Neue Herausforderungen in der Netzsicherheit

Größe: px
Ab Seite anzeigen:

Download "Neue Herausforderungen in der Netzsicherheit"

Transkript

1 Alfried Krupp von Bohlen und Halbach Stiftungslehrstuhl Technik der Rechnernetze Institut für Experimentelle Mathematik und Institut für Informatik und Wirtschaftsinformatik 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Programm Gemeinsam organisiert von der ITG-Fachgruppe Sicherheit in Netzen und der GI/ITG-Fachgruppe Kommunikation und verteilte Systeme (KUVS)

2 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Veranstaltungsort Institut für Experimentelle Mathematik Ellernstr. 29, Essen Raum ES 08 Abendveranstaltung Dampfbierbrauerei Heinrich-Brauns-Str. 9, Essen Kontakt Institut für Experimentelle Mathematik Ellernstr Essen ewns@uni-due.de Tel: (Dr. Yves Igor Jerschow) Fax:

3 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Programmübersicht Montag, :30-12:30 Anmeldung 12:30-12:40 Begrüßung Erwin Rathgeb (Universität Duisburg-Essen) Session 1 12:40-13:10 Evaluation der Informationssicherheit von funkbasierten Hausautomationssystemen Andreas Hellmann (Universität Paderborn) 13:10-13:40 The NORNET Project: A Research Platform for Robust and Secure Networks Thomas Dreibholz (Simula Research Laboratory, Norway) 13:40-14:10 Not the Enemy but the Ally: Increasing the Security of Wireless Networks Using Smartphones Rodrigo do Carmo, Marc Werner, Paul Klobuszenski, Matthias Hollick (Technische Universität Darmstadt) Session 2 Pause 14:40-15:10 Central Firewalling in Campus Networks Alexander Vensmer (Universität Stuttgart) 15:10-15:40 Wenn DPI nicht tief genug ist Steffen Ullrich (genua mbh) 15:40-16:10 Von der Perimeter-Firewall zur Field-Firewall Andreas Brinner (genua mbh) Session 3 Pause 16:30-17:00 A Traceability Analysis of the New German Identification Card Frederik Möllers (Universität Paderborn) 17:00-17:30 Identification of Research Gaps in the NESSoS Common Body of Knowledge Kristian Beckers (Universität Duisburg-Essen) 17:30-18:00 Sichere nicht interaktive Client Puzzles gegen DoS-Angriffe in LANs Yves Igor Jerschow (Universität Duisburg-Essen) 19:30 Abendveranstaltung in der Dampfbierbrauerei

4 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Programmübersicht Dienstag, Session 4 09:00-09:30 Sunshine: Überblick Ralf Meister (Sunshine) 09:30-10:00 Echtzeiterkennung und Schutz vor Angriffen in SIP-basierten Netzwerken Dirk Hoffstadt (Universität Duisburg-Essen), Ralf Meister (genua mbh) 10:00-10:30 Sunshine: Investigating fraud in the light of intrusion detection Yacine Rebahi (Fokus), Matthias Liebig (ISACO GmbH) 10:30-11:00 Sunshine: Demo Sunshine-Partner Session 5 Pause 11:30-12:00 Untersuchung von Angriffen auf VoIP-Systeme basierend auf Flow-Daten und Paket-Traces Jochen Kögel (IsarNet), Dirk Hoffstadt, Dennis Weidlich (Universität Duisburg-Essen) 12:00-12:30 Cybergateways zur Absicherung kritischer Infrastrukturen Kai Dörnemann, Alexander von Gernler (genua mbh) 12:30-13:00 Blind Packet Forwarding Irfan Simsek (Universität Duisburg-Essen) Mittagspause 14:00-15:00 Sitzung der ITG-Fachgruppe Sicherheit in Netzen Feedback zum EWNS 2013 Festlegung der Beiträge der Fachgruppe zur Zukunft der Netze Future Internet: Architectures, Mobility and Security

5 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 WLAN-Zugangsdaten Verbinden Sie sich mit dem WLAN mit der SSID EWNS. Es ist mit WPA2- PSK gesichert. Das Kennwort hierfür lautet:...

6 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013 Anfahrtsbeschreibungen Institut für Experimentelle Mathematik Ellernstr Essen Das Institut für Experimentelle Mathematik liegt nördlich vom Zentrum Essen Richtung Altenessen. Es ist zu erreichen bei Anreise mit öffentlichen Verkehrsmitteln: Vom Hauptbahnhof Essen mit der Straßenbahn Nummer 106 in Richtung Altenessen Bf. Ausstieg an der Haltestelle Seumannstraße, links in die Ellernstraße. Nach 100 m liegt links das Institut. Anreise aus nördlicher Richtung mit dem PKW: Autobahn A42 am AS Kreuz Essen- Nord verlassen und der Bundesstraße B 224 in Richtung Essen folgen. Nach circa 2 km links in den Ellernplatz und dann rechts in die Ellernstraße einbiegen. Nach 300 m befindet sich rechts das Institut. Anreise aus südlicher Richtung mit dem PKW: Die A52 bei AS Essen-Rüttenscheid oder die A40 bei AS Essen-Zentrum-West verlassen, auf der B224 zunächst in einem großen Bogen die Essener Innenstadt in Richtung Norden umfahren. Man sieht dann den Hauptbau der Universität Duisburg-Essen auf der rechten Seite. Danach links in die Gladbecker Straße (B 224) einbiegen und die erste Möglichkeit zum Rechtsabbiegen (Ellernplatz) nutzen. Dampfbierbrauerei Heinrich-Braun-Str Essen Am Abend des 8. April laden wir Sie zu einem gemütlichen Abendessen in die Dampfbierbrauerei in Essen-Borbeck ein. Anreise mit öffentlichen Verkehrsmitteln: Fahren Sie vom Institut mit der Straßenbahn 106 zurück zum Hauptbahnhof. Von dort nehmen Sie die S9 zum Bahnhof Borbeck die Dampfbierbrauerei liegt direkt gegenüber dem Bahnhof. Mit dem PKW: Biegen Sie von der Ellernstraße auf die Altenessener Straße, nach 600m rechts abbiegen auf die Grillostraße. Nach einem weiteren Kilometer rechts abbiegen auf die Hans-Böckler-Straße/B224. Nach 800m rechts abbiegen auf die Altendorfer Straße. Folgen Sie nach ca. 3,5km der Schlossstraße für ca. 450m, dann rechts abbiegen auf die Borbecker Straße. Nach etwa einem halben Kilometer links abbiegen auf die Fürstäbtissinstraße. Nach 150m erreichen Sie die Heinrich-Braun- Straße. Fahrpläne für die öffentlichen Verkehrsmittel finden Sie auf den folgenden Seiten und unter

7 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

8 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

9 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

10 7. Essener Workshop Neue Herausforderungen in der Netzsicherheit April 2013

11 Evaluation der Informationssicherheit von funkbasierten Hausautomationssystemen Andreas Hellmann - Universität Paderborn - In den letzten Jahren wurden vielfältige Produkte und Anwendungen im Marktsegement der Hausautomation angeboten. Die auch als Smart Home bekannten Systeme sind bisher in nur wenigen privaten Neubauten installiert ([Str+10, S. 12]). Für die kommenden Jahre ist jedoch von einem starken Wachstum in diesem Bereich auszugehen ([Str+10, S. 35 ff.]). Der Fokus der Öffentlichkeit und der Hersteller ist in den meisten Fällen jedoch auf neue Funktionalitäten und eine verbesserte Integration der Technik in den Alltag des Benutzers gerichtet. Der Informationssicherheit von Hausautomationssystemen (HAS) und möglichen Bedrohungen, die durch unsichere Systeme entstehen, wird hingegen kaum Bedeutung beigemessen. Nicht zuletzt aufgrund der Ergebnisse verschiedener Datenschutzanalysen im Smart-Grid-Umfeld (z.b. [Khu+10]) ist deutlich geworden, dass durch das Protokollieren und Analysieren der Daten unzureichend gesicherter IT-Systeme in Privathaushalten in die Privatsphäre der Benutzer eingedrungen werden kann. Mögliche Auswirkungen werden bereits diskutiert (vgl. [BDK01, S. 52 ff.]) und die Informationssicherheit von offenen Standards und Protokollen der Haus- und Gebäudeautomation wird evaluiert ([Yan09]). Eine Betrachtung proprietärer Systeme hat bisher jedoch nicht ausreichend stattgefunden. Im Rahmen dieser Arbeit wird die Informationssicherheit eines verbreiteten, proprietären, funkbasierten HAS exemplarisch exploriert und evaluiert. Ziel der Arbeit ist es, mittels passiver Angriffe Automationsregeln und Verhaltensmuster der Benutzer aus den protokollierten Funknachrichten des HAS zu extrahieren. Ein weiteres Ziel ist die Manipulation des Verhaltens von Aktoren durch aktive Eingriffe in den Funkverkehr. Für die Umsetzung der passiven Angriffe wurde ein Sniffer-System implementiert, mit dem die Kommunikation des HAS in zwei realen Haushalten protokolliert wurde. Bei der Analyse der Paketdaten wurden zunächst die einzelnen Sensoren, Aktoren und zentralen Verwaltungseinheiten identifiziert, der jeweilige Modelltyp bestimmt und die Nachrichten interpretiert. Bis zu diesem Punkt mussten keine Schutzmechanismen umgangen werden, da sämtliche Statusänderungen und Befehle im Klartext übertragen werden. Für die Interpretation der Nachrichten konnte auf das Open-Source-Projekt FHEM zurückgegriffen werden, in dem bereits viele Nachrichtenformate als reguläre Ausdrücke enthalten sind. Auf dieser Basis erfolgte dann die Analyse der Protokolldaten durch Diagramme, einfache Korrelationsanalysen und Methoden zur Extraktion von Automationsregeln. Ergebnis der Analysen sind Automationsregeln und Verhaltensmuster der Benutzer, die bei einer abschließenden Abstimmung mit den Betroffenen im Wesentlichen verifiziert werden konnten. Insbesondere konnten Zeiten der Nachtruhe sowie der An- und Abwesenheit aus der mitgeschnittenen Kommunikation extrahiert werden. 1

12 Wie bereits bei der Durchführung der passiven Angriffe erkannt wurde, verfügt das evaluierte HAS mit einer Ausnahme über keine implementierten Sicherheitsmerkmale. Nur bei sicherheitsrelevanten Systemen, wie bspw. einem Türschließsystem, erfolgt ein mit AES-128 verschlüsseltes Challenge-Response zwischen dem Schließsystem und der Fernbedienung bzw. der zentralen Verwaltungseinheit. Für die Durchführung aktiver Angriffe wurde eine Testumgebung mit verschiedenen Komponenten eingrichtet, von denen ein Teil das AES-Challenge-Response-Verfahren unterstützt. Gegen die Komponenten, in die keine AES-Unterstützung integriert ist, konnten erfolgreiche Replay-Angriffe durchgeführt werden. Zudem ist es möglich mit gezielten DoS-Angriffen die Reaktion und Funktion der Sensoren und Aktoren zu verhindern. Durch die in dieser Arbeit durchgeführten passiven und aktiven Angriffe gegen ein HAS konnte exemplarisch gezeigt werden, dass unzureichende bzw. nicht vorhandene Sicherheitsmaßnahmen, ein Eindringen in die Privatsphäre der Benutzer erlauben. Darüber hinaus ist es möglich die Kontrolle über unzureichend geschützte Geräte im HAS zu übernehmen. Die Ergebnisse dieser Arbeit sind auf viele andere HAS übertragbar, bei denen ebenfalls keine geeigneten Schutzmaßnahmen implementiert sind. Literatur [BDK01] [Khu+10] [Str+10] [Yan09] P. Bergstrom, K. Driscoll und J. Kimball. Making home automation communications secure. In: Computer (Okt. 2001), S issn: doi: / H. Khurana u. a. Smart-grid security issues. In: Security Privacy, IEEE 8.1 (Jan. 2010), S issn: doi: /MSP H. Strese u. a. Smart Home in Deutschland: Untersuchung im Rahmen der wissenschaftlichen Begleitung zum Programm Next Generation Media (NGM) des Bundesministeriums für Wirtschaft und Technologie. Berlin, Mai Bin Yang. Study on Security of Wireless Sensor Network Based on ZigBee Standard. In: Computational Intelligence and Security, CIS 09. International Conference on. Bd. 2. Dez. 2009, S doi: / CIS

13 The NORNET Project: A Research Platform for Robust and Secure Networks Thomas Dreibholz Simula Research Laboratory Martin Linges vei 17, 1364 Fornebu, Norway dreibh@simula.no Abstract This talk gives an overview of the NORNET project, the new Internet testbed for multi-homed systems, and its research objectives. 12 Keywords: NORNET, Testbed, Multi-Homing, Setup, Research I. INTRODUCTION Having stable and uninterrupted Internet connectivity is becoming increasingly important, particularly with regard to applications like cloud computing, service as a platform and many others. Connectivity problems could e.g. be caused by a hardware failure or a natural disaster. In order to improve the robustness of Internet connectivity, it is obvious to connect endpoints to multiple Internet service providers (ISP) simultaneously. This property is denoted as multi-homing. For example, Transport Layer protocols like the Stream Control Transmission Protocol (SCTP, RFC 4960 [1]) or Session Layer frameworks like Reliable Server Pooling (RSer- Pool, RFC 5351 [2]) make use of multi-homing to support availability-critical applications. However, while in theory a failure of one ISP should be independent of other ISPs, it is not really known what happens in practise in today s commercial networks. It is evident that there are hidden dependencies among ISPs. Also, what about connectivity problems due to intentional malicious behaviour, i.e. targeted attacks on such systems? Research in realistic Internet setups is clearly necessary, in order to answer these open questions. For that purpose, the NORNET project is building up a multi-homed testbed distributed all over the country of Norway. This talk gives some basic ideas on NORNET as well as an overview of its intended research objectives. II. SETUP The NORNET testbed consists of two separate parts: 1) NORNET CORE: the wired part, and 2) NORNET EDGE: the wireless part. A. NORNET CORE For NORNET CORE, there is a hardware setup as shown in Subfigure 2(a) at in the near future 10 different sites distributed over Norway. Figure 1 depicts these sites on the mainland of Norway as well as the islands of Svalbard, with the central site containing the management infrastructure at the Simula Research Laboratory [3] in Fornebu (nearby Oslo). Each site setup consists of a switch, a router (the first 1 Parts of this work have been funded by the Research Council of Norway (Forskingsrådet), prosjektnummer /F50. 2 The author would like to thank Hakim Adhari for his friendly support. Figure 1. The NORNET CORE Sites Map server) and three research nodes (the lower three servers). The research nodes run virtual machines for experiments. In the usual case, the research systems run PLANETLAB-based software [4]. However, it is also possible to add custom system images as well (e.g. to boot special operating systems or adapted kernels). The router connects the research setup to the different ISPs at the corresponding site (in the picture: currently only one). It is based on Linux and utilises IP-rules [5] to realise routing via different ISPs. That is, based on the source address of an IP packet, a per-isp routing table is chosen. For example, if the source address of a packet is within the IP range of the ISP VERSATEL, it should be routed via the VERSATEL ISP connection. On the other hand, if it has a DFN source address, it should go out via the DFN interface. By setting the Type of Service (TOS) field of IPv4 packets/traffic Class of IPv6 packets to certain values, a researcher may also explicitly select the outgoing interface, i.e. he could e.g. send a packet from a DFN IP address out over the VERSATEL interface. The connectivity between sites is realised via GRE and IPv6- over-ipv6-based static tunnels, i.e. there is full control over the

14 (a) A NORNET CORE Site (b) A NORNET EDGE Node Figure 2. The NORNET Hardware outgoing local interface/isp as well as the incoming remote interface/isp. A more detailed introduction to NORNET CORE can be found in [6]. B. NORNET EDGE For research on wireless networks, it is clearly necessary to have a much more fine-granular view of the networks than it is necessary for wired networks. Therefore, NORNET EDGE needs significantly more sites. For that purpose, each NORNET EDGE site consists of a NORNET EDGE node, as depicted in Subfigure 2(b). It is a small, Linux-based embedded system, equipped with up to four USB-stick-based UMTS modems (for the four UMTS providers in Norway: TELENOR, NETCOM, NETWORK NORWAY, TELE2) and an ICE modem (CDMA-based mobile broadband). Optionally, the node can also be connected via Ethernet to a wired network for administrative purposes. So far, around 300 of these nodes have been distributed; in addition, 200 are planned in the future. III. RESEARCH Clearly, the main research objectives of the NORNET testbed are subjects related to robustness and multi-homing, i.e. how to make the connectivity more robust for availabilitycritical applications as well as how to simultaneously utilise multiple ISP connections to improve application payload throughput and quality of service by using load sharing and appropriate data scheduling. Of particular interest in this context is current research on multi-path transport, e.g. based on Concurrent Multipath Transfer with SCTP (CMT-SCTP [7], [8]) as in [9], as well as congestion control strategies for multipath transport as in [10]. Real-world Internet experience with such new approaches is also highly relevant in the context of IETF standardisation, as it is necessary for e.g. CMT- SCTP [11]. Research on robustness is clearly related to discovery and handling of currently hidden dependencies among different ISPs. However, while most research in this context currently focusses on unintended service interruptions like natural disasters or hardware issues, it is clearly necessary to also take maliciously intended denial of service into consideration. That is, how can an attacker exploit the existence of multiple ISP connections to cause service interruptions and, of course, how can this be prevented? Particularly, are there already attacks on multi-homed system ongoing in the Internet of today? These topics are highly new and should be answered right before attackers actually get able to successfully run large-scale exploits. REFERENCES [1] R. R. Stewart, Stream Control Transmission Protocol, IETF, Standards Track RFC 4960, Sept. 2007, ISSN [2] P. Lei, L. Ong, M. Tüxen, and T. Dreibholz, An Overview of Reliable Server Pooling Protocols, IETF, Informational RFC 5351, Sept. 2008, ISSN [3] A. Tveito, A. M. Bruaset, and O. Lysne, Simula Research Laboratory by thinking constantly about it. Heidelberg, Baden-Württemberg/Germany: Springer, Nov. 2009, ISBN [4] M. Huang, MyPLC User s Guide, Aug [5] M. A. Brown, Guide to IP Layer Network Administration with Linux, Apr [6] T. Dreibholz and E. G. Gran, Design and Implementation of the NorNet Core Research Testbed for Multi-Homed Systems, in Proceedings of the 3nd International Workshop on Protocols and Applications with Multi-Homing Support (PAMS), Barcelona, Catalonia/Spain, Mar [7] T. Dreibholz, Evaluation and Optimisation of Multi-Path Transport using the Stream Control Transmission Protocol, Habilitation Treatise, University of Duisburg-Essen, Faculty of Economics, Institute for Computer Science and Business Information Systems, Mar [8] J. R. Iyengar, P. D. Amer, and R. Stewart, Concurrent Multipath Transfer using SCTP Multihoming over Independent End-to-End Paths, IEEE/ACM Transactions on Networking, vol. 14, no. 5, pp , Oct. 2006, ISSN [9] T. Volkert, M. Becke, M. Osdoba, and A. Mitschele-Thiel, Multipath Video Streaming based on Hierarchical Routing Management, in Proceedings of the 3nd International Workshop on Protocols and Applications with Multi-Homing Support (PAMS), Barcelona, Catalonia/Spain, Mar [10] M. Becke, T. Dreibholz, H. Adhari, and E. P. Rathgeb, On the Fairness of Transport Protocols in a Multi-Path Environment, in Proceedings of the IEEE International Conference on Communications (ICC), Ottawa, Ontario/Canada, June 2012, pp [11] P. D. Amer, M. Becke, T. Dreibholz, N. Ekiz, J. R. Iyengar, P. Natarajan, R. R. Stewart, and M. Tüxen, Load Sharing for the Stream Control Transmission Protocol (SCTP), IETF, Network Working Group, Internet Draft Version 05, Sept. 2012, draft-tuexen-tsvwg-sctp-multipath- 05.txt, work in progress.

15 Not the Enemy but the Ally: Increasing the Security of Wireless Networks Using Smartphones Rodrigo do Carmo, Marc Werner, Paul Klobuszenski, and Matthias Hollick Technische Universität Darmstadt, Secure Mobile Networking Lab (SEEMOO) {rodrigo.docarmo, marc.werner, paul.klobuszenski, Abstract Intrusion detection in wireless multihop networks (WMNs) is notoriously difficult due to the wireless nature of the network and the constraint resources of the nodes forming the WMN. In this paper, we show the feasibility of deploying smartphone-based sensors for intrusion detection in WMNs. The phones extend the capabilities of our practical active-probing-based intrusion detection system DogoIDS, and allow to acquire strategic network information by offering a high number of mobile intrusion sensors. We introduce the design of our smartphonesupported IDS and its integration with DogoIDS. We present preliminary results on the detection capabilities and the performance of our system. I. INTRODUCTION Wireless Multihop Networks (WMNs) offer several unique properties that make them suitable for different application scenarios. These properties include the decentralized networking model and the self-organization of participating nodes, the cooperative transmission of packets, the openness of the medium and their static and mobile nodes. However, these properties of WMNs render them vulnerable to a plethora of attacks [1]. Thus mechanisms for attack detection and mitigation in WMNs are indispensable. Different Intrusion Detection Systems (IDS) have been proposed for WMNs. Most of them are based on the distributed deployment of detection sensors on the nodes of the network. The sensors perform passive eavesdropping of the medium to detect malicious activity. Existing work however shows that the distributed intrusion detection systems overwhelm the limited resources of the constraint network devices [2]. Also passive eavesdropping of the medium severely limits the number of attacks that can be detected in the aforementioned class of networks [3]. An alternative to passive distributed intrusion detection has been proposed in [4] where the authors present DogoIDS, an intrusion detection system which is deployed on a mobile platform. DogoIDS overcomes the problems of using distributed, passive sensors and employs an active technique that transmits selected probes to the network nodes to detect malicious activity. Given the daily increasing number of smartphones available and their frequent connection to WMNs, the research question we try to answer is: can we increase the efficiency of active intrusion detection with the help of smartphones? In this work we answer this question by extending the detection capabilities of DogoIDS by employing smartphones to send probes and gather measurement data. We propose the employment of a IDS-sensor application deployed on smartphones. On the one hand, it enriches and complements the information of deployed IDSs. On the other hand, it lets DogoIDS detect sophisticated attacks that require correlated information from a multitude of sensors. II. SMARTPHONE-SUPPORTED MOBILE INTRUSION DETECTION The role of the smartphones is not to monitor activities in the area autonomously but to take certain actions on behalf of the IDS. These actions, called tasks, might have a very broad range; from a simple ping command to simulating user behavior e.g. while browsing the web. The information gathered this way is forwarded to and analyzed by the IDS. A. Smartphone App Our application runs on conventional smartphones without any modification (such as rooting). We know that with this design criterion we are limiting the capabilities of the application, for example denying direct access to the wireless hardware. However, this design increases the users acceptance and therefore boosts the number of sensors deployed. The application uses WebSockets [5] to communicate with the central controller. It runs as a background service waiting for tasks to execute. The IDS decides if a task has to be executed and schedules it for one or multiple smartphones. The phones then execute the given tasks and report the results back to the controller using the WebSockets connection. Additionally each phone sends periodic keep-alive messages to ensure that the connection to the controller is not lost. The controller acts as a proxy between the smartphone and the IDS thus allowing different instances of the IDS to submit tasks to the phone and to access and analyze the results. B. Security Model Our distributed IDS needs to be protected against attackers to avoid introducing a novel attack vector to the WMN. The protection goals are as follows: authentication of both the controller and the smartphone, confidentiality of the communication between controller and smartphones, privacy of the communication and the probing packets and integrity of all messages exchanged. The application is deployed with the public key of the IDS controller. The IDS signs each task execution request with its private key and when a request reaches the smartphone, the application first verifies the signature of the task before proceeding with the execution. This ensures that only valid requests from an authorized IDS are executed and that malicious requests are blocked. In the direction from the smartphone to the IDS, the WebSocket server implements a username/password authentication scheme. Each smartphone is provisioned with individual credentials and needs to authenticate before receiving requests and returning results to the controller. The whole communication between the controller and its clients is encrypted via SSL. This measure prevents passive eavesdropping and modification of tasks and task results while they are being transferred. To avoid the detection of the control and measuring traffic and its triggered requests, the IDS as well as the phones can undertake defensive measures. The scheduling of the task execution can be randomized and imitate legitimate network usage. This prevents an attacker from filtering the control messages of the system or behaving benign only when an analysis is running.

16 TABLE I IMPLEMENTED TASKS. Name httprequest httpping ping wifiscan Description Performs a HTTP GET request of the specified URL. A HTTP GET request is executed but only the HTTP header are stored as a result. Sends an ICMP Ping to the specified destination IP address. The size as well as the number of repetitions can be specified. Performs a scan for wireless networks. The detected networks along with their properties are stored as the result. C. IDS Tasks Tasks are actions performed by the smartphone when requested by the IDS. We list the currently implemented tasks in Table I. The tasks are initiated by the IDS and sent to the controller for distribution to the connected smartphones. Each task can be executed on either one or multiple phones and it has a time to live (TTL) which we use to filter out old requests that have been queued too long and are of no interest to the IDS anymore. This can happen if either a smartphone received a task and then lost the connection to the WMN or if the IDS employs the smartphone sensors to examine a currently running attack where the results are time critical. Each task generates a separate set of results which are sent back to the controller for distribution to the connected IDS where further analysis of the current network state is done. III. PRELIMINARY RESULTS In this section we present preliminary results of our smartphonesupported IDS. First we evaluate the performance of the application on the smartphones and we examine the improvements in the intrusion detection process afterwards. We implemented the smartphone app in Java and deployed it on smartphones running Android We tested its performance in a wireless mesh network running the open80211s [6] implementation of the IEEE s standard. A. Performance We evaluated the battery lifetime and the CPU consumption of the application in idle state as well as when executing tasks. We compared these results with the performance of the otherwise idle smartphone. The experiments were performed on both a Samsung Galaxy Nexus and a Samsung Nexus S. Our results show that the battery lifetime decreases by about 3.8% per hour on the Nexus S and by about 1.7% per hour on the Galaxy Nexus compared to 1.2% and 1.0% respectively on the idle phone. This increase in battery consumption is mostly due to the application constantly running in the background and keeping a partial wake-lock which prevents the CPU from going to sleep. The execution of tasks does not put much additional load on the phones and thus does not influence the battery lifetime significantly. Our results also show that the battery of both smartphones will still last for over 24 hours when constantly running the application in the background and therefore it is still reasonable to deploy the software as we can expect most phones to be charged over night. B. Colluding attack For a first evaluation of the attack detection we have chosen a scenario where two hosts launch a colluding attack [1]. The network setup prepared for the evaluation of this attack is presented in Figure 1. Node number 3 forwards all data packets which are not designated Fig. 1. Testbed setup for the colluding attack. for the node itself to node 4. Packets which are designated for node 3 are handled correctly while node 4 simply drops all incoming packets. During the attack the phones B and C do not sign out from the controller and the controller stops receiving keep-alive packets from these phones while node 3 still responds to any request. Both smartphones A and D try to reach nodes 3 and 4 as well as trying to reach B and C but only the requests sent to node 3 are executed successfully. All other connection attempts fail. This narrows down the problem area to just two nodes in this example. We show that the smartphones can give valuable hints to the IDS during an attack situation. When we run a colluding attack on our test network, the IDS has to evaluate the behavior of only two nodes instead of (in the worst case) five before finding the attacker. IV. CONCLUSION AND FUTURE WORK In this extended abstract we show that smartphones can effectively increase the detection capabilities of an active-probing-based IDS in WMNs. For this purpose we deploy a lightweight application on each phone which does not require special privileges. The application executes tests on behalf of the IDS and sends back the results of the measurements to the IDS for further evaluation. The overhead on the phones is minimal as the application is only active when triggered by the IDS. The detection speed of the IDS is significantly increased compared to a single mobile IDS instance by employing the smartphones and it improves with the number of phones available. As future work we plan to evaluate the detection of more sophisticated attacks. It is also planned to deploy the application on a larger network with more phones connected to show the effectiveness of our approach when applying more sensors. ACKNOWLEDGMENTS This work was supported by LOEWE CASED ( and the DFG RTG 1362: GKMM ( REFERENCES [1] B. Kannhavong, H. Nakayama, Y. Nemoto, N. Kato, and A. Jamalipour. A survey of routing attacks in mobile ad hoc networks. IEEE Wireless Communications, 14(5):85 91, [2] A. Mishra, K. Nadkarni, and A. Patcha. Intrusion detection in wireless ad hoc networks. IEEE Wireless Communications, 11(1):48 60, [3] R. V. Boppana and X. Su. On the effectiveness of monitoring for intrusion detection in mobile ad hoc networks. IEEE Trans. on Mobile Computing, 10(8): , [4] R. do Carmo and M. Hollick. DogoIDS: A mobile and active intrusion detection system for IEEE s wireless mesh networks. In Proc. 2nd ACM Workshop on Hot Topics on Wireless Network Security and Privacy (HotWiSec 13). Accepted for publication, to appear, [5] I. Fette and A. Melnikov. RFC 6455: The WebSocket Protocol. RFC, Internet Engineering Task Force, Accessed 19 March [6] open80211s project. online. Accessed 11 February 2013.

17 !" "#$%& '( ' )* +, ))--.-/.*)( /.0,.)**1,2(-., /.3/./.-) )) /7 /.*/.8, /. 9,- ).):/.;:0)-* ;::/. 8,)/)),,/.*),*: - ( /./.*))+,, 3/.*)-, /.,-,)- *,,,,,/. * /..+) ( 1/.* /.);:,). /.)( :/.

18 1 Zusammenfassung Wenn DPI nicht tief genug ist Steffen Ullrich, genua mbh, BMBF-Projekt Padiofire Ein aktueller Trend bei Perimeterfirewalls ist die Nutzung von Deep-Packet-Inspection (DPI) zur Applikationserkennung, und darauf aufbauend der Blockierung von unerwünschten Protokollen oder Inhalten. Mit Begriffen wie Next Generation Firewall (NGFW) oder Unified Threat Management (UTM) werden Lösungen angeboten, die eine volle Kontrolle über das Netzwerk bei dennoch hoher Performance versprechen. Wir betrachten, wie gut diese Produkte wirklich sind, welche Probleme man mit DPI prinzipiell angehen kann und wann eine über existente Lösungen hinausgehende Inspektion und Manipulation der Daten notwendig ist. Unser Fokus liegt dabei auf der Absicherung von Clients durch Perimeterfirewalls innerhalb des Web 2.0. Um tiefergehende Analysen zu vereinfachen, haben wir im Forschungsprojekt Padiofire eine Schnittstelle entwickelt, die bei Analysesystemen, wie z.b. Intrusion Detection System (IDS), Intrusion Prevention System (IPS) oder Firewall, eine Trennung zwischen Datenextraktion und Datenanalyse schafft. Das erlaubt es, sich auf die zügige Umsetzung neuer Ideen zu konzentrieren und gleiche Analysen in verschiedenen Systemen zu verwenden. 2 Deep Packet Inspection Ursprünglich war DPI der Versuch, durch Signaturanalyse einzelner Datenpakete Angriffe zu erkennen. Später wurden für Signaturvergleiche in streambasierten Protokollen wie HTTP die Daten mehrerer Pakete aggregiert. Moderne Systeme können auch tiefere Aggregierungen, wie z.b. einzelne Requests innerhalb einer HTTP-Verbindung, vornehmen. Aktuell werden unter dem Namen DPI auch Lösungen angeboten, die in der Lage sind, SSL- oder SSH-Verbindungen aufzubrechen (d.h. Man In The Middle), um so verschlüsselte Kommunikation zu analysieren. Allen Interpretationen des Begriffs ist aber gemein, dass man sich auf die Inspektion der Daten beschränkt, sie also nicht verändert. 2.1 Anwendungsfälle Aktuelle DPI Produkte lassen sich grob nach ihrer Nutzung in Lösungen zur Netzwerkoptimierung und Sicherheitslösungen unterteilen. Bei der Netzwerkoptimierung geht es um eine applikationsspezifische Bevorzugung (z.b. VoIP) oder Behinderung (z.b. P2P) von Daten in Real-time. Daher müssen hier Applikationen möglichst schnell erkannt werden, selbst wenn das zu Lasten der Genauigkeit geht. Im Bereich der Netzwerksicherheit hingegen wird die Applikationserkennung zum Monitoring und zur Durchsetzung von Policies benutzt. Auch wenn die Geschwindigkeit weiterhin wichtig ist, so ist die Präzision kritisch, da Fehlklassifikationen sicherheitsrelevant sein können. Aufbauend auf die Applikationserkennung findet zusätzlich oft eine Malwareerkennung oder Data Leakage Prevention (DLP), d.h. Schutz gegen unerwünschten Abfluß von Informationen, statt, ebenfalls unter Nutzung von DPI. 2.2 Möglichkeiten und Grenzen von DPI Um bessere Durchsatzzahlen präsentieren zu können, werden in der Praxis öfter Optimierungen eingesetzt, die zu Lasten der Sicherheit gehen. Ein Beispiel ist der standardmäßig aktive App-Cache bei Palo Alto Networks. Wenn zwischen zwei Endpunkten stets die gleiche Applikation (z.b. SIP oder Google) genutzt wird, wird nach einiger Zeit davon ausgegangen, dass dieses auch in Zukunft der Fall sein wird. Die erkannte Applikation wird dann in den App-Cache eingeführt um so zukünftige Analysen zu ersparen. Zusammen mit der schwachen initialen Applikationserkennung kann man dadurch applikationsspezifische Policies umgehen. 1

19 Ähnlich problematisch ist die standardmäßige Begrenzung der analysierten Datenmenge bei Fortinet. Ein Angreifer kann mit einem sehr großen HTTP-Response-Header dieses Limit überschreiten und eine im HTTP-Body befindliche Malware am IPS vorbeischmuggeln. Auch wenn man diese Probleme auf Kosten der Performance lösen könnte, so bleibt, dass bei DPI die Daten nur inspiziert, aber nicht verändert werden. Daten mit mehreren Interpretationsmöglichkeiten (z.b. unterschiedliche Content-length bei HTTP), Stückelung (z.b. Range-Header bei HTTP), Einsatz von neueren Kompressionsalgorithmen (sdch) oder Transportprotokollen (SPDY) erlauben einen Bypass des IPS, wenn dieses die Inhalte nicht oder anders als das Zielsystem interpretiert, oder im Gegensatz zum Zielsystem keine vollständige Sicht auf die Daten hat. Wenn man die Daten hingegen modifizieren kann, so ermöglicht das neben der Normalisierung ambivalenter Inhalte und Durchsetzung gewünschter Protokolle oder Protokollteile auch weitere sicherheitsrelevante Anpassungen, wie z.b. Entfernen von Cookies bei Cross-Site HTTP-Requests als Schutz gegen CSRF oder Einfügen einer Content-Security-Policy in HTTP-Response-Header, um XSS zu erschweren. 3 Deeper Data Inspection and Modification Im Forschungsprojekt Padiofire beschäftigen wir uns damit, wie mit Hilfe von Perimeterfirewalls eine sichere Nutzung des inherent unsicheren Web ermöglicht werden kann. Reines DPI ist auf Grund der beschriebenen Limitierungen nicht in der Lage, aktuelle Attacken wie z.b. Cross-Site-Scripting (XSS), Cross-Site-request-Forgery (CSRF) oder Malvertising, effektiv zu verhindern. Daher werden Lösungen gebraucht, die sowohl tiefer und zuverlässiger analysieren, wie auch in der Lage sind, Daten zu verändern. Um effizient eine Vielzahl von Ideen für tiefere Analysen evaluieren zu können und diese einfach in verschiedenen Analysesystemen nutzbar zu machen, haben wir eine Schnittstelle zur Trennung von Datenextraktion und Analyse entwickelt, die sowohl Inspektion wie auch Modifikation der Daten ermöglicht. 3.1 Inspection and Modification Protocol - IMP Während bei Protokollen wie ICAP die kompletten Daten erst gesammelt und dann im Gesamten verarbeitet werden, analysiert IMP die Daten inkrementell und gibt die Ergebnisse so früh wie möglich zurück. Dieses Vorgehen ermöglicht es auch, gezielt Daten vorab von der Analyse auszuschließen. Das ist z.b. interessant, wenn man nur bestimmte Antworten bei HTTP analysieren will. Da über eine TCP-Verbindung mehrere HTTP-Requests erfolgen können, kann man einfach die uninteressanten Daten überspringen, und damit die Performance des Systems deutlich erhöhen. Die Schnittstelle ist bereits in der Firewall genugate der Firma genua enthalten und wird dort zur Analyse von (auch mit SSL verschlüsselten) TCP-Verbindungen genutzt. Es existiert eine freie Implementation in Perl, welche neben der Schnittstelle auch bereits diverse Analysen und Analysesysteme beinhaltet. 3.2 Resultate Unter Nutzung der IMP Schnittstelle wurden verschiedene Ideen zur Verbesserung der Sicherheit im Web als Proof Of Concept implementiert. So analysiert eine Komponente den HTTP-Verkehr und erstellt automatisch site-spezifische Profile, welche dann über eine in den Response-Header injizierte Content-Security-Policy von modernen Webbrowsern durchgesetzt werden. Eine weitere Analysekomponente entfernt Autorisierungsinformationen aus Cross-Site-Requests, um so CSRF zu unterbinden. Auch wird über IMP die im Forschungsprojekt Padiofire entwickelte Bibliothek libpadiofire angebunden, welche mit Hilfe von Website-spezifischen Profilen versucht abnormales Verhalten (z.b. XSS) zu erkennen und zu unterbinden. Weitere Ideen, wie die Nutzung von Google Safebrowsing und Anzeigenblockern gegen Malware und Malvertising, liessen sich ebenfalls einfach umsetzen. Wir implementieren IMP auch in weitere Analysesysteme. Für das genugate sind u.a. Analysen von HTTP und von SSH-Forwardings geplant. Weitere Forschungsprojekte beschäftigen mit der Anbindung an den OpenBSD relayd Proxy und mit dem Einsatz in Software Defined Networks (SDN) innerhalb eines OpenFlow-Controllers. 2

20 Von der Perimeter-Firewall zur Field-Firewall Andreas Brinner genua mbh, BMBF-Projekt vmfire 8. März 2013 Perimeter-Firewalls setzen klar getrennte, gute und böse Netze voraus, zwischen denen sie als Schutzwall gegen Angriffe eingesetzt werden können. Doch viele Netzwerkangriffe haben ihren Ursprung gar nicht mehr im externen Netzwerk. Mietserver in Rechenzentren und Virtual-Hosting sind Beispiele, wie sich ein Angreifer legalen Zugriff auf ein Netzwerk verschaffen kann, ohne dass eine Perimeter- Firewall etwas dagegen unternehmen könnte. Die Grenzen zwischen Gut und Böse, drinnen und draußen, vertrauensvoll und nicht vertrauensvoll verschwimmen. Abhilfe kann hier die im Rahmen des vmfire-projekts entwickelte Field-Firewall schaffen, die auch im internen Netzwerk die Datenströme untersuchen und blockieren kann. 1 Die Perimeter-Firewall Eine Perimeter-Firewall wird am Verbindungspunkt zweier Teilnetze mit häufig unterschiedlichen Sicherheitsniveaus eingesetzt (siehe Abbildung 1), um dort den Datenverkehr zu überwachen und zu regeln. Oft ist dies der Zugangspunkt vom eigenen Netzwerk zum Internet. Sie dient dazu, unerwünschten Datenfluss entlang der Verbindung V1 zwischen den Netzsegmenten zu unterbinden. Segment nicht vertrauenswürdig ist (Abbildung 1). Man muss somit allen Netzteilnehmern des eigenen Netzes vertrauen können. Dies mag für Firmennetzwerke und firmeneigene Rechenzentren in erster Näherung noch gelten, doch schon bei genauerer Betrachtung müssen Zweifel daran aufkommen. Ein einzelner, nicht vertrauenswürdiger Teilnehmer innerhalb des Netzwerks ist ausreichend, um die Sicherheit des gesamten Netzsegments zu gefährden. Dies kann durch Kompromittierung eines Dienstes geschehen, aber auch durch Anmieten eines Servers oder einer virtuellen Instanz bei einem Hostingprovider. Abbildung 1: Die Perimeter-Firewall Prinzipbedingt kann die Perimeter-Firewall nur solche Daten (V1) filtern, die durch sie hindurch, also vom einen Segment in das andere gehen. Verbindungen (V2) zwischen Netzteilnehmern, die sich beide im selben Segment befinden, können von der Perimeter-Firewall nicht gefiltert werden. 2 Unzulänglichkeiten Der Perimeter-Firewall (PF) liegt die Annahme zugrunde, dass das eine Segment (meist das eigene Netzwerk) vertrauenswürdig und das andere Abbildung 2: Angriffsvektoren und Firewalls im Rechenzentrum In Abbildung 2 ist ein solcher Fall für ein Rechenzentrum dargestellt. Die Perimeter-Firewall (PF) schützt die Server zwar vor einem Angreifer (A) aus dem Internet, aber nicht vor dem Angreifer (B) vom Server 3. Um auch vor diesem Angriff zu schützen, benötigt man vor jedem Server eine eigene Firewall (FF). Ähnlich verhält es sich bei einem virtualisierten 1

21 Abbildung 3: Angriffsvektoren und Firewalls auf virtualisierten Hosts Host und dessen Gästen, wie in Abbildung 3 gezeigt. Auch hier wird zum Schutz vor Angriffen vor jedem virtuellen System je eine Firewall (FF) benötigt. 3 Die Field-Firewall Die im vorherigen Abschnitt gewonnenen Erkenntnisse können auf verschiedenen Wegen umgesetzt werden. Man könnte natürlich vor jedem Server eine physikalische Perimeter-Firewall einsetzen. Dies wäre allerdings aus einrichtungs- und wartungstechnischer Sicht sehr aufwändig und aus ökonomischer Sicht extrem kostspielig. Eine weitere Möglichkeit wäre der Einsatz einer Distributed-Firewall [2], [3]. Diese besteht aus einer Filtersoftware, die auf allen Computern installiert wird und einer Administrationskomponente, die eine zentrale Konfiguration der Filterregeln ermöglicht. Durch die Notwendigkeit, auf jeder zu schützenden Einheit eine Filtersoftware installieren zu müssen, ergeben sich mehrere Nachteile: Die Filtersoftware wird für alle Betriebssystemvarianten, die im Netzwerk vorkommen, benötigt. Systeme, auf denen die Filtersoftware nicht installiert werden kann, können mit dieser Lösung nicht geschützt werden und benötigen einen separaten Schutz. Eine Softwarefirewall kann ein System nur begrenzt schützen. Fehler, zum Beispiel im Netzwerkstack des Betriebssystems, können damit nicht geschützt werden. Um diese Probleme zu umgehen wurde im vmfire-projekt das Konzept der Field-Firewall entwickelt. Dieses sieht, ähnlich einer Distributed- Firewall, zwei Komponenten vor. Das Filtern von Datenpaketen findet jedoch in den aktiven Komponenten des Netzwerks, wie zum Beispiel den Switchen, statt. Diese verbinden sich mit einem zentralen Controller, der die benötigten Filterregeln erstellt, verteilt und überwacht. Durch diesen Aufbau kann in einem Netzwerk sukzessive eine Field-Firewall eingerichtet werden, ohne dass Endgeräte wie Server, Arbeitsplatzrechner oder Drucker angepasst werden müssen. Die Field-Firewall kann vor allem Paketfilterfunktionen übernehmen. Auch ein Schutz gegen klassische Netzwerkangriffe wie ARP-Spoofing und Rogue-DHCP-Server wurde im Rahmen des vmfire- Projekts schon aufgezeigt und implementiert. Tiefergehende Filterfunktionen, wie sie Application- Level-Gateways bieten, lassen sich aus Performancegründen nur eingeschränkt umsetzen, sind aber auch denkbar. Daher sollte die Field-Firewall eine Perimeter-Firewall nicht ersetzen, sondern geschickt ergänzen. 4 Umsetzung und Ausblick Mit Hilfe des neuen Standards OpenFlow [4] für softwaredefinierte Netze (SDN) lässt sich eine solche Field-Firewall realisieren. Die OpenFlow- Switches bilden die filternden Netzwerkkomponenten und der OpenFlow-Controller die zentrale Instanz. Durch geschicktes Programmieren des OpenFlow-Controllers und Beschreiben der Flow- Tabellen in den Switchen lässt sich ein hohes Maß an Sicherheit bei guter Performance erreichen. OpenFlow kann auch in virtuellen Umgebungen eingesetzt werden. Durch Verwendung des Open vswitches [1] verschwimmen die Übergänge zwischen physikalischem und virtuellem Netzwerk. Durch den Wegfall des Medienbruchs ergibt sich eine einheitlichere Administration des Netzwerks und unerwünschte Datenpakete können schon direkt an der Quelle ausgefiltert werden. Literatur [1] Open vswitch. [2] Steven M. Bellovin. Distributed firewalls. login, pages 37 39, November [3] Sotiris Ioannidis, Angelos D. Keromytis, Steve M. Bellovin, and Jonathan M. Smith. Implementing a distributed firewall. Proceedings of Computer and Communications Security (CCS), pages , November [4] Open Networking Foundation, https: // stories/downloads/specification/ openflow-spec-v1.3.1.pdf. OpenFlow Switch Specification, version edition, September

22 A Traceability Analysis of the New German Identification Card Frederik Möllers FG Sicherheit in Netzwerken Universität Paderborn While electronic identification documents featuring contactless interfaces become more and more common, the concern about the security of these devices grows correspondingly. Identity theft, fake identities and traceability of people are some of the dangers that come with the introduction of this new technology. While the parties involved in the development try to make the documents as secure as possible, many people doubt that this will keep adversaries from exploiting the devices for their own benefit. In November 2010, the German government introduced the new Identification Card which, among other features, included an RFID chip for the first time. This chip allows authorities and certified institutions to access information stored on it using wireless communication. While the protocols are considered to provide adequate security against unauthorized access, little research has been conducted on the topic of recognizability and traceability. This talk aims to provide an insight into this topic by analysing side-channel information from the communication with these cards. Individuals can obtain this information without having to perform any kind of authorization. Thus, if it allows recognition of cards, they can be tracked together with their owners. Attackers could sample the movement behaviour of a victim by placing RFID readers in various places. During the master's thesis which this contribution is built upon, a software to gather timing patterns of Identification Cards was implemented using widely available hardware. Several samples from different cards have been aggregated and analysed. The task was to find out whether one can distinguish between different cards and recognize single cards by carefully observing the timing behaviour of intercepted or self-initiated communication. Two experiments have yet been conducted. For the first, several realworld Identification Cards of voluntary people have been sampled. With basic statistical analysis, these cards could be distinguished by only looking at the timing data. For the second experiment, sample cards from one single production batch have been sampled to eliminate differences caused by updates of chip hardware or software which occur on a regular basis. Recognition for these cards is much harder, but some progress has been made and additional research on this matter might lead to new, interesting results.

23 Identification of Research Gaps in the NESSoS Common Body of Knowledge Kristian Beckers Software Engineering Group, University of Duisburg-Essen Getting an overview of existing engineering methods, tools, techniques, standards, and notations for specific fields is of major importance for security engineering researchers. This knowledge is the basis for finding research gaps and problems in this field, which require their attention. Our objective is to develop a technique for finding missing methods, notations and tools in specific knowledge areas. Researchers usually have to rely on their experience during a research area analysis, which includes the activities of finding research gaps and identifying research areas. This can lead to a biased outcome of a research area analysis. Hence, research gaps or immature research areas might be overlooked repeatedly. In addition, researchers have to find relations between publications, which are sometimes implicit. In order to ameliorate this situation, we propose a structured approach for research area analysis. This approach utilizes the extensive research of Kitchenham et al. [Kit04, KC07, KBT + 10, KPB + 10, KBB11, BKB + 07, BTBK08, PFMM08] for structured literature reviews. We apply Kitchenham s methods to a special ontology, the Common Body of Knowledge (CBK) of the EU project Network of Excellence (NoE) on Engineering Secure Future Internet Software Services and Systems (NESSoS) 1. One of the major goals of this NoE is the integration of the disciplines of software, service, and security engineering. Our approach is threefold: We carry over Kitchenham s research for structured literature reviews to informal queries for the CBK, and we also extend the CBK to support these informal queries. In the next step, we refine these informal queries into formal CBK relations using Codd s relational algebra [Cod70]. For this purpose, we apply the DOOR method by Allocca et al. [AdM09] for capturing the semantics of relations in ontologies and to formally specify these relations. The technical realization 1 1

24 of the CBK is a Semantic MediaWiki+ platform, and we implemented the relational algebra expressions as CBK queries. 2 We like to present the CBK at the EWNS workshop, because we are looking for external feedback. The CBK will be open to the public in beginning of April for browsing and if participants of EWNS are interested in contributing to the CBK we can provide accounts during the workshop. Moreover, we are looking for possible improvements of the CBK to serve the needs of researchers in the field of network security. We believe that the EWNS workshop is a good place to receive that feedback. References [AdM09] Carlo Allocca, Mathieu d Aquin, and Enrico Motta. DOOR- towards a formalization of ontology relations. In Proceedings of the International Conference on Knowledge Engineering and Ontology Development (KEOD), pages INSTICC Press, [BKB + 07] PearlBrereton, BarbaraA.Kitchenham, DavidBudgen, MarkTurner, and Mohamed Khalil. Lessons from applying the systematic literature review process within the software engineering domain. Journal of Systems and Software, 80(4): , [BTBK08] David Budgen, Mark Turner, Pearl Brereton, and Barbara Kitchenham. Using Mapping Studies in Software Engineering. In Proceedings of PPIG 2008, pages Lancaster University, [Cod70] E. F. Codd. A relational model of data for large shared data banks. Commun. ACM, 13(6): , [KBB11] Barbara A. Kitchenham, David Budgen, and O. Pearl Brereton. Using mapping studies as the basis for further research - a participant-observer case study. Information & Software Technology, 53(6): , [KBT + 10] Barbara A. Kitchenham, Pearl Brereton, Mark Turner, Mahmood Niazi, Stephen G. Linkman, Rialette Pretorius, and David Budgen. Refining the systematic literature review process - two participant-observer case studies. Empirical Software Engineering, 15(6): , [KC07] [Kit04] Barbara Kitchenham and Stuart Charters. Guidelines for performing Systematic Literature Reviews in Software Engineering. Technical Report EBSE , Keele University and Durham University Joint Report, B. Kitchenham. Procedures for performing systematic reviews. Technical report, Keele University and NICTA,

25 [KPB + 10] Barbara Kitchenham, Rialette Pretorius, David Budgen, Pearl Brereton, Mark Turner, Mahmood Niazi, and Stephen G. Linkman. Systematic literature reviews in software engineering - a tertiary study. Information & Software Technology, 52(8): , [PFMM08] Kai Petersen, Robert Feldt, Shahid Mujtaba, and Michael Mattsson. Systematic Mapping Studies in Software engineering. In EASE 08: Proceedings of the 12th International Conference on Evaluation and Assessment in Software Engineering,

26 Sichere nicht interaktive Client Puzzles gegen DoS-Angriffe in LANs Yves Igor Jerschow Lehrstuhl für Technik der Rechnernetze Universität Duisburg-Essen Essen, Deutschland ABSTRACT Wir widmen uns dem Problem, die Kommunikation in lokalen Netzwerken (LANs) abzusichern und sie gegen Denialof-Service (DoS) -Angriffe resistent zu machen [1]. Die Hauptschwachstelle in drahtgebunden und drahtlosen LANs ist die initial fehlende Adressauthentizität. Sie ermöglicht es einem Angreifer, unterschiedliche Identitäten anzunehmen und gefälschte Pakete mit einer fremden oder fiktiven Absenderadresse einzuschleusen. Aus diesem Grund stellen sich existierende DoS-Gegenmaßnahmen, die zur Abwehr von Angriffen im Internet entwickelt worden sind, für die Anwendung in lokalen Netzwerken nur als bedingt geeignet heraus. Unser Angriffsmodell geht von einem oder mehreren mächtigen aber nicht omnipotenten Angreifern aus. Wir nehmen an, dass der Angreifer in der Lage ist, den Datenverkehr abzuhören, Pakete mit beliebigem Inhalt einzuschleusen und dabei insbesondere alle Protokollheader inklusive der Absenderadresse beliebig zu wählen. Die Manipulation oder Auslöschung von fremden Paketen in Switchen oder auf dem Medium liegt aber jenseits seiner Möglichkeiten. Ausgestattet mit Bandbreite, Prozessoren und Speicher führt der Angreifer softwarebasierte Angriffe auf der Protokollebene aus. Die Verifizierung digitaler Signaturen in der Handshake- Phase von Sicherheitsprotokollen, die Public-Key-Kryptographie einsetzen wie z. B. IPsec oder SSL/TLS, stellt im Vergleich zu symmetrischen Kryptoverfahren eine sehr rechenaufwendige Operation dar. Daher kann sie zur Zielscheibe von DoS-Angriffen werden, in denen der Angreifer ein Opfersystem mit gefälschten Signaturen flutet und es dadurch zu überlasten versucht. Eine wohlbekannte Abwehrmaßnahme gegen Angriffe im Internet, die die Erschöpfung von Ressourcen zum Ziel haben, sind Client Puzzles [2-4]. Allerdings sind die bisher vorgeschlagenen Client-Puzzle-Konstrukte entweder parallelisierbar, grobkörnig oder sie lassen sich nur interaktiv einsetzen. Interaktive Puzzles haben den Nachteil, dass das Paket mit den Puzzle-Parametern, welches vom Server zum Client geschickt wird, nicht authentifiziert wird. Insbesondere in LANs kann der Angreifer einen Gegenangriff auf die Clients starten, indem er Pakete mit falschen Puzzle-Parametern einschleust, die den Anschein erwecken, vom sich verteidigenden Server zu stammen. Es wird daher ein neues Konstrukt für Client Puzzles vorgeschlagen, das auf der Berechnung der Quadratwurzel modulo einer Primzahl beruht. Modulare Quadratwurzel- Puzzles sind nicht parallelisierbar, können sowohl interaktiv als auch insbesondere nicht interaktiv eingesetzt werden und weisen eine polynomielle Granularität auf. Benchmark- Ergebnisse untermauern die Praxistauglichkeit dieses Ansatzes, DoS-Angriffen auf Rechner in 1 oder sogar 10 Gbit Netzwerken entgegenzuwirken. Außerdem kann die Effizienz des Verfahrens durch Einführen eines kleinen bandbreitenbasierten Kostenfaktors für den Client erhöht werden. Mit der Einführung einer sicheren Client-Puzzle- Architektur wird eine solide Grundlage für den zuverlässigen und wirksamen Einsatz von nicht interaktiven Client Puzzles geschaffen. Sie beseitigt das Authentifizierungsproblem von interaktiven Puzzles und beugt Vorausberechnungsangriffen vor. In der vorgeschlagenen Architektur werden Client Puzzles, z. B. modulare Quadratwurzel-Puzzles oder auf der Umkehrung einer Hashfunktion basierende Puzzles, nicht interaktiv eingesetzt und dabei vom Client aus einem sich periodisch ändernden, sicheren zufälligen Beacon abgeleitet. Die Beacons werden für eine längere Zeitspanne im Voraus erzeugt und im gesamten LAN von einem speziellen Beacon-Server regelmäßig per Broadcast verschickt. Alle Rechner beziehen eine digital signierte Fingerabdruck-Datei, die aus den kryptographischen Prüfsummen dieser Beacons besteht. Die Überprüfung eines Beacons ist einfach sie erfordert lediglich eine einzige Hash-Operation und kann von allen Rechnern mit der vollen Datenrate der Netzwerkschnittstelle durchgeführt werden. Um einen stabilen Beacon-Dienst zu gewährleisten, werden ausgeklügelte Techniken entwickelt, die Synchronisierungsaspekte berücksichtigen und insbesondere die zuverlässige Verteilung der Beacon-Fingerabdruck-Datei sicherstellen. LITERATUR [1] Yves Igor Jerschow, Attackers, Packets, and Puzzles: On Denial-of- Service Prevention in Local Area Networks, Heinrich-Heine- Universität Düsseldorf, Dissertation, Juni [2] Tuomas Aura, Pekka Nikander, and Jussipekka Leiw, DOS-Resistant Authentication with Client Puzzles, in Revised Papers from the 8th International Workshop on Security Protocols, S , April [3] Adam Back, Hashcash - A Denial of Service Counter-Measure, August [4] Ari Juels und John G. Brainard, Client Puzzles: A Cryptographic Countermeasure Against Connection Depletion Attacks, in NDSS 99: Proceedings of the Network and Distributed System Security Symposium, Februar 1999.

27 SUNsHINE: Überblick Schutz vor Missbrauch und Bedrohung von VoIP-Netzwerken Projektpartner: Fraunhofer FOKUS genua mbh ISACO GmbH Universität Duisburg Essen Assoziierte Projektpartner: Bundesamt für Sicherheit in der Informationstechnik FRAFOS GmbH Kabel Deutschland Vertrieb und Service GmbH Teles AG Informationstechnologien 1 Problemstellung Im traditionellen Telekommunikationssektor, so wird von unterschiedlichen Experten geschätzt, belaufen sich derzeit die durch Betrug verursachten jährlichen Verluste auf durchschnittlich 5 % der Gesamteinkünfte der Betreiber, wobei zusätzlich von einer Steigerungsrate von mehr als 10 % p. A. ausgegangen werden muss. Berücksichtigt man die mit der Einführung einer neuen innovativen Technologie wie VoIP grundsätzlich einhergehenden Anfangsprobleme, die strukturelle Offenheit von VoIP und den Low-Cost-Ansatz gegenwärtiger VoIP-Lösungen, ist es sogar realistisch, in diesem Bereich von einem noch größeren Bedrohungspotenzial mit noch höheren Verlusten auszugehen. Damit stellen Betrug und Servicemissbrauch eine der größten Herausforderungen für die VoIP- Service-Provider dar. Für VoIP-Dienste gibt es einen großen Nachholbedarf, da bisher kaum Forschungsergebnisse oder gar produktreife Lösungen zur Verfügung stehen. Das Projekt SUNSHINE zielt darauf ab, diese Lücke schließen zu helfen. SUNSHINE stellt eine Lösung dar, mit deren Hilfe es möglich sein wird, vielfältige VoIP-basierte Betrugsversuche und Angriffe automatisiert zu erkennen und Schutzmaßnahmen zu ergreifen. Der Schutz soll sowohl für den Provider, als auch für die Kunden möglich sein. 2 Projektpartner Die Projektpartner kommen aus dem Forschungsund Geschäftsumfeld und haben daher unterschiedlichen Hintergrund: Fraunhofer FOKUS (Forschung) VoIP-Sicherheit, Lösungen zum Schutz vor Fraud, Spam und DoS-Angriffen genua mbh (Geschäftliches Umfeld) Firewall-Komponenten, Intrusion-Detection- Systeme ISACO GmbH (Geschäftliches Umfeld) VoIP-Plattformen, Medienapplikationen, IMS, Provisionierung, Abrechnung Universität Duisburg Essen (Forschung) VoIP-Security: Lösungen für die Erkennung von SIP-basierten Bedrohungen sowie geeignete Gegenmaßnahmen unter der Berücksichtigung von Verkehrsdaten aus einem langjährig betriebenen Honeynet-System. 3 Bedrohungen VoIP besteht in der Kombination von klassischer Festnetztelefonie mit den Methoden des Internets. Beide dieser Technologien sind von Missbrauch betroffen. Daher existieren für die Telekommunikation mit VoIP sowohl die Bedrohungen aus dem klassischen Telefonnetz, als auch die Bedrohungen aus dem Internet. Zusätzlich entstehen neue Bedrohungen, die sich durch der Kombination von Telekommunikation und der IP-Technologie ergeben. Dieses sind Angriffe auf IP-Ebene, die auf Schwachstellen der Festnetztelefonie zielen, und Angriffe über die erweiterten Möglichkeiten von VoIP, die auf Bedrohungen der IP-Ebene zielen. Zudem ist das VoIP-Umfeld sehr heterogen aufgebaut. Die beteiligten Personengruppen sind die VoIP- Anbieter als auch ihre Kunden. Die Kundengruppe ist möglicherweise sehr inhomogen zusammengsetzt, und kann Privatanwender als auch geschäftliche Kunden umfassen.

28 Mit Hilfe des UDE-Honeynet-Systems konnten bereits massive Angriffe in VoIP-basierten Netzwerken nachgewiesen werden, die größtenteils automatisch mit frei verfügbaren Tools ausgeführt wurden. 4 Architektur Das SUNSHINE Framework besteht aus einer Kombination von Analysemethoden, aktiven Komponenten und Kommunikationskomponenten. Die Architektur ist in der folgenden Skizze dargestellt. Auf der obersten Ebene sind die Eingabequellen aufgeführt. Im SUNSHINE Framework werden sowohl Daten auf Netzwerkebene (SIP & IP Traffic) als auch Verbindungsdaten in der Form von Call Data Records (CDRs) verwendet. Die Eingabedaten werden von den Analysemethoden zur Detektion von Verdachtsfällen herangezogen. Das SUNSHINE Framework beinhaltet mehrere Analysemethoden: ein verteiltes Sensorsystem zur Analyse von SIP-Netzwerkdaten, den Netzwerk Security Monitor BRO zur Analyse von IP-Netzwerkverkehr sowie die CDR analysis, die in einer Kombination verschiedener Verfahren besteht. Die Ergebnisse der Analyse können direkt benutzt werden, um z.b, verdächtige Kunden eines VoIP Providers zu erkennen. Die Ergebnisse können aber auch aktiven Komponenten zur Verfügung gestellt werden, die zeitnah und automatisiert in die Verbindung eingreifen können. Hierzu ist eine Kommunikation der Analysemethoden zu den aktiven Komponenten notwendig. Zum einen wird eine extended Realtime Blackhole List (erbl) in Analogie zu den RBL zur Bekämpfung von SPAM angeboten. Zum anderen besteht eine enge Kopplung von BRO zu den Firewallkomponenten. Das SUNSHINE Framework bietet sowohl für den Provider als auch für die Kunden Schutz. Daher sind als aktive Komponenten sowohl Firewalls beim Kunden als auch Application Server/PBX beim Provider integriert. 5 Ausblick Dieser Artikel bietet nur einen Überblick über das SUNSHINE Framework. Einen tiefer gehenden Einblick in einzelne Komponenten bieten die anschließenden Vorträge Echtzeiterkennung und Schutz vor Angriffen in SIP-basierten Netzwerken Fraud and Service Misuse in VoIP Networks SUNSHINE: Demo 6 Danksagung Das SUNSHINE-Projekt ist ein vom Bundesministerium für Bildung und Forschung gefördertes Forschungsprojekt im Rahmen der Fördermaßnahme KMU-innovativ: Informations- und Kommunikationstechnologie (IKT)", mit der das Innovationspotential von KMUs im Bereich Spitzenforschung gestärkt werden soll. 7 Literatur [1] SUNSHINE-Projekt, SUNSHINE: Schutzumfang für VoIP", Internes Dokument, 2011 [2] SUNSHINE-Projekt, SUNSHINE: Schutzmassnahmen für VoIP, Internes Dokument in Bearbeitung, 2011 [3] Bundesamt für Sicherheit in der Informationstechnologie, VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol, 2005 [4] P. Ferreira, et al. Establishing Fraud Detection Patterns Based on Signatures [5] H. Verrelst, et al. A rule based and neural network system for fraud detection in mobile communications [6] C. S. Hilas, et al. User Profiling for Fraud Detection in Telecommunication Networks [7] O. Olusegun. Telecommunication Fraud Detection using Bayesian Networks [8] M. E. Edge, et al. A Survey of Signature Based Methods for Financial Fraud Detection [9] C. Cortes, et al. Signature based methods for Data Streams [10] J. Rosenberg, et al. SIP: Session Initiation Protocol, RFC 3261 [11] The Bro Network Security Monitor,

29 SUNSHINE: Echtzeiterkennung und Schutz vor Angriffen in SIP-basierten Netzwerken Dirk Hoffstadt (Universität Duisburg-Essen), Ralf Meister (genua mbh) Kommunikation mit Voice over IP (VoIP) auf der Basis von SIP löst die klassische Telefonie zunehmend ab und macht die Unterstützung offener SIP-Schnittstellen deshalb auch im Bereich der IP-basierten Nebenstellenanlagen unverzichtbar. Dadurch wird allerdings die Telefonie von einer geschlossenen und damit vergleichsweise sicheren Basis auf eine offene, sehr viel verwundbarere Plattform migriert. Einhergehend mit dieser Entwicklung haben sich die Kosten für die VoIP- Telefonate stetig reduziert, wobei auch ein Trend zur Pauschalisierung der Nutzungsentgelte zu beobachten ist. Durch diese technischen und wirtschaftlichen Veränderungen sind neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie entstanden. Toll Fraud ist ein folgenreiches Angriffsszenario und durch die flächendeckende Einführung von VoIP wird es überhaupt erst ermöglicht: VoIP bietet die Möglichkeit, sich unabhängig vom aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da Gespräche in die Mobilfunknetze, zu Sonderrufnummern und ins Ausland weiterhin oft nicht pauschaliert abgerechnet werden, ist es attraktiv, sich durch gefälschte Anmeldungen an fremden Nutzerkonten solche Gespräche auf deren Kosten zu erschleichen. Dem eigentlichen Inhaber dieser missbräuchlich genutzten Anmeldedaten können dadurch innerhalb kürzester Zeit erhebliche Kosten entstehen. Im Rahmen des SUNSHINE Projektes wird ein Framework zum Schutz vor Missbrauch und Bedrohungen von VoIP-Netzwerken entwickelt [1]. Der Schutz umfasst zum Einen Analyse-Methoden (Echtzeit bzw. Offline), die einer Firma oder Provider helfen, Missbrauch zu erkennen. Zum anderen umfasst der Schutz aber auch aktive Komponenten, die ein Eingreifen in laufende Verbindungen ermöglichen. Der Vortrag erläutert warum Erkennungsmechanismen für Angriffe auf VoIP-Infrastruktur notwendig sind und stellt das verteilte Sensorsystem sowie die Firewall-Erweiterungen im Sunshine-Kontext dar. Das verteilte Sensorsystem besteht aus einem leichtgewichtigen Software-Sensor sowie aus einer Zentralkomponente (Sensor Central Service (SCS)). Der Sensor ist ein Tool zur signaturbasierten Erkennung von Angriffen in SIP-basierten VoIP-Netzwerken. Er ist objekt-orientiert in C++ entwickelt, unter Zuhilfenahme der Bibliotheken libpcap, libboost und libcurl, welche u. A. einfache Arbeit mit Netzwerkschnittstellen und Plattformunabhängigkeit ermöglichen. Verschiedene Prozessorarchitekturen werden unterstützt. Die Angriffssignaturen beschreiben eine Folge von SIP- Nachrichten, für die gewisse zeitliche Bedingungen gelten. Die SIP-Header-Felder, sowie Netzwerkund Transportschicht-Informationen (IP-Adressen und Ports), können innerhalb der Signaturen mit fest vorgegebenen Werten oder mit Werten von früheren Nachrichten der Folge verglichen werden. Sobald eine Signatur verletzt wird, sendet der Sensor eine Benachrichtigung unter Angabe wichtiger Informationen an den SCS. Der SCS stellt für alle Sensoren die Konfiguration sowie die Verteilung der Signaturen bereit. Die von den Sensoren empfangenen Reports werden in einer MySQL-Datenbank gespeichert und durch die Analysekomponente, unter Berücksichtigung der SCS Regeln, verarbeitet. Mit Hilfe der SCS Regeln können Zusammenhänge bzw. Abhängigkeiten zwischen einzelnen Sensor- Regeln definiert werden. Ist eine SCS Regel zutreffend können verschiedene Aktionen über das Export Interface durchgeführt werden, wie z.b. das Senden eines erkannten Angriffes an den Sunshine erbl-service oder das Informieren einer Firewall zum Blockieren eines aktuell laufenden Angriffs. Dieser Vortrag stellt weiterhin eine Erweiterung einer Firewall vor, in der die sicherheitsrelevante Bewertung von Verbindungen zusätzlich zu den lokal erfassten auch extern erfasste Informationen mit einbezieht. Neben den SUNSHINE-Komponenten, die auf VoIP spezialisiert sind, soll auch die

30 Möglichkeit bestehen, weiteren Netzwerkverkehr mit in die Analyse einzubeziehen. Dies geschieht unter Zuhilfenahme eines Intrusion Detection Systems (IDS), das von sich aus die Analyse weiterer Protokolle anbietet. bro ist ein Intrusion Detection System von Vern Paxson, welches nun am International Computer Science Institute in Berkeley, CA und dem National Center for Supercomputing Applications in Urbana-Champaign, IL, USA weitergeführt wird. Im Gegensatz zu einfachen IDS, welche den Netzwerkverkehr nach verdächtigen Mustern durchsuchen, beherrscht bro auch die Analyse der höheren OSI-Schichten ab Ebene 4. Hierzu stehen für die unterstützten Protokolle Parser bereit, welche die einzelnen Kommunikationsschritte im Protokoll analysieren und in High Level Events aufarbeiten. Die Auswertung der Events passiert auf der Ebene der bro Policy- Scripte. Hier werden in einer Scriptsprache die High Level Events empfangen und näher analysiert. Die Policy-Scripte sind nicht Bestandteil von bro, sondern sind für den jeweiligen Anwendungszweck zu erstellen. Die Analyse kann den Inhalt der Pakete, aber auch Protokollanomalien oder auch Korrelationen zwischen verschiedenen Verbindungen umfassen. Die durch das IDS System ermittelte Bewertung der Verbindung werden der Firewall zur Verfügung gestellt, um geeignete Maßnahmen zur Abwehr durchführen zu können. Das SUNSHINE Projekt ist ein vom Bundesministerium für Bildung und Forschung gefördertes Forschungsprojekt im Rahmen der Fördermaßnahme KMU-innovativ: Informations- und Kommunikationstechnologie (IKT)", mit der das Innovationspotential von KMUs im Bereich Spitzenforschung gestärkt werden soll. Die Laufzeit des Projektes endet voraussichtlich zum

31 [1]: SUNSHINE - Schutz vor MIssbrauch und Bedrohungen von VoIP Netzwerken, [2]: bro,

32 SUNSHINE: Investigating fraud in the light of intrusion detection Yacine Rebahi (Fokus), Matthias Liebig (ISACO GmbH) The migration from circuit-switched networks to packet-switched networks necessitates the investigation of related issues such as service delivery, QoS, security, and service fraud and misuse. The latter can be seen as a combination of accounting and security aspects. In traditional telecommunication networks, fraud accounts for annual losses at an average of 3% to 5% of the operators revenue and still increasing at a rate of more than 10% yearly. It is also expected that in VoIP networks, the situation will be worse due to the lack of strong built-in security mechanisms, and the use of open standards. The problem of detecting fraud in telecom (in general) and in Voice over IP (VoIP) in particular is difficult. It can occur through an attack against the VoIP system such as breaking into a PBX or a billing system or without carrying out such attacks. This is for instance the case where a VoIP account is being used by other persons than the account owner, namely his relatives. Another example of fraud is where the service usage does not match the service subscription. For such scenarios, in which the patterns are unknown, the only way to detect and prevent them is to look for the service usage data that does not comply with the typical service related activities of the legitimate subscribers. Here, the usage of data mining and intrusion detection techniques is crucial. Another issue related to data analysis is how to handle the analysis results and correlate them. In the SUNSHINE project, a framework for Call Data Record (CDR) analysis is introduced. The CDR analysis is composed of a number of detection techniques and algorithms including a rule engine, call profiling, geolocation profiling, Top-k, and Neural Networks Self Organizing Map (NN-SOM). The coordination and linking of those components is backed by an event-based system using XMPP. Additionally, a fraud management interface is provided. The CDR analysis produces alarms which may indicate fraudulent behavior. Because alarms may occur multiple times for a specific user, or several detection modules/algorithms produce different alarms for said user, a component for correlating the alarms was developed: the SUNSHINE Alarm Aggregator. The aggregated alarms are gathered in a DNS-based system for real-time blacklisting. It is a version of the Real-time Blackhole Lists (RBL), which are used to fight spam, adapted and extended for VoIP. This extended RBL can be used to globally share information about attacks, known fraudsters, and Spam over Internet Telephony (SPIT). Additionally to the query interface (DNS) there is a HTTP/REST-based interface for submitting and modifying blacklist entries. Furthermore, we will present tools which were created for generating CDRs in order to produce realistic data for testing the CDR analysis and the overall framework.

33 Jochen Kögel (IsarNet), Dirk Hoffstadt (Lehrstuhl für Technik der Rechnernetze, Universität Duisburg-Essen), Dennis Weidlich(Lehrstuhl für Technik der Rechnernetze, Universität Duisburg-Essen): Untersuchung von Angriffen auf VoIP-Systeme basierend auf Flow-Daten und Packet-Traces Abstract Die zunehmende Beliebtheit von VoIP-Technologien in den letzten Jahren geht mit einem gesteigerten Interesse Krimineller einher, die versuchen diese Systeme für ihre Zwecke zu missbrauchen. Da dies mit hohen finanziellen Verlusten für Netzbetreiber verbunden sein kann, ist es essenziell entsprechende Angriffe netzweit erkennen und unterbinden zu können. Da paketbasierte Analyseverfahren in großen Netzen mit einem hohen Aufwand verbunden sind, bietet sich die Nutzung von Flow-Daten an. Diese können in Routern erzeugt werden, was auf einfachem Wege die Erlangung einer netzweiten Verkehrssicht ermöglicht. Allerdings bieten Flow-Daten einen geringeren Detaillierungsgrad als paketbasierten Analyseverfahren. Um paketbasierte und flowbasierte Ansätze zu vergleichen, wurde in Zusammenarbeit von IsarNet und der Universität Duisburg-Essen ein Testbed zur Analyse von Flow-Daten und Packet-Trace erstellt, das Netzverkehr zweier Honeynets analysiert. Diese Honeynets enthalten keine Produktivkomponenten, wodurch jedes Paket per Definition als Angriffsversuch gilt. Somit ist der einzige Zweck dieser Netze potentielle Eindringlinge zu Angriffen zu animieren und diese aufzuzeichnen. Für die paketbasierte Analyse von VoIP-Angriffen wurde der SIP Trace Recorder [1] eingesetzt. Dieser filtert SIP-Verkehr, speichert diesen in einer Datenbank und wertet ihn mit Hilfe verschiedener Analysemodule aus, um dann die Angriffsmuster in einer Web-Oberfläche darzustellen. Flow-Daten wurden von einem am Zugangsswitch angeschlossenen nprobe-system erzeugt und auf einem IsarFlow Netzmonitoringsystem aufgezeichnet. Da im flowbasierten Ansatz der Gesamtverkehr und nicht nur SIP-Nachrichten ausgewertet werden können, kann auch weiterer zu den Angriffen gehörender Verkehr (Scans, etc.) analysiert werden. In diesem Vortrag werden erste Ergebnisse und Beispiele für Angriffe aus Paket- und Flow-Sicht vorgestellt. [1] Dirk Hoffstadt, Stefan Monhof, and Erwin P. Rathgeb, "SIP Trace Recorder: Monitor and Analysis Tool for threats in SIP-based networks," in TRaffic Analysis and Classification Workshop (IWCMC2012-TRAC), Limassol, Cyprus, Aug Seite 1/1

34 Cybergateways zur Absicherung kritischer Infrastrukturen Kai Dörnemann genua mbh Alexander von Gernler genua mbh 1 Motivation Technische Anlagen werden zunehmend komplexer und bestehen aus vielen verteilten miteinander kommunizierenden Komponenten. Im Gegensatz zu früheren Systemen tauschen die neuartigen Cyberphysikalischen Systeme (CPS) [1] Mess- und Steuerdaten über existente Netze aus. Firmeninterne Netzwerke und Internet werden so Bestandteil von industriellen Regel- und Steuerkreisen. [2]. Da ein bösartiger Angreifer nach Übernahme der Kontrolle über das System in der Lage wäre, gezielt Maschinen und Anlagen zu zerstören (vgl. Stuxnet) und Menschenleben zu gefährden, ergibt sich ein deutlich gestiegenener Sicherheitsbearf. Trotzdem sind viele eingebettete Systeme nur mit dem Safety-Gedanken im Hinterkopf entworfen worden. Schutz im Sinne von Security wird immer noch vernachlässigt, obwohl ohne Security auch keine effektive Safety zu erlangen ist. Bestehende Anlagen können zwar durch das Vorschalten von Gateways besser geschützt werden. Die existierenden Lösungen haben aber entweder zu hohen Ressourcenbedarf oder sind nicht hinreichend sicher. Hier ermöglicht die Nutzung einer Mikrokernel-Architektur neue Arten von Gateways, die bei minimalem Ressourcenverbrauch konzeptionell sicherer sind als die meisten heute verfügbaren Application Level Gateways (ALGs). 2 Architektur Ein Cybergateway besteht aus einer Plattform mit mehreren Netzwerkschnittstellen. Die Hardware ist vollständig unter der Kontrolle des Mikrokernels (hier: L4-basiert). Der Kern kann Teile der Hardware bestimmten Compartments überantworten. Ein Compartment kann entweder eine Anwendung direkt auf der Schnittstelle des Mikrokernels sein, oder aber ein vollwertiges Betriebssystem, das auf diese Abbildung 1: Cybergateway mit Kommunikations-, Anwendungs- und Filtercompartments para-virtuelle Schnittstelle angepasst wurde (sog. Rehosting). Durch das Rehosting in Verbindung mit einem Funktionsmerkmal moderner Prozessoren (IOMMU, vt-d [3]) ist es möglich, auf einem System mehrere Betriebssysteme oder native Anwendungen nebenläufig auszuführen, ohne dass diese sich beeinflussen können. Eine Kommunikation zwischen den Compartments ist nur durch explizit eingerichtete Interprozesskommunikation (IPC) möglich. Mechanismen hierfür werden vom Mikrokernel bereitgestellt (Pipe, virtueller Netzwerkswitch). Diese Architektur ermöglicht eine hohe Sicherheit, indem komplexe Systeme stark voneinander isoliert werden, und ihre Kommunikation explizit überwacht und eingeschränkt wird. Abb. 1 zeigt den Aufbau eines typischen Cybergateways: Auf dem Mikrokernel läuft eine mit dem Internet verbundene Firewall in einem Compartment. Sie stellt Filterung und sichere Kommunikation via SSH oder IPsec über eine der Netzwerkschnittstellen bereit. Das zweite Compartment enthält ein Linux- System mit einer Applikation zur Steuerung einer Industrieanlage. Es ist mit der anderen Netzwerkschnittstelle verbunden. 1

35 Die beiden Compartments müssen über einen Proxy in einem weiteren Compartment kommunizieren. Er prüft das gesprochene Protokoll auf Korrektheit, läuft als leichtgewichtige Anwendung direkt auf dem Mikrokernel und weist so eine sehr geringe Größe und Komplexität auf. Sublime Kanäle können dadurch beweisbar ganz vermieden oder auf ein Minimum reduziert werden. Es werden mehrere Sicherheitsvorteile erreicht: Kommunikation über zwei separate TCP/IP- Stacks: Sollte einer der Stacks kompromittiert werden, ist der andere davon unberührt. IP-loses Protokoll zwischen Firewall- und Kontroll-Compartment: Hierdurch erreichen wir eine komplette Netztrennung. Firewallfunktionalität unbeeinflusst von der Benutzeranwendung, so dass ein bereits vorhandenes hohes Sicherheitsniveau der Firewall erhalten bleibt. Software-Updates im Firewall- oder Kontroll- Compartment haben keine Auswirkung auf den Rest des Systems. Eine Gefahr für die so aufgebaute Abschottung stellen Sidechannel-Angriffe dar. Zhang et. al. zeigen etwa, dass eine Möglichkeit hierfür die Beobachtung von Cachelines im L1-Cache des Prozessors ist [4]. Im Vortrag werden drei mögliche Strategien skizziert, derartigen sublimen Kanälen entgegen zu wirken. 3 Perspektiven Unter Verwendung der beschriebenen Bausteine sind eine Menge konstruierbarer Architekturen für Sicherheitsanwendungen denkbar. Abb. 2 zeigt einen Entwurf für ein sicheres Smart Meter Gateway (SMGW) aus drei Komponenten: Das HAN (home area network) ist vom Endbenutzer zugreifbar. Er kontrolliert hier das Energiemanagement seines Hauses. Im LMN (local metrological network) läuft die Mess-Software als schlanker Task direkt auf dem Mikrokernel und kommuniziert mit den Energieerzeugern und -Verbrauchern im Haus via mbus. Abbildung 2: Beispielhafte Architektur eines Smart- Meter-Gateways, konstruiert aus den Basisbausteinen des Cybergateways Das WAN (wide area network) ist das Internetseitige Compartment zur Kommunikation mit dem Energieversorger. Es wird durch eine Firewall abgesichert. Abb. 2 zeigt eine Einweg-Kommuniaktion zwischen LMN und HAN/WAN mit zwei Dioden-Tasks. Diese stellen sicher, dass das LMN von der HANoder WAN-Seite aus nicht angegriffen werden kann. Durch die Verwendung einer solchen Architektur werden die heutigen Anforderungen an ein Smart Meter Gateway [5] durch eine kleine und kostengünstige Hardware erfüllt. Literatur [1] fortiss und BMBF, Agenda CPS, Integrierte Forschungsagenda Cyber-Physical Systems, projekte/agendacps/ [2] BMBF, Zukunftsprojekt Industrie 4.0, [3] Intel, Intel Virtualization Technology for Directed I/O (VT-d), [4] Zhang Y., Juels A., Reiter M., Ristenpart T., Cross-VM Side Channels and Their Use to Extract Private Keys, ACM CCS 2012, October 16-18, Raleigh, NC, USA [5] BSI, Protection Profile for the Gateway of a Smart Metering System, DE/BSI/SmartMeter/PP-SmartMeter.pdf 2

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

Neue Herausforderungen in der Netzsicherheit

Neue Herausforderungen in der Netzsicherheit Alfried Krupp von Bohlen und Halbach Stiftungslehrstuhl Technik der Rechnernetze Institut für Experimentelle Mathematik und Institut für Informatik und Wirtschaftsinformatik 6. Essener Workshop Neue Herausforderungen

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich? KURZANLEITUNG Firmware-Upgrade: Wie geht das eigentlich? Die Firmware ist eine Software, die auf der IP-Kamera installiert ist und alle Funktionen des Gerätes steuert. Nach dem Firmware-Update stehen Ihnen

Mehr

EEX Kundeninformation 2007-09-05

EEX Kundeninformation 2007-09-05 EEX Eurex Release 10.0: Dokumentation Windows Server 2003 auf Workstations; Windows Server 2003 Service Pack 2: Information bezüglich Support Sehr geehrte Handelsteilnehmer, Im Rahmen von Eurex Release

Mehr

Englisch-Grundwortschatz

Englisch-Grundwortschatz Englisch-Grundwortschatz Die 100 am häufigsten verwendeten Wörter also auch so so in in even sogar on an / bei / in like wie / mögen their with but first only and time find you get more its those because

Mehr

WP2. Communication and Dissemination. Wirtschafts- und Wissenschaftsförderung im Freistaat Thüringen

WP2. Communication and Dissemination. Wirtschafts- und Wissenschaftsförderung im Freistaat Thüringen WP2 Communication and Dissemination Europa Programm Center Im Freistaat Thüringen In Trägerschaft des TIAW e. V. 1 GOALS for WP2: Knowledge information about CHAMPIONS and its content Direct communication

Mehr

Customer-specific software for autonomous driving and driver assistance (ADAS)

Customer-specific software for autonomous driving and driver assistance (ADAS) This press release is approved for publication. Press Release Chemnitz, February 6 th, 2014 Customer-specific software for autonomous driving and driver assistance (ADAS) With the new product line Baselabs

Mehr

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08 Security Patterns Benny Clauss Sicherheit in der Softwareentwicklung WS 07/08 Gliederung Pattern Was ist das? Warum Security Pattern? Security Pattern Aufbau Security Pattern Alternative Beispiel Patternsysteme

Mehr

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration Die Renaissance von Unified Communication in der Cloud Daniel Jonathan Valik UC, Cloud and Collaboration AGENDA Das Program der nächsten Minuten... 1 2 3 4 Was sind die derzeitigen Megatrends? Unified

Mehr

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen QuickStart Guide to read a transponder with a scemtec TT reader and software UniDemo Voraussetzung: - PC mit der

Mehr

Die Bedeutung neurowissenschaftlicher Erkenntnisse für die Werbung (German Edition)

Die Bedeutung neurowissenschaftlicher Erkenntnisse für die Werbung (German Edition) Die Bedeutung neurowissenschaftlicher Erkenntnisse für die Werbung (German Edition) Lisa Johann Click here if your download doesn"t start automatically Download and Read Free Online Die Bedeutung neurowissenschaftlicher

Mehr

Bes 10 Für ios und Android

Bes 10 Für ios und Android Bes 10 Für ios und Android Architektur einer nicht Container (Sandbox) basierenden MDM Lösung Simple & Secure ios & Android Management mit 10.1.1 Secure Workspace - Sicherer Container für ios und Android

Mehr

Routing in WSN Exercise

Routing in WSN Exercise Routing in WSN Exercise Thomas Basmer telefon: 0335 5625 334 fax: 0335 5625 671 e-mail: basmer [ at ] ihp-microelectronics.com web: Outline Routing in general Distance Vector Routing Link State Routing

Mehr

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet und seine Anwendbarkeit für die Steuerung von Videodaten im Internet FACHBEREICH FB5 Stefan Königs ISE Seminar 22.10.2012 1 Agenda o Einführung o Software Defined Networking o Ansatz/Prinzip o o Vergleich

Mehr

Wer bin ich - und wenn ja wie viele?: Eine philosophische Reise. Click here if your download doesn"t start automatically

Wer bin ich - und wenn ja wie viele?: Eine philosophische Reise. Click here if your download doesnt start automatically Wer bin ich - und wenn ja wie viele?: Eine philosophische Reise Click here if your download doesn"t start automatically Wer bin ich - und wenn ja wie viele?: Eine philosophische Reise Wer bin ich - und

Mehr

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.

Mehr

Mitglied der Leibniz-Gemeinschaft

Mitglied der Leibniz-Gemeinschaft Methods of research into dictionary use: online questionnaires Annette Klosa (Institut für Deutsche Sprache, Mannheim) 5. Arbeitstreffen Netzwerk Internetlexikografie, Leiden, 25./26. März 2013 Content

Mehr

Where are we now? The administration building M 3. Voransicht

Where are we now? The administration building M 3. Voransicht Let me show you around 9 von 26 Where are we now? The administration building M 3 12 von 26 Let me show you around Presenting your company 2 I M 5 Prepositions of place and movement There are many prepositions

Mehr

Martin Luther. Click here if your download doesn"t start automatically

Martin Luther. Click here if your download doesnt start automatically Die schönsten Kirchenlieder von Luther (Vollständige Ausgabe): Gesammelte Gedichte: Ach Gott, vom Himmel sieh darein + Nun bitten wir den Heiligen Geist... der Unweisen Mund... (German Edition) Martin

Mehr

https://portal.microsoftonline.com

https://portal.microsoftonline.com Sie haben nun Office über Office365 bezogen. Ihr Account wird in Kürze in dem Office365 Portal angelegt. Anschließend können Sie, wie unten beschrieben, die Software beziehen. Congratulations, you have

Mehr

ELBA2 ILIAS TOOLS AS SINGLE APPLICATIONS

ELBA2 ILIAS TOOLS AS SINGLE APPLICATIONS ELBA2 ILIAS TOOLS AS SINGLE APPLICATIONS An AAA/Switch cooperative project run by LET, ETH Zurich, and ilub, University of Bern Martin Studer, ilub, University of Bern Julia Kehl, LET, ETH Zurich 1 Contents

Mehr

Windows Server 2012 R2 Essentials & Hyper-V

Windows Server 2012 R2 Essentials & Hyper-V erklärt: Windows Server 2012 R2 Essentials & Hyper-V Windows Server 2012 R2 Essentials bietet gegenüber der Vorgängerversion die Möglichkeit, mit den Boardmitteln den Windows Server 2012 R2 Essentials

Mehr

Creating OpenSocial Gadgets. Bastian Hofmann

Creating OpenSocial Gadgets. Bastian Hofmann Creating OpenSocial Gadgets Bastian Hofmann Agenda Part 1: Theory What is a Gadget? What is OpenSocial? Privacy at VZ-Netzwerke OpenSocial Services OpenSocial without Gadgets - The Rest API Part 2: Practical

Mehr

Microsoft SQL Server Überblick über Konfiguration, Administration, Programmierung (German Edition)

Microsoft SQL Server Überblick über Konfiguration, Administration, Programmierung (German Edition) Microsoft SQL Server 2012 - Überblick über Konfiguration, Administration, Programmierung (German Edition) Markus Raatz, Jörg Knuth, Ruprecht Dröge Click here if your download doesn"t start automatically

Mehr

Wie man heute die Liebe fürs Leben findet

Wie man heute die Liebe fürs Leben findet Wie man heute die Liebe fürs Leben findet Sherrie Schneider Ellen Fein Click here if your download doesn"t start automatically Wie man heute die Liebe fürs Leben findet Sherrie Schneider Ellen Fein Wie

Mehr

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken Support Technologies based on Bi-Modal Network Analysis H. Agenda 1. Network analysis short introduction 2. Supporting the development of virtual organizations 3. Supporting the development of compentences

Mehr

Contents. Interaction Flow / Process Flow. Structure Maps. Reference Zone. Wireframes / Mock-Up

Contents. Interaction Flow / Process Flow. Structure Maps. Reference Zone. Wireframes / Mock-Up Contents 5d 5e 5f 5g Interaction Flow / Process Flow Structure Maps Reference Zone Wireframes / Mock-Up 5d Interaction Flow (Frontend, sichtbar) / Process Flow (Backend, nicht sichtbar) Flow Chart: A Flowchart

Mehr

Readme-USB DIGSI V 4.82

Readme-USB DIGSI V 4.82 DIGSI V 4.82 Sehr geehrter Kunde, der USB-Treiber für SIPROTEC-Geräte erlaubt Ihnen, mit den SIPROTEC Geräten 7SJ80/7SK80 über USB zu kommunizieren. Zur Installation oder Aktualisierung des USB-Treibers

Mehr

Ein Stern in dunkler Nacht Die schoensten Weihnachtsgeschichten. Click here if your download doesn"t start automatically

Ein Stern in dunkler Nacht Die schoensten Weihnachtsgeschichten. Click here if your download doesnt start automatically Ein Stern in dunkler Nacht Die schoensten Weihnachtsgeschichten Click here if your download doesn"t start automatically Ein Stern in dunkler Nacht Die schoensten Weihnachtsgeschichten Ein Stern in dunkler

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Das neue Volume-Flag S (Scannen erforderlich)

Das neue Volume-Flag S (Scannen erforderlich) NetWorker 7.4.2 - Allgemein Tip 2, Seite 1/5 Das neue Volume-Flag S (Scannen erforderlich) Nach der Wiederherstellung des Bootstraps ist es sehr wahrscheinlich, daß die in ihm enthaltenen Informationen

Mehr

Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren:

Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren: Installationshinweise Z250I / Z270I Adapter IR USB Installation hints Z250I / Z270I Adapter IR USB 06/07 (Laden Sie den Treiber vom WEB, entpacken Sie ihn in ein leeres Verzeichnis und geben Sie dieses

Mehr

Killy Literaturlexikon: Autoren Und Werke Des Deutschsprachigen Kulturraumes 2., Vollstandig Uberarbeitete Auflage (German Edition)

Killy Literaturlexikon: Autoren Und Werke Des Deutschsprachigen Kulturraumes 2., Vollstandig Uberarbeitete Auflage (German Edition) Killy Literaturlexikon: Autoren Und Werke Des Deutschsprachigen Kulturraumes 2., Vollstandig Uberarbeitete Auflage (German Edition) Walther Killy Click here if your download doesn"t start automatically

Mehr

Softwareanforderungen für Microsoft Dynamics CRM Server 2015

Softwareanforderungen für Microsoft Dynamics CRM Server 2015 Softwareanforderungen für Microsoft Dynamics CRM Server 2015 https://technet.microsoft.com/de-de/library/hh699671.aspx Windows Server-Betriebssystem Microsoft Dynamics CRM Server 2015 kann nur auf Computern

Mehr

Version/Datum: 1.5 13-Dezember-2006

Version/Datum: 1.5 13-Dezember-2006 TIC Antispam: Limitierung SMTP Inbound Kunde/Projekt: TIC The Internet Company AG Version/Datum: 1.5 13-Dezember-2006 Autor/Autoren: Aldo Britschgi aldo.britschgi@tic.ch i:\products\antispam antivirus\smtp

Mehr

Funktion der Mindestreserve im Bezug auf die Schlüsselzinssätze der EZB (German Edition)

Funktion der Mindestreserve im Bezug auf die Schlüsselzinssätze der EZB (German Edition) Funktion der Mindestreserve im Bezug auf die Schlüsselzinssätze der EZB (German Edition) Philipp Heckele Click here if your download doesn"t start automatically Download and Read Free Online Funktion

Mehr

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Zielsetzung: System Verwendung von Cloud-Systemen für das Hosting von online Spielen (IaaS) Reservieren/Buchen von Resources

Mehr

Microsoft Azure Fundamentals MOC 10979

Microsoft Azure Fundamentals MOC 10979 Microsoft Azure Fundamentals MOC 10979 In dem Kurs Microsoft Azure Fundamentals (MOC 10979) erhalten Sie praktische Anleitungen und Praxiserfahrung in der Implementierung von Microsoft Azure. Ihnen werden

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

How to access licensed products from providers who are already operating productively in. General Information... 2. Shibboleth login...

How to access licensed products from providers who are already operating productively in. General Information... 2. Shibboleth login... Shibboleth Tutorial How to access licensed products from providers who are already operating productively in the SWITCHaai federation. General Information... 2 Shibboleth login... 2 Separate registration

Mehr

Listening Comprehension: Talking about language learning

Listening Comprehension: Talking about language learning Talking about language learning Two Swiss teenagers, Ralf and Bettina, are both studying English at a language school in Bristo and are talking about language learning. Remember that Swiss German is quite

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Symbio system requirements. Version 5.1

Symbio system requirements. Version 5.1 Symbio system requirements Version 5.1 From: January 2016 2016 Ploetz + Zeller GmbH Symbio system requirements 2 Content 1 Symbio Web... 3 1.1 Overview... 3 1.1.1 Single server installation... 3 1.1.2

Mehr

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Eine Betrachtung im Kontext der Ausgliederung von Chrysler Daniel Rheinbay Abstract Betriebliche Informationssysteme

Mehr

miditech 4merge 4-fach MIDI Merger mit :

miditech 4merge 4-fach MIDI Merger mit : miditech 4merge 4-fach MIDI Merger mit : 4 x MIDI Input Port, 4 LEDs für MIDI In Signale 1 x MIDI Output Port MIDI USB Port, auch für USB Power Adapter Power LED und LOGO LEDs Hochwertiges Aluminium Gehäuse

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Preisliste für The Unscrambler X

Preisliste für The Unscrambler X Preisliste für The Unscrambler X english version Alle Preise verstehen sich netto zuzüglich gesetzlicher Mehrwertsteuer (19%). Irrtümer, Änderungen und Fehler sind vorbehalten. The Unscrambler wird mit

Mehr

Stand der Recherche nach publizierten Identity Management Standards - ISO/IEC, DIN, BSI, CEN/ISSS und OASIS

Stand der Recherche nach publizierten Identity Management Standards - ISO/IEC, DIN, BSI, CEN/ISSS und OASIS IT Advisory Group AG Stand der Recherche nach publizierten Identity Management Standards - ISO/IEC, DIN, BSI, CEN/ISSS und OASIS Arslan Brömme Dipl.-Inform., B.Sc. 1 AK GenericIAM Stuttgart, 20. Juni 2006

Mehr

SMART Newsletter Education Solutions April 2015

SMART Newsletter Education Solutions April 2015 SMART Education Newsletter April 2015 SMART Newsletter Education Solutions April 2015 Herzlich Willkommen zur aktuellen Ausgabe des Westcon & SMART Newsletters jeden Monat stellen wir Ihnen die neuesten

Mehr

Softwareupdate-Anleitung // AC Porty L Netzteileinschub

Softwareupdate-Anleitung // AC Porty L Netzteileinschub 1 Softwareupdate-Anleitung // AC Porty L Netzteileinschub Softwareupdate-Anleitung // AC Porty L Netzteileinschub HENSEL-VISIT GmbH & Co. KG Robert-Bunsen-Str. 3 D-97076 Würzburg-Lengfeld GERMANY Tel./Phone:

Mehr

:: Anleitung Hosting Server 1cloud.ch ::

:: Anleitung Hosting Server 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Hosting Server

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Virtual Desktop Infrasstructure - VDI

Virtual Desktop Infrasstructure - VDI Virtual Desktop Infrasstructure - VDI Jörg Kastning Universität Bielefeld Hochschulrechenzentrum 5. August 2015 1/ 17 Inhaltsverzeichnis Was versteht man unter VDI? Welchen Nutzen bringt VDI? Wie funktioniert

Mehr

There are 10 weeks this summer vacation the weeks beginning: June 23, June 30, July 7, July 14, July 21, Jul 28, Aug 4, Aug 11, Aug 18, Aug 25

There are 10 weeks this summer vacation the weeks beginning: June 23, June 30, July 7, July 14, July 21, Jul 28, Aug 4, Aug 11, Aug 18, Aug 25 Name: AP Deutsch Sommerpaket 2014 The AP German exam is designed to test your language proficiency your ability to use the German language to speak, listen, read and write. All the grammar concepts and

Mehr

Praktikum Entwicklung von Mediensystemen mit ios

Praktikum Entwicklung von Mediensystemen mit ios Praktikum Entwicklung von Mediensystemen mit ios WS 2011 Prof. Dr. Michael Rohs michael.rohs@ifi.lmu.de MHCI Lab, LMU München Today Heuristische Evaluation vorstellen Aktuellen Stand Software Prototyp

Mehr

Online Learning in Management

Online Learning in Management 43 rd EUCEN Conference 2012 Workshop: Supporting the individual learner in ULLL The Makes and Brakes of Collaborative E-Learning: Online Learning in Management - A case study - Dr. Marion Bruhn-Suhr University

Mehr

Transport Layer Security Nachtrag Angriffe

Transport Layer Security Nachtrag Angriffe Transport Layer Security Nachtrag Angriffe TLS Replay Attack TLS Replay Angriff Annahme Server sendet keine Nonce, oder immer gleiche Client generiert Pre-Master Secret, Schlüsselmaterial über KDF (deterministisch!)

Mehr

Lizenzierung von SharePoint Server 2013

Lizenzierung von SharePoint Server 2013 Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe

Mehr

Die "Badstuben" im Fuggerhaus zu Augsburg

Die Badstuben im Fuggerhaus zu Augsburg Die "Badstuben" im Fuggerhaus zu Augsburg Jürgen Pursche, Eberhard Wendler Bernt von Hagen Click here if your download doesn"t start automatically Die "Badstuben" im Fuggerhaus zu Augsburg Jürgen Pursche,

Mehr

How can the connectivity of the greenway network in Southwest Montreal be improved? Scenarios for enhancing the wellbeing of biodiversity and humans

How can the connectivity of the greenway network in Southwest Montreal be improved? Scenarios for enhancing the wellbeing of biodiversity and humans How can the connectivity of the greenway network in Southwest Montreal be improved? Scenarios for enhancing the wellbeing of biodiversity and humans Mémoire sur le projet de schéma d aménagement et de

Mehr

FACHKUNDE FüR KAUFLEUTE IM GESUNDHEITSWESEN FROM THIEME GEORG VERLAG

FACHKUNDE FüR KAUFLEUTE IM GESUNDHEITSWESEN FROM THIEME GEORG VERLAG FACHKUNDE FüR KAUFLEUTE IM GESUNDHEITSWESEN FROM THIEME GEORG VERLAG DOWNLOAD EBOOK : FACHKUNDE FüR KAUFLEUTE IM GESUNDHEITSWESEN Click link bellow and free register to download ebook: FACHKUNDE FüR KAUFLEUTE

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding? Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,

Mehr

1.1 VoIP - Kein Notruf möglich. 1.2 VoIP - Vorrang von Notrufen

1.1 VoIP - Kein Notruf möglich. 1.2 VoIP - Vorrang von Notrufen Read Me System Software 9.1.10 Patch 4 PED/BED Deutsch Folgende Fehler sind in Systemsoftware 9.1.10 Patch 4 korrigiert worden: 1.1 VoIP - Kein Notruf möglich (ID 19307) In bestimmten Konfigurationen konnte

Mehr

Wireless Installationshandbuch

Wireless Installationshandbuch ZyXEL P320W Wireless Firewall Router Wireless Installationshandbuch senselan GmbH Duensstrasse 1 3186 Düdingen Tel 026 505 00 00 Fax 026 505 00 02 www.senselan.ch support@senselan.ch Inhaltsverzeichnis

Mehr

Parameter-Updatesoftware PF-12 Plus

Parameter-Updatesoftware PF-12 Plus Parameter-Updatesoftware PF-12 Plus Mai / May 2015 Inhalt 1. Durchführung des Parameter-Updates... 2 2. Kontakt... 6 Content 1. Performance of the parameter-update... 4 2. Contact... 6 1. Durchführung

Mehr

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient Filing system designer FileDirector Version 2.5 Novelties FileDirector offers an easy way to design the filing system in WinClient. The filing system provides an Explorer-like structure in WinClient. The

Mehr

Context-adaptation based on Ontologies and Spreading Activation

Context-adaptation based on Ontologies and Spreading Activation -1- Context-adaptation based on Ontologies and Spreading Activation ABIS 2007, Halle, 24.09.07 {hussein,westheide,ziegler}@interactivesystems.info -2- Context Adaptation in Spreadr Pubs near my location

Mehr

Tube Analyzer LogViewer 2.3

Tube Analyzer LogViewer 2.3 Tube Analyzer LogViewer 2.3 User Manual Stand: 25.9.2015 Seite 1 von 11 Name Company Date Designed by WKS 28.02.2013 1 st Checker 2 nd Checker Version history Version Author Changes Date 1.0 Created 19.06.2015

Mehr

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL USER GUIDE June 2016

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL USER GUIDE June 2016 Overview The Hamburg Süd VGM Web portal is an application that enables you to submit VGM information directly to Hamburg Süd via our e-portal Web page. You can choose to enter VGM information directly,

Mehr

Ressourcenmanagement in Netzwerken SS06 Vorl. 12,

Ressourcenmanagement in Netzwerken SS06 Vorl. 12, Ressourcenmanagement in Netzwerken SS06 Vorl. 12, 30.6.06 Friedhelm Meyer auf der Heide Name hinzufügen 1 Prüfungstermine Dienstag, 18.7. Montag, 21. 8. und Freitag, 22.9. Bitte melden sie sich bis zum

Mehr

Mensch-Maschine-Interaktion 2 Übung 1

Mensch-Maschine-Interaktion 2 Übung 1 Mensch-Maschine-Interaktion 2 Übung 1 Ludwig-Maximilians-Universität München Wintersemester 2012/2013 Alexander De Luca, Aurélien Tabard Ludwig-Maximilians-Universität München Mensch-Maschine-Interaktion

Mehr

Die einfachste Diät der Welt: Das Plus-Minus- Prinzip (GU Reihe Einzeltitel)

Die einfachste Diät der Welt: Das Plus-Minus- Prinzip (GU Reihe Einzeltitel) Die einfachste Diät der Welt: Das Plus-Minus- Prinzip (GU Reihe Einzeltitel) Stefan Frà drich Click here if your download doesn"t start automatically Die einfachste Diät der Welt: Das Plus-Minus-Prinzip

Mehr

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch - 1 - Inhalt 1 Einführung... 3 2 Installation und Einrichtung... 4 3 Funktionalität des KIP Druckerstatus... 6 4 Benutzung des KIP Druckerstatus...

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die

Mehr

Cycling and (or?) Trams

Cycling and (or?) Trams Cycling and (or?) Trams Can we support both? Experiences from Berne, Switzerland Roland Pfeiffer, Departement for cycling traffic, City of Bern Seite 1 A few words about Bern Seite 2 A few words about

Mehr

Communications & Networking Accessories

Communications & Networking Accessories 3Com10 Mbit (Combo) 3Com world leading in network technologies is a strategic partner of Fujitsu Siemens Computers. Therefore it is possible for Fujitsu Siemens Computers to offer the very latest in mobile

Mehr

Algorithms for graph visualization

Algorithms for graph visualization Algorithms for graph visualization Project - Orthogonal Grid Layout with Small Area W INTER SEMESTER 2013/2014 Martin No llenburg KIT Universita t des Landes Baden-Wu rttemberg und nationales Forschungszentrum

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

LOG AND SECURITY INTELLIGENCE PLATFORM

LOG AND SECURITY INTELLIGENCE PLATFORM TIBCO LOGLOGIC LOG AND SECURITY INTELLIGENCE PLATFORM Security Information Management Logmanagement Data-Analytics Matthias Maier Solution Architect Central Europe, Eastern Europe, BeNeLux MMaier@Tibco.com

Mehr

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung 8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung Im Folgenden wird die Konfiguration von BRRP gezeigt. Beide Router sind jeweils über Ihr Ethernet 1 Interface am LAN angeschlossen. Das Ethernet

Mehr

Windows Small Business Server (SBS) 2008

Windows Small Business Server (SBS) 2008 September 2008 Windows Small Business Server (SBS) 2008 Produktgruppe: Server Windows Small Business Server (SBS) 2008 Lizenzmodell: Microsoft Server Betriebssysteme Serverlizenz Zugriffslizenz () pro

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

SharePoint 2010 Mobile Access

SharePoint 2010 Mobile Access Erstellung 23.05.2013 SharePoint 2010 Mobile Access von TIMEWARP IT Consulting GmbH Stephan Nassberger Hofmühlgasse 17/1/5 A-1060 Wien Verantwortlich für das Dokument: - Stephan Nassberger (TIMEWARP) 1

Mehr

Notice: All mentioned inventors have to sign the Report of Invention (see page 3)!!!

Notice: All mentioned inventors have to sign the Report of Invention (see page 3)!!! REPORT OF INVENTION Please send a copy to An die Abteilung Technologietransfer der Universität/Hochschule An die Technologie-Lizenz-Büro (TLB) der Baden-Württembergischen Hochschulen GmbH Ettlinger Straße

Mehr

Karlsruhe Institute of Technology Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH)

Karlsruhe Institute of Technology Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) Combining Cloud and Grid with a User Interface Jie Tao Karlsruhe Institute of Technology jie.tao@kit.edu Die Kooperation von Outline Motivation The g-eclipse Project Extending gg-eclipse for a Cloud Framework

Mehr

AXIGEN Mail Server. E-Mails per Smarthost versenden E-Mails per Pop3 empfangen. Produkt Version: 6.1.1 Dokument Version: 1.2

AXIGEN Mail Server. E-Mails per Smarthost versenden E-Mails per Pop3 empfangen. Produkt Version: 6.1.1 Dokument Version: 1.2 AXIGEN Mail Server E-Mails per Smarthost versenden E-Mails per Pop3 empfangen Produkt Version: 6.1.1 Dokument Version: 1.2 Letztes Update: 23.September 2008 Kapitel 1: Instruktionen Willkommen Was zeigt

Mehr

WLAN Konfiguration. Michael Bukreus 2014. Seite 1

WLAN Konfiguration. Michael Bukreus 2014. Seite 1 WLAN Konfiguration Michael Bukreus 2014 Seite 1 Inhalt Begriffe...3 Was braucht man für PureContest...4 Netzwerkkonfiguration...5 Sicherheit...6 Beispielkonfiguration...7 Screenshots Master Accesspoint...8

Mehr

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen

Mehr

The Future Internet in Germany and Europe

The Future Internet in Germany and Europe The Future Internet in Germany and Europe David Kennedy Direktor Eurescom GmbH Heidelberg, Deutschland Starting point.. The innovative society and sustainable economy of Europe 2020 will be based on ICT

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

HIR Method & Tools for Fit Gap analysis

HIR Method & Tools for Fit Gap analysis HIR Method & Tools for Fit Gap analysis Based on a Powermax APML example 1 Base for all: The Processes HIR-Method for Template Checks, Fit Gap-Analysis, Change-, Quality- & Risk- Management etc. Main processes

Mehr

EXCHANGE 2013. Neuerungen und Praxis

EXCHANGE 2013. Neuerungen und Praxis EXCHANGE 2013 Neuerungen und Praxis EXCHANGE 2013 EXCHANGE 2013 NEUERUNGEN UND PRAXIS Kevin Momber-Zemanek seit September 2011 bei der PROFI Engineering Systems AG Cisco Spezialisierung Cisco Data Center

Mehr

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH What is a GEVER??? Office Strategy OXBA How we used SharePoint Geschäft Verwaltung Case Management Manage Dossiers Create and Manage Activities

Mehr

Quick Guide Home Network Mode

Quick Guide Home Network Mode Quick Guide Home Network Mode English > 1 German > 3 About the Home Network Mode EN Tivizen Nano & iplug normally work on their own created networks (whose SSID starts with tivizentv or iplug ) in which

Mehr

Cloud Architektur Workshop

Cloud Architektur Workshop Cloud Architektur Workshop Ein Angebot von IBM Software Services for Cloud & Smarter Infrastructure Agenda 1. Überblick Cloud Architektur Workshop 2. In 12 Schritten bis zur Cloud 3. Workshop Vorgehensmodell

Mehr

Lizenzierung von SharePoint Server 2013

Lizenzierung von SharePoint Server 2013 Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe

Mehr

Formular»Fragenkatalog BIM-Server«

Formular»Fragenkatalog BIM-Server« Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument

Mehr