BreitbandDossiersNetzwerkeSicherheitSicherheitsmanagement

Optische Netzwerke sichern – aber wie?

0 0 Keine Kommentare

Auch Glasfasernetze lassen sich nicht vollständig gegen Angriffe sichern. Daniel Prokop von Ciena verrät, mit welchen Methoden Hacker Licht ableiten und wie eine geeignete Verschlüsselungslösung aussehen muss, um die übertragenen Daten zu schützen.

Die Notwendigkeit und Relevanz von IT-Sicherheit in Unternehmen wird dann besonders deutlich, wenn sie überwunden wird. Wie das IT-Sicherheitsunternehmen McAfee kürzlich aufdeckte, fand ein internationaler Hacker-Großangriff auf rund 72 Unternehmen und Organisationen in 14 Ländern statt, darunter sogar Regierungen wie Kanada und die Vereinigten Staaten. Ein weiterer spektakulärer Fall war der Datendiebstahl bei Sony in diesem Jahr. Solche Attacken machen deutlich, dass selbst in derart gesicherten Organisationen häufig Sicherheitslücken bestehen, die Angreifer nutzen können. Dabei werden nicht alle Angriffe sofort bemerkt, was für das betroffene Unternehmen neben wirtschaftlichen Konsequenzen auch negative Folgen für das Image haben kann. Die genannten Vorfälle zeigen exemplarisch, wie wichtig es ist, IT-Sicherheit und Datenschutz im Auge zu behalten. Diese Bedeutung spiegelt sich auch im Wachstum der Netzwerksicherheit wider: laut ABI Research wird dieser Markt in den nächsten fünf Jahren massiv anwachsen und eine Größe von zehn Milliarden Dollar erreichen.

Mit dem erhöhten Datenaustausch innerhalb von Unternehmen wachsen auch die Bedenken über einen hinreichenden Schutz von vertraulichen Informationen. Ein optimaler Schutz von Servern, Datenbanken, Routern und Switches vor unbefugten Zugriffen erfordert entsprechende Maßnahmen. Da der Datentransport sowohl innerhalb der Private Cloud als auch außerhalb des Unternehmensnetzwerks stattfindet, muss ein moderner Sicherheitsansatz über den Schutz des eigenen Equipments hinausgehen. Neben Server-Sicherheit und At-Rest-Verschlüsselung ist eine Sicherung von sensiblen Informationen mittels einer robusten In-Flight-Verschlüsselung auf ihrem Weg über die Glasfasernetze notwendig. So erfolgt eine Tarnung des Datenverkehrs, die einerseits eine Manipulation ausschließt und auch verbergen kann, dass ein Datenfluss überhaupt stattfindet.

Nur wenn bekannt ist, welche Datenwege in eine Firma hinein- und aus ihr herausführen, ist ein problemloses Funktionieren der IT-Sicherheit eines Unternehmens gewährleistet. Die relevanten Schnittstellen müssen dann überwacht und gesichert werden, um unberechtigte Zugriffe auszuschließen.

Typische Glasfaser-Hacks

Eine immer noch weit verbreitete Meinung ist, dass Glasfasernetze »von Natur aus« sicher für den Datentransport sind. Die Wahrheit ist jedoch: Während Glasfaserkabel zwar eine der sichersten Kommunikations-Infrastruktur-Formen darstellen, sind sie weit davon entfernt, vollständig gegen Abhörangriffe geschützt zu sein. Mit den richtigen Tools und dem richtigen Know-How stellt es keine große Herausforderung mehr dar, eine Glasfaser zu kompromittieren.

Haben Hacker erst einmal Zugang zu den Glasfaserkabeln erhalten, können sie mit verschiedenen Methoden Licht von den hauchdünnen Glasfasern ableiten.

Bending: Dies ist die einfachste Methode und hat für den Hacker den Vorteil, dass sie nicht leicht aufzuspüren ist. Hierbei nutzt der Hacker einen Clip-On-Koppler, um einen Mikro-Knick (Biegung) in der Leitung zu erzeugen. Dies hat zur Folge, dass eine kleine Lichtmenge durch die Glasfaserhülle geführt wird, ein Fotodetektor fängt das ausgetretene Licht ein. Ein optisch-elektrischer Konverter verwandelt es im Anschluss in ein binäres, elektrisches Signal. Um verwertbare Informationen im Nachgang zu erhalten, kann das Licht von einer Packet-Sniffer-Software verarbeitet werden.

Splicing: Bei dieser Methode wird eine Verbindung (Spleiß) in die Faser geschaffen, um das übertragene Signal nutzen zu können. Da diese Technik zu einer Betriebsunterbrechung führt, ist sie leichter aufzudecken. Selbst eine Signalunterbrechung von nur einer Millisekunde kann bedeuten, dass der Datenverkehr zu einem Ersatzpfad umgeleitet wird. So sind die Mitarbeiter des Netzwerkbetreibers sofort im Bild über potenzielle Probleme in diesem Abschnitt.

Heutzutage gibt es sogar Methoden zum Abhören von Glasfasern, für die das Kabel nicht physisch berührt werden muss. Zusätzliches Licht wird in das Kabel eingeleitet und der Angreifer erhält durch eine Analyse der Wechselwirkung zwischen den zwei Lichtströmen Informationen über das übertragene optische Signal.

Für den Schutz der Daten bleibt einzig und allein Verschlüsselung als effektive präventive Methode, da die genannten Methoden das gesamte Signal, das durch den Netzwerk-Core läuft, aufgrund der Beschaffenheit optischer Kommunikation erfassen.

Verschlüsselung als sichere Alternative

Eine Verschlüsselung auf Anwenderebene erscheint als sinnvollste Alternative, da viele Anwendungen in einem Unternehmensnetzwerk für Datenübertragungs- und Kommunikationsprozesse das Internet Protocol (Netzwerk Layer 3) verwenden. Hierbei werden die Daten bereits verschlüsselt bevor sie die optischen Netzwerkelemente erreichen. Anders als bei latenzempfindlichen Anwendungen wie Echtzeit-Festplattenspiegelung oder Audio- und Videodatentransfers, bietet diese Verschlüsselungsalternative unter Einhaltung der richtigen Standards ausreichend Sicherheit.

Das ursprüngliche Modell für den Einsatz von Verschlüsselungs-Lösungen kann auch umständlich und kostspielig sein. Da die einzelnen Datenströme individuelle Verschlüsselungs-Geräte erfordern, die häufig speziell auf das genutzte Protokoll zugeschnitten sind, werden mehrere Anschlüsse auf jedem MAN/WAN-Netzwerkelement gebraucht, was Komplexität und Kosten erhöht. Unabhängig davon, ob die Verbindung als Managed Service vom Carrier bereitgestellt wird oder ein unternehmensweites Netzwerk genutzt wird: die Bandbreite wird nur ineffizient genutzt und das End-to-End-Management ist kompliziert. Darüber hinaus ist die Verwaltung der Schlüssel für die Dekodierung aufwendig und arbeitsintensiv.

Traditionelle, Protokoll-spezifische Verschlüsselung in einem Multiservice-Netzwerk

Die richtige Verschlüsselungs-Lösung finden

Mit einer gut geplanten und richtig eingesetzten Verschlüsselungs-Lösung, die auf der Transport-Ebene integriert wird, kann die Anzahl der notwendigen Netzwerk-Elemente – bei höchstem Sicherheitsstandard – reduziert werden. Dadurch ist die Netzwerk-Bandbreite voll nutzbar und dank sehr niedriger Latenz kommt es beim Verschlüsselungsprozess nicht zu Verzögerungen bei den Anwendungen.

Beispiel einer protokollunabhängigen Verschlüsselungslösung, die über eine SONET/SDH/OTN-Infrastruktur eingesetzt wird

Um bei der Wahl der richtigen Verschlüsselungs-Lösung nicht daneben zu liegen, sollten Sie folgende Punkte im Auge behalten:

a) Kontrolle und Handling
Die Kontrolle des Anwenders über die Kodierungs-Schlüssel sollte in jedem Falle sichergestellt sein: Egal, ob die verschlüsselten WAN-Verbindungen vom Unternehmen oder vom Service Provider verwaltet und gewartet werden. So obliegt es dem Unternehmen, wenn nötig, neue Schlüssel zuzuweisen, und es bleibt zudem im Bilde über Sicherheits-Alarme und -Berichte auf End-to-End-Basis. Das funktioniert nur, wenn das optische Transport-Management von der Verwaltung der Schlüssel getrennt wird. Kauft man beispielsweise den verschlüsselten Dienst von einem Service Provider, verwaltet dieser die Verbindungen, ihre Bereitstellung, die Administration und das Performance Monitoring, wie bei jedem anderen Dienst – allerdings hat er keine Kontrolle über die Zuteilung der Schlüssel oder die Wartung. In Abstimmung mit den Sicherheits-Policies des Unternehmens kann diese manuell oder automatisch und sichere, verschlüsselte Kanäle erfolgen.

b) Rechtliche Regelungen
Vor allem international tätige Unternehmen müssen eine Vielzahl von Rechtsvorschriften bezüglich der Datensicherheit beachten – in allen Ländern, in denen sie agieren – die gewählte Lösung muss daher Regulierungen, die den jeweiligen US-Staat oder das EU-Land betreffen, mit allen Gesetzen konform sein.

c) Sicherheits-Level und Compliance der Sicherheitsstandards
Der Verschlüsselungs-Algorithmus mit 256-Bit ist absolut unerlässlich für die Sicherheit. Auch sollte die regelmäßige Erstellung neuer Schlüssel möglich sein. Zertifizierungen wie beispielsweise der FIPS-zertifizierte (Federal Information Processing Standard) Advanced Encryption Standard (AES 256) können bei der Einordnung der Lösung helfen.

d) Protokoll-Transparenz und –Skalierbarkeit
Ein Unternehmens-Netzwerk ist selten statisch, es entwickelt sich stets weiter und gleicht eher einem lebendigen Organismus. Das bedeutet auch, dass die Dienste, die heute über das Netzwerk laufen, in der Zukunft höchstwahrscheinlich von anderen ersetzt werden. Für die Verschlüsselungs-Lösung heißt das, dass sie Protokoll-agnostische Verschlüsselung unterstützen sollte, die eine Reihe verschiedener Transport-Typen tragen kann. Die Netzwerkbandbreite selbst wird sich vermutlich auch verändern, darum sollte auch darauf geachtet werden, welche Skalierbarkeit die Lösung bietet.

e) Latenz
Die Performance latenzempfindlicher Netzwerkprotokolle oder Anwendungen kann je nach angewandter Verschlüsselungs-Lösung deutlich variieren. Moderne Verschlüsselungs-Lösungen sollten in der Lage sein, mit Hardware-bezogenen Latenz-Parametern in der Größenordnung einiger Mikrosekunden die Latenz unter Kontrolle zu halten.

Fazit

Die Bedeutung der Netzwerksicherheit hat im gleichen Maße zugenommen wie die steigende Verbreitung sensibler Geschäftsdaten über die Wide Area Network-Infrastruktur. IT-Manager müssen die gleichen Sicherheitsstandards, die sie an die Daten im Rechenzentrum legen, auch für die Daten anwenden, die gerade übertragen werden. Ein umfassender Sicherheitsansatz muss daher alle drei Schlüsselelemente abdecken: Serversicherheit, At-Rest-Verschlüsselung und In-Flight-Verschlüsselung. Netzwerk-Verschlüsselungs-Lösungen auf der optischen Ebene spielen dabei eine wichtige Rolle. Denn: Informationen in einer virtualisierten Umgebung zu sichern, während man ein ungesichertes Netzwerk betreibt, wäre vergleichbar damit, Dokumente für Betriebsgeheimnisse stets im Safe zu sichern und als offen lesbare Postkarte zu verschicken.

 
Daniel Prokop ist Channel Director bei Ciena.