www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009

Diensteangebot im DOI-Netz

Workshop„E-Government-Standards für Wirtschaft und Verwaltung“Arbeitsgruppe 11

Thomas Krampert, DOI-Netz e.V.

Berlin, 06. November 2009

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 2

Agenda

• Diensteportfolio

• Zentrale Service Plattform (ZSP)

• Architektur

• PKI (Zertifikatsdienst)

• Kryptomanagement

• Sicherheit bei DOI

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 3

Diensteportfolio DOI (1/2)

• Das DOI-Diensteportfolio wird als kundenorientiertes Leistungsportfolio mit einem Warenkorb von – Basisdiensten und

– Mehrwertdiensten

realisiert.

• Zu den Basisdiensten zählt die Konnektivität zwischen Verwaltungsnetzen und DOI-Netz in verschiedenen Bandbreiten und mit unterschiedlichen Service Leveln.

• Der Leistungsumfang beinhaltet die Möglichkeit der Nutzung von IPv6.

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 4

Diensteportfolio DOI (2/2)

Als Mehrwertdienste werden bereitgestellt:

• DNS (Domain Name System)Gewährleistung der Authentizität und Datenintegrität von DNS-Transaktionen durch – DNSSec (Domain Name System Security Extensions)

– TSIG (Transaction SIGnature)

• E-Mail Relay (E-Mail-Verteilung)

• PKI (Zertifikatsdienst)

• Verschlüsselung durch IPSec-VPN (Kryptomanagement)

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 5

ZSP - Zentrale Service Plattform (1/2)

• Die Leistungen der ZSP umfassen:– redundanter Aufbau der gesamten produktiven IT-Struktur– Dopplung der Komponenten auf verschiedene Brandabschnitte

und für spezielle Dienste (derzeit DNS) auf unterschiedliche Rechenzentren

– redundante Anbindung der Serviceplattform an das DOI-Netz– Bereitstellung als dedizierte Dienste-Plattform unter Beachtung

der Sicherheitsanforderungen des Bundes

– Absicherung der Plattform durch redundante Sicherheitsgateway-Systeme (P-A-P Struktur)

– zentraler Domain Name Service

– zentraler Mail-Relay-Dienst– zentrale Administration der Dienste der ZSP

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 6

ZSP - Zentrale Service Plattform (2/2)

Produktions-LAN

DOI-Netz

DNS-Server

Mail-Server

Management-Server

Sicherheitsgatewayintern (zweistufig)

Paketfilter

Management-Stationen

Admin-Sicherheits-

gateway

Management-LAN

Paketfilter

ALG

Zentrale Serviceplattform (ZSP)

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 7

Architektur (1/3)

• Für die Migration wurde - auf Wunsch der DOI Teilnehmer nach einer möglichst sanften und weitgehend unterbrechungsfreien 1:1 Migration - nochmals eine Vollvermaschung realisiert.

• Alle an DOI angeschlossenenTeilnehmer sind heute Nutzereines gemeinsamen MPLS-VPNs.

• Jeder DOI Teilnehmer hat einen IPSec-Verbindung zu jedem an DOI angeschlossenen Teilnehmer (Vollvermaschung).

• Die Kommunikationsbeziehungen bzw. die Bildung der geschlossenen Benutzergruppen erfolgt auf dem jeweiligen Sicherheitsgateway (per Access-Listen) des DOI Teilnehmers.

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 8

Architektur (2/3)

• Zukünftig werden geschlossenen Benutzergruppen nach Interessengruppen aufgebaut und in einem dezidierten MPLS-VPN zusammengefasst.

• Innerhalb des MPLS-VPNswerden dann zwischen den Teilnehmern dieser speziellen geschlossenen Benutzergruppe IPsec-Verbindungengeschaltet.

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 9

Architektur (3/3)

• Es soll zukünftig möglich sein, mehrere MPLS-VPNs pro Verwaltungsnetzanschluss (DOI-Teilnehmer) zu nutzen.

• Bei der Nutzung mehrerer MPLS-VPNs müssen diese dann ggf. jeweils durch einen eigenen IPSEc-Tunnel abgesichert werden.

• Voraussetzung dafür ist die Unterstützung von mehreren physikalischen oder logischen Schnittstellen der Kryptoendgeräte sowohl in Richtung LAN-Ethernet-Switch, als auch in Richtung CE-Router.

• Netze mit hohem Schutzbedarf bedürfen einer gesonderten Betrachtung auf Geräteebene. Die Separierung der Netze muss auf physikalischer Ebene durch den Einsatz dezidierter Hardware erfolgen.

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 10

PKI (Verzeichnisdienst)

• Die „DOI-CA“ stellt Zertifikate für Teilnehmer von Bund, Ländern und Kommunen aus und ist in die Verwaltungs-PKI integriert.

• Die DOI-CA wird auf der Plattform des Trust Centers der Deutschen Telekom betrieben.

• Der CA-Service der DOI-CA steht 7x24 Stunden zur Verfügung. • Die Zertifikate können somit für folgende Zwecke genutzt werden:

– E-Mail Sicherheit durch standardkonforme Signatur (“fortgeschrittene Signatur“) und Verschlüsselung

– Signatur („fortgeschrittene Signatur“) und Verschlüsselung von Dateien

– Sicherer Datenaustausch über OSCI– sichere Authentifikation von Servern gegenüber Anwendungen

und Benutzern– sichere Authentifikation von Benutzern gegenüber Servern,

Anwendungen und Netzwerken

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009Dienstag, 10. November 2009 11

Kryptomanagement (1/2)

• Das Kryptomanagement wird beim BVA bereitgestellt und betrieben.

• Der Zugriff auf die Kryptoendgeräte erfolgt über eine gesicherte Anbindung erfolgt. Hierzu verfügt das BVA über eine redundante Anbindung an das DOI-Koppelnetz.

• Das Management der Kryptoendgeräte erfolgt zentral und ist u. a. mit folgenden Tätigkeiten verbunden:– initiale Einrichtung einer Kryptobox und Konfiguration der IPsec-

Sicherheitsbeziehungen (Security Association)– Einrichtung und Anpassungen der Sicherheitsbeziehungen einer

Kryptoverbindung im Wirkbetrieb– Fehlerbehebung im Zusammenhang mit den IPSec-VPN– Management der zum Betrieb der VPNs notwendigen Schlüssel

und Zertifikate

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009Dienstag, 10. November 2009 12

Kryptomanagement (2/2)

• Mit dem Kryptomanagement werden die Konfiguration und die Administration der Kryptoendgeräte (Krypto-EG) im Netzwerk vorgenommen.

• Einfache und benutzerfreundliche Verwaltung von Sicherheitsbeziehungen

• Modularer Aufbau• Skalierbarkeit• Redundanz• Mandantenfähigkeit

DOI-Netz

PE

DOI-Teilnehmer A

PE

CE CE

CE

PE

Krypto-EG Krypto-EGDOI-Teilnehmer B

Krypto-EG

SC-Leser

Krypto -Management-System (BVA)

Mitarbeiter des Krypto-und Netz-Management

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 13

Sicherheit im DOI-Netz- Sicherheitskonzept (1/2)

• Ziele– Mit dem Sicherheitskonzept wird ein generischer Rahmen geschaffen,

auf dessen Basis den Teilnehmern von DOI eine sichere Kommunikationsinfrastruktur bereitgestellt wird.

– Basierend auf dem generisches Sicherheitskonzept erfolgt die Fortschreibung des Konzeptes durch den Betreiber

� Zertifizierungsfähiges Sicherheitskonzept bis Ende 2010

• Rahmenparameter und grundlegende Eckpunkte – Es werden Rahmenbedingungen berücksichtigt, die als

Sicherheitsanforderungen (z.B. Anforderungen aus Verwaltungsnetzen, TESTA-D) mit den verantwortlichen Bereichen definiert wurden.

– Es wurden keine weiteren Anforderungen aus den Fachverfahren derNutzer erhoben. Diese müssen durch die Verfahrensverantwortlichen mit einer Schutzbedarfsfeststellung ermittelt werden.

– Grundsätzlich dürfen auf der DOI-Plattform nur Verfahren betrieben werden, die maximal einen hohen Schutzbedarf haben. Anwendungen und Verfahren mit einem sehr hohen Schutzbedarf dürfen aus heutiger Sicht nicht auf der DOI-Plattform betrieben werden.

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 14

Sicherheit im DOI-Netz- Sicherheitskonzept (2/2)

• Kernaussagen und grundlegende konzeptionelle Eckpunkte – Für die Kernkomponenten im Backbone und dem DOI-

Dienstebereich wird grundsätzlich ein hoher Schutzbedarf definiert.

– Für den Access-Bereich wird grundsätzlich ein normaler Schutzbedarf angenommen.

– Sollten die Teilnehmer der DOI-Plattform den Bedarf bzw. die Anforderung für einen hohen Schutzbedarf haben, können diese über differenzierte Anschlussmöglichkeiten realisiert werden z.B. durch die Nutzung von unterschiedlichen VPN Typen.

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 15

Sicherheit im DOI-Netz- Sicherheitskonzept / Architekturbild

Der Betrachtungsgegenstandes des Sicherheitskonzeptes (gelb hinterlegt) wird in der nachfolgenden Graphik dargestellt.

Teilnehmer Typ C

BVADOI-DienstebereichSchutzbedarf „hoch“

VPN Schutzbedarf „hoch“

Teilnehmer Typ A Teilnehmer Typ B

VPN Schutzbedarf „normal“

VPN Schutzbedarf „normal“

VPN Schutzbedarf „hoch“

Übergang zu anderen Netzen

DNS

Internet

DVDV (Bundesmaster)

Zentrales ALG

CA / PKIsTESTA Business

NdB

VPN Schutzbedarf „normal“

DOI-Gateway

Mail-Relay

VPN Schutzbedarf „hoch“

VB01

VB04

VB03

VB02

VB03VB03

VB04

VB04

VB05

VB04

MPLS BackboneIT-Verbund „DOI“

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 16

Verantwortlichkeiten zur Sicherheit

• Für die Sicherheit im DOI-Netz ist fachlich der DOI-Netz e.V.

verantwortlich. Die Aufrechterhaltung der Sicherheit wird

gewährleistet durch:– die Entwicklung und Fortschreibung des DOI-Sicherheitskonzeptes

durch den Sicherheitsbeauftragten und dem Security-Fachboard– der Einrichtung des Security-Managements und dem Security-

Fachboard– einem jährlichen Sicherheitsreview

• Operativ wird die Sicherheit des DOI-Netzes durch den Netz-

Betreiber gewährleistet durch:– die Vorlage eines zertifizierungsfähigen Sicherheitskonzeptes für das

gesamte DOI-Netz und dem Dienstebereich– die Zusammenarbeit beider Security-Management-Bereiche

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009

Sicherheit im DOI-Netz- Das DOI Sicherheitsmanagement

17

Das DOI-Sicherheitsmanagement- beschreibt die Zielsetzung- definiert den Geltungsbereich- grenzt die Aufgaben zur

Gesamtsicherheit ab- berücksichtigt den Datenschutz

Das DOI-Sicherheitsmanagement

reflektiert:- die vertraglichen Anforderungen- den Sicherheitsmanagement-

Prozess im DOI-Betriebskonzept- den IT-Sicherheitsprozess für

DOI

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009Dienstag, 10. November 2009 18

Sicherheit im DOI-Netz- Die Nutzungsregeln

DOI-Nutzungsregeln definieren die Anforderungen an:

− die Organisation und den IT-Betrieb (z.B. Störungsmanagement-Prozess, Rollen, Verantwortlichkeiten, Ansprechpartner)

− die Technologie (z.B. Anschlussart, Protokolle) und

− die IT-Sicherheit (z.B. teilnehmerseitiges Sicherheitskonzept, Benennung eines Sicherheitsbeauftragter, Schutz vor Schadsoftware und anderen Bedrohungen, etc.)

Grundlagen für den Anschluss eines Verwaltungsnetz ans DOI-Netz *)

*) Diese Regelungen orientieren sich an den „Rahmenbedingungen für den Einsatz und die Nutzung von Verwaltungsnetzen und des Verbundes im Deutschen Verwaltungsnetz (DVN)“ (vom 14.09.2005).

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 19

• Strukturierter Warenkorb für Netzanschlüsse und zentrale Dienste wird über ein Portal bereitgestellt

• Auswahlmöglichkeiten für die Netzanschlüsse zwischen unterschiedlichen Technologien und Bandbreiten

• Differenzierte Verfügbarkeiten und Servicelevel sind bedarfsabhängig wählbar

• Zentrale Dienste werden über die Plattform bereitgestellt (z.B. DNS, PKI und Verzeichnisdienste, E-Mail Gateway, ….)

• Detailiertes Monitoring und Reporting von Service Leveln– Für Services und Betriebsprozesse

• Kostentransparenz für alle Leistungen und Services– Keine Quersubventionierung oder Kostenumlage

Leistungen im Rahmen des DOI-Netzes

www.doi-netz.de

DEUTSCHLANDONLINE

06. November 2009 20

Jetzt - oder jederzeit an

Thomas KrampertLizenzierter ISO 27001-Auditor

DOI-Netz e.V.

Tel 03018 358 7549 oder0171 303 8166

Mail thomas.Krampert@bmi.bund.de

oder thomas.Krampert@eds.com

Fragen