Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.

Cuvillier Verlag

30 Jahre Kompetenz im wissenschaftlichen Publizieren
Internationaler Fachverlag für Wissenschaft und Wirtschaft

Cuvillier Verlag

De En Es
Skalierbare Autokonfiguration sabotageresistenter virtueller privater Netze

Printausgabe
EUR 38,00 EUR 36,10

E-Book
EUR 0,00

Skalierbare Autokonfiguration sabotageresistenter virtueller privater Netze

Michael Roßberg (Autor)

Vorschau

Inhaltsverzeichnis, Datei (45 KB)
Leseprobe, Datei (110 KB)

ISBN-13 (Printausgabe) 3869557753
ISBN-13 (Printausgabe) 9783869557755
ISBN-13 (E-Book) 9783736937758
Sprache Deutsch
Seitenanzahl 223
Umschlagkaschierung glänzend
Auflage 1 Aufl.
Band 0
Erscheinungsort Göttingen
Promotionsort Ilmenau
Erscheinungsdatum 27.06.2011
Allgemeine Einordnung Dissertation
Fachbereiche Informatik
Schlagwörter Selbstkonfiguration, VPN, IPsec, Skalierbarkeit, Robustheit, Sicherheit, Sabotage, Verfügbarkeit, Denial-of-Service, DoS
Beschreibung

Ein schneller und sicherer Informationsfluss wird immer mehr zum Hauptkriterium für den Erfolg von Firmen, Behörden und Organisationen. Um dafür öffentliche Netze zu nutzen, werden in der Regel virtuelle private Netze (VPN) betrieben. Deren manuelle Konfiguration und Betrieb ist jedoch aufwändig und potentiell fehleranfällig. Dieser Umstand hat zur Entwicklung zahlreicher Autokonfigurationsansätze geführt, die allerdings bisher weder Sabotageresistenz noch Robustheit adressieren. Die wenigen skalierbaren Systeme erfüllen selbst einfache funktionale Anforderungen nicht, etwa den Einsatz privater IP-Adressen. Zwei Ansätzen konnten sogar eklatante Sicherheitsmängel nachgewiesen werden.

Ausgehend davon ist im Rahmen der Arbeit ein neuartiges Konzept für einen IPsec-basierten VPN-Autokonfigurationsansatz entstanden. Durch den Verzicht auf exponierte Systeme stellt er die Grundlage für ein skalierbares und verfügbares System dar. Wesentlich ist die Unterstützung indirekt angebundener VPN-Teilnehmer, also solcher, die ausschließlich über andere erreichbar sind. Dabei wird die Sicherheit der Nutzdaten immer Ende-zu-Ende garantiert, und es wird in Bezug auf Verfügbarkeit beispielsweise eine Umleitung von Verkehr im Falle partieller Kommunikationsstörungen über dritte Standorte erlaubt. Beim Entwurf des Systems konnte gezeigt werden, dass auch ohne den Broadcast von Routing-Informationen optimale Pfade gefunden werden, und wie bei der Einbettung strukturierter Overlay-Netze in diese Transportnetze Inkonsistenzen und Partitionierungen vermieden werden können.

Durch die Möglichkeit indirekte Sicherheitsbeziehungen zu konfigurieren, können direkte Kommunikationsvorgänge nahezu beliebig administrativ erlaubt oder verboten werden. Erfolgt so ein Verzicht auf direkte Sicherheitsbeziehungen zu gefährdeten Systemen, wird es möglich, die nach außen sichtbaren IP-Adressen von VPN-Knoten zu verbergen, und sie so effektiv vor DoS-Angriffen zu schützen. Daher ist im Rahmen der Arbeit ein System entwickelt worden, welches mit geringem administrativen Aufwand dennoch Topologien mit nachweisbaren Sicherheitseigenschaften konstruieren kann. Dabei wird unter anderem jedem VPN-Knoten eine Verfügbarkeitszone zugeordnet und nur zwischen bestimmten Zonen eine direkte Kommunikation erlaubt.