Please use this identifier to cite or link to this item:
http://hdl.handle.net/10773/18460
Title: | New paradigms for access control on internet hosts |
Other Titles: | Novos paradigmas de controlo de acesso a máquinas na internet |
Author: | Simões, João Filipe Teixeira |
Advisor: | Zúquete, André Salvador, Paulo |
Keywords: | Internet Serviços web - Controlo de acesso Segurança de computadores |
Defense Date: | 2016 |
Publisher: | Universidade de Aveiro |
Abstract: | Network services make use of the Internet to exchange information with
requesting clients. This information follows a path of naturally unsecured
and unknown networks. As such, there is no certainty that traffic flowing
between clients and service providers is authentic and is actually originated
on known and legitimate entities. Also there are no clearly defined networklevel
policies that authorize users, instead of hosts, to access remote services.
In order to mitigate the unauthorized access to network services, two conceptual
approaches are usually adopted. The first relies on the deployment
of firewalls protecting the service providers. However, information used to
perform access control is based on intermediate layers of the network protocol
stack. This enables firewalls to control the access based on originating
physical hosts, but not on actual users. On the other hand, the second approach
presents the concept of access control based on users. This security
mechanism however, is only applied too far up the protocol stack, through
heavyweight applications that are completely unaware of IP security issues.
The proposed system combines the best of both worlds by enabling authentication
and authorization of users at the network level. The solution
implements a new kernel-level firewall matching module to validate incoming
connections, according to configurations previously exchanged through a
secure tunnel. Accessing remote services becomes a duly controlled process
where accessing users are confirmed as legitimate on the server side. Os servic¸os de rede fazem uso da Internet para trocar informac¸˜ao com clientes que os solicitam. Esta informac¸˜ao segue, naturalmente, uma rota de redes inseguras e desconhecidas. De tal modo, n˜ao existe uma certeza absoluta que o tr´afego que flui entre os clientes e os servidores ´e autˆentico e ´e de facto origin´ario de entidades conhecidas e leg´ıtimas. Tamb´em n˜ao existem pol´ıticas claramente definidas ao n´ıvel da rede, que autorizem utilizadores, ao inv´es de m´aquinas, a acederem a servic¸os remotos. De maneira a mitigar o acesso n˜ao autorizado a servic¸os de rede, duas aproximac¸˜oes s˜ao frequentemente adotadas. A primeira aproximac¸˜ao conta com a inserc¸˜ao de firewalls para proteger o fornecedor de servic¸os. No entanto, a informac¸˜ao usada para fazer controlo de acesso ´e baseada nas camadas interm´edias da pilha de protocolos de rede. Isto possibilita `as firewalls controlar o acesso tendo em conta os sistemas de origem, mas n˜ao os seus utilizadores. Por outro lado, a segunda aproximac¸˜ao apresenta o conceito de controlo de acesso baseado em utilizadores. Contudo, este mecanismo de seguranc¸a ´e apenas aplicado nas camadas mais altas da pilha de protocolos, atrav´es de aplicac¸˜oes complexas e totalmente inconscientes de problemas de seguranc¸a ao n´ıvel do IP. O sistema proposto combina o melhor dos dois mundos ao permitir que a autenticac¸˜ao e autorizac¸˜ao de utilizadores sejam feitas ao n´ıvel da rede. A soluc¸˜ao implementa um novo m´odulo da firewall ao n´ıvel do kernel para validar ligac¸˜oes estabelecidas, atrav´es de configurac¸˜oes trocadas previamente num canal seguro. Aceder a servic¸os remotos torna-se um processo devidamante controlado onde os utilizadores s˜ao reconhecidos como leg´ıtimos no lado do servidor. |
Description: | Mestrado em Engenharia de Computadores e Telemática |
URI: | http://hdl.handle.net/10773/18460 |
Appears in Collections: | UA - Dissertações de mestrado DETI - Dissertações de mestrado |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
Dissertação.pdf | 4.08 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.