Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
de:security [2019/08/30 16:53]
Thomas Lukaseder [Sicherheitskonzepte für Hochleistungsnetzwerke]
de:security [2019/08/30 17:13] (current)
Thomas Lukaseder [Konzept der DDoS-Abwehr]
Line 18: Line 18:
 {{:​en:​environment.png?​nolink&​400 |}} {{:​en:​environment.png?​nolink&​400 |}}
  
-Das System, das wir untersuchen,​ ist ein netzwerkbasiertes DDoS Abwehrsystem,​ das innerhalb der Netzwerkinfrastruktur eingerichtet wird. Potenzielle Ziele in der Netzwerkinfrastruktur sind den Verteidigern bekannt, stehen aber weder in Kontakt mit diesen noch werden sie von den Administratoren des DDoS-Abwehrsystems kontrolliert. Die Abbildung zeigt eine vereinfachte,​ schematische Darstellung der Umgebung, in der das Abwehrsystem eingerichtet ist. In rot ist das Abwehrsystem selbst dargestellt,​ während die grauen Teile die Teile der Netzwerkinfrastruktur darstellen, die direkt mit dem Abwehrsystem verbunden sind. Auf der linken Seite wird die Datenaggregation basierend auf Informationen der Kernrouter des Netzwerks dargestellt. Das Baden-Württemberg Extended Lan (BelWü) enthält unter anderem mehrere Core Router, die mit anderen ISPs (z.B. dem Schweizer Forschungsnetzwerk SWITCH) und Internet Exchange Points (IXPs, z.B. DE-CIX in Frankfurt) als Peering-Partner verbunden sind. Wir arbeiten hier mit dem Projekt bwNetFlow zusammen, das ein weiteres vom Land Baden-Württemberg finanziertes Forschungsprojekt ist und sich auf die Realisierung einer Schnittstelle zwischen den Core-Routern konzentriert,​ um Strömungsinformationen zu sammeln, eine automatisierte Verarbeitungsplattform aufzubauen und Anomalien zu erkennen. Das Projekt exportiert die NetFlow-Daten der Core-Router,​ aggregiert die Daten, reichert die Daten mit zusätzlichen Informationen an und stellt die Daten den Teilnehmern zur Verfügung. Auf der rechten Seite ist das Abwehrsystem in der Nähe der Server, die wir verteidigen wollen – das Angriffsziel T – dargestellt. SDN-fähige Switches vor den Zielen bieten die notwendige Flexibilität,​ um eine effektive Abwehr zu realisieren. Ein SDN-Controller steuert den Switch und kann den Angriffsverkehr zur Analyse an den Observer weiterleiten oder den als Angriffsverkehr identifizierten Verkehr droppen. Ein CAPTCHA-Server kann verwendet werden, um legitime Clients während eines Angriffs auf die Whitelist zu setzen.+Das System, das wir untersuchen,​ ist ein netzwerkbasiertes DDoS Abwehrsystem,​ das innerhalb der Netzwerkinfrastruktur eingerichtet wird. Potenzielle Ziele in der Netzwerkinfrastruktur sind den Verteidigern bekannt, stehen aber weder in Kontakt mit diesen noch werden sie von den Administratoren des DDoS-Abwehrsystems kontrolliert. Die Abbildung zeigt eine vereinfachte,​ schematische Darstellung der Umgebung, in der das Abwehrsystem eingerichtet ist. In rot ist das Abwehrsystem selbst dargestellt,​ während die grauen Teile die Teile der Netzwerkinfrastruktur darstellen, die direkt mit dem Abwehrsystem verbunden sind. Auf der linken Seite wird die Datenaggregation basierend auf Informationen der Kernrouter des Netzwerks dargestellt. Das Baden-Württemberg Extended Lan (BelWü) enthält unter anderem mehrere Core Router, die mit anderen ISPs (z.B. dem Schweizer Forschungsnetzwerk SWITCH) und Internet Exchange Points (IXPs, z.B. DE-CIX in Frankfurt) als Peering-Partner verbunden sind. Wir arbeiten hier mit dem Projekt ​[[https://​www.alwr-bw.de/​kooperationen/​bwnetflow/​|bwNetFlow]] zusammen, das ein weiteres vom Land Baden-Württemberg finanziertes Forschungsprojekt ist und sich auf die Realisierung einer Schnittstelle zwischen den Core-Routern konzentriert,​ um Strömungsinformationen zu sammeln, eine automatisierte Verarbeitungsplattform aufzubauen und Anomalien zu erkennen. Das Projekt exportiert die NetFlow-Daten der Core-Router,​ aggregiert die Daten, reichert die Daten mit zusätzlichen Informationen an und stellt die Daten den Teilnehmern zur Verfügung. Auf der rechten Seite ist das Abwehrsystem in der Nähe der Server, die wir verteidigen wollen – das Angriffsziel T – dargestellt. SDN-fähige Switches vor den Zielen bieten die notwendige Flexibilität,​ um eine effektive Abwehr zu realisieren. Ein SDN-Controller steuert den Switch und kann den Angriffsverkehr zur Analyse an den Observer weiterleiten oder den als Angriffsverkehr identifizierten Verkehr droppen. Ein CAPTCHA-Server kann verwendet werden, um legitime Clients während eines Angriffs auf die Whitelist zu setzen.
  
 ==== Prototyp ==== ==== Prototyp ====
de/security.txt · Last modified: 2019/08/30 17:13 by Thomas Lukaseder