Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting

Detalhes bibliográficos
Ano de defesa: 2018
Autor(a) principal: Lucion, Everson Luis Rosa
Orientador(a): Não Informado pela instituição
Banca de defesa: Não Informado pela instituição
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
dARK ID: ark:/26339/0013000010hg3
Idioma: por
Instituição de defesa: Universidade Federal de Santa Maria
Brasil
Ciência da Computação
UFSM
Programa de Pós-Graduação em Ciência da Computação
Centro de Tecnologia
Programa de Pós-Graduação: Não Informado pela instituição
Departamento: Não Informado pela instituição
País: Não Informado pela instituição
Palavras-chave em Português:
Perímetro definido por software
Autenticação
Autorização por um único pacote
Fingerprinting de dispositivo
Software defined perimeter
Authentication
Single packet authorization
Device fingerprinting
CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO
Link de acesso: http://repositorio.ufsm.br/handle/1/20734
Resumo: The traditional firewall-based network perimeter model enables communication between devices before they authenticate, resulting in vulnerabilities that facilitate different types of attacks/intrusions. To mitigate this vulnerability, the Cloud Security Alliance (CSA) proposed the Software Defined Perimeter (SDP), a new approach to authenticate before the first communication occurs. In SDP, the use of Single Packet Authorization (SPA) is critical for first access to occur only after device authentication. Through the analysis of the SDP protocol there were security issues that need to be improved or addressed in the creation of the SPA. It is also observed that some vulnerabilities still persist, having seen failures in the TCP/IP model when the identity of a device is bound to its IP address. This work recommends adaptations in the SDP architecture and definition of a new pattern of creation and sending of the SPA. It was designed under modular aspects that are incorporated into the SDP architecture. In addition, they propose to include in the SPA structure a device fingerprint field, as well as present a method to construct and use the new field in order to solve the temporal gap between SPA authentication and connection for user authentication. The results demonstrate that the proposed solution fights improper access and considerably increases the degree of difficulty in detecting, replicating or reading SPA data. Through the experiments it has been demonstrated that the increase of the processing time of the new SPA and the generation of the fingerprint do not compromise the solution and are justified by the gains in the levels of protection.
id UFSM_645ff93eb718dd5ff8ad6be4e8b88408
oai_identifier_str oai:repositorio.ufsm.br:1/20734
network_acronym_str UFSM
network_name_str Manancial - Repositório Digital da UFSM
repository_id_str
spelling Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device FingerprintingSoftware defined perimeter: security improvements in authentication with Single Packet Authorization and Device FingerprintingPerímetro definido por softwareAutenticaçãoAutorização por um único pacoteFingerprinting de dispositivoSoftware defined perimeterAuthenticationSingle packet authorizationDevice fingerprintingCNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAOThe traditional firewall-based network perimeter model enables communication between devices before they authenticate, resulting in vulnerabilities that facilitate different types of attacks/intrusions. To mitigate this vulnerability, the Cloud Security Alliance (CSA) proposed the Software Defined Perimeter (SDP), a new approach to authenticate before the first communication occurs. In SDP, the use of Single Packet Authorization (SPA) is critical for first access to occur only after device authentication. Through the analysis of the SDP protocol there were security issues that need to be improved or addressed in the creation of the SPA. It is also observed that some vulnerabilities still persist, having seen failures in the TCP/IP model when the identity of a device is bound to its IP address. This work recommends adaptations in the SDP architecture and definition of a new pattern of creation and sending of the SPA. It was designed under modular aspects that are incorporated into the SDP architecture. In addition, they propose to include in the SPA structure a device fingerprint field, as well as present a method to construct and use the new field in order to solve the temporal gap between SPA authentication and connection for user authentication. The results demonstrate that the proposed solution fights improper access and considerably increases the degree of difficulty in detecting, replicating or reading SPA data. Through the experiments it has been demonstrated that the increase of the processing time of the new SPA and the generation of the fingerprint do not compromise the solution and are justified by the gains in the levels of protection.O modelo tradicional de perímetro de rede baseado em firewall, permite a co- municação entre os dispositivos antes de efetuarem a autenticação, o que resulta em vulnerabilidades que facilitam diferentes categorias de ataques/invasões. Para mitigar esta vulnerabilidade, a Cloud Security Alliance (CSA) propôs o Perímetro Definido por Software (SDP), uma nova abordagem para autenticar antes de a primeira comuni- cação acontecer. No SDP, o uso de Single Packet Authorization (SPA) é fundamental para que o primeiro acesso ocorra apenas após a autenticação do dispositivo. Através da análise do protocolo SDP verificaram-se questões de segurança que precisam ser melhoradas ou abordadas na criação do SPA. Observa-se também que algumas vulnerabilidades ainda persistem, tendo em vistas falhas no modelo TCP/IP quando a identidade de um dispositivo é vinculado ao seu endereço IP. Este trabalho reco- menda adequações na arquitetura SDP e definição de um novo padrão de criação e envio do SPA. Ele foi projetado sob aspectos modulares que são incorporados à arquitetura SDP. Além disso, propõem a inclusão na estrutura do SPA de um campo de fingerprint de dispositivo, assim como apresenta um método para construir e usar o novo campo com o intuito de solucionar o gap temporal entre a autenticação do SPA e conexão para autenticação do usuário. Os resultados demonstram que a solução proposta combate o acesso indevido com o fingerprinting de dispositivos e aumenta consideravelmente o grau de dificuldade de detecção, replicação ou leitura dos dados do SPA. Através dos experimentos foi demonstrado que o aumento do tempo de pro- cessamento do novo SPA e a geração do fingerprint não comprometem a solução e são justificados pelos ganhos nos níveis de proteção.Universidade Federal de Santa MariaBrasilCiência da ComputaçãoUFSMPrograma de Pós-Graduação em Ciência da ComputaçãoCentro de TecnologiaNunes, Raul Cerettahttp://lattes.cnpq.br/7947423722511295Turchetti, Rogerio CorreaXXXXXXXXXXXXXXXAmaral, Érico Marcelo Hoff doXXXXXXXXXXXXXXXXXXLucion, Everson Luis Rosa2021-04-29T20:39:08Z2021-04-29T20:39:08Z2018-12-14info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://repositorio.ufsm.br/handle/1/20734ark:/26339/0013000010hg3porAttribution-NonCommercial-NoDerivatives 4.0 Internationalinfo:eu-repo/semantics/openAccessreponame:Manancial - Repositório Digital da UFSMinstname:Universidade Federal de Santa Maria (UFSM)instacron:UFSM2021-04-30T06:00:44Zoai:repositorio.ufsm.br:1/20734Biblioteca Digital de Teses e Dissertaçõeshttps://repositorio.ufsm.br/PUBhttps://repositorio.ufsm.br/oai/requestatendimento.sib@ufsm.br||tedebc@gmail.com||manancial@ufsm.bropendoar:2021-04-30T06:00:44Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)false
dc.title.none.fl_str_mv Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
Software defined perimeter: security improvements in authentication with Single Packet Authorization and Device Fingerprinting
title Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
spellingShingle Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
Lucion, Everson Luis Rosa
Perímetro definido por software
Autenticação
Autorização por um único pacote
Fingerprinting de dispositivo
Software defined perimeter
Authentication
Single packet authorization
Device fingerprinting
CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO
title_short Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
title_full Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
title_fullStr Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
title_full_unstemmed Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
title_sort Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
author Lucion, Everson Luis Rosa
author_facet Lucion, Everson Luis Rosa
author_role author
dc.contributor.none.fl_str_mv Nunes, Raul Ceretta
http://lattes.cnpq.br/7947423722511295
Turchetti, Rogerio Correa
XXXXXXXXXXXXXXX
Amaral, Érico Marcelo Hoff do
XXXXXXXXXXXXXXXXXX
dc.contributor.author.fl_str_mv Lucion, Everson Luis Rosa
dc.subject.por.fl_str_mv Perímetro definido por software
Autenticação
Autorização por um único pacote
Fingerprinting de dispositivo
Software defined perimeter
Authentication
Single packet authorization
Device fingerprinting
CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO
topic Perímetro definido por software
Autenticação
Autorização por um único pacote
Fingerprinting de dispositivo
Software defined perimeter
Authentication
Single packet authorization
Device fingerprinting
CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO
description The traditional firewall-based network perimeter model enables communication between devices before they authenticate, resulting in vulnerabilities that facilitate different types of attacks/intrusions. To mitigate this vulnerability, the Cloud Security Alliance (CSA) proposed the Software Defined Perimeter (SDP), a new approach to authenticate before the first communication occurs. In SDP, the use of Single Packet Authorization (SPA) is critical for first access to occur only after device authentication. Through the analysis of the SDP protocol there were security issues that need to be improved or addressed in the creation of the SPA. It is also observed that some vulnerabilities still persist, having seen failures in the TCP/IP model when the identity of a device is bound to its IP address. This work recommends adaptations in the SDP architecture and definition of a new pattern of creation and sending of the SPA. It was designed under modular aspects that are incorporated into the SDP architecture. In addition, they propose to include in the SPA structure a device fingerprint field, as well as present a method to construct and use the new field in order to solve the temporal gap between SPA authentication and connection for user authentication. The results demonstrate that the proposed solution fights improper access and considerably increases the degree of difficulty in detecting, replicating or reading SPA data. Through the experiments it has been demonstrated that the increase of the processing time of the new SPA and the generation of the fingerprint do not compromise the solution and are justified by the gains in the levels of protection.
publishDate 2018
dc.date.none.fl_str_mv 2018-12-14
2021-04-29T20:39:08Z
2021-04-29T20:39:08Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://repositorio.ufsm.br/handle/1/20734
dc.identifier.dark.fl_str_mv ark:/26339/0013000010hg3
url http://repositorio.ufsm.br/handle/1/20734
identifier_str_mv ark:/26339/0013000010hg3
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv Attribution-NonCommercial-NoDerivatives 4.0 International
info:eu-repo/semantics/openAccess
rights_invalid_str_mv Attribution-NonCommercial-NoDerivatives 4.0 International
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.publisher.none.fl_str_mv Universidade Federal de Santa Maria
Brasil
Ciência da Computação
UFSM
Programa de Pós-Graduação em Ciência da Computação
Centro de Tecnologia
publisher.none.fl_str_mv Universidade Federal de Santa Maria
Brasil
Ciência da Computação
UFSM
Programa de Pós-Graduação em Ciência da Computação
Centro de Tecnologia
dc.source.none.fl_str_mv reponame:Manancial - Repositório Digital da UFSM
instname:Universidade Federal de Santa Maria (UFSM)
instacron:UFSM
instname_str Universidade Federal de Santa Maria (UFSM)
instacron_str UFSM
institution UFSM
reponame_str Manancial - Repositório Digital da UFSM
collection Manancial - Repositório Digital da UFSM
repository.name.fl_str_mv Manancial - Repositório Digital da UFSM - Universidade Federal de Santa Maria (UFSM)
repository.mail.fl_str_mv atendimento.sib@ufsm.br||tedebc@gmail.com||manancial@ufsm.br
_version_ 1847153472581926912

Registros relacionados