Netzwerkwerkschlüsselung

Bei der Auswahl der geeigneten Netzverschlüsselungslösung spielen verschiedene Faktoren eine Rolle. Der Schwerpunkt liegt hier auf statischen Netzwerken zwischen zwei oder mehreren Standorten, insbesondere auf speziellen Netzwerkverschlüsselungslösungen. Diese Lösungen können, wenn sie gut implementiert sind, auch Firewall- und Denial-of-Service-Schutzfunktionen auf der nativen Netzwerkebene bieten.

MAN und WAN

Im Gegensatz zu lokalen, internen Netzwerken wird bei Metropolitan Area Networks (MAN) und Wide Area Networks (WAN) der Datenfluss mehrerer unterschiedlicher Kunden für den Transport aggregiert. Bei beiden handelt es sich um Netzwerke, die über öffentlichen Grund führen und deshalb anderen Gefahren ausgesetzt sind als interne Netzwerke. EIn Beispiel findet sich in Denial-of-Service-Angriffen, die von aussen erfolgen, den Netzwerkzugang mit Daten überfluten und so den Netzwerkzugang überlasten und lahmlegen können. Der grosse Unterschied zwischen MAN und WAN liegt in der Distanz. DIese führt dazu, dass der Netzwerkverkehr länger und weiter unterwegs ist. Damit erhöht sich sowohl die Latenz als auch das Gefahrenpotential.

Wie und was kann man verschlüsseln?

Zeitgemässes verschlüsseln erfordert sowohl die vorgängige Authentisierung und Authorisierung der Gegenstelle (Zero Trust) als auch die Verschlüsselung (Vertraulichkeit), die Authentisierung (Ursprungsbestätigung) und den Integritätsschutz der zu übertragenen Daten. Je nach Netzwerk und Netzwerkschicht müssen einige Netzwerkinformationen die sich im Header des Frames oder des Pakets befinden, unverschlüsselt bleiben, damit der Frame oder das Paket geswicht oder geroutet werden kann.

 

Es gelten folgende Grundprinzipien:

  • es soll soviel wie möglich des übertragenen Frames oder Pakets verschlüsselt, authentisiert und mit Integritätsschutz versehen werden
  • was nicht verschlüsselt werden kann, soll soweit möglich, authentisiert und mit Integritätsschutz versehen werden
  • je tiefer die Netzwerkschicht, desto mehr Informationen der oberliegenden Netzwerkschichten können verschlüsselt werden 
  • statische Netzwerke zwischen Standorten lassen sich besser absichern als dynamische Netzwerke, die nach Bedarf aufgebaut werden
  • je tiefer die Verschlüsselungsschicht, desto geringer die Angriffsfläche
  • je tiefer die Verschlüsselungsschicht, desto geringer die Flexibilität

Nach erfolgreicher gegenseitiger Authentisierung und Authorisierung können die Parteien einen Key Encryption Key (Master Key) aushandeln. Mit diesem wird dann der Data Encryption Key (Session Key) verschlüsselt. Der Data Encryption Key dient dazu, den Netzwerkverkehr zu verschlüsseln. Diese Schlüsseleinigung und der Schlüsselaustausch erfolgt auf der Control Plane, d.h. zwischen den Geräten. Es ist deshalb bei statischen Netzwerkverbindungen auf Layer 1, Layer 2 und Layer 3 sinnvoll, die Control Plane auf dem gleichen Netzwerklayer zu verschlüsseln wie die Data Plane. 

 

Schlüssel und deren Management

Für die Verschlüsselung braucht es Schlüssel. Und zwar nicht nur für die Datenverschlüsselung, sondern auch für die Authentisierung. Dazu kommen noch die kryptographischen Funktionen für den Integritätsschutz. All das wird vom Key Management gesteuert. Das Key Management ist mit der wichtigste Teil der Verschlüsselung, denn ohne sichere Schlüssel nützt die beste Netzwerkverschlüsselung nichts. Jeder Verschlüsselungsalgorithmus ist von der Sicherheit der Schlüssel abhängig.

Kommunikationssicherheit

Kommunikationssicherheit hängt nur teilweise von den verwendeten Verschlüsselungsalgorithmen und der Zufälligkeit der Schlüssel ab. Ist das Verschlüsselungsgerät nicht sicher, so nützt die beste Verschlüsselung nichts. Dann wird das unsichere Gerät, auf dem die Daten im Klartext vorliegen, zum Angriffspunkt. Und das ist öfter der Fall, als man gemeinhin annehmen würde. Sichere Sicherheitsgeräte sind eher die Ausnahme als die Regel. Da nützen auch erhaltene Sicherheitszertifizierungen nichts.
Gefordert sind als Grundlage sichere Kryptographie und ein sicheres Gerät. Darüber hinaus kann man auch den Netzwerkverkehr mittels Traffic Flow Security (Transec) vernebeln, und das Gerät gegen elektronische Abstrahlungen nach aussen schützen.

Integriert oder dediziert

Billig und sicher schliessen sich gegenseitig aus. Gut und sicher implementierte Funktionalität kostet auch Geld. Geht es rein um den Preis und die Geschwindigkeit bei geringem Sicherheitsbedarf und maximalen Funktionalitätsanforderungen, so sind integrierte Appliances wie die Kombination von Router, Firewall und Netzwerkverschlüssler ein kostengünstiger Weg. Zumindest scheinbar. Denn so erhöht sich auch die Anzahl von Angriffsvektoren und die Anzahl von noch unbekannten, aber ausnutzbaren Sicherheitslücken. Mangelnde Produktqualität führt dann nicht nur verringerten Verfügbarkeit wegen der nötigen Patches, sondern auch zu höheren OpEx, höheren Sicherheitsrisiken und zum Risiko von Reputationsschaden.

Hohe Sicherheit und umfassende Funktionalität bei hoher Verarbeitungsgeschwindigkeit bieten nur spezialisierte Verschlüssler. Bei mandanten- und mehrmandantenfähigen Systemen besteht auch die Möglichkeit, die Verschlüsselung als Dienstleistung zu beziehen, ohne dabei die Schlüsselhoheit aus der Hand zu geben. So fallen die Anschaffungskosten weg und es fallen nur Betriebskosten an.