dc.creator | Lucion, Everson Luis Rosa | |
dc.date.accessioned | 2021-04-29T20:39:08Z | |
dc.date.available | 2021-04-29T20:39:08Z | |
dc.date.issued | 2018-12-14 | |
dc.identifier.uri | http://repositorio.ufsm.br/handle/1/20734 | |
dc.description.abstract | The traditional firewall-based network perimeter model enables communication
between devices before they authenticate, resulting in vulnerabilities that facilitate
different types of attacks/intrusions. To mitigate this vulnerability, the Cloud Security
Alliance (CSA) proposed the Software Defined Perimeter (SDP), a new approach to
authenticate before the first communication occurs. In SDP, the use of Single Packet
Authorization (SPA) is critical for first access to occur only after device authentication.
Through the analysis of the SDP protocol there were security issues that need to
be improved or addressed in the creation of the SPA. It is also observed that some
vulnerabilities still persist, having seen failures in the TCP/IP model when the identity
of a device is bound to its IP address. This work recommends adaptations in the SDP
architecture and definition of a new pattern of creation and sending of the SPA. It was
designed under modular aspects that are incorporated into the SDP architecture. In
addition, they propose to include in the SPA structure a device fingerprint field, as
well as present a method to construct and use the new field in order to solve the
temporal gap between SPA authentication and connection for user authentication. The
results demonstrate that the proposed solution fights improper access and considerably
increases the degree of difficulty in detecting, replicating or reading SPA data. Through
the experiments it has been demonstrated that the increase of the processing time of
the new SPA and the generation of the fingerprint do not compromise the solution and
are justified by the gains in the levels of protection. | eng |
dc.language | por | por |
dc.publisher | Universidade Federal de Santa Maria | por |
dc.rights | Attribution-NonCommercial-NoDerivatives 4.0 International | * |
dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/4.0/ | * |
dc.subject | Perímetro definido por software | por |
dc.subject | Autenticação | por |
dc.subject | Autorização por um único pacote | por |
dc.subject | Fingerprinting de dispositivo | por |
dc.subject | Software defined perimeter | eng |
dc.subject | Authentication | eng |
dc.subject | Single packet authorization | eng |
dc.subject | Device fingerprinting | eng |
dc.title | Perímetro definido por software: aumentando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting | por |
dc.title.alternative | Software defined perimeter: security improvements in authentication with Single Packet Authorization and Device Fingerprinting | eng |
dc.type | Dissertação | por |
dc.description.resumo | O modelo tradicional de perímetro de rede baseado em firewall, permite a co-
municação entre os dispositivos antes de efetuarem a autenticação, o que resulta em
vulnerabilidades que facilitam diferentes categorias de ataques/invasões. Para mitigar
esta vulnerabilidade, a Cloud Security Alliance (CSA) propôs o Perímetro Definido por
Software (SDP), uma nova abordagem para autenticar antes de a primeira comuni-
cação acontecer. No SDP, o uso de Single Packet Authorization (SPA) é fundamental
para que o primeiro acesso ocorra apenas após a autenticação do dispositivo. Através
da análise do protocolo SDP verificaram-se questões de segurança que precisam
ser melhoradas ou abordadas na criação do SPA. Observa-se também que algumas
vulnerabilidades ainda persistem, tendo em vistas falhas no modelo TCP/IP quando
a identidade de um dispositivo é vinculado ao seu endereço IP. Este trabalho reco-
menda adequações na arquitetura SDP e definição de um novo padrão de criação
e envio do SPA. Ele foi projetado sob aspectos modulares que são incorporados à
arquitetura SDP. Além disso, propõem a inclusão na estrutura do SPA de um campo de
fingerprint de dispositivo, assim como apresenta um método para construir e usar o
novo campo com o intuito de solucionar o gap temporal entre a autenticação do SPA
e conexão para autenticação do usuário. Os resultados demonstram que a solução
proposta combate o acesso indevido com o fingerprinting de dispositivos e aumenta
consideravelmente o grau de dificuldade de detecção, replicação ou leitura dos dados
do SPA. Através dos experimentos foi demonstrado que o aumento do tempo de pro-
cessamento do novo SPA e a geração do fingerprint não comprometem a solução e
são justificados pelos ganhos nos níveis de proteção. | por |
dc.contributor.advisor1 | Nunes, Raul Ceretta | |
dc.contributor.advisor1Lattes | http://lattes.cnpq.br/7947423722511295 | por |
dc.contributor.referee1 | Turchetti, Rogerio Correa | |
dc.contributor.referee1Lattes | XXXXXXXXXXXXXXX | por |
dc.contributor.referee2 | Amaral, Érico Marcelo Hoff do | |
dc.contributor.referee2Lattes | XXXXXXXXXXXXXXXXXX | por |
dc.creator.Lattes | http://lattes.cnpq.br/8593008699577606 | por |
dc.publisher.country | Brasil | por |
dc.publisher.department | Ciência da Computação | por |
dc.publisher.initials | UFSM | por |
dc.publisher.program | Programa de Pós-Graduação em Ciência da Computação | por |
dc.subject.cnpq | CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO | por |
dc.publisher.unidade | Centro de Tecnologia | por |