Sichere Mobilität und Dienstnutzung in künftigen Netzen

Transkript

1 Alfried Krupp von Bohlen und Halbach Stiftungslehrstuhl Technik der Rechnernetze Institut für Experimentelle Mathematik und Institut für Informatik und Wirtschaftsinformatik 4. Essener Workshop Neue Herausforderungen in der Netzsicherheit Sichere Mobilität und Dienstnutzung in künftigen Netzen April 2010 Abstracts Gemeinsam organisiert von der ITG-Fachgruppe Sicherheit in Netzen, der GI-Fachgruppe Sicherheit in Netzen (NETSEC) und der GI/ITG-Fachgruppe Kommunikation und verteilte Systeme (KUVS)

2 Was ist denn dieses NAC? Network Access Control, manche nennen es auch Network Admission Control oder einfach und kurz NAC ist mittlerweile ein geläufiger Begriff in der IT Security Welt. Doch was steckt genau dahinter? Es ist immer wieder überraschend, wie sehr die Erwartungen und Vorstellungen zu NAC auseinander gehen. Manche verbinden hiermit eine schlichte Registrierung und Autorisierung von Endgeräten anhand der (nicht ganz so) eindeutigen MAC Adresse im IP Netzwerk. Andere hingegen verbinden mit NAC den Schutz des gesamten Netzwerkes vor Viren, Würmern und Netzwerkgeräten, die nicht den Unternehmensrichtlinien entsprechen. Oder auch eine Lösung für den kontrollierten Zugriff von Gästen wird als NAC bezeichnet. Die einfache Antwort auf die Frage ob dies denn nun NAC sei, lautet kurz: Ja. NAC beinhaltet eine Vielzahl von Prozessen, die den Zugang zum Netzwerk ermöglichen und gleichzeitig die Sicherheit sicherstellen sollen. Die einzelnen Prozesse oder auch Schritte sind: - Detect Eindeutige Identifizierung und Lokalisierung von neuen Geräte am Netz - Authenticate Eindeutige Authentifizierung der Identität der Nutzers und/oder Gerätes - Assess Prüfung des Endgerätes auf Richtlinienkonformität und/oder Schwachstellen (Vulnerabilities) - Authorize Zugangserlaubnis mit möglichen Beschränkungen (wie Quarantäne) basierend auf dem Ergebnis der Authenfizierung und des Assessments - Remediate Beheben von Problemen und Sicherheitsmängeln aber auch automatisierte Kommunikation mit den Nutzer (Hilfestellung, Statusmeldungen) - Monitor Überprüfung des Nutzer und Geräteverhaltens während der gesamten Zeit am Netzwerk - Contain Reaktive Quarantäne bei der Festellung von verdächtigen Verhalten des Endsystems Seite 1 von 2 NAC: Best practise guide

3 In den folgenden Kapiteln werden wir uns jeden dieser einzelnen Schritte genauer anschauen und uns mit den jeweiligen, ganz eigenen Herausforderungen auseinandersetzen. Manchmal gibt es mehrere Lösungen für ein Problem, welche gesondert durch kleine Infokästen dargestellt werden. Hier gilt, je grüner, desto besser, umfangreicher oder preiswerter. Ein Beispiel: Fazit: Diese Löung eigenet sich nur für kleinere Unternehmen mit geringem Budget und kleinen Netzwerken. Der Einsatz in großen/schnell wachsenden Unternehmen ist nicht zu empfehlen. + schnelle Implementierung + geringe Einstiegskosten + Anbindung an andere Applikationen - erhöhter Personalaufwand - hohe Folgekosten - mäßige Security Funktionalität - schlechte Skalierbarkeit Zusätzliche Funktionen (ausser Sicherheit) Sicherheitswert Administrativer Aufwand Funktionsumfang Skalierbarkeit Einstiegskosten & Wartung Vorbereitungen NAC ist, wenn es unternehmensweit eingeführt wird, ein umfangreiches Projekt, welches eine gute Vorbereitung voraussetzt. In der Tat ist dies sogar entscheidend für den Erfolg der späteren Umsetzung, da viele Probleme im Vorfeld erkannt und gelöst werden können. Dieses Dokument ist ein erster Schritt für genau jene Vorbereitungen. Alle nachfolgenden Kapitel stellen die verschiedenen Phasen der NAC Implementierung dar. Es mag erstaunlich erscheinen, aber der technische Ablauf ist in der Tat auch gleichzeitig der beste Ablauf für den Projektverlauf. Zuerst werden alle Endsysteme und Typen erfasst. Danach wird der beste Weg einer Autorisierung gemäß den Fähigkeiten der Endsysteme gewählt. Für viele endet hiermit schon NAC, was auch ausreichend ist um eigene Systeme und Gäste oder gar Eindringlinge zu ermitteln und im Netz zu isolieren. Der nächste große Block besteht aus dem Assessment, der Prüfung des Endsystems, und der Remediation. Das Ziel hier ist die Sicherstellung einer unternehmensweiten Richtlinie, die den Sicherheitszustand aller Endsysteme erkennt und darüber hinaus den Zugang in das Netzwerk über eine Autorisierung granular reguliert. Ein permanentes Monitoring stellt diesen Zustand auch über den eigentlichen Zugang hinaus sicher und ermöglicht es, jederzeit eine qualitative Aussage zur Sicherheit der gesamten IT Infrastruktur zu treffen. Einzig das Monitoring kann auch sinnvoll nach vorne in der Implementierung gezogen werden, nämlich direkt nach der Detection Phase falls auschliesslich ein reaktives Security Konzept realisiert werden soll. Das Konzept Aller Anfang beginnt auf dem Papier oder besser gesagt, mit der Idee. Gerade diese Idee, die Frage Warum wollen wir NAC?, ist entscheidend für den Umfang des gesamten Projektes. Seite 2 von 2 NAC: Best practise guide

4 Ein Telco Identity Enabler Konzept zur Verwaltung nutzerspezifischer Daten innerhalb von NGNs Florian Deinert Peter Weik Fabian Förster TU Berlin Fraunhofer Institut FOKUS peter.weik, Da es im Internet auf Applikationsebene keinen universellen Authentifizierungsmechanismus gibt, müssen sich Benutzer heutzutage gegenüber jedem Dienstanbieter erneut authentifizieren und diesem Daten bereitstellen, um Anwendungen personalisiert zu nutzen. Insbesondere der Erfolg des Web 2.0 hat dazu geführt, dass jeder Internetnutzer heute eine Vielzahl von Nutzer IDs und Passwörtern zu verwalten hat, eine Praxis, die nicht nur unkomfortabel sondern auch unsicher ist. Im Mobilfunk dagegen ist jedem Teilnehmer eine eindeutige Identität, abgelegt auf einer Universal Integrated Circuit Card (UICC) zugeordnet. Die sichere Authentifizierung und Authorisierung gegenüber dem Netzbetreiber geschieht automatisch nach der Freigabe des Zugriffs durch eine PIN, ohne explizites Zutun des Benutzers. Im Gegensatz zu geschlossenen Telekommunikationsinfrastrukturen wie ISDN oder GSM in denen der Netzbetreiber als einziger Dienstanbieter auftritt, werden all-ip Next Generation Networks (NGNs) Dienstplattformen mit offenen APIs für Telekommunikationsnetze (z.b. auf Basis der momentanen OMA Next Generation Service Interfaces (NGSI)) bereitstellen, auf denen verschiedene Anbieter eine Vielzahl von Applikationen selbst entwickeln sollen. Das Identity Management in solchen Architekturen ermöglicht den Austausch nutzerspezifischer Daten nicht nur innerhalb der Domain des Netzbetreibers, sondern bietet vor allem die Möglichkeit der kontrollierten Freigabe der aus verschiedenen Quellen aggregierten Attribute eines NGN Nutzers, die kontrolliert und sicher über Domaingrenzen hinweg erfolgen kann. Die Frage lautet also: wie können Identitäten in den Telekommunikationsnetzen zukünftig sicher verwaltet werden, um einen Mehrwert für die Dienstewelt des Internets und vor allem für die Nutzer zu bieten? Für die zentrale, sichere Speicherung und Administration von Identitätsdaten für NGNs wird von der ITU-T, ETSI sowie der Open Mobile Alliance die Einführung eines Identity Enablers vorgeschlagen, jedoch im wesentlichen bislang nur mit Anforderungen belegt. Der Identity Enabler wird vom Telekommunikationsbetreiber administriert, um sowohl für interne als auch externe Anwendungen Identitätsdienste anzubieten. Die Notwendigkeit eines Identity Enablers, so wie die Anforderungen an solch eine universelle Identity Management Komponente wurden von der OMA, so wie von der ITU-T in [1] und [2] analysiert. Demzufolge sollte ein Identity Enabler unter anderem folgende Möglichkeiten bieten: - Sichere Authentifizierung von Benutzern und Diensten - Konfiguration von Berechtigungen und Richtlinien (Policies) - Einbindung von Identitätsdatendaten aus verschiedenen Quellen - Verwaltung verschiedener Rollen (Personas) - Unterstützung verschiedener Identity Management Technologien Basierend auf diesen Anforderungen entwickelt die Technische Universität Berlin derzeit in Kooperation mit dem Fraunhofer Institut FOKUS einen prototypischen Telco Identity Enabler namens GUIDE (Generic Unified IDentity Enabler), der die beschriebenen Identitätsdienste in einer einzelnen Komponente integriert. GUIDE kombiniert Identitätsmanagement Konzepte der OMA, 3GPP, ETSI [6] sowie ITU-T und ermöglicht es Netzbetreibern, Identitätsdienste externen Partnern anzubieten [3] [4]. GUIDE ist ein Prototyp eines Telco ID Enablers [7], der mit Hilfe einer modularen Architektur und der Nutzung offener Protokolle als verteiltes System implementiert ist. Konkrete IdM Protokolle, Authentifizierungsmethoden, Attributquellen und Policy-Auswertungsmechanismen können über RESTbasierte Webservice-Schnittstellen dynamisch hinzugefügt oder entfernt werden.

5 Anstatt sich gegenüber jeder Anwendung einzeln zu authentifizieren, erfolgt der Identitätsnachweis ausschließlich gegenüber dem Identity Enabler (Single Sign On). Dazu werden verschiedene sichere Authentifizierungstechnologien, wie z.b. 3GPP s Generic Bootstrapping Architecture (GBA) oder Hardware- Token, alternativ zur Passwort Authentifizierung zur Verfügung gestellt. Biometrische Authentifizierungs- Verfahren sind ebenfalls denkbar. Identitätsdaten enthalten oft auch sog. persönlich identifizierbare Informationen (PII), die nicht jedem zur Verfügung gestellt werden dürfen. Einige Daten dürfen somit nur unter bestimmten Umständen bzw. nur gegenüber bestimmten Diensten herausgegeben werden. Dazu ermöglicht der Identity Enabler die Konfiguration von kaskadierenden Policies, d.h. Policies können sowohl vom Endnutzer konfiguriert, als auch vom Netzwerkanbieter vorgegeben werden. Natürlich können anhand von Policies auch rechtliche Vorgaben, wie z.b. Datenschutzaspekte, sichergestellt werden. Für die Erstellung von Policies werden bei GUIDE die XML basierten Standards XACML so wie Common Policies genutzt. Nutzerdaten eines NGN beinhalten personenbezogene Daten bzw Attribute (wie Adresse, Kontaktlisten) und applikationsspezifische Daten wie Einstellungen. Diese Daten werden üblicherweise in verschiedenen Datenbanken gespeichert. Der Identity Enabler ermöglicht die Einbindung von verschiedenen Attribut- Quellen und stellt damit für externe Anwendungen eine virtuelle zentrale Datenbank mit Identitätsinformationen bereit. Eine digitale Identität ist eine Sammlung von Attributen, gekoppelt mit einem eindeutigen Identifier, die sich eindeutig einem bestimmten Nutzer zuordnen lässt. Mit Hilfe des Identity Enablers lassen sich verschiedene digitale Rollen, sogenannte Personas, erstellen und verwalten. Nach erfolgreicher Authentifizierung wählt der Benutzer eine vorhandene Persona je nach Kontext aus, um sich mit dieser Identität gegenüber einer Anwendung zu präsentieren. Da es kein einheitliches Protokoll für den Austausch von Identitätsdaten gibt, unterstützt GUIDE die derzeit am weitesten verbreiteten Identity Management Technologien: SAML 2.0, OpenID sowie demnächst Information Cards. Die Prototyp-Implementierung des Identity Enablers GUIDE ist Teil der SOA Architektur des Open SOA Telco Playgrounds am Fraunhofer Institut FOKUS [5]. Auch wenn die Verwendung eines Identity Enablers einen neuen Angriffspunkt schafft, bietet dessen Einsatz ein zusätzliches Maß an Sicherheit, da Passwörter nicht mehr in verschiedenen vermeintlich unsicheren Komponenten gespeichert werden. [1]. International Telecommunication Union, NGN Identity Management Requirements and Use Cases, TD 62 (WP 4/13), 2009 [2] Open Mobile Alliance, Identity Management Framework Requirements, Candidate Version 1.0, 2005 [3] International Telecommunication Union, Draft Recommendation Y.2720, NGN Identity management framework, 2008 [4] 3GPP TR , Identity management and 3GPP security interworking, Identity management and Generic Authentication Architecture (GAA) interworking, Release 9, 12/2009 [5] Open SOA Telco Playground, Fraunhofer FOKUS, [6] ETSI Identity Access Management for Networks and Services - [7] GUIDE Prototyp eines Telco ID Enablers

6 Network Access Challenges in a Future Internet Christoph Werle, Lars Völker Institut für Telematik, Karlsruhe Institute of Technology, Germany (werle, voelker)@kit.edu I. INTRODUCTION Network virtualization describes the concept of running multiple virtual networks (VNets) on top of a set of common physical resources, i.e., the substrate, in a controlled manner. The goal of network virtualization is to foster innovation not only at the edge of the network as is often the case with today s overlay networks. Instead network virtualization promises to enable the deployment of nearly arbitrary network architectures also within the network on a global scale in a competitive environment [1]. For the time being, we will base on the network virtualization architecture developed within the 4WARD project but are also considering to evaluate our end user attachment scheme with other network virtualization proposals in the future. 4WARD s current network virtualization approach considers three main actors involved in the network virtualization architecture (see Figure 1): Infrastructure Providers (InPs) own and maintain the physical infrastructure and offer to lease out virtualized parts of their infrastructure to third parties. In an interprovider environment, Virtual Network Providers (VNPs) a role introduced mainly for business reasons, e.g., to handle contractual issues assemble virtual networks from the resources of one or more Infrastructure Providers on behalf of Virtual Network Operators. Virtual Network Operators (VNOs) can subsequently operate and manage the virtual network and install any desired network architecture in their virtual networks. Additionally, they need to provide support for the end user attachment in the substrate, which allows authentication of the end user prior to authorization to enter the virtual network and configuration of the end user s system. II. END USER ATTACHMENT In the face of many virtual networks, each providing specific services with a potentially optimized network architecture running inside, it becomes critical to provide end users with a flexible way of attaching to their preferred set of virtual networks. For instance, a user may want to access his home TV service, his closed company network as well as his home network even while he is abroad, staying in a hotel. This scenario motivates the following objectives: a) The end user wants to securely access multiple VNets from his current physical network access, b) connections to the various VNets should Figure 1. Actors and Interfaces of the 4WARD VNet Architecture be set up automatically while also taking authentication and authorization into account, c) the solution should not depend on globally available IP connectivity as future networks may use different protocols. We already briefly sketched a basic way to fulfill this requirement [2] using EAP as a core protocol due to its low requirements with regard to the EAP lower layer and its high flexibility of applicable authentication methods. Figure 2 sketches the overall process: 1) Attachment to the substrate access network depends on access technology, e.g., Ethernet in this example. 2) Authentication of the End User to his home network. This consists of signaling with the Network Access Server using, e.g., 802.1X [3] and a suitable authentication protocol like EAP-TTLS [4]. The EAP-TTLS payload is transported by a AAA protocol, e.g., today s Radius [5] or Diameter [6], between the NAS and a Local AAA Server. However, the usage of IP independent AAA protocols is a valid option. In the depicted case of roaming, the Local AAA Server uses a suitable AAA protocol for communication with the Home AAA Server. This combination of protocols allows the End User and Home AAA Server to authenticate mutually. 3) Using the previously created authentication channel, signaling data can be exchanged between End User and the Home AAA Server. The Home AAA Server can in turn contact the VNet AAA Server(s) and the Local AAA Server to negotiate access of the End User to the VNet(s).

7 This allows for automatic attachment of the End User to different VNets initiated by the Home AAA Server. If required, the End User may optionally request attachment to additional VNets, not known by the Home AAA server. 4) Using the existing signaling channel, either the End User or the Home AAA Server authenticate to the VNet AAA Server. The End User would do this by arbitrary credentials, while the Home AAA Server may facilitate a pre-existing trust relation with the VNet AAA Server. 5) A virtual link between the End User and the VNet is created. This may be done without user interaction, so that an adequate level of usability is being reached. The actual construction of the virtual link depends on the underlying technology, e.g., available de-/multiplexing mechanisms. Before communication between the End User and the VNet can take place, it may be necessary that the end user system accquires and installs a protocol stack compatible to the networking protocols used within the VNet. For this paper, however, the detailled construction of virtual links and the discovery and deployment of protocol stacks is out of scope. One of the identified main challenges subsumes the automated negotiation of multiplexing mechanisms towards the end user: Instead of dealing with a single link to the Internet (or maybe some static VPI/VCI pairs when using DSL for the provisioning of triple play services), virtual networks require dynamic negotiation of the mapping between a virtual network and the substrate multiplexing used per virtual network End User NAS Substrate Local AAA 802.1x AAA Protocol e.g. EAP-TTLS or similar Authentication Figure 2. VNet 4 Signaling 3 VNet AAA AAA Protocol Step by Step End User Attachment Home Network Home AAA Besides others, challenges include: 1) Multihoming To enable redundant connectivity to virtual networks, end user attachment should support multiple connections to a virtual network. These might consist of multiple connections via the same network access or of multiple connections via different network accesses, e.g., UMTS and an ethernet connection. 2) Mobility When dealing with mobility, the question is whether or to what extent mobility has to be dealt with within the virtual network and what can be taken care of in the substrate. 3) Heterogeneity With mobility still in mind, heterogeneity quickly leads to the question if current standards, e.g., Media-Independent Handover (MIH) [7] can be extended to directly support connectivity to virtual networks during the handover process or might even be used to realize load-balancing. 4) Network Access Neutrality A network access provider should not restrict the virtual networks that may be accessed. End users may have to provide a chargeable entity, however, that allows the network access provider to charge the end user for the provided services. 5) Accountability When multiple users connect to numerous virtual networks, which may require billing of the end user, accounting and accountability become very important. It is not feasible for every user to set up a separate contract with each virtual network providers, whose virtual network(s) the users wishes to access. 6) Identity Management What identities are involved in a network virtualization environment and how can they be managed with different requirements with regard to, e.g., privacy per VNet. III. CONCLUSION In this paper, we discussed our proposed solution for end user attachment and have pointed out its challenges in the context of network virtualization. ACKNOWLEDGMENT This work was carried out in parts within the research project 4WARD which is funded by the European Commission within 7th Framework Programme. REFERENCES [1] G. Schaffrath, C. Werle, P. Papadimitriou, A. Feldmann, R. Bless, A. Greenhalgh, A. Wundsam, M. Kind, O. Maennel, and L. Mathy, Network virtualization architecture: proposal and initial prototype, in VISA 09: Proceedings of the 1st ACM workshop on Virtualized infrastructure systems and architectures. ACM, 2009, pp [2] C. Werle, L. Völker, and R. Bless, Attachment of End Users to Virtual Networks, in 4th GI/ITG KuVS Workshop on The Future Internet, Zurich, Switzerland, Nov [3] LAN/MAN Standards Committee, Port-Based Network Access Control, IEEE Std 802.1X-2004, Nov [4] P. Funk and S. Blake-Wilson, Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0 (EAP-TTLSv0), RFC 5281 (Informational), Internet Engineering Task Force, Aug [Online]. Available: [5] C. Rigney, S. Willens, A. Rubens, and W. Simpson, Remote Authentication Dial In User Service (RADIUS), RFC 2865 (Draft Standard), Internet Engineering Task Force, Jun. 2000, updated by RFCs 2868, 3575, [Online]. Available: [6] P. Calhoun, J. Loughney, E. Guttman, G. Zorn, and J. Arkko, Diameter Base Protocol, RFC 3588 (Proposed Standard), Internet Engineering Task Force, Sep. 2003, updated by RFCs 5729, [Online]. Available: [7] IEEE, IEEE Standard for Local and Metropolitan Area Networks- Part 21: Media Independent Handover, Institute of Electrical and Electronics Engineers, Inc., Jan

8 Evaluating IEEE s Against Security Requirements of Wireless Mesh Networks André Egners UMIC Research Center, RWTH Aachen University Abstract Wireless Mesh Networks (WMNs) surely are one of the most prominent trends for Next Generation Networks. Their future success, however, depends on their security features. We introduce detailed security requirements for WMNs that can be used to analyze existing and future security architectures for WMNs. As an example we present an analysis of IEEE s with respect to these security requirements. I. INTRODUCTION Wireless Mesh Networks (WMN) represent the fusion of ad-hoc and infrastructure wireless networking. The infrastructure of WMNs, namely mesh routers, are connected in an ad-hoc fashion exhibiting all pros and cons. Clients can be part of the infrastructure providing routing and connectivity for other clients that cannot directly reach mesh routers. The notion of coverage extension by using regular clients and the communication over a wireless backbone introduce new security threats. In [1] the new security challenges arising from WMNs were identified as the detection of corrupted nodes, secure multi-hop routing and fairness wrt. to the distribution of network resources. While these challenges are generally accepted in literature, a more detailed generally accepted list of security requirements for WMNs is still missing. As a consequence, it is hard to evaluate strengths, weaknesses, and open issues of existing proposals such as the IEEE s standard. In this paper we take a first step towards defining security requirements for WMNs and use them as basis to evaluate the security features provided by IEEE s [2]. II. SECURITY REQUIREMENTS This section introduces communication patterns and security requirements wrt. Wireless Mesh Networks. In the following we will refer to a mesh client as MC, mesh router as MR, mesh gateway as MG and mesh access point as MAP. MCs can either be legacy clients or regular clients with mesh routing functionality. MRs are the entities forming the wireless backbone and connected to other MRs in a wireless fashion. MRs that also serve as first hop for network access of MCs are referred to as MAPs. A MG provides access to other networks, e.g. to the Internet. Communication Patterns in WMNs between the different network entities include the following: MC MC, MC MR and MC MG MR MG, MR MR MC MC communication refers to communication between two clients located in the same WMN. MC MR communication refers to the communication between MC and the associated MAP. MC MG communication refers to traffic destined to leave the WMN through the MG, e.g. to a destination somewhere on the Internet. This may also include management traffic, e.g. when communicating with a AAA-Server located outside of the WMN. MR MR communication refers to all traffic between MRs. MR MG communication can be considered as special cases of MR MR. It may can include management traffic, but also forwarded user traffic. Confidentiality is required between two MCs to prevent intermediate MRs, MCs and outsiders from eavesdropping on the communication. While encryption between MC and MR/MAP would prevent eavesdropping on the initial wireless connection, it does not safeguard against eavesdropping by other MRs, MCs and outsiders located on the path segment after the initial hop. Therefore, we require MC MG communication to be confidential. This counters eavesdropping threats originating from intermediate MRs, MAPs, and MCs. Additionally MR MR communication may also be confidential. For example, if user traffic is confidential between MC MG, information who communicates with whom can still be leaked by the routing protocol. Integrity and replay protection are both important for all of the introduced communication patterns. Just as confidentiality, integrity and replay protection are both required between two MCs, MC MAP, and MC MG. However, integrity and replay protection are also required for MR MR as well as MR MG communication. Note that one can argue that assuming confidentiality of MC MG communication, integrity without additional confidentiality is sufficient on the first hop between MC MAP. The MAP can simply check whether the MC s traffic is allowed to pass. Within the WMN integrity can be attained between MRs in a hop-by-hop fashion and the MRs checking the traffic for its legitimacy. Access Control entails authentication and authorization of network entities. It is required to control which entities are allowed to access the network. Entity authentication can be combined with key establishment to bootstrap integrity and encryption mechanisms. Authentication is equally important for user and operator, since users need to ensure that the network is the one it claims to be, as well as vice versa. Access control is required for MCs as well as newly joining MRs, MAPs, and MGs Privacy is similar to confidentiality, but is not automatically achieved alongside. Privacy issues can for example arise when authenticating a MC to a MAP. Although the communication can be kept confidential between MAP and MC, the MAP could still learn identity attributes of the MC. In context of mobility and repeated authentication, tracking also becomes an issue that cannot solely be solved by keeping the communication between MC and MAP confidential. Availability in WMNs is of importance wrt. network access itself, as well as access to offered services and QoS parameters. For example, if a AAA-Server is used for access control, its availability is of vital importance for network access. Fairness can directly be influenced by attacking the availability, since denying access to certain parts of the network can be considered unfair. Fairness in wireless networks is, however, typically related to radio channel access and access to the available network bandwidth. This is of particular importance in WMNs, since multi-hop communication imposes additional challenges to the fair distribution of bandwidth. MCs that communicate with a MG over multiple hops

9 share the available bandwidth with other nodes that are connected to the routers on the respective path. Non-repudiation is especially important in the context of correct billing. It enables one or multiple service providers to securely differentiate users. With a mechanism in place, a user cannot deny having committed specific actions. III. IEEE S - MESH NETWORKING Recent IEEE effort to standardize wireless mesh networking is still in draft status. As opposed to typical wireless network access control, i.e i, this amendment discards the notion of supplicant and authenticator s introduces a protocol to simultaneously authenticate two arbitrary peers - both of which can initiate the authentication protocol and do not necessarily have to be direct neighbors. The new protocol is called Simultaneous Authentication of Equals (SAE) and results in a pairwise master key (PMK) shared between two peers. The authentication protocol assumes a pre-shared secret, namely a password to be known to all legitimate network entities. A so-called Abbreviated Handshake is used for authenticating peers that already share a PMK, effectively using less messages than SAE. Simultaneous Authentication of Equals: The computations used by SAE are either based on Elliptic Curve Cryptography (ECC) or prime modulus finite cyclic groups. In the following we use the notation of ECC-based SAE in which P (x, y) represents a point on a publicly known elliptic curve of the form y 2 = x 3 + ax + b. By inv we refer to the additive inverse element of a point on the elliptic curve. SAE uses four messages to authenticate two peers in a simultaneous fashion. The message flow of SAE between parties A and B is depicted in Figure 1. In the first step the initiating peer generates a password element (PWE) which represents a point on an elliptic curve. The PWE is combined with a hash m containing a combination of MAC addresses of the respective two peers by scalar multiplication to N = P W E m. The initiating peer A constructs a commit scalar cs A = (rand A + mask A) mod r and a commit element ce A = inv(mask A N). rand A refers to a random number which is essential to computing the key to be shared by both peers. mask A is another value used to blind the transferral of the random number. Upon reception of a peer s commit, both peers are able to compute the same secret k using a predefined key derivation function F. k is derived by each party based on the other party s commit message, its own random random number, and N such that A computes k = F ((rand A (cs B N +ce B)) and B computes k = F ((rand B (cs A N + ce A)). The computation effectively represents a password authenticated ECC Diffie-Hellman key exchange. Both peers will then build a confirmation message, namely a hash of the secret k, a replay-protection counter and the previously exchanged cs and ce values. If the received confirm message equals the expected result, authentication is considered successful. If authentication was successful, both peers will generate a pairwise master key as P MK = H(k counter (cs A + cs B) mod r F (ce A +ce B)). Once a PMK has been successfully established, it can later on be used during the Abbreviated Handshake. The PMK is used to construct a key hierarchy in which a 128- bit Abbreviated Handshake Key Confirmation Key (AKCK), a 256- bit Abbreviated Handshake Key Encryption Key (AKEK), and a 128- bit Mesh Temporal Key (MTK) are computed. The keys AKCK and AKEK are static in the sense that they can be used to provide data origin authenticity and data confidentiality in multiple runs of the Abbreviated Handshake and Group Key Handshake. The AKEK is used to encrypt the GTK during the Abbreviated Handshake. The MTK is used to protect the communication between two peers and derived in a more dynamic manner by also using freshly generated random numbers of both peers as input to the key derivation function. The PMK, AKCK and AKEK s lifetime is limited by the password s lifetime, whereas the MTK should be regenerated on each peering instance. Fig. 1. A ECC-based Simultaneous Authentication of Equals (SAE) Abbreviated Handshake: The goal of the protocol is to generate a fresh MTK between two peers that already share a PMK. The new MTK is randomized by using two fresh random numbers selected by the peers. Since the peers share a PMK and therefore AKCK and also AKEK, the exchange of the nonces can be integrity protected. The protocol consists of two messages, i.e. a Peering Open Frame which also contains the random number and a Peering Confirm Frame containing the nonce of the respective other peer. Analysis: The proposed security features offered by the recent IEEE s draft are rudimentary and inflexible. Although, password based network access can obsolete complex authentication and management infrastructure, it introduces unnecessary inflexibility to a type of network that is supposed to be highly dynamic in nature. Once a peer knows the password in use he can access the network. Since the only additional identity attribute used in the protocols is the MAC address of a peer, impersonation of arbitrary peers by other peers is possible. Since routers are also considered to be peers just as clients, an attacker in possession of the password could impersonate the network to a client. The issue of excluding a specific client or router from the network is not addressed. The operator would have to change the password used to control the network access, i.e. restart the whole network. IV. CONCLUSION SAE and the Abbreviated Handshake allow for the establishment of keys between any two peers in a WMN. However, a password-based authentication seems ill fit to the flexibility requirements of WMNs such as mobility and rejecting network entities after participating in the network. In addition s does neither cover access control and MC MG communication protection, nor does it address privacy, fairness and availability requirements. REFERENCES [1] N. Ben Salem and J.-P. Hubaux, Securing Wireless Mesh Networks, Wireless Communications, IEEE, [2] IEEE s Task Group, Amendment: ESS Mesh Networking, IEEE P802.11s/D3.0. B

10 Protokolleffizienz in Wireless Mesh Netzwerken Andreas Noack Horst Görtz Institut für IT-Sicherheit Ruhr Universität Bochum Jörg Schwenk Horst Görtz Institut für IT-Sicherheit Ruhr Universität Bochum I. EINLEITUNG Wireless Mesh Netzwerke (WMN) bestehen aus einer dynamischen Menge von Teilnehmern, die zu einem vermaschten Netzwerk zusammengefasst werden. Als Kommunikationstechnologie kommen hier aktuelle WiFi-Standards zum Einsatz, wie z.b. Bluetooth, ZigBee oder auch das herkömmliche Wireless LAN nach IEEE Die Vermaschung darf genauso wie im heutigen Internet redundant sein. Zwischen zwei Teilnehmern dürfen also mehrere parallele Pfade mit unterschiedlichen Pfadkosten liegen. Die Teilnehmer in Wireless Mesh Netzwerken sind in der Regel statisch in ihrer Position, was eine weitere Gemeinsamkeit mit dem Internet darstellt. Die kabellose Kommunikation führt aber im Gegensatz zum Internet zu einer größeren Dynamik der Verbindungen, da Funkverbindungen z.b. durch externe Störungen wegfallen, aber auch neu hinzugefügt werden können. Die Gruppengröße in WMN ist dynamisch, WMN- Geräten ist das Betreten und Verlassen der Gruppe jederzeit erlaubt. Wireless Mesh Netzwerke werden aktuell in vielen Bereichen eingesetzt. Beispiele sind das Community Networking, bei dem sich Privatpersonen zu einem großen freien Netzwerk verbinden, um Informationen auszutauschen oder um gemeinsam eine Internetverbindung zu teilen. Ein Vorreiter im Bereich Community Networking ist das Freifunk Projekt [3], das besonders im Raum Berlin eine große Beliebtheit erfährt. Auch in der Industrie gewinnen WMN stetig an Bedeutung, beispielsweise lassen sich ganze Werkhallen [6], für die eine herkömmliche Kupfer- oder Glasfaserverkabelung zu teuer wäre, mit einem Mesh Netzwerk kostengünstig vernetzen. Letztlich gibt es auch im militärischen Bereich zahlreiche Einsatzmöglichkeiten für WMN, z.b. für die Erzeugung einer Kommunikationsinfrastruktur in Krisengebieten oder Gefechtssituationen. Netzwerkprotokolle sind Regeln, wie und zu welchem Zeitpunkt Datenpakete versendet werden. Diese Protokolle spielen bei der Kommunikation zwischen Netzwerkteilnehmern eine große Rolle, denn sie finden fast überall Anwendung. Zusätzlich zu den offensichtlichen Anwendungsfällen wie dem Internetsurfen oder dem en laufen im Hintergrund Netzwerkprotokolle, die die Funktionalität oder die Sicherheit des Netzwerks gewährleisten sollen. In dieser Ausarbeitung beschäftigen wir uns mit der Messung der Effizienz von Netzwerkprotokollen in Wireless Mesh Netzwerken. Zu diesem Zweck schlagen wir ein Modell für die Berechnung der Effizienz von Netzwerkprotokollen vor und demonstrieren dies am Fall von drei Gruppenschlüsselaustauschprotokollen (Group Key Agreement). WMN verwenden Gruppenschlüsselaustauschprotokolle, um auf der Basis von gemeinsamen Schlüsselmaterials eine Verschlüsselung und Authentifizierung der Nutzdaten zu etablieren. Diese Arbeit ist eine Weiterentwicklung von [7]. II. WIRELESS MESH NETZWERKE Verglichen mit herkömmlichen Funknetzwerken haben WMN besondere Eigenheiten. Da WMN meist aus vielen Teilnehmern bestehen, gibt es auch sehr viele Funkverbindungen, die sich gegenseitig beeinflussen. Die dadurch entstehende Interferenz hat in WMN mit vielen Teilnehmern einen großen Einfluss auf die Effizienz der Netzwerkprotokolle [4]. Weiterhin haben WMN einen Effizienzvorteil bei der Verwendung von lokalen Broadcastnachrichten an mehrere benachbarte Teilnehmer, denn diese Nachrichten können aufgrund des Funkstandards tatsächlich parallel übertragen werden. Unterschieden werden hingegen globale Broadcastnachrichten, die von jedem Empfänger aktiv weitergeleitet werden müssen und in WMN wegen der entstehenden Interferenz eher weniger effizient als in herkömmlichen Netzwerken sind. III. PROBABILISTISCHES EFFIZIENZ MODELL Um die Effizienz der Protokolle vergleichbar zu machen, verwenden wir als Maßeinheit Timeslots (TS). Definition: Timeslot. In einem interferenzfreien Kanal mit voller Kapazität ist ein Timeslot die Zeitspanne, die für das Versenden einer lokalen Broadcastnachricht mit maximaler Größe (MTU Maximum Transfer Unit) benötigt wird. Die Effizienz eines Netzwerkprotokolls setzt sich aus zwei Summanden zusammen. Der erste Summand ist die Anzahl der Timeslots (TS), die das Netzwerkprotokoll für die Ausführung benötigt. Der zweite Summand ist die Anzahl der gleichzeitig übertragenen Nachrichten pro Timeslot ( #Nachrichten Timeslot ), um die Interferenz in die Effizienzmessung mit einzubeziehen. Dabei wird der zweite Summand mit einer Unbekannten x multipliziert, welche die physikalische Gegebenheiten des WMN wiederspiegelt (Qualität der WiFi-Geräte, Hintergrundrauschen, Hindernisse, uvm.). Gesamtperformanz (TS) = Timeslots + x # Nachrichten Timeslot

11 A. Annahme Die endgültige physikalische Struktur (Topologie) des WMN ist uns unbekannt. Daher berechnen wir die Effizienz jedes Protokolls mit der optimalen Netzwerkstruktur (Best case). Als optimale Netzwerkstruktur nehmen wir die interne logische Struktur des Netzwerkprotokolls an. B. Zählweise der Nachrichten Eine Nachricht zu einem direkten Nachbarn zählt als 1 Nachricht. Eine Nachricht zu einem entfernten Nachbarn wird als #Hops Nachrichten gezählt, wobei die #Hops die Zahl der weiterleitenden Knoten zwischen Start und Ziel ist. C. Zählweise der Timeslots Eine Nachricht zu einem direkten Nachbarn zählt als 1 Timeslot Bei simultan versendeten Nachrichten wird die #Hops des längsten Pfades in Timeslots berechnet. D. Interferenz-Faktor x Ein Protokoll ist maximal effizient, wenn lediglich die Anzahl der Timeslots zur Protokollausführung benötigt werden, keine interferenzbedingten zusätzlichen Timeslots. Die minimale Effizienz entsteht, wenn jede einzelne Nachricht in einem separaten Timeslot versendet wird (keine Parallelität). Daraus folgt: x [0, Timeslots Timeslots2 #Nachrichten ]. Mit zunehmender Größe des Netzwerks wächst der maximale Wert für den Interferenz-Faktor linear, ebenso wie die geographische Größe des Netzwerkes. Da beide Effekte einen gegensätzlichen Effekt haben, kann für unterschiedlich große WMN mit den selben physikalischen Eigenschaften etwa ein konstanter Interferenz-Faktor x festgelegt werden. IV. ERGEBNISSE Wir haben drei Gruppenschlüsselaustauschprotokolle auf ihre Performanz in Wireless Mesh Netzwerken getestet: Burmester-Desmedt I (BD1 [1]), Burmester-Desmedt II (BD2 [2]) und Tree Based Key Agreement (TBKA [8][5]). BD1 hat eine logische Ring-Struktur und arbeitet in seinen zwei Phasen mit globaler Broadcastkommunikation. BD2 verwendet hingegen nur Multicastnachrichten und eine logische Baumstruktur, die sich besser für WMN eignet. TBKA hat eine logische Linienstruktur, die sich in mehreren kleineren Runden gut an ein WMN anpassen kann. Abbildung 1 zeigt die Effizienz der drei Gruppenschlüsselaustauschverfahren in Wireless Mesh Netzwerken für Teilnehmerzahlen von fünf bis 100 mit einem Interferenz- Faktor von x = 4, 45. Dieser Interferenz-Faktor ergibt sich aus einer Simulation der Protokolle in einem für diesen Zweck entwickelten Simulator, ist jedoch für jedes Wireless Mesh Netzwerk (zumindest leicht) unterschiedlich. Abbildung 1. Effizienz von Gruppenschlüsselaustauschprotokollen in WMN mit dem Interferenz-Faktor x = 4, 45 in Timeslots (TS) Es zeigt sich, dass sich das Tree Based Key Agreement Protokoll für große Teilnehmerzahlen empfiehlt. Dies wird durch die variable Struktur und viele kleine Protokollrunden, anstatt zwei großen wie bei den anderen Protokollen, erreicht. Bis zu einem Wert von ca. 15 Teilnehmern ist jedoch das Burmester-Desmedt II Protokoll am effizientesten. Burmester- Desmedt I ist aufgrund seiner nicht besonders gut geeigneten logischen Struktur und der teuren Broadcastkommunikation für alle Netzwerkgrößen weit abgeschlagen. V. ZUSAMMENFASSUNG UND AUSBLICK In dieser Ausarbeitung haben wir ein probabilistisches Modell für die Effizienz Evaluierung von Netzwerkprotokollen in Wireless Mesh Netzwerken vorgestellt. Die Ergebnisse dieser Evaluierungen können zur Entscheidungsfindung beitragen oder dazu verwendet werden, neue Protokolle in ihrer Effizienz für WMN zur verbessern. Am Beispiel von drei repräsentativ ausgewählten Gruppenschlüsselaustauschprotokollen haben wir gezeigt, dass sich das Tree Based Key Agreement Protokoll am besten für große Mesh Netzwerke eignet. Offene Punkte sind der praktische Nachweis der Ergebnisse in einer Testumgebung, sowie das Evaluieren von und Vergleichen mit anderen Modellen für die Performanzmessung in WMN. Eine ungelöste Aufgabe ist zudem die Entwicklung eines effizienten (z.b. gruppenschlüsselbasierten) und vollständigen Sicherheitskonzeptes für Wireless Mesh Netzwerke. LITERATUR [1] Mike Burmester and Yvo Desmedt. A secure and efficient conference key distribution system. In EUROCRYPT 94, volume 950 (LNCS), pages , [2] Mike Burmester and Yvo Desmedt. Efficient and secure conference key distribution. In Cambridge Workshop on Security Protocols, volume 1189 (LNCS), pages , [3] Freifunk Community. Freifunk projekt webseite [4] Tilman Frosch. Charakteristik von wireless mesh-netzwerken. Bachelorthesis, Ruhr-Universität Bochum, [5] Yongdae Kim, Adrian Perrig, and Gene Tsudik. Tree-based group key agreement. Cryptology eprint Archive, Report 2002/009, http: //eprint.iacr.org/. [6] Marco Knödler. Praktische evalulation der einsatzfähigkeit eines drahtlosen mesh-netzwerkes im industriellen umfeld. Diplomathesis, Ruhr- Universität Bochum, [7] Andreas Noack and Jörg Schwenk. Group key agreement for wireless mesh networks. In 34th IEEE LCN & Workshops Conference Proceedings, pages , [8] J. Schwenk, T. Martin, and R Schaffelhofer. Tree-based multicast key agreement. In Communications and Multimedia Security 01, 2001.

12 Testbed Evaluation eines Black Hole-Angriffes auf ein Ad hoc Netz Christian Gottron, Pedro Larbig, André König, Matthias Hollick, Ralf Steinmetz [Christian.Gottron;Pedro.Larbig;Andre.Koenig; Multimedia Kommunikation (KOM), Technische Universität Darmstadt Secure Mobile Networking Lab (SEEMOO), Technische Universität Darmstadt Mobile Ad hoc Netze (MANET) wurden in den letzten Jahren vielfach auf Robustheit und Sicherheit untersucht. Exsistierende Arbeiten evaluierten Angriffe und Gegenmaßnahmen primär theoretisch oder analytisch. Im Rahmen dieser Arbeit wird der Aufbau eines Testbeds am Institut für Multimedia Kommunikation an der TU-Darmstadt vorgestellt. Dabei entstandene Herausforderungen und Lösungsansätze werden herausgearbeitet. Innerhalb dieses Testbeds wird der Black Hole-Angriff analysiert. Die Ergebnisse dieser Arbeit zeigen, dass das AODV Protokoll mit Hilfe eines Filters stabilisiert werden kann, der Verbindungen verhindert, die nicht eine minimale Signalqualität aufweisen. Weiterhin zeigte sich, dass der Black Hole- Angriffe in einem Testbed einen starken Einfluss auf die Verfügbarkeit von Routen innerhalb des Netzes hat. I. Motivation und Ziele In Katastrophenschutze Szenarien oder in der Car-to-Car- Kommunikation kann nicht von einer verfügbaren Infrastruktur ausgegangen werden. Aufgrund dessen können traditionelle Architekturen oft nicht angewandt werden. Da Mobile Ad hoc Netze (MANET) aufgrund ihrer dezentralen Eigenschaft ohne Infrastruktur operieren, bieten sich diese als Ersatz der traditionellen Architekturen in einem solchen Szenario an. Es existieren diverse wissenschaftliche Arbeiten die sich mit MANETs befassen. Diese basieren meist auf theoretischen Modellen oder Simulationen. Dabei werden aufgrund der Komplexität Eigenschaften realer drahtloser Netze abstrahiert was zu Abweichungen zwischen theoretischen und realen Ergebnissen führen kann [1]. Bisher wurden nur wenige Aspekte der MANETs aus praktischer Sicht betrachtet. Vor allem im Gebiet der Netzwerksicherheit existieren nur wenige Testbed-basierte Analysen von Angriffen und Gegenmaßnahmen. Um solche Angriffsszenarien zu analysieren, wurde ein MANET Testbed aufgebaut. In dieser Arbeit wird die Auswirkung des Black Hole-Angriffs betrachtet. Das Ziel dieses Angriffs auf den Routing Algorithmus des Netzes ist es, möglichst viele Routen über einen bösartigen Knoten zu leiten. Daraufhin können die an den Angreifer gesendeten Daten verworfen oder untersucht und gespeichert werden, um das Netz zu stören bzw. Daten über die anderen Teilnehmer des Netzes zu sammeln. II. Aufbau des Testbeds Das Testbed besteht aus 7 Lenovo Notebooks der R61 bzw. R61i Serie auf denen eine Ubuntu Distribution der Version 9.04 als Betriebssystem läuft. Das Ad hoc on demand Distance Vector (AODV) [2] Protokoll wurde für das Routing eingesetzt. Dieses reaktive Protokoll bietet sich aufgrund seiner weiten Verbreitung und Bekanntheit in wissenschaftlichen Kreisen für erste Versuche in einem Testbed an, da viele theoretische Arbeiten als Referenz existieren. Es wird die AODV-UU [3] Implementierung verwendet, welche an der Uppsala Universität in Schweden entwickelt wurde. Diese ist für Netzwerke basierend auf dem IEEE Standard entwickelt worden und wurde strikt nach dem AODV RFC implementiert. Aufgrund einer Inkompatibilität zu dem neuen im Testbed verwendeten Linux Kernel , musste AODV- UU angepasst werden. Dadurch wurde allerdings die Funktionalität des Protokolls weder verändert noch eingeschränkt. Die Notebooks wurden innerhalb des Instituts für Multimedia Kommunikation an der TU-Darmstadt über mehrere Büroräume verteilt und blieben dort stationär während der Versuche. In Abbildung 1 ist die Aufteilung der Notebooks auf die einzelnen Räume dargestellt. Weiterhin sind alle Verbindungen mit einer Qualität von über -70 dbm zwischen den einzelnen Teilnehmern des Netzes als Linien dargestellt. Diese Signalqualität hat sich in Vortests als zuverlässig erwiesen. III. Evaluation des AODV Protokolls Die ersten Versuche bezüglich der Funktionalität der AODV Implementierung zeigten Verbindungsabbrüche in einem gesteigertem Maße bei Multi-Hop-Strecken. Diese wurden durch Gray Zones [1] hervorgerufen. Gray Zones entstehen durch die unterschiedliche Reichweite von Broadcast und Unicast Nachrichten. Während Broadcast Nachrichten mit niedrigerer Übertragungsrate gesendet werden und dementsprechend eine hohe Reichweite haben, werden Unicast Nachrichten mit maximaler Übertragungsrate gesendet. Dies resultiert in einer niedrigeren Reichweite der Unicast Nachrichten in der die gesendeten Daten noch von einem Empfänger korrekt dekodiert werden können. Da die Routing Nachrichten des AODV Protokolls als Broadcast Nachrichten gesendet werden, haben sie eine höhere Reichweite als Datenpakete, die über die etablierte Route per Unicast Nachricht gesendet werden. Dadurch werden Verbindungen zwischen Knoten aufgebaut und für Routen ausgewählt, über die Daten nicht zuverlässig übertragen werden können. Weiterhin verwendet das Protokoll eine Metrik, die die kürzeste Routen (bezüglich der Anzahl der Hops) bevorzugt. Daraus ergibt sich, dass bei der Wahl des nächsten Knotens auf der Route jene Knoten bevorzugt werden, die möglichst weit vom aktuellen Knoten entfernt liegen. Aufgrund dessen ist die Wahrscheinlichkeit, dass Knoten sich in der Gray Zone, also der Grenzzone zwischen der Reichweite der Broadcast und der Unicast Nachrichten, befinden hoch. Um die Gray Zone-Problematik zu vermeiden, schlagen Lundgren et al. [4] neben diversen anderen Ansätzen vor, die minimale akzeptierte Verbindungsqualität zwischen den Knoten durch einen Filter zu begrenzen. Dieser soll direkt in AODV implementiert werden. Als Folge dessen werden alle Pakete verworfen, die mit einer Signalqualität empfangen werden, die einen festgelegten Wert unterschreiten. Aufgrund des von Lundgren et al. verwendeten Treibers konnten nach ihrer eigenen Aussage keine genauen Werte für die Signalqualität ermittelt werden. In unserem Testbed wurde ebenfalls ein Filter verwendet der jedoch auf die genaue A B Abb.1: Aufbau des Testbeds und Verteilung der Knoten 4

13 Signalqualität zurückgreifen kann. Dieser Filter wurde nicht direkt in AODV implementiert, sondern in Form eines MAC- Filters als separates Programm eingesetzt. Dieses kann unabhängig von dem verwendeten Routing Protokoll eingesetzt werden. Mit Hilfe einer Erweiterung des aktuellen Linux Kernels, kann die Verbindungsqualität wesentlich genauer und zuverlässiger ermittelt werden. Weiterhin ist in dem hier beschriebenen Ansatz die Qualität als Durchschnittswert der n zuletzt empfangenen Nachrichten definiert. Dadurch werden starke Schwankungen vernachlässigt und die Routen im Allgemeinen stabiler. Aus einem direkten Vergleich eines MANETs mit und ohne Filter ging hervor, dass Multi-Hop-Routen, die ohne Filter aufgebaut wurden, wesentlich instabiler sind als jene, die mit Hilfe des Filters ermittelt wurden. Selbst Verbindungen die lediglich über einen einzelnen zwischenliegenden Knoten geroutet werden weisen Verluste von über 50% der gesendeten Pakete auf. Wenn im gleichen Szenario ein Filter eingesetzt wird, können die Verluste auf etwa 5% reduziert werden. Passt man den Filter gezielt an das Szenario an, so reduzieren sich die Verluste auf etwa 2%. Weiterhin entstehen durch den filterlosen Einsatz von AODV Latenzen die um den Faktor zehn höher sind im Vergleich zu einem Szenario mit Filter. IV. Evaluation des Black Hole-Angriffs Fehlverhaltende Knoten die einen Black Hole-Angriff durchführen, leiten möglichst viel Datenverkehr über sich. Diesen können sie dann verwerfen oder umleiten um somit das Netz zu stören. Um diesen Angriff möglichst erfolgreich zu implementieren, antworten bösartige Knoten auf alle Anfragen nach Routen und geben an, eine gültige Route mit minimaler Distanz zum Zielknoten in ihrer Routingtabelle gespeichert zu haben. Sollte der anfragende Knoten näher am Zielknoten liegen als am Angreifer, so bleibt der Angriff ohne Folgen. Andernfalls wird der anfragende Knoten die vermeintlich optimale Route über den Angreifer für den Datenaustausch verwenden. Da die Effizienz dieses Angriffs stark von der Position des Angreifers innerhalb des Netzes abhängig ist, werden im Folgenden zwei Szenarien präsentiert. In Szenario A ist der Angreifer am Rand des Netzes positioniert, während in Szenario B der Angreifer an eine für den Angriff optimierte Position innerhalb des Netzes platziert wurde. Hier ist anzunehmen, dass der zweite Angriff einen erkennbar größeren Einfluss auf das Netz hat. Die Position der Angreifer in beiden Szenarien und die Anbindung an das MANETs sind in Abbildung 1 dargestellt. In beiden Szenarien werden die Verbindungen zwischen den Knoten des Netzes paarweise per Ping überprüft. Hierbei baut AODV-UU sowohl eine Hin- als auch eine Rückroute zwischen dem Knotenpaar auf. Da in einem realen Netz unidirektionale Verbindungen aufgrund der variierenden Übertragungsreichweiten der einzelnen Knoten entstehen können, muss auf eine solche Maßnahme zurückgegriffen werden. Daraus folgt allerdings, dass Routen nur dann erfolgreich aufgebaut werden können, wenn die Distanz zwischen beiden Knoten niedriger ist als die Distanz zwischen einem der beiden Knoten und dem Angreifer. Dadurch erhaltenen wir symmetrische Ergebnisse wie sie in Tabelle 1 und 2 zu sehen sind. Diese Tabellen zeigen die Wahrscheinlichkeit, das Knoten X eine Antwort auf ein Ping erhält, das er an Knoten Y gesendet hat (X, Y Є M, M={1, 2, 3, 4, 5, 6, 7}). Weiterhin wurden Routen, die durch den Black Hole-Angriff betroffen sind, zur Verdeutlichung grau hinterlegt. Das Ergebnis des Experiments in Szenario A zeigt, dass selbst ein Angreifer, der sich am Rande des Netzes befindet, dieses sehr stark beeinflussen kann. Wie in Tabelle 1 zu sehen ist, werden mehr als 50% aller Verbindungen gestört (graue hinterlegt). Im Fall der Verbindungen zwischen Knoten 2 und 5 bzw. 4 und 5 liegen Quell- und Zielknoten genau soweit von einander entfernt wie deren Entfernung zu dem Angreifer ist. Aufgrund dessen kann % 0% 100% 0% 0% 0% mit einer gewissen 2 100% 100% 100% 14% 0% 0% Wahrscheinlichkeit 3 0% 100% 100% 100% 100% 0% das Routing erfolgreich beendet wer % 100% 100% 13% 0% 0% den. In diesen Fällen erhält der an- 6 0% 0% 100% 0% 100% 5 0% 15% 100% 16% 100% 100% 100% fragende Knoten die Routing Nachricht des legitimen Knotens vor der Tab.1: Erfolgreiche Datenübertragung zwischen Knotenpaaren in Szenario A Nachricht des Angreifers. Da der Angreifer allerdings vorgibt, dass seine Route aktueller ist, verwirft das AODV Protokoll die korrekte Route zugunsten der vermeintlich gleichlangen und aktuelleren Route über den Angreifer. Dies erlaubt jedoch zumindest eine kurzfristige korrekte Datenübertragung. Weiterhin kommt es nach einer gewissen Zeit, in der der sendende Knoten keine Antwort erhält zu einem Timeout und einer erneuten Routenfindung. Hier kann es folglich wieder zu einem kurzzeitigen Datenaustausch kommen, bevor der Angriff die Datenübertragung erneut stört. Im zweiten Szenario liegen die Verlustraten höher, da hier aufgrund der zentralen Lage des Angreifers lediglich Routen zu direkten Nachbarn aufgebaut werden können. Entsprechend liegen die Verluste bei über 60% wie es der Tabelle 2 zu entnehmen ist (grau hinterlegt) % 0% 100% 0% 0% 0% Hierbei ist anzumerken, dass die Routen 2 100% 100% 100% 0% 0% 0% in Szenario B komplett gestört wurden 4 100% 100% 100% 0% 0% 0% 3 0% 100% 100% 100% 0% 0% und keinerlei Datentransfer auf den be- 6 0% 0% 0% 0% 100% 100% 5 0% 0% 100% 0% 100% 0% einträchtigten Routen mehr übertragen werden konnte. Direkte Verbindungen Tab.2: Erfolgreiche Datenübertragung zwischen Knotenpaaren in Szenario B zwischen Nachbarn können von Black Hole-Angriffen nicht unterbrochen werden, da für diese kein Multi-Hop-Routing Anfragen benötigt werden. V. Zusammenfassung 7 0% 0% 0% 0% 100% 100% 7 0% 0% 0% 0% 0% 100% Im Laufe dieser Arbeit konnte ein Testbed aufgebaut werden, welches mit Hilfe der Optimierung des AODV Protokolls stabil lief. Weiterhin konnte festgestellt werden, dass Black Hole-Angriffe selbst in kleineren Netzen einen sehr großen Einfluss auf die Verfügbarkeit der Netzwerkknoten haben. So können Daten nur noch dann korrekt übertragen werden wenn (I) die Distanz zwischen den kommunizierenden Knoten kleiner ist als die Entfernung der Knoten zum Angreifer oder wenn (II) direkte Nachbarn miteinander kommunizieren. VI. Literaturverzeichnis [1] H. Lundgren et al. : The Gray Zone Problem in IEEE b based Ad hoc Networks; ACM SIGMOBILE 2002 [2] C. Perkins et al.: RFC 3561 Ad hoc On-Demand Distance Vector (AODV) Routing [3] E. Nordström: AODV-UU CoReSoftware; Uppsala University, University Basel, /AODV-UU [4] H. Lundgren et al.: Coping with Communication Gray Zones in IEEE802.11b based Ad hoc Networks; In proc. of the 5th ACM intern. WoWMoM 02

14 Wireless LAN und die Sicherheitsfrage untertage Dipl. Ing. Christoph Müller MineTronics GmbH, Germany Andreas Noack, M.Sc. MineTronics GmbH, Germany Einleitung Wireless LAN findet mehr und mehr Bedeutung in der Industrie. Durch große Fortschritte in der Automatisierungstechnik, erreicht die Verbreitung sogar Anwendungen, die klassischerweise nichts mit der neuen Funktechnologie zu tun hatten. Die MineTronics GmbH beschäftigt sich mit der IP-basierten Automatisierung und Vernetzung in untertägigen Industrieumgebungen. Seit einigen Jahren gehören IEEE kompatible WLANs auch mehrere hundert Meter unter der Erde zur Standardausrüstung. Mittlerweile gibt es in einigen Bergwerken sogar Wireless LAN Infrastrukturen, die Tunnel mit einer Länge von vielen Kilometern abdecken. Selbstverständlich ist die Frage der Netzwerk- und Datensicherheit untertage eine andere als im Internet oder für Wireless LAN Hotspots an öffentlichen Plätzen, denn die Tunnel sind nicht für jeden erreichbar und die Besuche von externen Personen werden protokolliert. Dennoch gibt es auch hier großen Bedarf an Sicherheitslösungen, da die Beurteilung ob ein Objekt sicherheitstechnisch schützenswert ist nicht nur von der Menge der potentiellen Angreifer abhängt, sondern auch von der Wertigkeit des Objekts. Beispielsweise kann ein (wenn auch unwahrscheinlicher) Hacker-Angriff auf eine große ferngesteuerte Mobilmaschine in einem für Personen freigegebenen Bereich zu schweren Personenschäden führen. Sicherheitsanforderungen untertage In Industrieanwendungen, besonders untertage, bekommen die Sicherheitsziele Vertraulichkeit, Authentizität und Verfügbarkeit andere Prioritäten als z.b. im Internet. Die Vertraulichkeit spielt aufgrund von einer nur eingeschränkten Zulassung von externen Personen eine untergeordnete Rolle. Wichtiger ist die Authentizität der Nachrichten, besonders wenn es um hohe Wertigkeiten geht. Wird eine teure Maschine ferngesteuert, kann durch eine unabsichtliche oder vorsätzliche Fehlbedienung ein großer Schaden entstehen. Das steuernde System und der steuernde Nutzer müssen authentifiziert und authorisiert werden, um derartige Risiken zu minimieren. Letztendlich spielt die Verfügbarkeit der Systeme eine große Rolle, die vor allem wirtschaftlich ausgeprägt ist. Ein temporärer Ausfall kann immensen wirtschaftlichen Schaden nach sich ziehen, in besonderen Fällen auch personellen (z.b. wenn die Verbindung zu einer ferngesteuerten mobilen Maschine durch Netzwerküberlast verzögert wird und ein Befehl die Maschine zu spät erreicht). Quality-of-Service und Hochverfügbarkeitsanwendungen haben hier eine große Bedeutung. Ein Beispielszenario Eine führerlose Einschienenhängebahn (EHB) oder ein Zug zum Transport von Gütern untertage soll automatisiert werden. Die Bahn fährt durch einen Tunnel, der auch Personen zugänglich ist. Entlang des Tunnels werden IEEE b/g kompatible Accesspoints für den Untertageeinsatz verwendet, um eine nahezu lückenlose Funkinfrastruktur zu gewährleisten.

15 Da die EHB ferngesteuert werden soll, muss ein System implementiert werden, das die durch Roaming innerhalb des Tunnels entstehenden Latenzen und Verbindungsausfälle auf ein Mindestmaß minimiert. Aus diesem Grund werden die folgenden Überlegungen angestellt: 1.) Die Roamingzeiten normaler WiFi-Adapter (Verbindungsabbruch für mehrere Sekunden) muss stark minimiert werden. 2.) Jeweils vorne und hinten an der EHB wird ein WiFi-Adapter montiert, wobei beide Adapter die Steuerungsinformationen voll redundant kommunizieren. 3.) Der Einsatz von WPA ist zu riskant, da nach dem Roaming zu einem neuen Accesspoint mindestens ein 4-Wege-Handshake zur Schlüsselvereinbarung notwendig ist. Ein VPN- Endpunkt auf der EHB und an der Steuerkonsole ermöglichen auch im Roamingfall eine fortlaufende Verschlüsselung. Weiterhin werden Überlegungen zur Systemsicherheit angstellt. Beispielsweise verhindert eine Firewall unerlaubten Zugriff auf die Steuerungstechnik der EHB. Anhand dieses Beispiels werden die besonderen Anforderungen an die Kommunikation und Sicherheit in der Bergbauindustrie dargestellt. Ein ähnliches Pilotprojekt wurde auf einem Bergwerk in Deutschland realisiert.

16 R 1 9. M ä r z Thema: Sicherheit von (Funk-) Stand ard s in d er H aus automatis ation I nhal t D i e H a u s a u t o m a t i s a t i o n f i n d e t l a n g s a m a b e r s i c h e r d e n W e g i n v i e l e H e i m e. Ei n i g e B e i s p i e l e f i n d e n s i c h i n d e r b r e i t e n V e r m a r k t u n g v o n W ä r m e m e n g e n z ä h l e r, F u n k s t e c k d o s e n, W e t t e r s t a t i o n e n, A l a r m a n l a g e n, F u n k -G a r a g e n t o r a n t r i e b e o d e r F u n k g a s m e l d e r. S i e a l l e h a b e n g e m e i n s a m, d a s s s i e e n t w e d e r D a t e n v o n e i n e m T r a n s p o n d e r e m p f a n g e n o d e r D a t e n a n e i n e n R e c e i v e r ü b e r m i t t e l n. S o f e r n d i e s e D a t e n a u c h K o m m a n d o s z u r S t e u e r u n g d e r Ei n h e i t e n a u s t a u s c h e n, b e s t e h t d a s R i s i k o, d a s s m i t H i l f e v o n g e z i e l t e n A n g r i f f e n a u f b e k a n n t e D e s i g n - o d e r I m p l e m e n t i e r u n g s s c h w a c h s t e l l e n, d i e G e r ä t e k o m p r o m i t t i e r t w e r d e n k ö n n e n. D a h e r w u r d e n e i n i g e b e k a n n t e n P r o d u k t e u n d d i e ö f f e n t l i c h v e r f ü g b a r e n P r o t o k o l l s p e z i f i k a t i o n e n a u f S i c h e r h e i t u n t e r s u c h t. I n d e m V o r t r a g w e r d e n d i e F u n k t s t a n d a r d s f ü r d e n H e i m b e r e i c h i m F r e q u e n z b e r e i c h M H Z, M H Z ( EU ) u n d M H Z ( U S A ) k u r z v o r g e s t e l l t. A u f B a s i s d i e s e r G r u n d l a g e n w u r d e n d i v e r s e P r o t o k o l l e u n d h e r s t e l l e r s p e z i f i s c h e n L ö s u n g e n k o n z i p i e r t. Es s o l l e n h i e r b e i d i e S i c h e r h e i t s m e r k m a l e d i e s e r P r o t o k o l l e a n h a n d e i n i g e r I m p l e m e n t i e r u n g e n, z. B. F S 2 0, K a K u u n d X 1 0, v o r g e s t e l l t w e r d e n. D e s W e i t e r e n w u r d e n a u c h g r u n d s ä t z l i c h e R i s i k e n ( z. B. R e p l a y-a t t a c k e n ) b e t r a c h t e t, d i e A n g r i f f e a u f n i c h t -ö f f e n t l i c h e P r o t o k o l l e o d e r S t a n d a r d s b e s c h r e i b e n. M ö g l i c h e A n g r i f f s s z e n a r i e n s o l l e n a n B e i s p i e l e n v o n F u n k m o d u l e n ( w i e z. B. F u n k s t e c k d o s e n o d e r H a n d s e n d e r n v o n A l a r m a n l a g e n ) p r ä s e n t i e r t w e r d e n. D i e G r u n d l a g e f ü r d i e p r a k t i s c h e D u r c h f ü h r u n g d e r T e s t s z e n a r i e n u n d A n g r i f f e b i l d e t e i n G e r ä t a u f B a s i s e i n e s A t m e l A T m e g a C h i p s ( A r d u i n o ä h n l i c h e s M o d u l ) m i t z u s ä t z l i c h e n Er w e i t e r u n g e n ( h i e r T r a n s p o n d e r u n d T r a n s c e i v e r ). H i e r d u r c h i s t d a s G e r ä t i n d e r L a g e u n t e r s c h i e d l i c h m o d u l i e r t e D a t e n s t r ö m e a u f B a s i s v o n O O K u n d F S K z u e m p f a n g e n o d e r z u s e n d e n. I m p l e m e n t i e r u n g e n v o n B e i s p i e l p r o g r a m m e n s o l l e n d i e A n f ä l l i g k e i t e n f ü r B r u t e -F o r c e -A n g r i f f e, S n i f f i n g u n d R e p l a y-a t t a c k e n p r a k t i s c h d e m o n s t r i e r e n. I n e i n e m k u r z e n Ex k u r s w e r d e n d i e R i s i k e n a u c h a u f a l t e r n a t i v e Ü b e r t r a g u n g s m e d i e n ( h i e r X P o w e r l i n e -T e c h n o l o g i e i m H a u s s t r o m n e t z ) e v a l u i e r t. ef erent N a m e : K o s a n o v i c V o r n a m e : V o j i s l a v A k a d e m i s c h e r T i t e l : D i p l o m B e t r i e b s w i r t Z u s a t z q u a l i f i k a t i o n : C I S A, I S O / I EC L e a d A u d i t o r, L e a d A u d i t o r a u f B a s i s v o n I T - G r u n d s c h u t z U n t e r n e h m e n ( i n k l. R e c h t s f o r m ): K P M G D T G A G P o s t a n s c h r i f t d e s U n t e r n e h m e n s : A l f r e d s t r a s s e 2 7 7, Es s e n T e l e f o n : ( ) F a x : ( ) H a n d y: ( ) E-M a i l : v k o s a n o v i k p m g. c o m

17 Laufbahn in Kurzform V o j i s l a v K o s a n o v i c v e r f ü g t ü b e r s i e b e n J a h r e B e r u f s e r f a h r u n g i m I T -U m f e l d u n d v e r t r i t t i n n e r h a l b d e r K P M G d i e S c h w e r p u n k t e A p p l i k a t i o n s s i c h e r h e i t, T e l e k o m m u n i k a t i o n u n d m o b i l e S i c h e r h e i t. H a u p t b e r u f l i c h i s t H e r r K o s a n o v i c s e i t i m B e r e i c h I T A d v i s o r y m i t F o k u s a u f I T -S i c h e r h e i t b e i K P M G t ä t i g. V o r s e i n e m E i n t r i t t b e i d e r K P M G w a r V o j i s l a v K o s a n o v i c i m C a l l c e n t e r d e r C o m m e r z b a n k i n d e n B e r e i c h e n T K -A n l a g e n, C T I u n d I V R t ä t i g.

18 Security in Smart Grid Environments Improving IEC Steffen Fries Siemens AG Corporate Technology Germany Abstract Information security has gained tremendous importance for energy distribution and energy automation systems over the last years. Standards like IEC61850 offer communication services and data models for communication in energy automation. IEC is flanked by the standard IEC that especially addresses security and specifies technical requirements, which have to be met by vendors. Especially, vendors that cover the entire energy automation chain with their product portfolio face new demanding challenges imposed by new use cases that come with the rise of the Smart Grid. This contribution depicts the current state of the standardization of IEC 62351, gives an overview of current and new use cases, which are not completely covered, and discusses potential enhancements of the standard to address new use cases. The enhancements allow multiple parallel distinguishable sessions based on MMS and proper authentication as well as authorization. Keywords Smart Grid, Security, Energy Automation I. INTRODUCTION Decentralized energy generation (e.g., solar cells) is getting more momentum to fight global warming and to cope with the increasing local demand of energy. Building a Smart Energy Grid, by introducing decentralized energy generators into the current distribution network poses great challenges for the energy transmission, distribution, and control networks from the physical as well as from the communication side. Security is a basic requirement for such applications to ensure a safe and reliable operation of the energy grid. IEC is a popular standard for communication in the domain of energy automation. It is assumed to be the successor of the currently used standards IEC and DNP3 also for the North American region. IEC addresses the data exchange on process level, field level, and station level and defines abstract communication services that are mapped on existing protocols (e.g., MMS 1, Web 1 Manufacturing Message Specification Services, TCP/IP, and Ethernet). Security is addressed in an associated standard IEC Today, IEC is mainly used for reporting status and sampled value information from Intelligent Electronic Devices (IED) to Substation automation controller as well as for command transport from Substation automation controller to IEDs. It also addresses the communication directly between IEDs using the Ethernet instead of dedicated wires. In the near future it is expected that the related use cases will be widened in scope. Smart Home scenarios in combination with the Smart Grid will allow people to understand how their household uses energy, manage energy use better, and reduce their carbon footprint. It will also allow customers to feed energy back into the smart grid and to participate on energy market places. This requires better control of the energy grid to ensure the safe transportation and distribution of available energy within the physical energy network. Especially fast load changes or changes in the energy provisioning through decentralized resources need to be managed to ensure a consistent high quality energy supply. New scenarios will influence the current energy automation architecture in terms of a additional components introduced, like smart meters or energy gateways, which connect households directly to the smart grid. This poses new requirements to security like the provisioning of appropriate credentials to end customers to enable secured communication as well as authorization of energy providers to invoke certain actions at the household site. Furthermore, it is also expected roles leading to new participating parties in the communication architecture will be introduced, which most likely will lead to new or changed trust relations. An example is a gateway service provider in Smart Grid scenarios, which concentrate the connections of a high number of smart home energy gateways.

19 II. SECURE ENERGY AUTOMATION BASED ON IEC62351 In contrast to office networks, automation networks have different requirements to security services as shown in the following figure. Confidentiality (Data) Integrity (Data) Availability / Reliability Non-Repudiation Office High Medium Medium Medium EA-Network Low Medium High High High Component Lifetime Short - medium Long Figure 1: Comparison Office/Automation security For these security services IEC defines in currently 7 parts explicit measures for TCP based and serial protocols used directly in substation automation deploying IEC and IEC x protocols as well as in adjacent communication protocols supporting energy automation, like ICCP (TASE.2) used for control center communication. A clear goal of the standardization of IEC62351 is the assurance of end-to-end security. For TCP based communication this is achieved by relying on TLS and on integrity protection based on keyed hashes or digital signatures for serial links, Ethernet links or application layer connections. Nevertheless, there is a gap between the security services defined on network layer and the ones defined on application layer, when considering especially the new scenarios addressed by smart grid use cases. III. MISSING PIECES IN IEC62351 Part 4 of IEC specifies procedures, protocol enhancements, and algorithms targeting the security of applications utilizing the MMS. MMS is an international standard (ISO 9506) defining a messaging system for transferring real time process data and supervisory control information either between networked devices or in communication with computer applications. The security in Part 4 is defined as two profiles targeting transport security as T-Profile on one hand and application security as A-Profile. The T-Profile describes the protection of information, which is exchanged over TCP using TLS. The A-Profile defines security services on application layer, targeting mainly authentication. The authentication itself is performed only during connection establishment on application layer using the MMS initiate command. Moreover this authentication does not provide application layer message integrity and is also not used to form a session. A session in this context cryptographically binds the authentication performed during the connection setup with the subsequent messages exchanged between the communicating peers. Thus, in the current stage of the standard messages on application layer are not protected regarding their integrity. To achieve integrity protection, the application of the T-Profile is being referred. Combining A-Profile and T-Profile provides a connection allowing for authentication, integrity protection and confidentiality. This approach works fine in scenarios, where the transport connection spans the same entities as the application connections and may be sufficient for many energy automation scenarios. But it may not cope with all use cases in the smart grid. As soon as there is a difference in transport connection endpoints and application connection endpoints, security problems may arise. An example scenario is given through proxy combining different connections or to multicast a single command to several other connections. Here, the T- Profile is terminated by the proxy, while the application connection may be established end-to-end. Hence, no end-to-end application level integrity is provided. Such a scenario is called a multi-hop connection from a transport level view and would require that the proxy is a trusted intermediate host, which cannot be guaranteed in many scenarios. The presentation depicts smart grid use cases in which the shortcomings of IEC are evident and suggests potential enhancements of the standard based on existing approaches from multimedia related standards. REFERENCES [1] RFC 5246: The Transport Layer Security (TLS) Protocol, Version 1.2, T. Dierks, E Rescorla, August 2008 [2] ISO-IEC 61850, Part 8-1: Specific Communication Service Mapping (SCSM) Mappings to MMS (ISO and ISO ) and to ISO/IEC , May 2004 [3] ISO-IEC 62351, Part 4: Communication Network and System Security Profiles Including MMS, October 2006 [4] ISO-IEC 62351, Part 5: Security for IEC and Derivatives, February 2007 [5] ISO-IEC 62351, Part 6: Security for IEC 61850, October 2006

20 IRON - Intelligent Reaction on Network Events Ingo Bente Jörg Vieweg Josef von Helden Fachhochschule Hannover Ricklinger Stadtweg 120, Hannover {ingo.bente, joerg.vieweg, josef.vonhelden}@fh-hannover.de 1 Einleitung Korrekt funktionierende IT-Infrastrukturen sind heutzutage sowohl im privaten als auch im beruflichen Umfeld oft unerlässlich. Gleichzeitig wird die Bedrohungslage für solche Infrastrukturen immer kritischer. Neben der durch mobile Endgeräte verursachten dynamischen Struktur heutiger Netze ist auch die steigende Professionalität der Hacker für die verschärfte Sicherheitslage verantwortlich. Wirtschaftsspionage wird immer mehr zu einem rentablen Spezialgebiet der so genannten Underground Economy 1, und damit auch zu einer Gefahr für deutsche Unternehmen. Der verursachte Schaden lässt sich dabei nur schwer beziffern. Schätzungen zufolge sollen allerdings alleine von chinesischen Hackern pro Jahr Daten im Wert von Milliarden US-Dollar aus US-Unternehmen gestohlen werden 2. Um moderne IT-Infrastrukturen vor den aktuellen Bedrohungen zu schützen, haben sich verschiedene, technische Sicherheitsmechanismen etabliert: Firewalls, Virtual Private Networks, Network Access Control Ansätze sowie Intrusion Detection und Prevention Systeme sind einige davon. Obwohl diese Komponenten das Sicherheitsniveau aktueller IT-Infrastrukturen signifikant erhöhen und mittlerweile zum De-Facto- Standard geworden sind, resultiert aus ihrer momentanen Anwendung ein gravierender Nachteil: Die Sicherheitskomponenten arbeiten in der Regel isoliert voneinander. Die verschiedenen Systeme haben jeweils eine eigene Sicht auf den aktuellen Zustand der zu schützenden IT-Infrastruktur. Der Gesamtzustand, welcher sich aus diesen einzelnen Sichten zusammensetzt, ist den einzelnen Sicherheitstools allerdings nicht bekannt, obwohl dieser für ihre Funktionsweise durchaus relevant sein kann. So können Intrusion Detection Systeme bei Anomalien oft nur die Verantwortlichen per oder Log-Meldung benachrichtigen. Würden andere Systeme wie eine Network Access Control Lösung oder die Firewall die Sicht des Intrusion Detection Systems ebenfalls kennen, könnten automatisch wirksame Reaktionen auf eine erkannte Anomalie eingeleitet werden. Die isoliert voneinander arbeitenden Sicherheitsmechanismen sind daher auch ein Grund dafür, dass die eingangs genannten Angriffe auf IT-Infrastrukturen zur IT-gestützten Wirtschaftsspionage so erfolgreich 1 Economy_9_2009_DE.pdf 2 sind. Effektive Gegenmaßnahmen sind mit aktuell eingesetzten Sicherheitssystemen möglich, können aber, wenn eine akute Bedrohung erkannt worden ist, aufgrund mangelnder Integration oft erst zu spät umgesetzt werden. 2 IF-MAP Um die geforderte Integration realisieren zu können, ist eine Technologie erforderlich, durch die die Sichten der einzelnen Sicherheitssysteme zu einer Gesamtsicht aggregiert werden können. Kernanforderungen sind ein gemeinsames Datenformat sowie eine interoperable Schnittstelle, mit der die einzelnen Systeme Daten austauschen können. Die Trusted Computing Group hat im Mai 2008 mit der IF-MAP-Spezifikation 3 eine offene, Herstellerunabhängige Spezifikation veröffentlicht, die die gestellten Anforderungen erfüllt, und so als Basis für die erfolgreiche Integration vorhandener Sicherheitssysteme dienen könnte. Eine Server innerhalb des zu schützenden Netzwerkes, der so genannte Metadata Access Point (MAP), ist dafür verantwortlich, den aktuellen Zustand des Netzwerkes abzubilden. Dieser Zustand wird anhand eines vorgegebenen Formates für Metadaten beschrieben und kann (sicherheitsrelevante) Informationen wie angemeldete Benutzer, verwendete IP-Adressen oder erkannte Anomalien enthalten. Über eine standardisierte Schnittstelle (IF- MAP) können Metadaten von diesem Server abgefragt oder neue Metadaten veröffentlicht werden. Innerhalb des MAP Servers werden die veröffentlichten Metadaten in Form eines Graphen verwaltet. Damit bietet sich die Möglichkeit, an zentraler Stelle eine Gesamtsicht auf den aktuellen Status eines Netzwerkes zu etablieren. Durch Korrelation der vorhandenen Metadaten können außerdem sicherheitsrelevante Informationen abgeleitet werden. Systeme, die mit dem MAP Server kommunizieren, werden als MAP Clients bezeichnet. Die Kommunikation basiert auf einem Publish-Search-Subscribe Modell, bei dem sowohl synchron als auch asynchron MAP-Daten ausgetauscht werden können. Technologisch setzt IF-MAP auf eine Reihe von etablierten Standardtechnologien. Als Framework zur Übertragung der Metadaten kommt das SOAP- Protokoll in Kombination mit HTTP(S) zum Einsatz. 3 binding_for_soap_specification 1