DETOX: Detecção de Inconsistências na Política de Segurança Implementada em Firewall Real

  • Ygor Kiefer Follador de Jesus UFES
  • Magnos Martinello UFES
  • Eduardo Zambon UFES

Resumo


Garantir a consistência das regras que implementam uma política de segurança de rede através de um firewall é uma tarefa complexa e exaustiva, podendo gerar vulnerabilidades na rede quando mal executada. Neste artigo, realizamos um estudo de teorias e algoritmos já existentes nesta área e apresentamos o DETOX, uma ferramenta para a detecção de inconsistências entre regras que compõem um firewall. Além de validar sua implementação reproduzindo os resultados obtidos na literatura, a ferramenta foi utilizada em um caso de estudo real, aplicado sobre a configuração de firewall em uso em uma instituição de ensino superior. Neste caso de estudo, a ferramenta indicou a existência de inconsistências que não haviam sido previamente descobertas.

Referências

Al-Shaer, E. and Hamed, H. (2004). Modeling and management of firewall policies. Network and Service Management, IEEE Transactions on, 1(1):2–10.

Bartal, Y., Mayer, A., Nissim, K., and Wool, A. (1999). Firmato: a novel firewall management toolkit. In Security and Privacy, 1999. Proceedings of the 1999 IEEE Symposium on, pages 17–31.

Eppstein, D. and Muthukrishnan, S. (2001). Internet packet filter management and rectangle geometry. In Proceedings of the Twelfth Annual ACM-SIAM Symposium on Discrete Algorithms, SODA ’01, pages 827–835, Philadelphia, PA, USA. Society for Industrial and Applied Mathematics.

Hari, A., Suri, S., and Parulkar, G. (2000). Detecting and resolving packet filter conflicts. In INFOCOM 2000. Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE, volume 3, pages 1203–1212 vol.3.

Khorchani, B., Halle, S., and Villemaire, R. (2012). Firewall anomaly detection with a model checker for visibility logic. In Network Operations and Management Symposium (NOMS), 2012 IEEE, pages 466–469.

Mayer, A., Wool, A., and Ziskind, E. (2000). Fang: a firewall analysis engine. In Security and Privacy, 2000. S P 2000. Proceedings. 2000 IEEE Symposium on, pages 177–187.

Mukkapati, N. and Ch.V.Bhargavi (2013). Detecting policy anomalies in firewalls by relational algebra and raining 2d-box model. International Journal of Computer Science and Network Security, IJCSNS, 13(5).

Yuan, L., Chen, H., Mai, J., Chuah, C.-N., Su, Z., and Mohapatra, P. (2006). Fireman: a toolkit for firewall modeling and analysis. In Security and Privacy, 2006 IEEE Symposium on, pages 15 pp.–213.
Publicado
30/05/2016
JESUS, Ygor Kiefer Follador de; MARTINELLO, Magnos; ZAMBON, Eduardo. DETOX: Detecção de Inconsistências na Política de Segurança Implementada em Firewall Real. In: WORKSHOP DE TESTES E TOLERÂNCIA A FALHAS (WTF), 17. , 2016, Salvador/BA. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2016 . p. 63-76. ISSN 2595-2684. DOI: https://doi.org/10.5753/wtf.2016.22876.