Vortrag Martini Aurisch
Download
Report
Transcript Vortrag Martini Aurisch
Mobil kommunizieren? Aber sicher!
… von der Forschung unmittelbar in die Praxis
Prof. Dr. Peter Martini
Dr. Thorsten Aurisch
Institutsleiter Fraunhofer-FKIE
Gruppenleiter Fraunhofer-FKIE
Fraunhofer-FKIE
Wachtberg
© Fraunhofer FKIE
Institut für Informatik 4, Uni Bonn
mit Räumlichkeiten FKIE
FKIE
FKIE
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie
© Fraunhofer
FKIE
© Fraunhofer
FKIE
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie, FKIE
Uni Bonn
Institutsleitung
Institutsleiter: Prof. Dr. Peter Martini
Stellv. Institutsleiter: Prof. Dr.-Ing. Christopher Schlick
Lehrstuhl für
Kommunikation
und Vernetzte
Systeme
Prof. Martini
Prof. Meier
PD Koch
RWTH Aachen
Lehrstuhl und
Institut für
Arbeitswissenschaft
Verwaltung
Stabsstellen
IT-Management
Kuratorium
Institutsleitungsausschuss
Prof. Schlick
Prof. Flemisch
IT-Sicherheit
Sensordaten- und
Informationsfusion
Kommunikationssysteme
Informationstechnik für
Führungssysteme
Ergonomie und
Mensch-MaschineSysteme
Ergonomie und
Mensch-MaschineSysteme
Ad-Hoc-Netze
Ortung und
Navigation
Aufklärung und
Störung
Interoperabilität
verteilter Systeme
Systemtechnik
Arbeitsorganisation
Dynamische
Netzdienste
Weiträumige
Überwachung
Software Defined
Radio
Architekturen für
Führungssysteme
Human Factors
Fachdidaktik
Sensordaten- und
Informationsfusion
Bedrohungserkennung
Robuste
heterogene Netze
Informationsanalyse
Unbemannte Systeme
Cyber Defense
© Fraunhofer FKIE
Beiträge der Forschungsgruppe Cyber Defense
Uni Bonn
Chair
Communication
and Distributed
Systems
Prof. Dr.
Peter Martini
Cyber Defense
Ad-Hoc Networks
Research Group
Head: Dr. Jens Tölle
Deputy Heads: Dr. T. Aurisch, Dr. M. Jahnke, Prof. Dr. Michael Meier
Malware Analysis and
Defense
(Bonn)
Head: Dipl.-Inform Elmar
Gerhards-Padilla
Reactive IT Security
Head: Dr. Marko Jahnke
Preventive IT Security
Head: Dr. Thorsten
Aurisch
Honeypots
Intrusion Detection
and Response
Key Management
Botnets
Cyber Situational
Awareness
Communication
Server
Binary Analysis
Security
Information Event
Management
Physical
Processes for
cryptopgraphic
Applications
Dynamic Network
Services
Bonn
© Fraunhofer FKIE
Malware Analysis and
Defense
(Wachtberg)
Prof. Dr. Michael Meier
Wachtberg
Cyber Defense – Following the OODA-Loop
Cooperative
Intrusion
Detection
Advanced
Malware Analysis
CND Common
Operational
Picture
Ressourceefficient Applied
Cryptography
Tactical
Intrusion
Response
© Fraunhofer FKIE
Model-based
Impact
Evaluation
Zurück zum Titel des Vortrags
Mobil kommunizieren ? Aber sicher !
© Fraunhofer FKIE
Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie, FKIE
Institutsleitung
Institutsleiter: Prof. Dr. Peter Martini
Stellv. Institutsleiter: Prof. Dr.-Ing. Christopher Schlick
Uni Bonn
Lehrstuhl für
Kommunikation
und Verteilte
Systeme
Prof. Dr.
Peter Martini
RWTH Aachen
Drahtlos kommunizieren ?
Aber sicher !
Verwaltung
Stabsstellen
IT-Management
Kuratorium
Institutsleitungsausschuss
Lehrstuhl und
Institut für
Arbeitswissenschaft
Prof. Dr.-Ing.
Christopher Schlick
IT-Sicherheit
Sensordaten- und
Informationsfusion
Kommunikationssysteme
Informationstechnik für
Führungssysteme
Ergonomie und
Mensch-MaschineSysteme
Ergonomie und
Mensch-MaschineSysteme
Ad-Hoc-Netze
Ortung und
Navigation
Aufklärung und
Störung
Interoperabilität
verteilter Systeme
Systemtechnik
Arbeitsorganisation
Dynamische
Netzdienste
Weiträumige
Überwachung
Software Defined
Radio
Architekturen für
Führungssysteme
Human Factors
Fachdidaktik
Bedrohungserkennung
Robuste
heterogene Netze
Informationsanalyse
Unbemannte Systeme
Cyber Defense
© Fraunhofer
© Fraunhofer
FKIE
FKIE
Ein Beitrag im Bereich Sensordatenfusion
… Die Dissertation von Felix Govaers (2012)
Adressing:
• Time-Delayed Measurements
• Fluctuating Connectivity
• Track-before-Detect with out-of-sequence data
© Fraunhofer FKIE
Beiträge der Abteilung KOM
… Robuste heterogene Netze
Architekturen für Koalitionsnetze
SOA zur Informationsverteilung in Koalitionsnetzen
Beratung der BW bei der IPv4/IPv6-Migration
Management heterogener Netze
Drahtlose taktische Netze
Bündelfunk für Einsatzkräfte auf BW Flugplätzen
Breitbandvernetzung von Konvois
Drahtlose Gefechtsstandvernetzung
Sensor- und Effektornetze
Datenlinks für UAV
Akustische Unterwassernetze
Netze für terrestrische Mehrroboter-Systeme
© Fraunhofer FKIE
© Fraunhofer FKIE
Ein Beitrag im Bereich Cyber Defense
… Die Dissertation von Thorsten Aurisch (2007)
© Fraunhofer FKIE
Ein Beitrag im Bereich Cyber Defense
… Die Dissertation von Thorsten Aurisch (2007)
© Fraunhofer FKIE
Ein Beitrag im Bereich Cyber Defense
… Die Dissertation von Thorsten Aurisch (2007)
© Fraunhofer FKIE
Mobil kommunizieren ? Aber sicher !
Praxisbeispiel QUAKS Bw
© Fraunhofer FKIE
14
Systemkonzept QUAKS Bw I
Aufbau taktischer Netze durch intelligente Vernetzung verschiedener
Fernmeldemittel bzw. Übertragungsmedien
Datenübertragungsdienst für Anwendungen
© Fraunhofer FKIE
15
Systemkonzept QUAKS Bw II
Transparent IP
Integrierte Sprach- und
Datenübertragung
Ad-hoc-Vernetzung
QoS-Mechanismen
Multi-Topology-Routing
Scheduling-Mechanismen
in der Subnetzanpassung
IT-Sicherheit
© Fraunhofer FKIE
16
IT-Sicherheit im QUAKS Bw
Verfahren zum zuverlässigen Löschen von sicherheitsrelevanten Steuer-,
Konfigurationsdaten und elektronischen Schlüsseln
Mechanismus zur Installation von Sicherheitsupdates unter Berücksichtigung
des autarken Betriebs des QUAKS Bw
Realisierung eines effizienten Datenübertragungsschutzes für Managementund Nutzdaten
....
Ziel: Zulassung des QUAKS Bw durch das BSI
© Fraunhofer FKIE
17
Datenübertragungsschutz durch IPsec
IP Security (IPsec) ist ein akzeptiertes Sicherheitsprotokoll
Nutzung des IPsec-Sicherheitsprotokolls Encapsulating Security Payload
(ESP)
New IP
Header
ESP
IP
Header
Data
Aber vorher erhält man den Schlüssel für IPsec?
© Fraunhofer FKIE
18
Schlüsselbereitstellung für IPsec
Geringe Datenübertragungsrate verhindert einen Einsatz der
Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE)
Einsatzumfeld ermöglicht keine zusätzliche Hardware
450
IKE
400
MIKE
350
number of message
300
250
200
150
100
50
0
0
5
10
15
20
25
users
Bereitstellung eines Gruppenschlüssels
© Fraunhofer FKIE
30
35
40
45
50
19
Multicast Internet Key Exchange (MIKE)
Effiziente, hoch skalierbare Bereitstellung eines Gruppenschlüssels für
Berechtigte
Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels
Technische Grundlage von MIKE ist der Schlüsselbaum
Key Agreement arbeitet verteilt
fehlertolerant
© Fraunhofer FKIE
Key Distribution ist Server-basiert
effizient
20
Datenübertragungsschutz im QUAKS Bw
Realisierung eines Datenübertragungsschutzes mit dem IDP-MIKE-System
(Softwareeinheit Proaktive Sicherheit)
effizient
selbstkonfigurierend
selbstheilend
skalierbar
Bestandteile des IDP-MIKE-Systems
Multicast Internet Key Exchange (MIKE)
Schnittstelle zu IP Security (IPsec)
IPsec Discovery Protocol (IDP)
© Fraunhofer FKIE
21
IPsec Discovery Protocol (IDP)
Automatisierung der sicheren Vernetzung erfordert Lokalisierung von
IPsec-fähigen Komponenten (QUAKS Bw)
Präsensnachrichten zur automatischen Lokalisierung
Signalisierung an das Schlüsselmanagement MIKE
© Fraunhofer FKIE
22
Einsatz-PKI und IDP-MIKE-System
Einsatz-PKI
erstellt, verwaltet Zertifikate
erstellt, verwaltet Widerruflisten (Certificate Revocation List, CRL)
Einsatz-PKI wird vom IDP-MIKE-System benötigt
Zertifikate der Einsatz-PKI dienen zur Authentisierung von Nachrichten
Das IDP-MIKE-System gewährleistet damit, dass nur berechtigte Instanzen
kommunizieren
© Fraunhofer FKIE
23
QUAKS Bw im Einsatz – Instanz in eine Gruppe
einbinden
© Fraunhofer FKIE
24
QUAKS Bw im Einsatz – dynamisches Netz
TM 2
TM 1
Netzverschmelzung durch Herstellung einer (Funk-)Verbindung zwischen
Gruppen
Netzaufteilung durch Verbindungsunterbrechung
IT-Sicherheitsmechanismen MERGE und PARTITION zur Verarbeitung von
Netzaufteilung bzw. -verschmelzung
© Fraunhofer FKIE
25
QUAKS Bw im Einsatz - Anschluss einer Instanz
Fall 1: Ausschluss im autarken Betrieb
Widerruf der Teilnahmeberechtigung
Kein Anschluss an eine IT-Infrastruktur
erforderlich
Einfache Rückführung in den
Kommunikationsverbund
Fall 2: Permanenter Ausschluss
Widerruf des Zertifikats (Authentizität)
durch die Einsatz-PKI
Anschluss an eine IT-Infrastruktur
zur Verteilung der Widerrufsinformation
notwendig
© Fraunhofer FKIE
26
Projektübersicht QUAKS Bw
QUAKS Bw = querschnittlicher Anteil KommServer Bw
Auftragnehmer: ATM ComputerSysteme GmbH
Entwicklungszeitraum: 01.04.2012 – 31.10.2014
UAN:
Fraunhofer FKIE
IABG, IDAS, KMW, Telefunken RACOMS
Mitwirkung des Auftraggebers IT-Amts C4
Durchführung von EUT-Arbeit
Projektbegleitende Tests und Verifikationen bei WTD 81
Integrierte Nachweisführung im einsatznahen Umfeld beim Stab
Feldversuch
© Fraunhofer FKIE
27
Weitere FKIE-Leistungsanteile
QUAKS QoS
Klassen
Konzept Quality-of-Service
Multi-Topology
Routing
Festlegung von Verkehrsklassen
und deren Markierung
Multi-Topology-Routing
Abbildung der Verkehrsklassen auf
Layer-2-Scheduling-Mechanismen
Call Manager
Verteilter Verbindungsaufund Abbau-Mechanismus für
digitale Sprachverbindungen
auf Basis von SIP
Nutzerregistrierung
Adressauflösung
© Fraunhofer FKIE
TCP
UD
P
IPv4 /
IPv6
Spezialisierte
Transportprotokolle
OLS
R
OSP
F
DiffServ
Subnet Access
QoS L2 Mapping /
Scheduling
Cross
Layer
28
Zusammenfassung
Lösungen im Themenbereich „ Mobil kommunizieren, aber sicher“ werden in
verschiedenen Abteilungen des FKIE erarbeitet
Detaillierte Vorstellung des Praxisbeispiels QUAKS Bw
Realisierung eines Datenübertragungsschutzes mit dem
IDP-MIKE-System
Ablauf der IT-Sicherheitsmechanismen bei Netzaufteilung,
bzw. Netzverschmelzung
Call Manager und Konzept QoS sind weitere FKIE-Beiträge zum
QUAKS Bw
© Fraunhofer FKIE
VIELEN DANK
für Ihre Aufmerksamkeit
© Fraunhofer FKIE
… Networking
© Fraunhofer FKIE
7th Future Security
Bonn, Sep. 4th – 6th 2012
© Fraunhofer FKIE