Use Cases

Forschung und Betrieb eng verknüpft

...

Use Case 1: Firewall as a Service

Firewalls oder sonstige Netzfilter erfreuen sich auch bei kleineren Einrichtungen einer großen Beliebtheit. Diese sind jedoch oft nicht günstig und darüber hinaus können oft gerade hier die notwendigen Personalmittel für die Wartung und Pflege nicht oder nicht dauerhaft aufgebracht werden, was zu einer Verwaisung der Sicherheitsinfrastruktur der Einrichtung führen kann und so unter Umständen die Sicherheit sogar noch schwächt. Ein Lösungsansatz könnte hier sein, dass mit Hilfe von commercial off-the-shelf Router der ein- und ausgehende Datenverkehr der Einrichtung durch Tunnel an eine zentrale Netzinfrastruktur umgeleitet werden kann und dort der eigentliche Prozess des Filterns und der Angriffsabwehr statt findet.

...

Service Function Chain Cloud

Die Grafik verdeutlicht die Architektur des Use Case. Die gelb eingefärbten Datenpfade sind die hinzugekommenen Tunnelverbindungen zur Service-Function-Chain Cloud über welche der ein- und ausgehende Datenverkehr umgeleitet wird.

Self Service Portal

Die Verantwortlichen der Einrichtung sollen in die Lage versetzt werden in einem Self-Service Portal die gewünschten Service-Functions zu konfigurieren und zu verketten, ohne dafür entsprechende IT-Kenntnisse zu benötigen.

...

In der Abbildung ist ein solches Self-Service Portal exemplarisch dargestellt. Es wurden darin drei Klassen definiert (VoIP, Gäste und Mitarbeiter), deren Datenverkehr durch jeweils unterschiedliche Service Functions geführt wird. Während Mitarbeiter beispielsweise nur eine einfache Firewall Service Function in ihrer Chain haben, welche über einfache Stufen wie Bronze, Silber und Gold konfiguriert werden können, ist für Gäste zusätzlich ein Jugendschutzfilter enthalten. Dieser soll durch einfaches Klicken und Hinzufügen an der gewünschten Stelle aktiviert werden können, so dass nur noch ein notwendiges Alter angegeben werden muss. Der VoIP-Verkehr wird hingegen nicht durch die Firewall geleitet, um unnötige Latenzen zu vermeiden. Das Self-Service Portal soll in der Lage sein grobe Konfigurationsfehler bereits im Vorfeld zu erkennen, sodass die Einrichtung nicht „versehentlich“ offline genommen wird wie dies bei zu restriktiven Firewall-Regeln passieren kann.

Auf Netzseite werden automatisch die notwendigen Ressourcen alloziert und Service Functions deployed, ohne dass der Nutzer sich darum kümmern muss. Diese notwendige Rechenkapazität kann beispielsweise in einer Campus-nahen Cloud zur Verfügung gestellt werden, ebenso kann auf zentrale Service Functions von BelWü oder Partnereinrichtungen zurückgegriffen werden. Dieser Use Case erlaubt außerdem die Techniken des Service Function Chaining unter Realbedingungen zu untersuchen. In ähnlicher Weise lassen sich auch Szenarien untersuchen bei denen Server nur von bestimmten Nutzern oder aus bestimmten Netzen nutzbar sein sollen insbesondere in Kombination mit Use Case 4 bzgl. erhöhter Servicesicherheit in Campus-Netzen.

...

Use Case 2: Drahtloser Zugriff über WIFI und 5G

Insgesamt ist davon auszugehen, dass die drahtlosen Endgeräte über mehrere parallel nutzbare Funktechnologien verfügen, z.B. WiFi und 5G. In diesem Use Case sollen solche Verbindungen parallel betrieben und für verschiedene Lernszenarien nutzbar gemacht werden.

Die Digitalisierung der Lehre erfordert verstärkt den Zugriff auf lernorientierte Dienste und Inhalte, z.B. für die Online-Recherche, für den Zugriff auf elektronische Materialien und multimediale Inhalte, zukünftig vielleicht auch für Visualisierungen mit erweiterter Realität (Augmented Reality, AR) oder virtueller Realität (Virtual Reality, VR). Heutige Campus-Netze müssen entsprechende Dienste und Inhalte von Quellen innerhalb und außerhalb des Campus-Netz bzw. des BelWü zugänglich machen. Drahtlose Zugangsnetze unterstützen dabei durch überall verfügbare Konnektivität. Sie werden basierend auf IEEE 802.11 („WiFi“) bereitgestellt, verstärkt werden aber auch (5G-) Mobilfunknetze über private Mobilfunkverträge genutzt. Zukünftig erfolgt vielleicht sogar der komplette Betrieb des drahtlosen Zugangsnetzes auf dem Campus durch einen 5G-Mobilfunkbetreiber, bei dem dann die Universität Kunde ist.

...

Use Case 3: Transfer großer Forschungsdatensätze

Eine der besonderen Aufgaben des BelWü und der Campus-Netze ist der Transfer großer Forschungsdatensätze. Solche Transfervolumen einzelner Nutzer finden sich in der Regel nicht in den sonst üblichen Verkehrsmustern, wie sie beispielsweise auch in kommerziellen Netzen vorkommen. Darüber hinaus kann hierdurch auch der übliche Verkehr beeinträchtigt werden.

Übersteigt die theoretisch mögliche Datenrate des Senders die Kapazität des Netzes, muss die Senderate reguliert werden. Das üblicherweise für solche Transfers verwendete TCP-Protokoll enthält zu diesem Zweck eine Staukontrolle, welche das Netz vor Überlastung schützen kann. Hierbei kann es dennoch zur Beeinträchtigung des sonstigen Datenverkehrs kommen. Insbesondere für Zugriffe auf moderne webbasierte Dienste, Videokonferenzen und andere verzögerungssensitiven Anwendungen kann sich die Servicequalität deutlich verschlechtern. Heutige Lösungsansätze verschieben diese Transfers oft in die Nacht oder setzen manuell Ratenlimitierungen. Hierfür ist eine manuelle Intervention durch die Netzadministration nötig und die Lösungen sind oft nicht optimal. Beispielsweise können Videokonferenzen mit Gesprächspartnern in Übersee auch nachts stattfinden.

...

Use Case 4: Erhöhte Servicesicherheit in Campus-Netzen

Eine Besonderheit von Forschungsnetzen ist deren Heterogenität und offene Struktur, bei der hunderte Mitarbeiter, Studierende, aber auch Angreifer auf das öffentliche Forschungsnetz und Dienste zugreifen können. Perimetersicherheit kann nicht mehr ausreichend Schutz bieten, da nur Angreifer von außen effektiv abgewehrt werden.

Durch die Nutzung mobiler Geräte und VPNs wird zudem der Perimeter umgangen da die Geräte sich mal im abgesicherten Netz befinden und mal nicht. Sichere Geräte (sogenannte \emph{Managed Devices}) können nicht flächendeckend eingesetzt werden, da insbesondere Studierende, aber auch Mitarbeiter, eine Vielzahl von ständig wechselnden Geräten selbst mitbringen. Ein potentieller Angreifer kann also oft ungehindert mit jedem beliebigen Gerät auf das Netz zugreifen und mit gestohlenen Nutzerdaten (gewonnen durch beispielsweise Phishingattacken) auch auf sensible Daten wie etwa Prüfungsnoten zugreifen. Bisherige Sicherheitskonzepte versuchen, wie oben beschrieben, vor allem durch Perimetersicherheit und simple, accountbasierte Zugriffskontrolle vor unauthorisierten Zugriffen zu schützen. Da die erwähnten Dienste von überall zugreifbar sein sollen, sind diese Maßnahmen nicht ausreichend.