For­schungs­projekte

Research Platform Internet Security

Einblicke in die Internet-Kernprotokolle zu erhalten, ist entscheidend für das Verständnis von Fehlkonfigurationen und Schwachstellen sowie für den Entwurf und die Einführung neuer Mechanismen und Tech­no­logien. Obwohl viel Aufwand betrieben wird, um das Internet zu verstehen, fehlen noch viele Tools. Bestehende Tools unterstützen oftmals nicht wichtige Eigenschaften wie die Wiederholbarkeit von Versuchen oder die langfristige Auswertung. Des Weiteren sind die vor­handenen Tools nicht einfach zu bedienen, da sie keine benutzerfreundliche Oberfläche haben und keine einfache Erstellung von Statistiken und Analyse der gesammelten Daten bieten. Tools zur Durchführung dedizierter Messungen, die auf spezielle Aufgaben wie Zensur zugeschnitten sind, erfordern entweder zusätzliche Infrastruktur oder interne Zusam­men­arbeit innerhalb des gemessenen Netzwerks.

Das Hauptziel dieses Projekts ist die Entwicklung von Tools für die automatisierte, wiederholende Datenerfassung und -analyse, ohne Notwendigkeit der Mitarbeit des getesteten Zielnetzwerks. Unser Ziel ist es, Einblicke in die Internet-Infrastruktur zu geben: wie die Systeme konfiguriert sind, wie krypto­grafisches Material wie Schlüssel und Signaturen erzeugt wird, was die Fehlkonfigurationen und Schwachstellen sind, wie Angriffe gestartet werden (z. B. wie Zensur über verschiedene Länder und Kontinente hinweg durchgesetzt wird) und auch welche Hindernisse für den Einsatz von Verteidigungsmaßnahmen und neuen Tech­no­logien vorhanden sind. Wir wollen diese Fragen im Hinblick auf die Kernprotokolle des Internets untersuchen. Unsere Erfahrung zeigt, dass der „Faktor Mensch“ die Hauptursache für Fehlkonfigurationen und Fehler bei der Nutzung von Tools oder dem Einsatz von Tech­no­logien und Abwehrmaßnahmen ist. Daher müssen die im Rahmen dieses Projekts entwickelten Tools so weit wie möglich automatisiert sein. Ihre Benutzeroberflächen werden in Zusam­men­arbeit mit Projekt 3 entwickelt, um eine benutzerfreundliche Oberfläche und einen einfachen Aufruf zu gewährleisten. Mit Hilfe unserer Tools werden Daten von zentralen Internet-Infrastrukturen gesammelt, periodisch analysiert und die Ergebnisse in Form von Grafiken und Diagrammen dargestellt. Die neuen Tools sollen protokollspezifisch sein, z. B. Tools zur Messung von Fehlkonfigurationen in DNS oder BGP sowie in ihren jeweiligen Abwehrmechanismen, und aufgabenspezifisch, wie z. B. die Erkennung von Zensur, DNS-Cache-Poisoning oder BGP-Präfix-Hijacking. Im Rahmen des Projekts werden auch Tools zur Erkennung von BGP-Präfix-Hijacking und DNS-Cache-Poisoning-Angriffen entwickelt: (1) Offline-Tools, die historische Daten analysieren, wie z. B. CAIDA und andere Repositories zur Erfassung von Datenverkehr sowie (2) Online-Tools, die eine Live-Überwachung zur Erkennung von Angriffen durchführen. Für letztere zielt Projekt 1 auf die Entwicklung von Tools ab, die Dienste in ganzen Netzwerken überwachen, z. B. für Internet Service Operators (ISPs), sowie auf Endhost-basierte Tools, z. B. für Browser. Die daraus resultierenden Tools ermöglichen die Erfassung von In­for­ma­tio­nen, die für das Verständnis praktischer Angriffe und Methoden, die von den Internet-Angreifern verwendet werden, erforderlich sind. Das Arbeitsergebnis wird eine Plattform sein, die ein umfassendes Toolset zur Erfassung von In­for­ma­tio­nen über die Kernprotokolle im Internet und über die Angriffe bietet.


Routing Security

Die Internet-Infrastruktur ist extrem anfällig für Angriffe. Basierend auf den Erkenntnissen aus Projekt 1 soll dieses Projekt neue Sicherheitsmechanismen entwerfen und möglicherweise bestehende Angebote erweitern, um die Lücken in den aktuellen Standards und Implementierungen zu schließen. Unsere Untersuchungen in diesem Projekt konzentrieren sich hauptsächlich auf drei Kernprotokolle des Internets: BGP, DNS und NTP. Genauer gesagt untersucht das Projekt Folgendes: (1) Angriffe auf Internet-Kernprotokolle sowie deren Missbrauch für Angriffe auf andere Systeme und (2) Einsatz von Abwehrmaßnahmen.

Untersuchen von Angriffen auf zentrale Internet-Protokolle und deren Missbräuche. Das Projekt entwickelt praktische Angriffe und testet deren Missbrauch für die Entwicklung anspruchsvoller Angriffe gegen Sicherheitsmechanismen, Anwendungen und Systeme. Wir führen DNS-Cache-Poisoning-Angriffe durch und bewerten damit Angriffe auf zahlreiche Systeme im Internet. Im ersten Schritt werden wir unter Verwendung unseres Testbeds aus Projekt 1 neuartige Angriffe entwickeln und evaluieren. Im zweiten Schritt werden wir eine Live-Evaluierung der im Internet vor­handenen Angriffe vornehmen und umfassende Messungen durchführen, um den Umfang der Schwachstellen und den Anteil der gefährdeten Netzwerke und Systeme abzuschätzen.

Entwicklung und Einrichtung von Abwehrmaßnahmen. Wir werden an der Entwicklung von Abwehrmaßnahmen für die wichtigsten Internet-Protokolle arbeiten und dabei auf die Erkenntnisse aus Projekt 1 zurückgreifen. Wir werden versuchen, wenn möglich auf den bestehenden Abwehrmaßnahmen aufzubauen und gegebenenfalls Erweiterungen zu entwickeln, um Probleme zu lösen, die eine breite Akzeptanz der Sicherheit verhindern, z. B. durch zusätzliche Anreize oder die Beseitigung von Barrieren. Unser erstes und wichtigstes Ziel ist es, den Einsatz von RPKI und DNSSEC voranzutreiben. Bei ihrem Einsatz verhindern diese Abwehrmechanismen die meisten Traffic-Hijack-Angriffe (sei es aufgrund von BGP-Präfix-Hijacking oder als Folge von DNS-Cache-Poisoning).


Visual Analytics

Das ABC-Projekt Visuelle Sicherheitsanalyse konzentriert sich auf die Visualisierung von großen Sicherheitsdaten-Repositories. Das Internet ist ein riesiges Netzwerk, mit dem unzählige Geräte verbunden sind. In diesem Projekt arbeiten wir an Visualisierungen zur Analyse des globalen Internet-Routings sowie des lokalen Netzwerkverkehrs. Unser visuelles Analysetool für das globale Routing bietet neue Einblicke in die Verbindungen zwischen autonomen Systemen und schafft eine neuartige geografische Annäherung, wie der Traffic um die Welt gerouted wird. Der zweite Fokus liegt auf der Visualisierung des lokalen Netzwerktraffics. Da die Anzahl der Geräte in Firmen- oder Heimnetzwerken zunimmt und immer mehr unentdeckte Cyberangriffe stattfinden, arbeiten wir an einem neuen progressiven, visuellen Analysetool, um die großen Netzwerktraffic-Protokolldateien zu analysieren. Wir stellen einen Online-Prototyp unter netcapvis.igd.fraunhofer.de zur Verfügung, der bereits entwickelt wird. Im Rahmen dieser ATHENE-Mission arbeiten wir auch in Zusam­men­arbeit mit der TU Darmstadt an einer umfassenden Visualisierung von Computer-Botnetzen, um Crawler-In­for­ma­tio­nen zu analysieren, die von derzeit aktiven Botnetzen im Internet gesammelt werden.


Collaborative P2P Botnet Monitoring and Data-Analysis

Botnetze stellen eine besondere Gefahr im Internet dar. Sie können eingesetzt werden, um einzelne Ziele wie ein Unternehmen oder eine Regierungsbehörde verteilt durch massiven Datenverkehr auf die für die Angriffe verwendeten Knoten anzugreifen. Um potenzielle Opfer zu schützen, ist es somit notwendig, Botnetze so früh wie möglich zu erkennen und ihre Angriffe zu vereiteln, bevor sie ihre volle Angriffskraft entfalten können. Die heutigen zentralisierten Angriffserkennungssysteme im Internet reichen jedoch nicht aus, um Botnetze so früh wie nötig zu erkennen und zu bekämpfen. Ziel des Projekts ist es, ein neues System zu entwickeln, das dezentral gesammelte Daten durch kooperative Datenanalyse aggregiert und analysiert. Dies wird durch die lokale Da­ten­verarbeitung dezentraler Instanzen und den Austausch der lokalen Angriffserkennungsergebnisse untereinander erreicht, um Bedrohungen in einem größeren Maßstab zu erkennen.