Wie aus einem VPN ein wirklich geschütztes Netzwerk wird

VPN und Glasfasernetze sind nicht a priori sicher. Das bedeutet: Eine Firma, die über mindestens zwei Standorte verfügt, muss ihr internes Netzwerk zusätzlich schützen. Dazu und zum Schutz von sensiblen Daten braucht es Geräte, die über bestimmte Sicherheitsfeatures verfügen müssen. Es handelt sich hierbei um Layer-2-Verschlüssler sowie – für grosse Netzwerke – Hardware Security Module.

Von Andreas Curiger

scheme for the protection of an internal network with multiple locations
Schema: So kann man das interne Netzwerk einer Organisation mit mehreren Standorten schützen.

 

Privat bedeutet nicht automatisch geschützt oder sicher. Das Wort privat signalisiert, dass Respekt für Schutz vor der Öffentlichkeit gewünscht ist. Dies versucht man mit Virtual Private Network (VPN) zu erreichen. Mit dieser Technik legt man quasi ein Intranet über ein öffentliches Netzwerk und bindet externe Standorte ins Unternehmensnetzwerk ein. Privat bedeutet hier jedoch nur, dass das Netz logisch vom öffentlichen Netz separiert ist. Es existiert aber oft kein expliziter Schutz vor Zugriffen von aussen, da Verschlüsselung nicht zwingend ist. Ähnliches wie für VPN gilt für Glasfasernetze: Daten sind dort abgreifbar für Organisationen, die es darauf abgesehen haben.

VPN: oft kein expliziter Schutz

Folglich müssen Unternehmen, die über mehrere Standorte verfügen, etwas zum Schutz sensitiver Daten unternehmen, sobald diese das interne Netzwerk verlassen.

Aber wie und was? Bei der Übermittlung gibt es unterschiedliche Punkte, an denen die Daten abgegriffen werden und verschiedene Elemente, wo Prozesse suboptimal laufen können. Die Informationen sind somit nur ungenügend geschützt. Kommt dazu, dass der Schutz nicht auf Kosten der Geschwindigkeit und des Datendurchsatzes gehen sollte.
Der Teufel steckt im Detail, und am Ende kommt es auch auf das Zusammenspiel der einzelnen Elemente sowie deren Implementierung an. Folgende Grundsätze helfen für einen wirksamen Schutz:

Wirksamster Schutz gegen Datendiebstahl: Verschlüsselung

Centurion link and mesh encryptor
Ein Netzwerkverschlüssler macht das interne Netzwerk wirklich sicher - auch wenn es über das Internet läuft.
 
  • Die wirksamste Schutzmassnahme gegen Datendiebstahl ist Verschlüsselung.
  • Je nach Netzwerktopologie können die Daten auf unterschiedlichen Stufen (Layern) verschlüsselt werden. Je tiefer der Layer gemäss OSI-Modell desto wirksamer lässt sich verschlüsseln.
  • Für Unternehmensnetzwerke ist Verschlüsselung auf Layer 2 am effizientesten, d.h. der Datendurchsatz bzw. die Bandbreite ist praktisch nicht eingeschränkt und die Latenzzeit kaum beeinträchtigt.
  • Die Daten müssen nicht nur auf dem Übertragungsweg verschlüsselt sein. Der Anfangs- und der Endpunkt der Übertragung bilden geeignete Angriffspunkte und müssen entsprechend zusätzlich geschützt werden.
  • Die Länge der verwendeten Schlüssel sollte möglichst gross sein, die entsprechenden Algorithmen praxisbewährt, sprich: nach dem heutigen Erkenntnisstand nicht zu knacken.
  •  Für sichere Schlüssel müssen echte Zufallszahlen mit maximaler Entropie generiert werden – in einem dedizierten Gerät und nicht in Software.
  • Werden nur sensitive Daten verschlüsselt, kann ein Angreifer leicht Randinformation extrahieren, sogenannte Metadaten. Dies kann man verhindern, indem man die Metadaten durch Senden und Verschlüsseln eines kontinuierlichen Datenstroms vernebelt.
  • Die Verschlüsselungsschlüssel müssen sicher gespeichert werden. Dies ist möglich im Netzwerkverschlüssler selber oder – bei grossen Netzwerken – in einem separaten Gerät, einem Hardware Security Modul (HSM).
Securosys HSM X-Series
Ein Hardware Security Modul (HSM) dient als Schlüsseltresor für Verschlüsselungsschlüssel - zum Beispiel für ein sicheres, internes Netzwerk.

Es braucht dedizierte Hardware für Schlüssel

Für die Auswahl einer wirksamen Sicherheitsarchitektur hat das folgende Konsequenzen:

  • Keine reine Softwarelösung: Zur Erzeugung von Schlüsseln taugen reine Softwarelösungen nicht, denn sie sind von Natur aus deterministisch, also nicht wirklich zufällig. Folglich kann es möglich sein, die Schlüssel zu knacken. Kommt dazu, dass Software naturgemäss Schwachstellen aufweist.
  • Separate Hardware für die Schlüsselerzeugung und -speicherung: Damit die Verschlüsselungsschlüssel wirklich sicher sind, müssen sie in einer separaten, dedizierten Hardware vor unautorisiertem Auslesen geschützt gespeichert werden

HSM und Verschlüssler für Sicherheit

Damit Ihre Daten beim Transport und bei der Speicherung wirklich sicher sind, braucht es deshalb zwei Elemente:

  • Einen sicheren Layer-2-Verschlüssler
  • Für grosse Netzwerke ein sicheres HSM

 

  • Beides von einem vertrauenswürdigen Hersteller
  • mit echten Zufallszahlen von Hardware-Schlüsselgeneratoren
  • sicheren kryptografischen Algorithmen
  • und Schlüsseln mit maximaler Entropie

Wir empfehlen dafür unseren Centurion-Verschlüssler sowie unsere Primus HSM. Damit ist ein internes Netzwerk optimal geschützt.



Einen guten Einblick in die Welt der Layer-2-Verschlüssler bieten die Publikationen des Fachjournalisten Christoph Jaggi. Sie findet weltweite Beachtung.

Marktübersicht:
Deutsch:
Layer-2-Verschlüssler für Metro- und Carrier-Ethernet, WANs und MANs; Marktübersicht Ethernet-Verschlüssler für Carrier-Ethernet, MPLS- und IP-Netzwerke (Kurzversion)

Englisch:
Layer 2 Encryptors for Metro and Carrier Ethernet, WANs and MANs; Market Overview Ethernet Encryptors for Carrier Ethernet, MPLS and IP Networks
(http://www.uebermeister.com/files/inside-it/2017_market_overview_Ethernet_encryptors_for_Metro_and_Carrier_Ethernet.pdf)

Einführung:
Deutsch:
Layer-2-Verschlüssler für Metro und Carrier Ethernet; Ethernet-Verschlüssler für Metro  und Carrier Ethernet; die Einführung

Englisch:
Layer 2 Encryptors for Metro and Carrier Ethernet; Ethernet Encryptors for Metro and Carrier Ethernet (an Introduction)