Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC Peter Sevenich 20. Mai 2010
Forschung für Verteidigung und Sicherheit Kommunikation Cyber Defence Mobile Ad-hoc-Netze Informationsverarbeitung Detektion von Gefahrenstoffen Führungsinformations- systeme Ergonomie Mensch-Computer-Interaktion Fluglotsenarbeitsplätze FKIE, Wachtberg
Ergebnisse des multinationalen IPv6 - Test – und Demonstrationsprojektes INSC INSC (Motivation, Beteiligung, Arbeitsweise) INSC Architektur und IPv6 Bezug IPv6 in Funknetzen Sicherung von IPv6-Netzen mit IPsec Empfehlungen zu IPv6 Migrationmechanismen IPv6 – Migration der Bundeswehr Zusammenfassung
Interoperable Networks for Secure Communications (INSC) Memorandum of Understanding (MoU) CA, US, FR, GE, UK, NO, NL, IT und NATO als Beobachter Umsetzung in 2 Phasen zwischen 2/2001 und 2/2007 DEU: IT-Amt Bw, FKIE, IABG, Thales Deutschland, WTD 81 Greding Ziel: Schaffung einer transparenten Netzwerkarchitektur auf Basis von IPv6- Technologie, die einen barrierefreien und sicheren Informationsaustausch zwischen allen Hierarchieebenen (vertikaler Ansatz) und mit Koalitionspartnern (horizontaler Ansatz) in der militärischen Kommunikation ermöglicht. IPv6 natürlicher Kandidat Adressvorrat Ende – zu – Ende Ansatz IPSec Einbettung
INSC Architektur (1) Bis zu 100 Router, 40 IPSec, 400 Endsysteme und mobilen Anteilen
INSC Architektur (2) MWAN Topologie
INSC Architektur (3) CRC (CA) Netzanleil
INSC Architektur (4) GE Test Bed
IPv6 über HF und VHF, der Show-Stopper? Fragestellung: Kann man Sprache zusammen mit zusätzlichen Daten via IPv6 gesichert über HF übertragen? --- Randbedingung --- Eingeführtes HF – Equipment ! IPv6-Tunnel-Header ESP-Header IPv6-Header Vocoderdaten Vocodertyp (kBit/s) 1.2 2.4 4.8 Sprache ohne IPSec ohne HR. (Byte/s) 475 833 1616 Sprache mit IPSec ohne HR. (Byte/s) 910 1442 3040 Sprache mit IPSec mit HR. (Byte/s) 655 1085 2224 Sprache mit IPSec mit HR. (IPSec) mit HP. (Byte/s) 455 805 1584
Multipexen von Paketen auf schmalbandigen Links Fragmentierung zusätzlicher Daten Zeitkritischer Datenstrom mit niedriger Priorität Zeitkritischer Datenstrom mit höherer Priorität Konventioneller Datenstrom mit niedriger Priorität Sequenz der Pakete und Fragmente auf dem schmalbandigen Kanal
Sichere integrierte Sprach-Datenübertragung PC-Phone, Mail, WWW Robuste Anwendungen : - PC-Phone (zeitkritisch), PMul (multicast) - QoS, und Prioritäten - Schmalband Vocoder (STANAG 4591) - Zuverlässiger Verbundungsauf- und Abbau - Stabile verbindungslose Sprachübertragung (UDP) - Effiziente Bandbreitennutzung Sicherheitskonzept: IPSec on Security Gateway und Headerkomprimierung Effizientes Management von schmalen Links (QoS) - Multiplexen von zeitkritischen und konventionellen Daten - Reduction & Kompressionvon Protocol Informationen - Prioritäts Management - EMCON IPSec Network Adapter ISDN, GSM, HF Network Adapter IPSec PC-Phone, Mail, WWW
Nachweis: VoIPv6 mit zusätzlichen Daten mit CRC (CA) Später : Verifikation von Thales für SEM- VHF Geräte Heute : IPv6 integraler Bestandteil nationaler SDR-Programme (z.B. JTRS)
Problem: Nutzdatenschutz durch IPsec ist in dynamischen Netzen nicht handhabbar ; Goodbye Sicherheits Architektur ? Aufbau von Virtual Private Networks (VPN) mittels IPsec zur sicheren Vernetzung; integraler Bestandteil von IPv6 Nutzung des Sicherheitsprotokolls Encapsulating Security Payload (ESP)
Lösung: Technologien des IDP-MIKE-Systems IDP-MIKE-System zur Realisierung eines effizienten, skalierbarer Nutzdatenschutzes für große und Dynamische Netze. selbst konfigurierend selbst heilend
Schlüsselbereitstellung für den Nutzdatenschutz Einsatzumfeld ermöglicht keine zusätzliche Hardware Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE) Gruppenschlüsselbereitstellung
Multicast Internet Key Exchange (MIKE) Effiziente Bereitstellung eines gemeinsamen Schlüssels für Berechtigte Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels Key Agreement arbeitet verteilt Key Distribution ist Server-basiert fehlertolerant effizient
IPsec Discovery Protocol (IDP) Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten Software TIBER realisiert IPsec Discovery Protocol Automatische Lokalisierung verfügbarer IPsec-Komponenten Signalisierung von JOIN, LEAVE an das Schlüsselmanagement MIKE
Public Key Infrastructure (PKI) Zentrales Vertrauensmodell Autorisierung zur Teilnahme mittels Zertifikat Authentisierung beim Gruppenbeitritt Ausschluss eines Nutzers (EJECT) Verteilung einer Widerrufliste Schlüsselwechsel durch das IDP-MIKE-System
Funktionsprinzip des IDP-MIKE-Systems IDP-MIKE-System zum effizienten, automatischen, skalierbaren Nutzdatenschutz
Skalierbarkeit Nutzdatenschutz für Punkt-zu-Punkt-Verbindungen (IP Unicast) Punkt-zu-Mehrpunkt-Verbindungen (IP Multicast) Betriebsmoduswechsel des Schlüsselmanagements MIKE Berechungsaufwand zur Umwandlung des Schlüsselbaums Kein Kommunikationsaufwand Key Agreement Key Distribution
Einsatzzweck der Mechanismen Einsatz / Mission JOIN, LEAVE, Batched Rekeying zur Bildung von Einheiten EJECT zum Ausschluss kompromittierter Nutzer MERGE, PARTITION bei Netzaufteilung, -verschmelzung Vorbereitung Durchführung Abschluss - JOIN - LEAVE - Batched Rekeying - EJECT - MERGE - PARTITION - JOIN - LEAVE - Batched Rekeying
Sicherheitsmaßnahmen im Kommunikationsserver Bw Nutzdatenschutz durch IPsec IDP-MIKE-System zur Schlüsselbereitstellung bzw. IPsec-Konfiguration Transport von QoS-Informationen im Extension-Header
INSC Untersuchungen zu gemischten IPv4 und IPv6 Netzen INSC Testnetz unter dem Gesichtspunkt der v4/v6 Migration bzw. Koexistenz
Empfehlungen aus INSC zu den Migrationsansätzen Basis: Im Rahmen von INSC wurde zum einen in einer theoretischen Analyse die Eignung der jeweiligen Methoden in den verschiedenen, relevanten Szenaren und Architekturen untersucht. Zum anderen wurden aber auch vorhandene Implementierungen dieser Ansätze praktisch evaluiert und getestet. Prinzipiell ist festzustellen, dass die zwei Varianten Dual Stack und Tunneling einfach und ohne großen Aufwand nachträglich in eine bestehende Infrastruktur eingebracht werden können. Translation hingegen ist nur bedingt einsetzbar, da diese sehr stark von den eingesetzten Plattformen, Betriebssystemen und Anwendungen abhängt.
IPv6 – Migration der Bundeswehr seit 1996 Untersuchungen am FKIE im Hinblick auf IPv6 Nutzung 2003: Erlass BMVg legt für die zukünftige Ausrichtung der Kommunikationssyteme den Einsatz des Internet-Protokolls (IP) in der Version 6 (IPv6) fest. Migrationsrahmenkonzept IPv4-IPv6 ist gebilligt IT-Adressierungsrahmenkonzept liegt zur Billigung durch das BMVg vor RIPE hat an das BMI einen /26 Adressraum zugewiesen ans BMVg wird daraus vorerst ein /30 Adressraum zugewiesen Vorgeschaltete Studie im Hinblick auf IPv6 Migration und bestehende IT-Sicherheitsarchitektur
Zusammenfassung & Ausblick INSC hat eine Vielzahl von Ergebnissen geliefert die in Internationale und Nationale Projekte eingehen: z.B. NNEC FS, Prototyp IPv6-SINA, KommServer Bw, SVFuA, IETF (Mobile Ad-Hoc Netze: OLSR, SMF), MIKE-IDP, PMul, .... Gemeinsames Verständnis in den Nationen für den Migrationspfad zu IPv6 und die Basistechnologien Ausblick Folgeprojekt: Coalition Network for Secure Information Sharing ( CoNSIS ) Service-oriented Architecture (SOA) IP-Integration der Tactical Data Links (TDL) Multi Level Security (protected Labeling) Verteiltes Management von Koalitionsnetzen
Weitere Informationen Peter Sevenich FKIE/KOM Neuenahrer Str. 20 D-53343 Wachtberg Germany Tel.: +49 (228) 9435-317 Fax: +49 (228) 9435-16317 Mail: peter.sevenich@fkie.fraunhofer.de
Veröffentlichungen R. Goode, P.Guivarch & P. Sevenich; IPv6 for Coalition Network Enabled Capability, Proceedings of Military Communications Conference (MILCOM) (pp. 1-6), Washington, USA: IEEE 2006 T. Aurisch, T. Ginzler, P. Martini, H. Seifert, T. H. Tran, R. Ogden; Automatic Multicast IPSec by using a Proactive IPSec Discovery Protocol and a Group Key Management; Military Communication Conference 2007 T. Aurisch, D. Dahlberg, M. Lies, P. Sevenich; An approach towards traffic flow confidentiality in military IPsec protected networks; Military Communication Conference 2009