Neue Herausforderungen in der Netzsicherheit

Größe: px
Ab Seite anzeigen:

Download "Neue Herausforderungen in der Netzsicherheit"

Transkript

1 Alfried Krupp von Bohlen und Halbach Stiftungslehrstuhl Technik der Rechnernetze Institut für Experimentelle Mathematik und Institut für Informatik und Wirtschaftsinformatik 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Programm Gemeinsam organisiert von der ITG-Fachgruppe Sicherheit in Netzen und der GI/ITG-Fachgruppe Kommunikation und verteilte Systeme (KUVS)

2 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Veranstaltungsort Institut für Experimentelle Mathematik Ellernstr. 29, Essen Raum ES 08 Abendveranstaltung Dampfbierbrauerei Heinrich-Brauns-Str. 9, Essen Kontakt Institut für Experimentelle Mathematik Ellernstr Essen Tel: (Dr. Yves Igor Jerschow) Fax:

3 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Programmübersicht Montag, :30-12:30 Anmeldung 12:30-12:40 Begrüßung Erwin Rathgeb (Universität Duisburg-Essen) Session 1 12:40-13:10 Evaluation der Informationssicherheit von funkbasierten Hausautomationssystemen Andreas Hellmann (Universität Paderborn) 13:10-13:40 The NORNET Project: A Research Platform for Robust and Secure Networks Thomas Dreibholz (Simula Research Laboratory, Norway) 13:40-14:10 Not the Enemy but the Ally: Increasing the Security of Wireless Networks Using Smartphones Rodrigo do Carmo, Marc Werner, Paul Klobuszenski, Matthias Hollick (Technische Universität Darmstadt) Session 2 Pause 14:40-15:10 Central Firewalling in Campus Networks Alexander Vensmer (Universität Stuttgart) 15:10-15:40 Wenn DPI nicht tief genug ist Steffen Ullrich (genua mbh) 15:40-16:10 Von der Perimeter-Firewall zur Field-Firewall Andreas Brinner (genua mbh) Session 3 Pause 16:30-17:00 A Traceability Analysis of the New German Identification Card Frederik Möllers (Universität Paderborn) 17:00-17:30 Identification of Research Gaps in the NESSoS Common Body of Knowledge Kristian Beckers (Universität Duisburg-Essen) 17:30-18:00 Sichere nicht interaktive Client Puzzles gegen DoS-Angriffe in LANs Yves Igor Jerschow (Universität Duisburg-Essen) 19:30 Abendveranstaltung in der Dampfbierbrauerei

4 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Programmübersicht Dienstag, Session 4 09:00-09:30 Sunshine: Überblick Ralf Meister (Sunshine) 09:30-10:00 Echtzeiterkennung und Schutz vor Angriffen in SIP-basierten Netzwerken Dirk Hoffstadt (Universität Duisburg-Essen), Ralf Meister (genua mbh) 10:00-10:30 Sunshine: Investigating fraud in the light of intrusion detection Yacine Rebahi (Fokus), Matthias Liebig (ISACO GmbH) 10:30-11:00 Sunshine: Demo Sunshine-Partner Session 5 Pause 11:30-12:00 Untersuchung von Angriffen auf VoIP-Systeme basierend auf Flow-Daten und Paket-Traces Jochen Kögel (IsarNet), Dirk Hoffstadt, Dennis Weidlich (Universität Duisburg-Essen) 12:00-12:30 Cybergateways zur Absicherung kritischer Infrastrukturen Kai Dörnemann, Alexander von Gernler (genua mbh) 12:30-13:00 Blind Packet Forwarding Irfan Simsek (Universität Duisburg-Essen) Mittagspause 14:00-15:00 Sitzung der ITG-Fachgruppe Sicherheit in Netzen Feedback zum EWNS 2013 Festlegung der Beiträge der Fachgruppe zur Zukunft der Netze Future Internet: Architectures, Mobility and Security

5 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 WLAN-Zugangsdaten Verbinden Sie sich mit dem WLAN mit der SSID EWNS. Es ist mit WPA2- PSK gesichert. Das Kennwort hierfür lautet:...

6 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Anfahrtsbeschreibungen Institut für Experimentelle Mathematik Ellernstr Essen Das Institut für Experimentelle Mathematik liegt nördlich vom Zentrum Essen Richtung Altenessen. Es ist zu erreichen bei Anreise mit öffentlichen Verkehrsmitteln: Vom Hauptbahnhof Essen mit der Straßenbahn Nummer 106 in Richtung Altenessen Bf. Ausstieg an der Haltestelle Seumannstraße, links in die Ellernstraße. Nach 100 m liegt links das Institut. Anreise aus nördlicher Richtung mit dem PKW: Autobahn A42 am AS Kreuz Essen- Nord verlassen und der Bundesstraße B 224 in Richtung Essen folgen. Nach circa 2 km links in den Ellernplatz und dann rechts in die Ellernstraße einbiegen. Nach 300 m befindet sich rechts das Institut. Anreise aus südlicher Richtung mit dem PKW: Die A52 bei AS Essen-Rüttenscheid oder die A40 bei AS Essen-Zentrum-West verlassen, auf der B224 zunächst in einem großen Bogen die Essener Innenstadt in Richtung Norden umfahren. Man sieht dann den Hauptbau der Universität Duisburg-Essen auf der rechten Seite. Danach links in die Gladbecker Straße (B 224) einbiegen und die erste Möglichkeit zum Rechtsabbiegen (Ellernplatz) nutzen. Dampfbierbrauerei Heinrich-Braun-Str Essen Am Abend des 8. April laden wir Sie zu einem gemütlichen Abendessen in die Dampfbierbrauerei in Essen-Borbeck ein. Anreise mit öffentlichen Verkehrsmitteln: Fahren Sie vom Institut mit der Straßenbahn 106 zurück zum Hauptbahnhof. Von dort nehmen Sie die S9 zum Bahnhof Borbeck die Dampfbierbrauerei liegt direkt gegenüber dem Bahnhof. Mit dem PKW: Biegen Sie von der Ellernstraße auf die Altenessener Straße, nach 600m rechts abbiegen auf die Grillostraße. Nach einem weiteren Kilometer rechts abbiegen auf die Hans-Böckler-Straße/B224. Nach 800m rechts abbiegen auf die Altendorfer Straße. Folgen Sie nach ca. 3,5km der Schlossstraße für ca. 450m, dann rechts abbiegen auf die Borbecker Straße. Nach etwa einem halben Kilometer links abbiegen auf die Fürstäbtissinstraße. Nach 150m erreichen Sie die Heinrich-Braun- Straße. Fahrpläne für die öffentlichen Verkehrsmittel finden Sie auf den folgenden Seiten und unter

7 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

8 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

9 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

10 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

11 Evaluation der Informationssicherheit von funkbasierten Hausautomationssystemen Andreas Hellmann - Universität Paderborn - In den letzten Jahren wurden vielfältige Produkte und Anwendungen im Marktsegement der Hausautomation angeboten. Die auch als Smart Home bekannten Systeme sind bisher in nur wenigen privaten Neubauten installiert ([Str+10, S. 12]). Für die kommenden Jahre ist jedoch von einem starken Wachstum in diesem Bereich auszugehen ([Str+10, S. 35 ff.]). Der Fokus der Öffentlichkeit und der Hersteller ist in den meisten Fällen jedoch auf neue Funktionalitäten und eine verbesserte Integration der Technik in den Alltag des Benutzers gerichtet. Der Informationssicherheit von Hausautomationssystemen (HAS) und möglichen Bedrohungen, die durch unsichere Systeme entstehen, wird hingegen kaum Bedeutung beigemessen. Nicht zuletzt aufgrund der Ergebnisse verschiedener Datenschutzanalysen im Smart-Grid-Umfeld (z.b. [Khu+10]) ist deutlich geworden, dass durch das Protokollieren und Analysieren der Daten unzureichend gesicherter IT-Systeme in Privathaushalten in die Privatsphäre der Benutzer eingedrungen werden kann. Mögliche Auswirkungen werden bereits diskutiert (vgl. [BDK01, S. 52 ff.]) und die Informationssicherheit von offenen Standards und Protokollen der Haus- und Gebäudeautomation wird evaluiert ([Yan09]). Eine Betrachtung proprietärer Systeme hat bisher jedoch nicht ausreichend stattgefunden. Im Rahmen dieser Arbeit wird die Informationssicherheit eines verbreiteten, proprietären, funkbasierten HAS exemplarisch exploriert und evaluiert. Ziel der Arbeit ist es, mittels passiver Angriffe Automationsregeln und Verhaltensmuster der Benutzer aus den protokollierten Funknachrichten des HAS zu extrahieren. Ein weiteres Ziel ist die Manipulation des Verhaltens von Aktoren durch aktive Eingriffe in den Funkverkehr. Für die Umsetzung der passiven Angriffe wurde ein Sniffer-System implementiert, mit dem die Kommunikation des HAS in zwei realen Haushalten protokolliert wurde. Bei der Analyse der Paketdaten wurden zunächst die einzelnen Sensoren, Aktoren und zentralen Verwaltungseinheiten identifiziert, der jeweilige Modelltyp bestimmt und die Nachrichten interpretiert. Bis zu diesem Punkt mussten keine Schutzmechanismen umgangen werden, da sämtliche Statusänderungen und Befehle im Klartext übertragen werden. Für die Interpretation der Nachrichten konnte auf das Open-Source-Projekt FHEM zurückgegriffen werden, in dem bereits viele Nachrichtenformate als reguläre Ausdrücke enthalten sind. Auf dieser Basis erfolgte dann die Analyse der Protokolldaten durch Diagramme, einfache Korrelationsanalysen und Methoden zur Extraktion von Automationsregeln. Ergebnis der Analysen sind Automationsregeln und Verhaltensmuster der Benutzer, die bei einer abschließenden Abstimmung mit den Betroffenen im Wesentlichen verifiziert werden konnten. Insbesondere konnten Zeiten der Nachtruhe sowie der An- und Abwesenheit aus der mitgeschnittenen Kommunikation extrahiert werden. 1

12 Wie bereits bei der Durchführung der passiven Angriffe erkannt wurde, verfügt das evaluierte HAS mit einer Ausnahme über keine implementierten Sicherheitsmerkmale. Nur bei sicherheitsrelevanten Systemen, wie bspw. einem Türschließsystem, erfolgt ein mit AES-128 verschlüsseltes Challenge-Response zwischen dem Schließsystem und der Fernbedienung bzw. der zentralen Verwaltungseinheit. Für die Durchführung aktiver Angriffe wurde eine Testumgebung mit verschiedenen Komponenten eingrichtet, von denen ein Teil das AES-Challenge-Response-Verfahren unterstützt. Gegen die Komponenten, in die keine AES-Unterstützung integriert ist, konnten erfolgreiche Replay-Angriffe durchgeführt werden. Zudem ist es möglich mit gezielten DoS-Angriffen die Reaktion und Funktion der Sensoren und Aktoren zu verhindern. Durch die in dieser Arbeit durchgeführten passiven und aktiven Angriffe gegen ein HAS konnte exemplarisch gezeigt werden, dass unzureichende bzw. nicht vorhandene Sicherheitsmaßnahmen, ein Eindringen in die Privatsphäre der Benutzer erlauben. Darüber hinaus ist es möglich die Kontrolle über unzureichend geschützte Geräte im HAS zu übernehmen. Die Ergebnisse dieser Arbeit sind auf viele andere HAS übertragbar, bei denen ebenfalls keine geeigneten Schutzmaßnahmen implementiert sind. Literatur [BDK01] [Khu+10] [Str+10] [Yan09] P. Bergstrom, K. Driscoll und J. Kimball. Making home automation communications secure. In: Computer (Okt. 2001), S issn: doi: / H. Khurana u. a. Smart-grid security issues. In: Security Privacy, IEEE 8.1 (Jan. 2010), S issn: doi: /MSP H. Strese u. a. Smart Home in Deutschland: Untersuchung im Rahmen der wissenschaftlichen Begleitung zum Programm Next Generation Media (NGM) des Bundesministeriums für Wirtschaft und Technologie. Berlin, Mai Bin Yang. Study on Security of Wireless Sensor Network Based on ZigBee Standard. In: Computational Intelligence and Security, CIS 09. International Conference on. Bd. 2. Dez. 2009, S doi: / CIS

13 The NORNET Project: A Research Platform for Robust and Secure Networks Thomas Dreibholz Simula Research Laboratory Martin Linges vei 17, 1364 Fornebu, Norway Abstract This talk gives an overview of the NORNET project, the new Internet testbed for multi-homed systems, and its research objectives. 12 Keywords: NORNET, Testbed, Multi-Homing, Setup, Research I. INTRODUCTION Having stable and uninterrupted Internet connectivity is becoming increasingly important, particularly with regard to applications like cloud computing, service as a platform and many others. Connectivity problems could e.g. be caused by a hardware failure or a natural disaster. In order to improve the robustness of Internet connectivity, it is obvious to connect endpoints to multiple Internet service providers (ISP) simultaneously. This property is denoted as multi-homing. For example, Transport Layer protocols like the Stream Control Transmission Protocol (SCTP, RFC 4960 [1]) or Session Layer frameworks like Reliable Server Pooling (RSer- Pool, RFC 5351 [2]) make use of multi-homing to support availability-critical applications. However, while in theory a failure of one ISP should be independent of other ISPs, it is not really known what happens in practise in today s commercial networks. It is evident that there are hidden dependencies among ISPs. Also, what about connectivity problems due to intentional malicious behaviour, i.e. targeted attacks on such systems? Research in realistic Internet setups is clearly necessary, in order to answer these open questions. For that purpose, the NORNET project is building up a multi-homed testbed distributed all over the country of Norway. This talk gives some basic ideas on NORNET as well as an overview of its intended research objectives. II. SETUP The NORNET testbed consists of two separate parts: 1) NORNET CORE: the wired part, and 2) NORNET EDGE: the wireless part. A. NORNET CORE For NORNET CORE, there is a hardware setup as shown in Subfigure 2(a) at in the near future 10 different sites distributed over Norway. Figure 1 depicts these sites on the mainland of Norway as well as the islands of Svalbard, with the central site containing the management infrastructure at the Simula Research Laboratory [3] in Fornebu (nearby Oslo). Each site setup consists of a switch, a router (the first 1 Parts of this work have been funded by the Research Council of Norway (Forskingsrådet), prosjektnummer /F50. 2 The author would like to thank Hakim Adhari for his friendly support. Figure 1. The NORNET CORE Sites Map server) and three research nodes (the lower three servers). The research nodes run virtual machines for experiments. In the usual case, the research systems run PLANETLAB-based software [4]. However, it is also possible to add custom system images as well (e.g. to boot special operating systems or adapted kernels). The router connects the research setup to the different ISPs at the corresponding site (in the picture: currently only one). It is based on Linux and utilises IP-rules [5] to realise routing via different ISPs. That is, based on the source address of an IP packet, a per-isp routing table is chosen. For example, if the source address of a packet is within the IP range of the ISP VERSATEL, it should be routed via the VERSATEL ISP connection. On the other hand, if it has a DFN source address, it should go out via the DFN interface. By setting the Type of Service (TOS) field of IPv4 packets/traffic Class of IPv6 packets to certain values, a researcher may also explicitly select the outgoing interface, i.e. he could e.g. send a packet from a DFN IP address out over the VERSATEL interface. The connectivity between sites is realised via GRE and IPv6- over-ipv6-based static tunnels, i.e. there is full control over the

14 (a) A NORNET CORE Site (b) A NORNET EDGE Node Figure 2. The NORNET Hardware outgoing local interface/isp as well as the incoming remote interface/isp. A more detailed introduction to NORNET CORE can be found in [6]. B. NORNET EDGE For research on wireless networks, it is clearly necessary to have a much more fine-granular view of the networks than it is necessary for wired networks. Therefore, NORNET EDGE needs significantly more sites. For that purpose, each NORNET EDGE site consists of a NORNET EDGE node, as depicted in Subfigure 2(b). It is a small, Linux-based embedded system, equipped with up to four USB-stick-based UMTS modems (for the four UMTS providers in Norway: TELENOR, NETCOM, NETWORK NORWAY, TELE2) and an ICE modem (CDMA-based mobile broadband). Optionally, the node can also be connected via Ethernet to a wired network for administrative purposes. So far, around 300 of these nodes have been distributed; in addition, 200 are planned in the future. III. RESEARCH Clearly, the main research objectives of the NORNET testbed are subjects related to robustness and multi-homing, i.e. how to make the connectivity more robust for availabilitycritical applications as well as how to simultaneously utilise multiple ISP connections to improve application payload throughput and quality of service by using load sharing and appropriate data scheduling. Of particular interest in this context is current research on multi-path transport, e.g. based on Concurrent Multipath Transfer with SCTP (CMT-SCTP [7], [8]) as in [9], as well as congestion control strategies for multipath transport as in [10]. Real-world Internet experience with such new approaches is also highly relevant in the context of IETF standardisation, as it is necessary for e.g. CMT- SCTP [11]. Research on robustness is clearly related to discovery and handling of currently hidden dependencies among different ISPs. However, while most research in this context currently focusses on unintended service interruptions like natural disasters or hardware issues, it is clearly necessary to also take maliciously intended denial of service into consideration. That is, how can an attacker exploit the existence of multiple ISP connections to cause service interruptions and, of course, how can this be prevented? Particularly, are there already attacks on multi-homed system ongoing in the Internet of today? These topics are highly new and should be answered right before attackers actually get able to successfully run large-scale exploits. REFERENCES [1] R. R. Stewart, Stream Control Transmission Protocol, IETF, Standards Track RFC 4960, Sept. 2007, ISSN [2] P. Lei, L. Ong, M. Tüxen, and T. Dreibholz, An Overview of Reliable Server Pooling Protocols, IETF, Informational RFC 5351, Sept. 2008, ISSN [3] A. Tveito, A. M. Bruaset, and O. Lysne, Simula Research Laboratory by thinking constantly about it. Heidelberg, Baden-Württemberg/Germany: Springer, Nov. 2009, ISBN [4] M. Huang, MyPLC User s Guide, Aug [5] M. A. Brown, Guide to IP Layer Network Administration with Linux, Apr [6] T. Dreibholz and E. G. Gran, Design and Implementation of the NorNet Core Research Testbed for Multi-Homed Systems, in Proceedings of the 3nd International Workshop on Protocols and Applications with Multi-Homing Support (PAMS), Barcelona, Catalonia/Spain, Mar [7] T. Dreibholz, Evaluation and Optimisation of Multi-Path Transport using the Stream Control Transmission Protocol, Habilitation Treatise, University of Duisburg-Essen, Faculty of Economics, Institute for Computer Science and Business Information Systems, Mar [8] J. R. Iyengar, P. D. Amer, and R. Stewart, Concurrent Multipath Transfer using SCTP Multihoming over Independent End-to-End Paths, IEEE/ACM Transactions on Networking, vol. 14, no. 5, pp , Oct. 2006, ISSN [9] T. Volkert, M. Becke, M. Osdoba, and A. Mitschele-Thiel, Multipath Video Streaming based on Hierarchical Routing Management, in Proceedings of the 3nd International Workshop on Protocols and Applications with Multi-Homing Support (PAMS), Barcelona, Catalonia/Spain, Mar [10] M. Becke, T. Dreibholz, H. Adhari, and E. P. Rathgeb, On the Fairness of Transport Protocols in a Multi-Path Environment, in Proceedings of the IEEE International Conference on Communications (ICC), Ottawa, Ontario/Canada, June 2012, pp [11] P. D. Amer, M. Becke, T. Dreibholz, N. Ekiz, J. R. Iyengar, P. Natarajan, R. R. Stewart, and M. Tüxen, Load Sharing for the Stream Control Transmission Protocol (SCTP), IETF, Network Working Group, Internet Draft Version 05, Sept. 2012, draft-tuexen-tsvwg-sctp-multipath- 05.txt, work in progress.

15 Not the Enemy but the Ally: Increasing the Security of Wireless Networks Using Smartphones Rodrigo do Carmo, Marc Werner, Paul Klobuszenski, and Matthias Hollick Technische Universität Darmstadt, Secure Mobile Networking Lab (SEEMOO) {rodrigo.docarmo, marc.werner, paul.klobuszenski, Abstract Intrusion detection in wireless multihop networks (WMNs) is notoriously difficult due to the wireless nature of the network and the constraint resources of the nodes forming the WMN. In this paper, we show the feasibility of deploying smartphone-based sensors for intrusion detection in WMNs. The phones extend the capabilities of our practical active-probing-based intrusion detection system DogoIDS, and allow to acquire strategic network information by offering a high number of mobile intrusion sensors. We introduce the design of our smartphonesupported IDS and its integration with DogoIDS. We present preliminary results on the detection capabilities and the performance of our system. I. INTRODUCTION Wireless Multihop Networks (WMNs) offer several unique properties that make them suitable for different application scenarios. These properties include the decentralized networking model and the self-organization of participating nodes, the cooperative transmission of packets, the openness of the medium and their static and mobile nodes. However, these properties of WMNs render them vulnerable to a plethora of attacks [1]. Thus mechanisms for attack detection and mitigation in WMNs are indispensable. Different Intrusion Detection Systems (IDS) have been proposed for WMNs. Most of them are based on the distributed deployment of detection sensors on the nodes of the network. The sensors perform passive eavesdropping of the medium to detect malicious activity. Existing work however shows that the distributed intrusion detection systems overwhelm the limited resources of the constraint network devices [2]. Also passive eavesdropping of the medium severely limits the number of attacks that can be detected in the aforementioned class of networks [3]. An alternative to passive distributed intrusion detection has been proposed in [4] where the authors present DogoIDS, an intrusion detection system which is deployed on a mobile platform. DogoIDS overcomes the problems of using distributed, passive sensors and employs an active technique that transmits selected probes to the network nodes to detect malicious activity. Given the daily increasing number of smartphones available and their frequent connection to WMNs, the research question we try to answer is: can we increase the efficiency of active intrusion detection with the help of smartphones? In this work we answer this question by extending the detection capabilities of DogoIDS by employing smartphones to send probes and gather measurement data. We propose the employment of a IDS-sensor application deployed on smartphones. On the one hand, it enriches and complements the information of deployed IDSs. On the other hand, it lets DogoIDS detect sophisticated attacks that require correlated information from a multitude of sensors. II. SMARTPHONE-SUPPORTED MOBILE INTRUSION DETECTION The role of the smartphones is not to monitor activities in the area autonomously but to take certain actions on behalf of the IDS. These actions, called tasks, might have a very broad range; from a simple ping command to simulating user behavior e.g. while browsing the web. The information gathered this way is forwarded to and analyzed by the IDS. A. Smartphone App Our application runs on conventional smartphones without any modification (such as rooting). We know that with this design criterion we are limiting the capabilities of the application, for example denying direct access to the wireless hardware. However, this design increases the users acceptance and therefore boosts the number of sensors deployed. The application uses WebSockets [5] to communicate with the central controller. It runs as a background service waiting for tasks to execute. The IDS decides if a task has to be executed and schedules it for one or multiple smartphones. The phones then execute the given tasks and report the results back to the controller using the WebSockets connection. Additionally each phone sends periodic keep-alive messages to ensure that the connection to the controller is not lost. The controller acts as a proxy between the smartphone and the IDS thus allowing different instances of the IDS to submit tasks to the phone and to access and analyze the results. B. Security Model Our distributed IDS needs to be protected against attackers to avoid introducing a novel attack vector to the WMN. The protection goals are as follows: authentication of both the controller and the smartphone, confidentiality of the communication between controller and smartphones, privacy of the communication and the probing packets and integrity of all messages exchanged. The application is deployed with the public key of the IDS controller. The IDS signs each task execution request with its private key and when a request reaches the smartphone, the application first verifies the signature of the task before proceeding with the execution. This ensures that only valid requests from an authorized IDS are executed and that malicious requests are blocked. In the direction from the smartphone to the IDS, the WebSocket server implements a username/password authentication scheme. Each smartphone is provisioned with individual credentials and needs to authenticate before receiving requests and returning results to the controller. The whole communication between the controller and its clients is encrypted via SSL. This measure prevents passive eavesdropping and modification of tasks and task results while they are being transferred. To avoid the detection of the control and measuring traffic and its triggered requests, the IDS as well as the phones can undertake defensive measures. The scheduling of the task execution can be randomized and imitate legitimate network usage. This prevents an attacker from filtering the control messages of the system or behaving benign only when an analysis is running.

16 TABLE I IMPLEMENTED TASKS. Name httprequest httpping ping wifiscan Description Performs a HTTP GET request of the specified URL. A HTTP GET request is executed but only the HTTP header are stored as a result. Sends an ICMP Ping to the specified destination IP address. The size as well as the number of repetitions can be specified. Performs a scan for wireless networks. The detected networks along with their properties are stored as the result. C. IDS Tasks Tasks are actions performed by the smartphone when requested by the IDS. We list the currently implemented tasks in Table I. The tasks are initiated by the IDS and sent to the controller for distribution to the connected smartphones. Each task can be executed on either one or multiple phones and it has a time to live (TTL) which we use to filter out old requests that have been queued too long and are of no interest to the IDS anymore. This can happen if either a smartphone received a task and then lost the connection to the WMN or if the IDS employs the smartphone sensors to examine a currently running attack where the results are time critical. Each task generates a separate set of results which are sent back to the controller for distribution to the connected IDS where further analysis of the current network state is done. III. PRELIMINARY RESULTS In this section we present preliminary results of our smartphonesupported IDS. First we evaluate the performance of the application on the smartphones and we examine the improvements in the intrusion detection process afterwards. We implemented the smartphone app in Java and deployed it on smartphones running Android We tested its performance in a wireless mesh network running the open80211s [6] implementation of the IEEE s standard. A. Performance We evaluated the battery lifetime and the CPU consumption of the application in idle state as well as when executing tasks. We compared these results with the performance of the otherwise idle smartphone. The experiments were performed on both a Samsung Galaxy Nexus and a Samsung Nexus S. Our results show that the battery lifetime decreases by about 3.8% per hour on the Nexus S and by about 1.7% per hour on the Galaxy Nexus compared to 1.2% and 1.0% respectively on the idle phone. This increase in battery consumption is mostly due to the application constantly running in the background and keeping a partial wake-lock which prevents the CPU from going to sleep. The execution of tasks does not put much additional load on the phones and thus does not influence the battery lifetime significantly. Our results also show that the battery of both smartphones will still last for over 24 hours when constantly running the application in the background and therefore it is still reasonable to deploy the software as we can expect most phones to be charged over night. B. Colluding attack For a first evaluation of the attack detection we have chosen a scenario where two hosts launch a colluding attack [1]. The network setup prepared for the evaluation of this attack is presented in Figure 1. Node number 3 forwards all data packets which are not designated Fig. 1. Testbed setup for the colluding attack. for the node itself to node 4. Packets which are designated for node 3 are handled correctly while node 4 simply drops all incoming packets. During the attack the phones B and C do not sign out from the controller and the controller stops receiving keep-alive packets from these phones while node 3 still responds to any request. Both smartphones A and D try to reach nodes 3 and 4 as well as trying to reach B and C but only the requests sent to node 3 are executed successfully. All other connection attempts fail. This narrows down the problem area to just two nodes in this example. We show that the smartphones can give valuable hints to the IDS during an attack situation. When we run a colluding attack on our test network, the IDS has to evaluate the behavior of only two nodes instead of (in the worst case) five before finding the attacker. IV. CONCLUSION AND FUTURE WORK In this extended abstract we show that smartphones can effectively increase the detection capabilities of an active-probing-based IDS in WMNs. For this purpose we deploy a lightweight application on each phone which does not require special privileges. The application executes tests on behalf of the IDS and sends back the results of the measurements to the IDS for further evaluation. The overhead on the phones is minimal as the application is only active when triggered by the IDS. The detection speed of the IDS is significantly increased compared to a single mobile IDS instance by employing the smartphones and it improves with the number of phones available. As future work we plan to evaluate the detection of more sophisticated attacks. It is also planned to deploy the application on a larger network with more phones connected to show the effectiveness of our approach when applying more sensors. ACKNOWLEDGMENTS This work was supported by LOEWE CASED (www.cased.de) and the DFG RTG 1362: GKMM (www.gkmm.tu-darmstadt.de). REFERENCES [1] B. Kannhavong, H. Nakayama, Y. Nemoto, N. Kato, and A. Jamalipour. A survey of routing attacks in mobile ad hoc networks. IEEE Wireless Communications, 14(5):85 91, [2] A. Mishra, K. Nadkarni, and A. Patcha. Intrusion detection in wireless ad hoc networks. IEEE Wireless Communications, 11(1):48 60, [3] R. V. Boppana and X. Su. On the effectiveness of monitoring for intrusion detection in mobile ad hoc networks. IEEE Trans. on Mobile Computing, 10(8): , [4] R. do Carmo and M. Hollick. DogoIDS: A mobile and active intrusion detection system for IEEE s wireless mesh networks. In Proc. 2nd ACM Workshop on Hot Topics on Wireless Network Security and Privacy (HotWiSec 13). Accepted for publication, to appear, [5] I. Fette and A. Melnikov. RFC 6455: The WebSocket Protocol. RFC, Internet Engineering Task Force, Accessed 19 March [6] open80211s project. online. Accessed 11 February 2013.

17 !" "#$%& '( ' )* +, ))--.-/.*)( /.0,.)**1,2(-., /.3/./.-) )) /7 /.*/.8, /. 9,- ).):/.;:0)-* ;::/. 8,)/)),,/.*),*: - ( /./.*))+,, 3/.*)-, /.,-,)- *,,,,,/. * /..+) ( 1/.* /.);:,). /.)( :/.

18 1 Zusammenfassung Wenn DPI nicht tief genug ist Steffen Ullrich, genua mbh, BMBF-Projekt Padiofire Ein aktueller Trend bei Perimeterfirewalls ist die Nutzung von Deep-Packet-Inspection (DPI) zur Applikationserkennung, und darauf aufbauend der Blockierung von unerwünschten Protokollen oder Inhalten. Mit Begriffen wie Next Generation Firewall (NGFW) oder Unified Threat Management (UTM) werden Lösungen angeboten, die eine volle Kontrolle über das Netzwerk bei dennoch hoher Performance versprechen. Wir betrachten, wie gut diese Produkte wirklich sind, welche Probleme man mit DPI prinzipiell angehen kann und wann eine über existente Lösungen hinausgehende Inspektion und Manipulation der Daten notwendig ist. Unser Fokus liegt dabei auf der Absicherung von Clients durch Perimeterfirewalls innerhalb des Web 2.0. Um tiefergehende Analysen zu vereinfachen, haben wir im Forschungsprojekt Padiofire eine Schnittstelle entwickelt, die bei Analysesystemen, wie z.b. Intrusion Detection System (IDS), Intrusion Prevention System (IPS) oder Firewall, eine Trennung zwischen Datenextraktion und Datenanalyse schafft. Das erlaubt es, sich auf die zügige Umsetzung neuer Ideen zu konzentrieren und gleiche Analysen in verschiedenen Systemen zu verwenden. 2 Deep Packet Inspection Ursprünglich war DPI der Versuch, durch Signaturanalyse einzelner Datenpakete Angriffe zu erkennen. Später wurden für Signaturvergleiche in streambasierten Protokollen wie HTTP die Daten mehrerer Pakete aggregiert. Moderne Systeme können auch tiefere Aggregierungen, wie z.b. einzelne Requests innerhalb einer HTTP-Verbindung, vornehmen. Aktuell werden unter dem Namen DPI auch Lösungen angeboten, die in der Lage sind, SSL- oder SSH-Verbindungen aufzubrechen (d.h. Man In The Middle), um so verschlüsselte Kommunikation zu analysieren. Allen Interpretationen des Begriffs ist aber gemein, dass man sich auf die Inspektion der Daten beschränkt, sie also nicht verändert. 2.1 Anwendungsfälle Aktuelle DPI Produkte lassen sich grob nach ihrer Nutzung in Lösungen zur Netzwerkoptimierung und Sicherheitslösungen unterteilen. Bei der Netzwerkoptimierung geht es um eine applikationsspezifische Bevorzugung (z.b. VoIP) oder Behinderung (z.b. P2P) von Daten in Real-time. Daher müssen hier Applikationen möglichst schnell erkannt werden, selbst wenn das zu Lasten der Genauigkeit geht. Im Bereich der Netzwerksicherheit hingegen wird die Applikationserkennung zum Monitoring und zur Durchsetzung von Policies benutzt. Auch wenn die Geschwindigkeit weiterhin wichtig ist, so ist die Präzision kritisch, da Fehlklassifikationen sicherheitsrelevant sein können. Aufbauend auf die Applikationserkennung findet zusätzlich oft eine Malwareerkennung oder Data Leakage Prevention (DLP), d.h. Schutz gegen unerwünschten Abfluß von Informationen, statt, ebenfalls unter Nutzung von DPI. 2.2 Möglichkeiten und Grenzen von DPI Um bessere Durchsatzzahlen präsentieren zu können, werden in der Praxis öfter Optimierungen eingesetzt, die zu Lasten der Sicherheit gehen. Ein Beispiel ist der standardmäßig aktive App-Cache bei Palo Alto Networks. Wenn zwischen zwei Endpunkten stets die gleiche Applikation (z.b. SIP oder Google) genutzt wird, wird nach einiger Zeit davon ausgegangen, dass dieses auch in Zukunft der Fall sein wird. Die erkannte Applikation wird dann in den App-Cache eingeführt um so zukünftige Analysen zu ersparen. Zusammen mit der schwachen initialen Applikationserkennung kann man dadurch applikationsspezifische Policies umgehen. 1

19 Ähnlich problematisch ist die standardmäßige Begrenzung der analysierten Datenmenge bei Fortinet. Ein Angreifer kann mit einem sehr großen HTTP-Response-Header dieses Limit überschreiten und eine im HTTP-Body befindliche Malware am IPS vorbeischmuggeln. Auch wenn man diese Probleme auf Kosten der Performance lösen könnte, so bleibt, dass bei DPI die Daten nur inspiziert, aber nicht verändert werden. Daten mit mehreren Interpretationsmöglichkeiten (z.b. unterschiedliche Content-length bei HTTP), Stückelung (z.b. Range-Header bei HTTP), Einsatz von neueren Kompressionsalgorithmen (sdch) oder Transportprotokollen (SPDY) erlauben einen Bypass des IPS, wenn dieses die Inhalte nicht oder anders als das Zielsystem interpretiert, oder im Gegensatz zum Zielsystem keine vollständige Sicht auf die Daten hat. Wenn man die Daten hingegen modifizieren kann, so ermöglicht das neben der Normalisierung ambivalenter Inhalte und Durchsetzung gewünschter Protokolle oder Protokollteile auch weitere sicherheitsrelevante Anpassungen, wie z.b. Entfernen von Cookies bei Cross-Site HTTP-Requests als Schutz gegen CSRF oder Einfügen einer Content-Security-Policy in HTTP-Response-Header, um XSS zu erschweren. 3 Deeper Data Inspection and Modification Im Forschungsprojekt Padiofire beschäftigen wir uns damit, wie mit Hilfe von Perimeterfirewalls eine sichere Nutzung des inherent unsicheren Web ermöglicht werden kann. Reines DPI ist auf Grund der beschriebenen Limitierungen nicht in der Lage, aktuelle Attacken wie z.b. Cross-Site-Scripting (XSS), Cross-Site-request-Forgery (CSRF) oder Malvertising, effektiv zu verhindern. Daher werden Lösungen gebraucht, die sowohl tiefer und zuverlässiger analysieren, wie auch in der Lage sind, Daten zu verändern. Um effizient eine Vielzahl von Ideen für tiefere Analysen evaluieren zu können und diese einfach in verschiedenen Analysesystemen nutzbar zu machen, haben wir eine Schnittstelle zur Trennung von Datenextraktion und Analyse entwickelt, die sowohl Inspektion wie auch Modifikation der Daten ermöglicht. 3.1 Inspection and Modification Protocol - IMP Während bei Protokollen wie ICAP die kompletten Daten erst gesammelt und dann im Gesamten verarbeitet werden, analysiert IMP die Daten inkrementell und gibt die Ergebnisse so früh wie möglich zurück. Dieses Vorgehen ermöglicht es auch, gezielt Daten vorab von der Analyse auszuschließen. Das ist z.b. interessant, wenn man nur bestimmte Antworten bei HTTP analysieren will. Da über eine TCP-Verbindung mehrere HTTP-Requests erfolgen können, kann man einfach die uninteressanten Daten überspringen, und damit die Performance des Systems deutlich erhöhen. Die Schnittstelle ist bereits in der Firewall genugate der Firma genua enthalten und wird dort zur Analyse von (auch mit SSL verschlüsselten) TCP-Verbindungen genutzt. Es existiert eine freie Implementation in Perl, welche neben der Schnittstelle auch bereits diverse Analysen und Analysesysteme beinhaltet. 3.2 Resultate Unter Nutzung der IMP Schnittstelle wurden verschiedene Ideen zur Verbesserung der Sicherheit im Web als Proof Of Concept implementiert. So analysiert eine Komponente den HTTP-Verkehr und erstellt automatisch site-spezifische Profile, welche dann über eine in den Response-Header injizierte Content-Security-Policy von modernen Webbrowsern durchgesetzt werden. Eine weitere Analysekomponente entfernt Autorisierungsinformationen aus Cross-Site-Requests, um so CSRF zu unterbinden. Auch wird über IMP die im Forschungsprojekt Padiofire entwickelte Bibliothek libpadiofire angebunden, welche mit Hilfe von Website-spezifischen Profilen versucht abnormales Verhalten (z.b. XSS) zu erkennen und zu unterbinden. Weitere Ideen, wie die Nutzung von Google Safebrowsing und Anzeigenblockern gegen Malware und Malvertising, liessen sich ebenfalls einfach umsetzen. Wir implementieren IMP auch in weitere Analysesysteme. Für das genugate sind u.a. Analysen von HTTP und von SSH-Forwardings geplant. Weitere Forschungsprojekte beschäftigen mit der Anbindung an den OpenBSD relayd Proxy und mit dem Einsatz in Software Defined Networks (SDN) innerhalb eines OpenFlow-Controllers. 2

20 Von der Perimeter-Firewall zur Field-Firewall Andreas Brinner genua mbh, BMBF-Projekt vmfire 8. März 2013 Perimeter-Firewalls setzen klar getrennte, gute und böse Netze voraus, zwischen denen sie als Schutzwall gegen Angriffe eingesetzt werden können. Doch viele Netzwerkangriffe haben ihren Ursprung gar nicht mehr im externen Netzwerk. Mietserver in Rechenzentren und Virtual-Hosting sind Beispiele, wie sich ein Angreifer legalen Zugriff auf ein Netzwerk verschaffen kann, ohne dass eine Perimeter- Firewall etwas dagegen unternehmen könnte. Die Grenzen zwischen Gut und Böse, drinnen und draußen, vertrauensvoll und nicht vertrauensvoll verschwimmen. Abhilfe kann hier die im Rahmen des vmfire-projekts entwickelte Field-Firewall schaffen, die auch im internen Netzwerk die Datenströme untersuchen und blockieren kann. 1 Die Perimeter-Firewall Eine Perimeter-Firewall wird am Verbindungspunkt zweier Teilnetze mit häufig unterschiedlichen Sicherheitsniveaus eingesetzt (siehe Abbildung 1), um dort den Datenverkehr zu überwachen und zu regeln. Oft ist dies der Zugangspunkt vom eigenen Netzwerk zum Internet. Sie dient dazu, unerwünschten Datenfluss entlang der Verbindung V1 zwischen den Netzsegmenten zu unterbinden. Segment nicht vertrauenswürdig ist (Abbildung 1). Man muss somit allen Netzteilnehmern des eigenen Netzes vertrauen können. Dies mag für Firmennetzwerke und firmeneigene Rechenzentren in erster Näherung noch gelten, doch schon bei genauerer Betrachtung müssen Zweifel daran aufkommen. Ein einzelner, nicht vertrauenswürdiger Teilnehmer innerhalb des Netzwerks ist ausreichend, um die Sicherheit des gesamten Netzsegments zu gefährden. Dies kann durch Kompromittierung eines Dienstes geschehen, aber auch durch Anmieten eines Servers oder einer virtuellen Instanz bei einem Hostingprovider. Abbildung 1: Die Perimeter-Firewall Prinzipbedingt kann die Perimeter-Firewall nur solche Daten (V1) filtern, die durch sie hindurch, also vom einen Segment in das andere gehen. Verbindungen (V2) zwischen Netzteilnehmern, die sich beide im selben Segment befinden, können von der Perimeter-Firewall nicht gefiltert werden. 2 Unzulänglichkeiten Der Perimeter-Firewall (PF) liegt die Annahme zugrunde, dass das eine Segment (meist das eigene Netzwerk) vertrauenswürdig und das andere Abbildung 2: Angriffsvektoren und Firewalls im Rechenzentrum In Abbildung 2 ist ein solcher Fall für ein Rechenzentrum dargestellt. Die Perimeter-Firewall (PF) schützt die Server zwar vor einem Angreifer (A) aus dem Internet, aber nicht vor dem Angreifer (B) vom Server 3. Um auch vor diesem Angriff zu schützen, benötigt man vor jedem Server eine eigene Firewall (FF). Ähnlich verhält es sich bei einem virtualisierten 1

21 Abbildung 3: Angriffsvektoren und Firewalls auf virtualisierten Hosts Host und dessen Gästen, wie in Abbildung 3 gezeigt. Auch hier wird zum Schutz vor Angriffen vor jedem virtuellen System je eine Firewall (FF) benötigt. 3 Die Field-Firewall Die im vorherigen Abschnitt gewonnenen Erkenntnisse können auf verschiedenen Wegen umgesetzt werden. Man könnte natürlich vor jedem Server eine physikalische Perimeter-Firewall einsetzen. Dies wäre allerdings aus einrichtungs- und wartungstechnischer Sicht sehr aufwändig und aus ökonomischer Sicht extrem kostspielig. Eine weitere Möglichkeit wäre der Einsatz einer Distributed-Firewall [2], [3]. Diese besteht aus einer Filtersoftware, die auf allen Computern installiert wird und einer Administrationskomponente, die eine zentrale Konfiguration der Filterregeln ermöglicht. Durch die Notwendigkeit, auf jeder zu schützenden Einheit eine Filtersoftware installieren zu müssen, ergeben sich mehrere Nachteile: Die Filtersoftware wird für alle Betriebssystemvarianten, die im Netzwerk vorkommen, benötigt. Systeme, auf denen die Filtersoftware nicht installiert werden kann, können mit dieser Lösung nicht geschützt werden und benötigen einen separaten Schutz. Eine Softwarefirewall kann ein System nur begrenzt schützen. Fehler, zum Beispiel im Netzwerkstack des Betriebssystems, können damit nicht geschützt werden. Um diese Probleme zu umgehen wurde im vmfire-projekt das Konzept der Field-Firewall entwickelt. Dieses sieht, ähnlich einer Distributed- Firewall, zwei Komponenten vor. Das Filtern von Datenpaketen findet jedoch in den aktiven Komponenten des Netzwerks, wie zum Beispiel den Switchen, statt. Diese verbinden sich mit einem zentralen Controller, der die benötigten Filterregeln erstellt, verteilt und überwacht. Durch diesen Aufbau kann in einem Netzwerk sukzessive eine Field-Firewall eingerichtet werden, ohne dass Endgeräte wie Server, Arbeitsplatzrechner oder Drucker angepasst werden müssen. Die Field-Firewall kann vor allem Paketfilterfunktionen übernehmen. Auch ein Schutz gegen klassische Netzwerkangriffe wie ARP-Spoofing und Rogue-DHCP-Server wurde im Rahmen des vmfire- Projekts schon aufgezeigt und implementiert. Tiefergehende Filterfunktionen, wie sie Application- Level-Gateways bieten, lassen sich aus Performancegründen nur eingeschränkt umsetzen, sind aber auch denkbar. Daher sollte die Field-Firewall eine Perimeter-Firewall nicht ersetzen, sondern geschickt ergänzen. 4 Umsetzung und Ausblick Mit Hilfe des neuen Standards OpenFlow [4] für softwaredefinierte Netze (SDN) lässt sich eine solche Field-Firewall realisieren. Die OpenFlow- Switches bilden die filternden Netzwerkkomponenten und der OpenFlow-Controller die zentrale Instanz. Durch geschicktes Programmieren des OpenFlow-Controllers und Beschreiben der Flow- Tabellen in den Switchen lässt sich ein hohes Maß an Sicherheit bei guter Performance erreichen. OpenFlow kann auch in virtuellen Umgebungen eingesetzt werden. Durch Verwendung des Open vswitches [1] verschwimmen die Übergänge zwischen physikalischem und virtuellem Netzwerk. Durch den Wegfall des Medienbruchs ergibt sich eine einheitlichere Administration des Netzwerks und unerwünschte Datenpakete können schon direkt an der Quelle ausgefiltert werden. Literatur [1] Open vswitch. [2] Steven M. Bellovin. Distributed firewalls. login, pages 37 39, November [3] Sotiris Ioannidis, Angelos D. Keromytis, Steve M. Bellovin, and Jonathan M. Smith. Implementing a distributed firewall. Proceedings of Computer and Communications Security (CCS), pages , November [4] Open Networking Foundation, https: //www.opennetworking.org/images/ stories/downloads/specification/ openflow-spec-v1.3.1.pdf. OpenFlow Switch Specification, version edition, September

22 A Traceability Analysis of the New German Identification Card Frederik Möllers FG Sicherheit in Netzwerken Universität Paderborn While electronic identification documents featuring contactless interfaces become more and more common, the concern about the security of these devices grows correspondingly. Identity theft, fake identities and traceability of people are some of the dangers that come with the introduction of this new technology. While the parties involved in the development try to make the documents as secure as possible, many people doubt that this will keep adversaries from exploiting the devices for their own benefit. In November 2010, the German government introduced the new Identification Card which, among other features, included an RFID chip for the first time. This chip allows authorities and certified institutions to access information stored on it using wireless communication. While the protocols are considered to provide adequate security against unauthorized access, little research has been conducted on the topic of recognizability and traceability. This talk aims to provide an insight into this topic by analysing side-channel information from the communication with these cards. Individuals can obtain this information without having to perform any kind of authorization. Thus, if it allows recognition of cards, they can be tracked together with their owners. Attackers could sample the movement behaviour of a victim by placing RFID readers in various places. During the master's thesis which this contribution is built upon, a software to gather timing patterns of Identification Cards was implemented using widely available hardware. Several samples from different cards have been aggregated and analysed. The task was to find out whether one can distinguish between different cards and recognize single cards by carefully observing the timing behaviour of intercepted or self-initiated communication. Two experiments have yet been conducted. For the first, several realworld Identification Cards of voluntary people have been sampled. With basic statistical analysis, these cards could be distinguished by only looking at the timing data. For the second experiment, sample cards from one single production batch have been sampled to eliminate differences caused by updates of chip hardware or software which occur on a regular basis. Recognition for these cards is much harder, but some progress has been made and additional research on this matter might lead to new, interesting results.

23 Identification of Research Gaps in the NESSoS Common Body of Knowledge Kristian Beckers Software Engineering Group, University of Duisburg-Essen Getting an overview of existing engineering methods, tools, techniques, standards, and notations for specific fields is of major importance for security engineering researchers. This knowledge is the basis for finding research gaps and problems in this field, which require their attention. Our objective is to develop a technique for finding missing methods, notations and tools in specific knowledge areas. Researchers usually have to rely on their experience during a research area analysis, which includes the activities of finding research gaps and identifying research areas. This can lead to a biased outcome of a research area analysis. Hence, research gaps or immature research areas might be overlooked repeatedly. In addition, researchers have to find relations between publications, which are sometimes implicit. In order to ameliorate this situation, we propose a structured approach for research area analysis. This approach utilizes the extensive research of Kitchenham et al. [Kit04, KC07, KBT + 10, KPB + 10, KBB11, BKB + 07, BTBK08, PFMM08] for structured literature reviews. We apply Kitchenham s methods to a special ontology, the Common Body of Knowledge (CBK) of the EU project Network of Excellence (NoE) on Engineering Secure Future Internet Software Services and Systems (NESSoS) 1. One of the major goals of this NoE is the integration of the disciplines of software, service, and security engineering. Our approach is threefold: We carry over Kitchenham s research for structured literature reviews to informal queries for the CBK, and we also extend the CBK to support these informal queries. In the next step, we refine these informal queries into formal CBK relations using Codd s relational algebra [Cod70]. For this purpose, we apply the DOOR method by Allocca et al. [AdM09] for capturing the semantics of relations in ontologies and to formally specify these relations. The technical realization 1 1

24 of the CBK is a Semantic MediaWiki+ platform, and we implemented the relational algebra expressions as CBK queries. 2 We like to present the CBK at the EWNS workshop, because we are looking for external feedback. The CBK will be open to the public in beginning of April for browsing and if participants of EWNS are interested in contributing to the CBK we can provide accounts during the workshop. Moreover, we are looking for possible improvements of the CBK to serve the needs of researchers in the field of network security. We believe that the EWNS workshop is a good place to receive that feedback. References [AdM09] Carlo Allocca, Mathieu d Aquin, and Enrico Motta. DOOR- towards a formalization of ontology relations. In Proceedings of the International Conference on Knowledge Engineering and Ontology Development (KEOD), pages INSTICC Press, [BKB + 07] PearlBrereton, BarbaraA.Kitchenham, DavidBudgen, MarkTurner, and Mohamed Khalil. Lessons from applying the systematic literature review process within the software engineering domain. Journal of Systems and Software, 80(4): , [BTBK08] David Budgen, Mark Turner, Pearl Brereton, and Barbara Kitchenham. Using Mapping Studies in Software Engineering. In Proceedings of PPIG 2008, pages Lancaster University, [Cod70] E. F. Codd. A relational model of data for large shared data banks. Commun. ACM, 13(6): , [KBB11] Barbara A. Kitchenham, David Budgen, and O. Pearl Brereton. Using mapping studies as the basis for further research - a participant-observer case study. Information & Software Technology, 53(6): , [KBT + 10] Barbara A. Kitchenham, Pearl Brereton, Mark Turner, Mahmood Niazi, Stephen G. Linkman, Rialette Pretorius, and David Budgen. Refining the systematic literature review process - two participant-observer case studies. Empirical Software Engineering, 15(6): , [KC07] [Kit04] Barbara Kitchenham and Stuart Charters. Guidelines for performing Systematic Literature Reviews in Software Engineering. Technical Report EBSE , Keele University and Durham University Joint Report, B. Kitchenham. Procedures for performing systematic reviews. Technical report, Keele University and NICTA,

25 [KPB + 10] Barbara Kitchenham, Rialette Pretorius, David Budgen, Pearl Brereton, Mark Turner, Mahmood Niazi, and Stephen G. Linkman. Systematic literature reviews in software engineering - a tertiary study. Information & Software Technology, 52(8): , [PFMM08] Kai Petersen, Robert Feldt, Shahid Mujtaba, and Michael Mattsson. Systematic Mapping Studies in Software engineering. In EASE 08: Proceedings of the 12th International Conference on Evaluation and Assessment in Software Engineering,

26 Sichere nicht interaktive Client Puzzles gegen DoS-Angriffe in LANs Yves Igor Jerschow Lehrstuhl für Technik der Rechnernetze Universität Duisburg-Essen Essen, Deutschland ABSTRACT Wir widmen uns dem Problem, die Kommunikation in lokalen Netzwerken (LANs) abzusichern und sie gegen Denialof-Service (DoS) -Angriffe resistent zu machen [1]. Die Hauptschwachstelle in drahtgebunden und drahtlosen LANs ist die initial fehlende Adressauthentizität. Sie ermöglicht es einem Angreifer, unterschiedliche Identitäten anzunehmen und gefälschte Pakete mit einer fremden oder fiktiven Absenderadresse einzuschleusen. Aus diesem Grund stellen sich existierende DoS-Gegenmaßnahmen, die zur Abwehr von Angriffen im Internet entwickelt worden sind, für die Anwendung in lokalen Netzwerken nur als bedingt geeignet heraus. Unser Angriffsmodell geht von einem oder mehreren mächtigen aber nicht omnipotenten Angreifern aus. Wir nehmen an, dass der Angreifer in der Lage ist, den Datenverkehr abzuhören, Pakete mit beliebigem Inhalt einzuschleusen und dabei insbesondere alle Protokollheader inklusive der Absenderadresse beliebig zu wählen. Die Manipulation oder Auslöschung von fremden Paketen in Switchen oder auf dem Medium liegt aber jenseits seiner Möglichkeiten. Ausgestattet mit Bandbreite, Prozessoren und Speicher führt der Angreifer softwarebasierte Angriffe auf der Protokollebene aus. Die Verifizierung digitaler Signaturen in der Handshake- Phase von Sicherheitsprotokollen, die Public-Key-Kryptographie einsetzen wie z. B. IPsec oder SSL/TLS, stellt im Vergleich zu symmetrischen Kryptoverfahren eine sehr rechenaufwendige Operation dar. Daher kann sie zur Zielscheibe von DoS-Angriffen werden, in denen der Angreifer ein Opfersystem mit gefälschten Signaturen flutet und es dadurch zu überlasten versucht. Eine wohlbekannte Abwehrmaßnahme gegen Angriffe im Internet, die die Erschöpfung von Ressourcen zum Ziel haben, sind Client Puzzles [2-4]. Allerdings sind die bisher vorgeschlagenen Client-Puzzle-Konstrukte entweder parallelisierbar, grobkörnig oder sie lassen sich nur interaktiv einsetzen. Interaktive Puzzles haben den Nachteil, dass das Paket mit den Puzzle-Parametern, welches vom Server zum Client geschickt wird, nicht authentifiziert wird. Insbesondere in LANs kann der Angreifer einen Gegenangriff auf die Clients starten, indem er Pakete mit falschen Puzzle-Parametern einschleust, die den Anschein erwecken, vom sich verteidigenden Server zu stammen. Es wird daher ein neues Konstrukt für Client Puzzles vorgeschlagen, das auf der Berechnung der Quadratwurzel modulo einer Primzahl beruht. Modulare Quadratwurzel- Puzzles sind nicht parallelisierbar, können sowohl interaktiv als auch insbesondere nicht interaktiv eingesetzt werden und weisen eine polynomielle Granularität auf. Benchmark- Ergebnisse untermauern die Praxistauglichkeit dieses Ansatzes, DoS-Angriffen auf Rechner in 1 oder sogar 10 Gbit Netzwerken entgegenzuwirken. Außerdem kann die Effizienz des Verfahrens durch Einführen eines kleinen bandbreitenbasierten Kostenfaktors für den Client erhöht werden. Mit der Einführung einer sicheren Client-Puzzle- Architektur wird eine solide Grundlage für den zuverlässigen und wirksamen Einsatz von nicht interaktiven Client Puzzles geschaffen. Sie beseitigt das Authentifizierungsproblem von interaktiven Puzzles und beugt Vorausberechnungsangriffen vor. In der vorgeschlagenen Architektur werden Client Puzzles, z. B. modulare Quadratwurzel-Puzzles oder auf der Umkehrung einer Hashfunktion basierende Puzzles, nicht interaktiv eingesetzt und dabei vom Client aus einem sich periodisch ändernden, sicheren zufälligen Beacon abgeleitet. Die Beacons werden für eine längere Zeitspanne im Voraus erzeugt und im gesamten LAN von einem speziellen Beacon-Server regelmäßig per Broadcast verschickt. Alle Rechner beziehen eine digital signierte Fingerabdruck-Datei, die aus den kryptographischen Prüfsummen dieser Beacons besteht. Die Überprüfung eines Beacons ist einfach sie erfordert lediglich eine einzige Hash-Operation und kann von allen Rechnern mit der vollen Datenrate der Netzwerkschnittstelle durchgeführt werden. Um einen stabilen Beacon-Dienst zu gewährleisten, werden ausgeklügelte Techniken entwickelt, die Synchronisierungsaspekte berücksichtigen und insbesondere die zuverlässige Verteilung der Beacon-Fingerabdruck-Datei sicherstellen. LITERATUR [1] Yves Igor Jerschow, Attackers, Packets, and Puzzles: On Denial-of- Service Prevention in Local Area Networks, Heinrich-Heine- Universität Düsseldorf, Dissertation, Juni [2] Tuomas Aura, Pekka Nikander, and Jussipekka Leiw, DOS-Resistant Authentication with Client Puzzles, in Revised Papers from the 8th International Workshop on Security Protocols, S , April [3] Adam Back, Hashcash - A Denial of Service Counter-Measure, August [4] Ari Juels und John G. Brainard, Client Puzzles: A Cryptographic Countermeasure Against Connection Depletion Attacks, in NDSS 99: Proceedings of the Network and Distributed System Security Symposium, Februar 1999.

27 SUNsHINE: Überblick Schutz vor Missbrauch und Bedrohung von VoIP-Netzwerken Projektpartner: Fraunhofer FOKUS genua mbh ISACO GmbH Universität Duisburg Essen Assoziierte Projektpartner: Bundesamt für Sicherheit in der Informationstechnik FRAFOS GmbH Kabel Deutschland Vertrieb und Service GmbH Teles AG Informationstechnologien 1 Problemstellung Im traditionellen Telekommunikationssektor, so wird von unterschiedlichen Experten geschätzt, belaufen sich derzeit die durch Betrug verursachten jährlichen Verluste auf durchschnittlich 5 % der Gesamteinkünfte der Betreiber, wobei zusätzlich von einer Steigerungsrate von mehr als 10 % p. A. ausgegangen werden muss. Berücksichtigt man die mit der Einführung einer neuen innovativen Technologie wie VoIP grundsätzlich einhergehenden Anfangsprobleme, die strukturelle Offenheit von VoIP und den Low-Cost-Ansatz gegenwärtiger VoIP-Lösungen, ist es sogar realistisch, in diesem Bereich von einem noch größeren Bedrohungspotenzial mit noch höheren Verlusten auszugehen. Damit stellen Betrug und Servicemissbrauch eine der größten Herausforderungen für die VoIP- Service-Provider dar. Für VoIP-Dienste gibt es einen großen Nachholbedarf, da bisher kaum Forschungsergebnisse oder gar produktreife Lösungen zur Verfügung stehen. Das Projekt SUNSHINE zielt darauf ab, diese Lücke schließen zu helfen. SUNSHINE stellt eine Lösung dar, mit deren Hilfe es möglich sein wird, vielfältige VoIP-basierte Betrugsversuche und Angriffe automatisiert zu erkennen und Schutzmaßnahmen zu ergreifen. Der Schutz soll sowohl für den Provider, als auch für die Kunden möglich sein. 2 Projektpartner Die Projektpartner kommen aus dem Forschungsund Geschäftsumfeld und haben daher unterschiedlichen Hintergrund: Fraunhofer FOKUS (Forschung) VoIP-Sicherheit, Lösungen zum Schutz vor Fraud, Spam und DoS-Angriffen genua mbh (Geschäftliches Umfeld) Firewall-Komponenten, Intrusion-Detection- Systeme ISACO GmbH (Geschäftliches Umfeld) VoIP-Plattformen, Medienapplikationen, IMS, Provisionierung, Abrechnung Universität Duisburg Essen (Forschung) VoIP-Security: Lösungen für die Erkennung von SIP-basierten Bedrohungen sowie geeignete Gegenmaßnahmen unter der Berücksichtigung von Verkehrsdaten aus einem langjährig betriebenen Honeynet-System. 3 Bedrohungen VoIP besteht in der Kombination von klassischer Festnetztelefonie mit den Methoden des Internets. Beide dieser Technologien sind von Missbrauch betroffen. Daher existieren für die Telekommunikation mit VoIP sowohl die Bedrohungen aus dem klassischen Telefonnetz, als auch die Bedrohungen aus dem Internet. Zusätzlich entstehen neue Bedrohungen, die sich durch der Kombination von Telekommunikation und der IP-Technologie ergeben. Dieses sind Angriffe auf IP-Ebene, die auf Schwachstellen der Festnetztelefonie zielen, und Angriffe über die erweiterten Möglichkeiten von VoIP, die auf Bedrohungen der IP-Ebene zielen. Zudem ist das VoIP-Umfeld sehr heterogen aufgebaut. Die beteiligten Personengruppen sind die VoIP- Anbieter als auch ihre Kunden. Die Kundengruppe ist möglicherweise sehr inhomogen zusammengsetzt, und kann Privatanwender als auch geschäftliche Kunden umfassen.

28 Mit Hilfe des UDE-Honeynet-Systems konnten bereits massive Angriffe in VoIP-basierten Netzwerken nachgewiesen werden, die größtenteils automatisch mit frei verfügbaren Tools ausgeführt wurden. 4 Architektur Das SUNSHINE Framework besteht aus einer Kombination von Analysemethoden, aktiven Komponenten und Kommunikationskomponenten. Die Architektur ist in der folgenden Skizze dargestellt. Auf der obersten Ebene sind die Eingabequellen aufgeführt. Im SUNSHINE Framework werden sowohl Daten auf Netzwerkebene (SIP & IP Traffic) als auch Verbindungsdaten in der Form von Call Data Records (CDRs) verwendet. Die Eingabedaten werden von den Analysemethoden zur Detektion von Verdachtsfällen herangezogen. Das SUNSHINE Framework beinhaltet mehrere Analysemethoden: ein verteiltes Sensorsystem zur Analyse von SIP-Netzwerkdaten, den Netzwerk Security Monitor BRO zur Analyse von IP-Netzwerkverkehr sowie die CDR analysis, die in einer Kombination verschiedener Verfahren besteht. Die Ergebnisse der Analyse können direkt benutzt werden, um z.b, verdächtige Kunden eines VoIP Providers zu erkennen. Die Ergebnisse können aber auch aktiven Komponenten zur Verfügung gestellt werden, die zeitnah und automatisiert in die Verbindung eingreifen können. Hierzu ist eine Kommunikation der Analysemethoden zu den aktiven Komponenten notwendig. Zum einen wird eine extended Realtime Blackhole List (erbl) in Analogie zu den RBL zur Bekämpfung von SPAM angeboten. Zum anderen besteht eine enge Kopplung von BRO zu den Firewallkomponenten. Das SUNSHINE Framework bietet sowohl für den Provider als auch für die Kunden Schutz. Daher sind als aktive Komponenten sowohl Firewalls beim Kunden als auch Application Server/PBX beim Provider integriert. 5 Ausblick Dieser Artikel bietet nur einen Überblick über das SUNSHINE Framework. Einen tiefer gehenden Einblick in einzelne Komponenten bieten die anschließenden Vorträge Echtzeiterkennung und Schutz vor Angriffen in SIP-basierten Netzwerken Fraud and Service Misuse in VoIP Networks SUNSHINE: Demo 6 Danksagung Das SUNSHINE-Projekt ist ein vom Bundesministerium für Bildung und Forschung gefördertes Forschungsprojekt im Rahmen der Fördermaßnahme KMU-innovativ: Informations- und Kommunikationstechnologie (IKT)", mit der das Innovationspotential von KMUs im Bereich Spitzenforschung gestärkt werden soll. 7 Literatur [1] SUNSHINE-Projekt, SUNSHINE: Schutzumfang für VoIP", Internes Dokument, 2011 [2] SUNSHINE-Projekt, SUNSHINE: Schutzmassnahmen für VoIP, Internes Dokument in Bearbeitung, 2011 [3] Bundesamt für Sicherheit in der Informationstechnologie, VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol, 2005 [4] P. Ferreira, et al. Establishing Fraud Detection Patterns Based on Signatures [5] H. Verrelst, et al. A rule based and neural network system for fraud detection in mobile communications [6] C. S. Hilas, et al. User Profiling for Fraud Detection in Telecommunication Networks [7] O. Olusegun. Telecommunication Fraud Detection using Bayesian Networks [8] M. E. Edge, et al. A Survey of Signature Based Methods for Financial Fraud Detection [9] C. Cortes, et al. Signature based methods for Data Streams [10] J. Rosenberg, et al. SIP: Session Initiation Protocol, RFC 3261 [11] The Bro Network Security Monitor,

29 SUNSHINE: Echtzeiterkennung und Schutz vor Angriffen in SIP-basierten Netzwerken Dirk Hoffstadt (Universität Duisburg-Essen), Ralf Meister (genua mbh) Kommunikation mit Voice over IP (VoIP) auf der Basis von SIP löst die klassische Telefonie zunehmend ab und macht die Unterstützung offener SIP-Schnittstellen deshalb auch im Bereich der IP-basierten Nebenstellenanlagen unverzichtbar. Dadurch wird allerdings die Telefonie von einer geschlossenen und damit vergleichsweise sicheren Basis auf eine offene, sehr viel verwundbarere Plattform migriert. Einhergehend mit dieser Entwicklung haben sich die Kosten für die VoIP- Telefonate stetig reduziert, wobei auch ein Trend zur Pauschalisierung der Nutzungsentgelte zu beobachten ist. Durch diese technischen und wirtschaftlichen Veränderungen sind neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie entstanden. Toll Fraud ist ein folgenreiches Angriffsszenario und durch die flächendeckende Einführung von VoIP wird es überhaupt erst ermöglicht: VoIP bietet die Möglichkeit, sich unabhängig vom aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da Gespräche in die Mobilfunknetze, zu Sonderrufnummern und ins Ausland weiterhin oft nicht pauschaliert abgerechnet werden, ist es attraktiv, sich durch gefälschte Anmeldungen an fremden Nutzerkonten solche Gespräche auf deren Kosten zu erschleichen. Dem eigentlichen Inhaber dieser missbräuchlich genutzten Anmeldedaten können dadurch innerhalb kürzester Zeit erhebliche Kosten entstehen. Im Rahmen des SUNSHINE Projektes wird ein Framework zum Schutz vor Missbrauch und Bedrohungen von VoIP-Netzwerken entwickelt [1]. Der Schutz umfasst zum Einen Analyse-Methoden (Echtzeit bzw. Offline), die einer Firma oder Provider helfen, Missbrauch zu erkennen. Zum anderen umfasst der Schutz aber auch aktive Komponenten, die ein Eingreifen in laufende Verbindungen ermöglichen. Der Vortrag erläutert warum Erkennungsmechanismen für Angriffe auf VoIP-Infrastruktur notwendig sind und stellt das verteilte Sensorsystem sowie die Firewall-Erweiterungen im Sunshine-Kontext dar. Das verteilte Sensorsystem besteht aus einem leichtgewichtigen Software-Sensor sowie aus einer Zentralkomponente (Sensor Central Service (SCS)). Der Sensor ist ein Tool zur signaturbasierten Erkennung von Angriffen in SIP-basierten VoIP-Netzwerken. Er ist objekt-orientiert in C++ entwickelt, unter Zuhilfenahme der Bibliotheken libpcap, libboost und libcurl, welche u. A. einfache Arbeit mit Netzwerkschnittstellen und Plattformunabhängigkeit ermöglichen. Verschiedene Prozessorarchitekturen werden unterstützt. Die Angriffssignaturen beschreiben eine Folge von SIP- Nachrichten, für die gewisse zeitliche Bedingungen gelten. Die SIP-Header-Felder, sowie Netzwerkund Transportschicht-Informationen (IP-Adressen und Ports), können innerhalb der Signaturen mit fest vorgegebenen Werten oder mit Werten von früheren Nachrichten der Folge verglichen werden. Sobald eine Signatur verletzt wird, sendet der Sensor eine Benachrichtigung unter Angabe wichtiger Informationen an den SCS. Der SCS stellt für alle Sensoren die Konfiguration sowie die Verteilung der Signaturen bereit. Die von den Sensoren empfangenen Reports werden in einer MySQL-Datenbank gespeichert und durch die Analysekomponente, unter Berücksichtigung der SCS Regeln, verarbeitet. Mit Hilfe der SCS Regeln können Zusammenhänge bzw. Abhängigkeiten zwischen einzelnen Sensor- Regeln definiert werden. Ist eine SCS Regel zutreffend können verschiedene Aktionen über das Export Interface durchgeführt werden, wie z.b. das Senden eines erkannten Angriffes an den Sunshine erbl-service oder das Informieren einer Firewall zum Blockieren eines aktuell laufenden Angriffs. Dieser Vortrag stellt weiterhin eine Erweiterung einer Firewall vor, in der die sicherheitsrelevante Bewertung von Verbindungen zusätzlich zu den lokal erfassten auch extern erfasste Informationen mit einbezieht. Neben den SUNSHINE-Komponenten, die auf VoIP spezialisiert sind, soll auch die

30 Möglichkeit bestehen, weiteren Netzwerkverkehr mit in die Analyse einzubeziehen. Dies geschieht unter Zuhilfenahme eines Intrusion Detection Systems (IDS), das von sich aus die Analyse weiterer Protokolle anbietet. bro ist ein Intrusion Detection System von Vern Paxson, welches nun am International Computer Science Institute in Berkeley, CA und dem National Center for Supercomputing Applications in Urbana-Champaign, IL, USA weitergeführt wird. Im Gegensatz zu einfachen IDS, welche den Netzwerkverkehr nach verdächtigen Mustern durchsuchen, beherrscht bro auch die Analyse der höheren OSI-Schichten ab Ebene 4. Hierzu stehen für die unterstützten Protokolle Parser bereit, welche die einzelnen Kommunikationsschritte im Protokoll analysieren und in High Level Events aufarbeiten. Die Auswertung der Events passiert auf der Ebene der bro Policy- Scripte. Hier werden in einer Scriptsprache die High Level Events empfangen und näher analysiert. Die Policy-Scripte sind nicht Bestandteil von bro, sondern sind für den jeweiligen Anwendungszweck zu erstellen. Die Analyse kann den Inhalt der Pakete, aber auch Protokollanomalien oder auch Korrelationen zwischen verschiedenen Verbindungen umfassen. Die durch das IDS System ermittelte Bewertung der Verbindung werden der Firewall zur Verfügung gestellt, um geeignete Maßnahmen zur Abwehr durchführen zu können. Das SUNSHINE Projekt ist ein vom Bundesministerium für Bildung und Forschung gefördertes Forschungsprojekt im Rahmen der Fördermaßnahme KMU-innovativ: Informations- und Kommunikationstechnologie (IKT)", mit der das Innovationspotential von KMUs im Bereich Spitzenforschung gestärkt werden soll. Die Laufzeit des Projektes endet voraussichtlich zum

31 [1]: SUNSHINE - Schutz vor MIssbrauch und Bedrohungen von VoIP Netzwerken, [2]: bro,

32 SUNSHINE: Investigating fraud in the light of intrusion detection Yacine Rebahi (Fokus), Matthias Liebig (ISACO GmbH) The migration from circuit-switched networks to packet-switched networks necessitates the investigation of related issues such as service delivery, QoS, security, and service fraud and misuse. The latter can be seen as a combination of accounting and security aspects. In traditional telecommunication networks, fraud accounts for annual losses at an average of 3% to 5% of the operators revenue and still increasing at a rate of more than 10% yearly. It is also expected that in VoIP networks, the situation will be worse due to the lack of strong built-in security mechanisms, and the use of open standards. The problem of detecting fraud in telecom (in general) and in Voice over IP (VoIP) in particular is difficult. It can occur through an attack against the VoIP system such as breaking into a PBX or a billing system or without carrying out such attacks. This is for instance the case where a VoIP account is being used by other persons than the account owner, namely his relatives. Another example of fraud is where the service usage does not match the service subscription. For such scenarios, in which the patterns are unknown, the only way to detect and prevent them is to look for the service usage data that does not comply with the typical service related activities of the legitimate subscribers. Here, the usage of data mining and intrusion detection techniques is crucial. Another issue related to data analysis is how to handle the analysis results and correlate them. In the SUNSHINE project, a framework for Call Data Record (CDR) analysis is introduced. The CDR analysis is composed of a number of detection techniques and algorithms including a rule engine, call profiling, geolocation profiling, Top-k, and Neural Networks Self Organizing Map (NN-SOM). The coordination and linking of those components is backed by an event-based system using XMPP. Additionally, a fraud management interface is provided. The CDR analysis produces alarms which may indicate fraudulent behavior. Because alarms may occur multiple times for a specific user, or several detection modules/algorithms produce different alarms for said user, a component for correlating the alarms was developed: the SUNSHINE Alarm Aggregator. The aggregated alarms are gathered in a DNS-based system for real-time blacklisting. It is a version of the Real-time Blackhole Lists (RBL), which are used to fight spam, adapted and extended for VoIP. This extended RBL can be used to globally share information about attacks, known fraudsters, and Spam over Internet Telephony (SPIT). Additionally to the query interface (DNS) there is a HTTP/REST-based interface for submitting and modifying blacklist entries. Furthermore, we will present tools which were created for generating CDRs in order to produce realistic data for testing the CDR analysis and the overall framework.

33 Jochen Kögel (IsarNet), Dirk Hoffstadt (Lehrstuhl für Technik der Rechnernetze, Universität Duisburg-Essen), Dennis Weidlich(Lehrstuhl für Technik der Rechnernetze, Universität Duisburg-Essen): Untersuchung von Angriffen auf VoIP-Systeme basierend auf Flow-Daten und Packet-Traces Abstract Die zunehmende Beliebtheit von VoIP-Technologien in den letzten Jahren geht mit einem gesteigerten Interesse Krimineller einher, die versuchen diese Systeme für ihre Zwecke zu missbrauchen. Da dies mit hohen finanziellen Verlusten für Netzbetreiber verbunden sein kann, ist es essenziell entsprechende Angriffe netzweit erkennen und unterbinden zu können. Da paketbasierte Analyseverfahren in großen Netzen mit einem hohen Aufwand verbunden sind, bietet sich die Nutzung von Flow-Daten an. Diese können in Routern erzeugt werden, was auf einfachem Wege die Erlangung einer netzweiten Verkehrssicht ermöglicht. Allerdings bieten Flow-Daten einen geringeren Detaillierungsgrad als paketbasierten Analyseverfahren. Um paketbasierte und flowbasierte Ansätze zu vergleichen, wurde in Zusammenarbeit von IsarNet und der Universität Duisburg-Essen ein Testbed zur Analyse von Flow-Daten und Packet-Trace erstellt, das Netzverkehr zweier Honeynets analysiert. Diese Honeynets enthalten keine Produktivkomponenten, wodurch jedes Paket per Definition als Angriffsversuch gilt. Somit ist der einzige Zweck dieser Netze potentielle Eindringlinge zu Angriffen zu animieren und diese aufzuzeichnen. Für die paketbasierte Analyse von VoIP-Angriffen wurde der SIP Trace Recorder [1] eingesetzt. Dieser filtert SIP-Verkehr, speichert diesen in einer Datenbank und wertet ihn mit Hilfe verschiedener Analysemodule aus, um dann die Angriffsmuster in einer Web-Oberfläche darzustellen. Flow-Daten wurden von einem am Zugangsswitch angeschlossenen nprobe-system erzeugt und auf einem IsarFlow Netzmonitoringsystem aufgezeichnet. Da im flowbasierten Ansatz der Gesamtverkehr und nicht nur SIP-Nachrichten ausgewertet werden können, kann auch weiterer zu den Angriffen gehörender Verkehr (Scans, etc.) analysiert werden. In diesem Vortrag werden erste Ergebnisse und Beispiele für Angriffe aus Paket- und Flow-Sicht vorgestellt. [1] Dirk Hoffstadt, Stefan Monhof, and Erwin P. Rathgeb, "SIP Trace Recorder: Monitor and Analysis Tool for threats in SIP-based networks," in TRaffic Analysis and Classification Workshop (IWCMC2012-TRAC), Limassol, Cyprus, Aug Seite 1/1

34 Cybergateways zur Absicherung kritischer Infrastrukturen Kai Dörnemann genua mbh Alexander von Gernler genua mbh 1 Motivation Technische Anlagen werden zunehmend komplexer und bestehen aus vielen verteilten miteinander kommunizierenden Komponenten. Im Gegensatz zu früheren Systemen tauschen die neuartigen Cyberphysikalischen Systeme (CPS) [1] Mess- und Steuerdaten über existente Netze aus. Firmeninterne Netzwerke und Internet werden so Bestandteil von industriellen Regel- und Steuerkreisen. [2]. Da ein bösartiger Angreifer nach Übernahme der Kontrolle über das System in der Lage wäre, gezielt Maschinen und Anlagen zu zerstören (vgl. Stuxnet) und Menschenleben zu gefährden, ergibt sich ein deutlich gestiegenener Sicherheitsbearf. Trotzdem sind viele eingebettete Systeme nur mit dem Safety-Gedanken im Hinterkopf entworfen worden. Schutz im Sinne von Security wird immer noch vernachlässigt, obwohl ohne Security auch keine effektive Safety zu erlangen ist. Bestehende Anlagen können zwar durch das Vorschalten von Gateways besser geschützt werden. Die existierenden Lösungen haben aber entweder zu hohen Ressourcenbedarf oder sind nicht hinreichend sicher. Hier ermöglicht die Nutzung einer Mikrokernel-Architektur neue Arten von Gateways, die bei minimalem Ressourcenverbrauch konzeptionell sicherer sind als die meisten heute verfügbaren Application Level Gateways (ALGs). 2 Architektur Ein Cybergateway besteht aus einer Plattform mit mehreren Netzwerkschnittstellen. Die Hardware ist vollständig unter der Kontrolle des Mikrokernels (hier: L4-basiert). Der Kern kann Teile der Hardware bestimmten Compartments überantworten. Ein Compartment kann entweder eine Anwendung direkt auf der Schnittstelle des Mikrokernels sein, oder aber ein vollwertiges Betriebssystem, das auf diese Abbildung 1: Cybergateway mit Kommunikations-, Anwendungs- und Filtercompartments para-virtuelle Schnittstelle angepasst wurde (sog. Rehosting). Durch das Rehosting in Verbindung mit einem Funktionsmerkmal moderner Prozessoren (IOMMU, vt-d [3]) ist es möglich, auf einem System mehrere Betriebssysteme oder native Anwendungen nebenläufig auszuführen, ohne dass diese sich beeinflussen können. Eine Kommunikation zwischen den Compartments ist nur durch explizit eingerichtete Interprozesskommunikation (IPC) möglich. Mechanismen hierfür werden vom Mikrokernel bereitgestellt (Pipe, virtueller Netzwerkswitch). Diese Architektur ermöglicht eine hohe Sicherheit, indem komplexe Systeme stark voneinander isoliert werden, und ihre Kommunikation explizit überwacht und eingeschränkt wird. Abb. 1 zeigt den Aufbau eines typischen Cybergateways: Auf dem Mikrokernel läuft eine mit dem Internet verbundene Firewall in einem Compartment. Sie stellt Filterung und sichere Kommunikation via SSH oder IPsec über eine der Netzwerkschnittstellen bereit. Das zweite Compartment enthält ein Linux- System mit einer Applikation zur Steuerung einer Industrieanlage. Es ist mit der anderen Netzwerkschnittstelle verbunden. 1

35 Die beiden Compartments müssen über einen Proxy in einem weiteren Compartment kommunizieren. Er prüft das gesprochene Protokoll auf Korrektheit, läuft als leichtgewichtige Anwendung direkt auf dem Mikrokernel und weist so eine sehr geringe Größe und Komplexität auf. Sublime Kanäle können dadurch beweisbar ganz vermieden oder auf ein Minimum reduziert werden. Es werden mehrere Sicherheitsvorteile erreicht: Kommunikation über zwei separate TCP/IP- Stacks: Sollte einer der Stacks kompromittiert werden, ist der andere davon unberührt. IP-loses Protokoll zwischen Firewall- und Kontroll-Compartment: Hierdurch erreichen wir eine komplette Netztrennung. Firewallfunktionalität unbeeinflusst von der Benutzeranwendung, so dass ein bereits vorhandenes hohes Sicherheitsniveau der Firewall erhalten bleibt. Software-Updates im Firewall- oder Kontroll- Compartment haben keine Auswirkung auf den Rest des Systems. Eine Gefahr für die so aufgebaute Abschottung stellen Sidechannel-Angriffe dar. Zhang et. al. zeigen etwa, dass eine Möglichkeit hierfür die Beobachtung von Cachelines im L1-Cache des Prozessors ist [4]. Im Vortrag werden drei mögliche Strategien skizziert, derartigen sublimen Kanälen entgegen zu wirken. 3 Perspektiven Unter Verwendung der beschriebenen Bausteine sind eine Menge konstruierbarer Architekturen für Sicherheitsanwendungen denkbar. Abb. 2 zeigt einen Entwurf für ein sicheres Smart Meter Gateway (SMGW) aus drei Komponenten: Das HAN (home area network) ist vom Endbenutzer zugreifbar. Er kontrolliert hier das Energiemanagement seines Hauses. Im LMN (local metrological network) läuft die Mess-Software als schlanker Task direkt auf dem Mikrokernel und kommuniziert mit den Energieerzeugern und -Verbrauchern im Haus via mbus. Abbildung 2: Beispielhafte Architektur eines Smart- Meter-Gateways, konstruiert aus den Basisbausteinen des Cybergateways Das WAN (wide area network) ist das Internetseitige Compartment zur Kommunikation mit dem Energieversorger. Es wird durch eine Firewall abgesichert. Abb. 2 zeigt eine Einweg-Kommuniaktion zwischen LMN und HAN/WAN mit zwei Dioden-Tasks. Diese stellen sicher, dass das LMN von der HANoder WAN-Seite aus nicht angegriffen werden kann. Durch die Verwendung einer solchen Architektur werden die heutigen Anforderungen an ein Smart Meter Gateway [5] durch eine kleine und kostengünstige Hardware erfüllt. Literatur [1] fortiss und BMBF, Agenda CPS, Integrierte Forschungsagenda Cyber-Physical Systems, projekte/agendacps/ [2] BMBF, Zukunftsprojekt Industrie 4.0, [3] Intel, Intel Virtualization Technology for Directed I/O (VT-d), [4] Zhang Y., Juels A., Reiter M., Ristenpart T., Cross-VM Side Channels and Their Use to Extract Private Keys, ACM CCS 2012, October 16-18, Raleigh, NC, USA [5] BSI, Protection Profile for the Gateway of a Smart Metering System, https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/SmartMeter/PP-SmartMeter.pdf 2

Neue Herausforderungen in der Netzsicherheit

Neue Herausforderungen in der Netzsicherheit Alfried Krupp von Bohlen und Halbach Stiftungslehrstuhl Technik der Rechnernetze Institut für Experimentelle Mathematik und Institut für Informatik und Wirtschaftsinformatik 6. Essener Workshop Neue Herausforderungen

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Customer-specific software for autonomous driving and driver assistance (ADAS)

Customer-specific software for autonomous driving and driver assistance (ADAS) This press release is approved for publication. Press Release Chemnitz, February 6 th, 2014 Customer-specific software for autonomous driving and driver assistance (ADAS) With the new product line Baselabs

Mehr

Instruktionen Mozilla Thunderbird Seite 1

Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Dieses Handbuch wird für Benutzer geschrieben, die bereits ein E-Mail-Konto zusammenbauen lassen im Mozilla Thunderbird und wird

Mehr

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Eine Betrachtung im Kontext der Ausgliederung von Chrysler Daniel Rheinbay Abstract Betriebliche Informationssysteme

Mehr

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken Support Technologies based on Bi-Modal Network Analysis H. Agenda 1. Network analysis short introduction 2. Supporting the development of virtual organizations 3. Supporting the development of compentences

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

Security Planning Basics

Security Planning Basics Einführung in die Wirtschaftsinformatik VO WS 2009/2010 Security Planning Basics Gerald.Quirchmayr@univie.ac.at Textbook used as basis for these slides and recommended as reading: Whitman, M. E. & Mattord,

Mehr

Prediction Market, 28th July 2012 Information and Instructions. Prognosemärkte Lehrstuhl für Betriebswirtschaftslehre insbes.

Prediction Market, 28th July 2012 Information and Instructions. Prognosemärkte Lehrstuhl für Betriebswirtschaftslehre insbes. Prediction Market, 28th July 2012 Information and Instructions S. 1 Welcome, and thanks for your participation Sensational prices are waiting for you 1000 Euro in amazon vouchers: The winner has the chance

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr

Klausur Verteilte Systeme

Klausur Verteilte Systeme Klausur Verteilte Systeme SS 2005 by Prof. Walter Kriha Klausur Verteilte Systeme: SS 2005 by Prof. Walter Kriha Note Bitte ausfüllen (Fill in please): Vorname: Nachname: Matrikelnummer: Studiengang: Table

Mehr

eurex rundschreiben 094/10

eurex rundschreiben 094/10 eurex rundschreiben 094/10 Datum: Frankfurt, 21. Mai 2010 Empfänger: Alle Handelsteilnehmer der Eurex Deutschland und Eurex Zürich sowie Vendoren Autorisiert von: Jürg Spillmann Weitere Informationen zur

Mehr

Bayerisches Landesamt für Statistik und Datenverarbeitung Rechenzentrum Süd. z/os Requirements 95. z/os Guide in Lahnstein 13.

Bayerisches Landesamt für Statistik und Datenverarbeitung Rechenzentrum Süd. z/os Requirements 95. z/os Guide in Lahnstein 13. z/os Requirements 95. z/os Guide in Lahnstein 13. März 2009 0 1) LOGROTATE in z/os USS 2) KERBEROS (KRB5) in DFS/SMB 3) GSE Requirements System 1 Requirement Details Description Benefit Time Limit Impact

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

1.1 Media Gateway - SIP-Sicherheit verbessert

1.1 Media Gateway - SIP-Sicherheit verbessert Deutsch Read Me System Software 7.10.6 PATCH 2 Diese Version unserer Systemsoftware ist für die Gateways der Rxxx2- und der RTxxx2-Serie verfügbar. Beachten Sie, dass ggf. nicht alle hier beschriebenen

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3 User Manual for Marketing Authorisation and Lifecycle Management of Medicines Inhalt: User Manual for Marketing Authorisation and Lifecycle Management of Medicines... 1 1. General information... 2 2. Login...

Mehr

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com)

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Inhalt Content Citrix-Anmeldung Login to Citrix Was bedeutet PIN und Token (bei Anmeldungen aus dem Internet)? What does PIN and Token

Mehr

Software development with continuous integration

Software development with continuous integration Software development with continuous integration (FESG/MPIfR) ettl@fs.wettzell.de (FESG) neidhardt@fs.wettzell.de 1 A critical view on scientific software Tendency to become complex and unstructured Highly

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Algorithms for graph visualization

Algorithms for graph visualization Algorithms for graph visualization Project - Orthogonal Grid Layout with Small Area W INTER SEMESTER 2013/2014 Martin No llenburg KIT Universita t des Landes Baden-Wu rttemberg und nationales Forschungszentrum

Mehr

Praktikum Entwicklung von Mediensystemen mit ios

Praktikum Entwicklung von Mediensystemen mit ios Praktikum Entwicklung von Mediensystemen mit ios WS 2011 Prof. Dr. Michael Rohs michael.rohs@ifi.lmu.de MHCI Lab, LMU München Today Heuristische Evaluation vorstellen Aktuellen Stand Software Prototyp

Mehr

RailMaster New Version 7.00.p26.01 / 01.08.2014

RailMaster New Version 7.00.p26.01 / 01.08.2014 RailMaster New Version 7.00.p26.01 / 01.08.2014 English Version Bahnbuchungen so einfach und effizient wie noch nie! Copyright Copyright 2014 Travelport und/oder Tochtergesellschaften. Alle Rechte vorbehalten.

Mehr

Privacy-preserving Ubiquitous Social Mining via Modular and Compositional Virtual Sensors

Privacy-preserving Ubiquitous Social Mining via Modular and Compositional Virtual Sensors Privacy-preserving Ubiquitous Social Mining via Modular and Compositional s Evangelos Pournaras, Iza Moise, Dirk Helbing (Anpassung im Folienmaster: Menü «Ansicht» à «Folienmaster») ((Vorname Nachname))

Mehr

How to access licensed products from providers who are already operating productively in. General Information... 2. Shibboleth login...

How to access licensed products from providers who are already operating productively in. General Information... 2. Shibboleth login... Shibboleth Tutorial How to access licensed products from providers who are already operating productively in the SWITCHaai federation. General Information... 2 Shibboleth login... 2 Separate registration

Mehr

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str. 3 07743 Jena http://www.im.uni-jena.de Contents I. Learning Objectives II. III. IV. Recap

Mehr

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich? KURZANLEITUNG Firmware-Upgrade: Wie geht das eigentlich? Die Firmware ist eine Software, die auf der IP-Kamera installiert ist und alle Funktionen des Gerätes steuert. Nach dem Firmware-Update stehen Ihnen

Mehr

CHAMPIONS Communication and Dissemination

CHAMPIONS Communication and Dissemination CHAMPIONS Communication and Dissemination Europa Programm Center Im Freistaat Thüringen In Trägerschaft des TIAW e. V. 1 CENTRAL EUROPE PROGRAMME CENTRAL EUROPE PROGRAMME -ist als größtes Aufbauprogramm

Mehr

AS Path-Prepending in the Internet And Its Impact on Routing Decisions

AS Path-Prepending in the Internet And Its Impact on Routing Decisions (SEP) Its Impact on Routing Decisions Zhi Qi ytqz@mytum.de Advisor: Wolfgang Mühlbauer Lehrstuhl für Netzwerkarchitekturen Background Motivation BGP -> core routing protocol BGP relies on policy routing

Mehr

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Zielsetzung: System Verwendung von Cloud-Systemen für das Hosting von online Spielen (IaaS) Reservieren/Buchen von Resources

Mehr

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part II) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

Understanding and Improving Collaboration in Distributed Software Development

Understanding and Improving Collaboration in Distributed Software Development Diss. ETH No. 22473 Understanding and Improving Collaboration in Distributed Software Development A thesis submitted to attain the degree of DOCTOR OF SCIENCES of ETH ZURICH (Dr. sc. ETH Zurich) presented

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Introducing PAThWay. Structured and methodical performance engineering. Isaías A. Comprés Ureña Ventsislav Petkov Michael Firbach Michael Gerndt

Introducing PAThWay. Structured and methodical performance engineering. Isaías A. Comprés Ureña Ventsislav Petkov Michael Firbach Michael Gerndt Introducing PAThWay Structured and methodical performance engineering Isaías A. Comprés Ureña Ventsislav Petkov Michael Firbach Michael Gerndt Technical University of Munich Overview Tuning Challenges

Mehr

Working Sets for the Principle of Least Privilege in Role Based Access Control (RBAC) and Desktop Operating Systems DISSERTATION

Working Sets for the Principle of Least Privilege in Role Based Access Control (RBAC) and Desktop Operating Systems DISSERTATION UNIVERSITÄT JOHANNES KEPLER LINZ JKU Technisch-Naturwissenschaftliche Fakultät Working Sets for the Principle of Least Privilege in Role Based Access Control (RBAC) and Desktop Operating Systems DISSERTATION

Mehr

Abteilung Internationales CampusCenter

Abteilung Internationales CampusCenter Abteilung Internationales CampusCenter Instructions for the STiNE Online Enrollment Application for Exchange Students 1. Please go to www.uni-hamburg.de/online-bewerbung and click on Bewerberaccount anlegen

Mehr

IoT Scopes and Criticisms

IoT Scopes and Criticisms IoT Scopes and Criticisms Rajkumar K Kulandaivelu S 1 What is IoT? Interconnection of multiple devices over internet medium 2 IoT Scope IoT brings lots of scope for development of applications that are

Mehr

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part XI) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

Praktikum Entwicklung Mediensysteme (für Master)

Praktikum Entwicklung Mediensysteme (für Master) Praktikum Entwicklung Mediensysteme (für Master) Organisatorisches Today Schedule Organizational Stuff Introduction to Android Exercise 1 2 Schedule Phase 1 Individual Phase: Introduction to basics about

Mehr

Softwareprojekt Mobilkommunikation Abschlusspräsentation. SP Mobilkommunikation (SS09) - Abschlusspräsentation 16.7.2009 1

Softwareprojekt Mobilkommunikation Abschlusspräsentation. SP Mobilkommunikation (SS09) - Abschlusspräsentation 16.7.2009 1 Softwareprojekt Mobilkommunikation Abschlusspräsentation SP Mobilkommunikation (SS09) - Abschlusspräsentation 16.7.2009 1 Overview Introduction / Background (by L. AiQuan) Mobile Phones, Android, Use Cases,...

Mehr

Service Design. Dirk Hemmerden - Appseleration GmbH. Mittwoch, 18. September 13

Service Design. Dirk Hemmerden - Appseleration GmbH. Mittwoch, 18. September 13 Service Design Dirk Hemmerden - Appseleration GmbH An increasing number of customers is tied in a mobile eco-system Hardware Advertising Software Devices Operating System Apps and App Stores Payment and

Mehr

Netzwerke und Sicherheit auf mobilen Geräten

Netzwerke und Sicherheit auf mobilen Geräten Netzwerke und Sicherheit auf mobilen Geräten Univ.-Prof. Priv.-Doz. DI Dr. René Mayrhofer Antrittsvorlesung Johannes Kepler Universität Linz Repräsentationsräume 1. Stock (Uni-Center) 19.1.2015, 16:00

Mehr

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe Sicherheit dank Durchblick Thomas Fleischmann Sales Engineer, Central Europe Threat Landscape Immer wieder neue Schlagzeilen Cybercrime ist profitabel Wachsende Branche 2013: 9 Zero Day Vulnerabilities

Mehr

(Prüfungs-)Aufgaben zum Thema Scheduling

(Prüfungs-)Aufgaben zum Thema Scheduling (Prüfungs-)Aufgaben zum Thema Scheduling 1) Geben Sie die beiden wichtigsten Kriterien bei der Wahl der Größe des Quantums beim Round-Robin-Scheduling an. 2) In welchen Situationen und von welchen (Betriebssystem-)Routinen

Mehr

Ingenics Project Portal

Ingenics Project Portal Version: 00; Status: E Seite: 1/6 This document is drawn to show the functions of the project portal developed by Ingenics AG. To use the portal enter the following URL in your Browser: https://projectportal.ingenics.de

Mehr

Patentrelevante Aspekte der GPLv2/LGPLv2

Patentrelevante Aspekte der GPLv2/LGPLv2 Patentrelevante Aspekte der GPLv2/LGPLv2 von RA Dr. Till Jaeger OSADL Seminar on Software Patents and Open Source Licensing, Berlin, 6./7. November 2008 Agenda 1. Regelungen der GPLv2 zu Patenten 2. Implizite

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Wie agil kann Business Analyse sein?

Wie agil kann Business Analyse sein? Wie agil kann Business Analyse sein? Chapter Meeting Michael Leber 2012-01-24 ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com

Mehr

Parameter-Updatesoftware PF-12 Plus

Parameter-Updatesoftware PF-12 Plus Parameter-Updatesoftware PF-12 Plus Mai / May 2015 Inhalt 1. Durchführung des Parameter-Updates... 2 2. Kontakt... 6 Content 1. Performance of the parameter-update... 4 2. Contact... 6 1. Durchführung

Mehr

Prof. Dr. Margit Scholl, Mr. RD Guldner Mr. Coskun, Mr. Yigitbas. Mr. Niemczik, Mr. Koppatz (SuDiLe GbR)

Prof. Dr. Margit Scholl, Mr. RD Guldner Mr. Coskun, Mr. Yigitbas. Mr. Niemczik, Mr. Koppatz (SuDiLe GbR) Prof. Dr. Margit Scholl, Mr. RD Guldner Mr. Coskun, Mr. Yigitbas in cooperation with Mr. Niemczik, Mr. Koppatz (SuDiLe GbR) Our idea: Fachbereich Wirtschaft, Verwaltung und Recht Simple strategies of lifelong

Mehr

TMF projects on IT infrastructure for clinical research

TMF projects on IT infrastructure for clinical research Welcome! TMF projects on IT infrastructure for clinical research R. Speer Telematikplattform für Medizinische Forschungsnetze (TMF) e.v. Berlin Telematikplattform für Medizinische Forschungsnetze (TMF)

Mehr

Delivering services in a user-focussed way - The new DFN-CERT Portal -

Delivering services in a user-focussed way - The new DFN-CERT Portal - Delivering services in a user-focussed way - The new DFN-CERT Portal - 29th TF-CSIRT Meeting in Hamburg 25. January 2010 Marcus Pattloch (cert@dfn.de) How do we deal with the ever growing workload? 29th

Mehr

DIGICOMP OPEN TUESDAY AKTUELLE STANDARDS UND TRENDS IN DER AGILEN SOFTWARE ENTWICKLUNG. Michael Palotas 7. April 2015 1 GRIDFUSION

DIGICOMP OPEN TUESDAY AKTUELLE STANDARDS UND TRENDS IN DER AGILEN SOFTWARE ENTWICKLUNG. Michael Palotas 7. April 2015 1 GRIDFUSION DIGICOMP OPEN TUESDAY AKTUELLE STANDARDS UND TRENDS IN DER AGILEN SOFTWARE ENTWICKLUNG Michael Palotas 7. April 2015 1 GRIDFUSION IHR REFERENT Gridfusion Software Solutions Kontakt: Michael Palotas Gerbiweg

Mehr

Effiziente Client-basierte Handover-Verfahren zur Steigerung der Verfügbarkeit von Cloud-Diensten

Effiziente Client-basierte Handover-Verfahren zur Steigerung der Verfügbarkeit von Cloud-Diensten ITG 5.2.1 Fachgruppentreffen an der FH Flensburg Effiziente Client-basierte Handover-Verfahren zur Steigerung 27.05.2011 Fakultät Elektrotechnik und Informationstechnik Prof. Dr.-Ing. Christian Wietfeld

Mehr

Inequality Utilitarian and Capabilities Perspectives (and what they may imply for public health)

Inequality Utilitarian and Capabilities Perspectives (and what they may imply for public health) Inequality Utilitarian and Capabilities Perspectives (and what they may imply for public health) 1 Utilitarian Perspectives on Inequality 2 Inequalities matter most in terms of their impact onthelivesthatpeopleseektoliveandthethings,

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Introduction to the diploma and master seminar in FSS 2010. Prof. Dr. Armin Heinzl. Sven Scheibmayr

Introduction to the diploma and master seminar in FSS 2010. Prof. Dr. Armin Heinzl. Sven Scheibmayr Contemporary Aspects in Information Systems Introduction to the diploma and master seminar in FSS 2010 Chair of Business Administration and Information Systems Prof. Dr. Armin Heinzl Sven Scheibmayr Objective

Mehr

Lesen Sie die Bedienungs-, Wartungs- und Sicherheitsanleitungen des mit REMUC zu steuernden Gerätes

Lesen Sie die Bedienungs-, Wartungs- und Sicherheitsanleitungen des mit REMUC zu steuernden Gerätes KURZANLEITUNG VORAUSSETZUNGEN Lesen Sie die Bedienungs-, Wartungs- und Sicherheitsanleitungen des mit REMUC zu steuernden Gerätes Überprüfen Sie, dass eine funktionsfähige SIM-Karte mit Datenpaket im REMUC-

Mehr

Exercise (Part I) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part I) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part I) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises. All

Mehr

The poetry of school.

The poetry of school. International Week 2015 The poetry of school. The pedagogy of transfers and transitions at the Lower Austrian University College of Teacher Education(PH NÖ) Andreas Bieringer In M. Bernard s class, school

Mehr

LOG AND SECURITY INTELLIGENCE PLATFORM

LOG AND SECURITY INTELLIGENCE PLATFORM TIBCO LOGLOGIC LOG AND SECURITY INTELLIGENCE PLATFORM Security Information Management Logmanagement Data-Analytics Matthias Maier Solution Architect Central Europe, Eastern Europe, BeNeLux MMaier@Tibco.com

Mehr

A central repository for gridded data in the MeteoSwiss Data Warehouse

A central repository for gridded data in the MeteoSwiss Data Warehouse A central repository for gridded data in the MeteoSwiss Data Warehouse, Zürich M2: Data Rescue management, quality and homogenization September 16th, 2010 Data Coordination, MeteoSwiss 1 Agenda Short introduction

Mehr

Field Librarianship in den USA

Field Librarianship in den USA Field Librarianship in den USA Bestandsaufnahme und Zukunftsperspektiven Vorschau subject librarians field librarians in den USA embedded librarians das amerikanische Hochschulwesen Zukunftsperspektiven

Mehr

Robotino View Kommunikation mit OPC. Communication with OPC DE/EN 04/08

Robotino View Kommunikation mit OPC. Communication with OPC DE/EN 04/08 Robotino View Kommunikation mit OPC Robotino View Communication with OPC 1 DE/EN 04/08 Stand/Status: 04/2008 Autor/Author: Markus Bellenberg Festo Didactic GmbH & Co. KG, 73770 Denkendorf, Germany, 2008

Mehr

Optimizing Request for Quotation Processes at the Volkswagen Pre-Series Center

Optimizing Request for Quotation Processes at the Volkswagen Pre-Series Center Optimizing Request for Quotation Processes at the Volkswagen Pre-Series Center 28 April 2010 / Agenda 1 Pre-series center 2 Project target 3 Process description 4 Realization 5 Review 6 Forecast 28. April

Mehr

Security of Online Social Networks

Security of Online Social Networks Security of Online Social Networks Interfaces Lehrstuhl IT-Sicherheitsmanagment Universität Siegen May 3, 2012 Lehrstuhl IT-Sicherheitsmanagment 1/38 Recapitulation Graph Model formal data representation

Mehr

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH What is a GEVER??? Office Strategy OXBA How we used SharePoint Geschäft Verwaltung Case Management Manage Dossiers Create and Manage Activities

Mehr

EEX Kundeninformation 2007-09-05

EEX Kundeninformation 2007-09-05 EEX Eurex Release 10.0: Dokumentation Windows Server 2003 auf Workstations; Windows Server 2003 Service Pack 2: Information bezüglich Support Sehr geehrte Handelsteilnehmer, Im Rahmen von Eurex Release

Mehr

SARA 1. Project Meeting

SARA 1. Project Meeting SARA 1. Project Meeting Energy Concepts, BMS and Monitoring Integration of Simulation Assisted Control Systems for Innovative Energy Devices Prof. Dr. Ursula Eicker Dr. Jürgen Schumacher Dirk Pietruschka,

Mehr

IBM Security Lab Services für QRadar

IBM Security Lab Services für QRadar IBM Security Lab Services für QRadar Serviceangebote für ein QRadar SIEM Deployment in 10 bzw. 15 Tagen 28.01.2015 12015 IBM Corporation Agenda 1 Inhalt der angebotenen Leistungen Allgemeines Erbrachte

Mehr

Titelfolie. Raymond Gannon ISP Account Manager. eleven - Gesellschaft zur Entwicklung und Vermarktung von Netzwerktechnologien mbh

Titelfolie. Raymond Gannon ISP Account Manager. eleven - Gesellschaft zur Entwicklung und Vermarktung von Netzwerktechnologien mbh Titelfolie Raymond Gannon ISP Account Manager The company eleven GmbH, established in 2001 in Berlin, Germany E-Mail security services & solutions Primary products expurgate Spamfilter & email categorization

Mehr

Dynamische Erweiterung lokaler Batch Systeme durch Cloud Resourcen

Dynamische Erweiterung lokaler Batch Systeme durch Cloud Resourcen Dynamische Erweiterung lokaler Batch Systeme durch Cloud Resourcen, Thomas Hauth, Armin Scheurer, Oliver Oberst, Günter Quast, Marcel Kunze INSTITUT FÜR EXPERIMENTELLE KERNPHYSIK (EKP) FAKULTÄT FÜR PHYSIK

Mehr

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler Decision Support for Learners in Mash-Up Personal Learning Environments Dr. Hendrik Drachsler Personal Nowadays Environments Blog Reader More Information Providers Social Bookmarking Various Communities

Mehr

Exploring the knowledge in Semi Structured Data Sets with Rich Queries

Exploring the knowledge in Semi Structured Data Sets with Rich Queries Exploring the knowledge in Semi Structured Data Sets with Rich Queries Jürgen Umbrich Sebastian Blohm Institut AIFB, Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 www.kit.ed Overview

Mehr

Integration of D-Grid Sites in NGI-DE Monitoring

Integration of D-Grid Sites in NGI-DE Monitoring Integration of D-Grid Sites in NGI-DE Monitoring Steinbuch Centre for Computing Foued Jrad www.kit.edu D-Grid Site Monitoring Status! Prototype D-Grid Site monitoring based on Nagios running on sitemon.d-grid.de

Mehr

Role Play I: Ms Minor Role Card. Ms Minor, accountant at BIGBOSS Inc.

Role Play I: Ms Minor Role Card. Ms Minor, accountant at BIGBOSS Inc. Role Play I: Ms Minor Role Card Conversation between Ms Boss, CEO of BIGBOSS Inc. and Ms Minor, accountant at BIGBOSS Inc. Ms Boss: Guten Morgen, Frau Minor! Guten Morgen, Herr Boss! Frau Minor, bald steht

Mehr

EEX Kundeninformation 2002-08-30

EEX Kundeninformation 2002-08-30 EEX Kundeninformation 2002-08-30 Terminmarkt - Eurex Release 6.0; Versand der Simulations-Kits Kit-Versand: Am Freitag, 30. August 2002, versendet Eurex nach Handelsschluss die Simulations -Kits für Eurex

Mehr

Possible Solutions for Development of Multilevel Pension System in the Republic of Azerbaijan

Possible Solutions for Development of Multilevel Pension System in the Republic of Azerbaijan Possible Solutions for Development of Multilevel Pension System in the Republic of Azerbaijan by Prof. Dr. Heinz-Dietrich Steinmeyer Introduction Multi-level pension systems Different approaches Different

Mehr

Labour law and Consumer protection principles usage in non-state pension system

Labour law and Consumer protection principles usage in non-state pension system Labour law and Consumer protection principles usage in non-state pension system by Prof. Dr. Heinz-Dietrich Steinmeyer General Remarks In private non state pensions systems usually three actors Employer

Mehr

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration Die Renaissance von Unified Communication in der Cloud Daniel Jonathan Valik UC, Cloud and Collaboration AGENDA Das Program der nächsten Minuten... 1 2 3 4 Was sind die derzeitigen Megatrends? Unified

Mehr

Mit Legacy-Systemen in die Zukunft. adviion. in die Zukunft. Dr. Roland Schätzle

Mit Legacy-Systemen in die Zukunft. adviion. in die Zukunft. Dr. Roland Schätzle Mit Legacy-Systemen in die Zukunft Dr. Roland Schätzle Der Weg zur Entscheidung 2 Situation Geschäftliche und softwaretechnische Qualität der aktuellen Lösung? Lohnen sich weitere Investitionen? Migration??

Mehr

Technical Information

Technical Information Firmware-Installation nach Einbau des DP3000-OEM-Kits Dieses Dokument beschreibt die Schritte die nach dem mechanischen Einbau des DP3000- OEM-Satzes nötig sind, um die Projektoren mit der aktuellen Firmware

Mehr

Aber genau deshalb möchte ich Ihre Aufmehrsamkeit darauf lenken und Sie dazu animieren, der Eventualität durch geeignete Gegenmaßnahmen zu begegnen.

Aber genau deshalb möchte ich Ihre Aufmehrsamkeit darauf lenken und Sie dazu animieren, der Eventualität durch geeignete Gegenmaßnahmen zu begegnen. NetWorker - Allgemein Tip 618, Seite 1/5 Das Desaster Recovery (mmrecov) ist evtl. nicht mehr möglich, wenn der Boostrap Save Set auf einem AFTD Volume auf einem (Data Domain) CIFS Share gespeichert ist!

Mehr

Rechnernetze und -Organisation. 2010 Michael Hutter Karl C. Posch. www.iaik.tugraz.at/content/teaching/bachelor_courses/rechnernetze_und_organisation/

Rechnernetze und -Organisation. 2010 Michael Hutter Karl C. Posch. www.iaik.tugraz.at/content/teaching/bachelor_courses/rechnernetze_und_organisation/ und -Organisation 2010 Michael Hutter Karl C. Posch www.iaik.tugraz.at/content/teaching/bachelor_courses/rechnernetze_und_organisation/ 1 Overview - Application-Layer Protocols - Hypertext Transfer Protocol

Mehr

XV1100K(C)/XV1100SK(C)

XV1100K(C)/XV1100SK(C) Lexware Financial Office Premium Handwerk XV1100K(C)/XV1100SK(C) All rights reserverd. Any reprinting or unauthorized use wihout the written permission of Lexware Financial Office Premium Handwerk Corporation,

Mehr

Softwareanforderungen für Microsoft Dynamics CRM Server 2015

Softwareanforderungen für Microsoft Dynamics CRM Server 2015 Softwareanforderungen für Microsoft Dynamics CRM Server 2015 https://technet.microsoft.com/de-de/library/hh699671.aspx Windows Server-Betriebssystem Microsoft Dynamics CRM Server 2015 kann nur auf Computern

Mehr

Fluid-Particle Multiphase Flow Simulations for the Study of Sand Infiltration into Immobile Gravel-Beds

Fluid-Particle Multiphase Flow Simulations for the Study of Sand Infiltration into Immobile Gravel-Beds 3rd JUQUEEN Porting and Tuning Workshop Jülich, 2-4 February 2015 Fluid-Particle Multiphase Flow Simulations for the Study of Sand Infiltration into Immobile Gravel-Beds Tobias Schruff, Roy M. Frings,

Mehr

MANAGEMENT AND FEDERATION OF STREAM PROCESSING APPLICATIONS

MANAGEMENT AND FEDERATION OF STREAM PROCESSING APPLICATIONS DISS. ETH NO. 20172 MANAGEMENT AND FEDERATION OF STREAM PROCESSING APPLICATIONS A dissertation submitted to ETH ZURICH for the degree of Doctor of Sciences presented by MICHAEL ALEXANDER DULLER Master

Mehr

Servervirtualisierung

Servervirtualisierung Anton Scheiber Servervirtualisierung Möglichkeiten und Grenzen der Servervirtualisierung im Anwendungsfeld der Hospitality Industry Diplomica Verlag Anton Scheiber Servervirtualisierung: Möglichkeiten

Mehr

Addressing the Location in Spontaneous Networks

Addressing the Location in Spontaneous Networks Addressing the Location in Spontaneous Networks Enabling BOTH: Privacy and E-Commerce Design by Moritz Strasser 1 Disappearing computers Trends Mobility and Spontaneous Networks (MANET = Mobile Ad hoc

Mehr

IDS Lizenzierung für IDS und HDR. Primärserver IDS Lizenz HDR Lizenz

IDS Lizenzierung für IDS und HDR. Primärserver IDS Lizenz HDR Lizenz IDS Lizenzierung für IDS und HDR Primärserver IDS Lizenz HDR Lizenz Workgroup V7.3x oder V9.x Required Not Available Primärserver Express V10.0 Workgroup V10.0 Enterprise V7.3x, V9.x or V10.0 IDS Lizenz

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

LABOr: Europäisches Knowledge Centre zur beruflichen Ausbildung und Beschäftigung von Menschen mit Lernbehinderungen

LABOr: Europäisches Knowledge Centre zur beruflichen Ausbildung und Beschäftigung von Menschen mit Lernbehinderungen Beschäftigung von Menschen mit Lernbehinderungen EUR/01/C/F/RF-84801 1 Projektinformationen Titel: Projektnummer: LABOr: Europäisches Knowledge Centre zur beruflichen Ausbildung und Beschäftigung von Menschen

Mehr

Vorlesung Automotive Software Engineering Integration von Diensten und Endgeräten Ergänzung zu Telematik

Vorlesung Automotive Software Engineering Integration von Diensten und Endgeräten Ergänzung zu Telematik Vorlesung Automotive Software Engineering Integration von Diensten und Endgeräten Ergänzung zu Telematik Sommersemester 2014 Prof. Dr. rer. nat. Bernhard Hohlfeld Bernhard.Hohlfeld@mailbox.tu-dresden.de

Mehr

Disclaimer & Legal Notice. Haftungsausschluss & Impressum

Disclaimer & Legal Notice. Haftungsausschluss & Impressum Disclaimer & Legal Notice Haftungsausschluss & Impressum 1. Disclaimer Limitation of liability for internal content The content of our website has been compiled with meticulous care and to the best of

Mehr

Distributed testing. Demo Video

Distributed testing. Demo Video distributed testing Das intunify Team An der Entwicklung der Testsystem-Software arbeiten wir als Team von Software-Spezialisten und Designern der soft2tec GmbH in Kooperation mit der Universität Osnabrück.

Mehr

TVHD800x0. Port-Weiterleitung. Version 1.1

TVHD800x0. Port-Weiterleitung. Version 1.1 TVHD800x0 Port-Weiterleitung Version 1.1 Inhalt: 1. Übersicht der Ports 2. Ein- / Umstellung der Ports 3. Sonstige Hinweise Haftungsausschluss Diese Bedienungsanleitung wurde mit größter Sorgfalt erstellt.

Mehr