Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt.

Ähnliche Präsentationen


Präsentation zum Thema: "IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt."—  Präsentation transkript:

1 IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt

2 IPv6 Kongress 2010 – Seite 2 © Astaro 2010 Macht Netzwerksicherheit einfach Gründung Mitarbeiter Hauptgeschäftsstellen in: - Karlsruhe - Boston (USA) Astaro schützt über Netzwerke in über 60 Ländern Astaro

3 IPv6 Kongress 2010 – Seite 3 © Astaro 2010 Seit 2000 bei Astaro Leitung der Produktentwicklung - Astaro Security Gateway (ASG) - Astaro Command Center (ACC) Diplom-Informatiker (Universität Karlsruhe) - Netzwerksicherheit - Eingebettete Systeme Daniel Stutz

4 IPv6 Kongress 2010 – Seite 4 © Astaro 2010 Seit fast 8 Jahren auf der long-term Roadmap 2004: Erste Überlegungen zur IPv6 Integration im Vorfeld der ASG V6 Entwicklung Mangels Kunden-Nachfrage aufgeschoben 2009: Re-Evaluation im Rahmen der ASG V8 Planung Juni 2010: ASG V8 mit IPv6 IPv6 bei Astaro (1)

5 IPv6 Kongress 2010 – Seite 5 © Astaro 2010 IPv6 Network Connectivity - PPPoE, Tunnel Broker, 6to4 - DHCP, Auto-Configuration - DNS, NTP, SNMP, SSH, Remote Syslog, SIP/H.323 NetworkSecurity - Packetfilter - Intrusion Prevention - IPSec WebSecurity - HTTP Proxy - Reverse Proxy / Web Application Firewall MailSecurity - SMTP Proxy Reporting IPv6 bei Astaro (2)

6 IPv6 Kongress 2010 – Seite 6 © Astaro 2010 Basis System: nutzt SUSE SLES 11 als Steinbruch OSS (Auszug): - Snort (IPS) - IPTables/NetFilter (Firewall / Paketfilter) - Exim (Mail-Gateway) - Bind (DNS-Proxy) - OpenVPN (SSL-VPN) - StrongSwan (VPN Modul) - OpenSSH (SSH-Komponente) - GnuPG (Verschlüsselungsmodul) - ClamAV (Virenscanner) - Quagga (OSPF Routing) Proprietäre Komponenten - Management Interface und Bereiche in denen OSS keine Lösung bietet Astaro Security Gateway V8

7 IPv6 Kongress 2010 – Seite 7 © Astaro 2010 Aktiv gepflegte Projekte haben i.d.R. IPv6 Support - Netfilter/IPTables, Snort, StrongSwan, Apache, OpenSSH, Net-SNMP, Bind, ISC DHCP, Exim Einige haben zumindest Patches verfügbar - z.B. OpenVPN Ältere, tote aber auch stabile Projekte haben keinen IPv6 Support - Frox FTP Proxy, Dante Socks Proxy, poptop PPTP Sorgenkind: Perl - Socket Kommunikation über IPv6 nicht im Sprach-Kern IPv6 Support variiert von Modul zu Modul SSL und LDAP sind z.B. nicht zufriedenstellend gelöst Lösungen verfügbar aber uneinheitlich und mit Nebenwirkungen Herausforderungen (1) OSS

8 IPv6 Kongress 2010 – Seite 8 © Astaro 2010 Generell zu Unterscheiden: Eigenentwicklung und zugekauft bzw. lizensiert zugekauft/lizensiert: - Viele Hersteller haben/planen keinen IPv6 Support. - Einige verweisen auf die Roadmap - Einige sind bereit auf Anforderung IPv6 Support zu entwickeln Eigenentwicklung: - Technisch beherrschbar, aber i. d. R. eine größere Investition notwendig - Bereiche, die lange stabil waren müssen wieder angefasst werden - Umfang der erforderlichen Anpassungen reicht von wenigen Zeilen bis zu großflächigem Refactoring Herausforderungen (2) Proprietäre Software

9 IPv6 Kongress 2010 – Seite 9 © Astaro 2010 Protokoll-Unterschiede - OSPF -> OSPFv3 Mutual Exclusive Support IPv4/IPv6 (2 Instanzen notwendig) - DHCPD, oident IPv6 ist Wild West - Unklare Bedingungen in den Produktivumgebungen - Beispiel: IPv6 mit PPPoE: Deutschland/Frankreich: IPV6CP Japan: Auto-Configuration über das Ethernet Device Offene Bereiche - NAT, Multi-Homing Wie integriert man IPv6 in die Konfigurationsoberfläche? - Parallel aufziehen oder integrieren? - Extra IPv6-fähiges Produkt oder alle Kunden belästigen? Herausforderungen (3) Diverses

10 IPv6 Kongress 2010 – Seite 10 © Astaro 2010 Globaler IPv6 Schalter: - IPv6 ist neu und komplex -> Menschen sind verunsichert - Kunden, die kein IPv6 benötigen, werden nicht mit IPv6 Optionen belästigt Integrierter IPv4/IPv6 Ansatz: IP Adressen werden in Netzwerk Definitionen gespeichert und wieder verwendet. Anstatt entweder IPv4 oder IPv6, kann eine Definition beide Varianten enthalten Bedienkonzept (1)

11 IPv6 Kongress 2010 – Seite 11 © Astaro 2010 Wie zeigt man an bei der Konfiguration an, ob IPv6 an einer Stelle unterstützt wird? - Icons einer Definition zeigen an, ob eine IPv4 und/oder eine IPv6 Adresse konfiguriert ist. - Wenn IPv4/IPv6 an einer Stelle nicht unterstützt wird, wird dies durch ein ausgrauen des entsprechenden Symbols angezeigt. Bedienkonzept (2)

12 IPv6 Kongress 2010 – Seite 12 © Astaro 2010 Wie aktiviert man IPv6 für ein Feature? - HTTP Proxy entscheidet auf DNS-Basis wohin er sich verbindet - Zugangskontrolle über erlaubte Source-IP Adressen Bedienkonzept (3)

13 Fragen Antworten &

14 Astaro Web Site Astaro V8 Beta Vielen Dank


Herunterladen ppt "IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt."

Ähnliche Präsentationen


Google-Anzeigen