 2015]. [13] "ONF TR-502 SDN architecture".. [14] "OpenFlow - Open Networking Foundation". [En línea]. Disponible en: [Accedido: 29-oct-2015]. [15] "SDN Architecture overview". [En línea]. Disponible en: nloads/sdn-resources/technical-reports/sdnarchitecture-overview-1.0.pdf. [Accedido: 29-oct- 2015]. [16] "SDN Standardization in ONF:ONF Structure, OpenFlow Spec & ONF's SDN Architecture".. [17] Takashi Egawa, "SDN standardizationlandscape from ITU-T Study Group 13", [En línea]. Disponible en: T/Workshops-and- Seminars/sdn/201306/Documents/S1P2_Takashi_Egawa.pptx. [Accedido: 11-nov-2015]. [18] M. Boucadair y C. Jacquenet, "Software- Defined Networking: A Perspective from within a Service Provider Environment". [En línea]. Disponible en: [Accedido: 29-oct-2015]. [19] "Software-Defined Networking (SDN) Definition - Open Networking Foundation". [En línea]. Disponible en: [Accedido: 29-oct-2015]. [20] S. Denazis, E. Haleplidis, J. H. Salim, O. Koufopavlou, D. Meyer, y K. Pentikousis, "Software- Defined Networking (SDN): Layers and Architecture Terminology", [21] "Software-Defined Networking: The New Norm for Networks". [En línea]. Disponible en: nloads/sdn-resources/white-papers/wp-sdnnewnorm.pdf. [Accedido: 23-oct-2015]. [22] "TR-518:Relationship of SDN and NFV". [En línea]. Disponible en: nloads/sdn-resources/technical-

14 reports/onf _architectural_comparison.08-2.pdf. [Accedido: 29-oct-2015]. [23] "10 Reasons To Use Open Source Software Defined Networking_ChinaSDN". [En línea]. Disponible en: [Accedido: 16-nov-2015]. [24] Z. Hu, M. Wang, X. Yan, Y. Yin, y Z. Luo, "A comprehensive security architecture for SDN", en th International Conference on Intelligence in Next Generation Networks (ICIN), 2015, pp [25] J. R. de Almeida Amazonas, G. Santos- Boada, y J. Solé-Pareta, "A critical review of Open- Flow/SDN-based networks", en th International Conference on Transparent Optical Networks (ICTON), 2014, pp [26] M. Canini, P. Kuznetsov, D. Levin, y S. Schmid, "A distributed and robust SDN control plane for transactional network updates", en 2015 IEEE Conference on Computer Communications (INFO- COM), 2015, pp [27] M. Qilin y S. Weikang, "A Load Balancing Method Based on SDN", en 2015 Seventh International Conference on Measuring Technology and Mechatronics Automation (ICMTMA), 2015, pp [28] "Applying SDN/OpenFlow in virtualized LTE to support distributed mobility management (DMM)". [En línea]. Disponible en: _Applying_SDNOpenFlow_in_virtualized_LTE_to_s upport_distributed_mobility_management_%28dmm% 29. [Accedido: 22-oct-2015]. [29] S. Scott-Hayward, S. Natarajan, y S. Sezer, "A Survey of Security in Software Defined Networks", IEEE Communications Surveys Tutorials, vol. PP, n.o 99, pp. 1-1, [30] B. A. A. Nunes, M. Mendonca, X.-N. Nguyen, K. Obraczka, y T. Turletti, "A Survey of Software-Defined Networking: Past, Present, and Future of Programmable Networks", IEEE Communications Surveys Tutorials, vol. 16, n.o 3, pp , Third [31] F. Hu, Q. Hao, y K. Bao, "A Survey on Software-Defined Network and OpenFlow: From Concept to Implementation", IEEE Communications Surveys Tutorials, vol. 16, n.o 4, pp , Fourthquarter [32] W. Xia, Y. Wen, C. H. Foh, D. Niyato, y H. Xie, "A Survey on Software-Defined Networking", IEEE Communications Surveys Tutorials, vol. 17, n.o 1, pp , Firstquarter [33] "A Survey on Software-Defined Networking".. [34] Alejandro García Centeno, Carlos Manuel Rodríguez Vergel, Caridad Anías Calderón, y Camilo Casmartiño Bondarenko, "Controladores SDN, elementos para su selección y evaluación." [En línea]. Disponible en: article/viewfile/164/153. [Accedido: 13-nov-2015]. [35] "SDN Architecture Overview". 10. SÍNTESIS CURRICULARES DE LOS AUTORES Yanko Antonio Marín Muro: Especialista del departamento de Control de Sancti Spíritus y funciones de asistencia técnica de las tecnologías C&C08 (TDM CORE NETWORK), Next Generation Network (NGN CORE NETWORK) de HUAWEI en ETECSA. Graduado en el año 2000 en la Universidad Central de Las Villas (UCLV) como Ingeniero en Telecomunicaciones y Electrónica. Comienza ese mismo año en la Empresa de Telecomunicaciones de Cuba (ETECSA) de la provincia de Sancti Spíritus donde comienza su adiestramiento laboral. Ha participado como especialista en los cambios tecnológicos de todos los centros telefónicos de la provincia de Sancti Spíritus obteniendo valiosos reconocimientos. Actualmente y desde hace más de 10 años es miembro del grupo de trabajo de asistencia técnica de tecnologías de red fija de HUAWEI donde se ha desempeñado satisfactoriamente y ha participado activamente en proyectos tecnológicos con alcance provincial y nacional. Es instructor adjunto al centro de formación nacional de ETECSA. yanko.marin@etecsa.cu; yanko.antonio@gmail.com; muro@uclv.cu Dr. C. Ing. Félix Florentino Alvarez Paliza: Profesor Titular, Jefe de colectivo de la disciplina de Sistemas de Telecomunicaciones, Coordinador Maestría de Telemática y Coordinador del Programa Doctoral Tutelar de Telecomunicaciones y Electrónica. fapaliza@uclv.edu.cu