Daten verschlüsseln in öffentlichen Netzen
Layer-2-Verschlüsselung für Metro Ethernets
Auch Glasfaserverbindungen lassen sich abhören. Um einen höheren Sicherheitsstandard zu erreichen, bietet sich auch für diese Infrastrukturen Verschlüsselung an. Nur echte Hochleistungstechnik schafft die Verschlüsselung in der notwendigen Geschwindigkeit.
Als Bob Metcalfe vor rund 30 Jahren den Ethernet-Standard erfand, hätte er sich wohl nicht
träumen lassen, dass sich die Technik einmal so erfolgreich auf dem Markt durchsetzen würde. Immer
schneller lassen sich damit immer größere Datenmengen übertragen. Ein Ende dieser Entwicklung ist
nicht abzusehen, denn mit der Nutzung von Glasfasern hat man ein Medium gefunden, dessen
Übertragungskapazitäten schier grenzenlos erscheinen.
Vor diesem Hintergrund sind optische Ethernet-Lösungen besonders für Unternehmen, Universitäten
und Behörden interessant. Sie können die verschiedenen Niederlassungen, Serverfarmen und
Datenzentren mit mehreren MBit/s- oder sogar GBit/s-Leitungen zu geringen Kosten miteinander
verbinden. Die traditionellen Serviceansätze dagegen haben eine Reihe von Nachteilen: unflexible
Erhöhung der Bandbreite, teure Hardwarevoraussetzungen, lange Vorlaufzeiten bei der Umsetzung und
spezielle Anforderungen an die Administratoren. Beim optischen Ethernet dagegen liegen die Vorteile
klar auf der Hand: freie Skalierbarkeit der Geschwindigkeit von 1 MBit/s bis 1 GBit/s mit der
benötigten Bandbreite, kein Customer Premise Equipment (CPE) und keine besonderen Schulungen, um
das Ethernet-LAN mit dem Ethernet-WAN zu verbinden.
Die Netzwerke im Überblick
Metropolitan Area Networks (MANs) haben sich zu Schlüsseltechnologien entwickelt, wenn es darum
geht, Netzwerkinfrastruktur innerhalb von großen Topologien zu verbinden. Ein MAN befindet sich in
der Hierarchie zwischen einem Local Area Network (LAN) und einem Wide Area Network (WAN), um
innerhalb einer Region die gemeinsame Nutzung von IT-Ressourcen zu ermöglichen. Die drei
verschiedenen Netzwerkumgebungen unterscheiden sich durch ihre geografische Abdeckung. Dabei
umfassen LANs gewöhnlich ein relativ kleines Gebiet wie eine Etage oder ein einzelnes Bürogebäude.
MANs dagegen kommen beispielsweise innerhalb einer Stadt zum Einsatz, und WANs umspannen mehrere
Regionen oder sogar den gesamten Globus.
Wenn Netzwerke expandieren – was die geografische Ausdehnung und auch die Zahl der Nutzer
betrifft – wächst auch der Bedarf an erhöhter Bandbreite. Deshalb sind MANs derzeit erfolgreich und
entwickeln sich zu einem Standardmodell des Netzwerkaufbaus. Zugleich werden virtuelle private
Netzwerke (VPNs) auch innerhalb von MANs immer wichtiger, denn der Bandbreitenbedarf innerhalb
gesicherter Unternehmensnetze ist in den vergangenen Jahren konstant gestiegen. Mit der Einführung
von 10-GBit/s-Ethernet konnte sich Metro Ethernet auf diesem Gebiet schnell als neuer Standard
etablieren, wenn es um hohe Geschwindigkeiten und Skalierbarkeit geht.
Vorteile der Metro-Ethernet-Technik
Die Ethernet-Technik auf eine MAN-Architektur zu übertragen, ist relativ einfach. Dabei gilt es,
den Flaschenhals zu beseitigen, der entsteht, wenn Netzwerke mit steigender Nutzerzahl größer
werden. Die Einfachheit des Ethernets, die Bereitstellung von IT-Services, die
Bandbreitenskalierbarkeit und die Granularität sind bestechende Eigenschaften, die die
Transformation in die Metro-Umgebung einfacher machen.
Ein wichtiger Vorteil des Ethernets im Metro-Umfeld besteht im spürbar niedrigeren Overhead. Die
10GbE-Technik verwendet die "64b/65b"-Verschlüsselung, bei der jedes 65ste Bit kodiert wird. Dies
führt zu einer höheren Effizienz und Übertragungsgeschwindigkeit, sodass die Carrier mit ihrer
bestehenden Infrastruktur höhere Bandbreiten realisieren können.
Ein weiterer wichtiger Punkt ist die verringerte Latenzzeit. Hierbei handelt es sich vor allem
bei großen Netzwerken um einen kritischen Faktor, in denen auch Voice-, Video- und andere
Multimediadaten übertragen werden, die für Verzögerungen besonders anfällig sind.
Metro-Ethernet-Netzwerke kommen vor allem diesen Anwendungen zugute. Auch die Kosten für Metro
Ethernet sind signifikant niedriger als bei Techniken wie ATM oder Sonet. Das gilt nicht nur für
das Hardwareequipment, sondern auch für Faktoren wie Installation, Betrieb und Wartung.
In Sachen Skalierbarkeit sammelt Metro Ethernet ebenfalls Punkte. Die Ausgaben für die
Bereitstellung von IT-Services sind sehr niedrig, da das Equipment relativ preiswert ist und den
Unternehmen erlaubt, die Bandbreite in 1-MBit/s-Schritten bis auf 1 GBit/s zu erhöhen.
Verschlüsselung in Hochgeschwindigkeitsnetzen
Während der Wunsch nach höherer Geschwindigkeit, der zum Beispiel aufgrund des zunehmenden
Einsatzes von Voice- und Video-Übertragungen entsteht, mit Metro Ethernets bereits sehr gut erfüllt
wird, hinkt der Bereich Sicherheit hinterher. Die steigenden Nutzerzahlen der neuen Technik
verlangen aber auch auf diesem Gebiet Verbesserungen. Hier sind neue Lösungswege nötig, damit sich
die Daten innerhalb des LANs, des WANs und des MANs sicher bewegen können, denn entgegen
landläufiger Meinung lassen sich Glasfaserkabel abhören, auch ohne die Kabelummantelung zu
durchbrechen. Sobald sensible Daten mehrere Carrier und Netzwerkknoten durchlaufen, muss
sichergestellt werden, dass vertrauliche Informationen geschützt sind. Die Herausforderung besteht
darin, die Leistungsfähigkeit und Einfachheit von Metro Ethernet zu nutzen und trotzdem die
Vertraulichkeit aller Anwenderdaten sicherzustellen, ganz gleich, ob es um Daten-, Sprach- oder
Videoübertragungen geht. Die Lösung liegt in einer Hochgeschwindigkeitsverschlüsselung, die
transparent auf Layer 2 arbeitet und dazu dient, 10-MBit/s- und
Hochgeschwindigkeits-Ethernet-Netzwerke mit bis zu 100 MBit/s und 1 GBit/s abzusichern. Der Einsatz
der stärksten Verschlüsselungsalgorithmen garantiert in Kombination mit einer kompletten
End-to-End-Integration einen umfassenden Schutz, ohne dass die Netzwerk-Performance spürbar
beeinflusst wird. Optimalen Schutz für die Daten gewähren der AES-256-Bit-Algorithmus und die durch
CFB (Cipher Feedback Mode) zur Verfügung gestellte automatische Krypto-Resynchronisation. Mit Hilfe
einer solchen hochperformanten Verschlüsselung sind die Daten auch in Public Networks durchgängig
geschützt.
Schutzmaßnahmen gegen optische Abhörtechnik
Der Einsatz der Glaserfaserkabel für die Übermittlung von Daten und Sprache ist inzwischen schon
fast Standard in öffentlichen Netzwerken und privaten LANs. Durch die hohen Datenmengen, die über
Glasfasern übertragen werden, führt bereits ein kleiner Angriff schnell zu erheblichen Verlusten.
Es ist inzwischen bekannt, dass Glasfaserkabel leicht angezapft werden können und der Daten-Stream
abgefangen oder abgelenkt werden kann. Dabei versagen in der Regel alle Abwehrmaßnahmen, mit denen
versucht werden soll, einen mechanischen Angriff zu entdecken. Meist basieren diese auf einer
Messung der Signalstärke, um eine intakte Verbindung zu erkennen. Optische Abhörtechnik beeinflusst
diese nicht, und andere Sicherheits-Tools operieren in vielen Fällen nur auf Layer-2-Ebene, sodass
auch diese den Lauscher in der Leitung nicht entdecken. Implementiert man auf dem kritischen
zweiten Layer eine leistungsstarke Verschlüsselung, wird ein mechanisches Abhören der Kommunikation
unmöglich.
Rechtliche Vorgaben auch im Metro-Netz ernst nehmen
Seit einigen Jahren müssen sich Unternehmen an eine Reihe von Vorschriften und Richtlinien
halten. Weltweite Auswirkungen hatte insbesondere der US-amerikanische Sarbanes-Oxley-Act, aber
auch die EU Data Protective Directive verpflichtet Unternehmen zu besonderen Vorkehrungen gegen
Attacken aller Art. Indem die Unternehmen Verschlüsselungstechniken als Grundprinzip ihrer
Sicherheitsinfrastruktur einsetzen, haben sie eines der Kernelemente berücksichtigt, um die
rechtlichen Vorgaben zu erfüllen und ihren Ruf zu bewahren. Dies gilt insbesondere für den Fall,
dass durch einen unglücklichen Zufall oder durch eine böswillige Attacke vertrauliche Informationen
an die Öffentlichkeit gelangen.
Sicherheitslücken können jederzeit auftreten. Die traditionellen Methoden, um die Sicherheit im
Netzwerk zu gewährleisten, umfassen zum Beispiel die Arbeit mit Passwörtern und den Einsatz von
Firewalls sowie biometrische Verfahren. Diese sind und bleiben ein wichtiger Bestandteil der
IT-Sicherheitsinfrastruktur, aber sie können nicht alle Bedrohungen abwehren, die die Netzwerke
gefährden.
Hacker brauchen künftig langen Atem
Anbieter von Verschlüsselungslösungen verwenden etablierte und ausgereifte
Verschlüsselungsalgorithmen, um Eindringlingen das Knacken von Codes unmöglich zu machen. Solche
modernen Kryptografiesysteme wechseln in regelmäßigen Abständen automatisch den Schlüssel, sodass
auch langfristige Decodierversuche zum Scheitern verurteilt sind. Nach Berechnungen von Fachleuten
würde es etwa 149 Billionen Jahre dauern, einen 128-Bit-AES-Code zu knacken. Beträgt die
Schlüssellänge 256 Bit, brauchen Hacker sogar noch etwas mehr Geduld.
Lesen Sie mehr zum Thema
