Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragGanzheitliche Architektur zur Entwicklung und Analyse sicherheitskritischer Systeme und Anwendung(6. DFN-Forum Kommunikationstechnologien, 2013) Golling, Mario; Koch, Robert; Hillmann, Peter; Dreo Rodosek, GabiDie Forschung auf dem Gebiet der IT-Sicherheit - hier im Speziellen im Bereich der Analyse von Malware sowie gezielten Angriffen - stellt besondere Anforderungen an den Aufbau und den Betrieb von IT-Systemen. Um Informationen über Angriffsmuster und Angreiferverhalten zu erlangen, muss potentiellen Angreifern ein attraktives Ziel geboten werden, das nach außen hin den Anschein eines realen Produktivsystems bzw. -netzes erweckt und sich entsprechend verhalten muss. Sollen über eine Analyse von automatisiert arbeitender Schadsoftware hinaus Aktivitäten professioneller Angreifer analysiert werden, reicht die ausschließliche Nutzung herkömmlicher Honeypots nicht aus. Gleichzeitig allerdings muss sichergestellt werden, dass alle mit einem Angriff verbundenen Aktionen protokolliert und ein Übergreifen des Angriffs aus der Forschungsumgebung auf die produktiven Bereiche verhindert wird. Probleme bei Untersuchungen in diesem Bereich bestehen in der vollständigen Verhinderung von übergreifenden Angriffen auf die stetig laufenden Produktivsysteme und somit in der Gefahr selbst Opfer zu werden. Im Gegensatz dazu sollte die einzurichtende Testumgebung nach außen hin wie ein reales Produktivnetz aussehen und verhalten, um die Echtheit zu gewährleisten. Aus diesem Grund wäre es ungünstig ein separates Netz ohne produktive Systeme dafür herzunehmen. Weiterhin besitzen die meisten Forschungseinrichtungen und Unternehmen nicht die Möglichkeit einen kompletten Netzbereich nur für die Entwicklung und Analyse sicherheitskritischer Systeme einzurichten. Daher wird ein Teil von einem produktiv genutzten Netzbereich für die Forschung an Malware und Analyse von Angriffen deklariert. Dafür ist es zwingend Notwendig, dass entsprechende Sicherheitsvorkehrungen getroffen werden.
- KonferenzbeitragKonzeption einer Architektur zur Unterstützung von Mobilität und Multihoming im zukünftigen Internet(6. DFN-Forum Kommunikationstechnologien, 2013) Gladisch, Alexander; Tavangarian, DjamshidMobilität und Multi-Homing sind eng verwandte Probleme, die auf das semantisch überladene Adressierungsschema des Internet Protokolls (IP) zurückzuführen sind. Die Auftrennung der im IP-Adressierungsschema eingebetteten Funktionalitäten und deren Integration in separate Adressteile ist vielversprechend, um Mobilität und Multi-homing zu unterstützen. In dieser Arbeit wird das Node-oriented Internet Protocol (NIP) vorgestellt. NIP greift die Idee der Adressseparation auf und führt ein neues Drei-Tupel Adressierungsschema bestehend aus Knoten-ID, Interface-ID und topologischer Lokalisierung ein. Dieses Konzept schafft in Kombination mit weiteren in dieser Arbeit definierten Funktionsprinzipien und einem ebenfalls in dieser Arbeit vorgestellten global skalierbarem Mapping System die Grundlage, erweiterte Mobilitätsund Multi-homing-Unterstützung auf Netzwerkebene zu ermöglichen.
- KonferenzbeitragAutomatisierte Korrelation und Aggregation von Syslog-Nachrichten in NoSQL-basierten Datenbanken(6. DFN-Forum Kommunikationstechnologien, 2013) Reißmann, Sven; Frisch, Dustin; Rieger, SebastianLogging-Informationen von Systemen und Diensten nehmen in ihrem Umfang durch den Detaillierungsgrad komplexer Anwendungen, aber auch durch die zunehmende Anzahl von verwendeten Systemen (etwa aufgrund der vermehrten schnellen Bereitstellung von virtuellen Maschinen z.B. in Cloud Umgebungen) immer weiter zu. Um die zeitnahe Auswertung und Reaktion auf relevante Logging-Informationen zu gewährleisten sind automatisierte Korrelationsund Aggregationsverfahren erforderlich. In der Vergangenheit wurden diese z.B. durch die Zentralisierung von Logging-Systemen unterstützt. In der vorliegenden Arbeit wird darauf aufbauend ein Prototyp für eine automatisierte inhaltliche Korrelation und Aggregation bzw. Verdichtung der Logging-Informationen präsentiert. Hierfür werden insbesondere die Anforderungen an Logging-Systeme bei der dynamischen Bereitstellung von Systemen und Anwendungen bzw. Diensten (vgl. Cloud Umgebungen) vorgestellt.
- KonferenzbeitragCAESAREA - combined architecture for energy saving by auto-adaptive resource allocation(6. DFN-Forum Kommunikationstechnologien, 2013) Versick, Daniel; Tavangarian, DjamshidEnergy consumption of data centers increased continously during the last decades. As current techniques for improving their energy efficiency are usually limited to one type of data center components, it is difficult to employ them for a holistic optimization which may utilize synergies between all components. This paper introduces architecture and working principles of the novel energy management system CAESARA that applies a holistic view for evaluating an energy-efficient virtual machine placement in current virtualization environments for minimizing the number of running energy-consuming physical machines. In contrast to existing solutions, our placement algorithm does not only aggregate load to a minimum number of servers - it also discovers which servers act as most energy-efficient migration targets in conjunction with their environment (e.g. their cooling equipment). This paper presents the architecture of CAESARA and defines properties for an energy-efficient virtual machine placement algorithm. As the placement algorithm uses an energy-aware metric, it is the basis for an innovative system, which may optimize the energy efficiency of data centers in a holistic way by including any infrastructural energy consumption.
- KonferenzbeitragVorschlag einer Architektur für Software Defined Networks(6. DFN-Forum Kommunikationstechnologien, 2013) Georgi, Andy; Müller, Jupp; Wünsch, Wolfgang; Nagel, Wolfgang E.Die zunehmende Vernetzung und die Benutzung und Bereitstellung von Cloud-Diensten stellt neue Anforderungen an bestehende Netzwerkarchitekturen. An- statt wie bisher auf einzelne Probleme mit immer neuen proprietären Lösungen zu reagieren, stellt das Konzept der Software Defined Networks eine offene Architektur zur Verfügung, mit der es möglich ist, verschiedene Probleme wie ineffizientes Routing, ungenutzte Kapazitäten oder manuelle Konfiguration der Netzwerkkomponenten zu lösen. In dieser Arbeit wird eine Architektur vorgestellt, in welcher die beiden offenen Standards OpenFlow und NSI eingesetzt werden, um Anwendungen dynamisch und mittels einer zentralen Sicht auf das Netzwerk Ressourcen zur Verfügung zu stellen.
- KonferenzbeitragAnomalieerkennung basierend auf statistischer Modellierung von HADES Messdaten(6. DFN-Forum Kommunikationstechnologien, 2013) Ramsch, Kai; Kraft, BirgitIm Rahmen der Qualitätskontrolle in Weitverkehrsnetzen erfasst das am DFN-Labor entwickelte HADES Monitoringtool aktiv One-Way Delay Daten auf Messtrecken innerhalb eines Netzwerkes. Diese Daten werden visuell dargestellt und können für die Überwachung des Netzwerkes und die Analyse vergangener Ereignisse im Netz eingesetzt werden. In einem vollvermaschten Messnetz kann die Überwachung wegen der Vielzahl an Messtrecken nicht mehr manuell erfolgen. In dieser Arbeit werden daher Normalzustände für individuelle Messstrecken durch mathematische Modelle definiert und ein Algorithmus vorgestellt, der One-Way Delay Messwerte statistisch nach Anomalien durchsucht. Die Anwendung des Verfahrens auf ausgewählte Messstrecken des X-WiN demonstriert eine erfolgreiche Erkennung von Anomalien mit einer geringen Fehlerquote. Eine Analyse der Falschmeldungen ergibt, dass bei geeigneter Adaption der Da- tenvorverarbeitung die Anzahl der Fehler noch weiter reduziert werden kann, so dass eine automatisierte Untersuchung aller Messstrecken eines Netzes möglich wird.
- KonferenzbeitragSoftware defined networking: bridging the gap between distributed-systems and networked-systems research(6. DFN-Forum Kommunikationstechnologien, 2013) Müller, PaulThis contribution takes a quote from Einstein, We can't solve problems by using the same kind of thinking we used when we created them, to take a step back and try to have another viewpoint when thinking about a new internetworking architecture. The ongoing research will not be looked at from an application research point of view nor from a communication technology point of view, but from a software engineering perspective. This new way of thinking leads us to realize that the Internet is a largely distributed software system, and thus we propose to apply software-oriented methodologies to define a new internetworking architecture. These methodologies lead to a new, flexible architecture that allows for both evolutionary and clean-slate approaches. Moreover, this approach bridges the gap between application and distributed systems research, and networking research to have a more holistic view and avoid suboptimal solutions.
- KonferenzbeitragSchlüsselverwaltung für sichere Gruppeninteraktionen über beliebigen Speicheranbietern: ein Überblick(6. DFN-Forum Kommunikationstechnologien, 2013) Kühner, Holger; Hartenstein, HannesEin Kernbestandteil vieler Web-Anwendungen ist die Interaktion innerhalb einer geschlossenen Benutzergruppe mit Hilfe eines Speicherdienstes, der nicht von der Benutzergruppe selbst betrieben wird. Eine unverschlüsselte Datenablage bei einem solchen Speicherdienst birgt das Risiko der Kompromittierung der Daten durch den Speicheranbieter selbst oder durch einen Angriff auf den Speicheranbieter. Ansätze für eine verschlüsselte Ablage der Daten erfordern die Verwaltung kryptographischer Schlüssel für die Gruppe mit Hilfe von Group-Key-Management-Protokollen (GKM-Protokollen). Das eingesetzte GKM-Protokoll hat starken Einfluss auf den Ressourcenbedarf und damit auf die Einsetzbarkeit der gesamten Anwendung. Die vorliegende Arbeit ermöglicht eine Vorauswahl passender GKM-Protokolle, indem sie GKM-Protokolle aus verschiedenen Anwendungsgebieten wie Digital Rights Management oder IP-Multicast bezüglich des Ressourcenbedarfs klassifiziert. Anhand exemplarischer Anwendungsszenarien wird demonstriert, wie die vorgestellte Klassifikation zur Vorauswahl von GKM-Protokollen eingesetzt werden kann.
- Editiertes Buch
- KonferenzbeitragIdentity and access management for complex research data workflows(6. DFN-Forum Kommunikationstechnologien, 2013) Zahoransky, Richard; Semaan, Saher; Rechert, KlausIdentity and Access Management (IAM) infrastructures already provide a crucial and established technology, enabling researchers and students to access services like computing facilities and electronic resources. However, the rise of complex and fully digitalized scientific workflows, world-wide research co-operations, and the reliance on external services and data sources poses new challenges to IAM architectures and their federations. Due to the non-uniform structure of such services each service provider is implementing its own accessand security-policy. As a result of license restrictions or privacy concerns, a user has to be authenticated and authorized by different entities in different contexts and roles to access complex research data, i.e. requesting a digital object as well as appropriate processing tools and a rendering environment. In order to enable seamless scientific workflows, an efficient federated IAM architecture is required. In this paper we discuss the use-case of functional research data preservation and the requirements for a common authentication and authorization scheme. The goal is to develop a security architecture allowing the user to login only once, e.g. at his or her university library and the Identity Management (IdM) system should be able to delegate the user's request to the related service providers. All these entities need to interact with and on behalf of the user without the user having to enter his credentials at every point. The results of this work are particularly useful when facing upcoming challenges to securing and managing access to non-uniform and inhomogenous cloud services and external data sources as a basis for today's scientific workflows and electronic business processes.