polito.it
Politecnico di Torino (logo)

Configurazione automatica di web-application firewall = Automatic web-application firewall configuration

Michele Argentino

Configurazione automatica di web-application firewall = Automatic web-application firewall configuration.

Rel. Riccardo Sisto, Guido Marchetto, Fulvio Valenza, Daniele Bringhenti. Politecnico di Torino, Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering), 2022

[img]
Preview
PDF (Tesi_di_laurea) - Tesi
Licenza: Creative Commons Attribution Non-commercial No Derivatives.

Download (6MB) | Preview
Abstract:

Il paradigma Network Functions Virtualization (NFV) è una tecnologia di rete che consente di eleminare gli hardware specializzati e permette di installare processi software che agiscono da vere e proprie funzioni di rete su server generici. Uno dei vantaggi che questo paradigma da è che permette di avere una notevole flessibilità nella creazione di un Service Graph. Il problema principale che si riscontra, però, è che la creazione di un Service Graph di solito viene seguita da un amministratore di rete manualmente. Questo amministratore incaricato dell'allocazione e della configurazione delle Network Security Functions (NSF) può introdurre errori o malfunzionamenti causati proprio dalla componente umana. Questa tesi ha contribuito ad estendere le funzionalità di VEREFOO (VErified REFinement and Optimized Orchestration), un framework che mira a fornire un approccio automatico nella sicurezza per evitare il problema presentato. Lo scopo principale è quello di eseguire, su un Service Graph fornito in input, un'allocazione e configurazione ottimizzata automatica delle NSF necessarie per soddisfare una serie di requisiti di sicurezza della rete, che possono essere espressi dall'amministratore di rete sfruttando un linguaggio di alto livello. L'approccio di VEREFOO consiste nella formulazione di un problema MaxSMT. Lo scopo è quello di soddisfare un insieme di clausole hard che richiedono di essere sempre soddisfatte e, allo stesso tempo, di raggiungere la somma massima dei pesi che sono attribuiti alle clausole soft. VEREFOO ha come obiettivi principali l'assegnazione del numero minimo di istanze NSF e ridurre il consumo di risorse grazie all'allocazione del virtuale corrispondente funzioni e la riduzione delle regole che ne descrivono la configurazione per migliorare l'efficienza delle operazioni di filtraggio. Il contributo fornito da questo lavoro di tesi è stato quello di estendere le funzionalità del framework per supportare anche la configurazione automatica di un Web Application Firewall. Il Web Application Firewall (WAF) è molto importante al giorno d'oggi in quanto una grande quantità di traffico nella rete è generato dalle Web Application. Lo scopo ultimo della tesi è, quindi, stato quello di poter automatizzare la configurazione e l'allocazione di un web application firewall all'interno della rete in modo da proteggere le applicazioni dagli attacchi esterni, tra i quali i più noti sono attacchi XSS e SQL Injection. L'implementazione è stata guidata dallo studio preliminare dei principali Web Application Firewall presenti in commercio. Attraverso l'analisi svolta sono stati modellizzate le caratteristiche principali che un WAF deve avere. L'implementazione è stata infine testata in scenari di rete comuni e ha mostrato una certa scalabilità rispetto alla dimensione del Service Graph e al numero di requisiti di sicurezza dell'input; di conseguenza, si è conlcuo che l'approccio proposto è fattibile, ma che deve essere ottimizzato per poter garantire la fruibilità in una rete di dimensioni importanti.

Relatori: Riccardo Sisto, Guido Marchetto, Fulvio Valenza, Daniele Bringhenti
Anno accademico: 2022/23
Tipo di pubblicazione: Elettronica
Numero di pagine: 75
Soggetti:
Corso di laurea: Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering)
Classe di laurea: Nuovo ordinamento > Laurea magistrale > LM-32 - INGEGNERIA INFORMATICA
Aziende collaboratrici: NON SPECIFICATO
URI: http://webthesis.biblio.polito.it/id/eprint/25608
Modifica (riservato agli operatori) Modifica (riservato agli operatori)