Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC Peter Sevenich 20. Mai 2010.

Veröffentlicht von:Kai Geis Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC Peter Sevenich 20. Mai 2010."—  Präsentation transkript:

1 Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC
Peter Sevenich 20. Mai 2010

2 Forschung für Verteidigung und Sicherheit
Kommunikation Cyber Defence Mobile Ad-hoc-Netze Informationsverarbeitung Detektion von Gefahrenstoffen Führungsinformations- systeme Ergonomie Mensch-Computer-Interaktion Fluglotsenarbeitsplätze FKIE, Wachtberg

3 Ergebnisse des multinationalen IPv6 - Test – und Demonstrationsprojektes INSC
INSC (Motivation, Beteiligung, Arbeitsweise) INSC Architektur und IPv6 Bezug IPv6 in Funknetzen Sicherung von IPv6-Netzen mit IPsec Empfehlungen zu IPv6 Migrationmechanismen IPv6 – Migration der Bundeswehr Zusammenfassung

4 Interoperable Networks for Secure Communications (INSC)
Memorandum of Understanding (MoU) CA, US, FR, GE, UK, NO, NL, IT und NATO als Beobachter Umsetzung in 2 Phasen zwischen 2/2001 und 2/2007 DEU: IT-Amt Bw, FKIE, IABG, Thales Deutschland, WTD 81 Greding Ziel: Schaffung einer transparenten Netzwerkarchitektur auf Basis von IPv6- Technologie, die einen barrierefreien und sicheren Informationsaustausch zwischen allen Hierarchieebenen (vertikaler Ansatz) und mit Koalitionspartnern (horizontaler Ansatz) in der militärischen Kommunikation ermöglicht. IPv6 natürlicher Kandidat Adressvorrat Ende – zu – Ende Ansatz IPSec Einbettung

5 INSC Architektur (1) Bis zu 100 Router, 40 IPSec, 400 Endsysteme und mobilen Anteilen

6 INSC Architektur (2) MWAN Topologie

7 INSC Architektur (3) CRC (CA) Netzanleil

8 INSC Architektur (4) GE Test Bed

9 IPv6 über HF und VHF, der Show-Stopper?
Fragestellung: Kann man Sprache zusammen mit zusätzlichen Daten via IPv6 gesichert über HF übertragen? --- Randbedingung --- Eingeführtes HF – Equipment ! IPv6-Tunnel-Header ESP-Header IPv6-Header Vocoderdaten Vocodertyp (kBit/s) Sprache ohne IPSec ohne HR. (Byte/s) Sprache mit IPSec ohne HR. (Byte/s) Sprache mit IPSec mit HR. (Byte/s) Sprache mit IPSec mit HR. (IPSec) mit HP. (Byte/s)

10 Multipexen von Paketen auf schmalbandigen Links
Fragmentierung zusätzlicher Daten Zeitkritischer Datenstrom mit niedriger Priorität Zeitkritischer Datenstrom mit höherer Priorität Konventioneller Datenstrom mit niedriger Priorität Sequenz der Pakete und Fragmente auf dem schmalbandigen Kanal

11 Sichere integrierte Sprach-Datenübertragung
PC-Phone, Mail, WWW Robuste Anwendungen : - PC-Phone (zeitkritisch), PMul (multicast) - QoS, und Prioritäten - Schmalband Vocoder (STANAG 4591) - Zuverlässiger Verbundungsauf- und Abbau - Stabile verbindungslose Sprachübertragung (UDP) - Effiziente Bandbreitennutzung Sicherheitskonzept: IPSec on Security Gateway und Headerkomprimierung Effizientes Management von schmalen Links (QoS) - Multiplexen von zeitkritischen und konventionellen Daten - Reduction & Kompressionvon Protocol Informationen - Prioritäts Management - EMCON IPSec Network Adapter ISDN, GSM, HF Network Adapter IPSec PC-Phone, Mail, WWW

12 Nachweis: VoIPv6 mit zusätzlichen Daten mit CRC (CA)
Später : Verifikation von Thales für SEM- VHF Geräte Heute : IPv6 integraler Bestandteil nationaler SDR-Programme (z.B. JTRS)

13 Problem: Nutzdatenschutz durch IPsec ist in dynamischen Netzen nicht handhabbar ; Goodbye Sicherheits Architektur ? Aufbau von Virtual Private Networks (VPN) mittels IPsec zur sicheren Vernetzung; integraler Bestandteil von IPv6 Nutzung des Sicherheitsprotokolls Encapsulating Security Payload (ESP)

14 Lösung: Technologien des IDP-MIKE-Systems
IDP-MIKE-System zur Realisierung eines effizienten, skalierbarer Nutzdatenschutzes für große und Dynamische Netze. selbst konfigurierend selbst heilend

15 Schlüsselbereitstellung für den Nutzdatenschutz
Einsatzumfeld ermöglicht keine zusätzliche Hardware Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE) Gruppenschlüsselbereitstellung

16 Multicast Internet Key Exchange (MIKE)
Effiziente Bereitstellung eines gemeinsamen Schlüssels für Berechtigte Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels Key Agreement arbeitet verteilt Key Distribution ist Server-basiert fehlertolerant effizient

17 IPsec Discovery Protocol (IDP)
Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten Software TIBER realisiert IPsec Discovery Protocol Automatische Lokalisierung verfügbarer IPsec-Komponenten Signalisierung von JOIN, LEAVE an das Schlüsselmanagement MIKE

18 Public Key Infrastructure (PKI)
Zentrales Vertrauensmodell Autorisierung zur Teilnahme mittels Zertifikat Authentisierung beim Gruppenbeitritt Ausschluss eines Nutzers (EJECT) Verteilung einer Widerrufliste Schlüsselwechsel durch das IDP-MIKE-System

19 Funktionsprinzip des IDP-MIKE-Systems
IDP-MIKE-System zum effizienten, automatischen, skalierbaren Nutzdatenschutz

20 Skalierbarkeit Nutzdatenschutz für
Punkt-zu-Punkt-Verbindungen (IP Unicast) Punkt-zu-Mehrpunkt-Verbindungen (IP Multicast) Betriebsmoduswechsel des Schlüsselmanagements MIKE Berechungsaufwand zur Umwandlung des Schlüsselbaums Kein Kommunikationsaufwand Key Agreement Key Distribution

21 Einsatzzweck der Mechanismen
Einsatz / Mission JOIN, LEAVE, Batched Rekeying zur Bildung von Einheiten EJECT zum Ausschluss kompromittierter Nutzer MERGE, PARTITION bei Netzaufteilung, -verschmelzung Vorbereitung Durchführung Abschluss - JOIN - LEAVE - Batched Rekeying - EJECT - MERGE - PARTITION - JOIN - LEAVE - Batched Rekeying

22 Sicherheitsmaßnahmen im Kommunikationsserver Bw
Nutzdatenschutz durch IPsec IDP-MIKE-System zur Schlüsselbereitstellung bzw. IPsec-Konfiguration Transport von QoS-Informationen im Extension-Header

23 INSC Untersuchungen zu gemischten IPv4 und IPv6 Netzen
INSC Testnetz unter dem Gesichtspunkt der v4/v6 Migration bzw. Koexistenz

24 Empfehlungen aus INSC zu den Migrationsansätzen
Basis: Im Rahmen von INSC wurde zum einen in einer theoretischen Analyse die Eignung der jeweiligen Methoden in den verschiedenen, relevanten Szenaren und Architekturen untersucht. Zum anderen wurden aber auch vorhandene Implementierungen dieser Ansätze praktisch evaluiert und getestet. Prinzipiell ist festzustellen, dass die zwei Varianten Dual Stack und Tunneling einfach und ohne großen Aufwand nachträglich in eine bestehende Infrastruktur eingebracht werden können. Translation hingegen ist nur bedingt einsetzbar, da diese sehr stark von den eingesetzten Plattformen, Betriebssystemen und Anwendungen abhängt.

25 IPv6 – Migration der Bundeswehr
seit 1996 Untersuchungen am FKIE im Hinblick auf IPv6 Nutzung 2003: Erlass BMVg legt für die zukünftige Ausrichtung der Kommunikationssyteme den Einsatz des Internet-Protokolls (IP) in der Version 6 (IPv6) fest. Migrationsrahmenkonzept IPv4-IPv6 ist gebilligt IT-Adressierungsrahmenkonzept liegt zur Billigung durch das BMVg vor RIPE hat an das BMI einen /26 Adressraum zugewiesen ans BMVg wird daraus vorerst ein /30 Adressraum zugewiesen Vorgeschaltete Studie im Hinblick auf IPv6 Migration und bestehende IT-Sicherheitsarchitektur

26 Zusammenfassung & Ausblick
INSC hat eine Vielzahl von Ergebnissen geliefert die in Internationale und Nationale Projekte eingehen: z.B. NNEC FS, Prototyp IPv6-SINA, KommServer Bw, SVFuA, IETF (Mobile Ad-Hoc Netze: OLSR, SMF), MIKE-IDP, PMul, .... Gemeinsames Verständnis in den Nationen für den Migrationspfad zu IPv6 und die Basistechnologien Ausblick Folgeprojekt: Coalition Network for Secure Information Sharing ( CoNSIS ) Service-oriented Architecture (SOA) IP-Integration der Tactical Data Links (TDL) Multi Level Security (protected Labeling) Verteiltes Management von Koalitionsnetzen

27 Weitere Informationen
Peter Sevenich FKIE/KOM Neuenahrer Str. 20 D Wachtberg Germany Tel.: +49 (228) Fax: +49 (228) Mail:

28 Veröffentlichungen R. Goode, P.Guivarch & P. Sevenich; IPv6 for Coalition Network Enabled Capability, Proceedings of Military Communications Conference (MILCOM) (pp. 1-6), Washington, USA: IEEE 2006 T. Aurisch, T. Ginzler, P. Martini, H. Seifert, T. H. Tran, R. Ogden; Automatic Multicast IPSec by using a Proactive IPSec Discovery Protocol and a Group Key Management; Military Communication Conference 2007 T. Aurisch, D. Dahlberg, M. Lies, P. Sevenich; An approach towards traffic flow confidentiality in military IPsec protected networks; Military Communication Conference 2009

Herunterladen ppt "Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC Peter Sevenich 20. Mai 2010."

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Eric Dahl, Axel Emmer, Andreas Schmitt

Eric Dahl, Axel Emmer, Andreas Schmitt
Rechnernetze und verteilte Systeme (BSRvS II)

Rechnernetze und verteilte Systeme (BSRvS II)
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
© 2003 Marc Dörflinger Spontane Vernetzung 9. Jänner 2004 Spontane Vernetzung Patrick Brunner, Guido Badertscher, Marc Dörflinger.

© 2003 Marc Dörflinger Spontane Vernetzung 9. Jänner 2004 Spontane Vernetzung Patrick Brunner, Guido Badertscher, Marc Dörflinger.
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.

2 Kommunikationssysteme bieten Kommunikationsdienste an, die das Senden und Empfangen von Nachrichten erlauben (sending & receiving messages) bestehen.
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Standortfaktoren INTERN - Ausdrucksstark präsentieren.

Standortfaktoren INTERN - Ausdrucksstark präsentieren.
NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.

NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.
Analyse von Voice-over-IP-Software im Vergleich zu Hardwarelösungen und Integration in ein bestehendes, heterogenes VoIP-Netz Auswertung und Empfehlung.

Analyse von Voice-over-IP-Software im Vergleich zu Hardwarelösungen und Integration in ein bestehendes, heterogenes VoIP-Netz Auswertung und Empfehlung.
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.
Prof. Dr. Peter Martini Institutsleiter Fraunhofer-FKIE

Prof. Dr. Peter Martini Institutsleiter Fraunhofer-FKIE
Konsequenzen aus dem AFGHAN Mission Network für die FüInfoSys in der Bundeswehr Referat M II / IT 5 Oberst i.G. Peter Tönges.

Konsequenzen aus dem AFGHAN Mission Network für die FüInfoSys in der Bundeswehr Referat M II / IT 5 Oberst i.G. Peter Tönges.
Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.

Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.
Voice-over- IP bei der GWDG

Voice-over- IP bei der GWDG
OSI-Schichtenmodell Unterschiedliche Rechner brauchen eine gemeinsame Basis, um sich miteinander zu „unterhalten“. Geklärt werden muss dabei u. a. Folgendes:

OSI-Schichtenmodell Unterschiedliche Rechner brauchen eine gemeinsame Basis, um sich miteinander zu „unterhalten“. Geklärt werden muss dabei u. a. Folgendes:
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Ähnliche Präsentationen

Google-Anzeigen