Incrementando os níveis de segurança na autenticação com Single Packet Authorization e Device Fingerprinting

Abstract

Uma nova abordagem para controle de perímetro de rede é autenticar antes de a primeira comunicação acontecer, tal como proposto no Software Defined Perimeter (SDP). O uso de Single Packet Authorization (SPA) no SDP é fundamental para que o primeiro acesso ocorra apenas após a autenticação do dispositivo. Entretanto, o problema da conexão TCP subsequente pode persistir em técnicas de autenticação via SPA quando a autenticação está vinculada ao endereço IP, tal como no SPA do SDP. Este trabalho propõe um novo modelo para criação e envio do SPA no SDP. O novo modelo inclui, na estrutura do SPA, um campo de fingerprint de dispositivo. Também é proposto um método para construir e usar o novo campo de fingerprint, a fim de solucionar o gap temporal entre a autenticação do SPA e a conexão subsequente para autenticação do usuário. Os resultados demonstram que a solução proposta combate o acesso indevido e aumenta consideravelmente o grau de dificuldade de detecção, replicação ou leitura dos dados do SPA. Através dos experimentos foi demonstrado que o aumento do tempo de processamento do novo SPA e a geração do fingerprint não comprometem a usabilidade da solução.