Embedded IPsec VPN Implementation für low-end embedded Systeme “Tag der Entwickler” – 7. Juli 2004 – M,O,C, München Christian Scheurer 1 „D&E - Tag der.

Slides:

Advertisements

Ähnliche Präsentationen

Advertisements

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Datenbankzugriff über ISAPI-Webservererweiterungen

Ethernet Powerlink Safety (EPLsafety) Volker Sasse , KW-Software

Thin Clients und SmartCards an der HU

Rechnernetze und verteilte Systeme (BSRvS II)

Software Distribution Platform Bernhard M. Wiedemann Problem Statement Current State of the Art Design.

JIRA-Anbindung an BPEL Human-Task Prozesse Markus Huber

Die vorgeschlagene adaptive Methode filtriert die TCP/IP Verkehr auf der Basis von dem adaptiven Lernen einer KNN mit Paketen-Headers, die verschiedenen.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

eXist Open Source Native XML Database

Erweiterung B2B Usermanagement / LDAP-Anbindung

Fallstudie. 2 Statistik April Dokumente Jan Mio. Dokumente Performance 3 Mio. Queries pro Tag 9. Juni 2000 Most popular search engines.

Konfiguration eines VPN Netzwerkes

Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber.

Das Alternating-Bit-Protokoll: Modellierung und Verifikation

Embedded Applications

Virtual Private Network (VPN)

Virtual Private Networks

Virtual Private Network

NetUSE Web Application Framework Kai Voigt NetUSE AG 28. Februar 2003.

n4 Streaming Media System

Beschleunigung Virtueller Privater Netze durch Netzwerkprozessoren

10 Standorte in Deutschland

VPN Virtual Private Network

Der CTBot Die Robotik kommt ins Haus Preiswerte alternative als Bausatz Simulator.

Service Location Protocol Ein Service Discovery Protokoll Patric Zbinden 20. März 2003.

VPN Virtual Private Network

Online Reservierungssytem ReSys. Einleitung Gruppenmitglieder Auftrag Technologie Eingesetzte Technologie Softwarearchitektur Software-Design Use-Cases.

Institut für Wirtschaftsinformatik und Anwendungssysteme

Grundlagen der Informatik 4 Lehrstuhl für Betriebssysteme 1 Wie werden Funktionen realisiert? Beispiel: int maximum(int x, int y) { int j = x; if (y >

Embedded Systems Prof. Dr. H. Kristl

Virtual Private Network

Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

VPN Zugang zwischen zwei Standorten über das Internet

teKRY409 Referat Bernet: Schlüsselmanagement

Herbstseminar 2005 is-it-on Informationstechnologie und Neue Medien GmbH Firmensitz: 3543 Krumau am Kamp 133 Geschäftsstelle Krems: 3500 Krems, Magnesitstraße.

Christian Schindelhauer Sommersemester Vorlesung

Virtual Private Network

VPN – Virtual Private Network

Die Kunst des Programmierens...

Universität Heidelberg Rechenzentrum H. Heldt / J. Peeck Laptop-Zugang zum HD-Net Netzfort

Pretty Good Privacy Public Encryption for the Masses

Virtual Private Network

Projektarbeit – SS08 Kai Aras

1 Bienvenue! Herzlich willkommen! Welcome! Christian Scheurer Ingenieur FH in Informatik Embedded World Conference Nürnberg, 17. Februar 2004.

N etzsicherheit auf 8- und 16-Bit Systemen “Tag der Entwickler” – 7. Juli 2004 – M,O,C, München Christian Scheurer 1 Berner Fachhochschule Hochschule für.

Hans Laubisch Expert Student Partner Microsoft Student Partners DE e Windows Azure Windows Azure VPN (mit Windows Server)

Virtual Private Network

Test 1 Test 2 Test 3. Test 4 Test 5 Test 6 Test 7 Test 8 Test 9.

VPN/IPsec Grundlagen und praktische Erfahrungen in der Kopplung von Linux (FreeS/WAN) und Windows 2000 Holm Sieber Alexander Schreiber.

Thomas Tretter, 30. September 2003RAC unter Linux: Erfahrungen und Tipps1 RAC unter Linux Erfahrungen und Tipps 30. September 2003.

Technik und Informatik Project STUMR Team „olimination“ Datum 18. Januar 2011 Eine Präsentation von: Remo Albertani Oliver Burkhalter Steven Heller Thomas.

Technik und Informatik Project STUMR Team „olimination“ Datum 18. Januar 2011 Eine Präsentation von: Remo Albertani Oliver Burkhalter Steven Heller Thomas.

1Crypto AG / P_M_HC-2650-Course-Notes-d_0833_rd.PPT Training and Education HC-2650 Kursunterlagen.

LINUX II Harald Wegscheider

Faiumoni e. V. IPv6 für Server Hendrik Brummermann.

Geräteverwaltung mit der Cloud

Othmar Gsenger Erwin Nindl Christian Pointner

VPN (Virtual private Network)

Netzwerke Netzwerkgrundlagen.

Security Labor MitM-Demonstration

PC2 PC1 Router IP: MAC: AA:AA:AA:11:11:11

© 2009 Morgan Kaufmann.. © 2009 Morgan Kaufmann.

Medizinische Informatik

Integrating Knowledge Discovery into Knowledge Management

IPv6 - vier Gründe dafür P. Maaß, M. Dienert

Präsentation transkript:

embedded IPsec VPN Implementation für low-end embedded Systeme “Tag der Entwickler” – 7. Juli 2004 – M,O,C, München Christian Scheurer 1 „D&E - Tag der Entwickler“ - M,O,C München, 07. Juli 2004

2 Hintergrund, Motivation und Ziele Design und Implementation Testen Ergebnisse Übersicht

3 Hintergrund 2003: Sicherheit für vernetzte Systeme: Passwort 2004: Zahlreiche Angebote zum Thema Fernwartung über GSM 200x: Vernetzt über öffentliche Netze

4 Motivation Offene IPsec Implementation ausgelegt für low-end embedded Systeme Interoperabilität mit andern IPsec Systemen

5 Vorbereitung: Verständnis IPsec verstehen –Literatur Big Book of IPsec RFCs ( Peter Loshin, Morgan Kaufmann 2000) Netzsicherheit (Günter Schäfer, dpunkt Verlag 2003) Praktische Tests - Linux Kernel FreeS/WAN (jetzt OpenS/WAN, StrongS/WAN)

6 Vorbereitung: Arbeitsplatz Entwicklungsumgebung – PC mit Keil uVision IDE und Sniffer – VMware Workstation (oder PC) mit FreeS/WAN und Linux Kernel 2.6 IPsec –C167-Board –10Mbit Ethernet Hub

7 Design embedded IPsec Module

8 Implementation der Module Reihenfolge Implementation: 1.) Anbindung an TCP/IP Stack 2.) Konfigurationsdatenbanken 3.) Crypto Funktionen 4.) AH Protokoll 5.) ESP Protokoll 6.) AntiReplay,...

9 ipsecdev / ipsec Module „ipsecdev“

10 lwIP TCP/IP Stack TCP/IP Stack CS8900 Driver lwIP – a light weight TCP/IP Stack

11 IPsec Integration Traffic Interception IPsec Library IPsec Driver

12 IPsec Datenbank Module SPD und SAD

13 Security Policy Database Welche Pakete werden verarbeitet? –DISCARD  –BYPASS  –APPLY 

14 Security Policy Database Beispiel einer SPD Konfiguration

15 Security Association Database Wie werden Pakete verarbeitet? –Tunnel oder Transport Mode –AH oder ESP –Algorithmen und Keys –Security Parameter Index

16 Security Association Database Beispiel einer SAD Konfiguration

17 Outbound Processing Datenfluss bei Outbound Processing SA

18 AH / ESP / Crypto - Module AH und ESP

19 Crypto - Library Crypto Funktionen von OpenSSL –DES, 3DES –HMAC-MD5-96, HMAC-SHA1-96 Für MCU optimierte Versionen –Dmitry Basko‘s DES –Graham Cole‘s MD5

20 Authentication Header

21 Encapsulating Security Payload

22 Speicherverwaltung

23 Testen Test-Konzept

24 Structural Tests TST sa_test_sad_lookup() : SUCCESS : TST sa_test_sad_get_spi(): SUCCESS : TST sa_test_spd_flush() : NOT IMPL. : TST sa_test_sad_flush() : NOT IMPL. : TST test_esp_decapsulate : SUCCESS : TST test_esp_encapsulate : SUCCESS : MSG main : structural testing finished: MSG main : o % correct (92 of 92 tests passed) MSG main : o 82.61% complete (19 of 23 functions implemented)

25 Functional Tests

26 Ergebnisse: Grösse Grösse Protokolle und DB total 18kB Crypto Library auf OpenSSL Basis total 90kB

27 Ergebnisse: Performance Performance 64 Bytes Ohne: 5 mS AH-MD5:19 mS ESP-3DES:60 mS 512 Bytes Ohne: 8 mS AH-MD5:38 mS ESP-3DES:351 mS 1280 Bytes Ohne: 13 mS AH-MD5:165 mS ESP-3DES:851 mS

28 Einsatzgebiete –Vernetzte Sensoren –Gebührenzähler

29 Interoperabilität Aus Linux Kernel (./net/ipv4/esp4.c):.. esph = (struct ip_esp_hdr*)skb->data; iph = skb->nh.iph; /* Get ivec. This can be wrong, check against another impls. */ if (esp->conf.ivlen) crypto_cipher_set_iv(esp->conf.tfm, esph->enc_data, crypto_tfm_alg_ivsize(esp->conf.tfm)); { u8 nexthdr[2];...

30 16-Bit Demo Demo

31 Versuchs-Aufbau 16-Bit (Infineon C167) 8-Bit (ATMEL AVR) Laptop (grau) Laptop (schwarz) Hub