New paradigms for access control on internet hosts

Abstract

Network services make use of the Internet to exchange information with requesting clients. This information follows a path of naturally unsecured and unknown networks. As such, there is no certainty that traffic flowing between clients and service providers is authentic and is actually originated on known and legitimate entities. Also there are no clearly defined networklevel policies that authorize users, instead of hosts, to access remote services. In order to mitigate the unauthorized access to network services, two conceptual approaches are usually adopted. The first relies on the deployment of firewalls protecting the service providers. However, information used to perform access control is based on intermediate layers of the network protocol stack. This enables firewalls to control the access based on originating physical hosts, but not on actual users. On the other hand, the second approach presents the concept of access control based on users. This security mechanism however, is only applied too far up the protocol stack, through heavyweight applications that are completely unaware of IP security issues. The proposed system combines the best of both worlds by enabling authentication and authorization of users at the network level. The solution implements a new kernel-level firewall matching module to validate incoming connections, according to configurations previously exchanged through a secure tunnel. Accessing remote services becomes a duly controlled process where accessing users are confirmed as legitimate on the server side.

Os servic¸os de rede fazem uso da Internet para trocar informac¸˜ao com clientes que os solicitam. Esta informac¸˜ao segue, naturalmente, uma rota de redes inseguras e desconhecidas. De tal modo, n˜ao existe uma certeza absoluta que o tr´afego que flui entre os clientes e os servidores ´e autˆentico e ´e de facto origin´ario de entidades conhecidas e leg´ıtimas. Tamb´em n˜ao existem pol´ıticas claramente definidas ao n´ıvel da rede, que autorizem utilizadores, ao inv´es de m´aquinas, a acederem a servic¸os remotos. De maneira a mitigar o acesso n˜ao autorizado a servic¸os de rede, duas aproximac¸˜oes s˜ao frequentemente adotadas. A primeira aproximac¸˜ao conta com a inserc¸˜ao de firewalls para proteger o fornecedor de servic¸os. No entanto, a informac¸˜ao usada para fazer controlo de acesso ´e baseada nas camadas interm´edias da pilha de protocolos de rede. Isto possibilita `as firewalls controlar o acesso tendo em conta os sistemas de origem, mas n˜ao os seus utilizadores. Por outro lado, a segunda aproximac¸˜ao apresenta o conceito de controlo de acesso baseado em utilizadores. Contudo, este mecanismo de seguranc¸a ´e apenas aplicado nas camadas mais altas da pilha de protocolos, atrav´es de aplicac¸˜oes complexas e totalmente inconscientes de problemas de seguranc¸a ao n´ıvel do IP. O sistema proposto combina o melhor dos dois mundos ao permitir que a autenticac¸˜ao e autorizac¸˜ao de utilizadores sejam feitas ao n´ıvel da rede. A soluc¸˜ao implementa um novo m´odulo da firewall ao n´ıvel do kernel para validar ligac¸˜oes estabelecidas, atrav´es de configurac¸˜oes trocadas previamente num canal seguro. Aceder a servic¸os remotos torna-se um processo devidamante controlado onde os utilizadores s˜ao reconhecidos como leg´ıtimos no lado do servidor.