Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting
Resumo
O modelo tradicional de perímetro de rede baseado em firewall, permite a co-
municação entre os dispositivos antes de efetuarem a autenticação, o que resulta em
vulnerabilidades que facilitam diferentes categorias de ataques/invasões. Para mitigar
esta vulnerabilidade, a Cloud Security Alliance (CSA) propôs o Perímetro Definido por
Software (SDP), uma nova abordagem para autenticar antes de a primeira comuni-
cação acontecer. No SDP, o uso de Single Packet Authorization (SPA) é fundamental
para que o primeiro acesso ocorra apenas após a autenticação do dispositivo. Através
da análise do protocolo SDP verificaram-se questões de segurança que precisam
ser melhoradas ou abordadas na criação do SPA. Observa-se também que algumas
vulnerabilidades ainda persistem, tendo em vistas falhas no modelo TCP/IP quando
a identidade de um dispositivo é vinculado ao seu endereço IP. Este trabalho reco-
menda adequações na arquitetura SDP e definição de um novo padrão de criação
e envio do SPA. Ele foi projetado sob aspectos modulares que são incorporados à
arquitetura SDP. Além disso, propõem a inclusão na estrutura do SPA de um campo de
fingerprint de dispositivo, assim como apresenta um método para construir e usar o
novo campo com o intuito de solucionar o gap temporal entre a autenticação do SPA
e conexão para autenticação do usuário. Os resultados demonstram que a solução
proposta combate o acesso indevido com o fingerprinting de dispositivos e aumenta
consideravelmente o grau de dificuldade de detecção, replicação ou leitura dos dados
do SPA. Através dos experimentos foi demonstrado que o aumento do tempo de pro-
cessamento do novo SPA e a geração do fingerprint não comprometem a solução e
são justificados pelos ganhos nos níveis de proteção.
Coleções
Os arquivos de licença a seguir estão associados a este item: