FlexiNet. Statusseminar. FlexiNet. TKN Telecommunication. Agenda. Berlin, 11. Dezember Begrüßung und Einführung in das Projekt

Transkript

1 TKN Statusseminar Berlin, 11. Dezember 2003 Agenda 1. Begrüßung und Einführung in das Projekt 2. Berichte der drei Projektstandorte 3. Kooperation mit dem Heinrich Hertz Institut 4. Gastvorträge 5. Diskussion Statusseminar / Berlin 11. Dezember

2 Einführung Eine aktive, programmierbare Netzinfrastruktur zur schnellen und flexiblen Realisierung neuer Dienste Offene Dienstplattform Anwenderbedürfnisse Dynamisch Reaktion auf Infrastrukturerfordernisse Eingriff nur am Netzwerkrand Schnell & Flexibel Kooperationspartner Prof. Dr.-Ing. J. Eberspächer, TU München Prof. Dr.-Ing. A. Wolisz, TU Berlin Prof. Dr. M. Zitterbart, Uni Karlsruhe Statusseminar / Berlin 11. Dezember Aktive Netze Bestandsaufnahme Großer Hype ca Beispiel USA: Förderung durch DARPA In Europa: IST-FAIN Projekt Häufig aber nur isoliert einzelne Aspekte betrachtet Viel Theorie, wenig Praxis Theorie häufig praxisfern, z.b. keine Berücksichtigung von Sicherheitsaspekten, etc. Kaum Anwendungen entwickelt bzw. untersucht Schlimmer noch: Entwickelte Plattformen oft nicht einsatzfähig, Beispiel: ABone -Projekt Enge Verzahnung zwischen Plattform und Anwendungen Standortübergreifende Entwicklung sichert Praxistauglichkeit Statusseminar / Berlin 11. Dezember

3 Bausteine des -Projekts Kommunikation in heterogenen Gruppen Gerätemobilität & Persönliche Mobilität Schutz vor Ausfällen im Netz Sicherheit für und durch Entwicklung der AMnet Plattform: Signalisierung Ressourcenmanagement Sicherheit Plattformen Anwendungen Drei Standorte verbunden über Internet Testbett Praxiserfahrung ANnetund WUGS Service-Interworking Statusseminar / Berlin 11. Dezember Die -Projekt-Idee Plattformentwicklung und Dienstentwicklung greifen in einander. Ausrichtung an praktischen Erwägungen, insbesondere auch im Hinblick auf die Industrie Demonstrator und Beispieldienste zeigen Potential dieser Technologie auf. Statusseminar / Berlin 11. Dezember

4 Kooperation dreier Standorte -Testbett verbindet alle drei Standorte: Gemeinsames Repository für Code-Module, Nutzer-Authetifizierung, etc. Signalisierung über Standorte hinweg möglich Karlsruhe Berlin München Statusseminar / Berlin 11. Dezember Projektmitarbeiter Michael Conrad, Thomas Fuhrmann, Till Harbaum, Panos Kassianidis, Marcus Schöller, Anke Speer. Leitung: Martina Zitterbart Michael Eyrich, Andreas Hess, Morten Schläger, Günter Schäfer. Leitung: Adam Wolisz. Christian Bachmeir, Peter Tabery. Leitung: Jörg Eberspächer Statusseminar / Berlin 11. Dezember

5 Entwicklung der -Plattform 06/2000 Einfache Transcoder- Dienste Multicast Reflektor Kompressions- & VPN-Dienste 12/2002 Adaptive Fehlerkontrolle Fortgeschrittene Transcoder Sicherheit 10/2003 AMnet 2.0 als Live-CD öffentlich verfügbar: Ausführungsumbebung, Repository, Signalisierung Mobilitätsunterstützung Resilient Overlay-Networks Passive Messung AMnet 1.0 Plattform als Grundlage des -Projekts AMnet 3.0 fertig gestellt: Verbesserte Signalisierung, Sicherheitsfeatures integriert, Durchsatz optimiert Statusseminar / Berlin 11. Dezember Projekt-Ergebnisse 24 Veröffentlichungen in Zeitschriften und auf Konferenzen 27 Diplom- und Studienarbeiten Mehrere Promotionsvorhaben (eines abgeschlossen / Harbaum) Tutorial (IWAN 2002) führt in die Anwendung der - Plattform ein Live-CD mit bootfähigem AMnet- Knoten ermöglicht einfaches Erproben zu Hause Vielzahl von Interessenten aus der Industrie Web-Seite lebt weiter auch ohne unmittelbare Anschlussförderung Statusseminar / Berlin 11. Dezember

6 Ausblick auf Anwendungen -Plattform ist jetzt bereit für größere Erprobung in Kooperation mit der Industrie Mobiles Internet Netzwerkmanagement Grid-Computing Mobile Anwendungen für 4G Netze Netzsicherheit, z.b. DDoS-Attacken Einsatz auch als Grundlage für weitere Forschungsarbeiten Forschungsgruppe Peer-to-Peer-und Overlay-Netze Statusseminar / Berlin 11. Dezember Veröffentlichungen (1) T. Harbaum, A. Speer, R. Wittmann, M. Zitterbart. AMnet: Efficient HeterogeneousGroup Communication Through Rapid Service Creation. In Proceedings of The Active Middelware Workshop AMS'00, Pittsburg, USA, T. Harbaum, A. Speer, R. Wittmann, M. Zitterbart. Providing Heterogeneous Multicast Services with AMnet. Journal of Communications and Networks, Vol.3, No.1, März A. Hess, M. Schöller, G. Schäfer, A. Wolisz, M. Zitterbart. A dynamic and flexible Access Control and Resource Monitoring Mechanism for Active Nodes. In: Proceedings of International Conference on Open Architectures and Network Programming, New York, USA, Juni A. Speer, M. Schöller, T. Fuhrmann, M. Zitterbart. Aspects of AMnet Signalling. In: Proceedings of International Networking Conference 2002, Pisa, Italy, März T. Fuhrmann, T. Harbaum, M. Schöller, M. Zitterbart. AMnet 2.0: An Improved Architecture for Programmable Networks. Proceedings of the International Workshop on Active Networks IWAN2002, Zürich, Switzerland, December, 2002 T. Fuhrmann, M. Schöller, C. Schmidt, M. Zitterbart. A Node Evaluation Mechanism for Service Setup in AMnet. In Proceedings of Kommunkation in Verteilten Systemen, Leipzig, 2003 P. Tabery, C. Bachmeir. Advanced Network Services using Programmable Networks. In: Proceedingsof IFIP Workshop and EUNICE Summer School on Adaptable Networks and Teleservices, Trondheim, Norway, September C. Bachmeir, P. Tabery. PIRST-ONs: A Service Architecture for Embedding and Leveraging Active and Programmable Network Technology. In: Proceedings of 10th International Conference on Software, s and Computer, Split, Dubrovnik (Croatia), Ancona, Venice (Italy), Oktober T. Fuhrmann, T. Harbaum, M. Schöller, M. Zitterbart. AMnet 2.0: An Improved Architecture for Programmable Networks. In: Proceedings of International Workshop on Active Networking, Zürich, Dezember Statusseminar / Berlin 11. Dezember

7 Veröffentlichungen (2) Christian Bachmeir. Fault-Tolerant 2-tier P2P based Service Discovery in PIRST-ON. In: Proceedings of IEEE 10th International Conference on s, ICT'2003, Papeete, French Polynesia, February 2003 Thomas Fuhrmann, Marcus Schöller, Christina Schmidt, and Martina Zitterbart. A Node Evaluation Mechanism for Service Setup in AMnet, Kommunikation in verteilten Systemen, Leipzig, Februar Michael Eyrich, Morten Schläger, and Adam Wolisz, Using the Remote Socket Architecture as NAT Replacement, In Proc. of 5th European Personal Mobile Communications Conference (EPMCC), Glasgow, Scotland, April Andreas Hess, Günther Schäfer, A Flexible and Dynamic Access Control Policy Framework for an Active Networking Environment, Proceedings of the 13. ITG/GI-Fachtagung Kommunikation in Verteilten Systemen (KiVS'2003). Leipzig, February Christian Bachmeir and Peter Tabery. Scalable Diverse Protected Multicastas a ProgrammableService Leveraging IP-Multicast. In: Proceedings of 2nd IEEE International Symposium on Network Computing and Applications, NCA'03, Cambridge, MA, USA, April 2003 Thomas Fuhrmann, Andrea Schafferhans, and Thure Etzold. An Overlay-Network Approach for Distributed Access to SRS. Proceedings of the First International Workshop on Biomedical Computations on the Grid (BioGrid'03), Tokyo, Japan, May 12-15, Thomas Fuhrmann. Supporting Peer-to-Peer Computing with. Proceedings of the Third International Workshop on Global and Peer-to-Peer Computing on Large Scale Distributed Systems, Tokyo, Japan, May 12-15, Thomas Fuhrmann. On the Strategic Importance of Programmable Middleboxes. Proceedings of the 2nd International Workshop on Active Network Technologies and Applications (ANTA 2003). Osaka, Japan, May 29-30, Statusseminar / Berlin 11. Dezember Veröffentlichungen (3) Thomas Fuhrmann, Till Harbaum, Panos Kassianidis, Marcus Schöller, and Martina Zitterbart. Results on the Practical Feasibility of Programmable Network Services. Proceedings of the 2nd International Workshop on Active Network Technologies and Applications (ANTA 2003). Osaka, Japan, May 29-30, Thomas Fuhrmann and Till Harbaum. Using Bluetooth for Informationally Enhanced Environments. Proceedings of the IADIS International Conference e-society 2003, Lisbon, Portugal, June 3-6, Andreas Hess, Michael Jung, Günther Schäfer, Combining Multiple Intrusion Detection and Response Technologies in an Active Networking Based Architecture, 17.DFN Arbeitstage über Kommunikationsnetze. Düsseldorf, Juni Thomas Fuhrmann. Small-world Networks Revisited. Proceedings of the International Workshop on Innovative Internet Computing Systems, Leipzig, June 19-21, Andreas Hess, Michael Jung, Günther Schäfer, FIDRAN: A Flexible Intrusion Detection and Response Framework for Active Networks, IEEE Symposium on Computers and Communications (ISCC'2003). Kemer, Antalya, Türkei, 30.Juni - 3. Juli Christian Bachmeir, Peter Tabery, Serdar Üzümcü, and Eckehard Steinbach. A Scalable Virtual Programmable Real-Time Testbed for Rapid Multimedia Service Creation and Evaluation. In: Proceedings of IEEE International Conference on Multimedia & Expo, ICME'03, Baltimore, MD, USA, July 2003 Thomas Fuhrmann, Till Harbaum, and Martina Zitterbart. Network Services for the Support of Very-Low- Resource Devices. In: Proceedings of Applications and Services for Wireless Networks, Bern, Switzerland, July 2-4, Christian Bachmeir, Jianxiang Peng, Hans-Jörg Vögel, Chris Wallace, and Gavin Conran. Diversity Protected, Cache based Reliable Content Distribution - building on scalable, P2P and Multicast based Content Discovery. In: Proceedings of 6thIEEE International Conference on High Speed Networks and Multimedia Communications, HSNMC'03, Estoril, Portugal, July 2003 Statusseminar / Berlin 11. Dezember

8 Diplom- und Studienarbeiten (KA) Entwurf, Implementierung und Bewertung der Evaluation zur Diensteplatzieung in AMnet, Christina Schmidt Unterstützung mobiler Empfänger für senderbasiertes Multicast, Johann Mihutoni Entwicklung eines -Dienstes zur Bandbreitenanpassung von MPEG2-Strömen, Andreas Siemer Knotenauswahlverfahren und Diensteverlagerung für aktive Netze, Uwe Freese Entwicklung eines Java- Dienstmoduls für AMnet, Gerhard Bocksch Entwicklung eines -Dienstes zur passiven Messung von TCP- Verbindungseigenschaften, Björn Zülch Untersuchung von Ansätzen zur Effizienzsteigerung der TCP- Fehlerkontrolle mit, Franz Brosch Entwicklung von Methoden zur Verbesserung der Internetsuche durch Verhaltensbewertung der Benutzer in Firmennetzen, Manuel Thiele Statusseminar / Berlin 11. Dezember Diplom- und Studienarbeiten (MUC) Implementation of a Multicast Service for Mobile Hosts (Shen Chao) A NAPT Traversal Mechanism for the Mobile Internet (Peng Gao) Analyse und Charakterisierung von Verkehrsflüssen mit transparenten Proxies (Memduh Imamoglu) Enhancing H.264-based Video Transmission using Programmable Routers (Jun Li) Programmable Proxying for Mobile IP Route Optimization (Xiaohe Li) Implementierung eines Ersatzschaltverfahrens für IP-Multicast (Sebastian Meuer) Reliable Content Distribution using Cache Summaries (Seong Yeol Park) A Distributed QoS-aware Cache Network Architecture (Jianxiang Peng) Eine zweischichtige P2P-basierte Signalisierungsarchitektur (Izden Sarihan) Experimental Comparison of a UDP-Based Transport Protocol and TCP Over IEEE b (David Schmidt) Migration mobiler Dienste im Internet (Sascha Schmidt) Development of a QoS API for an Open Source Mobile IP Client (Jorge Tendero) Diverse Protected Multicast (Serdar Üzümcü) Statusseminar / Berlin 11. Dezember

9 Diplom- und Studienarbeiten (B) Design and Implementation of a Fault-Tolerant ReSoA Server (Tobias Poschwatta) Entwurf und Realisierung eines Klassifizierers für MPEG-4 und G.127 (Conni Poppe) Realisierung eines zuverlässigen Last Hop Link Layer Protokolls (Andreas Ahl) Network Topology Information Discovery and Group Specific Distribution in a Secure and Reliable Way (Jörn Beckmann) Usage of Honeypots for Detection and Analysis of Unknown Security Attacks (Patrick Diebold) Design and Realization of an Intrusion Detection System on Top of an Active Networking Infrastructure (Michael Jung) Erkennung und Minimierung der Auswirkung von Distributed-Denial-of-Service Attacken mithilfe aktiver Netzwerke (Lars Wartenberg) Design and Implementation of the Remote Socket Architecture (ReSoA) for Linux 2.4 (Tobias Poschwatta) Statusseminar / Berlin 11. Dezember Agenda 1. Uni Karlsruhe: AMnet 3 als flexible Diensteplattform für Leistungsfähigkeit und Beispieldienste 2. TU Berlin: Dynamische Mikro-Mobilitätsunterstützung und Schutz der Kommunikationsinfrastruktur auf der Grundlage aktiver Netztechnologie 3. TU München: Programmierbare Netze zur optimierten und flexiblen Makro-Mobilitätsunterstützung sowie für skalierbare, dynamisch konfigurierte fehlertolerante Overlay-Netze Statusseminar / Berlin 11. Dezember

10 Programmierbare Netze Aktive Knoten im inneren des Netzes greifen in die Anwendungsprotokolle der Endgeräte ein. Anwendungsschicht Ausführungsumgebung Dienstmodule Netzwerkschicht Transportschicht Transportschicht Anwendungsschicht Statusseminar / Berlin 11. Dezember Beispieldienste in Beispiel 1 Beispiel 2 Problem: Unicast verbraucht unnötig viele Ressourcen im Netz. Internet Problem: Endgeräte haben unterschiedliche Anforderungen. bereitet Daten speziell für das Endgerät auf! dupliziert den Datenstrom nur da vervielfältigt wo er benötigt wird unabhängig von den Endgeräten! Internet Statusseminar / Berlin 11. Dezember

11 Ablauf der Dienstaktivierung 1 Code der Dienstmodule sowie Nutzerprofile werden vom Netzwerk Management. auf dem Repository angelegt. Netzwerk Management 3 Aktive Knoten fangen Dienstanfrage auf und leiten sie an ihr lokales Repository weiter 2 Flexinetfähiges Endgerät aktiviert einen Dienst Endgerät 4 Repository Aktiver Knoten Repository prüft Nutzerrechte und stellt ggf. Code dem aktiven Knoten zur Verfügung. fähiges Endgerät Statusseminar / Berlin 11. Dezember Entwurfsprinzipien (1) Rand ~ 100 MBit/s (1) Kernnetz inkl. Internet Service Provider Rand AMnode (1) Momentane Leistungsfähigkeit Normale Router Aktive Knoten werden vereinzelt im Randbereich des Internets aufgestellt. Statusseminar / Berlin 11. Dezember

12 Entwurfsprinzipien (2) Service Module Repository Service Module Code Ausführbarer Code wird lokal in den einzelnen administrativen Domänen bereitgestellt. Dies ermöglicht hohe Sicherheit für die Netzbetreiber. Statusseminar / Berlin 11. Dezember Service Request (vom Repository auf Legitimität geprüft) Entwurfsprinzipien (3) Service Request Dienste werden vom Netzbetreiber bereitgestellt und von ihm oder seinen Kunden (bzw. deren Anwendungsprogrammen) aufgerufen. Statusseminar / Berlin 11. Dezember

13 Entwurfsprinzipien (4) Knoten im Pfad klassifizieren und selektieren den Verkehr Off-path Nodes In-path Node Rechenintensive Dienste können abseits des Pfades bearbeitet werden, z.b. auf spezieller Hardware oder leistungsfähigen Clustern. Statusseminar / Berlin 11. Dezember Die Architektur Service Module(s) Evaluation Relocation Node Discovery Execution Environment Netfilter Aktiver Knoten Repository Comm. Code Cache Shared Mem. IPC Overload Detection Resource Monitor Userspace Linux Kernel Repository Hierarchisch organisiert (vgl. DNS) Code der Dienstmodule Nutzerprofile Authentication, authorization, accounting Front-end für das System (lokale Domäne) Netzwerk Monitoring Knoten Management Nutzer Management Management GUI Statusseminar / Berlin 11. Dezember

14 Grundstruktur der -Dienste Dienste bestehen aus Dienstmodulen. Diese sind entweder maßgeschneidert oder aus Standardkomponenten zusammengesetzt. Dienste können drei besondere Dienstmodule enthalten: Knotenfindung: Wo befinden sich aktive Knoten? Evaluierung: Welche dieser Knoten sind für diesen Dienst am besten geeignet? Relokation: Bringe den laufenden Dienst auf einen anderen Knoten (z.b. zwecks Load-Balancing oder wegen Nutzer-Mobilität) Dienstmodule können zur Laufzeit eines Dienstes nachgeladen werden. Statusseminar / Berlin 11. Dezember Dienst-Aktivierung (Anwendungsdienst) 1 Service Request Service Requests werden in Richtung eines Zielsystem versandt. Im allgemeinen erreichen sie dieses nicht. 2 3 Aktiver Knoten lädt erstes Dienstmodul dieses Dienstes aus dem Repository. Dieses Dienstmodul lädt nun ggf. weitere Module nach: Knotenfindung, Evaluierung, Service Requests Alle diese Module können weitere Service Requests aussenden, um z.b. andere aktive Knoten zu finden und zu evaluieren. Ein grundlegender Signalisierungsmechanismus (=Service Request) ermöglicht flexible Dienste, die sich der jeweiligen Situation anpassen. Statusseminar / Berlin 11. Dezember

15 Dienst-Aktivierung (Netzdienst) 1 Service Request Service Requests werden vom Netzwerkadministrator auf einem oder mehreren aktiven Knoten installiert. 2 TCP / IP Endgeräte wissen nichts von. 3 Netzwerkschicht Aktive Knoten reagieren auf spezifische Merkmale im TCP/IP Datenverkehr und werden selbständig aktiv. Netzdienste verbessern die Leistungsfähigkeit oder Sicherheit des Netzes ohne dass die Endgeräte irgendwie modifiziert werden müssten. Statusseminar / Berlin 11. Dezember Management GUI Statusseminar / Berlin 11. Dezember

16 Beispieldienst: Heterogene Netze AMnode Häufig können Multimedia-Ströme nicht beim Server an die Anforderungen des Endgeräts angepasst werden, z.b. Multicast-Reflektor, Satelliten-Fernsehen, Hier kann ein -Dienst, z.b. im Access Point, die spezifischen Anpassungen vornehmen. Bluetooth Access Point Access Point lädt Transcoding-Dienst speziell für Palm-PDA. AMnet Service Request Bluetooth Service Discovery Statusseminar / Berlin 11. Dezember Weitere Beispieldienste aus Karlsruhe Multicast Reflektor reduziert Uplink-Bandbreite z.b. bei Internet Radio Kompressionsdienste verbessern Download-Zeit und Kapazität, insbesondere in drahtlosen Zugangsnetzen Transparente Transcoding-Dienste passen Datenraten von Multimediaströmen dynamisch und variabel an Unterstützung für P2P-Netze Adaptive Fehlerkontrolle Frühe Übertragungswiederholung verbessert Durchsatz von TCP Dynamische Ergänzung von Redundanz vermeidet Übertragungswiederholungen Passive Messung von Leistungsparametern im Netz liefert aktuelle Entscheidungsgrundlagen für Wegewahl in Overlay-Netzen Statusseminar / Berlin 11. Dezember

17 Leistungsmessung Frage: Wieviel Durchsatz kann die momentane Implementierung unterstützen? Aufbau für die Messung: 100 Mbit/s Ethernet 800 MHz Pentium II Server: Sendet Verkehr mit fester Rate Aktiver Knoten: Bearbeite den Verkehr. Beispiel hier: UDP Checksumme berechnen Empfänger: Messe empfangene Datenrate Statusseminar / Berlin 11. Dezember Messergebnis Anfang 2003 Fester Overhead pro Paket. Jeder Bearbeitungsdurchlauf reduziert die maximale Datenrate. Statusseminar / Berlin 11. Dezember

18 Messergebnis Ende 2003 Receiver [MBit/s] Linux Router UDP-Checksum (in C) UDP-Checksum (in Java) Sender [MBit/s] Optimierungen am Execution Environment des AMnet-Knotens haben mittlerweile für einfache Aufgaben fast Line-Speed ermöglicht. Statusseminar / Berlin 11. Dezember Zusammenfassung Systementwurf auf einzelne aktive Knoten im Randbereich des Netzes ausgelegt Ausführbarer Code nur vom Repository Somit volle Kontrolle durch Netzbetreiber Anwendungsdienste und Netzdienste Das Netz profitiert von, völlig transparent für die Anwender Komplexe Dienste aus einfachen Modulen kombinierbar inkl. Knotenfindung, Evaluation und Relokation Leistungsmessungen belegen Tauglichkeit bei bis zu 100 MBit/s Vielzahl von Beispieldiensten demonstriert großes Potential dieser Technologie Statusseminar / Berlin 11. Dezember

19 Agenda 1. Uni Karlsruhe: AMnet 3 als flexible Diensteplattform für Leistungsfähigkeit und Beispieldienste 2. TU Berlin: Dynamische Mikro-Mobilitätsunterstützung und Schutz der Kommunikationsinfrastruktur auf der Grundlage aktiver Netztechnologie 3. TU München: Programmierbare Netze zur optimierten und flexiblen Makro-Mobilitätsunterstützung sowie für skalierbare, dynamisch konfigurierte fehlertolerante Overlay-Netze Statusseminar / Berlin 11. Dezember Projektfragestellung Wie sollte eine Aktive Umgebung gestaltet sein, damit Proxies zur Unterstützung der drahtlosen Kommunikation dynamisch geladen und installiert werden können? Schwerpunkt: Untersuchung der Implementierungsaspekte anhand zuvor separat vom Projekt funktionell untersuchter Proxies Statusseminar / Berlin 11. Dezember 2003 TKN 38

20 Projektarbeiten Performance Enhancing Proxies (PEP) Leistungssteigerung von TCP über drahtlose Kanäle Ladbare ReSoA Implementierung Mobility Enabling Proxies (MEP) Effiziente Mobilitätsunterstützung Ladbare Mombasa Implementierung Protokoll Booster Flow spezifische Unterstützung (variable Übertragungswiederholungen) Ladbare Protokollbooster Statusseminar / Berlin 11. Dezember 2003 TKN 39 Sind Kern-Module überhaupt notwendig? Kumulierte Systemzeit notwendig zum Datentransfer Drei Arten von ReSoA Implementierungen: Kern-Module mit Prozess-Kontexten (Socket-Kommunikation, offene Schnittstellen, TCP-Beeinflussung) Kern-Module, direkte Aufrufe (ohne Socket-Nutzung) Anwendungsprogramm (Socket-basiert) Messergebnis: Durchsatz vergleichbar Rechnerlast nahezu unverändert Verzögerung geringfügig höher im Anwendungsprogramm Kumulierte Zeit [sec] Durchsatz [kb/sec] UM-ReSoA Kernel-ReSoA Laufzeit der Messung [sec] Durchsatz (Median) 100 UM-ReSoA Kernel-TCP Kernel-ReSoA Datenmenge [kb] Statusseminar / Berlin 11. Dezember 2003 TKN 40

21 Wo Probleme entstanden... ReSoA: Datenpufferung Scheduling-Verhalten Umgang mit Ressourcen Schnittstellen zu Kernfunktionalitäten Installation den Kern erweiternder Funktionalitäten Mombasa: Umgang mit Ressourcen Verteilte Bereitstellung von Modulen, Signalisierung Multimedia - Booster: Adressraum-übergreifende (cross-layer) Übermittlung von Parametern Treibernahe Eingriffe Hardware-Umprogrammierung? Grundsätzlich:... Systemsicherheit Statusseminar / Berlin 11. Dezember 2003 TKN 41 ReSoA Ergebnisse Kern-Module: Kaum so einzuschränken, dass sich nicht Lücken zum Ausnutzen ergeben ggf. Kompilierung auf System (OKE, Cyclone, ) Kern-Prozesse schwer zu überwachen: Ressourcenkonflikte Speicher, Prozessorzeit, Netzflutungen Bidirektionale Signalisierungen erforderlich: Klient benötigt Informationen von installiertem Server Aktive Umgebung vorwiegend zur Signalisierung Drahtloses Endgerät Anwendung Lokales Socket-Modul LHP WLAN I 3 Aktiver Knoten LHP WLAN Laufzeitumgebung Export Socket Server I I 2 1 TCP IP LAN Internet Endsystem Anwendung Socket-Schnittstelle TCP IP LAN Anwendungsschnittstelle Anwendungs- Schnittstelle Statusseminar / Berlin 11. Dezember 2003 TKN 42

22 Mombasa: Mobility Enabling Proxy Ziel: Effiziente Mobilitätsunterstützung Ansatz: Ausnutzung von Multicast MObility support - a Multicast-BASed Approach Addressing und Routing unabhängig vom Aufenthaltsort des mobilen Endgerätes Module: Mobile Agent (MA), Mobility-Enabling Proxy (MEP), Gateway Proxy (GWP) CH Internet GWP Execution Environment Access Network MR Execution Environments Statusseminar / Berlin 11. Dezember 2003 TKN 43 MEP MEP MEP MA Mombasa Integration Grundfunktionalitäten: Statische Tabelle zur Adressübersetzung (AMnet) Unicast Multicast, Multicast Unicast Dynamische Routen: Black hole für inaktive Systeme (Grundzustand) Weiterleitung für registrierte Systeme MEP Klienten- Registrierung libxipq Adress- Übersetzung Paketpuffermanagement EE Anwendungsraum Kernel ipt_amnet INPUT OUTPUT PREROUTING FORWARD POSTROUTING Statusseminar / Berlin 11. Dezember 2003 TKN 44

23 Protokoll Booster Funktionsweise: Einseitige Bearbeitung von Datenströmen (z.b. nur auf Sendeseite) Analyse durchlaufender Pakete bis in Nutzdaten hinein Paketspezifische Klassifizierung Treiberseitige, paketspezifische Anpassung der Hardwareparameter für die Übertragung Beispiele: MPEG4: Bevorzugte Übertragung von I-Rahmen durch mehrfache Übertragungswiederholung, Vernachlässigung von p- und b-rahmen durch einmalige Übertragungswiederholung G729: VoiceIP voiced/unvoiced Pakete. Übergang unvoiced voiced sollte nicht verloren gehen, da sonst lange Periode zum Wiederaufsetzen erforderlich Statusseminar / Berlin 11. Dezember 2003 TKN 45 Booster Integration Initial: Klassifizierung im Kern im Treiber Notwendig: Modulare, anpassbare Klassifizierungsroutinen Realisierung: Parameteraustausch zwischen Anwendung und Kern über netlink Parameter-Varianten Parameter, der im Treiber erneut bewertet wird Wert aus Skala von 0 100, der wie verschiedene Warteschlangen behandelt wird Module Klassifizierung EE Kopf- u. Nutzdaten libxipq Metainformation Anwendungsraum Kernel Metainformation ipt_amnet INPUT OUTPUT PREROUTING FORWARD POSTROUTING WLAN Treiber Statusseminar / Berlin 11. Dezember 2003 TKN 46

24 Eignung von ANs für Proxies Vorteile der AN im Anwendungsraum: Zeitnahe Anpassung durch Laden geeigneter, angepasster Filter Sicherheit / Schutz des Betriebsystems Wesentlich einfachere Implementierung Vergleichbarer erzielbarer Durchsatz Nachteile: Proxies / Booster können paketspezifischen Hardware-Zugriff benötigen starke Versionsabhängigkeit Räumliche Teilung von Datengewinnung und Datenverwendung (z.b. Booster) AN gesteuerte Modifikation von Treibern kompliziert und erhebliches Sicherheitsrisiko Vorhandensein einer Standardschnittstelle erforderlich Höhere Verzögerungszeiten (sofern nicht ohnehin Pufferung erfolgt) Umfangreicher Support notwendig durch AN (z.b. Proaktive Bereitstellung von MEP, Kombination mit Bewegungs-Voraussagen Fazit: Anwendungsraumbasierte ANs zur Etablierung von Proxies bedingt geeignet Aufteilung der Funktionalitäten zwischen Kern und Anwendung kompliziert Statusseminar / Berlin 11. Dezember 2003 TKN 47 Schutz der Kommunikationsinfrastruktur auf Grundlage aktiver Netztechnologie TKN

25 Projektübersicht Sicherung der aktiven Netzwerkinfrastruktur Sicherheitsanwendungen Angriffserkennung: Vermittelte Dateneinheiten können von aktiven Knoten auf verdächtige Muster hin untersucht werden Die Definition von verdächtig hängt stark von den zu diagnostizierenden Angriffen ab: sich ständig wandelnde Aufgabe ideale Anwendung aktiver Netze Anonyme / pseudonyme Kommunikation: Untersuchen neuer Möglichkeiten, die flexible Programmierbarkeit aktiver Netze zur Realisierung anonymer Kommunikation einzusetzen Statusseminar / Berlin 11. Dezember 2003 TKN 49 Motivation Steigende Zahl an Internetrechnern / Software Fehlendes Sicherheitsbewusstsein: Bsp. W32/Blaster: 16. Juli Patch-Bereitstellung 11. August 2003 Ausbruch 12. August Kategorie 4 (severe threat / global distribution) Entwicklung der Angriffe Automatisierte Tools Geschwindigkeit... Schutz im Netzwerk ist erforderlich! No of Security Incidents Statusseminar / Berlin 11. Dezember 2003 TKN 50 Security Incidents Year

26 Ziel Proaktiver Schutz der Internet-Kommunikationsinfrastruktur gegen Angriffe die die sich über das Internet aus- // verbreiten! Beobachtung des Netzwerkverkehrs hinsichtlich von Angriffsmustern / Anomalien Verteilte und anforderungsorientierte Überwachung (Aneignung von Wissen über die zu schützenden Ressourcen) Effizienz Rückverfolgung des Angriffsverkehrs Prävention Blockierung des Verkehrs Entferntes Starten eines aktiven Dienstes Host A NIDS Data Path Host B Statusseminar / Berlin 11. Dezember 2003 TKN 51 Stand der Technik Technologien: Firewalls, Patches, Angriffserkennungssysteme (IDS) (z.b. Snort) Konfiguration, Wartung, etc. IBAN: - pro Schwachstelle: mobilen Scanner + Filter Realisierung der Schwachstellen-spezifischen Scanner Ineffizienz Captus: Kombination: IDS und Firewall Wettlauf zwischen Angriff und Rekonfiguration Statusseminar / Berlin 11. Dezember 2003 TKN 52

27 Ansatz Ein auf aktive Netzwerke basierendes anforderungsgerechtes und selbstkonfigurierendes Intrusion Prevention System (IPS). Komponenten: FIDRAN A Flexible Intrusion Detection and Response Framework for foractive Networks Netzwerk-Scanner zur Analyse der Sicherheitsanforderungen Management- und Kontrolleinheiten zur Anpassung der Konfiguration an die analysierten Anforderungen (zur Laufzeit) Spezifische Sicherheitsmechanismen (OS, Protokoll, Anwendungsspezifisch,) realisiert als aktive Netzwerkdienste Statusseminar / Berlin 11. Dezember 2003 TKN 53 Beispiels-Szenario SR Analysephase Analysepakete Antworten Apache FIDRAN Pro-FTP Analyse kann auch passiv durchgeführt werden! Statusseminar / Berlin 11. Dezember 2003 TKN 54

28 Beispiels-Szenario SR Konfigurationsphase Request: Apache, Pro-FTP Download FIDRAN -Apache -Pro-FTP Initiale Überprüfung Digitale Signatur Security Policy Policy Integration Apache Pro-FTP Statusseminar / Berlin 11. Dezember 2003 TKN 55 Beispiels-Szenario SR Betriebsphase -IIS FIDRAN: -Apache -Pro-FTP Betriebsphase: -Regelmäßig Anaylse Anaylse -Anpassung IIS Apache Pro-FTP Statusseminar / Berlin 11. Dezember 2003 TKN 56

29 FIDRAN - Architecture User-Space FIDRAN Vulnerability Scanner FIDRAN Management Module (New Op_Module, ) Active Node Software FIDRAN User-Space FIDRAN Module User-Space FIDRAN 1 Module User-Space 1 Module 1 Kernel-Space IP-Signatures IP-Signatures IP-Signatures FIDRAN Security Policy Policy Rules TCP-State FIDRAN Control Module Packets Packets / Alarms Alarm Evaluation Anomaly Detection Alarm Op-Modules Network Statusseminar / Berlin 11. Dezember 2003 TKN 57 Ergebnisse Max. Throughput [MBit/s] Snort-Inline FIDRAN Kosten: Verwaltungsaufwand pro Modul Overhead durch Algorithmen No of TCP Null Scan Signatures Verzögerung: f(kosten, Verkehrslast) FIDRAN-1 Statusseminar / Berlin 11. Dezember 2003 TKN 58