KNOCKID : uma nova abordagem para autenticação baseada em camada de rede

Abstract

Na maioria dos serviços de rede, a autenticação do usuário é feita na camada de aplicação, o que acarreta uma certa exposição já que a interface de autenticação deve ser acessível para todos os computadores que acessam o servidor hospedeiro da aplicação. Na prática, isso significa que as portas TCP/UDP correspondentes às aplicações estão abertas a qualquer computador que possa alcançar o servidor, tornando o ambiente de rede do servidor vulnerável a ataques de fingerprinting, port scanning e ataques diretos as aplicações (i.e validação de parâmetros e estouro de pilha). Com o propósito de solucionar esses problemas é proposto o KnockID, um novo protocolo de autenticação de usuário em camada de rede baseado em PortKnocking e em protocolo criptográfico de identificação ao. No KnockID, cada usuário é identicado por um par de chaves e é concedido o acesso a portas específicas depois que ele prova a sua identidade. KnockID é baseado num protocolo criptográfico e proporciona segu- rança contra man-in-the-middle, espionagem do tráfego de rede e ataques de repetição (replay). Ele pode ser implementado para atender à necessidades diferentes, tais como a construção de uma rede central de serviços de autenticação de usuário, ocultando sensiveis (e/ou inseguros) serviços de rede ou agindo como uma camada extra de se- gurança. Além disso, o KnockID pode ser transparentemente integrado em qualquer ambiente de rede executando aplicativos legados e implementado simplesmente usando bibliotecas criptográficas comuns existentes. ______________________________________________________________________________ ABSTRACT

n most network services, user authentication is carried out at the application layer, which makes it necessary for applications to expose their own authentication interface. Practically, it means that the TCP/UDP ports corresponding to a given application are open to any host that can reach the application server, thus making the server network environment vulnerable to ngerprinting, port scanning and direct attacks to applications (i.e. parameter validation and bu er over ow). In order to solve these issues, we propose KnockID, a new network layer based user authentication protocol that combines classical Portknocking techniques with cryptographic identi cation protocols and message authentication. In KnockID, each user is uniquely identi ed by a key pair and is granted access to speci c ports after he proves his identity. KnockID is based on cryptographically sound protocols and provides security against man-in-the-middle, eavesdropping and replay attacks. It can be deployed to ful ll di erent needs such as building a central network user authentication service, hiding sensitive (and/or insecure) network services or acting as an extra security layer. Moreover, KnockID can be transparently integrated into any network environment running legacy applications and simply implemented using common cryptographic libraries and existing Portknocking services.