Firewall & Verschlüsselung
Datenverschlüsselung ist kein Hexenwerk
Fortsetzung des Artikels von Teil 1
Weniger ist oft mehr
Behörden und die geheimschutzbetreute Industrie unterliegen im Datenschutz den höchsten Sicherheitsauflagen. Daher bedarf es eines umfassenden Schutzes des Netzwerkverkehrs. Eine Verschlüsselung auf Layer 3 ist dazu nicht ausreichend: Sie kann nur den IP-Verkehr codieren, der Rest – beispielsweise die darunter liegenden Layer 2-Protokolle – bleibt unverschlüsselt. Die sogenannte Payload – jene Nutzdaten, die während der Kommunikation übertragen werden – ist damit zwar vollständig kryptographisch geschützt, jedoch bleibt der Header teilweise zugänglich: Informationen, etwa wer mit wem kommuniziert, könnten beispielsweise über eine Verkehrsfluß- oder eine Infrastrukturanalyse ausgelesen und für Angriffe genutzt werden.
Hinzu kommt, dass die IPsec-basierte Verschlüsselung mit einer enormen Overhead-Belastung einhergeht. Der kryptografische Protokoll-Overhead, der für die Verschlüsselung den übertragenen Paketen hinzugefügt wird, variiert abhängig von der Paketgröße, verbraucht aber bis zu 60 Prozent der Bandbreite. Mehr als die Hälfte der übertragenen Daten steht damit nicht für Nutzdaten zur Verfügung. Die Folge sind mögliche und im Vorhinein unkalkulierbare Bandbreiteneinbußen, je nach den aktuell laufenden Anwendungen. Auch darf nicht vergessen werden, dass die Auswertung und Verarbeitung der Paket-Header gemäß IPsec-Protokoll Zeit kostet. Dadurch kommt es zu einer erhöhten Latenz und einer eingeschränkten Performance gegenüber unverschlüsselter Übertragung – die Verschlüsselung wirkt sich also negativ auf die Zeit und damit die Kosten für die Unternehmen aus. Es gibt aber auch Vorteile: IPsec-basierte Verschlüsselung funktioniert in allen gerouteten Netzwerken und ist daher ein weit verbreitetes Standard-Verfahren.
Die Alternative ist eine Layer 2-Verschlüsselung, die auf Ethernet-Frames angewendet wird. Ihr wesentlicher Vorteil gegenüber IPsec-basierten Verschlüsselern ist der Bandbreitenzugewinn durch das optimierte Overhead-Verhalten. Selbstverständlich gibt es auch auf Layer 2 Verschlüsselungsprotokolle; diese sind jedoch auf die Kommunikation zwischen den Verschlüsselern begrenzt und dadurch um bis zu 40 Prozentpunkte geringer als auf Layer 3. So wird der Datenfluss deutlich geringer ausgebremst. Mögliche Payload-Durchsatzraten von 10 bis 40 Gigabit/s stehen hier den in der Praxis auf etwa 3 Gigabit/s beschränkten Layer 3-Lösungen gegenüber. Eine Verschlüsselung auf Layer 2-Schicht ist aber nicht nur schneller und effizienter: Neben der Payload werden hier auch die IP-Adressen verschlüsselt und damit für Unbefugte unlesbar.
Die Installation von Layer 2 Verschlüsselern bedarf keines Fachwissens: Die Hardware wird einfach und schnell an den Übergang von dem zu sichernden Netzwerk-Segment zum Übertragungsnetz – üblicherweise direkt am Customer Premises Equipment (CPE) oder Dark Fiber – angeschlossen. Layer 2 Verschlüsseler benötigen im Vergleich zu IPsec keine IP Routings zur Grundkonfiguration. Einmal mit einem Zertifikat initialisiert, suchen sie selbstständig nach Verschlüsselungspartnern und etablieren sichere Übertragungswege.
- Datenverschlüsselung ist kein Hexenwerk
- Weniger ist oft mehr
- Zusätzliche Kontrolle per Firewall
Lesen Sie mehr zum Thema
