Interpretazione dei log di IDS ed estrazione di policies per WAF = IDS log interpretation and WAF policy extraction

Le tecnologie di Virtualizzazione delle Funzioni di Rete (Network Functions Virtualization, NFV) e di Software-Defined Networking (SDN) rappresentano i punti di partenza per l’esplorazione della nuova frontiera di ricerca: l’Automazione della Sicurezza nelle reti. L’utilizzo combinato di questi paradigmi garantisce un alto livello di flessibilità e dinamicità nella definizione e nella configurazione delle reti virtualizzate, fattori essenziali per lo sviluppo di strumenti per la gestione automatica delle funzioni di sicurezza. Attraverso la NFV è possibile separare le funzioni di rete dai dispositivi hardware dedicati, semplificando significativamente la realizzazione del SG: si tratta di una rappresentazione topologica della rete costituita da una serie di funzioni di rete interconnesse tra loco. L’amministratore di rete si occupa solitamente della creazione di un SG, allocando e configurando le funzioni necessarie seguendo un approccio manuale. Dato che, tra le funzioni da allocare, ci sono le Funzioni di Sicurezza (Network Security Functions), l’approccio manuale adottato dagli amministratori genera delle soluzioni non ottimali o, nel peggiore dei casi, non corrette dal punto di vista della sicurezza. Tra queste NSF ci sono i Web Application Firewall, che svolgono un ruolo cruciale nella protezione delle applicazioni web. Alla luce di queste considerazioni, in questo elaborato è stata estesa la funzionalità di VEREFOO per ottenere una soluzione al problema sopracitato. VEREFOO (VErified REFinement and Optimized Orchestration) è un framework che propone un approccio ottimale ed automatizzato per la configurazione e l’allocazione delle funzioni di sicurezza nelle reti. Lo scopo di VEREFOO, sulla base di un SG ed un set di Requisiti di Sicurezza (NSRs) in input, è quello di formulare e risolvere un problema MaxSMT(Satisfiability Modulo Theory), così da ottenere in output una soluzione formalmente verificata per la configurazione delle funzioni di sicurezza. Sulla base del risultato del problema MaxSMT, il framework costruirà infatti un SG comprensivo del numero minimo delle funzioni di sicurezza, configurando per ciascuna di essere un set minimale di policies necessarie per il rispetto dei NSRs in input. Questo elaborato è incentrato sullo studio dei file di log prodotti dagli Intrusion Detection System e sull’implementazione di un meccanismo in grado di estrarre delle policies di protezione da attacchi web. Attraverso tale meccanismo il framework sarà in grado di integrare i NSRs in input con le regole di protezione estratte dai log degli IDS, in modo da aggiornare - a valle della risoluzione del problema MaxSMT - il set minimale di policies installate nelle istanze di WAF.