IPv6-Support für ein Linux-basiertesUnified Thread Management Produkt

IPv6 Kongress 2010 – Seite 2 © Astaro 2010

Macht Netzwerksicherheiteinfach

Gründung 2000

170 Mitarbeiter

Hauptgeschäftsstellen in: - Karlsruhe- Boston (USA)

Astaro schützt über100.000 Netzwerkein über 60 Ländern

Astaro

IPv6 Kongress 2010 – Seite 3 © Astaro 2010

Seit 2000 bei Astaro

Leitung der Produktentwicklung- Astaro Security Gateway (ASG)- Astaro Command Center (ACC)

Diplom-Informatiker (Universität Karlsruhe)- Netzwerksicherheit- Eingebettete Systeme

Daniel Stutz

IPv6 Kongress 2010 – Seite 4 © Astaro 2010

Seit fast 8 Jahren auf der long-term Roadmap

2004: Erste Überlegungen zur IPv6 Integration im Vorfeld der ASG V6 Entwicklung

Mangels Kunden-Nachfrage aufgeschoben

2009: Re-Evaluation im Rahmen der ASG V8 Planung

Juni 2010: ASG V8 mit IPv6

IPv6 bei Astaro (1)

IPv6 Kongress 2010 – Seite 5 © Astaro 2010

IPv6 Network Connectivity- PPPoE, Tunnel Broker, 6to4- DHCP, Auto-Configuration- DNS, NTP, SNMP, SSH, Remote Syslog, SIP/H.323

NetworkSecurity- Packetfilter- Intrusion Prevention- IPSec

WebSecurity- HTTP Proxy- Reverse Proxy / Web Application Firewall

MailSecurity- SMTP Proxy

Reporting

IPv6 bei Astaro (2)

IPv6 Kongress 2010 – Seite 6 © Astaro 2010

Basis System: nutzt SUSE SLES 11 als “Steinbruch”

OSS (Auszug):- Snort (IPS) - IPTables/NetFilter (Firewall / Paketfilter)- Exim (Mail-Gateway)- Bind (DNS-Proxy)- OpenVPN (SSL-VPN) - StrongSwan (VPN Modul)- OpenSSH (SSH-Komponente)- GnuPG (Verschlüsselungsmodul)- ClamAV (Virenscanner)- Quagga (OSPF Routing)

Proprietäre Komponenten- Management Interface und Bereiche in denen OSS keine Lösung bietet

Astaro Security Gateway V8

IPv6 Kongress 2010 – Seite 7 © Astaro 2010

Aktiv gepflegte Projekte haben i.d.R. IPv6 Support- Netfilter/IPTables, Snort, StrongSwan, Apache, OpenSSH, Net-SNMP,

Bind, ISC DHCP, Exim

Einige haben zumindest Patches verfügbar- z.B. OpenVPN

Ältere, “tote” aber auch “stabile” Projekte haben keinen IPv6 Support

- Frox FTP Proxy, Dante Socks Proxy, poptop PPTP

Sorgenkind: Perl- Socket Kommunikation über IPv6 nicht im Sprach-Kern

• IPv6 Support variiert von Modul zu Modul• SSL und LDAP sind z.B. nicht zufriedenstellend gelöst• Lösungen verfügbar aber uneinheitlich und mit Nebenwirkungen

Herausforderungen (1)OSS

IPv6 Kongress 2010 – Seite 8 © Astaro 2010

Generell zu Unterscheiden: Eigenentwicklung und zugekauft bzw. lizensiert

zugekauft/lizensiert:- Viele Hersteller haben/planen keinen IPv6 Support.- Einige verweisen auf die Roadmap- Einige sind bereit auf Anforderung IPv6 Support zu entwickeln

Eigenentwicklung:- Technisch beherrschbar, aber i. d. R. eine größere Investition

notwendig- Bereiche, die lange stabil waren müssen wieder angefasst werden- Umfang der erforderlichen Anpassungen reicht von wenigen Zeilen bis

zu großflächigem Refactoring

Herausforderungen (2)Proprietäre Software

IPv6 Kongress 2010 – Seite 9 © Astaro 2010

Protokoll-Unterschiede- OSPF -> OSPFv3

Mutual Exclusive Support IPv4/IPv6 (2 Instanzen notwendig)- DHCPD, oident

IPv6 ist Wild West- Unklare Bedingungen in den Produktivumgebungen- Beispiel: IPv6 mit PPPoE:

• Deutschland/Frankreich: IPV6CP• Japan: Auto-Configuration über das Ethernet Device

Offene Bereiche- NAT, Multi-Homing

Wie integriert man IPv6 in die Konfigurationsoberfläche?- Parallel aufziehen oder integrieren?- Extra IPv6-fähiges Produkt oder alle Kunden belästigen?

Herausforderungen (3)Diverses

IPv6 Kongress 2010 – Seite 10 © Astaro 2010

Globaler IPv6 Schalter:- IPv6 ist neu und komplex -> Menschen sind verunsichert- Kunden, die kein IPv6 benötigen, werden nicht mit IPv6 Optionen

“belästigt”

Integrierter IPv4/IPv6 Ansatz:IP Adressen werden in Netzwerk “Definitionen” gespeichert und wieder

verwendet. Anstatt entweder IPv4 oder IPv6, kann eine Definition beide Varianten enthalten

Bedienkonzept (1)

IPv6 Kongress 2010 – Seite 11 © Astaro 2010

Wie zeigt man an bei der Konfiguration an, ob IPv6 an einer Stelle unterstützt wird?

- Icons einer Definition zeigen an, ob eine IPv4 und/oder eine IPv6 Adresse konfiguriert ist.

- Wenn IPv4/IPv6 an einer Stelle nicht unterstützt wird, wird dies durch ein “ausgrauen” des entsprechenden Symbols angezeigt.

Bedienkonzept (2)

IPv6 Kongress 2010 – Seite 12 © Astaro 2010

Wie aktiviert man IPv6 für ein Feature?- HTTP Proxy entscheidet auf DNS-Basis wohin er sich verbindet- Zugangskontrolle über erlaubte Source-IP Adressen

Bedienkonzept (3)

FragenFragen

AntwortenAntworten&&

Astaro Web Site

Astaro V8 Beta

www.astaro.org

www.astaro.de

Vielen DankVielen Dank