Projects
Current projects
SBAS: A Secure Underlay for the Internet
Duration: 01.11.2023 bis 31.07.2024
Modern secure Internet routing solutions, like Border Gateway Protocol-Security (BGPsec) and Scalability, Control and Isolation On Next-generation networks (SCION), remain under deployed. Addressing this gap, the SBAS project presents an innovative approach, integrating it as a unified virtual AS within the prevailing BGP-oriented Internet. Through this, SBAS aims to provide hundreds of thousands of users with secure routing via the established SCION network.
Tackling key challenges:
- Sustainability: Using SCION's path-aware infrastructure, SBAS offers optimized "green" routing, minimizing the Internet's carbon footprint.
- Cross-Atlantic Digital Governance: Unlike the traditional singular trust model, SCION promotes individualized trust-based connections. SBAS, leveraging SCION, fosters secure cross-border data interactions for regular Internet users.
- Data Security and Privacy: In today's Internet, control vulnerabilities and hijacking are concerns. SCION introduces defined sovereign Internet regions, and SBAS, built atop it, ensures data sovereignty and geo-fencing while resisting hijacking attacks, all without compromising global communication.
The project's core goal is deploying and evaluating SBAS across the operational SCION network, enriching secure routing access for a vast user base. To materialize this, we'll establish SBAS Points of Presence (PoPs) within SCION, serving as a foundation for experiments and performance evaluations, underscoring SBAS's advancements in security and efficiency.
Completed projects
Domain Name System 2023
Duration: 01.07.2023 bis 31.12.2023
Das DNS Protokoll (DNS over Port 53) ist mittlerweile über 35 Jahre alt. Es wurde dabei ursprünglich nicht mit den heutigen Anforderungen an Datenschutz und Sicherheit entwickelt. Da DNS unverschlüsselt ist, können die entsprechenden Verbindungen überall im Netzwerk zwischen DNS Client und Server gelesen oder sogar verändert werden. DNS-over-HTTPS (DoH) ist ein neuer sicherer DNS Ansatz der im Oktober 2018 als RFC 8484 verabschiedet wurde. DoH nutzt dabei das HTTPS Protokoll um DNS Verbindungen abzusichern. Im Gegensatz zu DNS-over-TLS (DoT) das den TCP Port 853 nutzt und dessen Verkehr somit leicht überwacht und blockiert werden kann, ist DoH Teil des normalen HTTPS Verkehrs und damit schwieriger zu überwachen. Weitere relevante Themen in diesem Bereich sind DNS-over-QUIC (DoQ) und DNS Discovery (DDR).
Domain Name System 2022
Duration: 01.05.2022 bis 28.02.2023
Das DNS Protokoll (DNS over Port 53) ist mittlerweile über 35 Jahre alt. Es wurde dabei ursprünglich nicht mit den heutigen Anforderungen an Datenschutz und Sicherheit entwickelt. Da DNS unverschlüsselt ist, können die entsprechenden Verbindungen überall im Netzwerk zwischen DNS Client und Server gelesen oder sogar verändert werden. DNS-over-HTTPS (DoH) ist ein neuer sicherer DNS Ansatz der im Oktober 2018 als RFC 8484 verabschiedet wurde. DoH nutzt dabei das HTTPS Protokoll um DNS Verbindungen abzusichern. Im Gegensatz zu DNS-over-TLS (DoT) das den TCP Port 853 nutzt und dessen Verkehr somit leicht überwacht und blockiert werden kann, ist DoH Teil des normalen HTTPS Verkehrs und damit schwieriger zu überwachen. Für einen Netzwerk Provider könnte DoH daher als Alternative zu bisherigen DNS Protokollen (DoT, DNS53) in Frage kommen, um Datenschutz- und Sicherheitsanforderungen seitens der Kunden erfüllen zu können.
Leveraging Path Diversity to Enhance Resilience, Scalability and Energy-Efficiency with SCION
Duration: 01.07.2022 bis 30.11.2022
SCION is a novel NGI architecture that has reached a level of maturity, which renders it ready today for large-scale deployment. The objective is to deploy SCION over the NSF BRIDGES infrastructure over two very high-speed transatlantic links and validate its characteristics. This project will demonstrate the SCION benefits by means of experiments between the US and Europe over the SCIONLab testbed to show the privacy-enhancement (e.g., by splitting traffic over multiple paths) and improved reliability (e.g. with multi-path and seamless path failover) over SCION, as well as the scalability of our SCION-based path discovery mechanisms which help to effectively reduce the network’s power consumption and incentivize ISPs and transit providers to shift towards greener electricity.
PANAPI: Path Aware Networking Application Programming Interface Design and Implementation
Duration: 01.09.2021 bis 31.10.2022
The PANAPI (Path Aware Networking API) project will design a sophisticated host-based network-path selection engine on top of the SCION network architecture, and provide it as an open source implementation of the abstract next-generation transport service API currently being drafted in the IETF TAPS Working Group.
PANAPI will provide a powerful and extensible framework for automatic path property measurements, path quality evaluation, and optimized path selection, complete with automatic load balancing and failure recovery in a PAN environment, all hidden behind upcoming standard application-facing API abstractions.
Our work will empower a large community of developers interested in adding PAN support to their
applications. Incorporation of developer feedback, permissive open source licensing, close collaboration with PAN architects on the PANAPI implementation, and engagement with the IETF community about front end API compatibility and best practices are among our most important priorities.
RAINS: A Name Resolution System for the SCION Next-Generation Internet Architecture
Duration: 01.08.2021 bis 31.07.2022
RAINS (RAINS, Another Internet Naming Service) is a name resolution protocol that has been designed with the aim to provide an ideal naming service for the SCION Internet architecture. The goal of this project is to enhance and refine the RAINS prototype implementation on top of the newest SCION release, and make it available within the SCIONLab network for developers and end-users to be able to use it.
DoH/DoT / Deutsche Telekom
Duration: 01.08.2021 bis 28.02.2022
Das DNS Protokoll (DNS over Port 53) ist mittlerweile über 35 Jahre alt. Es wurde dabei ursprünglich nicht mit den heutigen Anforderungen an Datenschutz und Sicherheit entwickelt. Da DNS unverschlüsselt ist, können die entsprechenden Verbindungen überall im Netzwerk zwischen DNS Client und Server gelesen oder sogar verändert werden. DNS-over-HTTPS (DoH) ist ein neuer sicherer DNS Ansatz der im Oktober 2018 als RFC 8484 verabschiedet wurde. DoH nutzt dabei das HTTPS Protokoll um DNS Verbindungen abzusichern. Im Gegensatz zu DNS-over-TLS (DoT) das den TCP Port 853 nutzt und dessen Verkehr somit leicht überwacht und blockiert werden kann, ist DoH Teil des normalen HTTPS Verkehrs und damit schwieriger zu überwachen.
Für Netzwerk Provider könnte DoH daher als Alternative zu bisherigen DNS Protokollen (DoT, DNS53) in Frage kommen, um Datenschutz- und Sicherheitsanforderungen seitens der Kunden erfüllen zu können. Es stellt sich daher die Frage, wie gut DoH performt, bzw. inwiefern DoH als Alternative zu DoT oder DNS53 in Frage kommt.
A Secure and Reliable Decentralized Storage Platform supporting Fast and Scalable Content Lookup
Duration: 01.01.2021 bis 31.12.2021
In this project we aim to develop a secure and reliable decentralized storage platform enabling fast and scalable content search and lookup going beyond existing approaches. The goal is to leverage path-awareness to use underlying network resources efficiently in order to achieve a low search and lookup delay while increasing the overall throughput.
Deployment and Evaluation of the SCION Secure Internet Architecture on Fed4FIRE+ Testbeds
Duration: 01.05.2019 bis 31.12.2021
The main goal of this project is the deployment and evaluation of the SCION network on multiple Fed4FIRE+ testbeds, specifically GEANT GTS, Virtual Wall, Grid5000, and Exogeni. Our SCIONLab infrastructure facilitates the interaction between different deployed SCION networks and services, whereas SCIONLab nodes themselves contribute to the routing within the SCION topology, thus enabling a broad range of novel path-aware applications. To this end, the aim is to interconnect instances of SCION nodes deployed on the different Fed4FIRE+ testbeds among each other as well as with other nodes in the global SCIONLab network such as within DFN and SWITCH and their associated universities OVGU Magdeburg and ETH Zurich.
DDoS Mitigation 2020 / Deutsche Telekom
Duration: 01.09.2020 bis 30.04.2021
DDoS (Distributed Denial of Service) Angriffe sind auch im Jahr 2020 weiterhin eine Realität. In seinem "State of the Internet"-Sicherheitsbericht 2020 berichtet beispielsweise Akamai von einem DDoS-Angriff auf eine Bank, der erstaunliche 160 GBit/s erreichte. Um sich gegen solche Angriffe zu schützen sind weiterhin wirksame DDoS Mitigation Ansätze, wie beispielsweise Cloud-basierte, kollaborative, oder SDN-basierte Abwehrmechanismen notwendig. Seit 2019 arbeitet deshalb die Deutsche Telekom Technik GmbH mit dem Lehrstuhl von Prof. Hausheer zusammen um DDoS Mitigation Mechanismen auf Basis von OpenSource und programmierbarer Hardware zu entwickeln. Diese Zusammenarbeit soll auch im Jahr 2020 fortgeführt werden.
DNS-over-HTTPS / Deutsche Telekom
Duration: 13.10.2020 bis 31.12.2020
Das DNS Protokoll (DNS over Port 53) ist mittlerweile über 35 Jahre alt. Es wurde dabei ursprünglich nicht mit den heutigen Anforderungen an Datenschutz und Sicherheit entwickelt. Da DNS unverschlüsselt ist, können die entsprechenden Verbindungen überall im Netzwerk zwischen DNS Client und Server gelesen oder sogar verändert werden. DNS-over-HTTPS (DoH) ist ein neuer sicherer DNS Ansatz der im Oktober 2018 als RFC 8484 verabschiedet wurde. DoH nutzt dabei das HTTPS Protokoll um DNS Verbindungen abzusichern. Im Gegensatz zu DNS-over-TLS (DoT) das den TCP Port 853 nutzt und dessen Verkehr somit leicht überwacht und blockiert werden kann, ist DoH Teil des normalen HTTPS Verkehrs und damit schwieriger zu überwachen. Für einen Netzwerk Provider wie die Deutsche Telekom könnte DoH daher als Alternative zu bisherigen DNS Protokollen (DoT, DNS53) in Frage kommen, um Datenschutz- und Sicherheitsanforderungen seitens der Kunden erfüllen zu können.
DDoS Mitigation / Deutsche Telekom
Duration: 01.05.2019 bis 30.04.2020
DDoS (Distributed Denial of Service) Angriffe haben laut einer Studie von Akamai in letzter Zeit zugenommen und sind dabei auch immer grösser geworden. Ein Angriff des DDoS Botnets Mirai Ende 2016 gegen die Sicherheitswebseite "Krebs on Security" verursachte beispielsweise 650 Gbps Verkehr mit über 150 Millionen Paketen pro Sekunde (Mpps), ausgehend von ungesicherten IoT Devices. Gleichzeitig werden Angriffe immer raffinierter. In einem DNS Amplification Angriff sendet beispielsweise ein Angreifer bloss 1 Gbps an initialem Verkehr, generiert aber 100 Gbps gegen das Zielobjekt des Angriffs. Dabei ist es nicht immer einfach, Verkehr von bösartigen Bots zu unterscheiden von regulärem Botverkehr (z.B. Suchdienstebots) oder von Menschen verursachtem Verkehr.
Viele Kunden von Internet Service Providern und Hosting Providern sind in der Vergangenheit bereits Opfer von DDoS Angriffen geworden. Um diese vor solchen Angriffen zu schützen sind wirksame DDoS Mitigation Ansätze, wie beispielsweise Cloud-basierte, kollaborative, oder SDN-basierte Abwehrmechanismen notwendig.
SCION / Deutsche Telekom
Duration: 30.04.2018 bis 30.04.2019
SCION (Scalability, Control, and Isolation on Next-Generation Networks) ist eine sichere Internet Architektur, welche mittlerweile reif ist für den Pilot-Einsatz in Carrier-grade Netzen. Der vielfältige SCION Ansatz beinhaltet mehrere Eigenschaften, welche im heutigen Internet nicht oder nur schwierig umsetzbar sind, u.a. Multipath Kommunikation, Abwehr von DDoS Angriffen im Netz, sowie Pfad-basierte Anwendungen und Inter-Domain Routing Architekturen.
Gleichzeitig führt SCION nur zu einer minimalen zusätzlichen Komplexität (und Kosten) zur bestehenden Infrastruktur, da die bestehende interne Switching Infrastruktur eines ISPs genutzt werden kann und lediglich wenige Border Router installiert oder geupgraded werden müssen. Darüberhinaus bietet SCION Anreize für den Einsatz, indem etwa die Verfügbarkeit und Zuverlässigkeit von Anwendungen erhöht wird, Netzkapazitäten durch Multipath Kommunikation besser genutzt werden können und Kosteneinsparungen z.B. bei Standleitungen möglich sind. Dadurch ergeben sich für ISPs Möglichkeiten für neue Geschäftsmodelle und Dienstleistungen, z.B. im Rahmen von zukünftigen Internet Anwendungen wie IoT.
Personalmittel für eine wissenschaftliche Mitarbeiterstelle (3 Monate, E13, 100%) aus dem Innovationsfonds
Duration: 15.06.2017 bis 15.09.2017
Das Projekt dient der personellen Unterstützung für die Antragsstellung eines Projektvorhabens. Inhaltlich ist das Vorhaben am Entwurf von Software-definierten Infrastrukturen für effiziente und zuverlässige vernetzte Systeme ausgerichtet. Software-defined Networking (SDN) ist ein vielversprechendes neues Konzept, welches die flexible Steuerung von Kommunikationsnetzen in Software erlaubt, während mit Network Function Virtualization (NFV) sogar Netzfunktionen selbst vollständig virtualisiert in software-basierte Cloud-Infrastrukturen ausgelagert werden. In diesem Kontext sollen neue SDN/NFV-basierte Mechanismen entworfen werden, welche einen zuverlässigen, sicheren und effizienten Betrieb von grossen verteilten und vernetzten Systemen ermöglichen. Gerade NFV-basierte Systeme erfordern dabei neue, innovative Ansätze zur Verifikation und Zertifizierung von Netzfunktionen, bevor diese in produktiven Kommunikationsnetzen eingesetzt werden können.