Network Encryption Made in Germany
Sicherer und einfacher Schutz Ihrer Netzwerkverbindungen AES-GCM Verschlüsselung als "perfekte Firewall" 2
Sicherer und einfacher Schutz Ihrer Netzwerkverbindungen Inhalt Interessenten für Ihre WAN Daten Gedanken zur Produktauswahl Zuverlässiger Schutz aus Deutschland 3
atmedia GmbH atmedia GmbH gegründet 1996 in Saarbrücken Unabhängige deutsche Firma in Privatbesitz Keine Auftragsentwicklung, nur eigene (COTS) Produkte Kein Sponsoring durch nationale oder internationale Behörden Installierte Basis: über 4.000 High-Speed Geräte Marktführer für dedizierte Layer 2 Crypto-Geräte in der EU BSI VS-NfD Zulassungen für alle Produkte, NATO NIAPC listed 4
Wer interessiert sich für Ihre WAN Daten? Potentielle Kandidaten: der Nachbar? ein lokaler Wettbewerber? ein Hacker (aus Spieltrieb)? eine Strafverfolgungsbehörde? ein Geheimdienst? eine sonstige staatliche oder private Organisation? 5
Reale Situation: Wer interessiert sich für Ihre WAN Daten? Geheimdienste und Strafverfolgungsbehörden hören fast lückenlos ab Abhören durch deutsche Behörden evtl. problematisch wegen Datenweitergabe und Einbindung privater Dienstleister Abhören durch ausländische Dienste meist mit Vorteilsbeschaffung für die Wirtschaft verbunden. 6
Politische Auswahl von WAN Sicherheitsprodukten Reales Problem: Welche Länder können weltweit Telekommunikation abhören? Welche Länder haben großen Bedarf an Technologie? Woher stammt Ihr Netzwerk- und Sicherheits-Equipment? USA, Kanada, China, Großbritannien, Frankreich, Israel 7
Politische Auswahl von WAN Sicherheitsprodukten Vorteilsbeschaffung : Wettbewerb ausforschen (Industriespionage) würde durch Mitlesen (Abhören) der WAN Daten ermöglicht Wettbewerb beeinflussen (macht die Industriespionage erst richtig rentabel) könnte durch Ändern oder Löschen von Daten geschehen 8
Was kann mit Ihren Daten passieren? Daten werden mitgelesen (Vertraulichkeit) wird durch Verschlüsselung verhindert kleinste Fehler hebeln den Schutz völlig aus beliebt: nicht zufällige Schlüsselerzeugung (Dual_EC_DRBG) 9
Dual_EC_DRBG Schneier 2007: aus The Strange Story of Dual_EC_DRBG "My recommendation, if you're in need of a random-number generator, is not to use Dual_EC_DRBG under any circumstances. In the meantime, both NIST and the NSA have some explaining to do." 10
Dual_EC_DRBG NIST DRBG Validation List mit Einträgen von Dual_EC_DRBG: http://csrc.nist.gov/groups/stm/cavp/documents/drbg/drbgval.html 11
Was kann mit Ihren Daten passieren? Daten werden mitgelesen (Vertraulichkeit) wird durch Verschlüsselung verhindert kleinste Fehler hebeln den Schutz völlig aus beliebt: nicht zufällige Schlüsselerzeugung (Dual_EC_DRBG) Daten werden verändert (Integrität) wird durch digitale Unterschrift verhindert einige Verschlüsselungsmodi extrem anfällig ( copy delete ) wird gerne vergessen (Null-Overhead, komplexe Implementierung) Daten werden später wieder eingespielt (Authentizität) wird durch eindeutiges Markieren der Daten (Zähler) verhindert wird leider auch oft vergessen 12
Technische Auswahl von WAN Sicherheitsprodukten Die optimale Security Appliance soll sicherstellen dass: keine Daten, die das LAN verlassen, von Dritten mitgelesen werden alle empfangenen Daten von der eigenen Gegenstelle stammen alle empfangenen Daten genau den Inhalt haben, den die eigene Gegenstelle gesendet hat alle empfangenen Daten höchstens einmal akzeptiert werden alle anderen Daten ignoriert werden diese Funktionalität mit Leitungsgeschwindigkeit realisiert wird. 13
Technische Auswahl von WAN Sicherheitsprodukten Standard Szenario: Router, Firewall, IDS Komplexe Konfiguration, lückenlose Sicherheit extrem schwierig Seitenkanäle schwer zu unterdrücken (Tunneling) Denial of Service Angriffe durch Überlastung Backdoors in den Komponenten und im LAN kritisch 14
Technische Auswahl von WAN Sicherheitsprodukten Verschlüsselung mit Integritäts- und Replay-Schutz AES-GCM Verschlüsselung garantiert: Daten sind abhörsicher Daten können nicht verändert oder wiederholt werden Filterung in Hardware: keine Denial of Service Angriffe Data Loss Prevention: Backdoors wirkungslos 15
16 Schutz durch atmedia Verschlüsselungs-Systeme
Schutz durch atmedia Verschlüsselungs-Systeme Punkt-zu-Punkt über Layer 2, MPLS, IPv4 oder IPv6 WAN: Managed Ethernet, IP-MPLS, xdsl, UMTS, LTE, SAT Optional: Traffic Flow Security Modus (TFS) transparente Layer 2 Verbindungen zwischen beliebigen Orten Layer 2 Layer 2 oder 3! Layer 2 17
Schutz durch atmedia Verschlüsselungs-Systeme Multipunkt und Punkt-zu-Multipunkt Vorteile: Skalierbarkeit, Startup-Zeit, Routing-Transparenz Mandantenfähig Mit GCM-IP Modus in FW 3.3 auch für IP WANs geeignet Multipunkt Punkt-zu-Multipunkt 18
atmedia Verschlüsselungs-Systeme 10M Ethernet 100M Ethernet 1G Ethernet 155M-2.4G SDH AES256-GCM Verschlüsselung Kompakte 19 Geräte mit redundanten Stromversorgung Zugelassen durch das BSI für VS-NfD, EU RESTREINT, NATO restricted OEM Geräte mit FIPS 140-2 L3 und CC EAL3 Zulassungen 10G Ethernet 10G SONET/SDH 19
atmedia Verschlüsselungs-Systeme 100M compact Desktop Version, optional für DIN rails und 19 Einbau W 210 * D 220 * H 42 mm, 1-50 C, fanless Power supply: 12-30V DC, optional 24-48V DC BSI VS-NfD zugelassen 20
atmedia Verschlüsselungs-Systeme OTN 2 Verschlüsselung (2014) 10G OTN 2, SDH/SONET mit AES-GCM Integritätsschutz 8G Fibre Channel mit AES-GCM Integritätsschutz BSI VS-NfD Zulassung in Planung atmedia SDH Verschlüsseler um AES-GCM erweitert (V3.3) 21
Vorteile durch atmedia Verschlüsselungs-Systeme Starker Integritäts- und Replay-Schutz durch AES-GCM (perfekte Firewall) Schutz gegen aktive (Denial-of-Service) Angriffe Verwendung beliebiger WAN Technologien einfacher und sicherer IPv6 Support Geschwindigkeiten interoperabel von 10 MBit/s bis 10 GBit/s Plug&Play Multipunkt Verschlüsselung Lange Nutzungsdauer (5-10 Jahre) durch FPGA Technologie Einfaches Management, Konfiguration durch Chipkarten, Umschulung auf atmedia in ca. 10 Minuten Made in Germany
Kontakt atmedia GmbH Science Park 1 66123 Saarbruecken Germany phone: +49 681 842477 fax: +49 681 842481 crypt@atmedia.de http://www.atmedia.de 23