Upload
imma-geiser
View
104
Download
0
Embed Size (px)
Citation preview
Public Government: Entwicklungen rund um die LIR „de.government“
IPv6-Kongress, Juni 2014
Agenda
• Übersicht „IPv6 und Public Government“
• IPv6 in Regierungsnetzen
• Adressraum und LIR „de.government“
• Zeitplan
• Herausforderungen an IPv6 in der ÖV
Agenda
2
Übersicht
• Entwicklungen rund um LIR „de.government“. Übersicht über den Stand der IPv6-Einführung in der deutschen ÖV.
• Routing in öffentlichen Netzen und die Rolle von Sicherheitsbehörden. Aspekte eines übergreifenden Routingkonzepts für die ÖV.
• GEN6 ‐ IPv6 Take off Monitoring. Benchmarking-Ergebnisse aus dem EU-Projekt GEN6 und Regierungsvorgaben zur Unterstützung der Einführung von IPv6.
• IPv6 in Netzen der ÖV in Europa. Überblick über GEN6 und die Einführung von IPv6 in der ÖV Europas.
• Cross Border - Herausforderungen der IPv6-Kommunikation über Netzgrenzen. Ergebnisse aus beispielhaften Tests im Rahmen von GEN6 zur Vernetzung länder über grei fender Behördendienste mit IPv6.
• Energy Efficiency in School Networks with IPv6. Vorstellung des griechischen GEN6-Piloten.
• v6inAction - Smart communications solution In emergency situations. Vorstellung des slovenischen GEN6-Piloten.
• IPv6 im LAN, Implementierungs-Pitfalls und Herausforderungen im Debugging. Ergebnisse aus dem deutschen GEN6-Piloten, Ansatz zur Ertüchtigung von lokalen Netzen mit einer heterogenen Anwendungslandschaft für einen IPv6-Dual-Stack-Betrieb.
„IPv6 und Public Government“
3
Deutschland Online Infrastruktur (DOI):
• Verbindungsnetz zwischen Bund, Ländern und Kommunen laut Artikel 91 c GG• Bietet übergreifende Dienste (DNS, sichere eMail, PKI, Videokonferenzen)• Bund verantwortet seit Januar 2011 die Planung, Vergabe und Betriebsführung • Operativer Betrieb durch BVA, Steuerung und
Strategie durch BMI
IPv6-fähige Infrastruktur: • IPv4/IPv6 Dual Stack Backbone • zentrale Dienste • Sicherheitsgateway • Kryptosysteme (,
Dual-Stack ab ca. 6/2014)
1
DOI applicatione-government and DOL applications
(e.g. 115, registration, civil status matters)
DO
I sec
uri
tyD
OI o
pe
rati
on
s
DOI services
(basic and added-value services)
Te
rmin
al
Networks of Federal States
Local administrationnetworks
Access to EU
DOI transport
DOI backbone IPv4/IPv6 dual stack
Federaladministrationnetworks
Fir
ewal
lsC
ryp
toS
yste
ms
1
DOI applicatione-government and DOL applications
(e.g. 115, registration, civil status matters)
DO
I sec
uri
tyD
OI o
pe
rati
on
s
DOI services
(basic and added-value services)
Te
rmin
al
Networks of Federal States
Local administrationnetworks
Access to EU
DOI transport
DOI backbone IPv4/IPv6 dual stack
Federaladministrationnetworks
DOI applicatione-government and DOL applications
(e.g. 115, registration, civil status matters)
DO
I sec
uri
tyD
OI o
pe
rati
on
s
DOI services
(basic and added-value services)
Te
rmin
al
Networks of Federal States
Local administrationnetworks
Access to EU
DOI transport
DOI backbone IPv4/IPv6 dual stack
Federaladministrationnetworks
Fir
ewal
lsC
ryp
toS
yste
ms
IPv6 in Regierungsnetzen
4
Netze der Bundesverwaltung • Netze des Bundes (NdB) wurde
• mit einer IPv6-Infrastruktur konzipiert und • entsprechend auf die neue Generation der IP-Adressen und -
Technologien vorbereitet.
• Informationsverbund Bonn-Berlin (IVBB): • 2009: Aufgabe an den Dienstleister des IVBB, sämtliche (im Rahmen
eines damaligen CRs) neu errichteten Komponenten IPv6-fähig zu installieren.
• Krypto-Komponenten sind noch nicht IPv6-fähig. Austausch erfolgt mit dem Ende 2013 beauftragten IVBB-CR „SiReKo“ (Sichere Regierungs-Kommunikation).
• Informationsverbund der Bundesverwaltung / Bundesverwaltungsnetz (IVBV/BVN): die zentralen Netzkomponenten sind hinsichtlich ihrer IPv6-Tauglichkeit überprüft. Die aktuelle Planung sieht in 2014 die notwendigen konzeptionellen Vorarbeiten für die IPv6-Einführung vor.
IPv6 in Regierungsnetzen
5
F&E-Projekt zum Einsatz von IPv6 in der ÖV
• IPv6 Profile (aufbauend auf NIST, US)• Migrationsleitfaden• Aufbau einer Testumgebung• Evaluierung von IPv6 Komponenten• Untersuchung von Sicherheitsaspekten
in IPv6 Netzen und Anwendungen• Workshop-Material zur Information über die
verschiedenen Übergangstechnologien sowie Darstellung von Einsatzbereichen
• Angepasste Versionen für KMUs von IPv6-Profil und IPv6-Migrationsleitfaden
• Dokumente im Netz zugänglich (www.bva.bund.de)
Umsetzung in der Breite
IPv6 in Regierungsnetzen
6
Staatssekretärsrunde Deutschland Online-2008…Empfehlung für die ÖV Deutschlands, IPv6 einzusetzen, einen zentralen Adressraum zu beantragen und die organisatorische Umsetzung vorzubereiten
IKT-Strategie für Deutschland „Deutschland Digital 2015“ (Bundeskabinett, 10.11.2010):
... dass für Bund, Länder und Kommunen die Einführung von IPv6 (Internetprotokoll Version 6) einen wesentlichen Beitrag zur Einführung neuer Internet-Technologien in modernen, sicheren Kommunikationsinfrastrukturen darstellt.
Zuteilung eines /26 IPv6-Adressraums für die öffentliche Verwaltung in Deutschland durch RIPE NCC: de.government
Gemeinsamer IPv6 Adressraum für die ÖV in Deutschland
Adressraum und LIR „de-government“
7
Das Ausrollen von IPv6 in der gesamten öffentlichenVerwaltung erfordert die Einbindung des Know-hows ausallen künftigen Nutzerebenen• Die grundlegenden Eckpunkte der IPv6 Verwaltung werden im
Rahmen einer Arbeitsgruppe IPv6 erarbeitet (Adresskonzept, Organisation, Sicherheit, Technik)
• Die Arbeitsgruppe repräsentiert am Adressraum beteiligten Organe (Bund, Länder, Kommunen, öffentliche Dienstleister etc.)
• Die erarbeiteten Vorschläge werden auf den unterschiedlichen Ebenen vorgestellt, diskutiert und weiterentwickelt
Die IPv6 Arbeitsgruppe
Adressraum und LIR „de-government“
8
Allokation de.government: /26
/32
• Adresskonzept, das die übergeordnete Adressraumaufteilung für die gesamte öffentliche Verwaltung beschreibt
• Global Unicast Adressen aus dem Bereich der Öffentlichen Verwaltung in Deutschland (/26) für die übergreifende Kommunikation
• Die Zielsetzung ist, hierarchisch aggregierbare Strukturen aufzubauen und Umnummerierungen in den Netzen zukünftig überflüssig machen
• Es gelten RIPE NCC Policies• Aufteilung in Suballokationen zur
Selbstverwaltung durch „SubLIRs“
Adressrahmenkonzept
Adressraum und LIR „de-government“
9
Adressraum und LIR „de-government“
• Prüfung von Adressplänen der Sub-LIR anhand der im Referenzhandbuch festgelegten Kriterien und Zuteilung der Adressbereiche
• Ansprechpartner für Sub-LIR-Verantwortliche• Mitarbeit am Policy Development Process der RIPE und Kommunikation von
Policy-Änderungen an die Sub-LIR-Verantwortlichen• Aufgabenbezogene Öffentlichkeitsarbeit, Organisation der IPv6 AG und
Sub-LIR Forum• Hosting, Pflege und redaktionell-inhaltliche Betreuung des Intranet- und
Website-Angebots• Training der Sub-LIR-Mitarbeiter• ....
Aufgaben der LIR
10
Adressraum und LIR „de-government“
Stand der Umsetzung Im Wirkbetrieb
Sub-LIR DOI
Sub-LIR NdB
Sub-LIR NRW Kommunen
Sub-LIR Berlin
Sub-LIR Niedersachsen
Sub-LIR Meck.-Vorpommern
Sub-LIR Bayern
Sub-LIR Schleswig-Holstein
Sub-LIR Hamburg
Sub-LIR Hessen
Sub-LIR Sachsen
11
• Assignment eines /26 (plan /19) Adressraums „de.government“
• Erste lokale IPv6 Piloten des de.government Adressraums
• Start Pilotierung IPv6 in DOI
• Start Implementation der SubLIRs
• Inbetriebnahme von IPv6 in DOI
• Fertigstellung Implementationder LIR de.government
• Implementation Dual Stack
• Vollständige Implementation der SubLIRs
Q4/09
Q3/10
Q4/10
Q4/12
Q2/11
Q4/11
Zeitplan
Q2/14
Q4/14 ??
12
Herausforderungen
• Föderale Struktur: Einrichtungen der ÖV sind entweder
• direkt mit DOI verbunden oder
• indirekt über andere Netze mit DOI verbunden
• oder nur über das Internet erreichbar
• Einrichtungen der ÖV innerhalb eines Bundeslandes (Teil der entsprechenden SubLIR) können durch ein separates Netz verbunden sein.
• §3 IT-NetzG: „Der Datenaustausch zwischen dem Bund und den Ländern erfolgt über das Verbindungsnetz“
Internes Routing (Beispiel DE)
M1-1 M1-2 St2
PEPEPE
SubLIR 1 SubLIR 2
PE
M2-1
NWx
PE
DOI DOI
NWy
InternetInternet
13
Herausforderungen
• Lokale Netze (z.B. Ländernetze) haben separate Internetanschlüsse
• Lokales Announcement der /32s (möglicherweise auch kleinerer Adressräume)
• Routing kleinerer Adressräume nicht gesichert
• Lösungsansätze• Routingvereinbarung mit ISPs (“grüne
Wolke”)
• Zentrale Routinginstanz (Routingfallschirm)
• Bzw. eventuell zentrales Announcement des /26
• Adressraumvergrößerung (Antrag in Arbeit)
Externes Routing (Beispiel DE)
DOI Border: Router A
DOI DOI
U1 U2 U3
PEPEPE
Internet
localISP
Firewall
Firewall
BorderRouter B
CentralInternet Access Point
14
Herausforderungen
• Die Nutzung des Adressraums ist langfristig zu sehen. Entsprechend müssen im Adresskonzept Reserven eingeplant werden.
• Der „HD Ratio“ ist daher nach RIPE-Richtlinien zunächst gering.
• Lösungsansätze
• Proposal in Vorbereitung
Adressmanagement
15
Fragen?
Dr. Heinz-Werner Schülting- ext. Beratung im Auftrag des BMI [email protected]+49 30 18681 4193
16