Transcript INSC
Ergebnisse des multinationalen IPv6 – Test – und Demonstrationsprojektes INSC Peter Sevenich 20. Mai 2010 © Fraunhofer FKIE 2 Forschung für Verteidigung und Sicherheit Kommunikation Cyber Defence Mobile Ad-hoc-Netze Informationsverarbeitung Detektion von Gefahrenstoffen Führungsinformationssysteme Ergonomie Mensch-Computer-Interaktion Fluglotsenarbeitsplätze © Fraunhofer FKIE FKIE, Wachtberg 3 Ergebnisse des multinationalen IPv6 - Test – und Demonstrationsprojektes INSC INSC (Motivation, Beteiligung, Arbeitsweise) INSC Architektur und IPv6 Bezug IPv6 in Funknetzen Sicherung von IPv6-Netzen mit IPsec Empfehlungen zu IPv6 Migrationmechanismen IPv6 – Migration der Bundeswehr Zusammenfassung © Fraunhofer FKIE 4 Interoperable Networks for Secure Communications (INSC) Memorandum of Understanding (MoU) CA, US, FR, GE, UK, NO, NL, IT und NATO als Beobachter Umsetzung in 2 Phasen zwischen 2/2001 und 2/2007 DEU: IT-Amt Bw, FKIE, IABG, Thales Deutschland, WTD 81 Greding Ziel: Schaffung einer transparenten Netzwerkarchitektur auf Basis von IPv6Technologie, die einen barrierefreien und sicheren Informationsaustausch zwischen allen Hierarchieebenen (vertikaler Ansatz) und mit Koalitionspartnern (horizontaler Ansatz) in der militärischen Kommunikation ermöglicht. IPv6 natürlicher Kandidat Adressvorrat Ende – zu – Ende Ansatz IPSec Einbettung © Fraunhofer FKIE 5 INSC Architektur (1) Bis zu 100 Router, 40 IPSec, 400 Endsysteme und mobilen Anteilen © Fraunhofer FKIE 6 INSC Architektur (2) MWAN Topologie CA FR US 128 Kbps GE UK 64 Kbps Tunnels over Internet Tunnels over IPv6 (6Bone) NO 128 Kbps 64 Kbps bidirectional ISDN HF NL © Fraunhofer FKIE NC3A IT 7 INSC Architektur (3) CRC (CA) Netzanleil © Fraunhofer FKIE 8 INSC Architektur (4) GE Test Bed © Fraunhofer FKIE 9 IPv6 über HF und VHF, der Show-Stopper? Fragestellung: Kann man Sprache zusammen mit zusätzlichen Daten via IPv6 gesichert über HF übertragen? --- Randbedingung --- Eingeführtes HF – Equipment ! IPv6-Tunnel-Header ESP-Header IPv6-Header Vocodertyp (kBit/s) Sprache ohne IPSec ohne HR. (Byte/s) Sprache mit IPSec ohne HR. (Byte/s) Sprache mit IPSec mit HR. (Byte/s) Sprache mit IPSec mit HR. (IPSec) mit HP. (Byte/s) © Fraunhofer FKIE 1.2 2.4 475 833 910 1442 655 1085 455 805 Vocoderdaten 4.8 1616 3040 2224 1584 10 Multipexen von Paketen auf schmalbandigen Links Fragmentierung zusätzlicher Daten Zeitkritischer Datenstrom mit niedriger Priorität Zeitkritischer Datenstrom mit höherer Priorität Konventioneller Datenstrom mit niedriger Priorität Sequenz der Pakete und Fragmente auf dem schmalbandigen Kanal © Fraunhofer FKIE 11 Sichere integrierte Sprach-Datenübertragung Robuste Anwendungen : PC-Phone, Mail, WWW - PC-Phone (zeitkritisch), PMul (multicast) - QoS, und Prioritäten - Schmalband Vocoder (STANAG 4591) IPSec - Zuverlässiger Verbundungsauf- und Abbau - Stabile verbindungslose Sprachübertragung (UDP) - Effiziente Bandbreitennutzung Sicherheitskonzept: IPSec on Security Gateway und Headerkomprimierung Effizientes Management von schmalen Links (QoS) - Multiplexen von zeitkritischen und konventionellen Daten Network Adapter ISDN, GSM, HF Network Adapter - Reduction & Kompressionvon Protocol Informationen - Prioritäts Management - EMCON IPSec PC-Phone, Mail, WWW © Fraunhofer FKIE 12 Nachweis: VoIPv6 mit zusätzlichen Daten mit CRC (CA) Später : Verifikation von Thales für SEM- VHF Geräte Heute : IPv6 integraler Bestandteil nationaler SDR-Programme (z.B. JTRS) © Fraunhofer FKIE 13 Problem: Nutzdatenschutz durch IPsec ist in dynamischen Netzen nicht handhabbar ; Goodbye Sicherheits Architektur ? Aufbau von Virtual Private Networks (VPN) mittels IPsec zur sicheren Vernetzung; integraler Bestandteil von IPv6 Nutzung des Sicherheitsprotokolls Encapsulating Security Payload (ESP) New IP Header © Fraunhofer FKIE ESP IP Header Data 14 Lösung: Technologien des IDP-MIKE-Systems IDP-MIKE-System zur Realisierung eines effizienten, skalierbarer Nutzdatenschutzes für große und Dynamische Netze. selbst konfigurierend selbst heilend © Fraunhofer FKIE 15 Schlüsselbereitstellung für den Nutzdatenschutz Einsatzumfeld ermöglicht keine zusätzliche Hardware Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE) Gruppenschlüsselbereitstellung 450 IKE 400 number of message 350 300 250 200 150 100 50 0 0 5 10 15 20 25 users © Fraunhofer FKIE 30 35 40 45 50 16 Multicast Internet Key Exchange (MIKE) Effiziente Bereitstellung eines gemeinsamen Schlüssels für Berechtigte Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels Key Agreement arbeitet verteilt fehlertolerant © Fraunhofer FKIE Key Distribution ist Server-basiert effizient 17 IPsec Discovery Protocol (IDP) Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten Software TIBER realisiert IPsec Discovery Protocol Automatische Lokalisierung verfügbarer IPsec-Komponenten Signalisierung von JOIN, LEAVE an das Schlüsselmanagement MIKE © Fraunhofer FKIE 18 Public Key Infrastructure (PKI) Zentrales Vertrauensmodell 1. Autorisierung zur Teilnahme mittels Zertifikat 2. Authentisierung beim Gruppenbeitritt Zertifizierungsinstanz Zertifikat Ausschluss eines Nutzers (EJECT) 1. Verteilung einer Widerrufliste 2. Schlüsselwechsel durch das IDP-MIKE-System IDS User ... © Fraunhofer FKIE Eject uk uk ZertifizierungsWiderrufliste instanz 19 Funktionsprinzip des IDP-MIKE-Systems IDP-MIKE-System zum effizienten, automatischen, skalierbaren Nutzdatenschutz PKI Trust Relationship Public Key Infrastructure 1 Issue of Certificate 2 SG © Fraunhofer FKIE Physical Connection Establishment 3 IPsec Discovery 4 Group Key Management 5 IPsec Configuration Group Secure V using PNs 20 Skalierbarkeit Nutzdatenschutz für Punkt-zu-Punkt-Verbindungen (IP Unicast) Punkt-zu-Mehrpunkt-Verbindungen (IP Multicast) Betriebsmoduswechsel des Schlüsselmanagements MIKE Berechungsaufwand zur Umwandlung des Schlüsselbaums Kein Kommunikationsaufwand Key Agreement © Fraunhofer FKIE Key Distribution 21 Einsatzzweck der Mechanismen Einsatz / Mission Vorbereitung Durchführung - JOIN - LEAVE - Batched Rekeying - EJECT - MERGE - PARTITION Abschlus s - JOIN - LEAVE - Batched Rekeying JOIN, LEAVE, Batched Rekeying zur Bildung von Einheiten EJECT zum Ausschluss kompromittierter Nutzer MERGE, PARTITION bei Netzaufteilung, -verschmelzung © Fraunhofer FKIE 22 Sicherheitsmaßnahmen im Kommunikationsserver Bw Nutzdatenschutz durch IPsec IDP-MIKE-System zur Schlüsselbereitstellung bzw. IPsec-Konfiguration Transport von QoS-Informationen im Extension-Header Management, Path Selection Dispatcher ESMTP IDP-MIKESystem TMHS TCP UDP IP/IPsec © Fraunhofer FKIE …. Ethernet GSM Satcom KS VHF SAM 23 INSC Untersuchungen zu gemischten IPv4 und IPv6 Netzen INSC Testnetz unter dem Gesichtspunkt der v4/v6 Migration bzw. Koexistenz v4/v6 v4/v 6IPsec v4/v6 IPsec IPsec WAN 1 WAN 2 NAT-PT IPse c IPse c IPv6 IPv6 v4 WAN v4-v6 Gateway BGP4+ IPv6/4 IPv4 BGP4+ Nat’ WAN IPv6 © Fraunhofer FKIE v4/v6 IPsec v4/v6 IPse c v6-v6 Gateway IPse c MANET IPsec IPse c IPsec v4/v6 24 Empfehlungen aus INSC zu den Migrationsansätzen Basis: Im Rahmen von INSC wurde zum einen in einer theoretischen Analyse die Eignung der jeweiligen Methoden in den verschiedenen, relevanten Szenaren und Architekturen untersucht. Zum anderen wurden aber auch vorhandene Implementierungen dieser Ansätze praktisch evaluiert und getestet. Prinzipiell ist festzustellen, dass die zwei Varianten Dual Stack und Tunneling einfach und ohne großen Aufwand nachträglich in eine bestehende Infrastruktur eingebracht werden können. Translation hingegen ist nur bedingt einsetzbar, da diese sehr stark von den eingesetzten Plattformen, Betriebssystemen und Anwendungen abhängt. © Fraunhofer FKIE 25 IPv6 – Migration der Bundeswehr seit 1996 Untersuchungen am FKIE im Hinblick auf IPv6 Nutzung 2003: Erlass BMVg legt für die zukünftige Ausrichtung der Kommunikationssyteme den Einsatz des Internet-Protokolls (IP) in der Version 6 (IPv6) fest. Migrationsrahmenkonzept IPv4-IPv6 ist gebilligt IT-Adressierungsrahmenkonzept liegt zur Billigung durch das BMVg vor RIPE hat an das BMI einen /26 Adressraum zugewiesen ans BMVg wird daraus vorerst ein /30 Adressraum zugewiesen Vorgeschaltete Studie im Hinblick auf IPv6 Migration und bestehende IT-Sicherheitsarchitektur © Fraunhofer FKIE 26 Zusammenfassung & Ausblick Zusammenfassung INSC hat eine Vielzahl von Ergebnissen geliefert die in Internationale und Nationale Projekte eingehen: z.B. NNEC FS, Prototyp IPv6-SINA, KommServer Bw, SVFuA, IETF (Mobile Ad-Hoc Netze: OLSR, SMF), MIKE-IDP, PMul, .... Gemeinsames Verständnis in den Nationen für den Migrationspfad zu IPv6 und die Basistechnologien Ausblick Folgeprojekt: Coalition Network for Secure Information Sharing ( CoNSIS ) Service-oriented Architecture (SOA) IP-Integration der Tactical Data Links (TDL) Multi Level Security (protected Labeling) Verteiltes Management von Koalitionsnetzen © Fraunhofer FKIE 27 Weitere Informationen Peter Sevenich FKIE/KOM Neuenahrer Str. 20 D-53343 Wachtberg Germany Tel.: +49 (228) 9435-317 Fax: +49 (228) 9435-16317 Mail: [email protected] © Fraunhofer FKIE 28 Veröffentlichungen R. Goode, P.Guivarch & P. Sevenich; IPv6 for Coalition Network Enabled Capability, Proceedings of Military Communications Conference (MILCOM) (pp. 1-6), Washington, USA: IEEE 2006 T. Aurisch, T. Ginzler, P. Martini, H. Seifert, T. H. Tran, R. Ogden; Automatic Multicast IPSec by using a Proactive IPSec Discovery Protocol and a Group Key Management; Military Communication Conference 2007 T. Aurisch, D. Dahlberg, M. Lies, P. Sevenich; An approach towards traffic flow confidentiality in military IPsec protected networks; Military Communication Conference 2009 © Fraunhofer FKIE