Grundlagen der Netzwerkverschlüsselung

Um die Datenübertragungen in Unternehmensnetzwerken abzusichern, stehen verschiedene Verschlüsselungstechnologien zur Verfügung. In diesem Zusammenhang sind unter anderem die Layer 2- und die Layer 3-Encryption sowie die Verschlüsselung auf Anwendungsebene zu nennen. Dieser Beitrag geht im Detail auf die Layer 2-Verschlüsselung ein und führt die Vorteile auf, die diese Technologie gegenüber den anderen Optionen mit sich bringt.

Führen wir uns zu Anfang kurz die Ebenen 2, 3 und 7 des OSI-Schichtenmodells vor Augen. Bei Ebene 2 handelt es sich um den “Data Link Layer”, also die Sicherungsschicht. Auf dieser Ebene wird für eine fehlerfreie Datenübertragung gesorgt. Dazu teilen die Kommunikationspartner den Datenstrom in Blöcke (so genannte Frames) auf und fügen ihnen Prüfsummen hinzu. Auf diese Weise kann der Empfänger fehlerhafte Blöcke erkennen. Manchmal gibt es in diesem Zusammenhang die Möglichkeit, solche Blöcke nachträglich zu reparieren. In allen anderen Fällen werden sie verworfen. Layer 2 gibt dem Empfänger keine Gelegenheit, fehlerhafte Frames neu bei der Quelle anzufordern. Die Empfänger haben aber die Option, über eine Datenflusskontrolle (Flow Control) dynamisch zu steuern, mit welcher Geschwindigkeit, die Quelle ihre Frames verschickt. Die Sicherungsschicht realisiert eine Node-to-Node-Datenübertragung, also einen Link zwischen direkt verbundenen Kommunikationspartnern.

Bildergalerie

Layer 3

Auf Ebene 3, dem Network Layer, also der Vermittlungsschicht, können sich die beteiligten Kommunikationspartner in verschiedenen Netzwerken befinden. Ein Netz besteht aus verschiedenen Endgeräten mit unterschiedlichen Adressen und ein Paket setzt sich aus dem Inhalt der Nachricht und der Adresse zusammen. Den Weg, über den die Nachricht ausgeliefert wird, bestimmt das Netz selbst, in der Regel erfolgt die Weiterleitung dabei durch Zwischenstellen, so genannte Hops. Während der Übertragung ist es auch möglich, dass eine beteiligte Komponente zu große Pakete aufsplittet und in mehreren Teilen sendet, die dann am Ziel wieder zusammengesetzt werden.

Quantensichere Kryptographie für IoT-Geräte

Layer 7 schließlich stellt die Anwendungsschicht, also den Application Layer, dar. Auf dieser Schicht interagieren die einzelnen Dienste und Applikationen. Layer 7 dient im Betrieb vor allem dazu, die vorhandenen Kommunikationspartner zu identifizieren.

Vorteile der Layer 2-Verschlüsselung

Die Datenverschlüsselung auf Layer 2 des OSI-Schichtenmodells bringt im Vergleich zur Encryption auf einer der anderen angesprochenen Schichten diverse Vorteile mit sich. Einer der wichtigsten besteht darin, dass die Verschlüsselung auf dieser Ebene unabhängig von VLANs und ähnlichem arbeitet und für alle Applikationen auf höheren Ebenen transparent bleibt, also von diesen überhaupt nicht wahrgenommen wird. Auf diese Weise lassen sich Unicast-, Multicast- und Broadcast-Daten gleichermaßen absichern und das Übertragungsmedium – wie Wireless, Kupfer oder Glasfaser – spielt keine Rolle. Es ist auch irrelevant, ob die Datenübertragungen über IPv4 oder IPv6 abgewickelt werden. Darüber hinaus müssen verschlüsselte Datentransfers auf Layer 2 keine Routing-Informationen mit den Service Providern austauschen, so dass das Datensicherheitsniveau generell höher liegt, als bei anderen Technologien. Layer 2-Encryption schützt auch gegen alle Arten von Man-on-the-Middle-Angriffen.

Außerdem ist der Overhead bei Layer 2-Verschlüsselungen geringer als bei den Alternativen, so dass sich schnellere Datenübertragungen gewährleisten lassen. Je nach verwendeten Komponenten verlieren Netze, die über Layer 3 verschlüsselt werden, einen großen Teil ihrer Übertragungsleistung (in manchen Fällen mehr als 50 Prozent), während die Performance bei Verschlüsselungen auf Ebene 2 praktisch gleichbleibt. Damit eignen sich Datenverschlüsselungen auf Layer 2 auch für Umgebungen mit einem hohen Datenvolumen und niedrigen Latenzen, etwa bei der Sprach- und Videoübertragung.

Bildergalerie

Management

Ein weiterer Vorteil der Layer 2-Verschlüsselung ergibt sich aus einer im Vergleich zu den anderen Technologien einfacheren Verwaltung. Bei der Konfiguration von Layer 3-VPNs mit IPSec zum Beispiel, müssen die Administratoren umfassende Regeln anlegen, die die Datenübertragungen zwischen einzelnen Geräten und Benutzern absichern. Layer 2-Encryption sorgt im Gegensatz dazu dafür, dass einfach alles ohne jeden Unterschied verschlüsselt wird.

Hier zeigt sich auch, dass die beiden Technologien nicht beliebig austauschbar sind. Layer 2-Verschlüsselung eignet sich, um eine Grundsicherheit für alle Datenübertragungen im Netz herzustellen, ohne dabei die Performance zu beeinflussen. Layer 3-Verschlüsselung kann zum Einsatz kommen, wenn es darum geht, bestimmte Datenströme abzusichern. Die Layer 2-Verschlüsselung sorgt also für die Absicherung der Datenübertagungen zwischen den Stationen im Netz (Punkt zu Punkt oder Punkt zu Multi-Punkt), IPSec sichert im Gegensatz dazu den Informationsfluss zwischen den beteiligten Endpunkten. Layer 2-Encryption lässt sich demzufolge nur in Umgebungen realisieren, in denen die beteiligten Komponenten jeweils direkt miteinander verbunden sind.

Realisierung

In der Praxis können die zuständigen Mitarbeiter eine Layer 2-Verschlüsselung zwischen Switch-Ports von Switches, die diese Technologie unterstützen, – etwa von Cisco – herstellen. Es gibt auch Endpoints, die mit Layer 2-Encryption arbeiten und die sich deshalb direkt mit einem solchen Switch verbinden lassen. Zusätzlich ist es auch möglich, Add-On-Karten für Switches und Multiplexer einzusetzen.

Alternativ existieren Layer 2-Verschlüsselungs-Appliances, etwa von Atmedia, Gemalto, ID Quantique, Rohde & Schwarz Cybersecurity, Secunet, Securosys, Senetas, Thales und Viasat. Diese lassen sich einfach in das Netz integrieren und übernehmen dort die Verschlüsselung „on the fly“, ohne dass andere Komponenten umkonfiguriert werden müssen. Auf diese Weise werden Administratoren in die Lage versetzt, die Layer 2-Verschlüsselung recht einfach zu implementieren, da die zuständigen Mitarbeiter die Appliances nur einmal einrichten müssen. Danach funktionieren sie ohne weitere Änderungen. In der Regel setzen solche Appliances zur Verschlüsselung auf den AES-Algorithmus. In der letzten Zeit sind auch virtuelle Appliances zu diesem Zweck auf den Markt gekommen, deren Einsatz in manchen Szenarien sinnvoll sein kann. Diese bringen aber im Vergleich zu Hardware-Appliances, die in der Regel über Funktionen zur Herdware-Beschleunigung verfügen, eine schlechtere Leistung.

Flexible Verschlüsselung im Post-Quantum-Zeitalter

Krypto-Agilität

03.09.18 – Bald werden Quantenrechner die Security-Welt aus den Angeln heben und heutige Ver­schlüs­se­lungs­verfahren nutzlos machen. Das wird wahrscheinlich geschehen, bevor quanten­sichere Algorithmen entwickelt und flächen­deckend implementiert sind. Sicherheits­um­ge­bung­en müssen deshalb krypto-agil werden. Die Post-Quantum-Welt kommt und Unternehmen müssen für die Risiken bereitet sein. lesen

App-Verschlüsselung

Gehen wir zum Schluss noch kurz auf die Anwendungsgebiete für Verschlüsselungen auf Applikationssebene ein. Hier ist die Anwendung selbst, also die jeweilige App oder der Web-Browser, verantwortlich für das Ver- und Entschlüsseln sowie die Authentifizierung. Damit sichert dieses Vorgehen nur die Übertragungen ab, die über die betroffene Applikation laufen. Da die Konfiguration für jede Anwendung getrennt erfolgt, lässt sich dieser Ansatz nur schwer verwalten und eignet sich deshalb nur für Umgebungen, in denen keine andere Verschlüsselungsmöglichkeit bereitsteht, wie das Anbinden mobiler Apps an Cloud-Dienste oder das Homebanking via Browser.

Fazit

Obwohl die Layer 2-Verschlüsselung, wie gezeigt, viele Vorteile mit sich bringt – in diesem Zusammenhang seien nur das einfachere Management, die bessere Leistung und das insgesamt höhere Sicherheitsniveau genannt – eignet sie sich nur zum Absichern der Datenübertragungen zwischen miteinander verbundenen Komponenten. Als Beispiele für Anwendungsgebiete, in denen dieser Ansatz Sinn ergibt, gelten unter anderem Multimedia-Übertragungen und direkte Verbindungen zwischen Rechenzentren. Muss ein Informationsaustausch von Endgerät zu Endgerät realisiert werden, beispielsweise bei der Anbindung von Home-Offices und mobilen Mitarbeitern, so sind die zuständigen Mitarbeiter gezwungen, auf eine andere Verschlüsselungstechnologie auszuweichen. Welche Technik wirklich jeweils zum Einsatz kommt, hängt also in beträchtlichem Umfang vom Anwendungsgebiet ab.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

https://www.Security-Insider.de/themenbereiche/plattformsicherheit/verschluesselung/articles/804837

Related posts

Leave a Comment