FenixEdu™

Dissertação

{en_GB=A declarative based tool for reasoning about Cisco IOS firewall configurations} {} EVALUATED

Detalhes: {pt=Uma das tarefas fundamentais atribuídas aos administradores de redes de computadores é que qualquer tráfego indesejado ou malicioso seja bloqueado da rede. Devido a isto, as firewalls tornaram-se um componente imprescindível em qualquer rede de computadores ligada à Internet. A configuração e manutenção de uma firewall é um processo complicado e propenso a erros. Isto deve-se, em grande parte, ao modelo no qual as firewalls convencionais são desenhadas, onde a ordem entre regras de firewall é relevante.De modo a simplificar estas tarefas, propomos um abstracção de um router, que é uma simplificação de um dispositivo CISCO IOS, contendo os conceitos de access-list, regras e políticas presentes nestes dispositivos. Esta abstração é acompanhada de uma semântica que permite a filtragem de pacotes e tradução de endereços (NAT). Reintroduzimos a linguagem de configuração de firewalls MIGNIS proposta por Adão et al [1], que é simples e poderosa o suficiente para especificar a configuração completa de uma firewall e cuja semântica não depende da ordem das regras. A partir desta linguagem, fornecemos uma tradução correta para a nossa abstração do router, permitindo uma configuração simples e segura. Isto é acompanhado de um conjunto de condições para que a tradução seja também completa. Finalmente, fornecemos também uma ferramenta que traduz regras da linguagem MIGNIS para comandos compatíveis com dispositivos CISCO IOS., en=One of the mandatory tasks assigned to computer network administrators is to keep unwanted or malicious traffic outside the network. Because of this, firewalls became a vital component in any computer network connected to the Internet. However, configuring and maintaining a firewall is a complicated and error-prone process mostly due to the design model used in conventional firewalls, where the ordering between firewall rules matters. To simplify these tasks, we propose a low-level abstraction of a router, that is a simplification of a CISCO IOS device, that contains the concepts of access-lists, rules and policies existent in these devices. This is accompanied by a semantic allowing both packet filtering and address translation. We then capitalize on the MIGNIS firewall specification language proposed by Adão et al [1] that is simple and powerful enough to specify firewall configurations and its semantic is immune to the relative ordering of rules, and prove a sound translation from this model to our low-level abstraction thus entailing both simple specification and easy verification of firewall policies. We also provide conditions over the policies for this translation to be complete. Finally, we developed a tool that translates MIGNIS configurations into real CISCO IOS configurations.}
Keywords: {pt=Firewall, Cisco IOS, MIGNIS, Segurança de redes, Semântica de firewalls, Network Address Translation (NAT), en=Firewall, Cisco IOS, MIGNIS, Network Security, Firewall semantics, Network Address Translation (NAT)}

Discussão: julho 1, 2019, 13:30