Dr. Roland Bless, Dr. Erik-Oliver Blaß (Airbus)

Beschreibung

In dieser Arbeit soll die am Institut entwickelte Multi-Firewall-Architektur FORTRESS konzeptionell weiterentwickelt werden. Die Architektur erhöht die Sicherheit dadurch, dass mehrere Firewalls ein Paket inspizieren und nicht allein über dessen Schicksal entscheiden können. Seit den Snowden-Enthüllungen ist bekannt, dass Firewalls bereits ab Werk kompromittiert sein können, insofern ist das Vertrauen in eine Firewall nicht mehr 100%ig gegeben.  Der gleichzeitige Einsatz von Firewalls unterschiedlicher Hersteller gekoppelt mit Komponenten zur Replikation und einem Mehrheitsentscheid ist daher eine Möglichkeit, trotzdem einen sicheren Perimeter-Schutz für Netze zu erreichen. Am Institut wurde das Konzept bereits entwickelt und in verschiedenenen Realisierungen  (u.a. mittels Network Function Virtualization -- NFV) evaluiert. Attraktiv ist insbesondere eine Umsetzungs mittels NFV, die auch eine gewisse Dynamik erlaubt.  Es gilt nun das grundlegende Konzept so weiter zu entwickeln, dass der Zusatzaufwand reduziert wird, d.h. die Anzahl der replizierten Pakete zu reduzieren, ggf. dynamisch in Abhängigkeit von der aktuellen Sicherheitssituation.

Aufgabenstellung

Im Rahmen der Arbeit sollen verschiedene Möglichkeiten konzipiert, analysiert und verglichen werden bzgl. Overhead und ihrem resultierenden Sicherheitsniveau. Die Evaluierung erfolgt im Rahmen einer prototypischen Umsetzung auf Basis bereits vorhandener Software. Die Arbeit erfolgt in Zusammenarbeit mit Airbus in München.

Arbeitsumgebung

1--10 Gbit/s Server, Cloudumgebung