Cuvillier Verlag

Publications, Dissertations, Habilitations & Brochures.
International Specialist Publishing House for Science and Economy

Cuvillier Verlag

De En Es
Skalierbare Autokonfiguration sabotageresistenter virtueller privater Netze

Hard Copy
EUR 38.00 EUR 36.10

E-book
EUR 0.00

Download
PDF (3.4 MB)
Open Access CC BY 4.0

Skalierbare Autokonfiguration sabotageresistenter virtueller privater Netze (English shop)

Michael Roßberg (Author)

Preview

Table of Contents, Datei (45 KB)
Extract, Datei (110 KB)

ISBN-13 (Printausgabe) 3869557753
ISBN-13 (Hard Copy) 9783869557755
ISBN-13 (eBook) 9783736937758
Language Alemán
Page Number 223
Lamination of Cover glossy
Edition 1 Aufl.
Volume 0
Publication Place Göttingen
Place of Dissertation Ilmenau
Publication Date 2011-06-27
General Categorization Dissertation
Departments Informatics
Keywords self-configuration, VPN, IPsec, scalability, robustness, security, sabotage, availability, denial-of-service, DoS
Description

Ein schneller und sicherer Informationsfluss wird immer mehr zum Hauptkriterium für den Erfolg von Firmen, Behörden und Organisationen. Um dafür öffentliche Netze zu nutzen, werden in der Regel virtuelle private Netze (VPN) betrieben. Deren manuelle Konfiguration und Betrieb ist jedoch aufwändig und potentiell fehleranfällig. Dieser Umstand hat zur Entwicklung zahlreicher Autokonfigurationsansätze geführt, die allerdings bisher weder Sabotageresistenz noch Robustheit adressieren. Die wenigen skalierbaren Systeme erfüllen selbst einfache funktionale Anforderungen nicht, etwa den Einsatz privater IP-Adressen. Zwei Ansätzen konnten sogar eklatante Sicherheitsmängel nachgewiesen werden.

Ausgehend davon ist im Rahmen der Arbeit ein neuartiges Konzept für einen IPsec-basierten VPN-Autokonfigurationsansatz entstanden. Durch den Verzicht auf exponierte Systeme stellt er die Grundlage für ein skalierbares und verfügbares System dar. Wesentlich ist die Unterstützung indirekt angebundener VPN-Teilnehmer, also solcher, die ausschließlich über andere erreichbar sind. Dabei wird die Sicherheit der Nutzdaten immer Ende-zu-Ende garantiert, und es wird in Bezug auf Verfügbarkeit beispielsweise eine Umleitung von Verkehr im Falle partieller Kommunikationsstörungen über dritte Standorte erlaubt. Beim Entwurf des Systems konnte gezeigt werden, dass auch ohne den Broadcast von Routing-Informationen optimale Pfade gefunden werden, und wie bei der Einbettung strukturierter Overlay-Netze in diese Transportnetze Inkonsistenzen und Partitionierungen vermieden werden können.

Durch die Möglichkeit indirekte Sicherheitsbeziehungen zu konfigurieren, können direkte Kommunikationsvorgänge nahezu beliebig administrativ erlaubt oder verboten werden. Erfolgt so ein Verzicht auf direkte Sicherheitsbeziehungen zu gefährdeten Systemen, wird es möglich, die nach außen sichtbaren IP-Adressen von VPN-Knoten zu verbergen, und sie so effektiv vor DoS-Angriffen zu schützen. Daher ist im Rahmen der Arbeit ein System entwickelt worden, welches mit geringem administrativen Aufwand dennoch Topologien mit nachweisbaren Sicherheitseigenschaften konstruieren kann. Dabei wird unter anderem jedem VPN-Knoten eine Verfügbarkeitszone zugeordnet und nur zwischen bestimmten Zonen eine direkte Kommunikation erlaubt.