Netzwerksicherheit: Was eine optische Layer-1-Verschlüsselung leistet

Datensicherheit verlangt Schutz auf mehreren Ebenen, nicht nur am Rand und im Zentrum des Netz­werks, sondern auch auf dem Netz­werk­pfad. Zu einer ganz­heit­lichen Strategie gehört daher auch die optische Layer-1-Verschlüsse­lung. Dabei soll die Daten­kapazität möglichst ohne Latenz­verluste erhalten bleiben.

Dieser Beitrag ist mehr als 5 Jahre alt.
© Colt Technology Services GmbH
Bild: © Colt Technology Services GmbH

Unlesbare Leckwellen

Von Dirk Erdmann, Colt Technology Services

Die Panzerknacker könnten sich ein Beispiel an Hackern nehmen. Anders als die Comicräuber sind Hacker immer wieder erfolgreich und erbeuten Daten, die vermutlich wertvoller sind als die Goldmünzen von Dagobert Duck. Hacker kennen die Schwachstellen von IT-Systemen und greifen zunehmend auch Netzwerkverbindungen an – darauf sollten Unternehmen gefasst sein. Von entscheidender Bedeutung ist dabei neben der Serversicherheit und der Data-at-Rest-Verschlüsselung eine Data-in-Flight-Verschlüsselung.

Den Weg zwischen Unternehmen und Rechenzentren legen Daten über das öffentliche Internet oder private dedizierte Leitungen zurück. Im Internet passieren die Daten Netzwerkknoten verschiedener Anbieter. Das ist vergleichsweise unsicher. Dedizierte Verbindungen bieten einen höheren Schutz und, wenn es sich um Glasfaserverbindungen handelt, auch höhere Geschwindigkeiten.

Vor der Auswahl eines Anbieters sollten Unternehmen jedoch genau hinschauen: Einige Anbieter bieten zwar dedizierte Leitungen an, besitzen diese aber nicht selbst, sondern mieten sie von anderen Providern. Nur große Anbieter, die eigene Glasfasernetze betreiben, haben die volle Kontrolle über ihre Leitungen und können bei eventuellen Sicherheitsproblemen schnell selbst reagieren. Zu einer ganzheitlichen Sicherheitsstrategie gehört neben einer dedizierten Verbindung außerdem eine Netzwerkverschlüsselung auf mehreren Schichten. Dabei gilt: Je tiefer der Layer, desto effizienter der Schutz, desto besser sind Durchsatz und Latenz.

Glasfaserschutz ohne Latenzabfall

Mit einer Layer-3-Verschlüsselung können Unternehmen die IP-Schicht verschlüsseln, nicht aber das zugrunde liegende Ethernet mit all seinen Protokollen. IPSec verschlüsselt und schützt Daten, verringert aber gleichzeitig die Bandbreite, die zur Verfügung steht. Ursache dafür ist der große Overhead (73 Byte bei IPsec ESP-AES-256 ESP-SHHA-HMAC). IPsec verursacht üblicherweise auch, bedingt durch einen hohen CPU-Load, bei manchen Routern eine höhere Latenz. Aus diesem Grund sollten Unternehmen eher auf eine Layer-2-Verschlüsselung setzen, zum Beispiel mit MACsec. Der Overhead bei MACsec ist deutlich kleiner (24 Bytes bei MACsecPlus). Zur Verschlüsselung können außerdem Hardwarelösungen genutzt werden, die performanter sind (< 10 µs zusätzlich pro Gerät).

Noch sicherer ist die optische Layer-1-Verschlüsselung; sie ermöglicht eine effiziente Bandbreitennutzung ohne Latenzabfall. Dieses Verhalten macht sich besonders bei kleinen Paketen (unterhalb von 512 Bytes) bemerkbar, die zum Beispiel Sprachübertragung (64 Bytes) oder Citrix benutzen. Ein weiterer Vorteil ist, dass Unternehmen sich nicht selbst um die Netzwerksicherheit kümmern müssen, sondern von der Erfahrung und dem Know-how der Anbieter profitieren. Allerdings sollte man darauf achten, dass der gewählte Anbieter eine echte Ende-zu-Ende-Verschlüsselung garantiert, die rund um die Uhr aktiviert ist und den gesamten Datenverkehr automatisch schützt. Mit einer optischen Verschlüsselung sind naturgemäß auch Datenströme auf höheren Schichten verschlüsselt. Protokolle, die im Rechenzentrum relevant sind, werden automatisch abgedeckt, zum Beispiel Infiniband, Ethernet oder Fibre Channel.

Rechenzentren 2018-04.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe „Rechen­zentren und Infra­struktur“. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Unabhängig davon, auf welcher Ebene die Verschlüsselung erfolgt, ist ein angemessenes und sauber implementiertes Verschlüsselungsverfahren von Bedeutung, zum Beispiel der symmetrische Advanced Encryption Standard (AES). AES generiert an jedem Verbindungsende einen spezifischen Schlüssel. Es gibt unterschiedliche Verfahren für die Erstellung der Schlüssel und den Austausch zwischen den beteiligten Kommunikationspartnern. Als eines der besten und sichersten Austauschverfahren gilt der Diffie-Hellman-Algorithmus. Die Schlüssel sollten dabei möglichst lang sein, also nicht 128 oder 192, sondern 256 Bit. Idealerweise werden Schlüssel minuten- oder sekundenweise neu generiert und durch Sicherheitszertifikate wie X.509 authentifiziert. Auf AES-Sicherheit setzen daher auch offizielle Stellen: AES-256 ist eine von zwei AES-Varianten, die in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen sind.

Netzwerkpfade auf dem Monitor

Wie wichtig eine In-Flight-Verschlüsselung ist, zeigt das Vorgehen der Angreifer. Hacker können Glasfaserleitungen direkt attackieren, zum Beispiel durch Doppelspleiße oder das Anlegen eines Biegekopplers (Clip-on Device), der zur Erzeugung von Mikroverwerfungen und damit zum Auftreten von Leckwellen führt. Das Lichtsignal verlässt dadurch teilweise die Glasfaser, und die Angreifer können die Daten abfangen. Nur wenn die Daten verschlüsselt sind, können sie nicht gelesen werden.

Um die Sicherheit weiter zu erhöhen, sollten Anbieter die optischen Leistungen auf der Glasfaser kontinuierlich messen, beispielsweise über OTDR-Module (Optical Time Domain Reflector). So erkennen sie Manipulationsversuche auf dem Übertragungsmedium und können darauf schnell reagieren. Wird eine Leitung attackiert oder beschädigt, gehört sie anbieterseitig sofort abgeschaltet. Damit die Kunden trotzdem weiterarbeiten können, sollten die Verbindungen zu Rechenzentren redundant aufgebaut sein, idealerweise kanten- und knotendisjunkt (Glasfasern sollten sich an keinem Punkt berühren oder schneiden). Wird dann eine Leitung abgeschaltet oder fällt aus, fließen die Daten über die zweite Leitung weiter. Dadurch hat der Anbieter Zeit, die Störung zu beheben, ohne dass dem Kunden ein Schaden durch einen Netzwerkausfall entsteht.

Netzwerkpfade sind integraler Bestandteil einer ganzheitlichen Sicherheitsstrategie. Die optische Verschlüsselung ist dabei derzeit die beste Möglichkeit, um Verbindungen verlässlich vor Abhörmanövern zu schützen. Durch die Verankerung auf der OTN-Signalschicht steht die gesamte Datenkapazität ohne Latenzverluste zur Verfügung. Unternehmen, die das berücksichtigen, haben ihre Informationen mindestens so gut geschützt wie Dagobert seinen Geldspeicher – und müssen sich weder vor Panzerknackern noch vor Hackern fürchten.

Dirk-Erdmann.jpg

Dirk Erdmann ist Solution Architect bei Colt Technology Services. Der Spezialist für IT-Netzwerk- und Voice-Dienst­leistungen mit eigenem Netz hat im Colt IQ Network eine optische FIPS-zertifizierte AES-256-Verschlüsselung mit standard­basierten Authenti­fizierungs­mechanismen als integralen Bestand­teil der Dienste Wave und Private Wave implementiert.

Colt Technology Services GmbH, Gervinusstraße 18–22, 60322 Frankfurt am Main, Tel.: 069-56606-0, Kontaktformular, www.colt.net/de

Nützliche Links