Rechnernetze und IT-Sicherheit

 
Titel: Rechnernetze und IT-Sicherheit (Projektplanung)
Englischer Titel: Computer Networks and IT-Security (Planning)
Typ: Projekt
Kürzel / Nr.: RNSEC-PP / CS7000.002
SWS / LP: 3Pj / 8LP
Dozent: Prof. Dr. Frank Kargl
Betreuer: Stephan Kleber, Henning Kopp, Thomas Lukaseder, Rens van der Heijden
Plätze: 16 (Vergabe über die Registrierung im Moodle-Kurs)
Termine: nach Vereinbarung
Vorbesprechung: Mittwoch, 15.10.2014, 16.15 Uhr - 17.45 Uhr, O27-3211
Die Themenzuordnung erfolgt während der Vorbesprechung.
Lernplattform: Das Projekt wird mit Hilfe der Lernplattform Moodle organisiert.
Bitte registrieren Sie sich dort, um einen Platz im Projekt zu reservieren.

Beschreibung und allgemeine Angaben

Einordnung in die Studiengänge: Informatik, M.Sc.: Projekt Rechnernetze und IT-Sicherheit
Informatik, Lehramt: Wahlfach
Medieninformatik, M.Sc.: Projekt Rechnernetze und IT-Sicherheit
Informationssystemtechnik, M.Sc.: Wahlpflicht Informatik, Projekt Rechnernetze und IT-Sicherheit
Verantwortlich: Prof. Dr. Frank Kargl
Unterrichtssprache: Deutsch
Turnus / Dauer: jedes Wintersemester / ein volles Semester
Voraussetzungen (inhaltlich): Kenntnisse zu Rechnernetzen und IT-Sicherheit entsprechend den Vorlesungen "Fortgeschrittene Konzepte der Rechnernetze" und "Sicherheit in IT-Systemen"
Voraussetzungen (formal): -
Grundlage für (inhaltlich): Abschlussarbeit im Themenbereich Rechnernetze und/oder IT-Sicherheit
Lernergebnisse: Die Studierenden sind in der Lage, eine projektorientierte wissenschaftliche Arbeit im Bereich der Rechnernetze und/oder IT-Sicherheit durchzuführen. Sie können sich in ein komplexes Projektthema einarbeiten, verwandte Arbeiten eigenständig recherchieren und ggf. aufgreifen. Sie sind in der Lage, selbständig im Team und unter Verwendung moderner Methoden und Werkzeuge fundierte Problemanalysen durchzuführen, Lösungen im Bereich Rechnernetze und IT-Sicherheit zu entwickeln und praktisch umzusetzen. Sie sind ferner in der Lage, ihre Ergebnisse angemessen in Form einer wissenschaftlichen Ausarbeitung zu dokumentieren und im Rahmen eines Vortrags überzeugend zu präsentieren. Sie besitzen die Fähigkeiten, sich in ein neues und komplexes Themengebiet einzuarbeiten und ein wissenschaftliches Projekt durchzuführen.
Inhalt: Aufbauend auf Vorwissen aus den o.g. Lehrveranstaltungen wird im Rahmen dieses Projekts ein anspruchsvolles Thema - einzeln oder im Team - vorbereitet und bearbeitet und die Ergebnisse werden dokumentiert und präsentiert. Hierzu ist im ersten Semester zunächst ein umfangreicher Projektvorschlag inklusive State-of-the-Art-Analyse zu erarbeiten, der dann im Folgenden umgesetzt wird. Parallel werden Themen des wissenschaftlichen Arbeitens (z.B. Literaturrecherche, Schreiben einer Publikation, Präsentationstechniken) eingeführt, um den Studenten methodische Hilfestellung zu geben. Die Studierenden werden ermutigt, die Abschlussarbeit auf einem wissenschaftlichen Workshop oder bei einer wissenschaftlichen Konferenz einzureichen und ggf. zu präsentieren. Konkrete Projektthemen orientieren sich an aktuellen Forschungsthemen des Instituts.
Literatur: themenabhängig
Bewertungsmethode: Die Modulteilprüfung Projektumsetzung erfordert Anwesenheit und Mitarbeit und enthält Ausarbeitung und Abschlusspräsentation sowie eine Bewertung der praktischen Problemlösung (Gewichtung jeweils abhängig vom Thema und wird zu Beginn bekannt gegeben).
Notenbildung: Note der Prüfung
Arbeitsaufwand: Präsenzzeit: 60h
Vor- und Nachbereitung: 180h
Summe: 240h

Themen

Reverse-Engineering von Netzwerkprotokollen

Betreuer: Stephan Kleber
Bei der Sicherheitsanalyse von drahtlos kommunizierenden Geräten sieht sich der Tester häufig in der Situation, ein proprietäres Protokoll ohne bekannte Spezifikation vorliegen zu haben. Einzige Informationsquelle ist die Kommunikation selbst. Die Aufgabe der statischen Analyse besteht nun darin, aus einem reinen Bytestrom auf ein Paketformat und letztendlich auf eine Protokollspezifikation zu schließen.

Im Rahmen dieses Projektes wird erprobt werden, wie dies unter den genannten Voraussetzungen möglich ist. Der komplette Prozess des statischen Reverse-Engineerings eines Protokolls soll dabei nachvollzogen und durch weitestgehende Automatisierung vereinfacht werden. Dazu sind vorhandene Tools zu evaluieren sowie ggf. auch eigene Implementierungen oder Erweiterungen zu erstellen.

Einsatzszenarien sind unter anderem die Kommunikationsanalyse (implantierbarer) Medizingeräte, von NFC-Implementierungen (lower layers) und von Industriekontrollgeräten.
FPGA-Implementierung eines durch PUFs erweiterten Distance Bounding Protokols


Betreuer: Stephan Kleber

Distance Bounding Protokolle (DBPs) dienen dem Nachweis eines physischen Abstands zwischen zwei drahtlos kommunizierenden Geräten. Es gibt einen neuartigen Ansatz, bestehende Sicherheitsprobleme dieser Protokolle zu lösen. Dieser bedient sich sogenannter Physical Unclonable Functions (PUFs), die ein Gerät eindeutig identifiziern können.

Im Rahmen dieses Projektes soll zu diesem Konzept eines PUF-erweiterten DBPs eine Proof-of-Concept Implementierung auf einem FPGA realisiert werden. Diese Implementierung soll im Folgenden praktisch mit Messungen der Laufzeiteigenschaften evaluiert werden.
Integrating Intrusion Detection with Software-defined Networks

Betreuer: Rens van der Heijden
In previous work, the fundamental idea of combining a software-defined network (SDN) with intrusion detection was considered. In that work, the idea was to consider the different possible applications of SDNs to improve the performance of a basic Snort instance. Snort is an Intrusion Detection System (IDS), whose main focus is rule-based detection using predefined patterns (e.g., signature-based), although various statistics-based implementations exist.

The goal of this project is to go beyond the previous work in several ways. First, the work should be converted and tested on real hardware, rather than an emulated environment. The hardware will be available as part of a larger research project. The next step is to evaluate the scalability of the existing ideas, and bring new ideas to the table that can improve intrusion detection efficiency. This may be done through reducing the amount of traffic sent for analysis on the one hand, and more effective firewall mechanisms on the other. The first step will be to introduce these rules into the SDN by an administrator; a next step will be to look into possible ways to automate this process.
Statistical High-Speed Network Analysis with NetFPGAs

Betreuer: Thomas Lukaseder
Statistische Analysen des Netzwerkverkehres sind ein wesentlicher Bestandteil vieler anomaliebasierter Intrusion Detection Systeme. Es gibt viele softwarebasierte Lösungen für die Analyse des Netzwerkverkehres, diese können aber bezüglich der Geschwindigkeit mit Implementierungen in Hardware nicht mithalten.

Im Rahmen dieses Projektes soll mit Hilfe der NetFPGA Plattform die Analyse von Hochgeschwindigkeitsnetzwerken implementiert und mit simuliertem Netzwerkverkehr getestet werden. Es soll dabei sowohl ein Vergleich mit vorhandenen Lösungen stattfinden als auch die Grenzen dieser Plattform in diesem Kontext aufgezeigt werden.

Das Projekt erfordert den Umgang mit Verilog, entsprechende Vorkenntnisse sind von Vorteil, aber nicht zwingend verlangt.
Privacy-preserving eID with IRMA

Betreuer: Henning Kopp
Ziel der Arbeit ist das Design und die Umsetzung eines elektronischen Ausweises (ähnlich dem neuen Personalausweis), welcher auch zum elektronischen Nachweis von Attributen wie dem Alter einer Person (z.B. zur Altersverifikation im Kino) genutzt werden kann. Dies soll allerdings privatsphärenfreundlich mit Hilfe sogenannter Attribute-Based Credentials (ABC) erfolgen und auf der IRMA Implementierung der Universität Nijmegen basieren, die auf Smartcards der Firma NXP läuft. Es soll ein Beispielsystem mit konkreten Anwendungen, Zertifikatsausgabe, Verifikation (z.B. Kinoszenario), etc. realisiert werden. Mit Hilfe von ABC kann darin z.B. sichergestellt werden, dass der Kinobetreiber über die Einhaltung der Altersfreigabe keinerlei weitere Informationen über die Kinobesucher lernt. Neben der Demonstrationsanwendung kann IRMA gegebenenfalls noch um weitere Funktionen ergänzt werden. Ein Kontakt zur Firma NXP und zu Forschern Universität in Nijmegen besteht, so dass die Arbeiten in Kooperation erfolgen können.
Privacy Preserving Vehicle Charging

Betreuer: Henning Kopp
Ziel des Projekts ist die Implementierung eines Protokolls für das Aufladen von elektrischen Autos. Der ursprüngliche Standard ISO 15118 ermöglicht das, ist allerdings nicht privatsphärenfreundlich. Zu diesem Zwecke wurde ein neues Protokoll Popcorn  entwickelt, das mithilfe von Gruppensignaturen und Attribute based credentials location privacy ermöglicht.
Die Implementierung wird auf Raspberry Pis erfolgen.