© fraunhofer fkie peter sevenich 20. mai 2010 ergebnisse des multinationalen ipv6 – test – und...
TRANSCRIPT
© Fraunhofer FKIE
Peter Sevenich
20. Mai 2010
Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC
© Fraunhofer FKIE
2
Forschung für Verteidigung und Sicherheit
Kommunikation Cyber Defence Mobile Ad-hoc-Netze
Informationsverarbeitung Detektion von
Gefahrenstoffen Führungsinformations-
systeme
Ergonomie Mensch-Computer-Interaktion Fluglotsenarbeitsplätze
FKIE, Wachtberg
© Fraunhofer FKIE
3
Ergebnisse des multinationalen IPv6 - Test – und Demonstrationsprojektes INSC
INSC (Motivation, Beteiligung, Arbeitsweise)
INSC Architektur und IPv6 Bezug
IPv6 in Funknetzen
Sicherung von IPv6-Netzen mit IPsec
Empfehlungen zu IPv6 Migrationmechanismen
IPv6 – Migration der Bundeswehr
Zusammenfassung
© Fraunhofer FKIE
4
Interoperable Networks for Secure Communications (INSC)
Memorandum of Understanding (MoU)
CA, US, FR, GE, UK, NO, NL, IT und NATO als Beobachter
Umsetzung in 2 Phasen zwischen 2/2001 und 2/2007
DEU: IT-Amt Bw, FKIE, IABG, Thales Deutschland, WTD 81 Greding
Ziel:Schaffung einer transparenten Netzwerkarchitektur auf Basis von IPv6-Technologie, die einen barrierefreien und sicheren Informationsaustauschzwischen allen Hierarchieebenen (vertikaler Ansatz) und mit Koalitionspartnern(horizontaler Ansatz) in der militärischen Kommunikation ermöglicht.
IPv6 natürlicher Kandidat
Adressvorrat Ende – zu – Ende Ansatz IPSec Einbettung
© Fraunhofer FKIE
5
INSC Architektur (1)
Bis zu 100 Router, 40 IPSec, 400 Endsysteme und mobilen Anteilen
BGPPeering
JCWAN –Joint Commander Wide Area NetworkMWAN–Maritime Wide Area NetworkLWAN–Land Wide Area NetworkCLAN–Coalition Local Area Network
JCWANJCWAN
MWANMWAN LWANLWAN
Nation 1Nation 1
Nation 2Nation 2
Nation 1Nation 1
Nation 2Nation 2
Nation 1Nation 1
Nation 2Nation 2
CLANNation 2
IPsecIPsec
CLANNation 1
CLANNation 2
CLANNation 2
CLANNation 1
CLANNation 2
CLANNation 1
IPsecIPsec
IPsecIPsec
IPsecIPsec
IPsecIPsec
IPsecIPsec
IPsecIPsec
CLANNation 2
IPsecIPsec
BGPPeering
JCWAN –Joint Commander Wide Area NetworkMWAN–Maritime Wide Area NetworkLWAN–Land Wide Area NetworkCLAN–Coalition Local Area Network
JCWANJCWAN
MWANMWAN LWANLWAN
Nation 1Nation 1
Nation 2Nation 2
Nation 1Nation 1
Nation 2Nation 2
Nation 1Nation 1
Nation 2Nation 2
CLANNation 2
IPsecIPsec
CLANNation 1
CLANNation 2
CLANNation 2
CLANNation 1
CLANNation 2
CLANNation 1
IPsecIPsec
IPsecIPsec
IPsecIPsec
IPsecIPsec
IPsecIPsec
IPsecIPsec
CLANNation 2
IPsecIPsec
© Fraunhofer FKIE
6
INSC Architektur (2)
MWAN Topologie
Tunnels over Internet
Tunnels over IPv6 (6Bone)
bidirectional ISDN
HF
64 Kbps
64 Kbps
UK
CA
NL
US
ITNO
GE
FR
NC3A
128 Kbps
128 Kbps
© Fraunhofer FKIE
7
INSC Architektur (3)
CRC (CA) Netzanleil
© Fraunhofer FKIE
8
INSC Architektur (4)
GE Test Bed
© Fraunhofer FKIE
9
IPv6 über HF und VHF, der Show-Stopper? Fragestellung:
Kann man Sprache zusammen mit zusätzlichen Daten via IPv6 gesichert über HF übertragen? --- Randbedingung --- Eingeführtes HF – Equipment !
IPv6-Tunnel-Header ESP-Header IPv6-Header Vocoderdaten
Vocodertyp (kBit/s) 1.2 2.44.8Sprache ohne IPSec ohne HR. (Byte/s) 475 833 1616Sprache mit IPSec ohne HR. (Byte/s) 910 14423040Sprache mit IPSec mit HR. (Byte/s) 655 10852224Sprache mit IPSec mit HR. (IPSec) mit HP. (Byte/s) 455 8051584
© Fraunhofer FKIE
10
Multipexen von Paketen auf schmalbandigen Links
Fragmentierung zusätzlicher Daten
Zeitkritischer Datenstrom mit niedriger Priorität
Zeitkritischer Datenstrom mit höherer Priorität
Konventioneller Datenstrom mit niedriger Priorität
Sequenz der Pakete und Fragmente auf dem schmalbandigen Kanal
© Fraunhofer FKIE
11
Sichere integrierte Sprach-Datenübertragung
Robuste Anwendungen :
- PC-Phone (zeitkritisch), PMul (multicast)
- QoS, und Prioritäten
- Schmalband Vocoder (STANAG 4591)
- Zuverlässiger Verbundungsauf- und Abbau
- Stabile verbindungslose Sprachübertragung (UDP)
- Effiziente Bandbreitennutzung
Sicherheitskonzept: IPSec on Security Gateway
und Headerkomprimierung
Effizientes Management von schmalen Links (QoS)
- Multiplexen von zeitkritischen und konventionellen Daten
- Reduction & Kompressionvon Protocol Informationen
- Prioritäts Management
- EMCON
NetworkAdapter
NetworkAdapter
IPSec
PC-Phone,Mail, WWW
IPSec
PC-Phone,Mail, WWW
ISDN, GSM, HF
© Fraunhofer FKIE
12
Nachweis: VoIPv6 mit zusätzlichen Daten mit CRC (CA)
Später : Verifikation von Thales für SEM- VHF GeräteHeute : IPv6 integraler Bestandteil nationaler SDR-Programme (z.B. JTRS)
© Fraunhofer FKIE
13
Problem: Nutzdatenschutz durch IPsec ist in dynamischen Netzen nicht handhabbar ; Goodbye Sicherheits Architektur ? Aufbau von Virtual Private Networks (VPN) mittels IPsec zur sicheren
Vernetzung; integraler Bestandteil von IPv6
Nutzung des Sicherheitsprotokolls Encapsulating Security Payload (ESP)
IP Header
DataESPNew IP Header
© Fraunhofer FKIE
14
Lösung: Technologien des IDP-MIKE-Systems
IDP-MIKE-System zur Realisierung eines effizienten, skalierbarer Nutzdatenschutzes für große und Dynamische Netze.
selbst konfigurierend
selbst heilend
© Fraunhofer FKIE
15
Schlüsselbereitstellung für den Nutzdatenschutz Einsatzumfeld ermöglicht keine zusätzliche Hardware
Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE)Gruppenschlüsselbereitstellung
© Fraunhofer FKIE
16
Multicast Internet Key Exchange (MIKE)
Effiziente Bereitstellung eines gemeinsamen Schlüssels für Berechtigte
Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels
Key Agreement arbeitet verteilt Key Distribution ist Server-basiert
fehlertolerant effizient
© Fraunhofer FKIE
17
IPsec Discovery Protocol (IDP)
Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten
Software TIBER realisiert IPsec Discovery Protocol
Automatische Lokalisierung verfügbarer IPsec-Komponenten
Signalisierung von JOIN, LEAVE an das Schlüsselmanagement MIKE
© Fraunhofer FKIE
18
Public Key Infrastructure (PKI)
Zentrales Vertrauensmodell
1. Autorisierung zur Teilnahme mittelsZertifikat
2. Authentisierung beim Gruppenbeitritt
Ausschluss eines Nutzers (EJECT)
1. Verteilung einer Widerrufliste
2. Schlüsselwechsel durch das IDP-MIKE-System
Widerrufliste
uk
Eject ukIDS
User
...Zertifizierungs-
instanz
© Fraunhofer FKIE
19
Funktionsprinzip des IDP-MIKE-Systems
IDP-MIKE-System zum effizienten, automatischen, skalierbaren Nutzdatenschutz
Physical Connection Establishment
2
IPsec Discovery
Group Key Management
3
4
IPsec Configuration5
1
PKIPKIPublic Key Infrastructure
Issue of Certificate
Trust Relationship
SG
© Fraunhofer FKIE
20
Skalierbarkeit
Nutzdatenschutz für
Punkt-zu-Punkt-Verbindungen (IP Unicast)
Punkt-zu-Mehrpunkt-Verbindungen (IP Multicast)
Betriebsmoduswechsel des Schlüsselmanagements MIKE
Berechungsaufwand zur Umwandlung des Schlüsselbaums
Kein Kommunikationsaufwand
Key Agreement Key Distribution
© Fraunhofer FKIE
21
JOIN, LEAVE, Batched Rekeying zur Bildung von Einheiten
EJECT zum Ausschluss kompromittierter Nutzer
MERGE, PARTITION bei Netzaufteilung, -verschmelzung
Einsatzzweck der Mechanismen
DurchführungVorbereitung
Abschluss
- JOIN - LEAVE- Batched Rekeying
- EJECT- MERGE- PARTITION
Einsatz / Mission
- JOIN - LEAVE- Batched Rekeying
© Fraunhofer FKIE
22
Sicherheitsmaßnahmen im Kommunikationsserver Bw Nutzdatenschutz durch IPsec
IDP-MIKE-System zur Schlüsselbereitstellung bzw. IPsec-Konfiguration
Transport von QoS-Informationen im Extension-Header
IP/IPsec
KS
TCP
VH
F
UDP
ESMTP TMHS
SAM
Sat
com
Eth
ern
et
GS
M
….
Man
agem
ent,
P
ath
Sel
ecti
on
Dispatcher
IDP-MIKE-System
© Fraunhofer FKIE
23
INSC Untersuchungen zu gemischten IPv4 und IPv6 Netzen
INSC Testnetz unter dem Gesichtspunkt der v4/v6 Migration bzw. Koexistenz
IPv6
WAN 2 WAN 1
IPv6
v4/v6v4/v6
MANET
IPv4
v4 WAN
v4/v6
IPsec
v4/v6
IPsec
IPv6/4
v4-v6 Gateway
NAT-PT
IPse
c
IPse
c
IPsec
IPse
c
IPv6
Nat’ WAN
v4/v6
BGP4+
BGP4+
IPse
c
v4/v6
IPse
c
v6-v6 Gateway
IPsec
IPsec IPsec
IPv6
WAN 2 WAN 1
IPv6
v4/v6v4/v6
MANET
IPv4
v4 WAN
v4/v6
IPsec
v4/v6
IPsec
IPv6/4
v4-v6 Gateway
NAT-PT
IPse
c
IPse
c
IPsec
IPse
c IPse
c
IPv6
Nat’ WAN
IPv6
Nat’ WAN
v4/v6v4/v6
BGP4+
BGP4+
IPse
c IPse
c
v4/v6v4/v6
IPse
c
v6-v6 Gateway
IPsec
IPsec IPsec
© Fraunhofer FKIE
24
Empfehlungen aus INSC zu den Migrationsansätzen
Basis: Im Rahmen von INSC wurde zum einen in einer theoretischen Analyse die Eignung der jeweiligen Methoden in den verschiedenen, relevanten Szenaren und Architekturen untersucht. Zum anderen wurden aber auch vorhandene Implementierungen dieser Ansätze praktisch evaluiert und getestet.
Prinzipiell ist festzustellen, dass die zwei Varianten Dual Stack und Tunneling einfach und ohne großen Aufwand nachträglich in eine bestehende Infrastruktur eingebracht werden können.
Translation hingegen ist nur bedingt einsetzbar, da diese sehr stark von den eingesetzten Plattformen, Betriebssystemen und Anwendungen abhängt.
© Fraunhofer FKIE
25
IPv6 – Migration der Bundeswehr
seit 1996 Untersuchungen am FKIE im Hinblick auf IPv6 Nutzung 2003: Erlass BMVg legt für die zukünftige Ausrichtung der
Kommunikationssyteme den Einsatz des Internet-Protokolls (IP) in
der Version 6 (IPv6) fest. Migrationsrahmenkonzept IPv4-IPv6 ist gebilligt IT-Adressierungsrahmenkonzept liegt zur Billigung durch das BMVg vor RIPE hat an das BMI einen /26 Adressraum zugewiesen ans BMVg wird daraus vorerst ein /30 Adressraum zugewiesen Vorgeschaltete Studie im Hinblick auf IPv6 Migration und bestehende IT-Sicherheitsarchitektur
© Fraunhofer FKIE
26
Zusammenfassung & Ausblick
Zusammenfassung
INSC hat eine Vielzahl von Ergebnissen geliefert die in Internationale und Nationale Projekte eingehen: z.B. NNEC FS, Prototyp IPv6-SINA, KommServer Bw, SVFuA, IETF (Mobile Ad-Hoc Netze: OLSR, SMF), MIKE-IDP, PMul, ....
Gemeinsames Verständnis in den Nationen für den Migrationspfad zu IPv6 und die Basistechnologien
Ausblick
Folgeprojekt: Coalition Network for Secure Information Sharing ( CoNSIS )
Service-oriented Architecture (SOA)
IP-Integration der Tactical Data Links (TDL)
Multi Level Security (protected Labeling)
Verteiltes Management von Koalitionsnetzen
© Fraunhofer FKIE
27
Weitere Informationen
Peter Sevenich
FKIE/KOM
Neuenahrer Str. 20
D-53343 Wachtberg
Germany
Tel.: +49 (228) 9435-317
Fax: +49 (228) 9435-16317
Mail: [email protected]
© Fraunhofer FKIE
28
Veröffentlichungen
R. Goode, P.Guivarch & P. Sevenich; IPv6 for Coalition Network Enabled Capability, Proceedings of Military Communications Conference (MILCOM) (pp. 1-6), Washington, USA: IEEE 2006
T. Aurisch, T. Ginzler, P. Martini, H. Seifert, T. H. Tran, R. Ogden; Automatic Multicast IPSec by using a Proactive IPSec Discovery Protocol and a Group Key Management; Military Communication Conference 2007
T. Aurisch, D. Dahlberg, M. Lies, P. Sevenich; An approach towards traffic flow confidentiality in military IPsec protected networks; Military Communication Conference 2009