Forschungsgruppe Network Security
(Prof. Dr. Heer)
Zurück zur Liste

Echtzeit-Firewall für Industrienetze mit konstantem Zeitverhalten

Masterarbeit
In Bearbeitung

Mit 'Industrial Internet of Things'- und 'Edge Control'- Technologien werden die zeitlichen Anforderungen an industrielle Netzwerke immer größer. Bisherige Steuerungssysteme sind auf sehr kleine und isolierte Netzwerke begrenzt. Um die modernen Anforderungen abzudecken befinden sich einige Standards auf dem Weg in die industriellen Infrastruktur-Geräte. Die Mechanismen, auch als Time-Sensitive Networking (TSN) bekannt, begrenzen sich aber auf Layer 2 (nach dem OSI Modell) Kommunikation.

Gegenläufig zu dem Trend der größeren Steuerungskreisen, werden die Maßnahmen zur IT Sicherheit immer wichtiger. Produktionsausfälle durch Hackerangriffe vermehren sich und haben in den letzten Jahren nicht nur für viele Schlagzeilen gesorgt, sondern auch viel Geld gekostet. Ein sehr geeignetes Mittel gegen Angriffe ist die Unterteilung des Netzwerks in kleine Zonen, zwischen welchen der Verkehr von Firewalls analysiert wird. Eine sehr gängige Firewall Implementierung ist das in Linux integrierte iptables [1]. Dadurch, dass Firewalls meistens in Software implementiert sind, ist ihr zeitliches Verhalten stark von Last, Verkehr und Anzahl und Art der konfigurierten Firewall-Regeln abhängig. Für zeitkritische Anwendungen im industriellen Umfeld ist aber genau diese zeitliche Stabilität wichtig.

Wir haben bereits in [2] die zeitliche Performance von Firewalls verbessert. Allerdings ist diese Verbesserung mit Kompromissen bei der Sicherheit der Firewall verbunden. In industriellen Netzen ist bekannt, welche Verbindungen im Netzwerk zeitkritisch sind. Mit diesem Wissen ist die Nutzung anderer Mechanismen zur Überprüfung der Firewall-Regeln möglich, die das zeitliche Verhalten der Firewall verbessern und keine Kompromisse bei der Sicherheit erfordern. Deshalb soll in dieser Arbeit der Sicherheits-Kompromiss durch Nutzung anderer, an den Anwendungsfall angepassten Mechanismen zur Überprüfung der Firewall-Regeln vermieden werden.

Aufgabe und Fragestellungen

  • Einarbeitung in die Mechanismen zur Firewall-Regelüberprüfung
  • Verbesserung der Mechanismen zur Firewall-Regelüberprüfung
  • Einarbeitung in den FD.io VPP Netzwerkstack [3]
  • Einarbeitung in Grundlagen anderer Netzwerkstacks und Firewalls (Linux-Kernel, iptables)
  • Modifikation des VPP-Quellcodes mit dem Ziel, die verbesserten Mechanismen zu implementieren
  • Messung und Auswertung der Firewall-Performance vorher und nachher
  • Bewertung der Ergebnisse

Anforderungen

  • Interesse an Linux und am Linux-Kernel
  • Interesse für Netzwerksicherheit
  • Kenntnisse im Bereich Netzwerke
  • Programmiererfahrung in C

Referenzen und zusätzliches Material

[1] iptables. (online) https://www.netfilter.org/projects/iptables/index.html

[2] Markus Schramm. (online) https://www2.hs-esslingen.de/~toheer/thesis/topics/adaptation-of-the-vpp-firewall-for-real-time-packet-processing-in-industrial-environments/

[3] The Fast Data Project. (online) https://fd.io/

Bearbeitet von

  • Dennis Tudenhöfner

Dateien

Abstract

Kontakt