TY - JOUR A1 - Lorenz, Claas A1 - Clemens, Vera Elisabeth A1 - Schrötter, Max A1 - Schnor, Bettina T1 - Continuous verification of network security compliance JF - IEEE transactions on network and service management N2 - Continuous verification of network security compliance is an accepted need. Especially, the analysis of stateful packet filters plays a central role for network security in practice. But the few existing tools which support the analysis of stateful packet filters are based on general applicable formal methods like Satifiability Modulo Theories (SMT) or theorem prover and show runtimes in the order of minutes to hours making them unsuitable for continuous compliance verification. In this work, we address these challenges and present the concept of state shell interweaving to transform a stateful firewall rule set into a stateless rule set. This allows us to reuse any fast domain specific engine from the field of data plane verification tools leveraging smart, very fast, and domain specialized data structures and algorithms including Header Space Analysis (HSA). First, we introduce the formal language FPL that enables a high-level human-understandable specification of the desired state of network security. Second, we demonstrate the instantiation of a compliance process using a verification framework that analyzes the configuration of complex networks and devices - including stateful firewalls - for compliance with FPL policies. Our evaluation results show the scalability of the presented approach for the well known Internet2 and Stanford benchmarks as well as for large firewall rule sets where it outscales state-of-the-art tools by a factor of over 41. KW - Security KW - Tools KW - Network security KW - Engines KW - Benchmark testing; KW - Analytical models KW - Scalability KW - Network KW - security KW - compliance KW - formal KW - verification Y1 - 2021 U6 - https://doi.org/10.1109/TNSM.2021.3130290 SN - 1932-4537 VL - 19 IS - 2 SP - 1729 EP - 1745 PB - Institute of Electrical and Electronics Engineers CY - New York ER - TY - THES A1 - Sianipar, Johannes Harungguan T1 - Towards scalable and secure virtual laboratory for cybersecurity e-learning N2 - Distance Education or e-Learning platform should be able to provide a virtual laboratory to let the participants have hands-on exercise experiences in practicing their skill remotely. Especially in Cybersecurity e-Learning where the participants need to be able to attack or defend the IT System. To have a hands-on exercise, the virtual laboratory environment must be similar to the real operational environment, where an attack or a victim is represented by a node in a virtual laboratory environment. A node is usually represented by a Virtual Machine (VM). Scalability has become a primary issue in the virtual laboratory for cybersecurity e-Learning because a VM needs a significant and fix allocation of resources. Available resources limit the number of simultaneous users. Scalability can be increased by increasing the efficiency of using available resources and by providing more resources. Increasing scalability means increasing the number of simultaneous users. In this thesis, we propose two approaches to increase the efficiency of using the available resources. The first approach in increasing efficiency is by replacing virtual machines (VMs) with containers whenever it is possible. The second approach is sharing the load with the user-on-premise machine, where the user-on-premise machine represents one of the nodes in a virtual laboratory scenario. We also propose two approaches in providing more resources. One way to provide more resources is by using public cloud services. Another way to provide more resources is by gathering resources from the crowd, which is referred to as Crowdresourcing Virtual Laboratory (CRVL). In CRVL, the crowd can contribute their unused resources in the form of a VM, a bare metal system, an account in a public cloud, a private cloud and an isolated group of VMs, but in this thesis, we focus on a VM. The contributor must give the credential of the VM admin or root user to the CRVL system. We propose an architecture and methods to integrate or dis-integrate VMs from the CRVL system automatically. A Team placement algorithm must also be investigated to optimize the usage of resources and at the same time giving the best service to the user. Because the CRVL system does not manage the contributor host machine, the CRVL system must be able to make sure that the VM integration will not harm their system and that the training material will be stored securely in the contributor sides, so that no one is able to take the training material away without permission. We are investigating ways to handle this kind of threats. We propose three approaches to strengthen the VM from a malicious host admin. To verify the integrity of a VM before integration to the CRVL system, we propose a remote verification method without using any additional hardware such as the Trusted Platform Module chip. As the owner of the host machine, the host admins could have access to the VM's data via Random Access Memory (RAM) by doing live memory dumping, Spectre and Meltdown attacks. To make it harder for the malicious host admin in getting the sensitive data from RAM, we propose a method that continually moves sensitive data in RAM. We also propose a method to monitor the host machine by installing an agent on it. The agent monitors the hypervisor configurations and the host admin activities. To evaluate our approaches, we conduct extensive experiments with different settings. The use case in our approach is Tele-Lab, a Virtual Laboratory platform for Cyber Security e-Learning. We use this platform as a basis for designing and developing our approaches. The results show that our approaches are practical and provides enhanced security. N2 - Die Fernunterrichts- oder E-Learning-Plattform sollte ein virtuelles Labor bieten, in dem die Teilnehmer praktische Übungserfahrungen sammeln können, um ihre Fähigkeiten aus der Ferne zu üben. Insbesondere im Bereich Cybersicherheit E-Learning, wo die Teilnehmer in der Lage sein müssen, das IT-System anzugreifen oder zu verteidigen. Um eine praktische Übung durchzuführen, muss die virtuelle Laborumgebung der realen Betriebsumgebung ähnlich sein, in der ein Angriff oder ein Opfer durch einen Knoten in einer virtuellen Laborumgebung repräsentiert wird. Ein Knoten wird normalerweise durch eine virtuelle Maschine (VM) repräsentiert. Die Skalierbarkeit ist zu einem Hauptproblem des virtuellen Labors für E-Learning im Bereich Cybersicherheit geworden, da für eine VM eine erhebliche und feste Zuweisung von Ressourcen erforderlich ist. Die Verfügbare Ressourcen begrenzen die Anzahl der gleichzeitigen Benutzer. Die Skalierbarkeit kann erhöht werden, indem die verfügbaren Ressourcen effzienter genutzt und mehr Ressourcen bereitgestellt werden. Die Erhöhung der Skalierbarkeit bedeutet die Erhöhung der Anzahl gleichzeitiger Benutzer. In dieser Arbeit schlagen wir zwei Ansätze vor, um die Effzienz der Nutzung der verfügbaren Ressourcen zu erhöhen. Der erste Ansatz zur Erhöhung der Effzienz besteht darin, virtuelle Maschinen (VMs) durch Container zu ersetzen, wann immer dies möglich ist. Der zweite Ansatz besteht darin, die Last auf den Benutzer vor-ort-maschine zu verteilen, wobei der Benutzer vor-ort-maschine einen der Knoten in einem virtuellen Laborszenario repräsentiert. Wir schlagen auch zwei Ansätze vor, um mehr Ressourcen bereitzustellen. Eine Möglichkeit, mehr Ressourcen bereitzustellen, ist die Nutzung von Public Cloud Services. Eine andere Möglichkeit, mehr Ressourcen bereitzustellen, besteht darin, Ressourcen aus der Menge zu sammeln, die als Crowd-Resourcing Virtual Laboratory (CRVL) bezeichnet wird. In CRVL, kann die Menge ihre ungenutzten Ressourcen in Form einer VM, eines Bare-Metal-Systems, eines Accounts in einer Public Cloud, einer Private Cloud und einer isolierten Gruppe von VMs einbringen, aber in dieser Arbeit konzentrieren wir uns auf eine VM. Der Mitwirkende muss dem CRVL-System den Berechtigungsnachweis des VM-Administrators oder des Root-Benutzers geben. Wir schlagen eine Architektur und Methoden vor, um VMs automatisch in das CRVL-System zu integrieren oder daraus zu entfernen. Ein Team-Placement-Algorithmus muss ebenfalls untersucht werden, um die Ressourcennutzung zu optimieren und gleichzeitig den besten Service für den Benutzer zu bieten. Da das CRVL-System den Beitragsgeber-Hostcomputer nicht verwaltet, muss das CRVL-System in der Lage sein, sicherzustellen, dass die VM-Integration ihr System nicht beeinträchtigt und das Schulungsmaterial sicher auf den Beitragsgeberseiten aufbewahrt wird, damit niemand das Trainingsmaterial ohne Erlaubnis wegnehmen kann. Wir untersuchen Möglichkeiten, um mit dieser Art von Bedrohungen umzugehen. Wir schlagen drei Ansätze vor, um die VM von einem bösartigen Host Administrator zu stärken. Um die Integrität einer VM vor der Integration in das CRVL-System zu überprüfen, schlagen wir eine Remote-Veriffkationsmethode ohne zusätzliche Hardware wie den Trusted Platform Module-Chip vor. Als Besitzer des Host-Rechners können die Host-Administratoren über Random Access Memory (RAM) auf die Daten der VM zugreifen, indem sie Live Memory Dumping, Spectre- und Meltdown-Angriffe durchführen. Um es dem bösartigen Host- Administrator zu erschweren, die sensiblen Daten aus dem RAM zu erhalten, schlagen wir eine Methode vor, die kontinuierlich sensible Daten im RAM bewegt. Wir schlagen auch eine Methode zur Überwachung des Host-Rechners vor, indem ein Agent darauf installiert wird. Der Agent überwacht die Hypervisor-Konfigurationen und die Aktivitäten des Hostadministrators. Um unsere Ansätze zu bewerten, führen wir umfangreiche Experimente mit unterschiedlichen Einstellungen durch. Der Anwendungsfall in unserem Ansatz ist Tele-Lab, eine virtuelle Laborplattform für Cybersicherheit E-Learning. Wir nutzen diese Plattform als Grundlage für die Gestaltung und Entwicklung unserer Ansätze. Die Ergebnisse zeigen, dass unsere Ansätze praktisch sind und mehr Sicherheit bieten. KW - Virtual Laboratory KW - Cybersecurity e-Learning KW - Scalability KW - Crowd Resourcing KW - Crowd Resourcing KW - Cybersicherheit E-Learning KW - Skalierbarkeit KW - Virtuelles Labor Y1 - 2021 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:kobv:517-opus4-502793 ER - TY - THES A1 - Dawoud, Wesam T1 - Scalability and performance management of internet applications in the cloud T1 - Skalierbarkeit und Performance-Management von Internetanwendungen in der Cloud N2 - Cloud computing is a model for enabling on-demand access to a shared pool of computing resources. With virtually limitless on-demand resources, a cloud environment enables the hosted Internet application to quickly cope when there is an increase in the workload. However, the overhead of provisioning resources exposes the Internet application to periods of under-provisioning and performance degradation. Moreover, the performance interference, due to the consolidation in the cloud environment, complicates the performance management of the Internet applications. In this dissertation, we propose two approaches to mitigate the impact of the resources provisioning overhead. The first approach employs control theory to scale resources vertically and cope fast with workload. This approach assumes that the provider has knowledge and control over the platform running in the virtual machines (VMs), which limits it to Platform as a Service (PaaS) and Software as a Service (SaaS) providers. The second approach is a customer-side one that deals with the horizontal scalability in an Infrastructure as a Service (IaaS) model. It addresses the trade-off problem between cost and performance with a multi-goal optimization solution. This approach finds the scale thresholds that achieve the highest performance with the lowest increase in the cost. Moreover, the second approach employs a proposed time series forecasting algorithm to scale the application proactively and avoid under-utilization periods. Furthermore, to mitigate the interference impact on the Internet application performance, we developed a system which finds and eliminates the VMs suffering from performance interference. The developed system is a light-weight solution which does not imply provider involvement. To evaluate our approaches and the designed algorithms at large-scale level, we developed a simulator called (ScaleSim). In the simulator, we implemented scalability components acting as the scalability components of Amazon EC2. The current scalability implementation in Amazon EC2 is used as a reference point for evaluating the improvement in the scalable application performance. ScaleSim is fed with realistic models of the RUBiS benchmark extracted from the real environment. The workload is generated from the access logs of the 1998 world cup website. The results show that optimizing the scalability thresholds and adopting proactive scalability can mitigate 88% of the resources provisioning overhead impact with only a 9% increase in the cost. N2 - Cloud computing ist ein Model fuer einen Pool von Rechenressourcen, den sie auf Anfrage zur Verfuegung stellt. Internetapplikationen in einer Cloud-Infrastruktur koennen bei einer erhoehten Auslastung schnell die Lage meistern, indem sie die durch die Cloud-Infrastruktur auf Anfrage zur Verfuegung stehenden und virtuell unbegrenzten Ressourcen in Anspruch nehmen. Allerdings sind solche Applikationen durch den Verwaltungsaufwand zur Bereitstellung der Ressourcen mit Perioden von Verschlechterung der Performanz und Ressourcenunterversorgung konfrontiert. Ausserdem ist das Management der Performanz aufgrund der Konsolidierung in einer Cloud Umgebung kompliziert. Um die Auswirkung des Mehraufwands zur Bereitstellung von Ressourcen abzuschwächen, schlagen wir in dieser Dissertation zwei Methoden vor. Die erste Methode verwendet die Kontrolltheorie, um Ressourcen vertikal zu skalieren und somit schneller mit einer erhoehten Auslastung umzugehen. Diese Methode setzt voraus, dass der Provider das Wissen und die Kontrolle über die in virtuellen Maschinen laufende Plattform hat. Der Provider ist dadurch als „Plattform als Service (PaaS)“ und als „Software als Service (SaaS)“ Provider definiert. Die zweite Methode bezieht sich auf die Clientseite und behandelt die horizontale Skalierbarkeit in einem Infrastruktur als Service (IaaS)-Model. Sie behandelt den Zielkonflikt zwischen den Kosten und der Performanz mit einer mehrzieloptimierten Loesung. Sie findet massstaebliche Schwellenwerte, die die hoechste Performanz mit der niedrigsten Steigerung der Kosten gewaehrleisten. Ausserdem ist in der zweiten Methode ein Algorithmus der Zeitreifenvorhersage verwendet, um die Applikation proaktiv zu skalieren und Perioden der nicht optimalen Ausnutzung zu vermeiden. Um die Performanz der Internetapplikation zu verbessern, haben wir zusaetzlich ein System entwickelt, das die unter Beeintraechtigung der Performanz leidenden virtuellen Maschinen findet und entfernt. Das entwickelte System ist eine leichtgewichtige Lösung, die keine Provider-Beteiligung verlangt. Um die Skalierbarkeit unserer Methoden und der entwickelten Algorithmen auszuwerten, haben wir einen Simulator namens „ScaleSim“ entwickelt. In diesem Simulator haben wir Komponenten implementiert, die als Skalierbarkeitskomponenten der Amazon EC2 agieren. Die aktuelle Skalierbarkeitsimplementierung in Amazon EC2 ist als Referenzimplementierung fuer die Messesung der Verbesserungen in der Performanz von skalierbaren Applikationen. Der Simulator wurde auf realistische Modelle der RUBiS-Benchmark angewendet, die aus einer echten Umgebung extrahiert wurden. Die Auslastung ist aus den Zugriffslogs der World Cup Website von 1998 erzeugt. Die Ergebnisse zeigen, dass die Optimierung der Schwellenwerte und der angewendeten proaktiven Skalierbarkeit den Verwaltungsaufwand zur Bereitstellung der Ressourcen bis um 88% reduziert kann, während sich die Kosten nur um 9% erhöhen. KW - Cloud Computing KW - Leistungsfähigkeit KW - Skalierbarkeit KW - Internetanwendungen KW - Cloud computing KW - Performance KW - Scalability KW - Internet applications Y1 - 2013 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:kobv:517-opus-68187 ER -