ENTWICKLUNG EINES SIGNALISIERUNGSPROTOKOLLS FÜR PERSÖNLICHE CLOUD-UMGEBUNGEN

Größe: px
Ab Seite anzeigen:

Download "ENTWICKLUNG EINES SIGNALISIERUNGSPROTOKOLLS FÜR PERSÖNLICHE CLOUD-UMGEBUNGEN"

Transkript

1 Fakultät Informatik - Lehrstuhl für Rechnernetze Studienarbeit ENTWICKLUNG EINES SIGNALISIERUNGSPROTOKOLLS FÜR PERSÖNLICHE CLOUD-UMGEBUNGEN Erik Laux Mat.-Nr.: Betreut durch: Prof. Dr. rer. nat. habil. Dr. h. c. Alexander Schill und: Dr.-Ing. Stephan Groß, Dipl.-Medien-Inf. Marc Mosch Eingereicht am 30. Oktober 2012

2 INHALTSVERZEICHNIS 1 Einleitung Allgemeine Betrachtung von FlexCloud Aufbau der Π-Cloud Ansatz dieser Studienarbeit Verwandte Arbeiten Analyse Allgemeine Betrachtung notwendiger Funktionen Detailevaluation der Anforderungen Nebenbedingungen der Weiterentwicklung Zusammenfassung der Anforderungen Entwurf Auflösung der Nebenbedingungen Funktionale Aspekte der Eigenentwicklung Verbindungsfindung i

3 3.2.2 Etablierung sicherer Kommunikation Sichere Kommunikation Initialer Verbindungsdatenaustausch Dienstnutzungsanfrage Dienstregistrierung Dienstauthentifizierung Systemüberwachung Zustandsübergange innerhalb der Akteure in der Eigenentwicklung Statisches Modell der Eigenentwicklung Eignung existierender Protokolllösungen Prototyp Beschreibung der Entwicklungsentscheidungen Aspekte der Umsetzung Validierung mittels Testszenarien Stand der Arbeit und Weiterentwicklung 37 A Anleitung zur Inbetriebnahme und Verwendung des Prototyps 39 B Matlab Quelltext der Auswertung, inklusive Datenreihen 41 Inhaltsverzeichnis ii

4 ABKÜRZUNGSVERZEICHNIS SLAs P2P HTTP SSL Service Level Agreements Peer-to-Peer Hypertext Transfer Protocol Secure Sockets Layer zeroconf Zero Configuration Networking UPnP ARP DNS DHCP SSDP RFC DLNA Universal Plug and Play Address Resolution Protocol Domain Name System Dynamic Host Configuration Protocol Simple Service Discovery Protocol Request for Comments Digital Living Network Alliance HSQLDB Hyper Structured Query Language Database SQL XML JAXB RMI UUID VPN Structured Query Language Extensible Markup Language Java Architecture for XML Binding Remote Method Invocation Universally Unique Identifier Virtual Private Network iii

5 1 EINLEITUNG 1.1 ALLGEMEINE BETRACHTUNG VON FLEXCLOUD FlexCloud - gegründet als Nachwuchsforschergruppe der Professur für Rechnernetze an der TU Dresden - befasst sich, gemäß ihrer Abbreviatur, mit flexiblen Dienstarchitekturen für Cloud- Computing. Forschungsschwerpunkte mit Bezug zur Architektur verteilter Systeme bilden hierbei vor allem die nichtfunktionalen Dienstgütemerkmale, welche auf Basis eines Service Level Agreements (SLAs) zwischen Cloud-Anbieter und -Nutzer multilateral vereinbart werden. Hinzu kommt die zuverlässige Überwachung der SLAs um eine bestimmte Dienstqualität sicher zu stellen und die Implementierung eines sog. Overlay-Netzwerks um Erfahrungen aus der Peer-to-Peer (P2P) Technologie für Cloud-Computing anwenden zu können. Im Detail handelt es sich bei Service Level Agreements um Vereinbarungen zwischen den beiden Parteien, die z.b. auf die Verantwortlichkeit von Nutzer und Anbieter eingeht, alle zur Verfügung stehenden Dienste sowie deren Merkmale auflistet und auch verdeutlicht, anhand welcher Kriterien entschieden werden kann, ob die Vereinbarungen eingehalten wurden oder nicht - sog. Metriken. Man unterscheidet hierbei zwischen SLAs, die für jeden Nutzer speziell angepasst werden und Vereinbarungen, die für alle Nutzer genormt sind. Üblicherweise gibt es für den Großteil der Nutzer einheitliche Regelungen aber bei speziellen Anforderungen wie extrem hoher Datensicherheit oder -verfügbarkeit existieren besser auf die Bedürfnisse der Einzelkunden angepasste Lösungen. Da diese Anpassungen für die Anbieter einen erheblichen Mehraufwand beispielsweise durch Vertragsausarbeitung, Finden der Metriken aber auch Einhalten der erhöhten Forderungen bedeutet, werden nur für einen kleinen Teil der Kunden Anpassungen möglich gemacht. Entsprechend muss der Kunde während der Planung zum Einführen von Cloud-Computing seine Ziele und Anforderungen auf Geschäftsebene evaluieren um daraus Rückschlüsse auf angemessene SLAs zu ziehen und somit das ideale Verhältnis von Preis und Leistung eines Anbieters zu finden. Wichtige Metriken beziehen sich hierbei auf den Datendurchsatz des Systems, dessen prozentuale Verfügbarkeit auch bei Lastspitzen oder wie sicher die Daten in Bezug auf Wiederherstellbarkeit und Verschlüsselung sind [AAA + 10]. 1

6 In letzter Zeit traten viele unterschiedliche Interpretationen des Begriffs Cloud-Computing auf. Um jedoch Ergebnisse auf dem Gebiet vergleichbar zu machen, bedarf es einer einheitlichen Definition des Begriffes. Diese wurde vom National Institute of Standards and Technology (NIST) gegeben und wird in dieser Form sowohl von der FlexCloud Projektgruppe, als auch in diesem Beleg übernommen. Demnach bezeichnet Cloud-Computing ein Modell für verteilten, komfortablen, aufrufbasierten Netzwerkzugang zu einem Pool von konfigurierbaren Rechenkapazitäten. Hierbei wird zwischen den unterschiedlichen Stufen des Nutzerkreises unterschieden. So sind private Clouds ausschließlich von einer Nutzergruppe genutzt, öffentliche Clouds stehen hingegen einer größeren Nutzergruppe zur Verfügung. Zudem existieren Mischformen wie Community Clouds, die einem bestimmten Kreis von Benutzergruppen zur Verfügung stehen oder hybride Clouds, die sowohl private als auch öffentliche Teile der Cloud haben [MG11]. Die Gründe für die zunehmende Etablierung von Cloud-Computing sind vielfältig, da es sowohl für die Anwender, als auch für die Betreiber, positive Aspekte gibt, die zu einer Win-win-Situation führen. So ist es dem Anwender hiermit nun beispielsweise möglich, flexibel auf Rechenressourcen in einem Serverpark zuzugreifen um seine Daten zu verarbeiten oder zu speichern. Gerade im kommerziellen Umfeld ergibt sich damit die Chance, praktisch keine Hardware vorhalten zu müssen, sondern extrem flexibel auf benötigte Rechenkapaziäten zugreifen zu können, womit auch nur Kosten für die tatsächlich benötigten Ressourcen entstehen [AFG + 10]. Anbieter einer solchen Plattform erhalten hierbei ein äußerst attraktives, neues Geschäftsfeld [BYV08]. Der erreichte Umsatz mit Cloud-Computing in Deutschland lag 2011 bei 3,5 Mrd. EUR [Sch11] und es wird ein zweistelliges Wachstumspotential für die nächsten 4 Jahre prognostiziert. Es handelt sich hierbei um kumulierte Größen, die sich sowohl auf den Business-to-Customer als auch den Business-to-Business Markt beziehen. Gerade der rein kommerzielle Markt wird in den nächsten Jahren ein starkes Wachstum erfahren - laut einer Studie der Prüfungs- und Beratungsgestellschaft KPMG International Cooperative (Klynveld Peat Marwick Goerdeler) [KPM12] wächst der Anteil am gesamten IT Budget in den nächsten 2 Jahren von 8% auf 17%. Cloud-Computing bezeichnet eine Kombination von schon länger bekannten Technologien, die in einer neuen Art und Weise miteinander interagieren. So lässt sich nach [FZRL08] der Begriff in vier Unterebenen aufteilen. Die niedrigste Ebene umfasst die reine Computer Hardware - also insbesondere die Rechen- und Speicherkapazität sowie die Netzwerkanbindung. Darüber liegt eine Virtualisierungsschicht, die von der eigentlichen Rechneraufteilung abstrahiert und eine neue Aufteilung der Ressourcen ermöglicht. Diese Ebene wird von der Verwaltungsebene auf Schicht drei administriert um schließlich auf der vierten Schicht die eigentliche Software laufen zu lassen. Mit der Einführung einer Technologie wie dem Cloud-Computing, die großen Wert auf Flexibilität legt, gehen allerdings auch weitere Fragestellungen einher. Die Verteilung der Daten bringt für den Nutzer auf der einen Seite zwar Redundanz und Diversität - was zu erhöhter Datensicherheit und -verfügbarkeit führt - auf der anderen Seite aber steigt damit auch die Unsicherheit, ob der Dienstanbieter sich an die, in den SLAs vereinbarten, Anweisungen zum Umgang mit den Daten hält. Hinzu kommt die Problematik der unterschiedlichen, länderspezifischen Gesetze zur Verarbeitung und Verwahrung von Daten [MLBG11]. So existieren in vielen Ländern bisher keine Regelungen, was die Umgang mit Daten angeht. Daher ist die Frage welches Gesetz gilt, wenn jemand Daten in einem anderen als seinem Heimatland ablegt und in den jeweiligen Ländern unterschiedliche Gesetze bestehen. Zwar werden zum Beispiel mit den US-EU Safe Habor Laws Kapitel 1 Einleitung 2

7 erste Schritte in Richtung multilateralen Datenschutz gemacht aber in den meisten Gesetzgebungen handelt es sich hierbei um eine rechtliche Grauzone. Beispielsweise sieht die Gesetzgebung in Großbritannien vor, dass die Regierung natürlich auf Daten zugreifen darf, wenn der Verdacht besteht, dass sich selbige auf den wirtschaftlichen Wohlstand auswirken oder diese zur Aufklärung von Verbrechen dienen können [Mow09]. Die FlexCloud Projektgruppe greift nun nicht nur die o.g. Herausforderungen auf, sondern auch den Aspekt der freien Wahl für die Nutzer, welcher Anbieter welche Daten bekommt und ob überhaupt in jedem Fall ein externer Dienstleister für die Problemstellung des Nutzers möglich oder nötig ist. Um Lösungen für die Problematiken zu finden, betrachtet FlexCloud die üblichen Modelle der Nutzung von Clouds von einer Meta Ebene [GS12]. Im folgenden Kapitel wird genauer auf die Struktur der vom FlexCloud-Team vorgeschlagenen Π-Cloud Architektur eingegangen um darauf aufbauend in Kapitel 1.3 auf der nächsten Seite den Ansatzpunkt der Studienarbeit zu verdeutlichen. 1.2 AUFBAU DER Π-CLOUD Im groben Architekturüberblick ergibt sich eine Dreiteilung des kompletten Systems. Auf der einen Seite befinden sich die persönlichen Dienste und Ressourcen des Nutzers, welche unter der sog. Π-Cloud subsumiert werden. Auf der anderen Seite liegen die externen Ressourcen, die von externen Dienstleistern zur Verfügung gestellt werden und somit außerhalb des direkten Einflussbereiches des Nutzers liegen. Dem Hauptziel des FlexCloud Projektes folgend, eine sichere und gleichzeitig überaus flexible Möglichkeit des Cloud-Computings zu schaffen, gibt es eine weitere Komponente in der Architektur die Π-Box, welche gleichzeitig der zentrale Bestandteil ist. Die Π-Box ermöglicht den nutzerfreundlichen Übergang zwischen internen- und externen Ressourcen, verbunden mit automatischer Verschlüsselung, Überprüfung der Dienstgüte und anderer Effizienzmerkmale wie Energiebedarf oder Kosten. Abbildung 1.1 auf der nächsten Seite visualisiert den Aufbau der Π- Cloud Architektur noch einmal grob im Überblick. Kapitel 1 Einleitung 3

8 Interne Ressourcen Π - Box Externe Ressourcen Abbildung 1.1: Π-Cloud Architektur 1.3 ANSATZ DIESER STUDIENARBEIT Um innerhalb der Π-Box die Registrierung der nutzereigenen Ressourcen aus der Π-Cloud zu ermöglichen, muss zwischen der eigentlichen Hardware und der Π-Box ein Nachrichtenaustausch stattfinden. Um bei diesem Austausch sowohl auf eine einheitliche Nachrichtensyntax als auch auf eine genormte Nachrichtensemantik zurückgreifen zu können, wird ein Protokoll benötigt. Ziel dieser Studienarbeit ist es, das Signalisierungsprotokoll zwischen den Ressourcen und der Π-Box zu entwickeln und zu testen. Hierzu wird im folgenden Kapitel 2 auf Seite 9 genauer auf die bestehenden Anforderungen an das System eingegangen. Dabei werden auf Basis einer Anwendungsfallanalyse sowohl die Akteure als auch die allgemeinen Abfolgen und Funktionen identifiziert. Als Ergebnis dieser Analyse entsteht ein Systemmodell, bei dem die Anwendungsfälle in ein Objektmodell umgewandelt werden können um die statischen Eigenschaften des Systems zu beschreiben. Hierbei gibt es besonders relevante Aspekte, die in der Aufgabenstellung für diese Arbeit als wichtige Nebenbedingungen eingestuft wurden, welche separat im Kapitel 2.3 auf Seite 13 analysiert werden. Auf der Basis des erhaltenen statischen Modells, wird im Kapitel 3 auf Seite 17 der Lösungsentwurf für die im vorhergehenden Abschnitt identifizierten Aufgaben entwickelt. Hierbei werden im Kapitel 3.1 auf Seite 17 zunächst Ansätze für die identifizierten Nebenbedingungen gegeben und mit Hilfe von Sequenz- und Zustandsdiagrammen in den anschließenden Unterkapiteln das dynamische Modell des Systems modelliert. Hierbei werden sowohl das interne Verhalten in den Klassen als auch die Interaktionen visualisiert um dem Leser einen Überblick zu den identifizierten Lösungen zu geben. Um zu evaluieren, ob für die identifizierten Aspekte bereits implementierte und vielleicht sogar standardisierte Lösungen existieren, wird zudem in Kapitel 3.5 auf Seite 27 die Verwendung bereits bestehender Realisierungen geprüft. Das erstellte Konzept wird in Kapitel 4 auf Seite 30 schließlich praktisch umgesetzt und getestet. Abschließend findet in Kapitel 5 auf Seite 37 eine Bewertung der Gesamtrealisierung statt. Kapitel 1 Einleitung 4

9 1.4 VERWANDTE ARBEITEN Da es sich beim Cloud-Computing um eine Idee handelt, die in den letzten Jahren immer mehr Einsatzgebiete fand [WAB + 09] existieren zu diesem grundlegenden Ansatz der Ressourcenverteilung eine Vielzahl von Arbeiten. Bei der vorliegenden Arbeit handelt es sich im Schwerpunkt um die Findung eines adäquaten Weges um Kommunikation innerhalb einer privaten Cloud zu ermöglichen. Daher wird an dieser Stelle insbesondere auf Arbeiten eingegangen wird, die eine Beziehung zu dieser Aufgabe haben. In den Arbeiten wird vor allem Bezug auf Teilaspekte dieses Beleges und der Π-Cloud genommen, da nur eine ähnliche Arbeit zur Protokollentwicklung gefunden werden konnte. Mit einer Protokollentwicklung haben sich auch Yonggang Wen, Guangyu Shi und Guoqiang Wang in ihrem Paper für die Konferenz zum Internet der Zukunft beschäftigt [WSW11]. Ihr Schwerpunkt lag hierbei vor allem darauf, wie man nutzergenerierte Daten aus der Sicht eines Providers effizient verteilen kann. Die Entwicklung des Protokolls für diesen speziellen Datentyp resultiert aus den Aufgaben, die das Internet heute und zukünftig bewältigen muss. Der Anteil von Daten wie Bildern und Videos, die aufgrund der stetig wachsenden Verbindungsgeschwindigkeit der Nutzer in das Internet geladen werden, hat bereits jetzt einen großen Einfluss auf die insgesamt übertragenen Daten. Zur Effizienzsteigerung stellen sich die Autoren ein neues Architekturmodell namens Content-Distribution-as-a-Service (CoDaaS) vor, bei dem der Dienstanbieter die Daten automatisch in seinem Netz auf effiziente Weise verteilt. Hierfür propagieren die Autoren eine Architektur, bei der ein Provider eine sogenannten Media-Cloud besitzt um die benötigten Ressourcen zur Verfügung zu stellen. Diese Cloud wird entweder von einer zentralen Instanz gesteuert, oder die zur Cloud gehörenden Ressourcen steuern sich untereinander. Um nun die Daten verteilen zu können, wurde ein inter-cloud messaging protocol entsprechend dem devide and conquer Ansatz implementiert und in 3 Unterschichten aufgeteilt. In den einzelnen Schichten werden Daten gespeichert, die sich auf den Typ der eigentlichen Nutzdaten beziehen, die Nutzdaten selbst enthalten und zudem Anweisungen darüber beinhalten, was mit den Daten geschehen soll. Mit ihrer Protokollentwicklung zur Verteilung der Nutzerdaten haben die Autoren einen Entwurfsvorschlag für zukünftige Systeme geliefert, die sich mit der Speicherung von nutzergenerierten Daten beschäftigen. In Verbindung mit der vorliegenden Arbeit ist vor allem der Ablauf und die Schichtung der Protokollneuentwicklung interessant, da es sich bei beiden Arbeiten um eine Entwicklung der Kommunikationssyntax und -semantik handelt. Die Umsetzung einer zumindest teilweise privaten Cloud bringt viele Vorteile mit sich. So liegt beispielsweise die Kontrolle der Infrastruktur in der Hand des Nutzers und ermöglicht ihm somit ein Höchstmaß an Konfigurierbarkeit. Diese ausgeprägte Möglichkeit der Konfiguration birgt gerade in Bezug auf Informations- und Datensicherheit viele Vorteile, da der Nutzer selbst über seine Netzarchitektur entscheiden kann und somit in der Lage ist, die für ihn notwendigen Sicherheitsbestimmungen umzusetzen. Jedoch birgt diese Anpassungsfähigkeit gleichzeitig eine hohe Verantwortung für den Nutzer, da er dafür verantwortlich ist, mittels seines Systemverständnis die Risiken für den Fehlerfreien Ablauf zu minimieren und die Sicherheit den jeweiligen Vorgaben entsprechend umzusetzen. Diesen Punkt untersuchten Isabel Münch, Clemens Doubrava und Alex Essoh in ihrem Artikel zur Gefährdungsanalyse von Private Clouds [MDE11]. So hat der Kapitel 1 Einleitung 5

10 Nutzer zwar ausgeprägte Möglichkeiten der Kontrolle über die Systemarchitektur, das System selbst muss jedoch nicht zwingend bei ihm selbst stehen, sondern kann sich auch außerhalb der eigenen IT Infrastruktur bei entsprechenden Dienstleistern befinden. Um dennoch geltende Richtlinien und Vorgaben beispielsweise im Bezug auf Datenschutz umsetzen zu können, bedarf es der Sicherstellung von Vertraulichkeit, Integrität und nicht zuletzt Verfügbarkeit. Um diese Ziele erreichen zu können, untersuchen die Autoren zunächst den High-Level Aufbau von Private Cloud Systemen und stellen eine Vierteilung der Schichten in Server-, Netz-, Speicher-, und Managementschicht fest. Im Anschluss wird jede der Schichten auf potentielle Risiken untersucht, wobei nur auf technische und organisatorische Aspekte eingegangen und nicht auf Infrastruktursicherheit Bezug genommen wird. In ihrer Untersuchung indentifizieren die Autoren fünf wesentliche Maßnahmen zum sicheren Betrieb von Private Clouds. So ist zum einen die verlässliche und durchgängige Trennung der Nutzer beispielsweise über Sicherheitszonen ein wesentlicher Punkt um Datensicherheit zu gewährleisten. Weiterhin sind die sichere Komponentenkonfiguration, die Trennung von Rollen und Verantwortlichkeiten, die Personalschulung und der umfassende Angriffsschutz von Schnittstellen zum System wichtig für die Gesamtsicherheit des Systems. Unter Annahme einer vollständigen Π-Cloud lässt lassen sich die genannten Schichten auch hier finden, weshalb die von Münch, Doubrava und Essoh aufgezeigten Risiken auch für die dem Leser vorliegenden Arbeit von Relevanz sind. Hinsichtlich der Rechteverwaltung haben Philip Laue und Oliver Stiemerling in ihrem Artikel aus der Zeitschrift für Datenschutz und Datensicherheit die Probleme bei Cloud-Computing Anwendungen untersucht [LS10]. Zwar adressiert dieser Artikel primär die Nutzung von externen Cloud- Computing Lösungen aber bei der Verwendung von privaten Cloud Lösungen wie der Π-Cloud treten ähnliche Aspekte zutage. Die Autoren identifizierten hierbei vor allem rechtliche Risiken die bestehen, wenn es sich bei den transportierten und gespeicherten Daten um personenbezogene Mitarbeiter- oder Kundendaten handelt, die auch aus datenschutzrechtlichen Gründen nur für einen beschränkten Kreis von Nutzern zur Verfügung stehen dürfen. Ein effizientes Identitäts- und Zugriffsmanagement ist daher eine wichtiger Aspekt beim Cloud-Computing. Die hierfür empfohlenen Lösungen der Single-credential- und Single-sign-on- Verfahrensweisen sorgen im Kern dafür, dass die jeweiligen Rechte eines Benutzers in der Cloud zentralisiert gespeichert werden. So muss sich der Client bei der single-credential Lösung jedes Mal separat authentifizieren - jedoch immer mit den selben Daten zur Anmeldung. Das single-sign-on Verfahren verfolgt hingegen den Ansatz, dass sich der der Nutzer des jeweiligen Client lediglich einmal zu Beginn der Verbindung anmelden muss und im Anschluss die Dienste nutzen kann, ohne seine Zugriffsberechtigung noch einmal bestätigen zu müssen. Beide Verfahren gehen von einem zentralisierten Rechtemanagement aus, was den Verwaltungsaufwand bei Veränderungen gering hält, da Anpassungen lediglich an der zentralen Stelle vorgenommen werden müssen. Hinsichtlich der vorliegenden Arbeit besteht eine Verbindung mit dem Artikel bei der zentralen Speicherung der autorisierten Nutzer und deren Rechte weshalb der Vorteil des einfachen Managements auch hier von Relevanz ist. Private Clouds offerieren Vorteile hinsichtlich der Möglichkeiten zur Steuerung durch den jeweiligen Nutzer und Public Clouds bieten in der Regel größere Rechenkapazitäten an, die sich flexibel skalieren lassen. Das Konzept einer hybriden Cloud vereinigt die Vorteile von Private- und Public Cloud Konzepten und ist daher bereits eine etablierte Technik zur Realisierung von spezifischen Aufgaben der Nutzerwelt. Die Vielzahl von Anbietern des Public Cloud Konzeptes geht Kapitel 1 Einleitung 6

11 mit einer Vielzahl von unterschiedlichen Identifizierungs- und Sicherungsmechanismen einher, da keine genormte Lösung hierfür existiert und die Anbieter entsprechend ihrer eigenen Anliegen und Regulierungen die passenden Techniken verwenden. Diese Problematik adressieren Liang Yan, Chunming Rong und Gansen Zhao in ihrem Paper zum einheitlichen und hierarchischem Identitätsmanagement [YRZ09]. Bei der Verwendung von einer einzelnen Private- oder Public Cloud Lösung benötigt den Nutzer nur ein Sicherheitssystem. Wenn aber mehrere Anbieter und somit unterschiedliche Sicherheitssysteme zum Einsatz kommen, sinkt zwangsläufig nicht nur der Nutzungskomfort durch die Notwendigkeit von unterschiedlichen Schlüsseln, Passwörtern und Authentifizierungswegen, sondern auch eine Kombination unterschiedlicher Realisierungen kann sich schwer gestalten. Um das zu ändern, schlagen die Autoren ein System auf Basis der Hierarchical-Identity-Based-Cryptography (HIBC), also die Verwendung von Verschlüsselung auf Basis einer hierarchischen Struktur zur Nutzeridentifizierungs vor. Hierbei hat jeder Client und jeder Server seine eigene Identität und nimmt die Kommunikationsverschlüsselung auf Basis derselben vor. Um das zu erreichen, wird asymmetrische Verschlüsselung als Grundlage verwendet und eine Baumstruktur für die Verschlüsselung auf unterschiedlichen Ebenen vorgenommen. Die Knoten in diesem Baum vergeben jeweils die Private Keys ihrer Folgeebene im Baum, weshalb dies der Punkt im System ist, der am besten gesichert sein muss. Das liegt daran, dass die Knoten die Privaten Schlüssel ihrer Folgeebene kennen. Die Unterschiedlichen Ebenen, die sich über den Blättern des Baumes befinden, können als Domänen angesehen werden und ermöglichen hiermit, dass sich der jeweilige Nutzer (ein Blatt des Baumes) nur bei seiner übergeordneten Ebene anmelden muss und der Rest automatisch über die anderen Zwischenstationen bis zu seinem Ziel erledigt wird. Dadurch wird die Authentifizierung gegenüber unterschiedlichen Zwischenstellen für den Nutzer transparent und somit ein Höchstmaß an Nutzerkomfort ermöglicht. Da die Π-Box als eine Art Rootserver in dem von den Autoren propagierten Baum gesehen werden kann, können die Ergebnisse der Autoren auch in der hybriden Π-Cloud Struktur Anwendung finden. Die Idee, Ressourcen einer Cloud zu nutzen um mit mobilen Geräten auf Dienste zurückzugreifen die sie selbst aufgrund ihrer Baugröße und der damit verbundenen eingeschränkten Leistungsfähigkeit nicht leisten können, liegt nahe. Tamil Nadu Chennai hat sich in seinem Artikel, der im International Journal of Scientific and Research Publications erschienen ist, mit dieser Problematik auseinander gesetzt [Che12]. Er stellt Architekturmodelle vor, mit denen heutige Smartphones eine Cloud für die Verarbeitung ihrer Daten nutzen können. Chennai sieht in der Kopplung von Cloud-Computing Ressourcen an Smartphones ökonomische genauso wie ökologische Vorteile, da die Smartphones mit diesem Weg eher auf Energieeffizienz statt auf Leistung ausgerichtet werden können und das den Nutzern den Kauf von aktuellster Hardware, die typischerweise kostenintensiv ist, erspart. Für sein Modell grenzt der Autor multi-tenant und multi-user Anwendungsfälle von einander ab. Die Idee, dass jeder Nutzer seine vollständig auf ihn angepasste Konfiguration verwenden kann sieht er nur in dem ersten Modell realisiert, da der übliche multi-user Ansatz zumindest in Teilen eine gleiche Konfiguration voraussetzt, die alle Nutzer verwenden. Chennai formuliert für seine Idee daher drei grundlegende Architekturziele: geteilte Hardware, einen hohen Grad an Konfigurationsmöglichkeiten und eine trotzdem gemeinsam verwendeten Datenbasis. Um diese zu erreichen, realisiert er sein Konzept mit Hilfe von virtuellen Maschinen, die seine Zielstellung vollständig erfüllen können. Die genannten Architekturziele treffen auch für die vorliegende Arbeit zu, weshalb es sich bei Kapitel 1 Einleitung 7

12 der Untersuchung von Chennai bei diesem Punkt um die Verbindung seiner und der vorliegenden Arbeit handelt. Einen anderen Aspekt der Cloud Nutzung mit mobilen Endgeräten adressieren Farshad Samimi, Philip McKinley und Masoud Sadjadi in ihrem Paper zur selbstverwaltenden Infrastruktur einer Cloud [SMS06]. Ihr, als Mobile Service Cloud bezeichnetes, Modell soll hierbei vor allem die dynamische Instanziierung von Wegen im Netzwerk und die automatische Neukonfiguration der Dienste im Netzwerk übernehmen. Aus ihrer Sicht kann die automatische Konfiguration genutzt werden um eine erhöhte Fehlerresistenz der Verbindung, verbesserte Kommunikationssicherheit und somit insgesamt einen besseren Service für den Endnutzer zu erreichen. Das ist vor allem der Tatsache geschuldet, dass ein Nutzer beim Verbindungsaufbau über eine mobile Verbindung, wie beispielsweise dem Internet über das Handy, eine Vielzahl von Zwischenknoten im Netzwerk zwischen sich und seinem angefragten Dienst und somit eine Menge zusätzliche Latenz und Stationen für eventuelle Fehler hat. Die Autoren schlagen deswegen ein Overlay Netzwerk vor, was sich dynamisch den kürzesten (im Sinne von geringster Latenz) Weg im Netzwerk sucht und diesen für die Verbindung verwendet. Insbesondere bei den Netzwerkknoten die sich kurz vor dem Endnutzer befinden, ist die automatische Konfiguration von Relevanz, da der Nutzer beispielsweise beim Empfangen eines Videostreams eine volatile Verbindungsbandbreite im mobilen Netz haben kann und somit auf eine stärkere Kodierung des Materials angewiesen ist. Die Qualität der Verbindung kennt jedoch nur der letzte Host vor dem Nutzer, weshalb an dieser Stelle die Kodierung vorgenommen werden muss. Genauso kann mit diesem Verfahren eine fehleranfällige Verbindung stärker mittels Redundanzcodes geschützt werden, ohne dass der gesamte Weg im Netzwerk die zusätzlichen Bits übertragen muss. Bei lediglich einem Nutzer im Netzwerk ist diese Auswirkung gering - bei einer großen Anzahl von Nutzern bedeutet jede zusätzliche Datenübertragung pro Nutzer eine aber kleinere Bandbreite für alle, weshalb dieser Punkt durchaus von Relevanz ist. Auch die Architektur, die der vorliegenden Arbeit zugrunde liegt ermöglicht den mobilen Zugriff auf Cloudressourcen, weshalb die von den Autoren gemachten Erkenntnisse genauso im Kontext der Π-Cloud von Relevanz sein können. Kapitel 1 Einleitung 8

13 2 ANALYSE 2.1 ALLGEMEINE BETRACHTUNG NOTWENDIGER FUNKTIONEN Als Grundlage für die Entwicklung eines geeigneten Protokolls, werden die benötigten Funktionen auf Basis einer Szenarioanalyse evaluiert. Hierbei wird eine an eine klassische Szenarioanalyse angelehnte Vorgehensweise verwendet, da keine Prognose für unterschiedliche Szenarien analysiert wird, sondern die Features anhand eines bestimmten Szenarios untersucht werden. Dieses Szenario umfasst grundlegend den Verbindungsaufbau zwischen einem zur Π-Box kompatiblen Gerät, wie einem Notebook, Handy, oder Ähnlichem - im Folgenden als Client bezeichnet - und dem Netzwerk bzw. letztendlich der Π-Box selbst. Hierbei wird der Minimalfall betrachtet, dass nur ein Gerät, ein Netzwerk und eine Π-Box relevant sind. Die Szenarien mit mehr Clients, erfordern die selben grundlegenden Funktionen bei der Kommunikation. Allerdings steigen mit jedem weiteren Client die benötigte Leistungsfähigkeit von Π-Box und Netzwerk als zentrale Komponenten, was in hochskalierten Szenarien auch den resultierenden Trafficaufwand zu einer interessanten Messgröße macht. Bei allgemeiner Betrachtung handelt es sich beim gegebenen Szenario also um ein verteiltes System im klassischen Sinne. Unterschiedliche Geräte verfolgen in einem Netzwerk über Kommunikation untereinander ein bestimmtes Ziel. Die Schaffung der Π-Cloud bringt für den Anwender viele Vorteile, die allerdings in Zusammenhang mit den üblichen Aspekten eines verteilten Systems gesehen werden müssen. Zu berücksichtigen sind beispielsweise wichtige Punkte wie die Heterogenität und Möglichkeiten zur Erweiterung der Cloud genauso wie Sicherheits- und Skalierungsaspekte [CDK05]. Abbildung 2.1 auf der nächsten Seite zeigt in einem Anwendungsfalldiagramm, welche grundlegenden Funktionen bei der Kommunikation zwischen Client und Π-Box vom Protokoll abgedeckt werden müssen. 9

14 Π - Box finden Etablierung sicherer Kommunikation Sichere Kommunikation Client Dienstregistrierung Π- Box Initialer Verbindungsdatenaustausch Dienstnutzungsanfrage Dienstauthentifizierung Autorisierungsinstanz Systemüberwachung Verbindungsabbau Abbildung 2.1: Anwendungsfalldiagramm 2.2 DETAILEVALUATION DER ANFORDERUNGEN Um nun tiefgründiger die benötigten Funktionen bestimmen zu können, wird jeder Fall des in Abbildung 2.1 dargestellten Diagramms untersucht, nachdem noch einmal grundlegend auf die zu betrachtenden Akteure eingegangen wurde. Kapitel 2 Analyse 10

15 Akteure Bei dem zu entwickelnden Signalisierungsprotokoll handelt es sich, wie in Kapitel 1.3 auf Seite 4 erwähnt, um die Vorgabenfindung für die Kommunikation zwischen der Π-Box und einem kompatiblen Gerät. Explizit ausgeschlossen sind hierbei Betrachtungen über diese Kommunikation hinaus beispielsweise mit einem weiteren kompatiblen Client im Netzwerk, da diese Kommunikation zwischen den Geräten nicht über die Π-Box, sondern separat über eine Client-zu-Client Verbindung realisiert werden soll. Diese Designentscheidung wurde so getroffen, da die Π-Box mit steigender Anzahl an Clients schnell zum Flaschenhals der Datenübertragung werden würde, wenn jegliche Kommunikation über sie läuft. Entsprechend sind der Client, die Π-Box und das als Schnittstelle fungierende Netzwerk die zu betrachtenden Akteure dieses Szenarios. Es handelt sich hier um eine klassische Client- /Serverarchitektur oder auch um eine zweischichtige Architektur - die sog. 2-tier architecture. Das hierbei vorliegende Interaktionsmodell umfasst die synchrone Kommunikation, so dass der Client nach Anfrage auf die Antwort der Π-Box wartet und nicht währenddessen bereits Interaktionen mit der Π-Cloud vornimmt. Aufgrund von Sicherheitsaspekten ist es neben der Kommunikation, die primär zwischen Client und Π-Box abläuft, nötig, eine weitere Systemkomponente hinzuzufügen. Diese Komponente sorgt als eine Autorisierungsinstanz dafür, dass der Client validieren kann, ob es sich bei der Π-Box tatsächlich um diese handelt. Dadurch kann ausgeschlossen werden, dass er mit einem eventuellen Angreifer sensible Daten austauscht. Verbindungsfindung Wenn die genannten Teilnehmer des Netzwerkes verfügbar und funktionsfähig sind, bedarf es für die weitere Kommunikation zunächst der Klärung von Kommunikationsadressen. Der Prozess zum Finden der Π-Box im Netzwerk kann entweder manuell oder automatisiert erfolgen. So ist zum einen die Nutzung der fest vergebenen Adressen im Netzwerk möglich, wenn dise bekannt sind und manuell eingetragen werden können. Zum anderen kann die Konfiguration und Suche automatisch über spezielle Protokolle erfolgen. Diese Aspekte werden in Kapitel 3.5 auf Seite 27 näher untersucht. Etablierung sicherer Kommunikation Nachdem die Adressen für die gegenseitige Kommunikation klar sind, kann mit der Herstellung einer für den jeweiligen Dienst angemessenen sicheren Verbindung begonnen werden. Sicherheit und dadurch zu erreichende Schutzziele umfassen in der Literatur vor allem Vertraulichkeit, Integrität und Verfügbarkeit [CDK05]. In dieser Arbeit und dem Anwendungsfall der Etablierung sicherer Kommunikation soll insbesondere das Schutzziel der Vertraulichkeit betrachtet werden, welches sich unter anderem durch Verschlüsselung und Authentifikation gewährleisten lässt. In modernen Kommunikationssystemen wird für die Verschlüsselung, aufgrund des fehlenden sicheren Kanals zur Übertragung einer Passphrase, meistens asymmetrische oder hybride Verschlüsselung verwendet. So wird die verschlüsselte Übertragung von Daten über das Hypertext Transfer Protocol (HTTP) im Internet mit Hilfe des Secure Sockets Layer (SSL) Protokolls realisiert, das auch auf der hybriden Verschlüsselung basiert. Asymmetrische Verschlüsselung ist im Vergleich zu ihrem symmetrischen Pendant sehr rechenintensiv. Daher kann es langfristig von Vorteil sein, wenn die sog. hybride Verschlüsselung zum Einsatz kommt, damit die Vorteile beider Verfahren optimal genutzt werden. Aus diesem Grund sollte auch bei dem vorliegenden Anwendungsfall die Kombination Kapitel 2 Analyse 11

16 der zwei Verschlüsselungsarten genutzt werden. Um nun jedoch nicht nur eine verschlüsselte Verbindung zu haben, sondern auch sicher zu stellen, dass der Kommunikationspartner tatsächlich der ist, für den er sich ausgibt, sollte zusätzlich noch eine Systeminstanz eingeführt werden, welche die Authentizität sichern kann. Gerade in verteilten Systemen ist der sog. Man-in-the-middle Angriff, bei dem sich ein Systemfremder als ein Mitglied des Systems ausgibt um an private Daten zu kommen, ein latentes Problem [BNS10]. Um für den vorliegenden Anwendungsfall diesbezüglich für eine Absicherung zu sorgen, wird eine Autorisierungsinstanz eingeführt, bei der sich der Client versichern kann, dass es sich bei der Π-Box tatsächlich um selbige handelt. Dieser Anwendungsfall tritt jedes Mal auf, wenn sich ein neuer Client initial bei der Π-Box registriert, da nach erstmaliger Registrierung die Kommunikation direkt mit dem hier übermittelten symmetrischen Schlüssel startet. Sichere Kommunikation Wenn der Verbindungsaufbau zwischen dem spezifischen Client und der Π-Box nicht zum ersten Mal stattfindet, umfasst der Anwendungsfall für sichere Kommunikation den Aufbau des verschlüsselten Kommunikationskanals auf Basis des bereits ausgetauschten symmetrischen Schlüssels. Hierfür muss der Client lediglich seine Identität an die Π-Box senden und diese kann auf Basis der in ihrer Datenbank vorhandenen Passphrase die weiterführende Kommunikation verschlüsselt durchführen. In diesem Anwendungsfall ist keine weiteren Autorisierung notwendig, da ein Angreifer nicht über den symmetrischen Schlüssel verfügen kann, den die Π-Box und der Client bei der initialen Kommunikation ausgetauscht haben. Entsprechend kann er die vorgetäuschte Identität nicht gewinnbringend für sich nutzen, da er die verschlüsselte Antwort der Π-Box nicht dekodieren kann. Initialer Verbindungsdatenaustausch Bevor das Ziel, also die Kommunikation über die angebotenen Services erreicht werden kann, müssen noch einige Daten ausgetauscht werden. Die Π-Box teilt hierbei dem Client nicht nur ihre externe Verbindungsadresse mit, sondern an dieser Stelle kann auch die Kommunikation bezüglich zugeordneter Rechte erfolgen. Wenn also für die zukünftige Nutzung von Diensten beispielsweise die Überprüfung von Nutzername und Passwort oder die Übertragung von Systemparametern für den weiteren Ablauf notwendig wird, können diese Daten während des aktuellen Abschnitts der Kommunikation ausgetauscht werden. Das sichert die zukünftige Anpassungsfähigkeit des Protokolls und macht eine Erweiterung oder eine Veränderung im Ablauf möglich. Dienstnutzungsanfage Wenn sich ein Client mit der Π-Box verbindet, weil er einen gewissen Dienst nutzen will, zählt diese Kommunikation zum Anwendungsfall der Dienstnutzungsanfrage. Nach erfolgreich aufgebauter Verbindung mit der Π-Box kann er nun um Weitervermittlung des jeweiligen Services bitten. Sofern er dazu berechtigt ist, wird ihm die Π-Box die Verbindungsdaten mitteilen, die er für die Nutzung des Services benötigt. Dienstregistrierung Sollte ein Client seine Ressourcen zur Verfügung stellen und somit dem System Dienste offerieren, meldet er die im Rahmen der Dienstregistrierung an die Π-Box. Auf Basis der getätigten Kommunikation kann schließlich die Π-Box in ihrer Datenbank den neuen oder veränderten Dienst des Clients mit seiner jeweiligen Adresse vermerken, um zu einem späteren Zeitpunkt andere, anfragende Clients dorthin vermitteln zu können. Kapitel 2 Analyse 12

17 Dienstetauthentifizierung Wenn ein Client A auf einen Dienst eines weiteren Clients B zugreifen möchte, holt er sich die für eine Client-Client Verbindung notwendigen Daten von der Π-Box. Bei erfolgreicher Vermittlung durch die Π-Box wird im Anschluss A bei B anfragen, ob dieser ihm den geforderten Dienst zur Verfügung stellen kann. Da B nun aber nicht weiß, ob A tatsächlich von der Π-Box berechtigt ist, diesen Dienst zu nutzen, fragt er dies separat bei der Π-Box an. Nachdem sich B diesbezüglich versichert hat, kann A seinen angebotenen Dienst nutzen. Systemüberwachung Um innerhalb der Π-Cloud eine Art Überwachung zu ermöglichen, bedarf es einer Monitoring- Funktionalität. Beispielsweise sind bei Clients sowohl Aussagen über ihren aktuellen Status, als auch über vergangene Dienstnutzungen und Dienstnutzungsanfragen von Interesse. Das Senden dieser Art von Servicemitteilungen wird mit dem Anwendungsfall der Systemüberwachung abgedeckt. Mit Hilfe dieser Funktionalität wird eine in der Π-Box zentralisierte Überwachung der gesamten Π-Cloud möglich, womit zum Beispiel Statistiken zu Fehlern oder Effizienzaspekten angefertigt werden können. Verbindungsabbau Wenn der Client die Verbindung zwischen sich und der Π-Box beendet muss, unabhängig davon ob dies gewollt oder ungewollt passiert, ist es von zentraler Bedeutung, dass etwaige Datenübertragungen die währenddessen ablaufen nicht fehlerhaft sind. Gewollt bezeichnet in diesem Zusammenhang den vom Nutzer initiierten Verbindungsabbruch beispielsweise durch Ausschalten des jeweiligen Clients. Die unter ungewollt subsumierten Fälle stellen hier vor allem Verbindungsabbrüche dar, die beispielsweise durch zu geringe WLAN- oder Mobilfunk-Feldstärken verursacht werden und durch Schwankungen entstehen können. Da solche Verbindungsabbrüche relativ häufig auftreten, wird vor jedem Datenaustausch überprüft, ob der Kommunikationspartner noch zur Verfügung steht und erst dann mit der Übertragung begonnen. Bei dieser Verfahrensweise werden durch die ständige Verbindungskontrolle zwar Abstriche bei der Kommunikationsgeschwindigkeit gemacht, aber es wird ein Höchstmaß an Verbindungssicherheit in Bezug auf einsatzbereite Konnektivität garantiert. 2.3 NEBENBEDINGUNGEN DER WEITERENTWICKLUNG Im Rahmen der Aufgabenstellung wurden bereits für den Entwurf besonders relevante Punkte eines Protokolls definiert und unter dem Begriff der Nebenbedingungen subsumiert. Diese werden im Folgenden näher erläutert und in Bezug auf das konkrete Szenario betrachtet. Nachdem hier ein grober Überblick über die Nebenbedingungen gegeben wurde, folgt in Kapitel Kapitel 3.1 auf Seite 17 die Betrachtung der Aspekte und deren Lösungen im Detail. Sichere Geräteidentifizierung In Abhängigkeit des jeweils zu nutzenden Dienstes müssen die Identität des Clients und oder die Identität der Π-Box oder beide zweifelsfrei geklärt werden. Nur so ist sichergestellt, dass die Daten tatsächlich an die dafür bestimmten Geräte gesendet werden und nicht an Kapitel 2 Analyse 13

18 solche, die sich lediglich dafür ausgeben. Zum Klären der Identität eignen sich hier beispielsweise klassische Verfahren die auf der asynchronen Verschlüsselung basieren. Jeder Teilnehmer verfügt dann über sein eigenes Schlüsselpaar aus privatem- und öffentlichem Schlüssel und muss letzteren über das Netzwerk verteilen. Im Anschluss ist die Identifikation - also die Überprüfung der Zugehörigkeit von öffentlichem Schlüssel zu dem jeweiligen Teilnehmer - über Konzepte wie das Challenge-Response Protokoll oder Digitale Signierung möglich. Hierbei werden dem zu identifizierenden Teilnehmer entweder Aufgaben gestellt, die er nur mit korrektem privaten Schlüssel lösen kann [Ben04] oder er unterschreibt jedes seiner gesendeten Dokumente indem er mit Hilfe seines privaten Schlüssels die Prüfsumme des Dokumentes verschlüsselt und garantiert somit nicht nur die Herkunft des Dokumentes, sondern auch dessen Unversehrtheit. In beiden Fällen kann nur ein Besitzer des privaten Schlüssels die mit seinem öffentlichen Schlüssel verschlüsselten Nachrichten dekodieren und korrekt antworten, womit die Herkunft relativ eindeutig geklärt ist. Die Eindeutigkeit ist hierbei dadurch beschränkt, dass nur der Besitzer des aus öffentlicher und privater Passphrase bestehenden Schlüsselpaares die Nachrichten dekodieren kann. Jedoch kann damit nicht abschließend sichergestellt werden, dass dieser Besitzer tatsächlich der ist, für den er sich ausgibt. Eine zusätzliche Absicherung der Identität ist nur mit einer weiteren Authentifizierungsinstanz möglich, die eine Zertifikatvergabe ermöglicht und so als übergeordnete Entität für die Validierung der Zugehörigkeit eines öffentlichen Schlüssels zu einem bestimmten Kommunikationspartner sorgt. [CDK05]. Kommunikation über lokale Netzgrenzen hinaus Das Auffinden der Kommunikationspartner ist im lokalen Netz über Broadcastmechanismen relativ einfach möglich. Wenn sich jedoch der Client außerhalb des Intranets bewegt und die Π-Box erreichen möchte, steht diese Möglichkeit nicht mehr zur Verfügung. Die Verbindung zwischen Π-Box und dem Client kann theoretisch von beiden Seiten initial gewollt sein. Aufgrund des Grundkonzeptes von FlexCloud, kommt der Verbindungsaufbau jedoch nur vom Client zur Π-Box zustande. Das liegt daran, dass die Dienstnutzungsanfragen und Dienstregistrierungen immer initial vom Client ausgehen und die Verbindungserstellung durch die Π-Box deswegen keine weitere Relevanz hat. Unterschiedliche Übertragungsprotokolle für die Realisierung Grundsätzlich wird in dieser Arbeit die Übertragung über die Standardprotokolle des Internets in Betracht gezogen. Bei der Kommunikationsbeziehung zwischen Π-Box und Client ist es wichtig, Fehlerlosigkeit zu gewährleisten. So darf das gleiche Paket nicht beliebig oft von der Π-Box verarbeitet werden, um Inkonsistenzen und Overhead zu vermeiden und da der Client bei diesem synchronen Kommunikationsmodell auf die Antwort der Π-Box wartet, ist zudem eine zuverlässige Datenübertragung von entscheidender Bedeutung. Es handelt sich daher hierbei um eine at-most-once Fehlersemantik, bei der die Π-Box eine Nachricht höchstens einmal empfängt, verarbeitet und dies dem Client quittiert. Eigentlich wäre hierbei eine exactly-once Fehlersemantik wünschenswert die, im Unterschied zur eben genannten, die einmalige Verarbeitung der Nachricht auch bei Systemfehlern garantiert. Dies ist bei verteilten Systemen nicht möglich, da bei einem Serverausfall der Client keine Möglichkeit hat, dies zu erkennen. Entsprechend wiederholt er nach einem vorgegebenen Time-out seine Nachricht und kann den einmaligen Empfang der Nachricht durch die Π-Box somit nicht sicherstellen. Diese Tatsache sorgt dafür, dass die hier vorliegende Interaktionsform eine at-most-once Fehlersemantik besitzt [Ben04]. Kapitel 2 Analyse 14

19 2.4 ZUSAMMENFASSUNG DER ANFORDERUNGEN Die in den vorherigen Kapiteln gesammelten Aspekte werden nun noch einmal zusammengefasst und übersichtlich aufbereitet, um später als Bewertungsgrundlage für die entstandene Implementierung zu dienen. Hierbei finden sowohl die im Kapitel 2.2 auf Seite 10 der Anwendungsfallbetrachtung identifizierten Gesichtspunkte als auch die konkreten Nebenbedingungen ihre Berücksichtigung. Generelle Systemaspekte Zunächst muss die Realisierung allgemeine Anforderungen erfüllen, die in einem verteilten System außerhalb der Kommunikation bestehen. So ist zu erwarten, dass die Betriebssysteme der Clients sehr unterschiedlich sein können. Von üblichen Desktop Plattformen wie Microsoft Windows und beliebige Linux Distributionen bis hin zu optimierten Betriebssystemen für kleinere Geräte wie Android oder Apple ios muss eine Vielzahl an Plattformen unterstützt werden. Für ein derart heterogenes Gesamtsystem, muss großer Wert auf die Kompatibilität der gewählten Implementierung zu vielen unterschiedlichen Plattformen gelegt werden. Da die Π-Cloud ein Höchstmaß an Flexibilität bezüglich der Systeminfrastruktur besitzen soll, was vor sich allem auf die Anzahl der zu verwaltenden Clients bezieht, muss das Erweitern und Verkleinern der Cloud ohne Umstände für den Nutzer möglich sein und das Protokoll daher einen möglichst großen Anteil der Kommunikation automatisiert durchführen. Gleichzeitig ist der Aspekt zu bedenken, dass ein sich erweiterndes System zu steigender Auslastung führt und so für das Netzwerk und die als zentrale Instanz fungierende Π-Box sichergestellt werden muss, dass sich die Anforderungen für jede Einzelverbindung auf ein Minimum beschränken. Kommunikation Hinsichtlich der Anforderungen in Zusammenhang mit den konkreten Verbindungen muss beachtet werden, dass die Kommunikationsverbindung zwischen den Clients und der Π-Box mit hoher Zuverlässigkeit zustande kommen muss - und das sowohl aus dem Intranet als auch bei dem Zugriff von außerhalb des Systems über das Internet. Die bestehende Verbindung selbst sollte Sicherheit in Bezug auf Verfügbarkeit und Vertraulichkeit gewährleisten. So muss sichergestellt werden, dass die Verbindung resistent gegen kleinere Fehler bei der Übertragung wie den Verlust von ein paar Datenpakete ist und zudem, dass die Kommunikation zwischen zwei Teilnehmern nicht von anderen gelesen werden kann und das diese beiden auch zweifelsfrei identifiziert werden können. Um letztlich viele dieser gestellten Anforderungen überprüfen zu können, ist es wichtig, eine Möglichkeit der Protokollierung und Statistikführung zu implementieren um das System auch während der Laufzeit auf eventuelle Schwachstellen überprüfen zu können. In Tabelle 2.1 auf der nächsten Seite finden sich die benötigten Funktionen noch einmal in der Übersicht inklusive einer Kurzbeschreibung. Kapitel 2 Analyse 15

20 Tabelle 2.1: Kriterien zur Lösungsbewertung Kategorie Funktion Kurzbeschreibung Generelle Systemaspekte Heterogenität Durch die zu erwartende Heterogenität des Systems, bedarf es einer möglichst sehr breiten Untersützung für die zugrunde liegenden Clientsysteme. Erweiterung Skalierung Funktionell ist bei Ergänzung des Systems größtmögliche Flexibilität wünschenswert. Sowohl der Datendurchsatz als auch die Antwortlatenz sind relevante Messgrößen für das abschließende System. Kommunikation Sicherheit Eine sichere Verbindung im Sinne von Verfügbarkeit und Fehlerbehandlung ist grundlegend für die Umsetzung. Verbindungsfindung Der Verbindungsaufbau vom Client zur Π- Box muss aus dem Intranet genauso wie aus dem Internet sehr zuverlässig sein und hierbei möglichst einen hohen Grad der Automatisierung aufweisen. Verschlüsselung Identifizierung Monitoring Ein verlässlicher Schutz für die Übertragung der sensiblen Daten ist für die abschließende Lösung unabdingbar. Zur Realisierung eines sicheren Kommunikationssystems ist die zweifelsfreie Identifikation der Teilnehmer an einer Kommunikation wichtig und daher auch hier als Funktion vorgesehen. Um langfristig ein stabiles System zu gewährleisten, muss eine Funktionalität gegeben sein, die den Status der einzelnen Π- Cloud Elemente zusammen trägt und ggf. Maßnahmen ableitet. Kapitel 2 Analyse 16

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Client/Server-Systeme

Client/Server-Systeme Fachbereich Informatik Projektgruppe KOSI Kooperative Spiele im Internet Client/Server-Systeme Vortragender Jan-Ole Janssen 26. November 2000 Übersicht Teil 1 Das Client/Server-Konzept Teil 2 Client/Server-Architekturen

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie Wolfgang Ginolas Fachhochschule Wedel 21. September 2009 Wolfgang Ginolas (Fachhochschule Wedel) 21. September 2009 1 / 14 Einleitung

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Internet-Blocking: Was ist technisch möglich?

Internet-Blocking: Was ist technisch möglich? Fakultät Informatik, Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Internet-Blocking: Was ist technisch möglich? Stefan Köpsell, sk13@inf.tu-dresden.de Das Internet eine historische

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Ausgabe 09/2012. Big-LinX The Remote Service Cloud Fernwartung und Ferndiagnose für Maschinen und Anlagen

Ausgabe 09/2012. Big-LinX The Remote Service Cloud Fernwartung und Ferndiagnose für Maschinen und Anlagen Ausgabe 09/2012 Big-Lin The Remote Service Cloud Fernwartung und Ferndiagnose für Maschinen und Anlagen Big-Lin Weltweit sicher vernetzt Big-Lin VPN-RendezvousServer Servicetechniker VPN-Rendezvous-Server

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Insitut für Informatik Prof. Dr. Bernhard Bauer Wolf Fischer Christian Saad Wintersemester 08/09 Übungsblatt 5 26.11.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1: Erläutern

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Kolloquium zur Diplomarbeit

Kolloquium zur Diplomarbeit Kolloquium zur Diplomarbeit Konzeption und prototypische Umsetzung von Authentifizierungsverfahren und Kommunikationsschnittstellen für das Identity-Management-System CIDAS unter besonderer Berücksichtigung

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

Die wichtigsten Vorteile von SEPPmail auf einen Blick

Die wichtigsten Vorteile von SEPPmail auf einen Blick Die wichtigsten Vorteile von SEPPmail auf einen Blick August 2008 Inhalt Die wichtigsten Vorteile von SEPPmail auf einen Blick... 3 Enhanced WebMail Technologie... 3 Domain Encryption... 5 Queue-less Betrieb...

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

email, Applikationen, Services Alexander Prosser

email, Applikationen, Services Alexander Prosser email, Applikationen, Services Alexander Prosser WWW für Menschen und Maschinen SEITE 2 (C) ALEXANDER PROSSER WWW für Menschen (1) Mensch gibt Adresse ein, z.b. evoting.at oder klickt Link an (2) Server

Mehr

Band M, Kapitel 7: IT-Dienste

Band M, Kapitel 7: IT-Dienste Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: Hochverfuegbarkeit@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Universal Mobile Gateway V4

Universal Mobile Gateway V4 PV-Electronic, Lyss Universal Mobile Gateway V4 Autor: P.Groner Inhaltsverzeichnis Allgemeine Informationen... 3 Copyrightvermerk... 3 Support Informationen... 3 Produkte Support... 3 Allgemein... 4 Definition

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Cloud Extender - Flexible Ressourcenbuchung

Cloud Extender - Flexible Ressourcenbuchung Cloud Extender - Flexible Ressourcenbuchung Die Herausforderung Immer mehr Unternehmen entscheiden sich dafür Ressourcen dynamisch aus der Cloud zu buchen. Gemeint ist damit in vielen Fällen die sogenannte

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Einführung in die OPC-Technik

Einführung in die OPC-Technik Einführung in die OPC-Technik Was ist OPC? OPC, als Standartschnittstelle der Zukunft, steht für OLE for Process Control,und basiert auf dem Komponentenmodel der Firma Microsoft,dem Hersteller des Betriebssystems

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

Videos aus der Cloud: Tipps für sicheres Videomanagement

Videos aus der Cloud: Tipps für sicheres Videomanagement Videos aus der Cloud: Tipps für sicheres Videomanagement www.movingimage24.com 1 Einleitung Wer Unternehmensdaten in die Cloud auslagern möchte, sollte sich der damit verbundenen Sicherheitsrisiken bewusst

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Mobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt

Mobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Mobilkommunikation REST-basierte Dienste für verteilte, mobile Anwendungen A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Fachhochschule Köln, Institut für Nachrichtentechnik Fachhochschule Köln Anton Gillert,

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Verteilte Systeme - 1. Übung

Verteilte Systeme - 1. Übung Verteilte Systeme - 1. Übung Dr. Jens Brandt Sommersemester 2011 1. Rechnerverbünde Kommunikationsverbund: Beispiele: E-Mail (SMTP, POP/IMAP), Instant Messaging (XMPP, IRC, ICQ,...), Newsgroups (NNTP)

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Vodafone Cloud. Einfach A1. A1.net/cloud

Vodafone Cloud. Einfach A1. A1.net/cloud Einfach A1. A1.net/cloud Ihr sicherer Online-Speicher für Ihre wichtigsten Daten auf Handy und PC Die Vodafone Cloud ist Ihr sicherer Online-Speicher für Ihre Bilder, Videos, Musik und andere Daten. Der

Mehr

Business Process Execution Language. Christian Vollmer Oliver Garbe

Business Process Execution Language. Christian Vollmer <christian.vollmer@udo.edu> Oliver Garbe <oliver.garbe@udo.edu> Business Process Execution Language Christian Vollmer Oliver Garbe Aufbau Was ist BPEL? Wofür ist BPEL gut? Wie funktioniert BPEL? Wie sieht BPEL aus?

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

HOB Remote Desktop VPN

HOB Remote Desktop VPN HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB Remote Desktop VPN Sicherer Zugang mobiler Anwender und Geschäftspartner

Mehr

Methoden zur adaptiven Steuerung von Overlay-Topologien in Peer-to-Peer-Diensten

Methoden zur adaptiven Steuerung von Overlay-Topologien in Peer-to-Peer-Diensten Prof. Dr. P. Tran-Gia Methoden zur adaptiven Steuerung von Overlay-Topologien in Peer-to-Peer-Diensten 4. Würzburger Workshop IP Netzmanagement, IP Netzplanung und Optimierung Robert Henjes, Dr. Kurt Tutschku

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

bintec elmeg Filialisten Lösungen mit WLAN Controllern IP Access WLAN ITK VoIP / VoVPN IT Security UC Unified Teldat Group Company

bintec elmeg Filialisten Lösungen mit WLAN Controllern IP Access WLAN ITK VoIP / VoVPN IT Security UC Unified Teldat Group Company Filialisten Lösungen mit WLAN Controllern Autor: Hans-Dieter Wahl, Produktmanager bei Teldat GmbH IP Access WLAN ITK VoIP / Vo IT Security UC Unified Communications WLAN Netzwerke findet man inzwischen

Mehr

Web Services: Inhalt

Web Services: Inhalt Web Services Fachseminar Verteilte Systeme 8. April 2002 - Marco Steiner Assistent: Thomas Schoch Professor: Dr. F. Mattern Web Services: Inhalt Bedeutung Gegenwart Architektur SOAP WSDL UDDI Vergleich

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Sicherheitskonzept Verwendung Batix CMS

Sicherheitskonzept Verwendung Batix CMS TS Sicherheitskonzept Verwendung Batix CMS Sicherheitsrichtlinien und Besonderheiten Batix CMS ausgearbeitet für VeSA Nutzer Version: 1.3 Stand: 1. August 2011 style XP communications Gössitzer Weg 11

Mehr

Szenarien zu Hochverfügbarkeit und Skalierung mit und ohne Oracle RAC. Alexander Scholz

Szenarien zu Hochverfügbarkeit und Skalierung mit und ohne Oracle RAC. Alexander Scholz Hochverfügbar und Skalierung mit und ohne RAC Szenarien zu Hochverfügbarkeit und Skalierung mit und ohne Oracle RAC Alexander Scholz Copyright its-people Alexander Scholz 1 Einleitung Hochverfügbarkeit

Mehr

Das Netzwerk einrichten

Das Netzwerk einrichten Das Netzwerk einrichten Für viele Dienste auf dem ipad wird eine Internet-Verbindung benötigt. Um diese nutzen zu können, müssen Sie je nach Modell des ipads die Verbindung über ein lokales Wi-Fi-Netzwerk

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen 2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen Dienste des Internets Das Internet bietet als riesiges Rechnernetz viele Nutzungsmöglichkeiten, wie etwa das World

Mehr

Einführung. Übersicht

Einführung. Übersicht Einführung Erik Wilde TIK ETH Zürich Sommersemester 2001 Übersicht Durchführung der Veranstaltung Termine (Vorlesung und Übung) Bereitstellung von Informationen Einführung Internet Internet als Transportinfrastruktur

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Cloud Speicher. Agnes Marcol Proseminar Speicher- und Dateisysteme SoSe 2012

Cloud Speicher. Agnes Marcol Proseminar Speicher- und Dateisysteme SoSe 2012 Cloud Speicher Agnes Marcol Proseminar Speicher- und Dateisysteme SoSe 2012 Ablauf Cloud-Speicher allgemein Was ist die Cloud? Möglichkeiten Vorteile Nutzer u. Anbieter 3 Beispiele Dropbox Ubuntu One TeamDrive

Mehr

Fraunhofer Institute for Secure Information Technology

Fraunhofer Institute for Secure Information Technology Fraunhofer Institute for Secure Information Technology Entwicklung sichere Unternehmens-Apps: gut gemeint oder gut gemacht? Dr. Jens Heider Head of Department Testlab Mobile Security Amt für Wirtschaft

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Digitale Sprache und Video im Internet

Digitale Sprache und Video im Internet Digitale Sprache und Video im Internet Kapitel 6.4 SIP 1 SIP (1) SIP (Session Initiation Protocol), dient als reines Steuerungsprotokoll (RFC 3261-3265) für MM-Kommunikation Weiterentwicklung des MBONE-SIP.

Mehr

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen 9 3 Web Services 3.1 Überblick Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen mit Hilfe von XML über das Internet ermöglicht (siehe Abb.

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Informationsbroschüre

Informationsbroschüre Informationsbroschüre Überwachung, Lastverteilung, automatische Aufgaben für Microsoft Dynamics NAV Mit IT IS control 2011 können Sie viele Mandanten und NAV-Datenbanken praktisch gleichzeitig mit wenigen

Mehr

Anonymisierung und externe Speicherung in Cloud-Speichersystemen

Anonymisierung und externe Speicherung in Cloud-Speichersystemen Anonymisierung und externe Speicherung in Cloud-Speichersystemen Professur für Kommunikationssysteme Technische Fakultät Albert-Ludwigs-Universität Freiburg 2014 Dennis Wehrle Konrad Meier < konrad.meier@rz.uni-freiburg.de

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr