Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
security [2019/09/23 17:53]
Thomas Lukaseder
security [2019/09/23 17:54] (current)
Thomas Lukaseder
Line 1: Line 1:
-====== ​Sicherheitskonzepte für Hochleistungsnetzwerke ​======+====== ​Security Concepts in High Performance Networks ​======
  
-Die gleiche Sicherheit bei einem deutlich höheren Durchsatz zu erreichen, ist eines der Kernziele dieses ProjektsDieses Arbeitspacket beschäftigt sich insbesondere damitwie Systeme getestet werden könnenwie Intrusion Detection Systeme an die neuen Anforderungen angepasst werden können und wie DDoS-Angriffe effizient abgewehrt werden könnenSicherheit ​in und durch flexible ​Netzwerke ​– realisiert durch Software Defined Networking (SDN) – ist ein weiteres zentrales Forschungsgebiet,​ an dem wir beteiligt sind.+Achieving the same security at a significantly higher throughput is one of the core objectives of this projectIn this work packagewe focus in particular on how systems can be testedhow intrusion detection systems can be adapted to the new requirements and how DDoS attacks can be efficiently mitigatedSecurity ​in and through ​flexible ​networksrealized by Software Defined Networking (SDN)—is another central research area in which we are involved.
  
-===== Netzwerktests ​=====+===== Network Testing ​=====
  
 {{:​en:​gpntf.png?​nolink&​400 |}} {{:​en:​gpntf.png?​nolink&​400 |}}
  
-GeräteDiensteProtokolle und andere Netzwerkmechanismen müssen evaluiert werdenbevor sie in der Produktion eingesetzt werden könnenEine sehr gute Testinfrastruktur für ein neues Netzwerksystem ist das Produktionsnetzwerk, ​in dem es funktionieren mussAllerdings haben Tests in einer solchen Infrastruktur ihre NachteileZum einen ist es schwierigZugang zu diesen Systemen zu erhalten, da die üblichen Datenschutzbestimmungen und -richtlinien verständlicherweise den Einsatz von unerprobten und ungetesteten Geräten im Produktionsnetzwerk untersagenDarüber hinaus kann die Infrastruktur nicht kontrolliert werdenwas zu einem Mangel an Wiederholbarkeit und Zuverlässigkeit der Netzwerktests führtUm dieses Problem zu umgehenist es üblichNetzwerkaufzeichnungen zu erfassen, zu anonymisieren,​ wiederzuverwenden und – zumindest als Best Practice – diese Datensätze zusammen mit den Ergebnissen der Analyse zu veröffentlichenDa es sich um Aufnahmen von echten Netzwerkverkehr handeltist sichergestellt,​ dass sie Merkmale des Netzwerkverkehrs genau wiedergeben,​ an die selbst die Tester vielleicht nicht gedacht habenDie inhärente Einschränkung dieses Ansatzes besteht darin, dass diese Netzwerk-Traces nur die Eigenschaften von Netzwerken während ihrer Aufzeichnungszeit abbildenVerkehrsmuster könnten möglicherweise nur innerhalb des zu beobachtenden Netzwerks vorhanden seinvielleicht sogar nur zum Zeitpunkt der AufzeichnungNeuere Protokolle oder Änderungen im Benutzerverhalten führen zu einer schnellen Alterung dieser Netzwerk-TracesBeispielsweise kann HTTP/​2 ​oder das QUIC-Protokoll ​in älteren Datensätzen nicht gefunden werdenDa es schwierig ist, Zugang zu neueren Aufzeichnungen zu erhalten oder die Vergleichbarkeit mit älteren Tests zu gewährleisten,​ werden Systeme oft mit alten Datensätzen getestetdie keine aktuellen Netzwerkfunktionen repräsentierenz.Bist der DARPA Intrusion Detection Evaluation ​Datensatz von 1999 noch heute im EinsatzEin weiterer wichtiger Punkt bei Tests ist es, nicht nur in einer realistischen Umgebung zu testen, sondern auch Edge-Cases zu testen und das Netzwerksystem an seine Grenzen zu bringenDies ist in einem Produktionsnetzwerk oder bei Verkehrsaufzeichnungen nicht einfach möglichDaher sind spezialisierte Systeme für Netzwerktests,​ die sowohl eine realistische als auch kontrollierbare Umgebung schaffen können, wichtigum die Lebensfähigkeit neuer Netzwerksysteme nachzuweisenDiese Systeme sollen nicht nur bestehende Verkehrsspuren wiederverwenden können, sondern auch neue Daten produzieren könnenIm Rahmen dieses Projektes arbeiten wir daher daran, ein Framework für Netzwerktests zu erstellen ​(Prototyp siehe Bildund selbst aufgezeichnete Netzwerkdaten zu veröffentlichen.+Devicesservicesprotocolsand other network mechanisms require evaluation before they can be used in productionA very good test infrastructure for a new network system is the production network ​in which it has to functionHowever, tests in such an infrastructure have their downsidesFor oneit is hard to gain access to these systems as usually privacy regulations and policies understandably forbid the 
 +usage of unproven and untested devices in the production networkMoreoverthe infrastructure cannot be controlled which leads to a lack of repeatability and reliability of network testsThe state of the 
 +art to work around this issue is to recordanonymizeand reuse network traces and — at least as a best practice — publish these data sets along with the results of the analysisAs they are recordings of real 
 +network trafficthey can assure that they accurately reflect features of the network traffic that even the tester might not have thought ofThe inherent limitation in this approach is that these network traces only depict the properties of networks during their recording timeTraffic patterns could possibly only be present within the network under observationmaybe even only at the time of recordingNewer protocols or changes in user behavior lead to fast obsolescence of these network tracesFor instance, ​HTTP/​2 ​or the QUIC protocol cannot be found in older data setsAs it is hard to gain access to newer traces or to ensure comparability with older testssystems are often tested against old data sets that do not represent current network featurese.gthe DARPA Intrusion Detection Evaluation ​data set from 1999 is still in use todayAnother key point of tests is to not only test in a realistic environment but to also test edge cases and push the network system to its limitsThis cannot easily be done in a production network or with traffic recordingsThereforespecialized systems for network tests that can both produce a realistic and controllable environment are important to proof the viability of new network systemsThese systems should not only be able to reuse existing traffic traces but should also be able to produce new dataWithin the scope of this project we are therefore working on creating a framework for network tests (prototype see picture). Furthermore,​ we are working on publishing self-recorded network data
  
-===== Hardware-basierte ​IDS-Beschleunigung ​===== +===== Hardware-based IDS Acceleration ​=====
-Intrusion Detection Systems (IDS) sind für die Sicherheit in Netzwerken wichtig, um Angriffe zu erkennen. Die jüngsten Angriffe zeigen, wie Legacy-Systeme in Netzwerken eine Belastung darstellen können und wie Intrusion Detection dazu beitragen kann, das Ausmaß von Angriffen durch frühzeitige Erkennung zu mindern. Die Netzwerkbandbreite nimmt jedoch schnell zu; sie steigt viel schneller als die Rechenleistung von Hardwareplattformen. Gleichzeitig werden die Erkennungsmechanismen immer komplexer. Vom einfachen String-Matching über das komplexere Matching mit regulären Ausdrücken bis hin zur Metadatenanalyse und komplexen Machine Learning Algorithmen zur Erkennung von Anomalien ist die Intrusion Detection zunehmend ressourcenintensiver geworden. Der Kern eines modernen IDS ist die String Matching und die Regular Expression Matching Engine. Es ist der wichtigste und ressourcenintensivste Teil des Systems und bietet somit die größte Verbesserungsmöglichkeit. CPUs bieten eine mittlere Leistung für jede generische Berechnung. Spezialisierte Verarbeiter können jedoch auf den Anwendungsfall ihres Einsatzbereichs zugeschnitten und entsprechend optimiert werden. Ein hochgradig parallelisiertes Design eines anwendungsfall-spezifischen Prozessors kann daher theoretisch die Performance von IDS verbessern. In diesem Projekt analysieren wir drei grundlegende Konzepte für solche Prozessoren. Zum einen ein FPGA-basiertes System, bei dem die regulären Ausdrücke selbst übersetzt und in Hardware gegossen werden, und einen FPGA-basierten Co-Prozessor mit einer eigenen, auf regulären Ausdrücken basierenden Assemblersprache,​ die in ein ASIC übersetzt werden kann. Darüber hinaus befassen wir uns mit Grafikprozessoren (GPUs). GPUs sind für eine massive Parallelisierung optimiert. GPU-Kerne sind viel kleiner und weniger vielseitig als CPU-Kerne, aber für bestimmte Anwendungen,​ die die Hauptmerkmale der Grafikverarbeitung teilen, ermöglicht die Verschiebung der Berechnung von der CPU auf die GPU oft weitreichende Verbesserungen.+
  
-===== DDoS-Abwehr ​===== +Intrusion Detection Systems (IDS) are important for security in networks to find and circumvent attacks. Recent attacks show how legacy systems in networks can be a liability and how intrusion detection can help to mitigate the extent of the attack. However, network bandwidth increases fast; it increases a lot faster than computing capabilities of hardware platforms. At the same time, detection mechanisms become more and more complex. From simple string matching to more complex regular expression matching to meta data analysis and complex machine learning algorithms for anomaly detection, intrusion detection has become increasingly resource demanding. The core of any modern IDS is the string matching and regular expression matching engine. It is the most important and resource intensive part of the system and therefore offers the biggest opportunity for improvement. CPUs offer medium performance for any generic calculation. Specialized processors, however, can be tailored to the use case of their operational area and optimized accordingly. A highly parallelized design of a use case specific processor can therefore in theory improve matching capabilities of IDS. In this project, we analyze three basic concepts for such processors. For one, an FPGA-based system where the regular expressions themselves are translated and molded into hardware and an FPGA-based co-processor with its own regular expression based assembly language that can be translated into an ASIC. Furthermore,​ we take a look into graphics processors (GPUs). GPUs are optimized for massive parallelization. GPU cores are much smaller and less versatile than CPU cores but for certain applications that share key features of graphics processing, moving the calculation from the CPU to the GPU often enable far-reaching improvements. 
-==== Konzept der DDoS-Abwehr ​====+ 
 +===== DDoS Mitigation ​===== 
 +==== Concept of the DDoS Mitigation Setup ====
  
  
 {{:​en:​environment.png?​nolink&​400 |}} {{:​en:​environment.png?​nolink&​400 |}}
  
-Das System, das wir untersuchen,​ ist ein netzwerkbasiertes DDoS Abwehrsystem,​ das innerhalb der Netzwerkinfrastruktur eingerichtet wirdPotenzielle Ziele in der Netzwerkinfrastruktur sind den Verteidigern bekannt, stehen aber weder in Kontakt mit diesen noch werden sie von den Administratoren des DDoS-Abwehrsystems kontrolliertDie Abbildung zeigt eine vereinfachte,​ schematische Darstellung der Umgebung, in der das Abwehrsystem eingerichtet ist. In rot ist das Abwehrsystem selbst dargestelltwährend die grauen Teile die Teile der Netzwerkinfrastruktur darstellendie direkt mit dem Abwehrsystem verbunden sindAuf der linken Seite wird die Datenaggregation basierend auf Informationen der Kernrouter des Netzwerks dargestelltDas Baden-Württemberg Extended Lan (BelWü) ​enthält unter anderem mehrere Core Router, die mit anderen ​ISPs (z.Bdem Schweizer Forschungsnetzwerk ​SWITCH) ​und Internet Exchange Points (IXPs, ​z.B. DE-CIX in Frankfurt) ​als Peering-Partner verbunden sindWir arbeiten hier mit dem Projekt ​[[https://​www.alwr-bw.de/​kooperationen/​bwnetflow/​|bwNetFlow]] ​zusammendas ein weiteres vom Land Baden-Württemberg ​finanziertes Forschungsprojekt ist und sich auf die Realisierung einer Schnittstelle zwischen den Core-Routern konzentriertum Strömungsinformationen zu sammelneine automatisierte Verarbeitungsplattform aufzubauen und Anomalien zu erkennenDas Projekt exportiert die NetFlow-Daten der Core-Routeraggregiert die Datenreichert die Daten mit zusätzlichen Informationen an und stellt die Daten den Teilnehmern zur VerfügungAuf der rechten Seite ist das Abwehrsystem in der Nähe der Serverdie wir verteidigen wollen – das Angriffsziel ​– dargestellt. SDN-fähige Switches vor den Zielen bieten die notwendige Flexibilität,​ um eine effektive Abwehr zu realisierenEin SDN-Controller steuert den Switch und kann den Angriffsverkehr zur Analyse an den Observer weiterleiten oder den als Angriffsverkehr identifizierten Verkehr droppenEin CAPTCHA-Server kann verwendet werden, um legitime Clients während eines Angriffs auf die Whitelist zu setzen.+The system we are looking into is a network-based mitigation system set up within the network infrastructurePotential targets ​in the network infrastructure are known by the defenders but are neither ​in contact with nor controlled by neither the DDoS mitigation administrators nor the mitigation serviceThe figure shows a simplifiedschematic view of the environment ​in which the mitigation system is set up. In redthe mitigation system itself is shownwhile the gray parts represent the parts of the network infrastructure that are directly connected to the mitigation systemOn the left side, the data aggregation based on information from the core routers of the network is shownThe Baden-Württemberg Extended Lan (BelWü) ​— among other parts — contains several core routers connected to other ISPs (e.gthe Swiss research network ​SWITCH) ​and Internet Exchange Points (IXPs, ​eg. DE-CIX in Frankfurt) ​as peering partnersWe are collaborating here with the [[https://​www.alwr-bw.de/​kooperationen/​bwnetflow/​|bwNetFlow]] ​ ​projectwhich is another research project financed by the state of Baden-Württemberg ​and focuses on the realization of an interface between the core routers to collect flow informationestablish an automated processing platformand detect anomaliesThe project exports the NetFlow ​data of the core routersaggregates the dataenriches the data with additional information and provides the data to subscribersOn the rightthe mitigation system close to the servers we want to defend — the attack target ​— is shown. SDN capable switches in front of the targets provide the necessary flexibility to realize an effective mitigationAn SDN controller controls the switch and can forward attack traffic to the observer for analysis or drop traffic identified as attack trafficCAPTCHA ​server can be used to white list legitimate clients during an attack.
  
-==== Prototyp ​====+==== Prototype Setup ====
 {{:​en:​ddos-sketch.png?​nolink&​400 |}} {{:​en:​ddos-sketch.png?​nolink&​400 |}}
  
-Zu Testzwecken wurde ein lokaler Testaufbau implementiertwie in der linken Abbildung dargestelltDas System besteht aus dem lokalen Aufbau des Abwehrsystems ohne den NetFlow-Datenexport,​ der separat ausgewertet wirdZusätzlich beinhaltet das System einen Webserverder als Angriffsziel ​in Testläufen fungiert, eine Maschinedie Angriffe simuliert und eine Maschinedie reguläre Clients simuliert+For testing purposesa local test setup was implemented as shown in the figure on the leftThe system consists of the local setup of the mitigation system without the NetFlow ​data export which is evaluated separatelyAdditionallythe system entails a web server functioning as an attack target ​in test runsone machine simulating attacksand one machine simulating regular clients
 + 
 ===== Zero Trust Network Management ===== ===== Zero Trust Network Management =====
  
 {{:​de:​architecture.png?​nolink&​400 |}} {{:​de:​architecture.png?​nolink&​400 |}}
  
-Im Rahmen der Verlängerung des Projekts ​(bwNET100G+ Extension) ​wird an einer Platform für das Management von Zero Trust Netzwerken gearbeitetDas derzeit vorherrschende Perimeter-Sicherheitsmodell versagt immer häufiger dabei einen ausreichenden Schutz vor Angreifern zu bietenIn diesem Beitrag wird analysiert, inwieweit das in einigen kommerziellen Netzwerken beliebte Zero Trust Modell auch auf das offene und heterogene Forschungsnetzwerk einer deutschen Universität bzw. auf BelWü ​angewendet werden kannDas hier vorgestellte Konzept zur Implementierung eines identitätsbasierten Netzwerkmodells konzentriert sich insbesondere auf die Komponenten,​ die für die Authentifizierung und Autorisierung notwendig sind. Die Machbarkeit des Modells wird durch einen selbst implementierten Prototyp demonstriert,​ der die Zugangskontrolle von Services durchführt.+We are working on a platform for zero trust network management as part of the project extension ​(bwNET100G+ Extension). ​The currently predominant perimeter security model is failing more and more often to provide sufficient protection against attackersWe analyse to what extent the zero trust model that is popular ​in some commercial networks can also be applied to the open and heterogeneous research network of a German university or the BelWü ​as a wholeThe concept presented herein to implement such an identity-based network model focuses in particular on the components which are necessary for authentication and authorizationThe feasibility of the model is demonstrated by a self-implemented prototype that protects access control 
 + 
 + 
security.txt · Last modified: 2019/09/23 17:54 by Thomas Lukaseder