Conference PaperPDF Available

Security als Dienstleistung des Zugangsnetzbetreibers-ein ungewöhnlicher Ansatz mit hoher Tragweite Security as Service of the Access Network Operator-a disruptive Approach with high Potential

  • April 2018
  • Conference: 12. ITG-Fachkonferenz mit Ausstellung „Breitbandversorgung in Deutschland“
  • At: Berlin
Authors:
Andreas Foglar at InnoRoute GmbH
Andreas Foglar
  • InnoRoute GmbH
Marian Ulbricht at InnoRoute GmbH
Marian Ulbricht
  • InnoRoute GmbH
Download full-text PDF
Read full-text
Download citation

Abstract and Figures

Kurzfassung Sobald man ein Gerät mit dem Internet verbindet ist dieses innerhalb weniger Minuten Ziel verschiedener Cyberattacken. Das Internet ist ein rechtsfreier Raum, unter anderem aufgrund fehlender bzw. nicht umgesetzter Mechanismen zur Ve-rifizierung von Absenderadressen. Dieser Beitrag präsentiert dafür einen neuen, Hardware-basierten Ansatz. Basierend auf einer Analyse bisheriger Hürden bei der Einführung wird ein mögliches Rollout-Szenario und ein Business Case vorgestellt, welcher es einem Zugangsnetzbetreiber ermöglicht, die Verifizierung der Absenderadresse als neuen Dienst für interessierte Nutzer anzubieten. Abstract A device connected to the internet, becomes a victim for cyber attackers within minutes. Most of internet service providers don't enable source address verification, so end users have no possibility to control where a packet comes from. The following work presents a hardware based approach for source address verification. We analyse the limiting factors for access network providers to enable address verification and roll-out a solution to sell this feature on top of existing services. 1 Einführung Der Ansatz, der zu diesem Dienst geführt hat ist eigent-lich gar nicht so ungewöhnlich. Im Faxdienst gibt es die Überprüfung der Absenderadresse schon lange. Bei die-sem Dienst wird die Absenderadresse der Pakete überprüft. Anders als beim Faxdienst werden hier Pakete mit falscher Absenderadresse verworfen. Es gibt keine Korrektur der Absenderadresse. Als Arbeitsname wird der neue Internet Dienst mit S.A.VE. bezeichnet, für Source Address Verification. Für den S.A.VE. Dienst werden speziell gekenn-zeichnete IPv6 Pakete verwendet. Der Empfänger eines S.A.VE. Paketes kann sich auf die korrekte Absenderadres-se verlassen und weiß genau von wem es abgesandt wur-de. Damit sind anonyme Hacker, Spam IP Spoofing, und Distributed Denial of Service (DDoS) außen vor. Der Auf-wand für die Einführung eines solchen Dienstes kommt ei-nem zunächst immens vor. Es müsste erstmal allen Teil-nehmer eine eindeutige Adresse zugewiesen werden, und die SAVE Pakete müssten in einem eigenen, abgeschotte-ten Netz übertragen werden. Wer überprüft die Absender-adresse? Wer baut das SAVE Netz auf? Wie ist das mit den Endgeräten? Usw. Im Folgenden wird gezeigt, dass diese Probleme lösbar sind. 2 Stand der Technik 2.1 Verifizierung der Absenderadresse Diese Verifizierung der Absenderadresse von IP Paketen wird heute bereits in den IETF Empfehlungen BCP38 [1] empfohlen. Aus gewichtigen Gründen ist diese aber de-facto wirkungslos: • BCP38 ist freiwillig. Nicht alle ISP befolgen diese Empfehlung, da die Umsetzung mit zusätzlichen Kos-ten verbunden ist. Dies wird in einem Dokument der Internet Society [2] beschrieben. • Das Dokument weist darauf hin, dass heute 45 In-ternet Service Provider (ISP) weltweit eine entspre-chende Absichtserklärung [3] unterschrieben haben. Die Zahl ist verschwindend gering, bei geschätzt weit über 1000 ISPs weltweit. Wenn nur ein einziger ISP sich daran nicht hält, können anonyme Hacker mit ge-fälschten Absenderadressen ins Netz, und der gesamte Aufwand ist wirkungslos. • Mit dem SAVI Framework in RFC7039 [4]-[6] wird empfohlen, die IP Adressen feingranular zu überprü-fen. Dieser RFC ist aber auch nicht bindend, sondern nur informativ. SAVI empfiehlt die IP Adresse möglichst nahe an der Zu-gangsleitung zu prüfen und über einen "Binding Anchor"
No caption available
… 
Figures - uploaded by Marian Ulbricht
Author content
All figure content in this area was uploaded by Marian Ulbricht
Content may be subject to copyright.
Content uploaded by Marian Ulbricht
Author content
All content in this area was uploaded by Marian Ulbricht on Apr 20, 2018
Content may be subject to copyright.
A preview of the PDF is not available

Supplementary resource (1)

InnoRoute HHI 19Apr2018
Data
April 2018
Andreas Foglar · Marian Ulbricht
ResearchGate has not been able to resolve any citations for this publication.
CHARISMA – 5G Low Latency Technologies and their Interaction with Automotion¹ Control Loops
Article
Full-text available
  • Nov 2018
This paper presents the low latency improvements achieved by the key technologies in the 5G-PPP CHARISMA project. CHARISMA uses an hierarchically organizes RAN architecture in combination with FPGA based hardware accelerated network functions to achieve the 5G low latency KPI’s. We show a significant improvement in the operational results as compared to the initial CHARISMA performance. We also include a visualisation platform showing the latency impact on a discrete automotive control application.
View
View
Accelerated Processing Delay Optimization in Hierarchical Networks Using Lowcost Hardware
Conference Paper
Full-text available
  • Jul 2016
http://ieeexplore.ieee.org/abstract/document/7573903/?part=1 Delay optimization is a today's topic. Delay is an important QoS parameter. In this paper, we present a technique that uses IP-addresses to encode the way a packet passes through the network without using a lookup table as well as a hardware accelerator to use this encoded information. Using this method, the time a packet that is delayed in the router is decreased dramatically, and the time to calculate the routing information is predictable. The worst-case execution time for routing information calculation is easy to estimate and is constant for a given path through the network and a given router.
View
View
Investigating the efficiency of fine granularity source address validation in IPv6 networks
Conference Paper
Full-text available
  • Sep 2011
IPv6 protocol has been widely deployed in the world. As the IANA pool of IPv4 addresses has run out, IPv6 will become increasingly important. Although the IPv6 protocol stack presents considerable advantages compared with the IPv4 protocol stack, IP source address spoofing is still exploited in IPv6 to initiate malicious attacks. Some techniques are proposed and deployed to implement source address validation at fine granularity. In this paper, we investigate the efficiency of fine granularity IP source address validation, e.g. whether filtering technology is deployed to prevent hosts from using forged IP address. We develop a detection tool with controlled spoofing ability which can infer whether the function of filtering spoofing address packets is enabled. We run this tool in 12 famous universities in China and collect the testing data. We gather a total of 41373 probes from 324 clients, and each probe includes sending at least 5 packets with the same spoofing source address to the control server. Results reveal that, 77.02% of the spoofing probes are completely filtered, 0.29% of the spoofing probes are partly filtered and the rest spoofing probes are not filtered at all. Overall, this illustrates that techniques of source address validation have been widely deployed in campus networks. Our statistical results provide practical basis for the deployment and further development of source address validation protocols in IPv6 networks.
View
SAVE: Source Address Validity Enforcement Protocol
Article
Full-text available
  • Feb 2003
Abstract⎯⎯Forcing all IP packets to carry correct source addresses can greatly help network security, attack tracing, and network problem debugging. However, due to asymmetries in today's Internet routing, routers do not have readily available information to verify the correctness of the source address for each incoming packet. In this paper we describe a new protocol, named SAVE, that can provide routers with the information needed for source address validation. SAVE messages propagate valid source address information from the source location to all destinations, allowing each router along the way to build an incoming table that associates each incoming interface of the router with a set of valid source address blocks. This paper presents the protocol design and evaluates its correctness and performance by simulation experiments. The paper also discusses the issues of protocol security, the effectiveness of partial SAVE deployment, and the handling of unconventional forms of network routing, such as mobile IP and tunneling. I.
View
SAVI: The IETF standard in address validation
Article
In this article we describe Source Address Validation Implementation (SAVI), a security architecture being standardized by the IETF to prevent source address spoofing within a link. SAVI devices, usually layer 2 switches, create bindings between the IP address of a node and a property of the host¿s network attachment, such as the port through which the packet is received. Bindings are created by monitoring the packet exchange associated with IP address configuration mechanisms such as DHCP, SLAAC, or SEND. SAVI devices filter out packets whose source IP address does not match with an existing binding.
View
View
Mutually agreed norms for routing security (manrs)
  • Jan 2016
Internet Society, "Mutually agreed norms for routing security (manrs)", Manrs.org, 2016. Adresse: http://www.manrs.org/manrs/.
Source address validation improvement (savi) framework, RFC 7039 (Informational), Internet Engineering Task Force, Okt
  • Jan 2013
  • J Wu
  • J Bi
  • M Bagnulo
J. Wu, J. Bi, M. Bagnulo et al., Source address validation improvement (savi) framework, RFC 7039 (Informational), Internet Engineering Task Force, Okt. 2013. Adresse: http://www.ietf.org/rfc/ rfc7039.txt.