Layer-2 Verschlüsselung 5 Wahrheiten über Verschlüsselung

Transkript

1 8. Business Brunch 2015 Layer-2 Verschlüsselung 5 Wahrheiten über Verschlüsselung Referent: Octavio Schmidt Sales Manager Rohde und Schwarz SIT GmbH

2 Unser Tagesgeschäft basiert auf Kommunikation Sicherheit ist erfolgsentscheidend Schnelle und sichere Kommunikation ermöglicht Wettbewerbsvorteile Videokonferenzen Desktop Sharing VoIP Telefonie Private Clouds und Big Data Ausgetauschte Daten sind strategisch, personenbezogen, oft unternehmenskritisch und meist vertraulich Akzeptanz der Lösung beim Anwender Funktional und zeitsparend Performant und verfügbar

3 Datensicherheit ist besonders für RZ unabdingbar Sicheres Disaster Recovery für Big Data Rechenzentren ermöglichen Cloud Computing Private Clouds (z. B. Enterprise Cloud, Green Government Cloud) Hybrid Clouds Zentrale Backup Treiber Big Data > SAN-Switching (Storage) Virtualisierung > Low-Latency-Netzwerke Verfügbarkeit oberstes Ziel Notfallwiederherstellung (DR) Geo-Redundanz durch Backup-Standorte Kryptografie für Datensicherheit (Vertraulichkeit und Integrität)

4 Kommunikation benötigt Ende-Ende-Sicherheit Netzwerke und Standleitungen sind unsicher Netzwerk-Knoten (Router/Switche) sind Angriffspunkte ANGRIFF ANGRIFF Standleitungen können angezapft werden ANGRIFF ANGRIFF ANGRIFF ANGRIFF

5 1. Wahrheit: Sicherheit erzeugt Overhead So viel wie nötig, so wenig wie möglich Verschlüsselung benötigt Platz neuer Header schützt vor Verkehrsflussanalysen und verdeckten Kanälen Verschlüsselungsparameter Authentisierung (ICV) für Manipulationsschutz Original Hdr Payload Data Dieser Overhead beeinflusst Latenz und Jitter Rahmen-/Paketgröße (MTU) Anforderung: Konfigurierbarer Trade-Off zwischen Sicherheit und Overhead Verschlüsselt New Hdr Crpt Hdr Encrypted Data (IP Tunnel Mode) ICV

6 1. Wahrheit: Sicherheit erzeugt Overhead VoIP leidet besonders unter Overhead Ethernet IPsec verschlüsselt VoIP

7 2. Wahrheit: Integrierte Verschlüsselung ist weniger sicher In Routern/Switchen eingebaute Verschlüsselung Designed für Routing und Switching Netz-Admin = Security-Admin Pseudo-Zufallszahlen Einfache Authentisierung mit Passwort Kein physischer Manipulationsschutz Logische Separierung Hochwertige Verschlüsselung durch dedizierte Appliance Designed für High-Speed-Verschlüsselung Separates Security Management Echte Zufallszahlen mit hoher Entropie Starke 2-Faktor-Authentisierung mit Zertifikaten Physischer Manipulationsschutz Physische Trennung verschlüsselter und unverschlüsselter Daten ATTACK ATTACK

8 3. Wahrheit: Sichere und schnelle Verschlüsselung benötigt spezialisierte Hardware Performance für Big Data und Echtzeitanwendungen 10 Gbit/s = 10 Mrd. x Licht an/aus /s auf der Leitung Verschlüsselung darf nicht der Flaschenhals sein Schlüsselaushandlung (Elliptische Kurven) Schlüsselerzeugung Ver- und Entschlüsselung Software benötigt Millisekunden Hardware verschlüsselt in Mikrosekunden Computer kennen keinen echten Zufall Original Schwache Verschlüsselung Starke Verschlüsselung Physischer Manipulationsschutz

9 4. Wahrheit: Schlüsselgenerierung und Verwaltung wird schnell komplex Sicherheit basiert auf einer Vielzahl von Schlüsseln Individuelle Geräte-Zertifikate (C dev ) zur Authentisierung und Schlüsselableitung Sitzungsschlüssel (K 1234 ) zwischen zwei Kommunikationspartnern Gruppenschlüssel (K group ) durch Key Server C dev1 C dev1 K 1-2 C dev2 K 1-2 C dev2 K 1-3 K 1-4 K 2-3 K 2-4 Anforderung: Automatisiertes Schlüsselmanagement Verzicht auf Single-Point-Of-Failure C dev3 K 3-4 C dev4 C dev1 K group C dev2 C dev3 C dev4

10 5. Wahrheit: Nicht jede Zertifizierung garantiert das erforderliche Sicherheitslevel Security Compliance erfordert zertifizierte Lösungen Datenschutz, TKG, GDPdU BSI Grundschutz, Geheimschutz (VSA) Basel II & III, Sarbanes-Oxley Act (SOX) ISO27001 Zertifizierung bestätigt definierte Schutzziele ( Security Targets ) Große Vielfalt (z. B. Common Criteria, FIPS, nationale Zulassungen) Entspricht das Schutzziel dem Einsatzzweck? Qualitätskriterien für Zertifizierungen Echte Zufallszahlen zur Schlüsselgenerierung Regelmäßige Überprüfung der Kryptografie Obligatorischer Manipulationsschutz

11 Benchmark für Verschlüsselungslösungen Sicherheit und Overhead? Konfigurierbarer Trade-Off zwischen Sicherheit und Overhead Integrierte Verschlüsselung? Verschlüsselung von Netzwerkknoten (Router/Switche) trennen Sicher und Performant? Spezialisierte Appliance mit gehärteten Krypto-Mechanismen Schlüsselgenerierung und Verwaltung? Automatisiertes und auditierbares Schlüsselmanagement Zertifikat? Schutzziele für Einsatzzweck prüfen

12 Nächste Generation von Verschlüsselungsgeräten R&S SITLine ETH setzt neue Standards Geringster Overhead Nur 5 Byte Overhead für GCM Transport (zzgl. 16 Byte Integrität) Profi-Equipment Neueste kryptografische Methoden und Standards Moderne Plattform- Architektur Saubere Rot-Schwarz-Trennung Voll-Automatischer Krypto-Betrieb Selbstheilendes Management Rote Datenverarbeitung und Schnittstellen Krypto- Modul Bestätigte Sicherheit BSI-Zulassung CC EAL4 + Zertifizierung* * Erwartet Q4/2015 Control-Board Schwarze Datenverarbeitung und Schnittstellen

13 Leitungs- und Netzwerk-Verschlüsselung mit 40 Gbit/s R&S SITLine ETH40G 40 Gbit/s in nur einer Höheneinheit Maximale Bandbreiteneffizienz Geringste Latenz Sitzungsschlüssel mit hoher Entropie Starke 2-Faktor- Authentisierung durch Passwort und Token Manipulationsresistente Geräte 100 Watt Nennleistung, 90% Wirkungsgrad Weniger Strom und weniger Abwärme Optimiert für Kaltgangseinhausungen 99,9941% Verfügbarkeit (höchste MTBF) Im Betrieb wechselbare Netzteile, Lüfter und Batterien Automatischer Krypto-Betrieb Höchste Performance Wirksame Verschlüsselung Green IT 24x7 serienmäßig

14 Mitwachsende Lösung für heterogene Infrastrukturen R&S SITLine ETH4G ETH10G ETH40G Flexibilität für heterogene Infrastrukturen Unterstützt optisches und elektrisches 10 GbE Cross Media Connect erübrigt Medienkonverter Investitionsschutz durch Im-Feld-Upgrade Lizenzerweiterung von einer auf vier Linien Upgrade von 1 GbE auf 10 GbE

15 Ethernet-Verschlüsselung für alle Bandbreiten R&S SITLine ETH passt in jedes Netz Satellit oder Richtfunk Außenstandort 1x 10 Mbit/s Richtfunk R&S SITLine ETH50 Standort mit Backup-Rechenzentrum 2x10 Gbit/s Standleitung R&S SITLine ETH40G Zentrale mit Rechenzentrum, Carrier, Satellit und Standleitung R&S SITLine ETH40G Produktion 1x 1 Gbit/s Carrier R&S SITLine ETH4G Standort mit Forschung und Entwicklung 1x 1 Gbit/s Carrier R&S SITLine ETH4G Low-latency, vermascht

16 Mehr Infos? Rohde & Schwarz Application Notes Ethernet-Standleitungen Rechenzentrumsanbindung Leitungs- und Netzwerk- Verschlüsselung mit 40 Gbit/s Evaluationshilfe für Ethernet-Verschlüssler Erschienen auf Internetworking Perspectives Web Blog von Ivan Pepelnjak