Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-1918
Main Title: Protecting Communication Infrastructures Against Attacks with Programmable Networking Technology
Translated Title: Schutz von Kommunikationsnetzen gegen netzwerk-basierte Angriffe mithilfe programmierbarer Netzwerktechnologie
Author(s): Hess, Andreas
Advisor(s): Wolisz, Adam
Granting Institution: Technische Universität Berlin, Fakultät IV - Elektrotechnik und Informatik
Type: Doctoral Thesis
Language: English
Language Code: en
Abstract: Die Angriffsstatistiken spiegeln ein klares Wachstum registrierter Schutzzielverletzungen wider. Die Ursachen hierfür sind zahlreich. Grundlage sind zum einen die sich stetig vergrößernden Mengen der Internetnutzer und der Internetrechner. Zum anderen lässt sich ein fehlendes bzw. mangelhaftes Sicherheitsbewusstsein vieler Nutzer und Administratoren beobachten, welches in mangelhafter Systempflege resultiert. Betriebssystem- und Softwarehersteller stellen Sicherheitsupdates für das Beseitigen bekannt gewordener Sicherheitslöcher—so genannte Patches—bereit, die aber nicht oder nur stark zeitverzögert eingespielt werden. Als Beispiel hierfür kann der als Blaster bekannt gewordene Internetwurm herangezogen werden, welcher eine Schwachstelle des RPC-Dienstes von Windows-Systemen ausnutzte. Am 16. Juli 2003 stellte Microsoft auf seiner Seite ein entsprechendes Sicherheitsupdate zur Verfügung und dennoch erfolgte am 11. August ein Ausbruch des Internetwurms. Symantec stufte den Wurm in die Kategorie 4 (ernsthafte Bedrohung / weltweite Verteilung) ein. Mithilfe einer dynamischen, automatisierten Verteilung und Integration von proaktiven Schutzmechanismen innerhalb eines Netzwerkes, kann mit ”geringem” Aufwand eine große Zahl an Endsystemen in kurzer Zeit geschützt werden. Es ist dabei jedoch zu beachten, dass Angriffsunterdrückungssysteme das Verhalten (Durchsatz, Latenzzeit, Jitter, etc.) von Netzwerken beeinflussen, da der Netzwerkverkehr vor der Weitervermittlung auf verdächtigen Inhalt geprüft wird. Software-spezifische Schwachstellen und folglich auch die Menge der darauf basierenden Angriffe, sind zumeist spezifisch für eine bestimmte Menge von Anwendungen oder Betriebssystemen. Hierdurch bietet sich eine Modularisierung der zu den Schwachstellen korrespondierenden Schutzmechanismen an. Das Ziel dieser Arbeit ist die Realisierung eines auf aktiver Netzwerktechnologie basierenden und sich selbstorganisierenden Angriffsunterdrückungs-Netzwerks. Aktive Netzwerke bieten die Möglichkeit, anwendungsspezifische Dienste, z.B. spezielle Angriffsunterdrückungsfunktionalitäten, dynamisch auf aktiven Knoten zu starten und zu beenden. Es wird also untersucht wie die Ermittlung und Erfüullung des spezifischen Schutzbedarfs einzelner Netzbereiche automatisiert werden kann. Dabei werden die folgenden Punkte diskutiert und entwickelt: • die Architektur des auf aktiver Netzwerktechnologie basierenden Angriffsunterdrückungsystems, • die Analyse des zu schützenden Netzwerks hinsichtlich Topologie und verbundener Systeme, und • die Entscheidung auf welchen Router welche Schutzmechanismen platziert werden. Im Rahmen der Arbeit wird ein Konzept eines solchen Angriffsunterdrückungs-Netzwerks entwickelt und prototypisch implementiert. Es wird exemplarisch gezeigt wie ein Netzwerk hinsichtlich Topologie und Systemkonfigurationen untersucht werden kann. Zur Berechnung der ”optimalen” Verteilung der Schutzmechanismen wird ein mathematisches Model aufgestellt. Es werden dabei die folgenden Platzierungsstrategien entwickelt: • Erfüullung aller Sicherheitsanforderungen bei gleichzeitiger Minimierung der Anzahl der verwendeten aktiven Router. • Erfüllung aller Sicherheitsanforderungen bei gleichzeitiger Minimierung der maximalen Belastung eines Routers. Abschliessend wird das entwickelte Angriffsunterdrückungs-Netzwerk auf die Experimentierumgebung Deter-Testbett portiert und es werden zwei konkrete Netzwerkkonfiguration emuliert und bewertet. Die erzielten Resultate zeigen deutlich den Gewinn des entwickelten Ansatzes.
The continued explosion of new virus/worm and other security attacks in the Internet, the tremendous propagation speed of self-propagating attacks, and the still increasing number of hosts connected to the Internet has led to network security being considered as a design criterion rather than an afterthought. Beyond this, also the diversity of software is increasing and still the quality of many software solutions is insufficient, especially in terms of security vulnerabilities resulting from programming errors. These problems are aggravated by an inappropriate security awareness of many network and system administrators as well as users which has (again) been clearly shown by the W32/Blaster worm. The worm which started on August 11th 2003 exploited a vulnerability that has already been known four weeks earlier. Actually, since July 16th 2003 Microsoft had provided a patch in order to fix this flaw. But still, the worm could diffuse itself in a manner such that Symantec rated it as category 4 (severe threat, global distribution). As a consequence thereof, we can clearly see that the idea of quickly patching all vulnerable systems upon detection of a new security hole is not an appropriate measure to cope with the evolution of execution speed of computer attacks, and that, therefore, attackers will continue to be able to break into systems and deploy them for their purposes in the future. Attack prevention, detection, and mitigation mechanisms can be broadly classified as network based or host based. Network based security mechanisms have been shown to be much more effective than host based mechanisms, primarily because of the former’s ability in identifying attack traffic that is further upstream from the victim and closer to the attack source. In the context of network based mechanisms, we propose a flexible overlay network of security systems running on top of programmable (active) routers. In such an architecture, security services can be dynamically distributed across the network, which provides flexibility for load-balancing of services across nodes and addition of new services over time. The thesis discusses: • the architecture of the intrusion prevention system on top of active networking technology, • the process of analyzing the network to be protected in terms of topology and connected systems, • the third functional part decides which intrusion prevention services are deployed on which programmable routers. A contribution of the thesis is the conceptual design of the autonomous intrusion prevention overlay network on top of programmable networking technology, also a corresponding prototype is implemented. We exemplarily show how to gather network information in terms of topology and connected systems. Further on, we develop an optimization framework that specifies the optimal placement of security services. The following ob jective functions are introduced: • minimize the number of programmable routers used while fulfilling all security requests; • minimize the maximal workload of a programmable router while fulfilling all security requests. Finally, the intrusion prevention architecture is setup on the Deter testbed. We show the benefit of the presented approach by emulating two concrete networking scenarios.
URI: urn:nbn:de:kobv:83-opus-19234
http://depositonce.tu-berlin.de/handle/11303/2215
http://dx.doi.org/10.14279/depositonce-1918
Exam Date: 19-Jun-2008
Issue Date: 29-Jul-2008
Date Available: 29-Jul-2008
DDC Class: 620 Ingenieurwissenschaften und zugeordnete Tätigkeiten
Subject(s): Netzwerkbasierte Angriffsunterdrückung
Netzwerksicherheit
Programmierbare Netzwerke
Network security
Network-based intrusion prevention
Programmable networking technology
Usage rights: Terms of German Copyright Law
Appears in Collections:Technische Universität Berlin » Fakultäten & Zentralinstitute » Fakultät 4 Elektrotechnik und Informatik » Institut für Telekommunikationssysteme » Publications

Files in This Item:
File Description SizeFormat 
Dokument_37.pdf3.45 MBAdobe PDFThumbnail
View/Open


Items in DepositOnce are protected by copyright, with all rights reserved, unless otherwise indicated.