Upload
sascha-ader
View
119
Download
1
Embed Size (px)
Citation preview
IPv6-Support für ein Linux-basiertesUnified Thread Management Produkt
IPv6 Kongress 2010 – Seite 2 © Astaro 2010
Macht Netzwerksicherheiteinfach
Gründung 2000
170 Mitarbeiter
Hauptgeschäftsstellen in: - Karlsruhe- Boston (USA)
Astaro schützt über100.000 Netzwerkein über 60 Ländern
Astaro
IPv6 Kongress 2010 – Seite 3 © Astaro 2010
Seit 2000 bei Astaro
Leitung der Produktentwicklung- Astaro Security Gateway (ASG)- Astaro Command Center (ACC)
Diplom-Informatiker (Universität Karlsruhe)- Netzwerksicherheit- Eingebettete Systeme
Daniel Stutz
IPv6 Kongress 2010 – Seite 4 © Astaro 2010
Seit fast 8 Jahren auf der long-term Roadmap
2004: Erste Überlegungen zur IPv6 Integration im Vorfeld der ASG V6 Entwicklung
Mangels Kunden-Nachfrage aufgeschoben
2009: Re-Evaluation im Rahmen der ASG V8 Planung
Juni 2010: ASG V8 mit IPv6
IPv6 bei Astaro (1)
IPv6 Kongress 2010 – Seite 5 © Astaro 2010
IPv6 Network Connectivity- PPPoE, Tunnel Broker, 6to4- DHCP, Auto-Configuration- DNS, NTP, SNMP, SSH, Remote Syslog, SIP/H.323
NetworkSecurity- Packetfilter- Intrusion Prevention- IPSec
WebSecurity- HTTP Proxy- Reverse Proxy / Web Application Firewall
MailSecurity- SMTP Proxy
Reporting
IPv6 bei Astaro (2)
IPv6 Kongress 2010 – Seite 6 © Astaro 2010
Basis System: nutzt SUSE SLES 11 als “Steinbruch”
OSS (Auszug):- Snort (IPS) - IPTables/NetFilter (Firewall / Paketfilter)- Exim (Mail-Gateway)- Bind (DNS-Proxy)- OpenVPN (SSL-VPN) - StrongSwan (VPN Modul)- OpenSSH (SSH-Komponente)- GnuPG (Verschlüsselungsmodul)- ClamAV (Virenscanner)- Quagga (OSPF Routing)
Proprietäre Komponenten- Management Interface und Bereiche in denen OSS keine Lösung bietet
Astaro Security Gateway V8
IPv6 Kongress 2010 – Seite 7 © Astaro 2010
Aktiv gepflegte Projekte haben i.d.R. IPv6 Support- Netfilter/IPTables, Snort, StrongSwan, Apache, OpenSSH, Net-SNMP,
Bind, ISC DHCP, Exim
Einige haben zumindest Patches verfügbar- z.B. OpenVPN
Ältere, “tote” aber auch “stabile” Projekte haben keinen IPv6 Support
- Frox FTP Proxy, Dante Socks Proxy, poptop PPTP
Sorgenkind: Perl- Socket Kommunikation über IPv6 nicht im Sprach-Kern
• IPv6 Support variiert von Modul zu Modul• SSL und LDAP sind z.B. nicht zufriedenstellend gelöst• Lösungen verfügbar aber uneinheitlich und mit Nebenwirkungen
Herausforderungen (1)OSS
IPv6 Kongress 2010 – Seite 8 © Astaro 2010
Generell zu Unterscheiden: Eigenentwicklung und zugekauft bzw. lizensiert
zugekauft/lizensiert:- Viele Hersteller haben/planen keinen IPv6 Support.- Einige verweisen auf die Roadmap- Einige sind bereit auf Anforderung IPv6 Support zu entwickeln
Eigenentwicklung:- Technisch beherrschbar, aber i. d. R. eine größere Investition
notwendig- Bereiche, die lange stabil waren müssen wieder angefasst werden- Umfang der erforderlichen Anpassungen reicht von wenigen Zeilen bis
zu großflächigem Refactoring
Herausforderungen (2)Proprietäre Software
IPv6 Kongress 2010 – Seite 9 © Astaro 2010
Protokoll-Unterschiede- OSPF -> OSPFv3
Mutual Exclusive Support IPv4/IPv6 (2 Instanzen notwendig)- DHCPD, oident
IPv6 ist Wild West- Unklare Bedingungen in den Produktivumgebungen- Beispiel: IPv6 mit PPPoE:
• Deutschland/Frankreich: IPV6CP• Japan: Auto-Configuration über das Ethernet Device
Offene Bereiche- NAT, Multi-Homing
Wie integriert man IPv6 in die Konfigurationsoberfläche?- Parallel aufziehen oder integrieren?- Extra IPv6-fähiges Produkt oder alle Kunden belästigen?
Herausforderungen (3)Diverses
IPv6 Kongress 2010 – Seite 10 © Astaro 2010
Globaler IPv6 Schalter:- IPv6 ist neu und komplex -> Menschen sind verunsichert- Kunden, die kein IPv6 benötigen, werden nicht mit IPv6 Optionen
“belästigt”
Integrierter IPv4/IPv6 Ansatz:IP Adressen werden in Netzwerk “Definitionen” gespeichert und wieder
verwendet. Anstatt entweder IPv4 oder IPv6, kann eine Definition beide Varianten enthalten
Bedienkonzept (1)
IPv6 Kongress 2010 – Seite 11 © Astaro 2010
Wie zeigt man an bei der Konfiguration an, ob IPv6 an einer Stelle unterstützt wird?
- Icons einer Definition zeigen an, ob eine IPv4 und/oder eine IPv6 Adresse konfiguriert ist.
- Wenn IPv4/IPv6 an einer Stelle nicht unterstützt wird, wird dies durch ein “ausgrauen” des entsprechenden Symbols angezeigt.
Bedienkonzept (2)
IPv6 Kongress 2010 – Seite 12 © Astaro 2010
Wie aktiviert man IPv6 für ein Feature?- HTTP Proxy entscheidet auf DNS-Basis wohin er sich verbindet- Zugangskontrolle über erlaubte Source-IP Adressen
Bedienkonzept (3)
FragenFragen
AntwortenAntworten&&
Astaro Web Site
Astaro V8 Beta
www.astaro.org
www.astaro.de
Vielen DankVielen Dank