1 / 14

IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt

IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt. Astaro. Macht Netzwerksicherheit einfach Gründung 2000 170 Mitarbeiter Hauptgeschäftsstellen in: Karlsruhe Boston (USA) Astaro schützt über 100.000 Netzwerke in über 60 Ländern. Daniel Stutz. Seit 2000 bei Astaro

corby
Download Presentation

IPv6-Support für ein Linux-basiertes Unified Thread Management Produkt

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IPv6-Support für ein Linux-basiertesUnified Thread Management Produkt

  2. Astaro • Macht Netzwerksicherheiteinfach • Gründung 2000 • 170 Mitarbeiter • Hauptgeschäftsstellen in: • Karlsruhe • Boston (USA) • Astaro schützt über100.000 Netzwerkein über 60 Ländern

  3. Daniel Stutz • Seit 2000 bei Astaro • Leitung der Produktentwicklung • Astaro Security Gateway (ASG) • Astaro Command Center (ACC) • Diplom-Informatiker (Universität Karlsruhe) • Netzwerksicherheit • Eingebettete Systeme

  4. IPv6 bei Astaro (1) • Seit fast 8 Jahren auf der long-term Roadmap • 2004: ErsteÜberlegungenzur IPv6 Integration imVorfeld der ASG V6 Entwicklung • MangelsKunden-Nachfrageaufgeschoben • 2009: Re-Evaluation imRahmen der ASG V8 Planung • Juni 2010: ASG V8 mit IPv6

  5. IPv6 bei Astaro (2) • IPv6 Network Connectivity • PPPoE, Tunnel Broker, 6to4 • DHCP, Auto-Configuration • DNS, NTP, SNMP, SSH, Remote Syslog, SIP/H.323 • NetworkSecurity • Packetfilter • Intrusion Prevention • IPSec • WebSecurity • HTTP Proxy • Reverse Proxy / Web Application Firewall • MailSecurity • SMTP Proxy • Reporting

  6. Astaro Security Gateway V8 • Basis System: nutzt SUSE SLES 11 als “Steinbruch” • OSS (Auszug): • Snort (IPS) • IPTables/NetFilter (Firewall / Paketfilter) • Exim (Mail-Gateway) • Bind (DNS-Proxy) • OpenVPN (SSL-VPN) • StrongSwan (VPN Modul) • OpenSSH (SSH-Komponente) • GnuPG (Verschlüsselungsmodul) • ClamAV (Virenscanner) • Quagga (OSPF Routing) • Proprietäre Komponenten • Management Interface und Bereiche in denen OSS keine Lösung bietet

  7. Herausforderungen (1)OSS • Aktiv gepflegte Projekte haben i.d.R. IPv6 Support • Netfilter/IPTables, Snort, StrongSwan, Apache, OpenSSH, Net-SNMP, Bind, ISC DHCP, Exim • Einige haben zumindest Patches verfügbar • z.B. OpenVPN • Ältere, “tote” aber auch “stabile” Projekte haben keinen IPv6 Support • Frox FTP Proxy, Dante Socks Proxy, poptop PPTP • Sorgenkind: Perl • Socket Kommunikation über IPv6 nicht im Sprach-Kern • IPv6 Support variiert von Modul zu Modul • SSL und LDAP sind z.B. nicht zufriedenstellend gelöst • Lösungen verfügbar aber uneinheitlich und mit Nebenwirkungen

  8. Herausforderungen (2)Proprietäre Software • Generell zu Unterscheiden: Eigenentwicklung und zugekauft bzw. lizensiert • zugekauft/lizensiert: • Viele Hersteller haben/planen keinen IPv6 Support. • Einige verweisen auf die Roadmap • Einige sind bereit auf Anforderung IPv6 Support zu entwickeln • Eigenentwicklung: • Technisch beherrschbar, aber i. d. R. eine größere Investition notwendig • Bereiche, die lange stabil waren müssen wieder angefasst werden • Umfang der erforderlichen Anpassungen reicht von wenigen Zeilen bis zu großflächigem Refactoring

  9. Herausforderungen (3)Diverses • Protokoll-Unterschiede • OSPF -> OSPFv3 • Mutual Exclusive Support IPv4/IPv6 (2 Instanzen notwendig) • DHCPD, oident • IPv6 ist Wild West • Unklare Bedingungen in den Produktivumgebungen • Beispiel: IPv6 mit PPPoE: • Deutschland/Frankreich: IPV6CP • Japan: Auto-Configuration über das Ethernet Device • Offene Bereiche • NAT, Multi-Homing • Wie integriert man IPv6 in die Konfigurationsoberfläche? • Parallel aufziehen oder integrieren? • Extra IPv6-fähiges Produkt oder alle Kunden belästigen?

  10. Bedienkonzept (1) • Globaler IPv6 Schalter: • IPv6 istneu und komplex-> Menschen sindverunsichert • Kunden, die kein IPv6 benötigen, werdennichtmit IPv6 Optionen “belästigt” • Integrierter IPv4/IPv6 Ansatz: IP Adressenwerden in Netzwerk “Definitionen” gespeichert und wiederverwendet. Anstattentweder IPv4 oder IPv6, kanneine Definition beideVariantenenthalten

  11. Bedienkonzept (2) • Wie zeigt man an bei der Konfiguration an, ob IPv6 an einer Stelle unterstützt wird? • Icons einer Definition zeigen an, ob eine IPv4 und/oder eine IPv6 Adresse konfiguriert ist. • Wenn IPv4/IPv6 an einer Stelle nicht unterstützt wird, wird dies durch ein “ausgrauen” des entsprechenden Symbols angezeigt.

  12. Bedienkonzept (3) • Wie aktiviert man IPv6 für ein Feature? • HTTP Proxy entscheidet auf DNS-Basis wohin er sich verbindet • Zugangskontrolle über erlaubte Source-IP Adressen

  13. Fragen & Antworten

  14. Vielen Dank Astaro Web Site www.astaro.de Astaro V8 Beta www.astaro.org

More Related