1 / 28

Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC

Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC. Peter Sevenich 20. Mai 2010. Forschung für Verteidigung und Sicherheit. Kommunikation Cyber Defence Mobile Ad-hoc-Netze Informationsverarbeitung Detektion von Gefahrenstoffen Führungsinformations- systeme

lotta
Download Presentation

Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC Peter Sevenich 20. Mai 2010

  2. Forschung für Verteidigung und Sicherheit • Kommunikation • Cyber Defence • Mobile Ad-hoc-Netze • Informationsverarbeitung • Detektion von Gefahrenstoffen • Führungsinformations-systeme • Ergonomie • Mensch-Computer-Interaktion • Fluglotsenarbeitsplätze FKIE, Wachtberg

  3. Ergebnisse des multinationalen IPv6 - Test – und Demonstrationsprojektes INSC • INSC (Motivation, Beteiligung, Arbeitsweise) • INSC Architektur und IPv6 Bezug • IPv6 in Funknetzen • Sicherung von IPv6-Netzen mit IPsec • Empfehlungen zu IPv6 Migrationmechanismen • IPv6 – Migration der Bundeswehr • Zusammenfassung

  4. Interoperable Networks for Secure Communications (INSC) • Memorandum of Understanding (MoU) • CA, US, FR, GE, UK, NO, NL, IT und NATO als Beobachter • Umsetzung in 2 Phasen zwischen 2/2001 und 2/2007 • DEU: IT-Amt Bw, FKIE, IABG, Thales Deutschland, WTD 81 Greding • Ziel: Schaffung einer transparenten Netzwerkarchitektur auf Basis von IPv6- Technologie, die einen barrierefreien und sicheren Informationsaustausch zwischen allen Hierarchieebenen (vertikaler Ansatz) und mit Koalitionspartnern (horizontaler Ansatz) in der militärischen Kommunikation ermöglicht. • IPv6 natürlicher Kandidat • Adressvorrat • Ende – zu – Ende Ansatz • IPSec Einbettung

  5. INSC Architektur (1) • Bis zu 100 Router, 40 IPSec, 400 Endsysteme und mobilen Anteilen

  6. INSC Architektur (2) • MWAN Topologie

  7. INSC Architektur (3) • CRC (CA) Netzanleil

  8. INSC Architektur (4) • GE Test Bed

  9. IPv6 über HF und VHF, der Show-Stopper? • Fragestellung: • Kann man Sprache zusammen mit zusätzlichen Daten via IPv6 gesichert über HF übertragen? --- Randbedingung --- Eingeführtes HF – Equipment ! IPv6-Tunnel-Header ESP-HeaderIPv6-HeaderVocoderdaten Vocodertyp (kBit/s) 1.2 2.4 4.8 Sprache ohne IPSec ohne HR. (Byte/s) 475 833 1616 Sprache mit IPSec ohne HR. (Byte/s) 910 1442 3040 Sprache mit IPSec mit HR. (Byte/s) 655 1085 2224 Sprache mit IPSec mit HR. (IPSec) mit HP. (Byte/s) 455 805 1584

  10. Multipexen von Paketen auf schmalbandigen Links • Fragmentierung zusätzlicher Daten Zeitkritischer Datenstrom mit niedriger Priorität Zeitkritischer Datenstrom mit höherer Priorität Konventioneller Datenstrom mit niedriger Priorität Sequenz der Pakete und Fragmente auf dem schmalbandigen Kanal

  11. Sichere integrierte Sprach-Datenübertragung PC-Phone,Mail, WWW • Robuste Anwendungen : - PC-Phone (zeitkritisch), PMul (multicast) - QoS, und Prioritäten - Schmalband Vocoder (STANAG 4591) - Zuverlässiger Verbundungsauf- und Abbau - Stabile verbindungslose Sprachübertragung (UDP) - Effiziente Bandbreitennutzung • Sicherheitskonzept: IPSec on Security Gateway • und Headerkomprimierung • Effizientes Management von schmalen Links (QoS) - Multiplexen von zeitkritischen und konventionellen Daten - Reduction & Kompressionvon Protocol Informationen - Prioritäts Management - EMCON IPSec NetworkAdapter ISDN, GSM, HF NetworkAdapter IPSec PC-Phone,Mail, WWW

  12. Nachweis: VoIPv6 mit zusätzlichen Daten mit CRC (CA) Später : Verifikation von Thales für SEM- VHF Geräte Heute : IPv6 integraler Bestandteil nationaler SDR-Programme (z.B. JTRS)

  13. Problem: Nutzdatenschutz durch IPsec ist in dynamischen Netzen nicht handhabbar ; Goodbye Sicherheits Architektur ? • Aufbau von Virtual Private Networks (VPN) mittels IPsec zur sicheren Vernetzung; integraler Bestandteil von IPv6 • Nutzung des Sicherheitsprotokolls Encapsulating Security Payload (ESP)

  14. Lösung: Technologien des IDP-MIKE-Systems • IDP-MIKE-System zur Realisierung eines effizienten, skalierbarer Nutzdatenschutzes für große und Dynamische Netze. • selbst konfigurierend • selbst heilend

  15. Schlüsselbereitstellung für den Nutzdatenschutz • Einsatzumfeld ermöglicht keine zusätzliche Hardware • Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE) Gruppenschlüsselbereitstellung

  16. Multicast Internet Key Exchange (MIKE) • Effiziente Bereitstellung eines gemeinsamen Schlüssels für Berechtigte • Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels Key Agreement arbeitet verteilt Key Distribution ist Server-basiert fehlertolerant effizient

  17. IPsec Discovery Protocol (IDP) • Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten • Software TIBER realisiert IPsec Discovery Protocol • Automatische Lokalisierung verfügbarer IPsec-Komponenten • Signalisierung von JOIN, LEAVE an das Schlüsselmanagement MIKE

  18. Public Key Infrastructure (PKI) • Zentrales Vertrauensmodell • Autorisierung zur Teilnahme mittelsZertifikat • Authentisierung beim Gruppenbeitritt Ausschluss eines Nutzers (EJECT) • Verteilung einer Widerrufliste • Schlüsselwechsel durch das IDP-MIKE-System

  19. Funktionsprinzip des IDP-MIKE-Systems • IDP-MIKE-System zum effizienten, automatischen, skalierbaren Nutzdatenschutz

  20. Skalierbarkeit • Nutzdatenschutz für • Punkt-zu-Punkt-Verbindungen (IP Unicast) • Punkt-zu-Mehrpunkt-Verbindungen (IP Multicast) • Betriebsmoduswechsel des Schlüsselmanagements MIKE • Berechungsaufwand zur Umwandlung des Schlüsselbaums • Kein Kommunikationsaufwand Key Agreement Key Distribution

  21. Einsatzzweck der Mechanismen Einsatz / Mission Vorbereitung Durchführung Abschluss • JOIN, LEAVE, Batched Rekeying zur Bildung von Einheiten • EJECT zum Ausschluss kompromittierter Nutzer • MERGE, PARTITION bei Netzaufteilung, -verschmelzung - JOIN - LEAVE - Batched Rekeying - EJECT - MERGE - PARTITION - JOIN - LEAVE - Batched Rekeying

  22. Sicherheitsmaßnahmen im Kommunikationsserver Bw • Nutzdatenschutz durch IPsec • IDP-MIKE-System zur Schlüsselbereitstellung bzw. IPsec-Konfiguration • Transport von QoS-Informationen im Extension-Header

  23. INSC Untersuchungen zu gemischten IPv4 und IPv6 Netzen • INSC Testnetz unter dem Gesichtspunkt der v4/v6 Migration bzw. Koexistenz

  24. Empfehlungen aus INSC zu den Migrationsansätzen • Basis: Im Rahmen von INSC wurde zum einen in einer theoretischen Analyse die Eignung der jeweiligen Methoden in den verschiedenen, relevanten Szenaren und Architekturen untersucht. Zum anderen wurden aber auch vorhandene Implementierungen dieser Ansätze praktisch evaluiert und getestet. • Prinzipiell ist festzustellen, dass die zwei Varianten Dual Stackund Tunnelingeinfach und ohne großen Aufwand nachträglich in eine bestehende Infrastruktur eingebracht werden können. • Translationhingegen ist nur bedingt einsetzbar, da diese sehr stark von den eingesetzten Plattformen, Betriebssystemen und Anwendungen abhängt.

  25. IPv6 – Migration der Bundeswehr • seit 1996 Untersuchungen am FKIE im Hinblick auf IPv6 Nutzung • 2003: Erlass BMVg legt für die zukünftige Ausrichtung der • Kommunikationssyteme den Einsatz des Internet-Protokolls (IP) in • der Version 6 (IPv6) fest. • Migrationsrahmenkonzept IPv4-IPv6 ist gebilligt • IT-Adressierungsrahmenkonzept liegt zur Billigung durch das BMVg vor • RIPE hat an das BMI einen /26 Adressraum zugewiesen • ans BMVg wird daraus vorerst ein /30 Adressraum zugewiesen • Vorgeschaltete Studie im Hinblick auf IPv6 Migration und bestehende IT-Sicherheitsarchitektur

  26. Zusammenfassung & Ausblick Zusammenfassung • INSC hat eine Vielzahl von Ergebnissen geliefert die in Internationale und Nationale Projekte eingehen: z.B. NNEC FS, Prototyp IPv6-SINA, KommServer Bw, SVFuA, IETF (Mobile Ad-Hoc Netze: OLSR, SMF), MIKE-IDP, PMul, .... • Gemeinsames Verständnis in den Nationen für den Migrationspfad zu IPv6 und die Basistechnologien Ausblick • Folgeprojekt: Coalition Network for Secure Information Sharing ( CoNSIS ) • Service-oriented Architecture (SOA) • IP-Integration der Tactical Data Links (TDL) • Multi Level Security (protected Labeling) • Verteiltes Management von Koalitionsnetzen

  27. Weitere Informationen • Peter Sevenich • FKIE/KOM • Neuenahrer Str. 20 • D-53343 Wachtberg • Germany • Tel.: +49 (228) 9435-317 • Fax: +49 (228) 9435-16317 • Mail: peter.sevenich@fkie.fraunhofer.de

  28. Veröffentlichungen • R. Goode, P.Guivarch & P. Sevenich; IPv6 for Coalition Network Enabled Capability, Proceedings of Military Communications Conference (MILCOM) (pp. 1-6), Washington, USA: IEEE 2006 • T. Aurisch, T. Ginzler, P. Martini, H. Seifert, T. H. Tran, R. Ogden; Automatic Multicast IPSec by using a Proactive IPSec Discovery Protocol and a Group Key Management; Military Communication Conference 2007 • T. Aurisch, D. Dahlberg, M. Lies, P. Sevenich; An approach towards traffic flow confidentiality in military IPsec protected networks; Military Communication Conference 2009

More Related