SNE master student projects 2006 - 2007 (LeftOver)


#
title + summary
supervisor/contact
1
Authorisation service performance optimisation for distributed Gird/Web Services based applications by using Authorisation session credentials

The project will be focused on modeling how the use of the authorisation session credentials can improve performance of the central authorisation service in distributed Gird/Web Services based applications. Requires some experience with the Java programming and basic knowledge of XML, familiarity with SAML and XACML is beneficial but can be easily introduced to.
Leon Gommans <lgommans=>science.uva.nl>
Yuri Demchenko <demch=>science.uva.nl>
2
Security and Dynamics in Customer Controlled Virtual Workspace Organisation

The project will look into TCG Trusted Computing Platform and Trusted Platform Module (TPM) use for extending user controlled trusted virtual workspace organisation in complex resource provisioning (CRP). Development and modeling part will include development of the provisioning/user session credentials for the GAAA Authorisation framework, modeling of some TPM protocols and may require Xen hypervisor installation and experiments.
Leon Gommans <lgommans=>science.uva.nl>
Yuri Demchenko <demch=>science.uva.nl>
3
Proof of concept process mangamenttool in combinatie met Open Source applicaties

WireITup is bezig met de ontwikkeling van een universeel proces managementtool. De tool is gebaseerd op onze ervaring met applicatie hosting en een door ons uitgevoerd onderzoek in opdracht van het AMC (Academisch Medisisch Centrum) betreffende proces management en proces queuing (clustering). De afgelopen drie jaar is de tool intern in gebruik. De nieuwste versie moet het mogelijk maken universeel processen te beheren op zowel het Linux als Windows platform. Als proof of concept wil WireITup een onderzoek laten uitvoeren naar de mogelijkheden. WireITup verwacht dat er enkele (in overleg) Open Source applicaties in combinatie met onze proces managementtool getest gaan worden op beheersbaarheid.
Jeffrey Barendse <j.barendse=>wireitup.nl>
A. Borst <a.borst=>wireitup.nl>
4
Betrouwbaarheids analyse process managementtool

WireITup is bezig met de ontwikkeling van een universeel proces managementtool. Deze tool maakt gebruikt van een intern in C++ ontwikkelde server daemon. Deze server daemon handelt volgens een eigen protocol communicatie tussen de diverse fysieke systemen en de gebruikers af. Daarnaast beschikt de eindgebruiker over een verbinding met een MySQL database. WireITup verwacht dat er in kaart gebracht wordt wat qua beveiliging en betrouwbaarheid de zwakke plekken zijn en wat de mogelijke/haalbare oplossing zijn.
Jeffrey Barendse <j.barendse=>wireitup.nl>
A. Borst <a.borst=>wireitup.nl>
8
NAC (Network Access Control) te doen, met user identificatie, real-time assessments en mitigatie op basis van de Mirage productlijn. (zie ook #29)

Doel: transparante NAC realiseren in een proof-of-concept omgeving, met integratie van alerting/assessment in een doorlopende beheerssystematiek.  Transparant wil hier zeggen: er is alleen aanpassing op layer 2 (of lager) in bestaande infrastructuur, en zonder configuratiewijzigingen, extra software-installaties op of beperingen aan op 't netwerk aangesloten computersystemen.
Jeroen Scheerder <js=>on2it.net>
10
VM applicabillity for security in medical applications.

In some medical imaging applications, the user is often an important component of the analysis process, which is typically composed of autonomous and interactive tasks that are performed in turns and require different resources. Traditionally, the analysis is split into steps linked to each other via the data, which is accessed from different applications installed in distributed resources. This can lead to problems regarding safety and efficiency (for example, forgotten details, manual data transport, etc).

An alternative would be to use virtual and migrating machines to implement a MIA application, as in the ideal scenario sketched below:
a virtual machine (VM) is created to handle the image of a given patient, keeping all the information about the complete process.
After VM initialization, the MIA process is started automatically, with predefined parameters. When a problem occurs, the VM "freezes" and notifies the radiologist in charge by e-mail or "beeper". The radiologist goes to the nearest computer, locally "resumes" the VM, and "logs in" to investigate the cause of the problem and to decide upon the best way to proceed. The user "logs off" and the processing continues automatically and autonomously in the VM, which is now migrated to another computer located as close as possible to the necessary resources (data, computing, instruments). When the image analysis is complete, the VM "freezes" again and notifies the radiologist that the final image is ready for reporting.

The purpose of the project is to investigate means to implement the scenario sketched above, propose a practical approach and implement a small test application to prove the concept.
Silvia D. Olabarriaga <silvia=>science.uva.nl>
David Groep <davidg=>nikhef.nl>
13
SURFnet Distributed Intrusion Detection System (zie ook 11):

- Statistisch onderzoek naar de aanvallen die worden gedetecteerd binnen het huidige SURFnet IDS project. Daarnaast is baselining onderzoek op al het verkeer dat wordt gezien door de sensoren interessant om nader te bekijken. (zie ook opdracht 11 intro)
Jan van Lith <jan.vanlith=>surfnet.nl>
Kees Trippelvitz <kees.trippelvitz=>surfnet.nl>
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
14
SURFnet Distributed Intrusion Detection System (zie ook 11):

- Onderzoek naar de inzet van client honeypots binnen de SURFnet doelgroep. Dit is een nieuw onderzoek en zou kunnen leiden tot het ontwikkelen van een nieuwe dienst voor SURFnet klanten. Voorbeelden van internationale projecten op dit vlak zijn: honeymonkey (microsoft, http://research.microsoft.com/HoneyMonkey/)
of honeyclient (cathy wang, http://www.honeyclient.org)
Jan van Lith <jan.vanlith=>surfnet.nl>
Kees Trippelvitz <kees.trippelvitz=>surfnet.nl>
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
15
SURFnet Distributed Intrusion Detection System (zie ook 11):

- Onderzoek naar hoe een opensource sandbox ontwikkeld kan worden. Een commerciele variant van een dergelijke sandbox environment is de Norman Sandbox. Dit is een nieuw onderzoek en zou kunnen leiden tot het ontwikkelen van een nieuwe dienst voor SURFnet klanten.
Jan van Lith <jan.vanlith=>surfnet.nl>
Kees Trippelvitz <kees.trippelvitz=>surfnet.nl>
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
16
SURFnet Distributed Intrusion Detection System (zie ook 11):

- Onderzoek naar hoe de zogenaamde "passive DNS replicatie" techniek kan worden ontwikkeld tot een dienst voor SURFnet klanten. Zie voor informatie over deze techniek het verslag van twee UvA studenten: http://staff.science.uva.nl/~delaat/snb-2005-2006/p12/report.pdf
Jan van Lith <jan.vanlith=>surfnet.nl>
Kees Trippelvitz <kees.trippelvitz=>surfnet.nl>
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>
18
RIPE-NCC research topic:

- Why do people deploy their nodes in what way? Why does K have some globals spread around the world and does F have two globals right next to each other? Why does M have only four nodes? There could be financial, technical or political reasons behind this. Or do people just choose their model (if any) at random? Is any of these models (or one followed by other operators) better than the other in a technical sense?
Erik Romijn <eromijn=>ripe.net>
19
RIPE-NCC research topic:
- We see that using no-export for local nodes is not perfect. Is there a better way to prevent a node from being used outside of the networks near to it? Or are local nodes simply a bad idea that will never work?
Erik Romijn <eromijn=>ripe.net>
20
RIPE-NCC research topic:
- RFC1035 describes the possibility of asking multiple questions in one DNS packet. I'm not familiar with any implementation that uses this. One possible use could be for a resolver (the recursing nameserver, not the library) to ask both AAAA and A for a name at the same time, even if the host only asked for AAAA. As long as most hosts will not have an AAAA record, you would have to get that A in most cases anyways. So that could reduce the amount of queries. However, as I can't really think of much other applications for multi- question queries, I'm not sure whether everyone implemented this. So: would this actually work? Does everyone support multi-question queries properly?
Erik Romijn <eromijn=>ripe.net>
22
RIPE-NCC research topic:
- It's a bit funny how the addresses for [a-m].root-servers.net can be found. Assuming the recursing resolver has no cache yet, it will ask the root servers. They are authoritative, and will immediatly answer. On the other hand, if it would already have cached the referral to the gtld-servers for .net, the gtld-servers would be asked who is authoritative for root-servers.net.
So: some resolvers will currently immediatly end up at the root servers for root-servers.net, some may ask the gtld-servers where to find it. So Verisign may be able to change the root servers that at least some of the resolvers use. Besides being odd, can that do any harm?
Erik Romijn <eromijn=>ripe.net>
25
Single Sign-On
Uitzoeken van de implementatie van single sign-on en waar o.a mee rekening moet gehouden worden. Veel applicaties moeten via deze single sign-on worden ontsloten. De single sign-on oplossing is er een welke gebruikt zal worden in een gemengde omgeving. Bij deze opdracht zal open source software de basis moeten zijn van de oplossing.
* RSA-tokens icm Single Sign-On
Het gebruik van RSA-tokens voor single sign-on dient te worden uitgezocht. Hierbij moet de acceptatie onder gebruikers worden meegenomen waar niet mag worden ingeboet qua veiligheid.
Niet onbelangrijk is de mate van geschiktheid van achterliggende software voor gebruik icm RSA-tokens, hier zal dus ook onderzoek naar moeten worden gedaan. [Extra Info]
Raimond Kollman <r.kollman=>snow.nl>
26
Geavanceerde DRS-oplossing voor XEN:

Onderzoek naar de mogelijkheid voor het uitschakelen van fysieke machines na relocatie van actieve en inactieve virtuele machines. In het kader van Utility Computing (o.a. Sun Grid) en de steeds hogere energiekosten, is de mogelijkheid voor het uitschakelen van inactieve machines een serieuze optie voor het verlagen van de kosten voor on-demand utility computing. (see also 6) [Extra Info]
Raimond Kollman <r.kollman=>snow.nl>
27
Voor de afdeling Mirabeau Applicatie Management zoeken wij onderzoeker Application Monitoring.

Mirabeau Application Management doet continue onderzoek naar het monitoren van bedrijfskritische applicaties afgestemd op de met onze klanten overeengekomen KPI's. Een voorbeeld hiervan zijn het doen van uitspraken op het gebied van beschikbaarheid en performance van online applicaties zoals de  Funda huizenwebsite. 24x7 bewaking en prestatie-analyse van (online) applicaties zijn een belangrijk onderdeel van onze werkzaamheden.

Per 1 januari 2007 zal Mirabeau Application Management een nieuw uniform monitoring platform in gebruik nemen volledig gericht op het meten van functionaliteiten en prestaties. Van de stagiair wordt verwacht dat hij/zij een bijdrage gaat leveren aan het verder uitbouwen en inrichten van dit platform, gecombineerd met onderzoek naar nieuwe opties waarmee nieuwe mogelijkheden aan het platform kunnen worden toegevoegd. Kennis van Nagios is gewenst. Zie ook www.mirabeau.nl
"Hayo Rubingh" <hrubingh=>mirabeau.nl>
28
Open Office levert automatiseringsoplossingen met Linux-desktops. Momenteel gebruiken onze oplossingen NFSv3. Dat kent een aantal forse veiligheidsnadelen, o.a. unencrypted data en UID-matching tussen server
en client. Het voordeel is, dat de Unix-rechten zonder translatie op de client beschikbaar zijn.
Onderzoek welke file-servers een betere oplossing kunnen bieden voor genoemde veiligheidsproblemen, met behoud van de Unix-rechtenstructuur. Ontwerp een migratiepad naar deze oplossing. Geef ook aan in hoeverre de oplossing productierijp is.
Valentijn Sessink <v.sessink=>openoffice.nl>
29
Authenticatie en authorizatie in PKI-infrastructuren op het oog - met gebruik van allerlei tokens en 'hardware keychains' (a la Safenet's iKey).

Doel: platform-onafhankelijke (of, als dat onhaalbaar is,  multi-platform voor een billijke verzameling platforms) 'managed' PKI-infrastructuur in praktische context beschrijven, proof-of-concept uitvoeren en aan de tand voelen.
Jeroen Scheerder <js->on2it.net>
30
Dragon GMPLS software versatile IP binding

The MaxGigaPOP Dragon GMPLS software toolkit is at the moment the only GMPLS OpenSource implementation. It however does have some drawbacks, the main one being that only one so called VLSR can be running on an OS. Apart from virtualization techniques, this is somewhat of a drawback when trying to control several devices and GMPLS nodes.
Play around with the Dragon software toolkit, examine what points in the code do not allow multiple instances at this time and work out ways to allow that or have one single instance control multiple devices or argue why none of that is possible.

35
Path Computation Element.

SARA heeft een planning tool ontwikkeld voor het SURFnet6 netwerk. De tool kan een pad (SDH circuit) vinden tussen twee klantpoorten in het netwerk. Hierbij wordt gebruik gemaakt van een "constrained based
shortest path" algoritme. De opdracht bestaat uit het onderzoeken of het vinden van een pad als externe daemon geimplementeerd kan worden. Deze daemon zou dan een implementatie moeten zijn van mechanismen die in de
IETF PCE working group ontwikkeld worden. Bekeken moet worden of RFC4655 bruikbaar is voor SARA's planning tool.
Ronald van der Pol <rvdp=>sara.nl>
36
Toekomst van Unix in Nederland

De onderzoeksopdracht zal zich richten op de toekomst van Unix en Linux binnen middel grote en grote bedrijven in Nederland. Wat zijn de (commerciële) varianten die gebruikt worden? Waarvoor worden ze op dit moment toegepast? Is er een stijgende of juist dalende trend qua gebruik en toepassingen te zien en te verwachten? Hoe heeft men de support op de platformen geregeld?
Wordt het als een soort koppel verkoop door de leverancier van het product mee verkocht? Is het ergens bij een derde partij belegd? Of is de eigen organisatie verantwoordelijk? Hoe zit het met Linux in de kantoor automatisering, dus Linux op de werkplek, is daar al een markt voor? Zijn er automatiseerders die dit aanbieden (Getronics-Pinkroccade, Sogeti) ?
Taco Hettema, <the=>didacticum.nl>
37
Identity Management

Binnen bedrijven speelt identity management een steeds belangrijkere rol. Denk aan profielen van gebruikers en wachtwoorden. Echter er is veelal sprake van meerdere omgevingen, denk aan een OTAP (ontwikkel/test/acceptatie/produktie) straat en/of een LAN/ExtraNet/DMZ omgeving of zelfs combinaties van deze. Daarnaast is er binnen een omgeving vaak ook sprake van meerdere platformen. Hoe kun je in dit soort situaties omgaan met identity management? Een single LDAP die door alle omgevingen en platformen wordt gedeeld? Of meerdere die al dan wel of niet onderling worden gesynchroniseerd. Ook zal het steeds vaker voorkomen dat er identity management voor externe gebruikers nodig is. Denk bijvoorbeeld aan Web Services. Hoe kun je daar mee omgaan?
Taco Hettema, <the=>didacticum.nl>
38
XML security

Didacticum ziet bij haar klanten een toenemend gebruik van Web Services, zowel voor interne als externe diensten. Daarbij speelt XML en SOAP uiteraard een essentiële rol. Wat zijn echter de mogelijkheden op het gebied van security en web services? Hoe kan authenticatie & authorisatie worden geregeld en afgedwongen? Er bestaan ook zogenaamde XML firewall producten. Wat kunnen die en wat niet? Is encryptie mogelijk en hoe kan hier mee om worden gegaan icm met een XML firewall? Welke standaarden bestaan er op het gebied van XML security?
Taco Hettema, <the=>didacticum.nl>
39
Classroom setups maken voor ethical hacking

Studenten hebben tijdens de workshop Ethical Hacking in Capelle een klein voorproefje gehad van de volledige Ethical hacking cursus zoals die Didacticum die aanbiedt aan haar klanten. De cursus kan ;een opfrisbeurt gebruiken met name ook op het gebied van Wireless LAN. Wat zijn bijvoorbeeld de nieuwste technieken om een WEP key in 1 minuut te kunnen kraken. In hoeverre is WPA nog veilig? Maar denk ook aan hashing collisions bij web authenticatie. 
Jan Nieuwstad, <jni=>didacticum.nl>
40
Verdere opdrachten bij Didacticum, zie doc.

Taco Hettema, <the=>didacticum.nl>
44 Op dit moment zijn we binnen de IDS dienstverlening van SURFnet bezig met het implementeren van Layer-2 detectie (ARP poisoning/spoofing). Een dergelijke feature is door veel aangesloten instellingen gewenst, aangezien de meeste partijen op dit moment nog geen detectie op dit vlak hebben.

Wij zijn erg benieuwd of wij met Layer-2 detectie technieken ook instaat zijn om het "echte" ip-adres en mac-adres van de aanvaller te kunnen achterhalen. Dit laatste is zeker niet triviaal en zou een interessant stage-opdracht zijn.
Rogier Spoor <Rogier.Spoor=>SURFnet.nl>