(Nur) der Name bleibt - DFN-Verein
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Deutsches Forschungsnetz | DFN Mitteilungen Ausgabe 89 | Mai 2016
www.dfn.de
Mitteilungen
(Nur) der Name bleibt
X-WiN: Eine neue Technikgeneration zieht ein
Copernicus – observing the earth
Der Weg der Daten über das
Deutsche Forschungsnetz
GÉANT Testbeds Service
Was kann der neue Service?
Impressum Herausgeber: Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, 10178 Berlin Tel.: 030 - 88 42 99 - 0 Fax: 030 - 88 42 99 - 370 Mail: dfn-verein@dfn.de Web: www.dfn.de ISSN 0177-6894 Redaktion: Nina Bark Gestaltung: Labor3 | www.labor3.com Druck: Schöne Drucksachen, Berlin © DFN-Verein 05/2016 Fotonachweis: Titelfoto © Stephan Zabel / iStockphoto.de Seite 6/7 © Angelika Schwarz / iStockphoto.de Seite 42/43 © franky2010 / fotolia.de
DFN Mitteilungen Ausgabe 89 | 3
Prof. Dr. Gerhard Peter
Altrektor der Hochschule Heilbronn,
ehem. Leiter der DFN-Nutzergruppe
Hochschulverwaltung
Eine der ältesten Einrichtungen im DFN kommt in die Jahre und ist doch mit 25 Jahren jung geblieben.
Als langjähriger, ehemaliger Sprecher der DFN-Nutzergruppe Hochschulverwaltung möchte ich
die Gelegenheit nutzen, allen jenen zu danken, die in den vergangenen Jahren zum Gelingen der
Tagungen und zu der laufenden Arbeit der Nutzergruppe beigetragen haben. Dies auf freiwilliger
Basis so lange erfolgreich zu machen ist außergewöhnlich.
Das Bewusstsein, dass die Möglichkeiten des Netzes nicht nur Forschung und Lehre in den ver-
schiedenen Wissenschaftsdisziplinen verändert hat und auch weiterhin beeinflussen wird, son-
dern vor allem auch tief in die Struktur der Institution Hochschule und deren Management ein-
greift, ist der Grund dafür, dass die Nutzergruppe Hochschulverwaltung ungebrochen erfolgreich
gearbeitet hat und weiterhin arbeiten wird.
Die Initiatoren von einst sind jetzt alle im Ruhestand und es kann festgestellt werden, dass der
Generationswechsel gelungen ist.
Der Nutzergruppe ist außerdem etwas Erstaunliches gelungen. Trotz intensiver, langjähriger Ar-
beit ist die Gruppe zusammengewachsen und die Mitglieder sind sich freundschaftlich verbun-
den. Obwohl intensiv gearbeitet wird, macht die Arbeit in der Gruppe einfach Spaß und ist viel-
leicht damit der Grund, weshalb sie so erfolgreich ist.
Das 25-jährige Jubiläum werden wir an der Fachhochschule der Sächsischen Verwaltung Meißen am
7. Oktober feiern.
4 | DFN Mitteilungen Ausgabe 89 | Mai 2016
1 2 3 4 5
6 7 8 9 10
11 12 13 14 15
16 17 18 16
19 17
20
Unsere Autoren dieser Ausgabe im Überblick
1 Felix von Eye, Leibniz-Rechenzentrum-LRZ (felix.voneye@lrz.de); 2 Michael Grabatin,
Universität der Bundeswehr München (michael.grabatin@unibw.de); 3 Prof. Dr. Wolfgang Hommel,
Universität der Bundeswehr München (wolfgang.hommel@unibw.de); 4 Michael Röder, DFN-Verein
(roeder@dfn.de); 5 Dr. Stefan Piger, DFN-Verein (piger@dfn.de); 6 Dr. Leonie Schäfer, DFN-Verein
(schaefer@dfn.de); 7 Dr. Jakob Tendel, DFN-Verein (tendel@dfn.de); 8 Dr.-Ing. Susanne Naegele-Jackson,
Regionales Rechenzentrum Erlangen RRZE (susanne.naegele-jackson@fau.de); 9 Dr. Peter Kaufmann,
DFN-Verein (kaufmann@dfn.de); 10 Bernhard Schmidt, Leibniz-Rechenzentrum-LRZ
(bernhard.schmidt@lrz.de); 11 Daniel Feuchtinger, Leibniz-Rechenzentrum-LRZ
(daniel.feuchtinger@lrz.de); 12 Prof. Dr. Helmut Reiser, Leibniz-Rechenzentrum-LRZ
(helmut.reiser@lrz.de); 13 Prof. Dr. Gerhard Peter, HS-Heilbronn (gerhard.peter@hs-heilbronn.de);
14 Prof. Dr. Andreas Hanemann, Fachhochschule Lübeck (hanemann.andreas@fh-luebeck.de);
15 Sergej Schumilo, OpenSource Security (sergej@os-t.de); 16 Ralf Spenneberg, OpenSource Security
(ralf@os-t.de); 17 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 18 Clara Ochsenfeld, Forschungsstelle
Recht im DFN (recht@dfn.de); 19 Florian Klein, Forschungsstelle Recht im DFN (recht@dfn.de)
DFN Mitteilungen Ausgabe 89 | 5
Inhalt
Wissenschaftsnetz Campus
Netzbasierte Erkennung von mittels Port Knocking Sieben Jahre DNSSEC in der Praxis – ein
versteckten Diensten und Backdoors Erfahrungsbericht
von Felix von Eye, Michael Grabatin, von Bernhard Schmidt, Daniel Feuchtinger,
Wolfgang Hommel .......................................................................... 8 Wolfgang Hommel, Helmut Reiser ......................................... 30
Plakette drauf, der Nächste bitte – Infrastruktur auf 25. Jahre DFN-Nutzergruppe Hochschulverwaltung
dem Prüfstand von Gerhard Peter ......................................................................... 34
von Michael Röder ........................................................................ 11
Frage & Antwort zum Thema PKI und Zertifikate
(Nur) der Name bleibt von Andreas Hanemann .............................................................. 38
von Stefan Piger ............................................................................. 14
Kurzmeldungen .............................................................................. 19 Sicherheit
Der CAOS Stick – Crash Any OS
International von Sergej Schumilo, Hendrik Schwartke,
Ralf Spenneberg ............................................................................. 44
Brückenschlag zwischen den Ländern der
Eastern Partnership (EaP) und der europäischen Sicherheit aktuell
Forschungsgemeinschaft von Ralf Gröper ............................................................................... 50
von Leonie Schäfer ........................................................................ 20
Europas Blick auf die Erde Recht
von Jakob Tendel............................................................................. 21
Second Hand Software im Paket
Der neue GÉANT Testbeds Service von Clara Ochsenfeld ................................................................... 52
von Susanne Naegele-Jackson, Dr. Peter Kaufmann......... 24
Was lange währt … muss nicht immer gut sein
Kurzmeldungen ............................................................................. 29 von Florian Klein ............................................................................ 55
DFN-Verein
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins .................................................... 62
6 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 7 Wissenschaftsnetz Netzbasierte Erkennung von mittels Port Knocking versteckten Diensten und Backdoors von Felix von Eye, Michael Grabatin, Wolfgang Hommel Plakette drauf, der Nächste bitte – Infrastruktur auf dem Prüfstand von Michael Röder (Nur) der Name bleibt von Stefan Piger Kurzmeldungen
8 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ
DFN „X-WiNner-Award“ – der Gewinnerbeitrag des Jahres 2015
Netzbasierte Erkennung
von mittels Port Knocking
versteckten Diensten und
Backdoors
Sollen Serverdienste nicht weltweit und trotzdem für jeden erreichbar angeboten
werden, gibt es neben dem klassischen Firewall-Ansatz auch eine weitere Technik: Port
Knocking. Bei dieser Technik wird ein Server-Port erst dann für eine Nutzung geöffnet,
wenn eine vorab festgelegte Folge von speziellen Paketen an den Server geschickt wurde.
Text: Felix von Eye, Michael Grabatin und PD Dr. Wolfgang Hommel (Leibniz-Rechenzentrum)
Client
SYN
SYN Typ 8 SYN ACK
RST Code 16 RST PSH
FIN
TCP: 80 UDP: 53 ICMP TCP: 443 TCP: 5002
Server
Zeitlicher Ablauf der Port-Knocking-Sequenz
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 9
Neben der legitimen Nutzung dieser Tech- Im Folgenden soll nun ein neuer Ansatz be- tem um ein Server- oder um ein Clientsys-
nik bietet diese für einen Angreifer eine in- schrieben werden, mit dessen Hilfe man tem handelt, indem typische Serverdiens-
teressante Methode, um seine Präsenz auf Backdoors und versteckte Dienste erken- te ermittelt werden. Dies ermöglicht un-
einem erfolgreich kompromittierten System nen kann. Unter günstigen Voraussetzun- ter anderem, die evilshell-Backdoor [3] zu
zu verschleiern. Zumeist versucht ein Angrei- gen ist es zudem möglich, die verwendete erkennen, da es für ein Serversystem übli-
fer ein Zielsystem unter seine Kontrolle zu Port-Knocking-Sequenz zu erkennen. cherweise hinreichend unwahrscheinlich
bringen, wobei er seine Aktivitäten durch ist, eine Kommunikation nach außen an-
die Nutzung von Rootkits vor den Augen Neuer Ansatz zustoßen, wenn es sich nicht um Update-,
von lokalen Sicherheitssystemen und Ad- Zeit-, DNS-Server oder ähnliches handelt.
ministratoren verschleiern kann. Zum Erkennen versteckter Dienste sind Diese Sonderfälle sind leicht beherrschbar,
im Wesentlichen drei Komponenten nö- indem man die Ziel-IP-Adressen legitim kon-
Ähnlich wie Rootkits funktioniert auch ein tig. Neben einer Komponente zur Aufzeich- taktierter Server in einer Ausnahmeliste be-
Port-Knocking-geschützter Serverport. Da nung von Flow Records, die üblicherweise handelt. Insbesondere ist damit auch die
aktive Scans die Port-Knocking-Sequenz durchgehend laufen sollte, und einer Kom- Server-Server-Kommunikation vieler Diens-
nicht kennen, werden sie den Port nicht ponente zur Auswertung aller Daten exis- te (z. B. SMTP oder HTTP-Proxy) innerhalb
als geöffnet bzw. genutzt markieren. Somit tiert ebenfalls eine Komponente, die regel- des eigenen Netzes einfach zu entdecken.
ist es einem Angreifer auch möglich, unbe- mäßig Portscans ausführt.
merkt von den Sicherheitsscans der Netz- Um nun potentielle Port-Knocking-Sequen-
administratoren zu kommunizieren. Dass Die hier vorgestellte Erkennung von ver- zen aufzuspüren, werden die Flow Records
dies kein theoretisches Konstrukt ist, son- steckten Diensten nutzt als Datenbasis zum an einem zentralen Punkt gesammelt und,
dern ebenfalls schon aktiv ausgenutzt wur- einen Portscans und zum anderen Flow Re- wie oben bereits erwähnt, mit den letzten
de, zeigt der Bericht [1] über die Freenode cords. Die Portscans werden im gewählten Portscanningergebnissen abgeglichen. Da-
IRC Port-Knocking-Backdoor. Ansatz für zwei verschiedene Zwecke ver- bei werden nur Verbindungen gespeichert,
wendet: Zum einen werden durch einen deren Kommunikation mit einem bisher
Portscan alle regulären Dienste identifiziert, nicht genutzten Port verläuft. Somit wer-
da sich ein Netzadministrator mit Hilfe von den alle Verbindungen mit bereits bekann-
Portscans einen Überblick über die in sei- ten Ports aussortiert.
nem Netz laufenden Dienste verschaffen
kann. Werden diese Portscans regelmäßig Nun werden die Verbindungen analysiert
Abbildung 1 zeigt als Beispiel eine
Port-Knocking-Sequenz, bei der durchgeführt und miteinander verglichen, und in kleine zeitliche Intervalle eingeteilt.
durch den Client nacheinander so können neue, potentiell nicht erwünschte Innerhalb dieser Intervalle wird untersucht,
verschiedene spezielle Pakete Dienste aufgespürt werden [2]. Durch eine ob Verbindungen existieren, bei denen nach
verschickt werden: Port 80 mit Filterfunktion können somit alle Flow Re- mehreren Versuchen mit unterschiedlichen
TCP, Port 53 mit UDP, ein ICMP-
cords der regulären Dienste aussortiert wer- Ports und Protokollen eine erfolgreich auf-
Paket mit speziellen Header-
den, was die Menge der zu analysierenden gebaute Verbindung registriert wurde, wo-
Informationen, Port 443 mit TCP
und schließlich ein vollständiger Flow Records signifikant reduziert. Leider bei die Richtung des erfolgreichen Verbin-
Verbindungsaufbau auf Port 5002 ist es unvermeidlich, dass Dienste, die zwi- dungsaufbaus irrelevant ist. Dabei muss be-
mit TCP. schen zwei Portscan-Durchläufen neu instal- achtet werden, dass sich bei den initialen
liert oder grundlegend umkonfiguriert wer- Verbindungsversuchen mindestens einmal
den, in dieser Zeit nicht als reguläre Diens- der Port oder das Protokoll unterscheiden
te erkannt werden. Dieses Problem sollte muss, um beispielsweise häufig in der Pra-
jedoch mit einer Change-Management-Do- xis anzutreffende mehrmalige Verbindungs-
kumentation, kurzen Zeitintervallen zwi- versuche wegen Verbindungsfehlern nicht
schen zwei Portscans oder dem möglichen als irreguläres Verhalten zu melden.
Umstand, dass neue Dienste in der ersten
Zeit zunächst nur wenig frequentiert sind, Da es bei den Malware-Beispielen bislang
in der Praxis abgefedert werden können. meist der Fall ist, dass feste Port-Knocking-
Sequenzen verwendet werden, können die
Zum anderen ist es mit Hilfe von Portscans gefundenen Sequenzen gespeichert wer-
möglich, mit einer gewissen Wahrscheinlich- den, was einem Administrator die Möglich-
keit zu ermitteln, ob es sich bei einem Sys- keit verschafft, den restlichen Netztraffic
10 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ
nach genau dieser Signatur abzusuchen,
um ggf. weitere Systeme mit den gleichen Der „X-WiNner-Award“ des DFN Vereins
versteckten Diensten zu identifizieren. Da
jedoch ein Angreifer ein solches Verhalten Das DFN-Forum Kommunikationstechnologien ist seit 2008 das neue For-
jederzeit mit wenig Aufwand ändern kann mat der ehemaligen „DFN-Arbeitstagung über Kommunikationsnetze“.
oder z. B. nur noch One-Time-Port-Knocking- Dabei versteht sich das Forum als eine wissenschaftliche Tagung, deren
Sequenzen verwendet, ist dies nur ein opti- primäre Zielgruppe (aber nicht nur!) junge vielversprechende Nachwuchs-
onales Feature und es ist unabhängig von wissenschaftler aus netznahen Themenkreisen sind. Die adressierten
dem restlichen Erkennungsverfahren. Themenkreise sind „Neue Netztechnologien und Infrastruktur“, „ITC
Management und Sicherheit“, „Infrastrukturen für eResearch“ und „IT
Fazit Zukunftsperspektiven“.
Port Knocking hat sich bewährt, um Dienste Aus den Einreichungen wählt das Programmkomitee aus erfahrenen und
wie den SSH-Zugriff auf Server weltweit über etablierten Gutachtern etwa ein Dutzend der besten Beiträge aus, die dann in
das Internet zu ermöglichen, ohne sie den der Veranstaltung von den Autoren präsentiert werden. Dort müssen sie sich
Risiken durch eine direkte Erreichbarkeit dann kritisch-freundlichen Rückfragen und Kommentaren stellen. Abgerun-
durch Angreifer auszusetzen. Das Verfah- det wird das Programm durch „Invited Speakers“, die zu topaktuellen Themen
ren funktioniert jedoch so gut, dass selbst aus der netznahen IT vortragen, und durch ein hochkarätiges Panel, welches
die Administratoren nicht mehr einfach er- in Form einer Podiumsdiskussion tagesaktuelle Themen aufgreift und aus
kennen können, welche derart versteckten verschiedensten Blickwinkeln beleuchtet.
Dienste in ihren Netzen betrieben werden.
Problematisch ist dies insbesondere dann, Um den Anreiz für hervorragende Nachwuchswissenschaftler noch zu
wenn Systeme kompromittiert wurden und erhöhen, ihre Beiträge beim DFN-Forum einzureichen, wurde der „X-WiN-
der Angreifer einerseits seine Aktivitäten ner-Award“ entwickelt. Der Preis wird für den besten Nachwuchswissen-
auf dem System durch Rootkits lokal kom- schaftlerInnen-Beitrag, dessen Hauptautor bei der Einreichung noch nicht
plett verbirgt und andererseits eine per Port promoviert ist, verliehen. Dabei ist das primäre Auswahlkriterium immer die
Knocking geschützte Backdoor einrichtet. Qualität des eingereichten Beitrags, über die das Programmkomitee schon
bei der Auswahl diskutiert. Die letztendliche Entscheidung fällt dann nach
In diesem Beitrag wurde ein Verfahren Urteil der Juroren Professorin Gabi Dreo-Rodosek und Professor Paul Müller,
vorgestellt, mit dem Flow-Record-basier- die die Qualität der Präsentation und des Vortrags hinzuziehen.
te Aufzeichnungen des Netzverkehrs auf
Anzeichen typischer Port-Knocking-Back- Der X-WiNner-Award ist neben der immateriellen Ehre und Anerkennung in
doors untersucht werden können. Durch der Fachcommunity auch mit einem Preisgeld in Höhe von 1000 EUR dotiert.
eine Korrelation mit vorhandenem Wissen Als Sponsor für diesen Preis konnte die Geschäftsstelle des DFN-Vereins die
über legitime Serverdienste im Netz, das Firma Dimension Data gewinnen.
beispielsweise mit vorgelagerten Portscans
gewonnen wurde, lässt sich der auszuwer- Die erstmalige Verleihung des X-WiNner-Award auf dem 8. DFN-Forum Kommu-
tende Flow-Record-Datenbestand auf ein nikationstechnologien in Lübeck im vergangenen Jahr wird von allen Beteilig-
beherrschbares Maß reduzieren. Tests ei- ten als voller Erfolg gewertet, so dass wir uns sehr freuen, auch in diesem Jahr
ner prototypischen Implementierung in ei- auf dem 9. DFN-Forum an der Universität Rostock diesen Nachwuchspreis wie-
ner Laborumgebung zeigen dennoch, dass der verleihen zu können. Die Einreichungen sind jedenfalls vielversprechend!
noch ein für heuristisches Security-Monito-
ring nicht unüblich hoher Anteil an False
Positives auftreten kann, die jedoch aus-
Literatur
gefiltert werden können. Die Tests zeigen [1] NCC Group. Analysis of the Linux backdoor automatisierte Portscan-Auswertung in komple-
auch, dass für die Erkennung komplexerer used in freenode IRC network compromise. xen Netzinfrastrukturen. In Christian Paulsen,
Port-Knocking-Sequenzen noch wesentlich https://www.nccgroup.trust/uk/about-us/news- Hrsg., Sicherheit in vernetzten Systemen: 20.
room-and-events/blogs/2014/october/analysis-of- DFN-Workshop, Seiten C-1–C-21, Norderstedt,
effizientere Auswertealgorithmen benötigt
the-linux-backdoor-used-in-freenode-irc-network- Deutschland, Januar 2013. Books on Demand.
werden, um nicht nur die derzeit einfach compromise/, Oktober 2014. [3] Simpp. evilshell.c – backdoor remote connect.
verfügbaren, trivial implementierten Back- [2] Felix von Eye, Stefan Metzger und Wolfgang http://packetstormsecurity.com/files/69560/
doors zuverlässig erkennen zu können. M Hommel. Dr. Portscan: Ein Werkzeug für die evilshell.c.html, September 2008.WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 11 Plakette drauf, der Nächste bitte – Infrastruktur auf dem Prüfstand Eine Vielzahl von Daten ist schützenswert. Um das potenzielle Risiko eines Fremdzugriffs auf Daten bewerten oder verringern zu können, müssen Datenschutz und Datensicherheit eng miteinander verknüpft werden. Text: Michael Röder (DFN-Verein) Foto © katrin_timoff / fotolia.de
12 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ
Datenschutz … Verarbeitung personenbezogener Daten im
Jeder Mensch darf selbst bestimmen, welche privaten Informati- Auftrag
onen er bereit ist, mit der Öffentlichkeit zu teilen: jede Einwoh- Wird ein Prozess der Datenverarbeitung ganz oder teilweise aus-
nerin und jeder Einwohner der Bundesrepublik Deutschland be- gelagert, kann eine Verarbeitung personenbezogener Daten im
sitzt das Recht auf informationelle Selbstbestimmung. Wenn die Auftrag vorliegen. Personenbezogene Daten sind Daten, die un-
Verwendung privater Daten zur Erfüllung einer Aufgabe oder ei- mittelbar oder mit geringem Aufwand auf eine bestimmte oder
nes Dienstes dennoch erforderlich ist, muss der Dienstanbieter bestimmbare natürliche Person schließen lassen. Dazu zählen
dafür sorgen, diese Daten vor Verfälschung und Missbrauch zu unter anderem E-Mail-Adressen, Telefon- / Telefax-Nummern, An-
beschützen. Die effektivste Methode, um Daten zu schützen ist schrift, etc.
die Datensparsamkeit:
Wenn personenbezogene Daten im Auftrag verarbeitet werden,
„Erhebe, verarbeite und nutze so wenige Daten wie bleibt die auftraggebende Einrichtung verantwortliche Stelle im
möglich und nicht mehr als unbedingt nötig“ datenschutzrechtlichen Sinne. In diesem Fall wird eine schriftli-
che Vereinbarung über die Gestaltung des Datenverarbeitungs-
prozesses abgeschlossen: die sogenannte Vereinbarung zur Ver-
… und Datensicherheit arbeitung personenbezogener Daten im Auftrag oder auch Auf-
tragsdatenverarbeitung (ADV).
Das Datenschutzrecht verpflichtet die jeweils verantwortliche
Stelle zum Ergreifen konkreter technischer und organisatori- Wesentlicher Bestandteil der ADV ist die Verankerung einer Kon-
scher Maßnahmen (TOMs), um die Vorgaben der Datenschutz- trollpflicht. Die verantwortliche Stelle darf und muss die ver-
gesetze zu gewährleisten. arbeitende Stelle in regelmäßigen Abständen auf die korrekte
Durchführung der TOMs kontrollieren.
Die Daten- bzw. IT-Sicherheit hält vom Vier-Augen-Prinzip über
Schließsysteme und Videokameras bis zur Firewall am Übergang
zwischen zwei Netzbereichen eine große Vielfalt an Werkzeugen Zertifizierung des Dienstanbieters als Unter-
bereit, um sensible Daten, wie beispielsweise personenbezoge-
ne Daten, abzusichern. Datensicherheit stellt aber auch Ansprü- stützung der Kontrollpflicht
che an die Verfügbarkeit der Daten. Redundanzen können dabei Der DFN-Verein unterstützt die Anwender seines Dienstes DFN-
sowohl im Falle einer Unterbrechung der Stromversorgung als MailSupport bei ihrer Pflicht, den Dienst und die dafür benötig-
auch beim Vorbeugen vor dem Verlust von Inhalten hilfreich sein. te Infrastruktur zu überprüfen.
Um Einrichtungen, die am Dienst DFN-MailSupport teilnehmen,
den Aufwand zu erleichtern, selbst die gesamte Infrastruktur zu
überprüfen, lässt der DFN-Verein die Bestandteile dieses Diens-
tes durch einen unabhängigen BSI-zertifizierten Auditor bewer-
ten. Das Votum des Auditors wird in einem Auditbericht fest-
gehalten und kann von der teilnehmenden Einrichtung für die
Erfüllung der eigenen Kontrollpflicht in Betracht gezogen
werden. MWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 13
DFN-MailSupport hat Auditierung der Aufbau- unvermeidbar, auch erwünschte E-Mails mit anstandslosem Inhalt
zu scannen. Deshalb werden in einem solchen Szenario immer
stufe nach ISO 27001 auf Basis von
auch personenbezogene Daten verarbeitet. Um die ordnungsge-
IT-Grundschutz erfolgreich absolviert mäße Verarbeitung personenbezogener Daten zu dokumentieren,
hat sich der DFN-Verein für die regelmäßige Durchführung eines
DFN-MailSupport hat zum Oktober 2015 im Anschluss an das Audit Datenschutzaudits entschlossen.
der Aufbaustufe nach ISO 27001 auf Basis von IT-Grundschutz ein
positives Votum erhalten. Im März 2016 fand das Datenschutzaudit Datenschutz stellt hohe Anforderungen an die
statt. IT-Sicherheit.
DFN-MailSupport ist eine E-Mail-Filterstruktur mit der Aufgabe, das Aus diesem Grund wird bei der Auditierung von DFN-MailSupport
Aufkommen schädlicher Inhalte im Wissenschaftsnetz zu reduzie- dem Datenschutzaudit ein Audit nach ISO 27001 auf der Basis von
ren. Dabei wird versucht, den Schadgehalt eingehender E-Mails IT-Grundschutz vorgelagert. Das Bundesministerium für Sicherheit
automatisch anhand diverser Kriterien zu bewerten. Wird das Er- in der Informationstechnik (BSI) definiert durch die Einstiegsstufe
gebnis vom Endnutzer anders interpretiert, kann er das Verhalten und die Aufbaustufe zwei Vorstufen bevor das eigentliche Zertifi-
des Filters durch Trainingsprozesse konditionieren. Denn mancher kat nach ISO 27001 auf der Basis von IT-Grundschutz erteilt wird.
Newsletter ist im einen Büro unerwünschter Spam, während er
für das Büro nebenan unverzichtbare Neuigkeiten enthält. Unter Jede einzelne Stufe muss innerhalb eines Zeitraumes von 24 Mona-
anderem deshalb stellt DFN-MailSupport besondere Ansprüche ten durch die nächsthöhere Stufe abgelöst werden. Im Anschluss
an die Konfigurierbarkeit einzelner Filterparameter. Zu diesem an jede erfolgreich absolvierte Vorstufe wird erneut ein Daten-
Zweck steht den Anwendern online eine Plattform zur Verfügung, schutzaudit durchgeführt.
über welche der Dienst gezielt auf die Anforderungen der teilneh-
menden Einrichtung angepasst werden kann.
Um über Erfolg oder Misserfolg bei der Einlieferung einer Mail Die Rollen der beteiligten Parteien
zu entscheiden, werden diverse Filtermethoden eingesetzt, wie
beispielsweise:
Beim Dienst DFN-MailSupport werden zwei Rollen
• Real-time-Blacklisten: RBL geben Aufschluss darüber, ob der definiert:
Absender in der Vergangenheit durch den Versand unerwünsch-
ter Inhalte bereits negativ aufgefallen ist. • Anbieter und
• Adressverifikation: Die Prüfung der Zieladresse gegen alle ver- • Anwender
fügbaren Postfächer und Aliase eines Teilnehmers verrät, ob
das Empfängerpostfach tatsächlich existiert. Häufig werden Der DFN-Verein betreibt als Anbieter die Infrastruktur
Zieladressen von Spammern automatisch generiert. Die Spam- und gestaltet den Dienst. Eine Einrichtung aus Wis-
Mail wird dann nur eingeliefert, wenn zufällig ein Postfach senschaft und Forschung, die vom Aufwand des DFN-
mit dieser Adresse vorhanden ist. Vereins profitieren möchte, kann Anwender werden.
• PreGreet-Check: Das Transportprotokoll, das zum Mailversand Bei einer Vereinbarung zur Verarbeitung personenbe-
genutzt wird, definiert eigene Sicherheitsmechanismen. Da- zogener Daten im Auftrag (ADV) gibt es dieselben Rol-
rüber kann ein Mailserver herausfinden, ob er eine Mail von len. Diese tauschen allerdings die Plätze:
einem seriösen Einlieferer erhält, oder ob der versendende
Server gegen technische Standards verstößt. Beim PreGreet- • Auftraggeber der ADV: ist die am Dienst DFN-Mail-
Check verzögert der Server nach Annahme der TCP-Verbindung Support teilnehmende Einrichtung
seine eigene SMTP-Greeting-Message. Wartet die Gegenstelle • Auftragnehmer der ADV: ist der DFN-Verein
diese Verzögerung nicht ab, verstößt sie gegen die Spezifika-
tion des SMT-Protokolls und wird abgelehnt. Denn wenn eine Einrichtung den Dienst DFN-MailSup-
port nutzen möchte, erteilt sie dem DFN-Verein den Auf-
Ob eine Mail unerwünscht sein könnte oder einen Virus mit sich trag, personenbezogene Daten für ihre Bedürfnisse zu
führt, lässt sich allerdings nur herausfinden, indem der gesamte verarbeiten. Sie bleibt weiterhin verantwortlich für die
Inhalt der Nachricht auf Spameigenschaften bzw. auf die Signa- verarbeiteten Daten.
turen bekannter Schadsoftware hin untersucht wird. Dabei ist es14 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ (Nur) der Name bleibt Die Erneuerung des Wissenschaftsnetzes erfolgte seit Gründung des DFN- Vereins periodisch mit steigenden Anforderungen durch die Teilnehmer und der Verfügbarkeit leistungsfähigerer Netztechnik. Auch aktuell befindet sich das Wissenschaftsnetz wieder in einer Phase der Erneuerung. Text: Stefan Piger (DFN-Verein) Foto © jarts/ photocase.com
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 15
Einleitung nik konnten seit 2012 auch eine Anzahl von die realisierbare Bandbreite ist ein lokaler
neuen Kernnetzknoten realisiert werden. Anschluss an einen Kernnetzknoten. Die-
In den früheren Implementierungen des Ausgehend von den 56 Bestandsknoten se Variante können jedoch nur Einrichtun-
Wissenschaftsnetzes (B-WiN, G-WiN) wur- wurden bis heute neun weitere Knoten gen nutzen, auf deren Campus der Kern-
de die neue Infrastruktur parallel zur be- aufgebaut und größtenteils bereits in Be- netzknoten errichtet wurde bzw. die über
stehenden komplett neu aufgebaut. Bei trieb genommen. Mit dem Aufbau dieser das lokale Netz der gastgebenden Einrich-
Betriebsbereitschaft wurde der Wirkver- zusätzlichen Kernnetzknoten verfolgt der tung erreichbar sind.
kehr auf die neue Netzgeneration über- DFN-Verein zwei Ziele: Zum einen dienen
führt und der Vorgänger abgeschaltet. Zu- sie der Erhöhung der Verfügbarkeit von Für die meisten Teilnehmer müssen andere
letzt wurde dieses Vorgehen 2006 mit dem hochbandbreitigen DFNInternet-Diens- Wege der Anbindung gefunden werden. In
Übergang auf das X-WiN gewählt. ten, zum anderen lassen sich durch die der Regel wird hier auf Verbindungen kom-
Verkürzung der Wege Kosteneinsparun- merzieller Carrier zurückgegriffen, welche
Ein Generationswechsel der gesamten gen im Bereich der Teilnehmeranbindun- am Markt beschafft werden. Zum Einsatz
Netztechnik in einem Schritt ist heute gen erreichen. kommen in geringerer Anzahl Dark-Fibre-
durch den deutlich komplexeren Aufbau Verbindungen; die Mehrzahl sind auf SDH-
des X-WiN gegenüber seinen Vorgängern Die zweite große Migration fand noch wäh- bzw. zunehmend auf Carrier-Ethernet-ba-
nicht mehr möglich. Durch die unterschied- rend der Umstellung der DWDM-Technik sierende Ethernet-Verbindungen mit Band-
lichen Innovationszyklen der eingesetz- statt und betraf den SuperCore der IP-Platt- breiten zwischen 100 Mbit/s und 10 Gbit/s.
ten Systeme und die sauber definierten form. Die vier Router dieser Plattform, die Derzeit sind für den DFNInternet-Dienst
Schnittstellen zwischen den Plattformen die Übergänge zwischen den Ketten der X- über 700 dieser Verbindungen in Betrieb.
ist er aber auch nicht notwendig. Somit WiN-Router sowie zu den Peerings realisie-
können die erforderlichen Arbeiten über ren, wurden noch in 2012 ausgetauscht. Ziel Um für die Teilnehmer einen kosteneffi-
einen längeren Zeitraum verteilt werden war es, die mit der neuen DWDM-Technik zienten Dienst mit regelmäßigen Anpas-
und weitgehend ohne kostenintensiven ermöglichten zusätzlichen Kapazitäten, sungen der Bandbreiten in den Kategori-
Parallelaufbau erfolgen. insbesondere weitere 10-Gigabit-Ethernet- en des DFNInternet-Dienstes realisieren zu
Verbindungen terminieren zu können und können, werden die Teilnehmeranbindun-
Was bisher geschah: Ein Rück- den SuperCore auf die kommende 100-Giga- gen periodisch neu ausgeschrieben und
blick auf die Jahre 2012-2014 bit-Ethernet-Technik vorzubereiten. Nach damit europaweit in den Wettbewerb ge-
erfolgter Migration auf die neuen Syste- stellt. 2014 wurde eine Ausschreibung die-
Als erste zu erneuernde Plattform wurde me wurde 2013 die 100-Gigabit-Ethernet ser Art von der DFN-Geschäftsstelle vorbe-
in 2012 die Optische Plattform und damit Technologie erstmals auf den Verbindun- reitet und dann im Laufe des Jahres 2015
die im X-WiN eingesetzte DWDM-Technik gen des SuperCore eingesetzt. durchgeführt (siehe dazu die Kurzmittei-
ausgewählt, da hier großes Einsparpoten- lung auf Seite 19).
tial durch den Wechsel des Betreibermo- Weitere Arbeiten in 2013 und 2014 betra-
dells erwartet wurde und der Innovati- fen die Infrastruktur des Kernnetzes. Hier Die neuen Anbindungen werden voraus-
onszyklus in diesem Bereich am weites- wurde insbesondere die Stromversorgung sichtlich im Laufe des zweiten Quartals
ten fortgeschritten war. Angestrebt und der X-WiN-Technik mit dem Aufbau weite- 2016 beauftragt, nachfolgend realisiert
nachfolgend auch umgesetzt wurde der rer USV-Anlagen auf sichere Beine gestellt. und in Betrieb genommen.
Übergang von einem statischen DWDM- Insgesamt wurde die Zahl der im Betrieb
System mit festen Pfadverläufen von WDM- befindlichen USV-Anlagen mit heute 39 bei Verstärkung des Kerns: Die
Verbindungen durch das Kernnetz zu ei- 65 Kernnetzknoten mehr als verdoppelt Erweiterung des SuperCore
nem vollständig flexiblen System mit frei und damit die Stabilität des Netzbetriebs
wählbaren und aus der Ferne beinflussba- entscheidend verbessert. Das X-WiN erlebt seit Anfang 2015 eine
ren Verbindungen. Außerdem konnten mit deutliche Steigerung des transferierten Da-
der neuen DWDM-Technik 2013 erstmals Abseits des Zentrums: Die Er- tenvolumens. Flachten die Steigerungsra-
Verbindungen mit 100 Gbit/s im X-WiN ge- neuerung des Zugangsnetzes ten in den Jahren 2012–2014 auf im Mittel
schaltet werden. 18% im Jahresvergleich der betrachteten
Für die Teilnehmer am DFNInternet-Dienst Monate ab, stiegen sie seit Jahresbeginn
Mit dem Wechsel auf die neue Optische gibt es verschiedene Optionen der Anbin- 2015 auf im Mittel 34 % an. Das X-WiN trans-
Plattform und die damit verbundenen ge- dung an das Kernnetz des X-WiN. Die ein- portiert damit in Spitzenmonaten wie dem
ringeren Kosten für die Multiplexer-Tech- fachste und leistungsfähigste in Bezug auf Januar 2016 über 34 PB an Daten.16 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ
Diese gewaltigen Datenvolumina müssen bereitstellen konnte, wurden die jetzt ver- se wurden an die vier neuen SuperCore-
zwischen den Anwendern sowie zwischen fügbaren, erheblich leistungsfähigeren Sys- Standorte in Essen, Garching, Hamburg
diesen und den Außenanbindungen des X- teme beschafft und an den bestehenden und Leipzig verbracht und mit jeweils ei-
WiN vermittelt werden. Um diesem Wachs- Kernnetzknoten Berlin, Erlangen, Frank- ner 100G-Verbindung an zwei Router des
tum Rechnung zu tragen und auf weiteres furt und Hannover installiert. Mit diesem inneren SuperCore angebunden (vgl. Ab-
Wachstum vorbereitet zu sein, wurde der Ausbauschritt konnten die Verbindungen bildung 1). Diese Arbeiten wurden im zwei-
SuperCore der IP-Plattform in 2015 erheb- im SuperCore auf je Kante 2 x 100 Gbit/s ten Halbjahr 2015 durchgeführt.
lich ausgebaut. (vgl. Abbildung 1) sowie der Übergang zum
wichtigsten kommerziellen Internet-Aus- Für das erste Halbjahr 2016 sind weitere
Das primäre Ziel war es, den Bedarf an tauschpunkt DE-CIX ebenfalls auf 2x100 Umschaltungen zur Verkürzung der direk-
100-Gigabit-Ethernet-Schnittstellen zu de- Gbit/s (vgl. Abbildung 2) ausgebaut werden. ten Anwenderanbindungen sowie zur Ver-
cken. Diese Schnittstellen werden insbe- einfachung der X-WiN-Topologie durch Auf-
sondere für den Ausbau der Verbindungen Das zweite mit der Erweiterung des Su- trennen langer und stark vermaschter Ket-
zwischen den Systemen des SuperCore be- perCore verfolgte Ziel war die Reduktion ten der X-WiN-Router geplant.
nötigt, zunehmend aber auch für die An- der Paketlaufzeiten zwischen direkt am Su-
bindung der größten DFNInternet-Teilneh- perCore angebundenen Teilnehmern und Schau was kommt von draußen
mer sowie für den Ausbau der wichtigsten den kleineren Einrichtungen, die auf den rein: Schutz vor DDoS-Angrif-
Außenanbindungen des X-WiN. X-WiN-Router-Systemen (xr) terminieren. fen im X-WiN
Zur Realisierung dieses Ziels kamen die
Da die seit 2013 eingesetzte Technik nicht an den vier inneren Standorten des Super- Mit der Erhöhung der Übertragungska-
die notwendige Dichte an Schnittstellen Core ausgebauten Router zum Einsatz. Die- pazität im SuperCore des X-WiN verfolgt
cr-ham1
KIE
EWE
ROS
BRE HAM
GRE HUB ADH
DES FFO TUB
PEP
MUE BIE ZIB DRE
cr-han2 cr-tub2
CHE
HAN BRA MAG POT
LEI
GOE
KAS
cr-dui1 BOC DOR cr-lap1
BAY
MAR
ERL
WUP LAP
GIE
DUI
cr-fra2 cr-erl2 JEN
FRA
ILM
AAC BON BIR
WUE
10 GE
GSI
REG 2 x 10 GE
cr-gar1
HEI 5 x 10 GE
100 GE
SAA KAI FZK STU AUG GAR FHM
Abbildung 1WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 17
30 Gbit
/s
2x
30 Gbit
10
Gb s
it/
/s
it/ b
s
2x 0G
20 10
Gb
it/s 2x
it/s
0 Gb
10 Gbit 2x2
/s
10 Gbit/s
Deutsches Forschungsnetz 10 sonstige
2 x 20 Gbit/s bis zu 10 Gbit/s Peerings
2 x 100 Gbit/s 10 Gbit/S
20 Gbit/S
30 Gbit/S
100 Gbit/S
Europäische Forschungsnetze
Forschungsnetze außerhalb Europa
Abbildung 2
der DFN-Verein zwei Ziele. Wie im obigen DDoS-Angriffen nicht ausreichen, da die kehr in Richtung eines Teilnehmers auf das
Abschnitt dargelegt, ist seit etwa einem verfügbaren Bandbreiten in Richtung der ihm zur Verfügung stehende Maximum be-
Jahr ein deutlich erhöhtes Wachstum des Teilnehmer erheblich geringer werden. grenzt wird. Da dieses Maximum deutlich
Datenvolumens zu beobachten, welches Beim Verlassen des SuperCore stehen heu- unterhalb der in der Router-Kette bereit-
mit hoher Dienstqualität transportiert te meist nur noch 10–20 Gbit/s, am Anwen- gestellten Gesamtkapazität liegt, wird ein
werden muss. derübergang häufig nur noch wenige Hun- Schutz der in einer Router-Kette terminier-
dert Mbit/s zur Verfügung. Gravierender ten aber nicht direkt durch den DDoS-An-
Gleichzeitig dient aber der Ausbau des Su- noch als die Überlastung einer einzelnen griff adressierten Teilnehmer erreicht.
perCore auch dem Schutz gegen zuneh- Teilnehmeranbindung ist die Überlastung
mend häufiger auftretende Distributed von X-WiN Router-Ketten, da hier viele Teil- Die zweite Strategie betrifft die Fähig-
Denial-of-Service-Angriffe (DDoS). DDoS- nehmer gleichzeitig betroffen sind. Diese keit zur gezielten Filterung von Angriffs-
Angriffe treten ohne Vorwarnung auf und Überlastungen können dadurch auftreten, verkehr am Übergang zu anderen Netzen.
laufen in der Regel über die Außenanbin- dass eine Drosselung des Verkehrs in Rich- Diese auch als DDoS-Mitigation bezeichne-
dungen (vgl. Abbildung 2) in das X-WiN ein. tung von Teilnehmeranbindungen derzeit te Funktionalität wurde in 2015 vom DFN-
Die Außenanbindungen des X-WiN werden erst auf dem direkten Übergang zum Teil- CERT als Erweiterung des bereits im Ein-
jedoch zur Gewährleistung einer optima- nehmer stattfindet. satz befindlichen DDoS-Analyse-Werkzeug
len Dienstqualität auch in der Kommuni- DFN-NEMO entwickelt. Mit dieser Erweite-
kation mit externen Netzen kontinuierlich Ausgehend von der skizzierten Problem- rung hat der DFN-Verein die Möglichkeit,
und bedarfsgerecht ausgebaut, so dass das stellung arbeitet der DFN-Verein derzeit an exakt spezifizierten Angriffsverkehr di-
Problem hochbandbreitiger DDoS-Angrif- zwei sich ergänzenden Strategien. rekt auf den Router-Systemen des Super-
fe praktisch in das X-WiN verlagert wird. Core und damit beim Eintritt in das X-WiN
Die erste ist der architektonische Umbau in der Bandbreite zu begrenzen bzw. auf
Allein die Erhöhung der Kapazität des des X-WiN, damit bereits am Übergang vom dem DDoS-Mitigations-System vollstän-
SuperCore würde jedoch zur Abwehr von SuperCore in die Router-Ketten der Ver- dig auszufiltern.18 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | WISSENSCHAFTSNETZ
Zu diesem Zweck kommuniziert das DDoS- WiN zu vermitteln, VPN-Strukturen bereit- erforderlich sein. Durch die zunehmende
Mitigations-System mittels einer BGP-Er- zustellen und Teilnehmeranschlüsse abzu- Zahl von Rechenzentrumskopplungen wer-
weiterung (BGP FlowSpec) welcher Verkehr schließen und zu aggregieren. den Fähigkeiten, wie die VLAN-Trunks der
in der Bandbreite limitiert oder auf das Mi- Teilnehmer transparent transportieren zu
tigations-System umgeleitet wird, wo er Seit 2012 ist absehbar, dass diese Syste- können, ebenfalls notwendig.
weiterbehandelt wird. Das Mitigations-Sys- me keine weitere Produktpflege durch den
tem besteht dabei aus einer leistungsfähi- Hersteller erfahren werden. Des Weiteren Auch sind die betrieblichen Anforderungen
gen Server-Hardware, die auf Line-Cards in kommen die Systeme mit der letzten Leis- nicht zu vernachlässigen: So muss sich das
den vier inneren SuperCore-Routern ver- tungssteigerung von DFNInternet in 2013 Management und Monitoring der künfti-
baut ist. Nach ersten Tests der produkti- in Bezug auf ihre technischen Kapazitäten gen Aggregations-Plattform nahtlos in die
onsnahen Software geht der DFN-Verein an ihre Grenzen. Der DFN-Verein terminiert bestehenden Prozesse der DFN-Geschäfts-
davon aus, dass auch DDoS-Angriffe mit daher zunehmend die größeren DFNInter- stelle einfügen. Auch sollen die künftigen
hohen Datenraten effektiv abgewehrt wer- net-Dienste direkt auf den Systemen des Systeme wertvollen, da oftmals knappen
den können. SuperCore, die dazu mittels Verbindungen Einbauraum an den Kernnetzknoten ein-
auf der Optischen Plattform zu den Stand- sparen und im Vergleich zu den Bestands-
Mit den skizzierten Strategien wird ein ef- orten des SuperCore verlängert werden. systemen mit weniger elektrischer Leis-
fektiver Schutz der X-WiN IP-Plattform er- Parallel dazu plant der DFN-Verein eine tung auskommen. Schließlich müssen die
reicht. Ein ausführlicher Artikel zum The- Nachfolgeplattform für diese Systeme. Es Kosten für Investition und Betrieb für den
ma DDoS-Abwehr, in dem auch ein künfti- ist absehbar, dass die für die Teilnehmer DFN-Verein tragbar sein.
ger Dienst für die Teilnehmer vorgestellt bereitgestellten Übertragungskapazitäten
wird, folgt in einer der nächsten DFN-Mit- weiter steigen werden, so dass diese Syste- Fazit
teilungen. me eine hohe Anzahl von Gigabit-Ethernet
und 10-Gigabit-Ethernet-Schnittstellen be- Das X-WiN wird seit 2012 kontinuierlich er-
Blick in die Glaskugel: Ausblick reitstellen können müssen. Auch sind An- neuert. Auch in 2016 und 2017 sind noch
auf eine neue Aggregations- bindungen an den SuperCore mit 100-Giga- bedeutende technologische, wirtschaft-
Plattform für das X-WiN bit-Ethernet perspektivisch erforderlich. liche und betriebliche Weiterentwicklun-
Durch neue Kooperationsszenarien zwi- gen notwendig. Insbesondere stellt der Er-
Nachdem die meisten technischen Platt- schen den Teilnehmern werden zudem die satz der heutigen Aggregations-Plattform
formen des X-WiN modernisiert sind, ver- bereitzustellenden Funktionalitäten auf (X-WiN-Router vom Typ Cisco 7609) sowie
bleiben noch die als X-WiN-Router bzw. als Layer-2 und Layer-3 umfangreicher. Wäh- der Übergang auf die neuen Teilnehmer
Aggregations-Plattform bezeichneten Sys- rend auf IP-Routing mit voller Internet-Rou- anbindungen eine große Herausforde-
teme aus der ursprünglichen technischen ting-Tabelle durch die künftige logische rung dar. Diese Arbeiten werden das X-WiN
Infrastruktur des X-WiN zur Erneuerung. Terminierung von Teilnehmer-Diensten auf jedoch in ihrem Zusammenwirken auf
Diese Router vom Typ Cisco 7609 sind an den Systemen des SuperCore verzichtet ein neues Niveau führen und für künfti-
den meisten X-WiN Kernnetzknoten ver- werden kann, werden Layer-2- und Lay- ge Herausforderungen ein stabiles Fun-
baut und erfüllen seit ihrer Einführung in er-3-VPN sowohl in der Variante Punkt-zu- dament bilden. M
2005/2006 die Funktion, IP-Verkehr im X- Punkt als auch Multi-Punkt-zu-Multi-PunktWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 89 | 19 Kurzmeldungen Vergabeverfahren für Teilnehmeranbindungen erfolgreich abgeschlossen Der DFN-Verein schreibt periodisch die ohne aber die laufenden Ausgaben für den nen Teilnehmer in der Kategorie I05 (heute Teilnehmeranbindungen für den DFNIn- DFN-Verein zu erhöhen. Als Schutz für die 2 x 350 Mbit/s) eine Anbindung mit redundant ternet-Dienst europaweit neu aus. Ziel wirtschaftliche Stabilität des DFN-Vereins 1 Gbit/s als Mindestbandbreite und 10 Gbit/s dieses Vorgehens ist es, für die Teilneh- sind Sonderkündigungsrechte Bestandteil als Aufrüstbandbreite ausgeschrieben. mer einen kosteneffizienten Dienst mit re- der Rahmenverträge, die bei gravierenden gelmäßigen Anpassungen der Bandbreiten Veränderungen, wie bspw. der Kündigung Nach dem vorgeschalteten Teilnehmer- in den Kategorien des DFNInternet-Diens- von DFNInternet-Diensten, durch Teilneh- wettbewerb, der auf sehr großes Interes- tes realisieren zu können. Eine weitere Aus- mer greifen. se bei potentiellen Anbietern stieß, fand schreibung dieser Art wurde von der DFN- das Angebotsverfahren im 2. Halbjahr 2015 Geschäftsstelle in 2014 vorbereitet und im Alle Anbindungen wurden als Realisie- statt. Die Auswertung der eingegangenen Laufe des Jahres 2015 durchgeführt. Neben rungsoptionen jeweils in der einfachen, Angebote, die sich im vierstelligen Bereich Einsparungen bei gleichzeitiger Erhöhung und wo vom Anwender gewünscht, auch bewegten, erfolgte im ersten Quartal 2016. der Übertragungskapazitäten war ein be- in der redundanten Variante ausgeschrie- Neben der erwarteten Generierung von Ein- deutendes Ziel die Realisierung von redun- ben. Zukünftige Leistungssteigerungen sparpotentialen für die Beauftragung von danten Teilnehmeranbindungen, wo dies wurden dadurch berücksichtigt, dass für Teilnehmeranbindungen konnte auch die gewünscht aber bisher nicht umsetzbar jeden Teilnehmer eine Mindestbandbrei- Anzahl der Carrier mit einem abgeschlosse- war. Um die Schaffung der dafür notwendi- te und eine Aufrüstbandbreite anzubie- nen Rahmenvertrag deutlich erhöht werden. gen Infrastruktur für die Bieter im Verfah- ten war. Erstere entspricht der heute für ren wirtschaftlich zu machen, wurde eine den jeweiligen Teilnehmer realisierten Die neuen Anbindungen werden ab dem lange Laufzeit der Rahmenverträge über Bandbreite, letztere einer in den meisten zweiten Quartal 2016 beauftragt, nachfol- sieben Jahre gewählt, so dass sich Investi- Fällen um den Faktor 10 erhöhten. So wur- gend von den Carriern realisiert und durch tionen für die Bieter amortisieren können, den bspw. für einen redundant angebunde- den DFN-Verein in Betrieb genommen. M Foto © Nikadat / iStockphoto.de
20 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | INTERNATIONAL
Brückenschlag zwischen den Ländern der
Eastern Partnership (EaP) und der europäischen
Forschungsgemeinschaft
EaPConnect, ein EU-gefördertes Projekt zwischen der Eastern Partnership Region (EaP)
und dem pan-europäischen Netzwerk GÉANT, berichtet erste Erfolge.
Text: Leonie Schäfer (DFN-Verein)
en seit über zwei Jahrzehnten miteinander verbinden. Zwei neue
1G-Links ermöglichen nun über 50 weiteren Universitäten und
Forschungseinrichtungen den Beitritt zur GÉANT Community.
Bereits heute arbeiten Mitgliedsinstitute von GRENA und ASNET-
AM mit globalen Partnern wie dem CERN, in Bereichen wie Hoch-
energiephysik, Meteorologie, Klimawandel und Seismologie zu-
sammen. Eine direkte Anbindung an GÉANT wird den Forschern
ermöglichen, diese Zusammenarbeit noch zu intensivieren.
Der nächste Arbeitsschritt ist die Anbindung von AzScienceNet,
dem aserbaidschanischen NREN, an GÉANT. Hier wurden gerade
die Vertragsverhandlungen aufgenommen. Des Weiteren ist eine
The bridge of peace, Tbilisi, Georgia foto © ET1972 / iStockphoto.de
Ausschreibung in Vorbereitung, die darauf zielt, das weißrussische
Die Eastern Partnership (EaP) ist eine regionale und multilatera- NREN UIIP NASB an das pan-europäische Netzwerk anzubinden.
le Initiative zwischen der EU und den sechs EaP-Partnerländern
Armenien, Aserbaidschan, Weißrussland, Georgien, Moldawien Bis zum Jahr 2016 wird erwartet, dass die Länder der Eastern Part-
und der Ukraine. Die Partnerschaft bietet Unterstützung und Hil- nership komplett an GÉANT angebunden sind. Für die europäische
fe für Reformen in den Bereichen Demokratie, Menschenrechte, Forschungsgemeinschaft stellt diese Erweiterung eine willkom-
Marktwirtschaft, Nachhaltigkeit und e-Infrastruktur. mene Ergänzung ihrer Expertise u. a. in den Bereichen Physik, Kli-
mawandel, Katastrophenbekämpfung und Life Sciences dar. M
Das Eastern Partnership Connect Project (EaPConnect) hat zum
Ziel, ein regionales High-Speed Netzwerk, ausgerichtet auf For-
schung und Bildung aufzubauen, welches die EaP-Länder mit dem
europäischen Forschungsnetz GÉANT verbindet. Im Rahmen des Yerevan and Mont Ararat, Armenia © marlenka / iStockphoto.de
Projekts werden die e-Infrastruktur und zugehörige Dienste wei-
ter ausgebaut und die Integration von Studenten und Forschern
in den europäischen Forschungsraum durch die Anbindung an
das europäische Netzwerk GÉANT gefördert.
Der DFN Verein ist Partner in EaPConnect und unterstützt die
EaP-Länder durch die Organisation von Weiterbildungen und im
Marketingbereich (z. B. für die Dienste eduroam und eduGAIN).
Zu Beginn des Jahres starteten Georgien und Armenien mit der
Bereitstellung von Verbindungen zum GÉANT Netzwerk. GRENA
und ASNET-AM sind bereits gut etablierte Forschungsnetze, wel-
che die wichtigsten F&E-Einrichtungen in Georgien und Armeni-INTERNATIONAL | DFN Mitteilungen Ausgabe 89 | 21 Europas Blick auf die Erde Wie die Wissenschaftsnetze das Copernicus Programm unterstützen Copernicus ist ein über mehrere Jahrzehnte angelegtes Erdbeobachtungsprogramm, welches von der Europäischen Kommission (EC) ins Leben gerufen wurde. Ziel ist die systematische Erdbeobachtung durch satellitengestützte Fernerkundung sowie der Aufbau von boden- und seegestützen Beobachtungs-Infrastrukturen. Text: Dr. Jakob Tendel (DFN-Verein) Echtfarb- und Strukturaufnahme der libyschen Wüste, aufgenommen von der Satellit Sentinel 2. Foto © ESA/ATG Medialab Copernicus schafft eine moderne und Katastrophenschutz, mit einer breiten Um den wissenschaftlichen Nutzern der leistungsfähige Infrastruktur für die Palette aktueller Beobachtungsdaten Copernicus Daten weltweit einen opti- Erdbeobachtung und darauf aufbauen- versorgt. Um die Zugänglichkeit der malen Zugang zu den Daten zu ermög- de Dienstleistungen aus dem Bereich Daten und den daraus resultierenden lichen, wurde ein direkter Zugang von der Geoinformation. Die gewonnenen volkswirtschaftlichen Nutzen zu maxi- der Daten-Infrastruktur der ESA zum Informationen werden nicht nur der mieren, hat die EC die freie und kosten- GÉANT Netz realisiert. Von dort kön- Wissenschaft zugänglich gemacht, sie lose Verfügbarkeit der Daten zum zen- nen die Daten zu den angeschlossenen haben auch einen wirtschaftlichen und tralen Element des Vorhabens erklärt Wissenschaftsnetzen übertragen wer- gesellschaftlichen Nutzen. So werden und dafür die Bereitstellung der Daten den. Diese Lösung erlaubt die Nutzung Entscheider der Politik, z. B. aus dem mittels allgemein verfügbarer Internet- der dedizierten Infrastruktur der For- Bereich Landwirtschaftsplanung oder Technologie realisiert. schungsnetze, zu denen der Großteil der
22 | DFN Mitteilungen Ausgabe 89 | Mai 2016 | INTERNATIONAL
levante Phänomene zu untersuchen, son-
dern die zeitliche Entwicklung des gesam-
ten Erde-Atmosphäre-Ozean Systems viel
besser laufend zu erfassen. Die daraus ge-
Data „Hubs“ Pickup Point
Processing wonnenen Daten sind für eine breite Ziel-
„The Internet“ gruppe von Relevanz. Neben Wissenschaf-
COPERNICUS
Satellite WAN Product ten und Wettervorhersagen stellen die In-
Downlink Generation formationen einen großen Nutzen für viele
weitere Bereiche dar. Die durch Coperni-
cus gewonnenen Informationen reichen
Archives
von zeitlich und räumlich hoch aufgelös-
NREN A ten Erfassungen der Vegetation, über die
genaue Lage von Gewässern inklusive Was-
serpegel, bis hin zu präzisen Messungen
NREN B der atmosphärischen Zusammensetzung.
Diese Vielfalt an Datenprodukten zusam-
men mit ihrer langjährigen planbaren Ver-
fügbarkeit erlaubt es Nutzern von Regie-
rungsbehörden bis zu kleinen Unterneh-
men neue, von zuverlässigeren Messun-
gen unterstütze Entscheidungsprozesse
zu entwickeln.
Data „Hubs“ Pickup Point
Processing Innerhalb von Copernicus produzieren die
„The Internet“ Sentinel Satelliten die größten Datenmen-
COPERNICUS
Satellite WAN Product gen. Jede Reihe der Satelliten (Sentinel 1-6)
Downlink Generation ist mit eigenen Sensoren ausgestattet und
untersucht andere Themenschwerpunkte.
Zur Absicherung bei Ausfällen sollen sich
Archives
mittelfristig jeweils mehrere identische Ex-
NREN A emplare (z. B. 1A, 1B, 1C) zusammen im Or-
bit befinden, was auch eine häufigere Ab-
tastung jeder Stelle auf der Erdoberfläche
NREN B gewährleistet. Sentinels -1 bis -3 (siehe In-
formationskasten) und -5p sind jeweils ei-
genständige Satellitentypen, die weiteren
Sentinels sind Sensorgruppen auf ande-
ren Satellitenplattformen. Der erste Satel-
lit, Sentinel 1A, startete 2014, gefolgt von
wissenschaftlichen Nutzer bereits Zu- Entstehung Sentinel 2A 2015 und Sentinel 3A Anfang
gang hat. Außerdem wird dadurch eine 2016. Im Laufe dieses Jahres sollen noch
potenziell kostenintensive Auslastung Copernicus, zuvor Global Monitoring for die Sentinels -1B, -5p, und -2B in ihre Um-
der kommerziellen Peerings einzelner Environment and Security (GMES, deutsch: laufbahn gebracht werden.
Wissenschaftsnetze vermieden. Die Da- Globale Umwelt- und Sicherheitsüberwa-
tenquelle der ESA befindet sich in Frank- chung) genannt, wurde im Jahre 1998 ge- Die Sentinels erzeugen jeweils beträchtli-
furt a.M., somit ist der DFN als nationa- meinsam von der Europäischen Kommis- che Datenströme (Terrabytes pro Tag), wel-
les Forschungsnetz für die Herstellung sion (EC) und der Europäischen Weltraum- che als sogenannte „Level 1“ Datenproduk-
des GÉANT Anschlusses verantwortlich. organisation (ESA) gegründet. te verfügbar gemacht werden. Aus diesen
Sensor-Rohdaten werden thematisch ge-
Ziel des Programms ist es nicht nur ver- gliedert weiterführende „Level 2“ Daten-
einzelt auftretende, für die Forschung re- produkte erzeugt. Diese Copernicus Diens-INTERNATIONAL | DFN Mitteilungen Ausgabe 89 | 23
Sentinel 1 Sentinel 2 Sentinel 3
Hochauflösendes Radar Hochauflösende Farbbilder Farbbilder, Mikrowellen, Radar
Schwerpunkt: Topografie Schwerpunkt: Vegetation Schwerpunkt: Meeresoberfläche
Sentinel-1A seit April 2014 Sentinel-2A seit Juni 2015 Sentinel-3A seit Februar 2016
Sentinel-1B ab April 2016 Sentinel-2B ab Herbst 2016 Sentinel-3B ab 2017
te werden jeweils federführend von einer Um die Verbindung der ESA Infrastruktur terhält. So kann die Routing-Funktion des
europäischen Einrichtung entwickelt (sie- zum X-WiN herzustellen, wurde zusam- Ursprungs-Systems standardkonform per
he Tabelle Seite 23 unten). men mit GÉANT die Einrichtung eines BGP Protokoll die über die Verteilernet-
DFNInternet-Dienstes nach Kategorie I11 ze jeweils erreichbaren Endnutzer unter-
Verbindung zu den (1x10Gbit/s) für den Standort vereinbart. scheiden und es ist im Falle einer Dienst-
Wissenschaftsnetzen Neben der Erreichbarkeit aus dem X-WiN unterbrechung auf einem der zwei Vertei-
erlaubt dieser Dienst auch die Mitnutzung lernetze eine Umleitung des Verkehrs über
Die Anbindung des Copernicus Datacen- der GÉANT Anbindungen des DFN zur Ver- die andere Anbindung möglich. Die Vorbe-
ters der ESA an die Wissenschaftsnetze ist sorgung von Teilnehmern aller an GÉANT reitungsphase für dieses Vorhaben ist mit
Ergebnis eines seit 2013 geführten Dialogs angebundenen Wissenschaftsnetze. Da die der Vertragsunterzeichnung Ende 2015 ab-
zwischen der ESA und den Wissenschafts- von Anfang an bestehende Anbindung des geschlossen, die Bereitstellung durch den
netzen, vertreten durch GÉANT und den ESA Datacenters an einen kommerziellen DFN erfolgte im April 2016. M
DFN. Die EUMETSAT (die Europäische Or- Internet-Provider bestehen bleibt, muss-
ganisation für die Nutzung meteorologi- ten im Interesse einer stabilen Routenfin-
scher Satelliten) ist ebenfalls für die Er- dung einige Anpassungen an der Netzwerk-
stellung und Verbreitung eines Teils der Konfiguration vorgenommen werden. Da-
Copernicus Daten zuständig, nutzt dafür mit die Datenströme bereits am Ursprung
jedoch ihre eigene technische Infrastruk- zuverlässig anhand der IP-Adresse des ab-
tur, welche bereits an die Wissenschafts- rufenden Endnutzers dem zu nutzenden
netze angebunden ist. Der DFN ist für die Übertragungsweg (kommerzielles Inter-
Anbindung sowohl der ESA als auch der EU- net, Wissenschaftsnetze) zuzuordnen
METSAT an die Wissenschaftsnetze erster sind, wird die Datenquelle in einem eige-
Anlaufpunkt, da sich die Copernicus Da- nen public-AS („Autonomous System“) lie-
tacenter beider Einrichtungen im Raum gen, welches mit den verfügbaren Vertei-
Frankfurt a.M. befinden. lernetzen gleichberechtigte Peerings un-
Landüberwachung + Europäische Umweltbehörde EEA
Überwachung der Meeresumwelt + Mercator Ocean
Katastrophen- und Krisenmanagement + Europäische Kommission
Überwachung der Atmosphäre + ECMWF
Überwachung des Klimawandels + ECMWFSie können auch lesen
