Detección y mitigación de anomalías en un firewall de red

Abstract

RESUMEN: Para alcanzar la resiliencia en redes de telecomunicaciones es necesario el planteamiento de metodologías que persigan este objetivo desde cada una de las etapas y dispositivos de la red, proporcionando la capacidad de seguir operando a niveles aceptables de servicio ante la ocurrencia de eventos infortunados que comprometen su correcto funcionamiento. El Firewall de red es uno de los dispositivos más importantes dentro del esquema de seguridad y protección de una red; es concebido como la primera línea de defensa del sistema, jugando un rol crucial al proteger la red de los flujos de tráfico que ingresan.

El Firewall es por tanto el blanco de ataques maliciosos que buscan doblegar su capacidad de filtrar tráfico; de lograr la salida de operación de este servicio, la red estaría a merced de nuevos ataques con consecuencias que pueden llegar a ser devastadoras. En consecuencia, es necesario el planteamiento de metodologías que provean la capacidad de sobreponerse a este tipo de eventos manteniendo niveles mínimos de operación, resiliencia.

En este trabajo se propone una metodología de dos etapas. En primer lugar, la detección temprana de anomalías en los niveles de utilización de los recursos computacionales del Firewall, ocasionadas quizá, por ataques DoS que apuntan a las últimas reglas del mecanismo de seguridad del Firewall, a fin de generar la saturación de los recursos computacionales hasta colapsar el servicio. Tal detección se da mediante el monitoreo en tiempo real del nivel de utilización de la \cpu; de superar un umbral definido, se lanza una alarma que informa de la ocurrencia del evento. Para definir el umbral, se derivó un modelo teórico para el estudio de rendimiento del sistema en diferentes escenarios, haciendo posible una clasificación de comportamiento normal o atípico en la utilización de recursos.

La segunda etapa consiste en la mitigación o remediación de las anomalías. Se desarrolló un algoritmo de planificación del orden de interrogación de las reglas del Firewall. El problema fue formulado como un programa entero binario sobre un grafo bipartito entre el conjunto de reglas, y una entidad definida en el marco de este proyecto denominada los estados de servicio. Se trata de una particularización del problema Maximum Weight Match; dada la complejidad computacional de este problema, se plantea un algoritmo para la obtención de una solución aproximada mediante la adaptación del Greedy Maximal Match Scheduling. Los resultados obtenidos evidencian que bajo la influencia de un ataque DoS, se logra mitigar las posibles anomalías en la utilización de la CPU, retornando rápidamente a valores de comportamiento normal, y garantizando la operabilidad del sistema incluso ante la presencia de eventos infortunados.