Generazione del firewall semiastratto - Transcompilazione fra linguaggi di firewall: sintesi e

Formalmente il problema che vogliamo affrontare `e quello, dato un sistema k e un firewall astratto λ tale che 0(λ, Ck, vk), di trovare una configurazione semiastratta f tale che:

1. f sia legale secondo l’assegnamento di etichette che caratterizza il sistema k: f ∈ M3(C, v)

2. f imponga una semantica coerente con la funzione λ: ∀p ∈ P. (Ck, f )(p) = λ(p)

Ovvero, facendo riferimento ai percorsi all’interno del diagramma di controllo:

f ∈ M3(C, v) ∧ ∀p ∈ P. ∃π ∈ Π(C). ∆((C, f ), p) = π ∧ (π, f )(p) = λ(p) (i)

Per prima cosa definiamo una proprietà dei diagramma di controllo e degli assegnamenti di etichette che garantisce la possibilità di individuare, per ogni coppia (p, t), un preciso percorso all’interno del diagramma di controllo. Chiamiamo sistemi uniterali i sistemi con diagrammi di controllo tali per cui, in ogni possibile configurazione legale secondo l’assegnamento di etichette, il percorso che un dato pacchetto p può percorrere, dato che la trasformazione finale risultante deve essere t, è unico.

Definizione 21 (Sistema uniterale). Un sistema uniterale `e un sistema firewall k tale che per ogni

coppia (p, t), con p ∈ P e t ∈ T (P), esiste un percorso π ∈ Π(Ck) tale che per ogni possibile configura-

zione semiastratta f legale secondo vk par la quale vale (Ck, f )(p) = t, il percorso di p nel firewall `e

π, cio`e ∆((Ck, f ), p) = π.

Si noti che la definizione non comprende vincoli riguardo i pacchetti che vengono scartati, questi infatti verranno trattati in maniera particolare dall’algoritmo di generazione. Si noti inoltre che i sistemi iptables, pf e ipfw sono tutti uniterali, come testimonia la funzione P del capitolo precedente, la quale restituisce sempre singoletti o insiemi vuoti per coppie in cui t 6= ⊥.

Se il sistema in questione è uniterale e la funzione λ da compilare verifica la fattibilità locale, allora per ogni coppia (p, t) tale che t = λ(p) 6= ⊥, vale che P(Ck, vk, p, t) è un singoletto. In questo

caso possiamo fare a meno della quantificazione esistenziale sui percorsi, quando parliamo di pacchetti accettati; possiamo scrivere quindi:

∀p ∈ P. λ(p) 6= ⊥ ⇒ f ∈ M3(C, v) ∧ ∆((Ck, f ), p) = π ∧ (π, f )(p) = λ(p) dove {π} = P(Ck, vk, p, λ(p))

Occorre ancora la condizione ∆((Ck, f ), p) = π in quanto, sebbene il percorso adeguato sia uno

solo, `e comunque necessario verificare non solo che la composizione delle funzioni di trasformazione associate ai pacchetti mappino p in λ(p), ma anche che la configurazione scelta imponga al pacchetto di percorrere il percorso corretto.

Diverso `e il caso in cui la sequenza di trasformazioni che permettono ai nodi del percorso di mappare p in λ(p) sia unica. Chiamiamo compatto un sistema k per il quale se due pacchetti subiscono la stessa trasformazione t 6= ⊥ per una data configurazione, percorrendo lo stesso percorso nel diagramma di controllo, allora i due pacchetti subiscono esattamente le stesse trasformazioni negli stessi nodi.

Definizione 22 (Sistema compatto). Un sistema k con diagramma di controllo Ck, etichettato secondo

vk, `e detto compatto se

∀f ∈ M3(Ck, vk). ∀p, p0∈ P.

(∆((Ck, f ), p) = ∆((Ck, f ), p0) = π ∧ (π, f )(p) = (π, f )(p0) 6= ⊥) =⇒ p ∼= (π,f )

p0 Dove la relazione ∼= `e definita come:

p ∼= (π,f ) p0=      t = t0∧ t(p) ∼= (π0_{,f )}t 0_(p0₎ _{se π = q · π}0 true altrimenti Dove t = f (q)(p) e t0= f (q)(p0)

Definiamo dunque la versione semplificata del predicato sui pacchetti accettati:

∀p ∈ P. λ(p) 6= ⊥ ⇒ f ∈ M3(C, v) ∧ (π, f )(p) = λ(p) dove {π} = P(Ck, vk, p, λ(p)) (ii)

Definiamo inoltre un predicato vero se e solo se i pacchetti per i quali λ(p) = ⊥ siano gestiti correttamente, cio`e:

∀p ∈ P. λ(p) = ⊥ ⇒ f ∈ M3(C, v) ∧ ∃π ∈ Π(C). ∆((C, f ), p) = π ∧ (π, f )(p) = ⊥ (iii)

Vale allora il seguente teorema.

Teorema 12. Se il sistema k `_{e uniterale e compatto, e se la funzione λ : P → T (P) ∪ {⊥} verifica la} fattibilit`a locale, 0(λ, Ck, vk), allora (i) ⇐⇒ (ii) ∧ (iii)

L’obiettivo del resto della sezione `e definire una forma equivalente per il predicato (ii) che dia una traccia per l’implementazione dell’algoritmo in s´e. Definiamo un nuovo predicato χ(Ck, vk, π, p, t, f )

equivalente a f ∈ M3(C, v) ∧ (π, f )(p) = λ(p) se t 6= ⊥, dove π = P(Ck, vk, p, λ(p)), del quale diamo

una caratterizzazione operativa che sar`a la base della parte dell’algoritmo di generazione che si occupa dei pacchetto accettati.

χ(Ck, vk, π, p, t, f ) =                      ∃ t0_{, t}00_{. t}0 n t00= t ∧ t0∈ ν(v(q)) ∧ t00∈ ν(`(π, Ck, vk)) ∧ f (q)(p) = t0∧ t0_{(p) = p}0 _∧ χ(Ck, vk, π0, p0, t00, f ) se π = q · π0 t = id altrimenti

Dove la funzione ν dato un inseme di etichette restituisce l’insieme delle trasformazioni consentite su un generico pacchetto: ν : 2{SN AT,DN AT,DROP }→ 2T (P)_.

ν(L) = Y

x∈{sIP,sP ort,dIP,dP ort}

νx(L)

ν(L) =  



{cost(a) | a ∈ Domx} ∪ {id} se x ∈ µ(L)

{id} altrimenti dove Domx=    IP se x ∈ {sIP, dIP }

Ridefiniamo dunque il predicato (ii) come ∀p ∈ P. λ(p) 6= ⊥ ⇒ χ(Ck, vk, π, p, t, f ).

Anzich´e considerare il predicato χ(Ck, vk, π, p, t, f ) per ogni coppia (p, t) tali che t = λ(p) = ⊥ come

una condizione da verificare per una data configurazione f , la consideriamo una descrizione operativa dei vincoli che abbiamo sulla selezione della configurazione f . In particolare questi vincoli sono della forma f (q)(p) = t per qualche nodo q, pacchetto p e trasformazione t, e sono generati a partire dal percorso π, dal pacchetto p e dalla trasformazione t. Idealmente un algoritmo per la generazione di f potrebbe cercare di verificare il predicato con un assegnamento di valore per la variabile libera f , aggiornandola di volta in volta quando trova una condizione esplicita del tipo f (q)(p) = t, scegliendo arbitrariamente i valori in caso di quantificazione esistenziale e facendo backtrack quando ci si trova di fronte ad una contraddizione. La realizzabilit`a dell’algoritmo cambia drasticamente sulla base delle soluzioni di ∃ t0, t00. t0n t00 = t ∧ t0 ∈ ν(v(q)) ∧ t00 ∈ ν(`(π, Ck, vk)). A seconda di quanti modi legali

ho per scomporre la trasformazione t in due parti: t0 _{e t}00_{, posso avere pi`}_{u o meno casi da verificare.}

Il caso ideale è quello in cui t0 e t00 sono uniche data t, in questo modo la scomposizione è unica e la verifica del predicato può essere fatta senza backtrack; in questo caso, se si trova un’inconsistenza allora la compilazione fallisce in quanto non può esistere una configurazione che verifichi il predicato χ.

Consideriamo la trasformazione t campo per campo. L’idea `e che, per ogni campo che non rimale

invariato, vorremmo che solo uno dei nodi del percorso fosse capace di modificarlo, in questo modo

la trasformazione t pu`o essere scomposta in una trasformazione costante su quel nodo e id in tutti

gli altri; quando invece la trasformazione può essere applicata in più nodi abbiamo libertà di scelta,

possiamo applicare la modifica prima o dopo, e possiamo anche modificare il campo in pi`u nodi

sovrascrivendo la prima modifica con la seconda.

Formalmente, dati una trasformazione t, un percorso π = q · π0 in un diagramma di controllo Ck e

un assegnamento di etichette vk; per ogni campo x ∈ {sIP, sP ort, dIP, dP ort}, le scomposizioni che

devo provare per la verifica di χ(Ck, vk, π, p, t, f ) sono:

• se la trasformazione t.x `e id allora la scomposizione `e unica: t0 _{= t}00_{= id;}

• se si tratta di una trasformazione costante, t.x = cost(a) per un qualche a, e x ∈ µ(v(q)) e x /∈ µ(`(π0_{, C}

k, vk)), allora la scomposizione `e sempre unica: t0.x = cost(a) e t00.x = id;

• se si tratta di una trasformazione costante, t.x = cost(a) per un qualche a, e x /∈ µ(v(q)) e

x ∈ µ(`(π0, Ck, vk)), allora la scomposizione `e unica e deve essere: t0.x = id e t00.x = cost(a);

• se si tratta di una trasformazione costante, t.x = cost(a) per un qualche a, e x ∈ µ(v(q)) e x ∈ µ(`(π0, Ck, vk)), allora la scomposizione non `e unica, sono possibili in totale:

– t0.x = cost(a) e t00.x = id; – t0.x = id e t00.x = cost(a);

– t0.x = cost(b) e t00.x = cost(a) per ogni possibile valore b.

Qualche chiarimento: per prima cosa il caso in cui x /∈ µ(v(q)) e x /∈ µ(`(π0_{, C}

k, vk)) non `e possibile in

quanto la fattibilità locale è garantita per ipotesi e abbiamo scelto il percorso restituito dalla funzione P; secondariamente è bene notare che la libertà di scelta in questo contesto non è una cosa positiva,

infatti vuol dire che abbiamo pi`u alternative da provare. Non possiamo limitarci a prendere solo

alcune delle alternative possibili perch´e, a causa dell’interferenza fra la verifica di diverse coppie (p, t), legata al problema della coerenza, 1, rischieremmo di escludere valori che si combinano bene fra loro

e quindi la soluzione.

Nel caso quindi in cui, in nessun percorso π ∈ Π(Ck), vi siano pi`u di un etichettaNATdello stesso

campo x della trasformazione, per ogni nodo q del percorso π, non possono valere entrambi x ∈ µ(v(q)) e x ∈ µ(`(π0, Ck, vk)), dove π0 `e la parte di π che segue q.

Definizione 23 (Sistema senzaNATripetuti). Chiamiamo sistema senza NAT ripetuti un sistema k

con diagramma di controllo Ck e assegnamento di etichette vk tale che per ogni percorso π ∈ Π(Ck), il

numero di occorrenze dell’etichetta SN AT in π `e al pi`u uno e lo stesso vale per DN AT . `

E immediato verificare che iptables e pf sono sistemi senzaNATripetuti; ipfw invece no.

Notiamo inoltre che, in un sistema senza NAT ripetuti, non c’`e alternativa sul nodo nel quale

effettuare una traduzione per due pacchetti che debbano subire la stessa trasformazione seguendo lo stesso percorso, infatti solo un nodo `e disponibile. Vale infatti il seguente teorema:

Teorema 13. Se un sistema `e senzaNAT ripetuti, allora `e compatto.

Nel documento Transcompilazione fra linguaggi di firewall: sintesi e generazione di configurazioni (pagine 78-81)