© Fraunhofer FKIE Mobil kommunizieren? Aber sicher! … von der Forschung unmittelbar in die Praxis...

© Fraunhofer FKIE

Mobil kommunizieren? Aber sicher!… von der Forschung unmittelbar in die

PraxisProf. Dr. Peter Martini

Institutsleiter Fraunhofer-FKIE

© Fraunhofer FKIE

Fraunhofer-FKIEWachtberg

Institut für Informatik 4, Uni Bonnmit Räumlichkeiten FKIE

Dr. Thorsten Aurisch

Gruppenleiter Fraunhofer-FKIE

© Fraunhofer FKIE

FKIEFraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie

© Fraunhofer FKIE

FKIE

© Fraunhofer FKIE

© Fraunhofer FKIE

IT-Sicherheit

Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie, FKIE

KuratoriumInstitutsleitungsausschuss

Sensordaten- und Informationsfusion

Kommunikations-systeme

Unbemannte Systeme

Informations-technik für

Führungssysteme

Ortung und Navigation

Ergonomie und Mensch-Maschine-

Systeme

Aufklärung und Störung

Interoperabilität verteilter Systeme

Systemtechnik

Bedrohungs-erkennung

Informations-analyse

Weiträumige Überwachung

Software Defined Radio

Architekturen für Führungssysteme

Human Factors

RWTH AachenLehrstuhl und

Institut für Arbeitswissen-

schaft

Prof. Schlick

Prof. Flemisch

Uni BonnLehrstuhl für

Kommunikation und Vernetzte

Systeme

Prof. Martini

Prof. MeierPD Koch


Systeme

Arbeitsorganisation

Fachdidaktik

Ad-Hoc-Netze

Dynamische Netzdienste

InstitutsleitungInstitutsleiter: Prof. Dr. Peter Martini

Stellv. Institutsleiter: Prof. Dr.-Ing. Christopher Schlick

Robuste heterogene Netze

VerwaltungStabsstellen

IT-Management

Cyber Defense

© Fraunhofer FKIE

Sensordaten- und Informations-

fusion

© Fraunhofer FKIE

Uni BonnChair

Communication and

Distributed SystemsProf. Dr.

Peter Martini

Research GroupHead: Dr. Jens Tölle

Deputy Heads: Dr. T. Aurisch, Dr. M. Jahnke, Prof. Dr. Michael Meier

Reactive IT SecurityHead: Dr. Marko

Jahnke

Preventive IT Security Head: Dr. Thorsten

Aurisch

Key Management

Physical Processes for

cryptopgraphic Applications

Communication Server

Intrusion Detection and

Response

Security Information

Event Management

Cyber Situational Awareness

Honeypots

Binary Analysis

Botnets

Malware Analysis and Defense

(Wachtberg)Prof. Dr. Michael

Meier

Bonn Wachtberg

Ad-Hoc Networks

Dynamic Network Services

Malware Analysis and Defense(Bonn)

Head: Dipl.-Inform Elmar Gerhards-

Padilla

Cyber Defense

Beiträge der Forschungsgruppe Cyber Defense

© Fraunhofer FKIE

Cyber Defense – Following the OODA-Loop

Advanced Malware Analysis

CND CommonOperational

Picture

Model-basedImpact

EvaluationTacticalIntrusion Response

Ressource-efficient Applied

Cryptography

CooperativeIntrusionDetection

© Fraunhofer FKIE

Zurück zum Titel des VortragsMobil kommunizieren ? Aber sicher !

© Fraunhofer FKIE

© Fraunhofer FKIE

Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie, FKIE

KuratoriumInstitutsleitungsausschuss

Sensordaten- und Informationsfusion

Kommunikations-systeme

Unbemannte Systeme

Informations-technik für

Führungssysteme

Ortung und Navigation


Systeme

Aufklärung und Störung

Interoperabilität verteilter Systeme

Systemtechnik

Bedrohungs-erkennung

Informations-analyse

Weiträumige Überwachung

Software Defined Radio

Architekturen für Führungssysteme

Human Factors

RWTH AachenLehrstuhl und

Institut für Arbeitswissen-

schaftProf. Dr.-Ing.

Christopher Schlick

Uni BonnLehrstuhl für

Kommunikation und Verteilte

SystemeProf. Dr.

Peter Martini


Systeme

Arbeitsorganisation

Fachdidaktik

IT-Sicherheit

Ad-Hoc-Netze

Dynamische Netzdienste

InstitutsleitungInstitutsleiter: Prof. Dr. Peter Martini

Stellv. Institutsleiter: Prof. Dr.-Ing. Christopher Schlick

Robuste heterogene Netze

VerwaltungStabsstellen

IT-Management

Cyber Defense

© Fraunhofer FKIE © Fraunhofer FKIE

Drahtlos kommunizieren ?

Aber sicher !

© Fraunhofer FKIE

Ein Beitrag im Bereich Sensordatenfusion… Die Dissertation von Felix Govaers (2012)

Adressing:•Time-Delayed Measurements•Fluctuating Connectivity•Track-before-Detect with out-of-sequence data

© Fraunhofer FKIE

Architekturen für Koalitionsnetze SOA zur Informationsverteilung in Koalitionsnetzen Beratung der BW bei der IPv4/IPv6-Migration Management heterogener Netze

Drahtlose taktische Netze Bündelfunk für Einsatzkräfte auf BW Flugplätzen Breitbandvernetzung von Konvois Drahtlose Gefechtsstandvernetzung

Sensor- und Effektornetze Datenlinks für UAV Akustische Unterwassernetze Netze für terrestrische Mehrroboter-Systeme

© Fraunhofer FKIE

Beiträge der Abteilung KOM… Robuste heterogene Netze

© Fraunhofer FKIE

Ein Beitrag im Bereich Cyber Defense… Die Dissertation von Thorsten Aurisch (2007)

© Fraunhofer FKIE

Mobil kommunizieren ? Aber sicher ! Praxisbeispiel QUAKS Bw

© Fraunhofer FKIE

© Fraunhofer FKIE

14

Systemkonzept QUAKS Bw I

Aufbau taktischer Netze durch intelligente Vernetzung verschiedener Fernmeldemittel bzw. Übertragungsmedien

Datenübertragungsdienst für Anwendungen

© Fraunhofer FKIE

15

Systemkonzept QUAKS Bw II

Transparent IP

Integrierte Sprach- und Datenübertragung

Ad-hoc-Vernetzung

QoS-Mechanismen

Multi-Topology-Routing

Scheduling-Mechanismenin der Subnetzanpassung

IT-Sicherheit

© Fraunhofer FKIE

16

IT-Sicherheit im QUAKS Bw

Verfahren zum zuverlässigen Löschen von sicherheitsrelevanten Steuer-, Konfigurationsdaten und elektronischen Schlüsseln

Mechanismus zur Installation von Sicherheitsupdates unter Berücksichtigung des autarken Betriebs des QUAKS Bw

Realisierung eines effizienten Datenübertragungsschutzes für Management- und Nutzdaten

....

Ziel: Zulassung des QUAKS Bw durch das BSI

© Fraunhofer FKIE

17

Datenübertragungsschutz durch IPsec

IP Security (IPsec) ist ein akzeptiertes Sicherheitsprotokoll

Nutzung des IPsec-Sicherheitsprotokolls Encapsulating Security Payload (ESP)

IP Header

DataESPNew IP Header

Aber vorher erhält man den Schlüssel für IPsec?

© Fraunhofer FKIE

18

Schlüsselbereitstellung für IPsec

Geringe Datenübertragungsrate verhindert einen Einsatz der Punkt-zu-Punkt-Schlüsselbereitstellung, z.B. Internet Key Exchange (IKE)

Einsatzumfeld ermöglicht keine zusätzliche Hardware

Bereitstellung eines Gruppenschlüssels

0 5 10 15 20 25 30 35 40 45 500

50

100

150

200

250

300

350

400

450

num

ber of

mes

sage

users

IKE MIKE

© Fraunhofer FKIE

19

Multicast Internet Key Exchange (MIKE)

Effiziente, hoch skalierbare Bereitstellung eines Gruppenschlüssels für Berechtigte

Zwei Betriebsmodi zur Verwaltung eines dynamischen Gruppenschlüssels

Technische Grundlage von MIKE ist der Schlüsselbaum

Key Agreement arbeitet verteilt Key Distribution ist Server-basiert

fehlertolerant effizient

© Fraunhofer FKIE

20

Datenübertragungsschutz im QUAKS Bw

Realisierung eines Datenübertragungsschutzes mit dem IDP-MIKE-System (Softwareeinheit Proaktive Sicherheit)

effizient

selbstkonfigurierend

selbstheilend

skalierbar

Bestandteile des IDP-MIKE-Systems

Multicast Internet Key Exchange (MIKE)

Schnittstelle zu IP Security (IPsec)

IPsec Discovery Protocol (IDP)

© Fraunhofer FKIE

21

IPsec Discovery Protocol (IDP)

Automatisierung der sicheren Vernetzung erfordert Lokalisierung von IPsec-fähigen Komponenten (QUAKS Bw)

Präsensnachrichten zur automatischen Lokalisierung

Signalisierung an das Schlüsselmanagement MIKE

© Fraunhofer FKIE

22

Einsatz-PKI und IDP-MIKE-System

Einsatz-PKI

erstellt, verwaltet Zertifikate

erstellt, verwaltet Widerruflisten (Certificate Revocation List, CRL)

Einsatz-PKI wird vom IDP-MIKE-System benötigt

Zertifikate der Einsatz-PKI dienen zur Authentisierung von Nachrichten

Das IDP-MIKE-System gewährleistet damit, dass nur berechtigte Instanzen kommunizieren

© Fraunhofer FKIE

24

Netzverschmelzung durch Herstellung einer (Funk-)Verbindung zwischen Gruppen

Netzaufteilung durch Verbindungsunterbrechung

IT-Sicherheitsmechanismen MERGE und PARTITION zur Verarbeitung von Netzaufteilung bzw. -verschmelzung

QUAKS Bw im Einsatz – dynamisches Netz

TM 2TM 1TM

© Fraunhofer FKIE

25

QUAKS Bw im Einsatz - Anschluss einer Instanz

Fall 1: Ausschluss im autarken Betrieb

Widerruf der Teilnahmeberechtigung

Kein Anschluss an eine IT-Infrastruktur erforderlich

Einfache Rückführung in den Kommunikationsverbund

Fall 2: Permanenter Ausschluss

Widerruf des Zertifikats (Authentizität) durch die Einsatz-PKI

Anschluss an eine IT-Infrastrukturzur Verteilung der Widerrufsinformationnotwendig

© Fraunhofer FKIE

26

Projektübersicht QUAKS Bw

QUAKS Bw = querschnittlicher Anteil KommServer Bw

Auftragnehmer: ATM ComputerSysteme GmbH

Entwicklungszeitraum: 01.04.2012 – 31.10.2014

UAN:

Fraunhofer FKIE

IABG, IDAS, KMW, Telefunken RACOMS

Mitwirkung des Auftraggebers IT-Amts C4

Durchführung von EUT-Arbeit

Projektbegleitende Tests und Verifikationen bei WTD 81

Integrierte Nachweisführung im einsatznahen Umfeld beim StabFeldversuch

© Fraunhofer FKIE

27

Weitere FKIE-Leistungsanteile

Konzept Quality-of-Service

Festlegung von Verkehrsklassen und deren Markierung

Multi-Topology-Routing

Abbildung der Verkehrsklassen aufLayer-2-Scheduling-Mechanismen

Call Manager

Verteilter Verbindungsauf- und Abbau-Mechanismus für digitale Sprachverbindungen auf Basis von SIP

Nutzerregistrierung

Adressauflösung

TCPUDP

Spezialisierte Transportprotokolle

OLSR

IPv4 / IPv6

OSPF

DiffServ

Cross

Layer

Subnet Access

QUAKS QoS Klassen

QUAKS QoS Klassen

Multi-Topology Routing

Multi-Topology Routing

QoS L2 Mapping /

Scheduling

QoS L2 Mapping /

Scheduling

© Fraunhofer FKIE

28

Zusammenfassung

Lösungen im Themenbereich „ Mobil kommunizieren, aber sicher“ werden in verschiedenen Abteilungen des FKIE erarbeitet

Detaillierte Vorstellung des Praxisbeispiels QUAKS Bw

Realisierung eines Datenübertragungsschutzes mit dem IDP-MIKE-System

Ablauf der IT-Sicherheitsmechanismen bei Netzaufteilung, bzw. Netzverschmelzung

Call Manager und Konzept QoS sind weitere FKIE-Beiträge zum QUAKS Bw

© Fraunhofer FKIE Mobil kommunizieren? Aber sicher! … von der Forschung unmittelbar in die Praxis...

Documents

Transcript of © Fraunhofer FKIE Mobil kommunizieren? Aber sicher! … von der Forschung unmittelbar in die Praxis...