配置检查器

ConfigChecker:一个全面的安全配置分析工具。最近的研究表明,网络访问控制的配置是最复杂和最容易出错的网络管理任务之一。因此,网络配置错误成为网络不可达性和脆弱性问题的主要来源。在本文中,我们提出了一种新的方法来模拟整个网络的访问控制配置的全局端到端行为,包括路由器、IPSec、防火墙和单播和多播数据包的NAT。我们的模型将网络表示为一个状态机,其中包头和位置决定了状态。此模型中的转换由所建模设备的包头信息、包位置和策略语义决定。我们使用二进制决策图(bdd)用布尔函数对访问控制策略的语义进行编码。然后我们使用计算树逻辑(CTL)和符号模型检查来研究该包在网络中的所有未来和过去状态,并验证网络的可达性和安全性要求。因此,我们在这项工作中的贡献是网络配置的全局编码,它允许使用CTL模型检查进行一般可达性和基于安全属性的验证。我们已经在一个名为ConfigChecker的工具中实现了我们的方法。在评估ConfigChecker时,我们使用数千个设备和数百万个配置规则对网络配置进行建模和验证,从而证明了这种方法的可伸缩性。我们还提供了一个基于SCAP的工具,它将主机和网络配置符合性检查集成在一个模型中,并允许执行综合分析查询,以验证作为单个系统的端到端网络的安全性和风险要求。

此软件的关键字

这里的任何内容都将在支持canvas元素的浏览器上被替换