Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© Fraunhofer FKIE Peter Sevenich 20. Mai 2010 Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC.

Ähnliche Präsentationen


Präsentation zum Thema: "© Fraunhofer FKIE Peter Sevenich 20. Mai 2010 Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC."—  Präsentation transkript:

1 © Fraunhofer FKIE Peter Sevenich 20. Mai 2010 Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC

2 © Fraunhofer FKIE 2 Forschung für Verteidigung und Sicherheit Kommunikation Cyber Defence Mobile Ad-hoc-Netze Informationsverarbeitung Detektion von Gefahrenstoffen Führungsinformations- systeme Ergonomie Mensch-Computer-Interaktion Fluglotsenarbeitsplätze FKIE, Wachtberg

3 © Fraunhofer FKIE 3 Ergebnisse des multinationalen IPv6 - Test – und Demonstrationsprojektes INSC INSC (Motivation, Beteiligung, Arbeitsweise) INSC Architektur und IPv6 Bezug IPv6 in Funknetzen Sicherung von IPv6-Netzen mit IPsec Empfehlungen zu IPv6 Migrationmechanismen IPv6 – Migration der Bundeswehr Zusammenfassung

4 © Fraunhofer FKIE 4 Interoperable Networks for Secure Communications (INSC) Memorandum of Understanding (MoU) CA, US, FR, GE, UK, NO, NL, IT und NATO als Beobachter Umsetzung in 2 Phasen zwischen 2/2001 und 2/2007 DEU: IT-Amt Bw, FKIE, IABG, Thales Deutschland, WTD 81 Greding Ziel: Schaffung einer transparenten Netzwerkarchitektur auf Basis von IPv6- Technologie, die einen barrierefreien und sicheren Informationsaustausch zwischen allen Hierarchieebenen (vertikaler Ansatz) und mit Koalitionspartnern (horizontaler Ansatz) in der militärischen Kommunikation ermöglicht. IPv6 natürlicher Kandidat Adressvorrat Ende – zu – Ende Ansatz IPSec Einbettung

5 © Fraunhofer FKIE 5 INSC Architektur (1) Bis zu 100 Router, 40 IPSec, 400 Endsysteme und mobilen Anteilen

6 © Fraunhofer FKIE 6 INSC Architektur (2) MWAN Topologie

7 © Fraunhofer FKIE 7 INSC Architektur (3) CRC (CA) Netzanleil

8 © Fraunhofer FKIE 8 INSC Architektur (4) GE Test Bed

9 © Fraunhofer FKIE 9 IPv6 über HF und VHF, der Show-Stopper? Fragestellung: Kann man Sprache zusammen mit zusätzlichen Daten via IPv6 gesichert über HF übertragen? --- Randbedingung --- Eingeführtes HF – Equipment ! IPv6-Tunnel-Header ESP-HeaderIPv6-HeaderVocoderdaten Vocodertyp (kBit/s) Sprache ohne IPSec ohne HR. (Byte/s) Sprache mit IPSec ohne HR. (Byte/s) Sprache mit IPSec mit HR. (Byte/s) Sprache mit IPSec mit HR. (IPSec) mit HP. (Byte/s)

10 © Fraunhofer FKIE 10 Multipexen von Paketen auf schmalbandigen Links Fragmentierung zusätzlicher Daten Zeitkritischer Datenstrom mit niedriger Priorität Zeitkritischer Datenstrom mit höherer Priorität Konventioneller Datenstrom mit niedriger Priorität Sequenz der Pakete und Fragmente auf dem schmalbandigen Kanal

11 © Fraunhofer FKIE 11 Sichere integrierte Sprach-Datenübertragung Robuste Anwendungen : - PC-Phone (zeitkritisch), PMul (multicast) - QoS, und Prioritäten - Schmalband Vocoder (STANAG 4591) - Zuverlässiger Verbundungsauf- und Abbau - Stabile verbindungslose Sprachübertragung (UDP) - Effiziente Bandbreitennutzung Sicherheitskonzept: IPSec on Security Gateway und Headerkomprimierung Effizientes Management von schmalen Links (QoS) - Multiplexen von zeitkritischen und konventionellen Daten - Reduction & Kompressionvon Protocol Informationen - Prioritäts Management - EMCON Network Adapter IPSec PC-Phone, Mail, WWW IPSec PC-Phone, Mail, WWW ISDN, GSM, HF

12 © Fraunhofer FKIE 12 Nachweis: VoIPv6 mit zusätzlichen Daten mit CRC (CA) Später : Verifikation von Thales für SEM- VHF Geräte Heute : IPv6 integraler Bestandteil nationaler SDR-Programme (z.B. JTRS)

13 © Fraunhofer FKIE 13 Problem: Nutzdatenschutz durch IPsec ist in dynamischen Netzen nicht handhabbar ; Goodbye Sicherheits Architektur ? Aufbau von Virtual Private Networks (VPN) mittels IPsec zur sicheren Vernetzung; integraler Bestandteil von IPv6 Nutzung des Sicherheitsprotokolls Encapsulating Security Payload (ESP)

14 © Fraunhofer FKIE 14 Lösung: Technologien des IDP-MIKE-Systems IDP-MIKE-System zur Realisierung eines effizienten, skalierbarer Nutzdatenschutzes für große und Dynamische Netze. selbst konfigurierend selbst heilend

15 © Fraunhofer FKIE 15 Schlüsselbereitstellung für den Nutzdatenschutz Einsatzumfeld ermöglicht keine zusätzliche Hardware Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE) Gruppenschlüsselbereitstellung

16 © Fraunhofer FKIE 16 Multicast Internet Key Exchange (MIKE) Effiziente Bereitstellung eines gemeinsamen Schlüssels für Berechtigte Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels Key Agreement arbeitet verteilt Key Distribution ist Server-basiert fehlertolerant effizient

17 © Fraunhofer FKIE 17 IPsec Discovery Protocol (IDP) Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten Software TIBER realisiert IPsec Discovery Protocol Automatische Lokalisierung verfügbarer IPsec-Komponenten Signalisierung von JOIN, LEAVE an das Schlüsselmanagement MIKE

18 © Fraunhofer FKIE 18 Public Key Infrastructure (PKI) Zentrales Vertrauensmodell Autorisierung zur Teilnahme mittels Zertifikat Authentisierung beim Gruppenbeitritt Ausschluss eines Nutzers (EJECT) Verteilung einer Widerrufliste Schlüsselwechsel durch das IDP-MIKE-System

19 © Fraunhofer FKIE 19 Funktionsprinzip des IDP-MIKE-Systems IDP-MIKE-System zum effizienten, automatischen, skalierbaren Nutzdatenschutz

20 © Fraunhofer FKIE 20 Skalierbarkeit Nutzdatenschutz für Punkt-zu-Punkt-Verbindungen (IP Unicast) Punkt-zu-Mehrpunkt-Verbindungen (IP Multicast) Betriebsmoduswechsel des Schlüsselmanagements MIKE Berechungsaufwand zur Umwandlung des Schlüsselbaums Kein Kommunikationsaufwand Key AgreementKey Distribution

21 © Fraunhofer FKIE 21 JOIN, LEAVE, Batched Rekeying zur Bildung von Einheiten EJECT zum Ausschluss kompromittierter Nutzer MERGE, PARTITION bei Netzaufteilung, -verschmelzung Einsatzzweck der Mechanismen DurchführungVorbereitung Abschlus s - JOIN - LEAVE - Batched Rekeying - EJECT - MERGE - PARTITION Einsatz / Mission - JOIN - LEAVE - Batched Rekeying

22 © Fraunhofer FKIE 22 Sicherheitsmaßnahmen im Kommunikationsserver Bw Nutzdatenschutz durch IPsec IDP-MIKE-System zur Schlüsselbereitstellung bzw. IPsec-Konfiguration Transport von QoS-Informationen im Extension-Header

23 © Fraunhofer FKIE 23 INSC Untersuchungen zu gemischten IPv4 und IPv6 Netzen INSC Testnetz unter dem Gesichtspunkt der v4/v6 Migration bzw. Koexistenz

24 © Fraunhofer FKIE 24 Empfehlungen aus INSC zu den Migrationsansätzen Basis: Im Rahmen von INSC wurde zum einen in einer theoretischen Analyse die Eignung der jeweiligen Methoden in den verschiedenen, relevanten Szenaren und Architekturen untersucht. Zum anderen wurden aber auch vorhandene Implementierungen dieser Ansätze praktisch evaluiert und getestet. Prinzipiell ist festzustellen, dass die zwei Varianten Dual Stack und Tunneling einfach und ohne großen Aufwand nachträglich in eine bestehende Infrastruktur eingebracht werden können. Translation hingegen ist nur bedingt einsetzbar, da diese sehr stark von den eingesetzten Plattformen, Betriebssystemen und Anwendungen abhängt.

25 © Fraunhofer FKIE 25 IPv6 – Migration der Bundeswehr seit 1996 Untersuchungen am FKIE im Hinblick auf IPv6 Nutzung 2003: Erlass BMVg legt für die zukünftige Ausrichtung der Kommunikationssyteme den Einsatz des Internet-Protokolls (IP) in der Version 6 (IPv6) fest. Migrationsrahmenkonzept IPv4-IPv6 ist gebilligt IT-Adressierungsrahmenkonzept liegt zur Billigung durch das BMVg vor RIPE hat an das BMI einen /26 Adressraum zugewiesen ans BMVg wird daraus vorerst ein /30 Adressraum zugewiesen Vorgeschaltete Studie im Hinblick auf IPv6 Migration und bestehende IT-Sicherheitsarchitektur

26 © Fraunhofer FKIE 26 Zusammenfassung & Ausblick Zusammenfassung INSC hat eine Vielzahl von Ergebnissen geliefert die in Internationale und Nationale Projekte eingehen: z.B. NNEC FS, Prototyp IPv6-SINA, KommServer Bw, SVFuA, IETF (Mobile Ad-Hoc Netze: OLSR, SMF), MIKE-IDP, PMul,.... Gemeinsames Verständnis in den Nationen für den Migrationspfad zu IPv6 und die Basistechnologien Ausblick Folgeprojekt: Coalition Network for Secure Information Sharing ( CoNSIS ) Service-oriented Architecture (SOA) IP-Integration der Tactical Data Links (TDL) Multi Level Security (protected Labeling) Verteiltes Management von Koalitionsnetzen

27 © Fraunhofer FKIE 27 Weitere Informationen Peter Sevenich FKIE/KOM Neuenahrer Str. 20 D Wachtberg Germany Tel.: +49 (228) Fax: +49 (228) Mail:

28 © Fraunhofer FKIE 28 Veröffentlichungen R. Goode, P.Guivarch & P. Sevenich; IPv6 for Coalition Network Enabled Capability, Proceedings of Military Communications Conference (MILCOM) (pp. 1-6), Washington, USA: IEEE 2006 T. Aurisch, T. Ginzler, P. Martini, H. Seifert, T. H. Tran, R. Ogden; Automatic Multicast IPSec by using a Proactive IPSec Discovery Protocol and a Group Key Management; Military Communication Conference 2007 T. Aurisch, D. Dahlberg, M. Lies, P. Sevenich; An approach towards traffic flow confidentiality in military IPsec protected networks; Military Communication Conference 2009


Herunterladen ppt "© Fraunhofer FKIE Peter Sevenich 20. Mai 2010 Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC."

Ähnliche Präsentationen


Google-Anzeigen