DSpace
 
  Repositório Institucional da Universidade de Aveiro > Departamento de Electrónica, Telecomunicações e Informática > DETI - Dissertações de mestrado >
 New paradigms for access control on internet hosts
Please use this identifier to cite or link to this item http://hdl.handle.net/10773/18460

title: New paradigms for access control on internet hosts
other titles: Novos paradigmas de controlo de acesso a máquinas na internet
authors: Simões, João Filipe Teixeira
advisors: André Zúquete
Paulo Salvador
keywords: Internet
Serviços web - Controlo de acesso
Segurança de computadores
issue date: 2016
publisher: Universidade de Aveiro
abstract: Network services make use of the Internet to exchange information with requesting clients. This information follows a path of naturally unsecured and unknown networks. As such, there is no certainty that traffic flowing between clients and service providers is authentic and is actually originated on known and legitimate entities. Also there are no clearly defined networklevel policies that authorize users, instead of hosts, to access remote services. In order to mitigate the unauthorized access to network services, two conceptual approaches are usually adopted. The first relies on the deployment of firewalls protecting the service providers. However, information used to perform access control is based on intermediate layers of the network protocol stack. This enables firewalls to control the access based on originating physical hosts, but not on actual users. On the other hand, the second approach presents the concept of access control based on users. This security mechanism however, is only applied too far up the protocol stack, through heavyweight applications that are completely unaware of IP security issues. The proposed system combines the best of both worlds by enabling authentication and authorization of users at the network level. The solution implements a new kernel-level firewall matching module to validate incoming connections, according to configurations previously exchanged through a secure tunnel. Accessing remote services becomes a duly controlled process where accessing users are confirmed as legitimate on the server side.

Os servic¸os de rede fazem uso da Internet para trocar informac¸˜ao com clientes que os solicitam. Esta informac¸˜ao segue, naturalmente, uma rota de redes inseguras e desconhecidas. De tal modo, n˜ao existe uma certeza absoluta que o tr´afego que flui entre os clientes e os servidores ´e autˆentico e ´e de facto origin´ario de entidades conhecidas e leg´ıtimas. Tamb´em n˜ao existem pol´ıticas claramente definidas ao n´ıvel da rede, que autorizem utilizadores, ao inv´es de m´aquinas, a acederem a servic¸os remotos. De maneira a mitigar o acesso n˜ao autorizado a servic¸os de rede, duas aproximac¸˜oes s˜ao frequentemente adotadas. A primeira aproximac¸˜ao conta com a inserc¸˜ao de firewalls para proteger o fornecedor de servic¸os. No entanto, a informac¸˜ao usada para fazer controlo de acesso ´e baseada nas camadas interm´edias da pilha de protocolos de rede. Isto possibilita `as firewalls controlar o acesso tendo em conta os sistemas de origem, mas n˜ao os seus utilizadores. Por outro lado, a segunda aproximac¸˜ao apresenta o conceito de controlo de acesso baseado em utilizadores. Contudo, este mecanismo de seguranc¸a ´e apenas aplicado nas camadas mais altas da pilha de protocolos, atrav´es de aplicac¸˜oes complexas e totalmente inconscientes de problemas de seguranc¸a ao n´ıvel do IP. O sistema proposto combina o melhor dos dois mundos ao permitir que a autenticac¸˜ao e autorizac¸˜ao de utilizadores sejam feitas ao n´ıvel da rede. A soluc¸˜ao implementa um novo m´odulo da firewall ao n´ıvel do kernel para validar ligac¸˜oes estabelecidas, atrav´es de configurac¸˜oes trocadas previamente num canal seguro. Aceder a servic¸os remotos torna-se um processo devidamante controlado onde os utilizadores s˜ao reconhecidos como leg´ıtimos no lado do servidor.
description: Mestrado em Engenharia de Computadores e Telemática
URI: http://hdl.handle.net/10773/18460
appears in collectionsDETI - Dissertações de mestrado
UA - Dissertações de mestrado

files in this item

file description sizeformat
tese_final.pdf4.08 MBAdobe PDFview/open
statistics

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

 

Valid XHTML 1.0! RCAAP OpenAIRE DeGóis
ria-repositorio@ua.pt - Copyright ©   Universidade de Aveiro - RIA Statistics - Powered by MIT's DSpace software, Version 1.6.2