An Integrated framework for firewall testing and validation

In today's global world, most corporations are bound to have an Internet presence. This phenomenon has led to a significant increase in all kinds of network attacks. Firewalls are used to protect organizational networks against these attacks. Firewall design is based on a set of filtering rules. Because of the nature of these rules, and due to the rising complexity of security policies, an increasing number of mistakes are found in configurations. A reliable and automated technique for testing firewall configuration is becoming necessary to ensure the full functionality of the firewall. In this thesis, a new approach to fully test a firewall has been developed using a white box approach that takes into account its inner implementation. Also--thanks to the information provided by the network information file--the environment where the firewall will be deployed is considered, ensuring a better accuracy and performance than previous work. Moreover, the method uses a combination of algorithms that remove common misconfigurations widely present in current firewall configurations [I] and guarantees a coverage that is greater than previous methods for generating test sets with a novel test set generation approach. The developed framework is fully automated and contains the full steps to get testing done, from the parsing of the firewall file to the generation of the test set based on the actual configuration of the firewall to the correction of the error in the firewall file, avoiding all types of errors of omission and misconfiguration that occur during a manual configuration. Keywords: Firewall, Policy Language, Conflict Free Rules, Rule Set, White Box Testing, Misconfiguration Errors, Configuration, Rule Updat

Automatización de la detección de intrusos a partir de políticas de seguridad

La explosión de la Internet en esta última década involucra la búsqueda de “valor agregado” en las infraestructuras. Por esta raz´on, la seguridad de la información de los sistemas es una de las mayores preocupaciones de la actualidad. El control de acceso a un equipo, a una red, o a un dominio administrativo juega un papel esencial en un ambiente que se vuelve cada día más heterogéneo. Las arquitecturas de seguridad en redes consisten de un número de componentes dedicados, como routers de filtrado y firewalls. El eje del enfoque tradicional de la seguridad en redes es separar la red en una zona segura y otra insegura. Típicamente, la interfase entre ellas está compuesta por un punto de único acceso que garantiza una determinada política de seguridad. Este enfoque tradicional presenta dos problemas significativos, reducida flexibilidad y escalabilidad. Adicionalmente los firewalls convencionales solamente son capaces de observar un único punto en la red y por lo tanto cuentan con información limitada (parcial) de su entorno. Por último, los ataques masivos, como el Distributed Denial of Service (DDoS), han demostrado categóricamente las limitaciones y debilidades de este modelo. La valoración de la seguridad en redes requiere entonces que estos problemas sean considerados profundamente. El objetivo de esta investigación es crear metodologías de Detección de Intrusos efectivas que complementen a las tecnologías actuales y que sean capaces de responder a los nuevos desafíos.Eje: Procesamiento Concurrente, Paralelo y DistribuidoRed de Universidades con Carreras en Informática (RedUNCI

Automatización de la detección de intrusos a partir de políticas de seguridad

La explosión de la Internet en esta última década involucra la búsqueda de “valor agregado” en las infraestructuras. Por esta raz´on, la seguridad de la información de los sistemas es una de las mayores preocupaciones de la actualidad. El control de acceso a un equipo, a una red, o a un dominio administrativo juega un papel esencial en un ambiente que se vuelve cada día más heterogéneo. Las arquitecturas de seguridad en redes consisten de un número de componentes dedicados, como routers de filtrado y firewalls. El eje del enfoque tradicional de la seguridad en redes es separar la red en una zona segura y otra insegura. Típicamente, la interfase entre ellas está compuesta por un punto de único acceso que garantiza una determinada política de seguridad. Este enfoque tradicional presenta dos problemas significativos, reducida flexibilidad y escalabilidad. Adicionalmente los firewalls convencionales solamente son capaces de observar un único punto en la red y por lo tanto cuentan con información limitada (parcial) de su entorno. Por último, los ataques masivos, como el Distributed Denial of Service (DDoS), han demostrado categóricamente las limitaciones y debilidades de este modelo. La valoración de la seguridad en redes requiere entonces que estos problemas sean considerados profundamente. El objetivo de esta investigación es crear metodologías de Detección de Intrusos efectivas que complementen a las tecnologías actuales y que sean capaces de responder a los nuevos desafíos.Eje: Procesamiento Concurrente, Paralelo y DistribuidoRed de Universidades con Carreras en Informática (RedUNCI