×
科尼利厄斯·迪克曼;拉尔斯·胡佩尔;朱利叶斯·迈克利斯;马克西米利安·哈斯贝克;乔治·卡尔

已验证iptables防火墙分析和验证。 (英语) Zbl 1451.68173号

J.汽车。推理 61,编号1-4191-242(2018).
摘要:本文总结了我们围绕使用Isabelle/HOL对iptables规则集进行正式验证的静态分析所做的工作。我们围绕iptables防火墙行为的正式语义构建工作。这种语义是根据过滤器表的具体情况定制的,支持任意匹配表达式,甚至将来可能添加的新表达式。围绕这一点,我们组织了一组简化过程及其正确性证明:我们包括可以展开对用户定义链的调用、简化匹配表达式以及构造近似值以删除未知或不需要的匹配表达式的过程。出于分析目的,我们描述了一个简化的防火墙模型,该模型仅支持一组表达能力有限的规则。我们提供并验证了将复杂的iptables语言转换为这个简单模型的过程。在此基础上,我们实现了IP空间分区和最小服务矩阵的验证生成。对我们在大量现实世界防火墙规则集上的工作进行的评估表明,我们的框架在许多情况下都能提供有趣的结果,并且可以帮助并超越相关工作中发现的其他静态分析框架。

引用于1文件

MSC公司:

60年第68季度 规范和验证(程序逻辑、模型检查等)
68M10个 计算机系统中的网络设计和通信
68平方米25 计算机安全
68伏15 定理证明(自动和交互式定理证明、演绎、解析等)

关键词:

计算机网络;防火墙;伊莎贝尔;网络过滤器;iptables;语义学;形式验证

软件:

伊莎贝尔;自动参照;伊莎贝尔/霍尔;IP地址;NetKAT公司;iptables;nftables(表格);配置检查器;前列腺素f;路由;LOFT公司;防火墙生成器;马尔格雷夫;菲尔马托;Iptables语义;UPF防火墙;简单防火墙;存档正式证据;github;TikZ公司;消防员;NetCore公司
PDF格式BibTeX公司 XML格式引用
\textit{C.Diekmann}等人,J.Autom。推理61,No.1--4,191--242(2018;Zbl 1451.68173)
全文: 内政部

参考文献:

[1] Al-Shaer,E.,Alsaleh,M.:ConfigChecker:一个综合安全配置分析工具。参见:配置分析与自动化(SAFECONFIG),第1-2页。IEEE(2011)。https://doi.org/10.109/SafeConfig.2011.6111667
[2] Al-Shaer,E.,Hamed,H.:发现分布式防火墙中的策略异常。参见:IEEE计算机和通信协会年度联合会议(INFOCOM),第4卷,第2605-2616页(2004年)。https://doi.org/10.109/INFCOM.2004.1354680
[3] 分析了防火墙规则集(原始数据)。https://github.com/diekmann/net-network。随机资料
[4] Anderson,C.J.、Foster,N.、Guha,A.、Jeannin,J.B.、Kozen,D.、Schlesinger,C.、Walker,D.:NetKAT:网络的语义基础。摘自:第41届ACM SIGPLAN-SIGACT编程语言原理研讨会,POPL’14,第113-126页。ACM,圣地亚哥(2014)。https://doi.org/10.1145/2535838.2535862 ·Zbl 1284.68100号
[5] Baker,F.、Savola,P.:多址网络的入口过滤。RFC 3704(最佳当前实践)(2004)
[6] Bartal,Y.,Mayer,A.,Nissim,K.,Wool,A.:Firmato:一种新型防火墙管理工具包。在:IEEE安全与隐私研讨会,第17-31页。IEEE(1999)。https://doi.org/10.109/SECPRI.1999.766714
[7] Bianchi,G;博诺拉,M;Capone,A;Cascone,C,Openstate:交换机内编程平台相关的有状态开放流应用程序,ACM SIGCOMM Compute。Commun公司。版本:44,44-51,(2014)·doi:10.1145/2602204.2602211
[8] Brucker,A.D.,Brügger,L.,Kearney,P.,Wolff,B.:测试用例生成的验证防火墙策略转换。摘自:第三届软件测试、验证和确认国际会议,第345-354页。IEEE(2010)。https://doi.org/10.109/ICST.2010.50
[9] Brucker,A.D.,Brügger,L.,Wolff,B.:基于模型的防火墙一致性测试。收录于:铃木,K.,东洋,T.,Ulrich,A.,长谷川,T.(编辑)《软件和通信系统测试》,第103-118页。施普林格(2008)
[10] Brucker,A.D.,Brügger,L.,Wolff,B.:正式防火墙一致性测试:测试和验证技术的应用。柔和。测试。验证。Reliab公司。(STVR)25(1), 34-71 (2015). https://doi.org/10.1002/stvr.1544, https://www.brucker.ch/cobjectory/abstract/brucker.ea-formal-fw-testing-2014
[11] Brucker,A.D.,Brügger,L.,Wolff,B.:正式网络模型及其在防火墙策略中的应用。正式校对档案(2017)。http://isa-afp.org/entries/UPF_Firewall.shtml。正式证明开发
[12] Byma,S.、Tarafdar,N.、Xu,T.、Bannazadeh,H.、Leon-Garcia,A.、Chow,P.:使用虚拟化可重构硬件扩展OpenFlow功能。参见:ACM/SIGDA现场可编程门阵列国际研讨会,FPGA’15,第94-97页。ACM,蒙特雷(2015)。https://doi.org/10.1145/2684746.2689086
[13] Capretta,V.,Stepien,B.,Felty,A.,Matwin,S.:防火墙冲突检测的形式正确性。摘自:安全工程形式方法研讨会,第22-30页。ACM(2007)。https://doi.org/10.1145/1314436.1314440
[14] Cisco IOS防火墙-配置IP访问列表。文件编号:23602(2007)。http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
[15] Cotton,M.、Vegoda,L.、Bonica,R.、Haberman,B.:专用IP地址注册。RFC 6890(最佳当前实践)(2013年)
[16] CrazyCat:iptables多端口和否定。服务器故障问题(2016)。http://serverfault.com/questions/793631/iptables-multiport-and-negation/
[17] Deering,S.、Hinden,R.:互联网协议,版本6(IPv6)规范。RFC 2460(标准草案)(1998年)。由RFC 5095、5722、5871、6437、6564、6935、6946、7045、7112更新
[18] Diekmann,C.:命名网络接口。收录于:PoC | | GTFO:Pastor Laphroaig Races the Runtime Relinker and Other True Tales of Cleverness and Craft,第16卷,第08期,第45-46页(2017)
[19] Diekmann,C.,Hupel,L.:Iptables语义。《正式证据档案》(2016)。http://isa-afp.org/entries/Iptables_Shemantics.shtml。形式化证明开发
[20] Diekmann,C.,Hupel,L.,Carle,G.:定向安全策略:有状态网络实现。收录于:《工程安全和安保系统理论计算机科学电子论文集》(ESSS),第150卷,第20-34页。新加坡公开出版协会(2014年)。https://doi.org/10.4204/EPTCS.150.3
[21] Diekmann,C.,Korsten,A.,Carle,G.:演示拓扑:基于理论的安全网络配置综合。摘自:第十一届网络与服务管理国际会议,第366-371页。巴塞罗那(2015)。https://doi.org/10.109/CNSM.2015.7367384
[22] Diekmann,C.,Michaelis,J.,Haslbeck,M.:简单防火墙。《正式证据档案》(2016)。http://isa-afp.org/entries/Simple_Firewall.shtml。正式证明开发·Zbl 1451.68173号
[23] Diekmann,C.,Michaelis,J.,Haslbeck,M.,Carle,G.:验证iptables防火墙分析。In:IFIP Networking 2016。维也纳(2016)·Zbl 1451.68173号
[24] Diekmann,C.,Michaelis,J.,Hupel,L.:IP地址。《正式证据档案》(2016)。http://isa-afp.org/entries/IP_Addresses.shtml。正式证明开发
[25] Diekmann,C.,Posselt,S.A.,Niedermayer,H.,Kinkelin,H,Hanka,O.,Carle,G.:使用主机属性验证安全策略。收录于:分布式对象、组件和系统的形式化技术:第34届IFIP WG 6.1国际会议,FORTE,第133-148页。柏林施普林格(2014)。https://doi.org/10.1007/978-3-662-43613-4_9
[26] Diekmann,C.,Schwaighofer,L.,Carle,G.:认证防火墙的欺骗保护。载:第11届网络与服务管理国际会议(CNSM),第168-172页。巴塞罗那(2015)。https://doi.org/10.109/CNSM.2015.7367354
[27] diekmann/Iptables_Shemantics:问题#113——端口号属于特定协议。github(2016)。https://github.com/diekmann/Iptables_Sematics/issues/113
[28] T.M.伊斯特普:iptables制作的简易篮球(2014年)。网址:http://shorewall.net/
[29] Engelhardt,J.:走向完美规则集(2011)。http://inai.de/documents/Perfect_Ruleset.pdf
[30] Foster,N.、Kozen,D.、Milano,M.、Silva,A.、Thompson,L.:NetKAT的联合决策程序。在:第42届ACM SIGPLAN-SIGCT编程语言原理年度研讨会,POPL’15,第343-355页。ACM,孟买(2015)。https://doi.org/10.1145/2676726.2677011 ·Zbl 1346.68132号
[31] Fuller,V.,Li,T.:无类别域间路由(CIDR):互联网地址分配和聚合计划。RFC 4632(最佳当前实践)(2006)
[32] Gartenmeister,M.:Iptables vs.Cisco PIX(2005)。http://lists.netfilter.org/pipermail/netfilter/2005-April/059714.html
[33] Guha,A.、Reitblatt,M.、Foster,N.:机器验证网络控制器。第34届ACM SIGPLAN编程语言设计与实现会议,PLDI’13,第483-494页。ACM,西雅图(2013)。https://doi.org/10.1145/4462156.2462178
[34] Haftmann,F.,Bulwahn,L.:基于Isabelle/HOL理论的代码生成(2016)
[35] Haftmann,F.,Nipkow,T.:通过高阶重写系统生成代码。摘自:Blume,M.、Kobayashi,N.、Vidal,G.(编辑)《函数和逻辑编程》,第103-117页。施普林格(2010)·Zbl 1284.68131号
[36] 哈米德,H;Al-Shaer,E,《网络安全策略中冲突的分类》,IEEE Commun。Mag.,44,134-141,(2006)·doi:10.1109/MCOM.2006.1607877
[37] 惠普:IP防火墙配置指南(2005)。ftp://ftp.hp.com/pub/networking/software/ProCurve-SR-IP-Firewall-Config-Guide.pdf
[38] IPTables示例配置。http://networking.ringofsaturn.com/Unix/iptables.php。2014年9月检索
[39] Jeffrey,A.,Samak,T.:模型检查防火墙策略配置。《分布式系统和网络的策略》,第60-67页。IEEE(2009)。https://doi.org/10.109/POLICY.2009.32
[40] Kawamura,S.,Kawashima,M.:IPv6地址文本表示的建议。RFC 5952(拟议标准)(2010年)
[41] Kazemian,P.,Varghese,G.,McKeown,N.:标题空间分析:网络的静态检查。收录于:第九届USENIX网络系统设计与实现研讨会(NSDI),NSDI’12,第113-126页。圣何塞USENIX协会(2012)
[42] Kleene,S.C.:元数学导论。数学图书馆。荷兰北部,阿姆斯特丹(1952年)·Zbl 0047.00703号
[43] Lammich,P.:《自动数据优化》,第84-99页。施普林格,柏林(2013)。https://doi.org/10.1007/978-3642-39634-2_9 ·Zbl 1317.68216号 ·doi:10.1007/978-3-642-39634-29
[44] Lammich,P.,Tuerk,T.:将一元程序的数据精炼应用于Hopcroft算法,第166-182页。施普林格,柏林(2012)。https://doi.org/10.1007/978-3642-32347-8_12 ·Zbl 1360.68757号 ·doi:10.1007/978-3642-32347-8_12
[45] Leblond,E.:为什么你会喜欢nftables(2014)。https://home.regit.org/2014/01-wy-you-will-love-nftables(网址:https://home.regit.org/2014/01-wy-you-will-love-nftables)/
[46] Linux内核源代码:Linux/include/Linux/netfilter/x_tables.h.内核4.6。http://lxr.free-electrons.com/source/include/linux/netfilter/x_tables.h?v=4.6#L343
[47] Mansmann,F.,Göbel,T.,Cheswick,W.:复杂防火墙配置的可视化分析。参见:第九届网络安全可视化国际研讨会,VizSec’12,第1-8页。ACM(2012)。https://doi.org/10.1145/2379690.2379691
[48] Marmorstein,R.M.,Kearns,P.:自动iptables防火墙分析工具。摘自:USENIX年度技术会议,FREENIX Track,第71-81页。USENIX协会(2005)
[49] Marmorstein,R.M.,Kearns,P.等人:基于策略的主机分类的防火墙分析。收录于:第20届USENIX大型安装系统管理会议(LISA),第6卷。USENIX协会,华盛顿(2006)
[50] Michaelis,J.,Diekmann,C.:经LOFT验证的Linux防火墙迁移到SDN.正式证明档案(2016)。http://isa-afp.org/entries/LOFT.shtml。正式证明开发
[51] Michaelis,J.,Diekmann,C.:路由。《正式证据档案》(2016)。http://isa-afp.org/entries/Routing.shtml。正式证明开发
[52] Monsanto,C.,Foster,N.,Harrison,R.,Walker,D.:网络编程语言的编译器和运行时系统。摘自:第39届ACM SIGPLAN-SIGACT编程语言原理年会,POPL’12,第217-230页。ACM(2012年)
[53] Moy,E.、Gildea,S.、Dickey,T.:XTerm控制序列(2016)。http://invisible-island.net/xterm/ctlseqs/ctlseqs.html
[54] Nelson,T.、Barratt,C.、Dougherty,D.J.、Fisler,K.、Krishnamurthi,S.:用于防火墙分析的Margrave工具。In:第24届USENIX大型安装系统管理会议(LISA)。USENIX协会,圣何塞(2010)
[55] Nelson,T.、Ferguson,A.D.、Krishnamurthi,S.:软件定义网络的静态差分程序分析,第395-413页。柏林施普林格(2015)。https://doi.org/10.1007/978-3-319-19249-9_25 ·数字对象标识代码:10.1007/978-3-319-19249-925
[56] Nelson,T.、Ferguson,A.D.、Scheer,M.J.、Krishnamurthi,S.:软件定义网络的无层编程和推理。收录于:第11届USENIX网络系统设计与实现研讨会(NSDI),NSDI’14,第519-531页。西雅图USENIX协会(2014)
[57] Nelson,T.、Ferguson,A.D.、Yu,D.、Fonseca,R.、Krishnamurthi,S.:出埃及记:企业网络配置自动迁移到SDN。摘自:第一届ACM SIGCOMM软件定义网络研究研讨会,SOSR’15第13期,第13:1-13:7页。ACM,圣克拉拉(2015)。https://doi.org/10.1145/2774993.274997
[58] Nelson,T.、Guha,A.、Dougherty,D.J.、Fisler,K.、Krishnamurthi,S.:力量平衡:表达性、可分析的控制器编程。摘自:第二届ACM SIGCOMM软件定义网络热点专题研讨会,HotSDN’13,第79-84页。ACM,香港(2013)。https://doi.org/10.1145/2491185.2491201
[59] NetCitadel公司:FirewallBuilder。http://www.fwbuilder.org。5.1版
[60] netfilter核心团队:libxtables/xtables.c。https://git.netfilter.org/iptables/tree/libxtables/xtables.c?h=v1.6.0#n518
[61] Nicira公司:Nicira扩展。openvswitch/ovs存储库(2016)。https://github.com/openvswitch/ovs/blob/master/include/openflow/nicira-ext.h。修订版fb8f22c186b89cd36059c37908f940a1aa5e1569
[62] Nipkow,T.,Klein,G.:具体语义学。柏林施普林格(2014)。https://doi.org/10.1007/978-3-319-10542-0 ·Zbl 1410.68004号 ·doi:10.1007/978-3-319-10542-0
[63] Nipkow,T.、Paulson,L.C.、Wenzel,M.:Isabelle/HOL:高阶逻辑的证明助手。收录于:LNCS,第2283卷。Springer(2002年,最新更新日期2016年)。http://isabelle.in.tum.de/ ·Zbl 0994.68131号
[64] Nygren,A.,Pfaff,B.,Lantz,B.,Heller,B.,Barker,C.,Beckmann,C.,Cohn,D.,Malek,D.,Talayco,D.,Erickson,D.,McDysan,D.,Ward,D.,Crabbe,E.,Schneider,F.,Gibb,G.,Appenzeller,G.、M.、Yadav、N.、。,McKeown,N.,dHeureuse,N.、Balland,P.、Madabushi,R.、Ramanathan,R.和Price,R.,Sherwood,R。https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-switch-v1.5.1.pdf.ONFTS-025
[65] Petrucci,L.、Bonelli,N.、Bonola,M.、Procissi,G.、Cascone,C.、Sanvito,D.、Pontarelli,S.、Bianchi,G.、Bifulco,R.:实现有状态转发抽象,以在软件和硬件中实现可扩展的网络功能。ArXiv电子版(2016)
[66] PF:OpenBSD数据包过滤器。http://www.openbsd.org/faq/pf/
[67] Pfaff,B.、Heller,B.、Talayco,D.、Erickson,D.、Gibb,G.、Appenzeller,G.,Tourilhes,J.、Pettit,J.,Yap,K.、Casado,M.、Kobayashi,M.,McKeown,N.、Balland,P.、Price,R.、Sherwood,R.,Yiakoumis,Y.:OpenFlow交换机规范v1.0.0(2009)。http://archive.openflow.org/documents/openflow-spec-v1.0.0.pdf
[68] Postel,J.:互联网协议。RFC 791(互联网标准)(1981年)。由RFC 1349、2474、6864更新
[69] Pozo,S.、Ceballos,R.、Gasca,R.M.:使用安全策略进行基于CSP的防火墙规则集诊断。摘自:第二届可用性、可靠性和安全性国际会议(ARES),第723-729页。IEEE,洛斯阿拉米托斯(2007)。https://doi.org/10.109/ARES.2007.63
[70] 波佐,S;塞巴洛斯,R;Gasca,RM,基于模型的防火墙规则集开发:诊断模型不一致,Inf.Softw。技术。,51, 894-915, (2009) ·doi:10.1016/j.infsof.2008.05.001
[71] Renard,B.:思科acl-to-iptables(2013)。http://git.zionetrix.net/?a=summary&p=cisco-acl-to-iptables。2014年9月检索
[72] Reynolds,J.:指定编号:RFC 1700被在线数据库取代。RFC 3232(信息)(2002)
[73] Reynolds,J.,Postel,J.:指定数字。RFC 1700(历史)(1994年)。被RFC 3232淘汰
[74] 雪莉,J;哈桑,S;斯科特,C;克里希纳穆提,A;Ratnasamy,S;Sekar,V,《使中间盒成为其他人的问题:作为云服务的网络处理》,ACM SIGCOMM Compute。Commun公司。修订版,42,13-24,(2012)·doi:10.1145/2377677.2377680
[75] Sluizer,S.,Postel,J.:邮件传输协议。RFC 780(1981)。被RFC 788淘汰
[76] Smolka,S.,Eliopoulos,S.A.,Foster,N.,Guha,A.:NetKAT的快速编译器。摘自:函数编程国际会议(ICFP),第328-341页。ACM(2015)。https://doi.org/10.1145/2784731.2784761 ·Zbl 1360.68352号
[77] Tantau,T.,Feuersaenger,C.:TikZ和pgf包(2016年)。第3.0.1a页
[78] netfilter.org项目:netfilter/iptables项目。http://www.netfilter.org/
[79] netfilter.org项目:netfilter/nftables项目。http://www.netfilter.org/
[80] Tongaonkar,A.,Inamdar,N.,Sekar,R.:从防火墙规则推断更高级别的策略。收录于:第21届USENIX大型安装系统管理会议(LISA),第7卷,第1-10页。达拉斯USENIX协会(2007年)
[81] Verizon商业风险团队,美国特勤局:2010年数据泄露调查报告(2010年)。http://www.verizonenterprise.com/resources/reports/rp_2010-DBIR-combined-reports_en_xg.pdf
[82] Wool,A,防火墙配置错误的定量研究,IEEE计算。,37, 62-67, (2004) ·doi:10.1109/MC.2004.2
[83] Wool,A,防火墙中基于方向的过滤的使用和可用性,计算。安全。,23, 459-468, (2004) ·doi:10.1016/j.cose.2004.02.003
[84] Wool,A,《防火墙配置错误趋势:测量瑞士奶酪中的漏洞》,IEEE互联网计算。,14, 58-65, (2010) ·doi:10.1109/MIC.2010.29
[85] Yuan,L.,Chen,H.,Mai,J.,Chuah,C.N.,Su,Z.,Mohapatra,P.:防火墙建模和分析工具包。摘自:IEEE安全与隐私研讨会,第199-213页(2006)
[86] Zhang,B.,Al Shaer,E.,Jagadeesan,R.,Riely,J.,Pitcher,C.:用于多域网络的高级无冲突防火墙策略语言的规范。摘自:第12届ACM访问控制模型和技术研讨会,SACMAT’07,第185-194页。ACM(2007)。https://doi.org/10.1145/1266840.1266871
[87] Zhang,S.、Mahmoud,A.、Malik,S.和Narain,S.:使用SAT和QBF验证和合成防火墙。参见:网络协议(ICNP),第1-6页(2012年)。https://doi.org/10.109/ICNP.2012.6459944
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。