SNE master student projects 2008 - 2009 Left Over



#
 title
summary
 supervisor
contact
1

Self-adaptive Routing

One of the basic underlying principles of Internet technology is the end-to-end principle. This principle leads to a model where the network is dumb and end-systems contain most of the intelligence for flow-control and traffic orchestration. If the convergence of voice, broadcasting and web and mail traffic continues, networks need to deliver better than best effort services. Therefore, the network has to make intelligent forwarding decisions for specific types of traffic.

In this project, the student is challenged to implement a use-case for better than best effort routing. For this purpose, we will explore how current routing protocols such as OSPF or BGP and current monitoring tools such as NetFlow can be exploited. The strategy is as follows. The student writes a program that uses monitoring tools to gain insight in traffic characteristics. Based on the traffic characteristics, the program implements a decision process, which controls adaptations of OSPF or BGP. This leads to an elementary control loop of observe, decide and act for self-adaptive routing. 		Rudolf Strijkers <strijkers=>uva.nl>
3

"Best practice" voor het blokkeren van remote DNS servers.

Soms is het praktisch om kwaadwillig gebruik van het internet niet te blokkeren in het stadium van de daadwerkelijke gegevensuitwisseling (SMTP, HTTP e.d.) maar om dit in een eerder stadium te doen. Een mogelijke keus is dan DNS, daar bepaalde misbruikers vanwege de eenvoud opteren voor het concentreren van hun DNS registraties onder bepaalde domeinen danwel subnetten. 		Fred Mobach <fred=>mobach.nl>
4

Een draft voor een Simple Message Control Protocol.

Uitwisseling van beknopte berichten tussen geautentificeerde systemen en geautoriseerde gebruikers is naar mijn weten nog niet in voorzien. SMTP, NNTP en SNMP kunnen dit niet verzorgen. Een nieuw protocol met hergebruik van al bestaande elementen zoals SSL / SSH kan vrij eenvoudig zorgdragen voor autorisatie, autentificatie en encryptie. 		Fred Mobach <fred=>mobach.nl>
8

Exploiting Sieve

Description: Sieve is a domain specific language for filtering email messages on an IMAP server. It was developed as part of the Cyrus IMAP server, but was quickly spin off and turned into a standard (http://tools.ietf.org/html/rfc5228). There are quite a few servers that have support for Sieve, in various degrees of completeness. It is quickly gaining support. Clients that support it are KMail and Thunderbird. Clients define rules, which are uploaded to the server.

The Sieve rules are often executed with the privileges of the IMAP server, especially in setups where IMAP accounts are virtual and not tied to system accounts. This is an interesting attack vector. I am interested in knowing how well current Sieve implementations in both servers and clients can deal with corrupt and/or malicious rules, weirdly formatted email headers, and so on. The ultimate goal would be to create a standardized Sieve security test suite.
 Armijn Hemel <armijn=>uulug.nl>
9

Dovecot testsuite

Description: Dovecot (http://www.dovecot.org/) is a lightweight IMAP/POP3 server. The Dovecot project is currently lacking a proper testsuite, which has often lead to releases being followed by new bugfix releases a few days later that fix critical bugs. This research would include identifying past issues and implementing tests for it, for example with GreenMail (http://www.icegreen.com/greenmail/).
 Armijn Hemel <armijn=>uulug.nl>
11

netwerkoptimalisatie

Het SURFnet6 netwerk bevat ruim 200 lichtpaden (https://noc.sara.nl/spotlight).  Deze lichtpaden zijn in de afgelopen jaren geconfigureerd. Het is de vraag hoe efficient de huidige vulling van het netwerk nog is. Deze opdracht bestaat uit het bedenken van een metriek voor de efficientie van een vulling en een onderzoek of de huidige lichtpaden efficienter gerouteerd kunnen worden. Deze opdracht kan met behulp van een bestaande netwerkplanner gedaan worden. 		Ronald van der Pol <Ronald.vanderPol=>rvdp.org>
12

netwerksimulatie

SURFnet6 zal in december 2008 dynamische lichtpaden ondersteunen. De bedoeling daarvan is dat eindgebruikers on-demand lichtpaden tussen twee poorten in het netwerk op kunnen zetten. In het netwerk moeten daarvoor resources gereserveerd worden. Als er te weinig resources gereserveerd worden dan zullen lichtpadaanvragen niet gehonoreerd kunnen worden (blocking rate). Als er te veel resources gereserveerd worden dan wordt het netwerk niet optimaal gebruikt. Deze opdracht bestaat uit het simuleren van een groep gebruikers die lichtpaden opzetten en het onderzoeken hoe de blocking rate afhangt van de gereserveerde resources. Bij deze opdracht wordt een bestaande lichtpadplanner gebruikt. Maar het simuleren van de groep gebruikers zal door middel van zelf te schrijven software (bv een Perl script) gedaan moeten worden. 		Ronald van der Pol <Ronald.vanderPol=>rvdp.org>
13

Provisioning in large clusters

The process of provisioning in a compute cluster involves distributing a filesystem image stored on one or several storage servers to the harddrive(s) of a slave node. When a slave node boots, normally only the differences between the local filesystems and the image are transferred. However, when many nodes are simultaneously (re-)provisioned from scratch, the network bandwidth to storage servers can easily get exhausted.

On a network with full (or near full) bisection bandwidth, there is significant potential for improvement, because by using a protocol such as BitTorrent, all nodes can receive parts of the image from all other nodes. A different approach to improve performance is to use multi-casting.

This project involves analyzing the problem of bandwidth exhaustion and to devise a practical solution that scales to thousands of slave nodes, possibly by using the suggestions provided above. Ideally, a proof of concept implementation should be built on top of the node provisioning sub-system in ClusterVisionOS.
 Martijn de Vries <martijn=>clustervision.com>
14

High-Performance Message Passing over Ethernet

Recently an open-source implementation of the Myrinet Express (MX) message passing stack for generic Ethernet has been released: Open-MX (http://open-mx.gforge.inria.fr/). Initial benchmarking reports are showing promising results in terms of latency and bandwidth on conventional Gig-E NICs.

Using MX instead of IP for message passing could result in increased performance for HPC applications that make use of an MX-capable MPI implementation (e.g. OpenMPI). Furthermore, some parallel filesystems such as PVFS2 and Lustre are also capable of using MX for communication and may therefore also benefit.

This project involves evaluating the Open-MX implementation on various network set-ups, finding & resolving issues that arise in practice, and analyzing effects on performance for various types of applications (e.g. HPC applications, parallel filesystems). 		Martijn de Vries <martijn=>clustervision.com>
17

Pilot projekt met STORM en Lustre.

Het idee is om een Lustre server te installeren (misschien met meerdere data servers) en dit als grid storage opzetten via STORM storage manager.  Ik zou het leuk vinden als we erbij twee dingen kunnen doen :
  1. gebruikers dit laten testen (bv silvia)
  2. kijken of het Lustre FS beschikbaar kan worden gemaakt voor WNs, en of we daarmee het posix-toegang probleem kunnen oplossen.
Er staat al informatie op het web, over hoe je het 1e deel moet doen (opzetten van Storm plus Lustre).  Zover ik weet is er niet veel gedaan met 1 en 2.  
 Jan Just Keijser <janjust=>nikhef.nl>
19

Des-Plus encryptie bij IP over lichtnet.

Naast Wifi vindt ook IP-communicatie over het lichtnet in toenemende mate zijn weg naar Nederlandse huishoudens. Met de steun van partijen als Nuon wordt het gebruik van producten als de "Homeplug" van Devolo gestimuleerd.

Lichtnetbekabeling houdt niet op bij de eigen meterkast. Het is daarom aannemelijk dat signalen die in huishouden A via het lichtnet worden getransporteerd in huishouden B zijn af te luisteren.

Volgens de leverancier is het product natuurlijk helemaal veilig; er wordt gebruik gemaakt van "Des-Plus encryptie". Als je daar nog nooit van gehoord hebt, geen zorgen - wij ook niet en het is ons vak. Deze uitlating van de leverancier is voor ons reden om eens goed te willen laten kijken naar de beveiliging van dit product. Is de communicatie tussen twee homeplugs af te luisteren? Is er sprake van encryptie en zo ja, hoe goed is die? Is een man-in-the-middel aanval mogelijk? Zijn er management-interfaces bereikbaar? Is de firmware in de homeplug te reverse-engineeren en kan er zo sleutelmateriaal worden
verkregen? Voldoende ingredienten voor een interessante en leerzame opdracht!

Voor info gelieve contact op te nemen met: ITsec Security Services bv, Christiaan J. Roselaar.
 Christiaan J. Roselaar <c.roselaar=>itsec.nl>
24

Using XEN Technology for Green.IT.

The UvA participates in the GreenNGI effort (see http://www.greenngi.com/). From the website; The GreenNGI experimental platform provides a virtual infrastructure using infrastructure services to provide an application oriented network needed to run multiple experiments and evaluate the impact of different technologies on Green House Gas(GHG) Emissions.
In that infrastructure one of the ways to play with energy use is to use virtualisation of applications and operating system environments and to migrate processes and virtual systems to those places where the energy can be obtained in the most green way. This RP is to make an implementation using XEN on Ubuntu work on a network of MacMini's connected to a transatlantic dedicated 1 gig lightpath to the Canadian partners and evaluate its potential advantages and pittfalls in using the state of the art XEN/Ubuntu for the greenIT project.		 Ralph Koning <r.koning=>uva.nl>
Cees de Laat <delaat=>uva.nl>
30

AAA

Please see aaa.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
31

Curve25519 Cryptanalysis

Please see Curve25519.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
33

DNSCurve Server

Please see DNSCurve-Server.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
34

DNSCurve Resolver

Please see DNSCurve-resolver.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
35

Health

Please see Health.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
36

NAC

Please see NAC.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>
39

Wireless access points detectie via kabel.

Inleiding
Ondanks dat men tegenwoordig niet alleen meer kan vertrouwen op perimeter security, blijft het van belang om alle toegangspunten tot het netwerk van buitenaf onder controle te hebben. Waar het allemaal begonnen is met een enkele telefoon of ISDN lijn voor toegang tot het netwerk, hebben bedrijven nu vaak redundante  hoge snelheidsverbindingen om allerlei services aan te bieden aan medewerkers, klanten, leveranciers, partners, enz. Deze verbindingen komen vaak op een centrale plek binnen en zijn hiermee redelijk goed te controleren. Met de komst van Wifi is er nieuw toegangspunt tot het netwerk ontstaan.  Echter dit toegangspunt is moeilijk te controleren. Wifi verbindingen zijn tot buiten de kantoormuren te bereiken en met een slechte implementatie makkelijk te misbruiken voor toegang tot het bedrijfsnetwerk. Het in kaart brengen van Wifi access points is een tijdrovende klus. Elke ruimte in een pand dient met een laptop afgespeurd te worden om te scannen op draadloze verbindingen. In (grote) bedrijven zijn afdelingen vaak fysiek gescheiden in segmenten met verschillende  toegangssleutels, pasjes of andere beveiligingssystemen. Daarbij kan het nog zijn dat Wifi access points geen signaal afgeven dat ze ‘online’ zijn. Het gevaar zit in het feit dat bewust of onbewust een Wifi access point toe te voegen aan het netwerk. Hieronder wordt een scenario geschetst wat in de praktijk wordt aangetroffen.
Scenario
Een projectgroep van 10 medewerkers zit in een projectruimte met maar één fysieke netwerkaansluiting. Het is makkelijk om voor een paar tientjes Wifi access point bij de lokale computershop te halen en deze te gebruiken als toegang tot het bedrijfsnetwerk voor de 10 projectgroepleden. Voor het gemak wordt er geen of een simpele toegangsbeveiliging tot het Wifi access point ingesteld. Een toegangsbeveiliging die totaal niet voldoet aan de bedrijfsbeleid.
Opdracht
Onderzoek de mogelijkheden om aan een netwerk gekoppelde Wifi Access Points via het netwerk te detecteren. Beoordeel de verschillende mogelijkheden op hun toepasbaarheid. Doe een voorstel hoe middels een weloverwegen combinatie van detectiemogelijkheden te komen tot een betrouwbare en
bruikbaare tool waarmee detectie van WiFi AP's op een efficiente en zo veel mogelijk geautomatiseerde wijze kan plaatsvinden. Bouw een prototype van zo'n tool.
 Christiaan J. Roselaar <c.roselaar=>itsec.nl>
40

Virtualization technology survey.

Organization: KLM Information Services

In the past few years, virtualization has been a topic that has drawn attention in many data-centres. An obvious benefit of virtualization is the more efficient use of computing resources, allowing a data-centre to become more "green". etc. Virtualization has however not seen serious deployment in mission critical area's, as most organisations do not consider most products mature enough. Moreover several key software vendors have licensing models that are virtualization unfriendly. New virtualisation concepts (such as KVM) are emerging. All these factors creates uncertainty that makes a technology choices more difficult. In order to support a virtualization technology decision process, KLM would benefit from an overview of pro's and con's of currently available virtualization technologies & product both on Intel x86 and mainframe (IBM z/OS) platforms. A survey should focus on a products potential to be deployed to be mission critical environments supporting a number of key software vendors products such as Oracle, SAP, etc. The results should be presented and defended at the KLM CIO office. The results must also be presented and defended september 30th during the RedHat Benelux Large Enterprise User Group meeting, with members including Rabobank, ABN/Amro, Fortis, ING, Belastingdienst, ProRail, Shell, etc.
 "Gommans, LHM - SPLXM" <Leon.Gommans=>klm.com>
43

Security Virtual Infrastructure; Study possible security issues with a virtual infrastructure


BELNET uses a virtual infrastructure based on VMware Infrastructure. The virtual infrastructure runs hosts that are "internal" and "public". The infrastructure uses a SAN to store the virtual machines. The virtual machines are a mix of Linux and Windows hosts.
A virtual infrastructure that serves hosts in different logical network segments poses a security and maintenance challenge. The goal of this project is to write a report that contains recommendations for the setup of such an infrastructure.

The report should contain recommendations on these topics :
  1. Firewalling of the host OS and remote management BELNET needs recommendations on the preferred setup for the firewalling of the host OS and the preferred ways for safe remote management.
  2. Recommendations for safe access to the central storage and recommendations on the backup and integrity check procedures.
  3. BELNET wants to create one or more 'virtual' DMZs for public hosts and one or more 'virtual LAN's for the internal hosts. The report should contain recommendations for the different scenarios (separate -non interconnected- Host OSes, shared Host OSes) on how to achieve this. Questions that needs to answered involve but are not limited to configuration of the roles for administrator accounts, network connections, shared resources (memory, disk) and virtual switches.
  4. Recommendations on how to monitor and audit the security state of the virtual infrastructure.
BELNET does not expect that the writer of the report needs actual access to the virtual infrastructure. BELNET will provide the necessary information (like the current setup, current list of virtual machines, future use) and BELNET will provide necessary resources (like a server running VMware server and network access) to do some testing.
 Lionel Ferette <lionel.ferette=>belnet.be>
45

Automatic Network Configuration in Clouds

Cloud computing is gaining popularity with companies such as Amazon, Google and Microsoft, which already offer resources on demand. The cloud computing paradigm is built on virtualization of computing resources from physical devices. In general this means that virtual machines (VM) can be created and destroyed as requested. Automating virtual network connectivity between VMs is not yet addressed. The goal of this project is to investigate how automatic creation, configuration and teardown of virtual networks can be achieved using the Xen virtualization environment.
 Rudolf Strijkers <strijkers=>uva.nl>
Paola Grosso <p.grosso=>uva.nl>