TU Darmstadt / ULB / TUprints

Firewall-Architekturen für Multimedia-Applikationen

Roedig, Utz (2002)
Firewall-Architekturen für Multimedia-Applikationen.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Dissertation - PDF
diss.pdf
Copyright Information: In Copyright.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Firewall-Architekturen für Multimedia-Applikationen
Language: German
Referees: Swoboda, Prof. Dr. Joachim
Advisors: Steinmetz, Prof. Dr.- Ralf
Date: 2 December 2002
Place of Publication: Darmstadt
Date of oral examination: 29 November 2002
Abstract:

In der vorliegenden Arbeit "Firewall-Architekturen für Multimedia-Applikationen" werden Lösungen entwickelt und diskutiert, die es ermöglichen, Multimedia-Applikationen in Netzwerken zu verwenden, in denen Firewalls eingesetzt werden. Die dargestellten Lösungen decken die Optimierung bestehender Firewall-Architekturen sowie die Entwicklung neuer Mechanismen für die Realisierung von Firewall-Architekturen ab. In einer immer vernetzteren Umgebung nimmt die Bedeutung von Sicherheitsaspekten stetig zu und eine Zugangskontrolle an Netzgrenzen wird als wesentlich betrachtet. Zu diesem Zweck werden Firewalls verwendet, die diese Zugangskontrolle an der Grenze zwischen offenen und privaten Netzen bereitstellen. Als integraler Bestandteil der Netzwerkinfrastruktur werden Firewalls stark durch die Entwicklung und den Einsatz neuer Kommunikationsformen und Applikationen beeinflusst. Zur Zeit kann beobachtet werden, dass Multimedia-Applikationen, die sich in vielerlei Hinsicht von "traditionellen" Applikationen unterscheiden, zunehmend Verwendung finden. Existierende Firewalls sind nicht in der Lage, diese neuen Applikationstypen in effizienter und sicherer Weise zu unterstützen. In der vorliegenden Arbeit werden die bestehenden Problembereiche identifiziert und klassifiziert. Ausgehend von dieser Klassifizierung wird gefolgert, dass die Veränderung und Erweiterung bestehender Firewall-Architekturen eine geeignete Maßnahme zur Lösung dieser Probleme darstellt. Es wird gezeigt, dass eine geeignete Architektur dem in der Arbeit vorgestellten Designprinzip der Trennung von Signalisierungs- und Medienströmen folgen muss. Es wird ein Architekturmodell vorgestellt, das Firewall-Architekturen hinsichtlich der für die Verarbeitung von Multimedia-Applikation relevanten Architekturmerkmale ordnet. Die dadurch mögliche Betrachtung verschiedener Architektur-Klassen zeigt, dass die Klasse der verteilten Firewall-Architekturen für einen Einsatz im Multimedia-Umfeld geeignet ist. Das in dieser Arbeit vorgestellte Modell ermöglicht die Identifikation der fehlenden bzw. zu optimierenden Elemente, damit eine verteilte Firewall-Architektur effizient realisiert werden kann. Ein wesentliches, zur Umsetzung einer verteilten Firewall notwendiges Element ist die Kommunikation zwischen den einzelnen Firewall-Komponenten. Anstatt für diese Kommunikation ein neues Protokoll zu entwerfen - wie zur Zeit in verschiedenen Standardisierungsgremien vorgeschlagen wird - wird in der Arbeit gezeigt, dass das bestehende und erprobte Resource Reservation Protocol (RSVP) dafür verwendet werden kann. Anhand einer Implementierung wird gezeigt, dass das RSVP auch in der Praxis für diese Aufgabe eingesetzt werden kann. Ein weiteres notwendiges Element zur Umsetzung einer verteilten Firewall stellt die Signalisierungsverarbeitung dar. Bisher verwendete Methoden, die Signalisierungsverarbeitung der Firewall in ein Kommunikationsszenario einzubinden, können nicht auf Multimedia-Szenarien übertragen werden. In der Arbeit wird gezeigt, dass die für die Integration der Signalisierungsverarbeitung notwendigen Mechanismen von bestehenden Integrationsmechanismen für Infrastrukturkomponenten abgeleitet werden müssen. Durch eine Implementierung wird gezeigt, dass diese Integrationsmechanismen auch in der Praxis anwendbar sind. Besonderes Augenmerk wird in der Arbeit auf die Leistungsfähigkeit von Firewall-Architekturen gerichtet. Es wird dargestellt, welche Faktoren wesentlich die mögliche Leistungsgrenze einer Multimedia-Firewall bestimmen und wie diese zu berücksichtigen sind, um eine Multimedia-Firewall für bestimmte Leistungsanforderungen richtig zu dimensionieren. Anhand von Messungen verschiedener Firewall-Architekturen wird abschliessend gezeigt, dass die innerhalb der Arbeit vorgestellten Architekturvorschläge auch hinsichtlich ihrer Leistungsfähigkeit für die Unterstützung von Multimedia-Applikationen geeignet sind. Verteilte Firewall-Architekturen, die das aufgestellte Designprinzip der Trennung von Signalisierungs- und Medienströmen berücksichtigen, müssen verwendet werden, um die Leistungsgrenze einer Firewall zu optimieren. Im Rahmen dieser Arbeit wurden zwei Werkzeuge entwickelt, die zur Überprüfung der getroffenen Aussagen verwendet wurden, aber auch über die Arbeit hinausgehend verwendet werden können. Das Werkzeug KOMtraffgen stellt ein Messwerkzeug zur Bestimmung von Leistungskenngrößen dar. Es kann verwendet werden, um Leistungskenngrößen von Komponenten im Kommunikationspfad einer Multimedia-Applikation zu bestimmen. Das Werkzeug KOMproxyd kann verwendet werden, um Firewall-Architekturen für Multimedia-Applikationen umzusetzen. Dieses Werkzeug wird beispielsweise durch das Deutsche Forschungsnetz (DFN) innerhalb des DFN-Videokonferenzdienstes zur Zeit in der Praxis verwendet.

Alternative Abstract:
Alternative AbstractLanguage

In this thesis on Firewall Architectures for Multimedia Applications solutions are developed and discussed that enable the usage of multimedia applications in network environments where firewalls are employed. The provided solutions cover optimizations of existing firewall architectures as well as the development of new mechanisms to implement firewall architectures. Within a global networked environment, security aspects become more and more important and access control at network borders is considered to be essential. For this purpose firewalls which provide access control and auditing at the border between open and private networks or administrative domains are used. As integral part of the network infrastructure they are strongly affected by the development and deployment of new communication paradigms and applications. Currently we experience a very fast rise in the use of multimedia applications which differ in many aspects from "traditional" applications. Existing firewalls are not able to support this new types of applications in an efficient and secure manner. This thesis identifies and classifies the existing problem areas. It can be deduced from this classification that a modification and extension of existing firewall architectures are suitable methods to solve these problems. In the thesis it is shown that an appropriate firewall architecture has to apply the design pattern "Separation of Signalling and Media Flows". A new architectural model is introduced which can be used to structure firewall architectures regarding the criterias necessary to support multimedia applications. Thus, it is possible to investigate different categories of architectures and it is shown that the category of distributed firewalls fits best to support multimedia applications. This model also allows to identify which elements are missing or have to be optimized to build distributed firewalls. An important element of a distributed firewall is the communication between the different firewall components. Instead of developing a new protocol - as currently proposed in the standardization bodies - it is shown that the existing and approved Resource Reservation Protocol (RSVP) can be used for this purpose. It is shown by an implementation that RSVP can be used in practice. Another important element used in firewall architectures is the signalling element. State of the art methods used for integration of the signalling element within a scenario cannot be used in multimedia scenarios. It is shown in the thesis that the necessary integration mechanisms have to be deduced from integration mechanisms used for multimedia infrastructure components. On the basis of an implementation it is shown that this approach is also feasible in practice. Within the thesis the performance of firewall architectures is investigated. The parameters which limit the performance of a multimedia firewall are identified. It is shown how these parameters have to be taken into account to optimize a firewall for specific performance requirements. Measurements are performed to show that the proposed changes in firewall architectures are optimal regarding the performance. Distributed firewalls that use the design pattern "Separation of Signalling and Media Flows" have to be used to optimize the performance of a multimedia firewall. Within the thesis several tools had been developed to show the feasibility of the given statements which can also be used for other purposes not regarded in this thesis. The tool KOMtraffgen can be used for performance measurements as well as to determine performance values of components used in the communication path of multimedia applications. The tool KOMproxyd can be used to build firewall architectures for multimedia applications. It is currently used within the video conference service of the Deutsches Forschungsnetz (DFN).

English
URN: urn:nbn:de:tuda-tuprints-2767
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
Date Deposited: 17 Oct 2008 09:21
Last Modified: 08 Jul 2020 22:45
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/276
PPN:
Export:
Actions (login required)
View Item View Item