Muss auf Server und Client implementiert sein:
IPCAF schützt Authentifizierungs-Server gegen DoS-Attacken
Forscher der amerikanischen Auburn-University haben das Protokoll »Identity-Based Privacy-Protected Access Control Filter« (IPCAF) entworfen, um Authentifizierungs-Server gegen Denial-of-Service-Attacken zu schützen. Eine praktische Simulation hat nun die Funktionstauglichkeit bestätigt.
Mit Denial-of-Service-Attacken (DoS) beziehungsweise Distributetd-DoS-Angriffen (DDoS) gegen den Authentication-Server (AS) lässt sich sehr leicht ein Netzwerk lahm legen. Nutzer können sich am AS nicht mehr anmelden und bekommen so keinen Netzwerkzugriff. Dieses Problem nimmt mit den Botnetzen zu. Forscher an der Auburn-University in den USA haben dazu »Identity-Based Privacy-Protected Access Control Filter [1]« (IPCAF) entworfen. Chwan-Hwa »John« Wu, Tong Liu, Chun-Ching Andy Huang and J. David Irwin haben die Praxistauglichkeit in einer praktischen Netzwerksimulation überprüft. Die Ergebnisse haben sie unter dem Titel »Modelling and Simulations for Identity-Based Privacy-Protected Access Control Filter (IPACF) Capability to Resist Massive Denial of Service Attacks« veröffentlicht [2]. Dabei zeigte sich, dass der CPU-Belastung des AS’ und die Paketverzögerung trotz der Attacke nur sehr wenig geringer war.
Aus der Master-Arbeit zu IPCAF: Ablauf der gegenseitigen Authentifizierung auf der Client-Seite
Die Idee hinter IPCAF ist, dass sich AS und Client jeweils einen Frame schicken, der einen bestimmten Wert enthält. Beide Seiten überprüfen über einen Filter, ob der Wert korrekt ist, was nicht viel Zeit in Anspruch nimmt. Um den Wert zu erzeugen, verwenden Server und Client ein Preshared-Secret. Dabei arbeitet IPCAF zustandlos. Außerdem muss das Verfahren auf dem Server und dem Client implementiert sein.
Sind die berechneten Werte korrekt, wird ein neuer Wert für den nächsten Frame berechnet. Andernfalls verwirft der Empfänger den Frame. Um mehr DoS/DDOS-Angriffen zu begegnen, die Authentifizierungsanfragen vortäuschen, haben die Forscher zwei Server verwendet. Server 1 überprüft nur, ob der Filterwert gültig ist. Ist dies der Fall, leitet er die Anfrage an den Server 2 weiter. Dieser erzeugt dann einen neuen Filterwert. Es ist aber auch möglich, beides auf einem Server laufen zu lassen.
[1] http://etd.auburn.edu/etd/bitstream/handle/10415/283/HUANG_CHUN-CHING_20.pdf?sequence=1
[2] http://www.inderscience.com/www/news/forthcoming_ijics.php
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Das sind die neuen Media Markt-Produkte
Media/Saturn stellte heute in München gleich vier Eigenmarken vor. Es gibt wesentlich mehr Produkte als von Experten erwartet: Vom Notebook über Fernseher und Kühlschränke bis zu Festplatten, HDMI-Kabeln und MP3-Playern. Wir zeigen exklusiv die neuen Eigenprodukte.
» Top-Stories der Woche
Google sucht jetzt »Instant«
Die neue Funktion »Instant« verändert die Suche auf Google grundlegend, indem sich die Suchergebnisse damit bereits während der Eingabe verändern. Vor allem für Unternehmen und Organisationen die gefunden werden wollen, stellen sich damit teils völlig neue Anforderungen.
EMC geht in die Private Cloud
EMC-Forum unter der Wolke: Auf seiner jährlichen Kunden- und Partnerkonferenz in Frankfurt schwor EMC die gut 1.000 Teilnehmer auf den Wandel zur Privat Cloud ein. Am virtualisierten Rechenzentrum sollen die Vertriebspartner von EMC kräftig mitarbeiten.
Weitere Artikel
» Meistgelesene News
Media Markt startet vier Eigenmarken
Media/Saturn stellte heute in München gleich vier neue Eigenmarken vor. MSH-Chef Roland Weise gab persönlich die Strategie und den Namen der Eigenmarken bekannt. Es gibt mehr eigene Produkte als erwartet.
Hurd-Streit: Ellisson bricht mit Hewlett-Packard
Weil HP Mark Hurd verklagt, will Oracle-Chef Larry Ellison jeglichen Geschäftskontakt zu HP abbrechen. Hewlett-Packard sei kein Partner mehr. Die Auseinandersetzung eskaliert. Der Channel von Oracle bewertet den Einstieg von Hurd unterdessen äußerst positiv.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema Workflow
Die Leserkommentare sind für diesen Artikel deaktiviert.