SNE master student projects 2009 - 2010 - Left Over


#
 title
summary
 supervisor contact
students 		R
P
 1
/
2
3

"Best practice" for blocking remote DNS servers.

Sometimes it is practical to not block malicious usage of the Internet at the time of the actual data exchange (SMTP, HTTP, etc.) but to do this at an earlier time. A possible choise is then to block DNS because certain abusers opt for concentration of their DNS registrations in certain domains or subnets.

(in Dutch: Soms is het praktisch om kwaadwillig gebruik van het internet niet te blokkeren in het stadium van de daadwerkelijke gegevensuitwisseling (SMTP, HTTP e.d.) maar om dit in een eerder stadium te doen. Een mogelijke keus is dan DNS, daar bepaalde misbruikers vanwege de eenvoud opteren voor het concentreren van hun DNS registraties onder bepaalde domeinen danwel subnetten.)		 Fred Mobach <fred=>mobach.nl>

 R
P
4

Een draft voor een Simple Message Control Protocol.

Uitwisseling van beknopte berichten tussen geautentificeerde systemen en geautoriseerde gebruikers is naar mijn weten nog niet in voorzien. SMTP, NNTP en SNMP kunnen dit niet verzorgen. Een nieuw protocol met hergebruik van al bestaande elementen zoals SSL / SSH kan vrij eenvoudig zorgdragen voor autorisatie, autentificatie en encryptie. 		Fred Mobach <fred=>mobach.nl>

 R
P
6

Analysis of fault tolerance and availability in Eurofibers network design

Eurofiber (http://www.eurofiber.com) is desiring to obtain a better insight in fault tolerance in its network design and discover possibilties to add layers of fault tolerance to it. The company is specialized in delevering fiber optic connections and networks to the wholesale (backhaul) market as well as the business to business market. The network reach is 10.000km covering almost all citues in the Netherlands and a part of Belgium. Eurofibers services range from transparent Ethernet MPLS services (10mbit/s - 10Gbit/s) to Optical Transport Network services (1gbit - 400gbit) and Managed Dark Fiber services. Important customers are Mobile Operators, Internet Service Providers,  corporate business, hospitals, universities. Eurofiber is one of main suppliers of the Surfnet Gigaport network throughout the Netherlands.

A new programm called High Availability FIber Programm is currently under investigation. Aim is to target customers with (extreme) mission critical services for which a simple redundant path will be not enough to reach the required availability requirements. Examples (not necessarily existing customers) of such operations are clearing houses for financial transactions and a network connecting Air Traffic Control functions of various airports throughout the Netherlands.

For this purpose Eurofiber would like to start with a theoretical analysis that could act as a basis for a new network design and measures in processes, network design and service descriptions. Obviously in the present situation Eurofibers networks are built fully redundant in the core, and customers have the option to choose diverse routes from their locations to the networks edge. Fault tolerance -to our belief- should reach farther then this, especially on the topic of human error. Example: Uploading a wrong config file could potentially have dramatic consequences, regardless of redundantly connected sites and various levels of protection in power supply etc.

Aim of the project is to carry out an analysis of vulnerabilities in all layers in the OSI-stack of our network.
Furthermore Eurofiber would like to learn how layers of fault tolerance can be added, by changing network design and procedures.

Part of the project will be to describe a new and proper definition of availability in our network, especially for specific customer networks that are built within the greater core. In Eurofibers Service Level Agreements general figures for availabilty are given, with adjustments for single or redundant customer connections as the case may be. The true availability though, will be the result of a formula in which the actual used network topology is included, and comprising of the number of kilometers fiber used, the number of nodes etc. This is depending on the actual situation at hand and will vary from case to case. Eurofiber would like to find a quick method to define this case-specific availabilty figures to compare it to the general figures as shown in the service descriptions and SLA's. as well as the actual performance.

This is description reflects our general vision on the topic and can be refined in dialogue with candidates interested in getting involved in the project.
 Martin Vos <martin.vos=>eurofiber.com>

 R
P
8

Exploiting Sieve

Description: Sieve is a domain specific language for filtering email messages on an IMAP server. It was developed as part of the Cyrus IMAP server, but was quickly spin off and turned into a standard (http://tools.ietf.org/html/rfc5228). There are quite a few servers that have support for Sieve, in various degrees of completeness. It is quickly gaining support. Clients that support it are KMail and Thunderbird. Clients define rules, which are uploaded to the server.

The Sieve rules are often executed with the privileges of the IMAP server, especially in setups where IMAP accounts are virtual and not tied to system accounts. This is an interesting attack vector. I am interested in knowing how well current Sieve implementations in both servers and clients can deal with corrupt and/or malicious rules, weirdly formatted email headers, and so on. The ultimate goal would be to create a standardized Sieve security test suite.
 Armijn Hemel <armijn=>uulug.nl>

 R
P
9

Dovecot Testsuite

Description: Dovecot (http://www.dovecot.org/) is a lightweight IMAP/POP3 server. The Dovecot project is currently lacking a proper testsuite, which has often lead to releases being followed by new bugfix releases a few days later that fix critical bugs. This research would include identifying past issues and implementing tests for it, for example with GreenMail (http://www.icegreen.com/greenmail/).
 Armijn Hemel <armijn=>uulug.nl>

 R
P
10

Trustworthiness of Cyber Infrastructure for e-Science

The 'trustworthiness' of systems in a large-scale Grid system depends on many factors. A Grid consists of many different systems, spread over multiple administrative domains. This has an impact on security and reliability of the system. For medical applications, a large degree of assurance is required that systems cannot be hacked, because the data and computations running on those systems can be very privacy sensitive. Hospitals are legally responsible for providing the highest possible degree of assurance that data concerning their patients remains well protected, which makes named aspects very important in practice. For more information, see for example http://www.science.uva.nl/~noordend/publications/ccgrid08.pdf

In this project, you should analyze how you can construct machine-readable descriptions of systems in such a way, that it becomes possible to reason over this system's level of security, in particular the system's ability to withstand attack. For this, a description of all the software running on this machine, from the operating system version up to the version numbers of all relevant (network-accessible or otherwise security critical) software packages, and configuration aspects of the system, should be generated. Next, this description should be compared with information obtained from (public or private) vulnerability report databases. In this project, you should explore the possibilities for generating host descriptions, as well as potential difficulties in obtaining information from vulnerability databases and comparing this information with the generated host descriptions.		 Guido van 't Noordende <guido=>science.uva.nl>

11

Hack DRAC

In het SURFnet6 netwerk wordt Nortel's Dynamic Resource Allocation Controller (DRAC) gebruikt voor de de Dynamische Lichtpaden productie dienst. Onlangs heeft Nortel aangekondigd dat DRAC binnenkort als open source beschikbaar komt. Hiermee wordt het nog belangrijker dat de publiek beschikbare web GUI en web services API bestand zijn tegen verschillende vormen van inbraak. De nodige maatregelen zijn geïmplementeerd, waaronder een via een proxy gelaagde toegang tot de door DRAC bestuurde netwerk elementen. Om de hack bestendigheid van DRAC te testen zal een op het SURFnet testbed aangesloten DRAC setup ter beschikking worden gesteld. 		Hans Trompert <Hans.Trompert=>SURFnet.nl>

 R
P
12

Security audit DRAC source code

In het SURFnet6 netwerk wordt Nortel's Dynamic Resource Allocation Controller (DRAC) gebruikt voor de de Dynamische Lichtpaden productie dienst. Onlangs heeft Nortel aangekondigd dat DRAC binnenkort als open source beschikbaar komt. Met het binnenkort publiek beschikbaar worden van de complete source code is het nog belangrijker dat de beveiliging van de publiek beschikbare web GUI en web services API goed is geïmplementeerd. Om te voorkomen dat een potentiële inbreker gaten vindt in de authenticatie aan de buitendeur of het afhandelen van de via de web GUI en WS API binnenkomende verzoeken, zal de DRAC source code moeten worden nagelopen op correcte implementatie van alle beveiligingsmaatregelen.
 Hans Trompert <Hans.Trompert=>SURFnet.nl>

R
P
14

High-Performance Message Passing over Ethernet

Recently an open-source implementation of the Myrinet Express (MX) message passing stack for generic Ethernet has been released: Open-MX (http://open-mx.gforge.inria.fr/). Initial benchmarking reports are showing promising results in terms of latency and bandwidth on conventional Gig-E NICs.

Using MX instead of IP for message passing could result in increased performance for HPC applications that make use of an MX-capable MPI implementation (e.g. OpenMPI). Furthermore, some parallel filesystems such as PVFS2 and Lustre are also capable of using MX for communication and may therefore also benefit.

This project involves evaluating the Open-MX implementation on various network set-ups, finding & resolving issues that arise in practice, and analyzing effects on performance for various types of applications (e.g. HPC applications, parallel filesystems). 		Martijn de Vries <martijn=>clustervision.com>

 R
P
17

Pilot projekt met STORM en Lustre.

Het idee is om een Lustre server te installeren (misschien met meerdere data servers) en dit als grid storage opzetten via STORM storage manager.  Ik zou het leuk vinden als we erbij twee dingen kunnen doen :
  1. gebruikers dit laten testen (bv silvia)
  2. kijken of het Lustre FS beschikbaar kan worden gemaakt voor WNs, en of we daarmee het posix-toegang probleem kunnen oplossen.
Er staat al informatie op het web, over hoe je het 1e deel moet doen (opzetten van Storm plus Lustre).  Zover ik weet is er niet veel gedaan met 1 en 2.  
 Jan Just Keijser <janjust=>nikhef.nl> R
P
20

AAA

Please see aaa.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>

 R
P
21

Curve25519 Cryptanalysis

Please see Curve25519.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>

 R
P
22

DNSCurve Server

Please see DNSCurve-Server.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>

 R
P
23

DNSCurve Resolver

Please see DNSCurve-resolver.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>

 R
P
24

Health

Please see Health.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>

 R
P
25

NAC

Please see NAC.pdf
Company profile.
 J. Scheerder <jeroenscheerder=>on2it.eu>

 R
P
26

Wireless access points detectie via kabel.

Inleiding
Ondanks dat men tegenwoordig niet alleen meer kan vertrouwen op perimeter security, blijft het van belang om alle toegangspunten tot het netwerk van buitenaf onder controle te hebben. Waar het allemaal begonnen is met een enkele telefoon of ISDN lijn voor toegang tot het netwerk, hebben bedrijven nu vaak redundante  hoge snelheidsverbindingen om allerlei services aan te bieden aan medewerkers, klanten, leveranciers, partners, enz. Deze verbindingen komen vaak op een centrale plek binnen en zijn hiermee redelijk goed te controleren. Met de komst van Wifi is er nieuw toegangspunt tot het netwerk ontstaan.  Echter dit toegangspunt is moeilijk te controleren. Wifi verbindingen zijn tot buiten de kantoormuren te bereiken en met een slechte implementatie makkelijk te misbruiken voor toegang tot het bedrijfsnetwerk. Het in kaart brengen van Wifi access points is een tijdrovende klus. Elke ruimte in een pand dient met een laptop afgespeurd te worden om te scannen op draadloze verbindingen. In (grote) bedrijven zijn afdelingen vaak fysiek gescheiden in segmenten met verschillende  toegangssleutels, pasjes of andere beveiligingssystemen. Daarbij kan het nog zijn dat Wifi access points geen signaal afgeven dat ze ‘online’ zijn. Het gevaar zit in het feit dat bewust of onbewust een Wifi access point toe te voegen aan het netwerk. Hieronder wordt een scenario geschetst wat in de praktijk wordt aangetroffen.
Scenario
Een projectgroep van 10 medewerkers zit in een projectruimte met maar één fysieke netwerkaansluiting. Het is makkelijk om voor een paar tientjes Wifi access point bij de lokale computershop te halen en deze te gebruiken als toegang tot het bedrijfsnetwerk voor de 10 projectgroepleden. Voor het gemak wordt er geen of een simpele toegangsbeveiliging tot het Wifi access point ingesteld. Een toegangsbeveiliging die totaal niet voldoet aan de bedrijfsbeleid.
Opdracht
Onderzoek de mogelijkheden om aan een netwerk gekoppelde Wifi Access Points via het netwerk te detecteren. Beoordeel de verschillende mogelijkheden op hun toepasbaarheid. Doe een voorstel hoe middels een weloverwegen combinatie van detectiemogelijkheden te komen tot een betrouwbare en
bruikbaare tool waarmee detectie van WiFi AP's op een efficiente en zo veel mogelijk geautomatiseerde wijze kan plaatsvinden. Bouw een prototype van zo'n tool.
 Christiaan J. Roselaar <c.roselaar=>itsec.nl>

 R
P
27

Virtualization technology survey.

Organization: KLM Information Services

In the past few years, virtualization has been a topic that has drawn attention in many data-centres. An obvious benefit of virtualization is the more efficient use of computing resources, allowing a data-centre to become more "green". etc. Virtualization has however not seen serious deployment in mission critical area's, as most organisations do not consider most products mature enough. Moreover several key software vendors have licensing models that are virtualization unfriendly. New virtualisation concepts (such as KVM) are emerging. All these factors creates uncertainty that makes a technology choices more difficult. In order to support a virtualization technology decision process, KLM would benefit from an overview of pro's and con's of currently available virtualization technologies & product both on Intel x86 and mainframe (IBM z/OS) platforms. A survey should focus on a products potential to be deployed to be mission critical environments supporting a number of key software vendors products such as Oracle, SAP, etc. The results should be presented and defended at the KLM CIO office. The results must also be presented and defended september 30th during the RedHat Benelux Large Enterprise User Group meeting, with members including Rabobank, ABN/Amro, Fortis, ING, Belastingdienst, ProRail, Shell, etc.
 "Gommans, LHM - SPLXM" <Leon.Gommans=>klm.com>

 R
P
28

Security Virtual Infrastructure; Study possible security issues with a virtual infrastructure

BELNET uses a virtual infrastructure based on VMware. The virtual infrastructure runs hosts that are "internal" and "public". The infrastructure uses a SAN to store the virtual machines. The virtual machines are a mix of Linux and Windows hosts. A virtual infrastructure that serves hosts in different logical network segments poses a security and maintenance challenge. The goal of this project is to write a report that contains recommendations for the setup of such an infrastructure.

The report should contain recommendations on these topics :
  1. Firewalling of the host OS and remote management BELNET needs recommendations on the preferred setup for the firewalling of the host OS and the preferred ways for safe remote management.
  2. Recommendations for safe access to the central storage and recommendations on the backup and integrity check procedures.
  3. BELNET wants to create one or more 'virtual' DMZs for public hosts and one or more 'virtual LAN's for the internal hosts. The report should contain recommendations for the different scenarios (separate -non interconnected- Host OSes, shared Host OSes) on how to achieve this. Questions that needs to answered involve but are not limited to configuration of the roles for administrator accounts, network connections, shared resources (memory, disk) and virtual switches.
  4. Recommendations on how to monitor and audit the security state of the virtual infrastructure.
BELNET does not expect that the writer of the report needs actual access to the virtual infrastructure. BELNET will provide the necessary information (like the current setup, current list of virtual machines, future use) and BELNET will provide necessary resources (like a server running VMware server and network access) to do some testing.		 Lionel Ferette <lionel.ferette=>belnet.be>
Jean-Christophe Real <jean-christophe.real=>belnet.be>

33

Malicious website detection

The HoneySpider Network Project is a joint venture between NASK/CERT Polska, GOVCERT.NL and SURFnet. HoneySpider Network is a client honeypot (or honeyclient) system, based on existing state-of- the-art client honeypot solutions and a novel crawler application specially tailored for the bulk processing of URLs feeding them to the honeyclient. The system focuses primarily on attacks against or via webbrowsers.

The current version of Honeyspider Network exists out of two analysis systems:
  • the LIM (Low interaction manager) --> Mainly a crawler with some smart algorithm that classifies javascript
  • the HIM (High interaction manager) (a virtual machine that visits the urls. Any state changes in the system will be reported)
In order to cope with future threats new sophisticated detection techniques should be added to the current analysis systems.

This project aims at:
  • find and/or develop new malicious website detection techniques
 Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
 R
P
35
  • Cybercriminals doen hun best om zo veel mogelijk individueele PC's te besmetten met generieke trojans.
  • PC;'s die op die manier besmet zijn, staan volledig onder controle van de aanvaller.
  • De aanvaller kan die PC's gebruiken voor DOS aanvallen, maar, wat steeds vaker gebeurt, voor gerichte aanvallen gericht tegen banken, door per geval bank-specifieke malware richting geinfecteerde client te downloaden.
Het succes van een aanvaller valt of staat met het succesvol (lees: in ruime mate) distribueren van de trojan.

Die besmetting van PC's gebeurt bijvoorbeeld via e-mails, met infected attachments die expoitcode bevatten voor op de client geinstalleerde applicaties die mogelijk kwetsbaar zijn. Denk aan pdf-files, word-files, excel en powerpoint. Mensen die Adobe en/of Office niet up-to-date hebben en zo'n attachement openen, zijn aan de beurt.

Andere bekende techniek is die van de drive-by download. De gebruiker komt - al dan niet na gelokt te zijn - op een malafide website waar de (browser-) exploitcode richting browser wordt uitgeserveerd.

In beide bovenstaande gevallen dient de aanvaller de gebruiker zover te krijgen dat die iets doet. Een mailtje met (besmet) attachment openen of met de browser naar een specifieke (besmette) website te gaan.

Steeds meer gebruikers zijn niet meer zo dom om onvertrouwde attachments te openen of naar vreemde websites te gaan. Distributie van mailware wordt daardoor moeilijker. De research-opdracht is daarom gericht op onderzoek naar dreigingen voor malware-distributie waarvoor GEEN gebruiker interactie is vereist.

Concreet denk ik aan het volgende scenario:
  1. stel: een aanvaller heeft toegang tot een schakel in de keten tussen beoogd slachtoffer en (een deel van het) internet. Denk aan een proxy bij een ISP.
  2. stel: het slachtoffer doet een willekeurige HTTP-request (willekeurig vanuit perspectief van de aanvaller).
  3. stel: deze request komt langs het punt waar de aanvaller op de lijn kan meeluisteren.
  4. Vliegenslug genereert de aanvaller een syntactisch valide reply op de langskomende request - hij voorziet die reply van (een link naar de) malware - en zet deze reply op de lijn richting slachtoffer.
Het idee is dat de browser, nog voordat de geadresseerde server reageert op het vanuit de browser verzonden request, de door de aanvaller gemanipuleerde reply binnenkrijgt en uitvoert. De research-opdracht zou zijn om te valideren of en onder welke randvoorwaarden bovenstaand scenario zou kunnen werken, en dienaangaande een demonstrator te bouwen.
 Christiaan J. Roselaar <c.roselaar=>itsec.nl>

 R
P
37

CineGrid Enlighten Your Research.

The EYR - Enlighten Your Research - projects provides dynamic network lightpaths in the SURFnet6 infrastructure to four institutions in Amsterdam: UvA, SARA, De Waag and Dutch Film Academy.
See: http://www.surfnet.nl/en/Thema/eyr/Pages/default.aspx
The changes in topology and connectivity allow the involved parties to exchange, store and display high-quality digital media.

In this research you will look at the coupling of sender/receiving nodes in each location to the lightpaths. This coupling requires also the internal infrastructure at the four location  to be dynamic. You will identify the best network architecture and the tools that map incoming requests to the necessary changes in the local network topology, and will provide implementation recommendation to the EYR partners.
 Paola Grosso <p.grosso=>uva.nl>
Ralph Koning <ralph=>science.uva.nl>