DEUTSCHLAND

ONLINE

Diensteangebot im DOI-Netz

Workshop
„E-Government-Standards für Wirtschaft und Verwaltung“
Arbeitsgruppe 11

Thomas Krampert, DOI-Netz e.V.

Berlin, 06. November 2009

06. November 2009 www.doi-netz.de

DEUTSCHLAND
ONLINE Agenda

• Diensteportfolio

• Zentrale Service Plattform (ZSP)

• Architektur

• PKI (Zertifikatsdienst)

• Kryptomanagement

• Sicherheit bei DOI

06. November 2009 2 www.doi-netz.de

DEUTSCHLAND
ONLINE Diensteportfolio DOI (1/2)
• Das DOI-Diensteportfolio wird als kundenorientiertes
Leistungsportfolio mit einem Warenkorb von
– Basisdiensten und
– Mehrwertdiensten
realisiert.

• Zu den Basisdiensten zählt die Konnektivität zwischen

Verwaltungsnetzen und DOI-Netz in verschiedenen
Bandbreiten und mit unterschiedlichen Service Leveln.

• Der Leistungsumfang beinhaltet die Möglichkeit der Nutzung

von IPv6.

06. November 2009 3 www.doi-netz.de

DEUTSCHLAND
ONLINE Diensteportfolio DOI (2/2)
Als Mehrwertdienste werden bereitgestellt:

• DNS (Domain Name System)

Gewährleistung der Authentizität und Datenintegrität von
DNS-Transaktionen durch
– DNSSec (Domain Name System Security Extensions)
– TSIG (Transaction SIGnature)
• E-Mail Relay (E-Mail-Verteilung)
• PKI (Zertifikatsdienst)
• Verschlüsselung durch IPSec-VPN (Kryptomanagement)

06. November 2009 4 www.doi-netz.de

DEUTSCHLAND
ONLINE ZSP - Zentrale Service Plattform (1/2)

• Die Leistungen der ZSP umfassen:

– redundanter Aufbau der gesamten produktiven IT-Struktur
– Dopplung der Komponenten auf verschiedene Brandabschnitte
und für spezielle Dienste (derzeit DNS) auf unterschiedliche
Rechenzentren
– redundante Anbindung der Serviceplattform an das DOI-Netz
– Bereitstellung als dedizierte Dienste-Plattform unter Beachtung
der Sicherheitsanforderungen des Bundes
– Absicherung der Plattform durch redundante
Sicherheitsgateway-Systeme (P-A-P Struktur)
– zentraler Domain Name Service
– zentraler Mail-Relay-Dienst
– zentrale Administration der Dienste der ZSP

06. November 2009 5 www.doi-netz.de

DEUTSCHLAND
ONLINE ZSP - Zentrale Service Plattform (2/2)
DNS- Mail- Management-
Server Server Server

Produktions-LAN Management-LAN

Sicherheitsgateway Admin-
intern (zweistufig) Sicherheits-
gateway
Paketfilter

ALG

Management-
Stationen
Paketfilter

Zentrale Serviceplattform (ZSP)

DOI-Netz

06. November 2009 6 www.doi-netz.de

DEUTSCHLAND
ONLINE Architektur (1/3)

• Für die Migration wurde - auf Wunsch der DOI Teilnehmer

nach einer möglichst sanften und weitgehend
unterbrechungsfreien 1:1 Migration - nochmals eine
Vollvermaschung realisiert.
• Alle an DOI angeschlossenen
Teilnehmer sind heute Nutzer
eines gemeinsamen
MPLS-VPNs.
• Jeder DOI Teilnehmer hat
einen IPSec-Verbindung zu
jedem an DOI angeschlossenen
Teilnehmer (Vollvermaschung).
• Die Kommunikationsbeziehungen
bzw. die Bildung der geschlossenen
Benutzergruppen erfolgt auf dem jeweiligen
Sicherheitsgateway (per Access-Listen) des DOI Teilnehmers.
06. November 2009 7 www.doi-netz.de
DEUTSCHLAND
ONLINE Architektur (2/3)

• Zukünftig werden geschlossenen Benutzergruppen nach

Interessengruppen aufgebaut und in einem dezidierten
MPLS-VPN zusammengefasst.
• Innerhalb des MPLS-VPNs
werden dann zwischen den
Teilnehmern dieser
speziellen geschlossenen
Benutzergruppe
IPsec-Verbindungen
geschaltet.

06. November 2009 8 www.doi-netz.de

DEUTSCHLAND
ONLINE Architektur (3/3)

• Es soll zukünftig möglich sein, mehrere MPLS-VPNs pro

Verwaltungsnetzanschluss (DOI-Teilnehmer) zu nutzen.
• Bei der Nutzung mehrerer MPLS-VPNs müssen diese dann
ggf. jeweils durch einen eigenen IPSEc-Tunnel abgesichert
werden.
• Voraussetzung dafür ist die Unterstützung von mehreren
physikalischen oder logischen Schnittstellen der
Kryptoendgeräte sowohl in Richtung LAN-Ethernet-Switch,
als auch in Richtung CE-Router.
• Netze mit hohem Schutzbedarf bedürfen einer gesonderten
Betrachtung auf Geräteebene. Die Separierung der Netze
muss auf physikalischer Ebene durch den Einsatz dezidierter
Hardware erfolgen.

06. November 2009 9 www.doi-netz.de

DEUTSCHLAND
ONLINE PKI (Verzeichnisdienst)

• Die „DOI-CA“ stellt Zertifikate für Teilnehmer von Bund, Ländern und
Kommunen aus und ist in die Verwaltungs-PKI integriert.
• Die DOI-CA wird auf der Plattform des Trust Centers der Deutschen
Telekom betrieben.
• Der CA-Service der DOI-CA steht 7x24 Stunden zur Verfügung.
• Die Zertifikate können somit für folgende Zwecke genutzt werden:
– E-Mail Sicherheit durch standardkonforme Signatur
(“fortgeschrittene Signatur“) und Verschlüsselung
– Signatur („fortgeschrittene Signatur“) und Verschlüsselung von
Dateien
– Sicherer Datenaustausch über OSCI
– sichere Authentifikation von Servern gegenüber Anwendungen
und Benutzern
– sichere Authentifikation von Benutzern gegenüber Servern,
Anwendungen und Netzwerken

06. November 2009 10 www.doi-netz.de

DEUTSCHLAND
ONLINE Kryptomanagement (1/2)

• Das Kryptomanagement wird beim BVA bereitgestellt und

betrieben.
• Der Zugriff auf die Kryptoendgeräte erfolgt über eine
gesicherte Anbindung erfolgt. Hierzu verfügt das BVA über
eine redundante Anbindung an das DOI-Koppelnetz.
• Das Management der Kryptoendgeräte erfolgt zentral und ist
u. a. mit folgenden Tätigkeiten verbunden:
– initiale Einrichtung einer Kryptobox und Konfiguration der IPsec-
Sicherheitsbeziehungen (Security Association)
– Einrichtung und Anpassungen der Sicherheitsbeziehungen einer
Kryptoverbindung im Wirkbetrieb
– Fehlerbehebung im Zusammenhang mit den IPSec-VPN
– Management der zum Betrieb der VPNs notwendigen Schlüssel
und Zertifikate

06.
Dienstag,
November
10. 2009
November 2009 11 www.doi-netz.de
DEUTSCHLAND
ONLINE Kryptomanagement (2/2)

• Mit dem Kryptomanagement werden die Konfiguration und die

Administration der Kryptoendgeräte (Krypto-EG) im Netzwerk
vorgenommen.
• Einfache und benutzerfreundliche Verwaltung von
Sicherheitsbeziehungen
• Modularer Aufbau
• Skalierbarkeit
DOI-Netz
• Redundanz PE

PE CE
• Mandantenfähigkeit PE

CE CE
Krypto-EG

Krypto-EG
Krypto-EG
DOI-Teilnehmer B

SC-
Leser
DOI-Teilnehmer A
Mitarbeiter des Krypto-
und Netz-Management

Krypto -Management-
System (BVA)

06.
Dienstag,
November
10. 2009
November 2009 12 www.doi-netz.de
 Sicherheit im DOI-Netz
DEUTSCHLAND
ONLINE - Sicherheitskonzept (1/2)

• Ziele
– Mit dem Sicherheitskonzept wird ein generischer Rahmen geschaffen,
auf dessen Basis den Teilnehmern von DOI eine sichere
Kommunikationsinfrastruktur bereitgestellt wird.
– Basierend auf dem generisches Sicherheitskonzept erfolgt die
Fortschreibung des Konzeptes durch den Betreiber

Zertifizierungsfähiges Sicherheitskonzept bis Ende 2010

• Rahmenparameter und grundlegende Eckpunkte

– Es werden Rahmenbedingungen berücksichtigt, die als
Sicherheitsanforderungen (z.B. Anforderungen aus Verwaltungsnetzen,
TESTA-D) mit den verantwortlichen Bereichen definiert wurden.
– Es wurden keine weiteren Anforderungen aus den Fachverfahren der
Nutzer erhoben. Diese müssen durch die Verfahrensverantwortlichen mit
einer Schutzbedarfsfeststellung ermittelt werden.
– Grundsätzlich dürfen auf der DOI-Plattform nur Verfahren betrieben
werden, die maximal einen hohen Schutzbedarf haben. Anwendungen
und Verfahren mit einem sehr hohen Schutzbedarf dürfen aus heutiger
Sicht nicht auf der DOI-Plattform betrieben werden.
06. November 2009 13 www.doi-netz.de
 Sicherheit im DOI-Netz
DEUTSCHLAND
ONLINE - Sicherheitskonzept (2/2)
• Kernaussagen und grundlegende konzeptionelle Eckpunkte
– Für die Kernkomponenten im Backbone und dem DOI-
Dienstebereich wird grundsätzlich ein hoher Schutzbedarf
definiert.
– Für den Access-Bereich wird grundsätzlich ein normaler
Schutzbedarf angenommen.
– Sollten die Teilnehmer der DOI-Plattform den Bedarf bzw. die
Anforderung für einen hohen Schutzbedarf haben, können
diese über differenzierte Anschlussmöglichkeiten realisiert
werden z.B. durch die Nutzung von unterschiedlichen VPN
Typen.

06. November 2009 14 www.doi-netz.de

 Sicherheit im DOI-Netz
DEUTSCHLAND
ONLINE - Sicherheitskonzept / Architekturbild

Der Betrachtungsgegenstandes des Sicherheitskonzeptes (gelb hinterlegt) wird

in der nachfolgenden Graphik dargestellt.
DOI-Dienstebereich BVA Übergang zu anderen Netzen
Schutzbedarf „hoch“
DVDV
(Bundesmaster)
Mail-
Relay DNS CA / PKI
sTESTA Business

Zentrales ALG
VB04
DOI-Gateway
NdB
VB05 VB04
VB02
VB01
VB03
IT-Verbund „DOI“
MPLS Backbone
Internet

VPN Schutzbedarf VPN Schutzbedarf

„normal“ „hoch“

VB04

VB03 VB04
VB03

VPN Schutzbedarf VPN Schutzbedarf VPN Schutzbedarf VPN Schutzbedarf

„normal“ „normal“ „hoch“ „hoch“

Teilnehmer Typ A Teilnehmer Typ B Teilnehmer Typ C

06. November 2009 15 www.doi-netz.de

DEUTSCHLAND
ONLINE Verantwortlichkeiten zur Sicherheit

• Für die Sicherheit im DOI-Netz ist fachlich der DOI-Netz e.V.

verantwortlich. Die Aufrechterhaltung der Sicherheit wird
gewährleistet durch:
– die Entwicklung und Fortschreibung des DOI-Sicherheitskonzeptes
durch den Sicherheitsbeauftragten und dem Security-Fachboard
– der Einrichtung des Security-Managements und dem Security-
Fachboard
– einem jährlichen Sicherheitsreview
• Operativ wird die Sicherheit des DOI-Netzes durch den Netz-
Betreiber gewährleistet durch:
– die Vorlage eines zertifizierungsfähigen Sicherheitskonzeptes für das
gesamte DOI-Netz und dem Dienstebereich
– die Zusammenarbeit beider Security-Management-Bereiche

06. November 2009 16 www.doi-netz.de

 Sicherheit im DOI-Netz
DEUTSCHLAND
ONLINE - Das DOI Sicherheitsmanagement

Das DOI-Sicherheitsmanagement
- beschreibt die Zielsetzung
- definiert den Geltungsbereich
- grenzt die Aufgaben zur
Gesamtsicherheit ab
- berücksichtigt den Datenschutz

Das DOI-Sicherheitsmanagement
reflektiert:
- die vertraglichen Anforderungen
- den Sicherheitsmanagement-
Prozess im DOI-Betriebskonzept
- den IT-Sicherheitsprozess für
DOI

06. November 2009 17 www.doi-netz.de

 Sicherheit im DOI-Netz
DEUTSCHLAND
ONLINE - Die Nutzungsregeln

Grundlagen für den Anschluss eines Verwaltungsnetz ans DOI-Netz *)

DOI-Nutzungsregeln definieren die Anforderungen an:

− die Organisation und den IT-Betrieb (z.B. Störungsmanagement-Prozess, Rollen,

Verantwortlichkeiten, Ansprechpartner)

− die Technologie (z.B. Anschlussart, Protokolle) und

− die IT-Sicherheit (z.B. teilnehmerseitiges Sicherheitskonzept, Benennung eines

Sicherheitsbeauftragter, Schutz vor Schadsoftware und anderen Bedrohungen,
etc.)

*)Diese Regelungen orientieren sich an den „Rahmenbedingungen für den Einsatz und
die Nutzung von Verwaltungsnetzen und des Verbundes im Deutschen Verwaltungsnetz
(DVN)“ (vom 14.09.2005).

Dienstag,
06. 10. 2009
November November 2009 18 www.doi-netz.de
DEUTSCHLAND
ONLINE Leistungen im Rahmen des DOI-Netzes

• Strukturierter Warenkorb für Netzanschlüsse und zentrale

Dienste wird über ein Portal bereitgestellt
• Auswahlmöglichkeiten für die Netzanschlüsse zwischen
unterschiedlichen Technologien und Bandbreiten
• Differenzierte Verfügbarkeiten und Servicelevel sind
bedarfsabhängig wählbar
• Zentrale Dienste werden über die Plattform bereitgestellt (z.B.
DNS, PKI und Verzeichnisdienste, E-Mail Gateway, ….)
• Detailiertes Monitoring und Reporting von Service Leveln
– Für Services und Betriebsprozesse
• Kostentransparenz für alle Leistungen und Services
– Keine Quersubventionierung oder Kostenumlage

06. November 2009 19 www.doi-netz.de

DEUTSCHLAND
ONLINE Fragen

Jetzt - oder jederzeit an

Thomas Krampert
Lizenzierter ISO 27001-Auditor
DOI-Netz e.V.

Tel 03018 358 7549 oder

0171 303 8166

Mail thomas.Krampert@bmi.bund.de
oder
thomas.Krampert@eds.com

06. November 2009 20 www.doi-netz.de