LAYER 2-VERSCHLÜSSLER FÜR WANS UND MANS - MARKTÜBERSICHT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
PRÄSENTIERT:
L AYER 2-V ERSCHLÜSSLER FÜR WAN S UND MAN S
M ARKTÜBERSICHT
MULTIPUNKT ETHERNET-VERSCHLÜSSLER
ERLÄUTERUNGEN
Version 2.01 (Kurzfassung), 20. April 2010
© 2007-2010 Christoph Jaggi
Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation
(auch teilweise) ohne schriftliche Erlaubnis des Verfassers.
www.uebermeister.com
cjaggi@uebermeister.comEinleitung
Sowohl im Metro Area- als auch im Wide Area-Bereich übernimmt Ethernet eine immer wich-
tiger werdende Rolle für die Verbindung von Standorten. Entsprechend muss die Sicherheit auf
Stufe Ethernet gewährleistet sein. Der Markt für entsprechende Verschlüsselungsgeräte und
–lösungen ist aber leider immer noch intransparent und es gibt keinen Standard.
Diese Marktübersicht zeigt die wichtigsten Informationen der verschiedenen Anbieter in einer
standardisierten Gegenüberstellung. Die technischen Daten und die Abläufe der vorhandenen
Angebote sind in tabellarischer Form dargestellt, so dass sie vergleichbar sind:
- Linieninterface
- Geschwindigkeitsinteroperabilität
- Verwendete Plattform
- Verwendete Verschlüsselungsstandards und –methoden
- Verwendete Verschlüsselungshardware
- Unterstütze Betriebsmodi
- Verschlüsselungsmodi auf Frame-Basis
- Selektive Verschlüsselung
- Latenz
- Schlüsselverwaltung, inklusive Schlüsselgenerierung, Schlüssellagerung, Schlüsselaus-
tausch, Schlüsselhierarchie und Schlüsselzuweisung
- Netzwerkunterstützung
- System Management
- Geräteeigenschaften
- Mitgelieferte Management-Software
- Listenpreis
- Garantie
Jede der Kategorien ist in den Erläuterungen abgehandelt. Die Erläuterungen sind nicht bloss
eine Ergänzung der Tabellen, sondern die Tabellen und Erläuterungen befinden sich vielmehr in
einer gegenseitigen Abhängigkeit, weil nicht alles in tabellarischer Form abbildbar ist.
Es gibt viele unterschiedliche Ansätze und Möglichkeiten Ethernet MANs und WANs zu ver-
schlüsseln. Jede bringt entsprechende Vor- und Nachteile mit sich. Diese sind bei einer Evalua-
tion und für eine Beschaffung von essentieller Wichtigkeit.
Diese Marktübersicht existiert in zwei Versionen: In einer Kurzversion, die Sie vor sich haben,
und in einer Vollversion, die beim Autor erhältlich ist. Die Kurzversion gibt einen vollständigen
Gesamtüberblick, doch fehlen wichtige Details in der Tabelle und in den Erläuterungen. Diese
Details betreffen die Schlüsselsysteme, die Schlüsselzuweisungen, die Details der verwendeten
Verschlüsselungsmodi und die Gesamtkosten über mehrere Jahre (Total Cost of Ownership).
Sie sind primär bei einer Evaluation oder einer Beschaffung relevant.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 2Ethernet-Verschlüssler (Multipunkt)
1. Die Anbieter
Für diese Übersicht wurden diejenigen Anbieter berücksichtigt, welche zumindest ein auto-
nomes Layer 2-Multipunkt-Verschlüsselungsgerät für Ethernet im Gigabit-Bereich anbieten, das
für kommerzielle Kunden konzipiert und in Europa erhältlich ist. Die Beschränkung auf auto-
nome Geräte erfolgt aufgrund der deutlich besseren Sicherheit und der Herstellerunabhängig-
keit in Bezug auf Switches und Routers. Zudem gibt es zum heutigen Zeitpunkt keinen Herstel-
ler, der integrierte Ethernet-Multipunkt-Verschlüsselung für Multi-Hop-Netzwerke anbietet.
Nachfolgend die Liste der Anbieter:
ATMedia,
Cipheroptics,
Engage Inc.,
idQuantique,
Infoguard,
Rohde & Schwarz SIT,
SafeNet,
Secunet,
Senetas,
Thales
2. Die Produkte
Wohl veröffentlichen die unterschiedlichen Anbieter Datenblätter, welche die Produkte und
deren Eigenschaften beschreiben sollten, doch stellt sich bei näherer Betrachtung und gezielter
Nachforschung heraus, dass die geschilderten Produkteigenschaften sich oft auf spezifische
Szenarien beziehen, die weder ausdrücklich erwähnt werden noch dem Grossteil der Einsatz-
szenarien entsprechen. Nachstehend erfolgt deshalb eine Aufschlüsselung der verschiedenen
Angebote. Sie beschränkt sich aber auf das, was für einen Überblick nötig ist und überlässt
ausführlichere Details und Ausführungen der Vollversion der Marktübersicht.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 33. Die Kriterien
3.1. Netzwerkstandard
Der vom Produkt unterstützte Ethernet-Netzwerkstandard bestimmt den theoretischen
Datendurchsatz des Verschlüsslers. Für Ethernet sind das die IEEE 802.3-Standards
10Mbit-Ethernet, Fast Ethernet, Gigabit Ethernet und 10Gb Ethernet.
Bei einigen Geräten welche nur Bandbreiten von weniger als 100Mbit/sec unterstützen,
handelt es sich um Geräte, die innen mit den Fast Ethernet-Geräten identisch aber soft-
waremässig gebremst sind. Entsprechend können sie per Software auf 100Mbit/sec auf-
gerüstet werden. Ähnliche Abstufungen sind auch für gebremste Gigabit-Verschlüssler
für Bandbreiten zwischen 100 Mbit/sec und 1 Gbit/sec vorstellbar.
Entscheidend für den effektiven Datendurchsatz ist aber nicht nur der unterstützte
Netzwerkstandard, sondern einerseits der Paketoverhead und andererseits die Verar-
beitungsleistung des Verschlüsslers. Letztere wird durch Parameter wie Verschlüsse-
lungsstandard, Verschlüsselungshardware, Verschlüsselungsmodus und Betriebsmodus
entscheidend beeinflusst.
3.2. Verwendete Plattformen
Es gibt mehr Anbieter als Plattformentwickler. Nur fünf der Anbieter entwickeln ihre
Plattform komplett selbst: ATMedia, CipherOptics, Engage Inc. Rohde & Schwarz und
Senetas. Bei den Anbietern, die ihre Plattform nicht selbst entwickeln kann man unter-
scheiden zwischen Anbietern, die nur ein bestehendes Produkt unter eigenem Namen
verkaufen und Anbietern, welche ein bestehendes Produkt als Basis für ein eigenes Pro-
dukt verwenden. Beim sogenannten White-Labeling kauft der Anbieter das komplette
Produkt ein und versieht es mit seinem eigenen Logo. Technisch sind in dem Fall die
Produkte des Plattformentwicklers und des Anbieters identisch. Anders sieht es bei den
Anbietern aus, welche die Plattformen an die eigenen Bedürfnisse und/oder Manage-
ment-Software anpassen und so ihr Produkt von dem des Plattformentwicklers differen-
zieren. Zu diesen gehören Infoguard, Safenet, Secunet und Thales, während sich idQuan-
tique auf ein White-Labeling beschränkt
3.3. Verschlüsselungsstandard
Alle auf dem Markt befindlichen Verschlüssler für den kommerziellen Markt, die bis in
den Gigabit-Bereich verfügbar sind, verwenden AES mit einer Schlüssellänge von minde-
stens 128 bit im Cipher-block-Chaining- oder den nahe verwandten Cipher- Feedback-
Modus. Die normale Schlüssellänge liegt bei 256 bit.
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
http://en.wikipedia.org/wiki/Cipher_block_chaining
http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 4Im Multipunkt-Betrieb spielen zudem Authentisierung und Einhaltung von Reihenfolgen
eine grössere Rolle. Deshalb kommen Standards wie Counter Mode und Galois Counter
Mode zum Einsatz.
http://en.wikipedia.org/wiki/GCM_mode
Industrieweit zeichnet sich wegen dem integrierten Replay- und Integritätsschutz ein
starker Trend zu AES-GCM ab. Auch der einzige IEEE-Standard für Ethernet-
Verschlüsselung setzt auf AES-GCM.
3.4. Verschlüsselungshardware
Es gibt unterschiedliche Ansätze einen Verschlüssler zu bauen, wobei der Ansatz eine di-
rekte Auswirkung auf Kosten und Leistungsfähigkeit hat. Diejenigen Hersteller, welche
die Verbindungen unabhängig von der Paketgrösse mit voller Leitungsgeschwindigkeit
verschlüsseln, haben alle eine jahrelange Erfahrung und ein Hardware-Design, bei dem
die Verschlüsselung hochoptimiert in FPGAs erfolgt. Dies erhöht den Entwicklungsauf-
wand und die Produktionskosten, bietet aber mehr Flexibilität und bessere Performance.
FPGA ist aber nicht gleich FGPA, denn Leistungsfähigkeit und Gatecount sind je nach
Modell unterschiedlich und die Verschlüsselung ist nur eine der Aufgaben der FPGAs.
Ein kostengünstigerer, aber weniger flexibler Ansatz ist die Verwendung von spezialisier-
ten Sicherheitsprozessoren, welche die eigentliche Verschlüsselung übernehmen. Noch
kostengünstiger, aber dafür flexibler ist das Verwenden von Software auf einer CPU, wo
aber die Leistungsfähigkeit von der CPU abhängt und die Latenzzeiten erhöht sind.
3.5. Verarbeitungsweise
Grundsätzlich gibt es zwei unterschiedliche Verarbeitungsmethoden, die jeweils ihre
Vor- und Nachteile haben: Cut-through und Store & Forward.
Bei der Cut-through Methode beginnt der Verschlüssler mit der Verschlüsselung bevor
der ganze Frame eingelesen ist. Dies führt zu kürzeren Latenzzeiten, hat aber auch zur
Folge, das ungültige Frames nicht weggeworfen, sondern verschlüsselt zum Ziel-
verschlüssler geschickt werden, der sie dann entschlüsselt und sie an den nächsten
Switch weiterleitet, von dem sie dann weggeworfen werden.
Bei der Store & Forward-Methode wird der ganze Frame eingelesen, bevor mit der Ver-
schlüsselung begonnen wird. Damit wird die Latenz erhöht und ist von der Grösse des
Frames abhängig. Ungültige Frames können so entdeckt und weggeworfen werden.
3.6. Die Verschlüsselungsmodi
Die vom Gerät unterstützten Verschlüsselungsmodi gehören zu den wichtigsten Pro-
dukteigenschaften eines Layer 2 Verschlüsslers.
Verschlüsselt man die gesamten Pakete, so ist zwar alles effizient und sicher, doch funk-
tioniert es nur, wenn eine direkte, exklusive Verbindung vorhanden ist. Entsprechend
kann man beim Provider nicht einfach Bandbreite kaufen, sondern ist auf eine eigene Li-
nie angewiesen. Im Multipunkt-Betrieb ist dies aber nur bei Port-zu-Multiport-Lösungen
möglich.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 5Verschlüsselt man nur die Payload, so sind zwar alle Protokolle oberhalb von Layer 2
komplett abgesichert, doch beschränkt sich der Schutz für Layer 2 Protokolle auf die In-
halte und nicht auf den Layer 2 selbst.
Will man Layer 2 selbst auch schützen, analog wie dies ESP IPSec mit IP auf Layer 3
macht, so bleibt, falls die Bedingungen für eine Bulk-Verschlüsselung nicht gegeben sind,
keine andere Wahl, als die Pakete zu tunneln. Dies führt dann entsprechend zu einem
Overhead, der aber geringer als bei ESP IPSec ausfällt. Dieser Overhead kann dazu füh-
ren, dass Pakete grösser werden als das Netzwerk zulässt. Die in Multipunkt-Netzen
vorgeschalteten Traffic Shaper sorgen bei IPv4-Netzen dafür, dass die Frame-Grösse.die
zugelassene MTU nicht überschreitet. Bei IPv6-Netzen erfolgt die Grössenoptimierung
zwischen den beiden kommunizierenden IPv6-Geräten, in der Regel sind das Router.
Der Verschlüsselungsmodus hat nicht nur Auswirkungen auf den Schutz, sondern auch
auf die Skalierbarkeit, die Betriebskosten, die Latenzzeiten und auf die Hardware- und
Software-Erfordernisse.
Ein Multipunkt-WAN kann theoretisch aus tausenden Standorten bestehen, deren Ver-
kehr untereinander jeweils von einem Verschlüssler pro Standort abgesichert wird. Ein
solches WAN ist aber in der Praxis kaum anzutreffen. Obwohl es Verschlüssler gibt, die
theoretisch eine unlimitierte Zahl an Peers erlauben, ist in der Praxis eine Unterstützung
von 1000 Peers mehr als genügend. Bei den meisten breitbandigen Multipunkt-WANs
beträgt die Anzahl der Peers sogar deutlich weniger als hundert.
Nachfolgend die beiden für Multipunkt-Ethernetverbindungen notwendigen Verschlüsse-
lungsmodi im Detail, wobei zu beachten ist, dass das dargestellte Paket das Verhältnis
zwischen Header/CRC und Payload stark zuungunsten des Headers und der CRC
Checksum verfälscht. Im Multipunkt-Modus verwenden die Hersteller einen proprietä-
ren Transport-Modus, bei dem in der Regel die Paketgrösse durch die Authentisierung,
den Counter und den Integritätscheck zwischen 18 Bytes und 24 Bytes vergrössert wird.
3.6.1. Transport-Modus
!" #" $% :;! $% &'()*'+ ,-,
.",/01'+12 !'3' ,4156789
!"#$%&'()* !"+$,$"-..$%&'()* !/$%&'()*
Frame ohne Verschlüsselungsoverhead
!" #" $% :;! $% ;: $% &'()*'+ ;,: ,-,
.",/01'+12 #15%'< !'3' ;=313(/,4156/:')81/ ,4156789
!"#$%&'()* !#$,$"+$%&'()* !"+$,$"-..$%&'()* !/$,$"+$%&'()* !/$%&'()*
Frame mit explizitem Replay- und Integritätsschutz
Beim Transportmodus wird nur die Payload verschlüsselt, d.h alle Informationen, die
sich im Header befinden, bleiben unverschlüsselt. Bei den Verschlüsslern, die diesen Mo-
dus unterstützen, lässt sich in der Regel festlegen, ab wo im MAC Header verschlüsselt
werden soll (Encryption Offset). So können z.B. die Felder für EtherType, das VLAN Tag
und ein MPLS Tag unverschlüsselt gelassen werden, so dass sich die Pakete transparent
zu MPLS und VLANs verhalten. In der Praxis zeigt sich, dass der EtherType unverschlüs-
selt bleiben, respektive umgemappt werden muss, da sonst zwischengeschaltete Switches
die Pakete verwerfen könnten.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 6Vorteile:
! Die Payload ist komplett verschlüsselt
! Kein Verschlüsselungs-Overhead auf Frame-Ebene, wenn auf frame-basierten
Replay-Schutz und frame-basierten Integritätsschutz verzichtet wird
! Frame-basierter Replay- und Integritätsschutz erzeugen im Vergleich zur gewon-
nen Sicherheit unterdurchschittlich wenig Overhead (18-24 Bytes); dies variiert
aber je nach Schutz und Hersteller
! Kann geswitcht werden
! Kann transparent zu VLAN und MPLS sein
! Braucht keine transparente (eigene Linie), so dass beim Provider Bandbreite be-
zogen werden kann, was zu monatlichen Kosteneinsparungen von durchschnitt-
lich 30% führt
! Kompatibel mit Managed Ethernet Services
Nachteile:
! Nur die Payload von Layer 2-Paketen ist geschützt
! Das Abhören der Leitung zeigt die LAN-Struktur auf, da der Header nicht ver-
schlüsselt ist
! MACSpoofing ist möglich, sofern nicht der Header oder Teile davon auch si-
gniert sind
Exkurs: MacSec, LinkSec und TrustSec
Nicht um einen Transport-Modus handelt es sich bei MacSec (auch LinkSec genannt) und
das darauf basierende TrustSec von Cisco. Im Gegensatz zum Transport-Modus, bei
dem die Anzahl Hops irrelevant ist, funktioniert MacSec nur in einem Hop-by-Hop Sze-
nario. Entsprechend wird eine direkte Linie zwischen den beiden Geräten vorausgesetzt,
was das Einsatzspektrum auf Punkt-zu-Multipunkt einschränkt und die Betriebskosten
substantiell erhöht. Verwendet wird AES-GCM mit einem 128-bit-Schlüssel. Der Frame-
Overhead beträgt 32 Bytes.
!" #" 45 76 45 67! 45 =*;*+ 7$6 $%$
&"$'()*+), &"$#)/'5*8 ?@5*8 !*-* 79-)8,:-;'$.)/0'6*3.6.2. Tunnel-Modus
!" #" $% :;! $% !" #" $% :;! $% &'()*'+ ,-,
.",/01'+12 .",/01'+12 !'3' ,4156789
!"#$%&'()* !"#$%&'()* !"+$,$"-..$%&'()* !/$%&'()*
Frame ohne frame-basierten expliziten Replay- und Integritätsschutz
*+ ,+ -. :;* -. ;: *+ ,+ -. :;* -. /012304 ;!: !"!
5+!67$04$8 ,$%.0= 5+!67$04$8 *090 ;916!#$%& !#$%&'()
!*+#$%&'() !+#-#*,#$%&'() !*+#$%&'() !*,#-#*.//#$%&'() !"#-#*+#$%&'() !"#$%&'()
Frame mit frame-basierten expliziten Replay- und Integritätsschutz
Beim Tunnel-Modus wird das gesamte Orginal-Paket verschlüsselt und mit einem neuen
Header und mit einer neuen Checksum versehen. Absender resp. Empfänger sind die
beiden Verschlüssler zwischen denen die Pakete ausgetauscht werden. Beim neu er-
zeugten Paket handelt es sich um ein normales Ethernet-Paket, welches das Original-
paket als Payload mitführt. Es entsteht dabei ein Overhead von bis zu 18 Bytes, welcher
den maximalen Durchsatz von 64 Byte-Paketen auf etwa 80% der Leitungsgeschwindig-
keit reduziert und die Latenzzeit aufgrund der vermehrten Verarbeitungserfordernisse
im einstelligen Mikrosekunden-Bereich erhöht. Beides wirkt sich in der Praxis nicht ne-
gativ auf die Netzwerk-Performance aus. Der Overhead, der von Carriern für den
Transport hinzugefügt werden kann (und oft wird), kann substantiell höher sein als der
vom Tunnel-Modus verursachte Overhead.
Bei extrem hohen Sicherheitsanforderungen kann auch im Tunnel-Modus der Frame mit-
tels AES-GCM explizit mit einem frame-basierten Replay- und Integritätsschutz versehen
werden. Der Overhead erhöht sich dann auf 30 Bytes. Dies ist aber noch immer weni-
ger als bei ESP IPSec, das zudem nicht in der Lage ist, einen solchen Schutz zu gewährlei-
sten.
Vorteile:
! Das Orginal-Paket ist komplett verschlüsselt
! Das Netzwerk ist inklusive Layer 2 voll abgesichert
! Kann geswitcht werden
! Transparent zu VLAN und MPLS
! Braucht keine transparente (eigene) Linie, so dass beim Provider Bandbreite bezo-
gen werden kann
! Kompatibel mit Managed Ethernet Services
Nachteile:
! Verschlüsselungs-Overhead von bis zu 40% auf Paketebene (im Schnitt aber weni-
ger als 5%)
! Deutlich erhöhte Anforderung an den Verschlüssler
! Nur im Punkt-zu-Punkt-Betrieb innerhalb eines Multipunkt-Netzes sinnvoll
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 8Spezialfall: IP-basierter Tunnel
Ethernet-Frames können auch über einen sogenannten Pseudowire transportiert wer-
den, wobei der Ethernet-Frame als IP-Nutzlast getunnelt wird. Engage Inc. verwendet
solch einen Tunnel-Mechanismus. Der Schutz für den Original-Ethernet-Frame ent-
spricht dem einer Bulk-Verschlüsselung, da der ganze Frame verschlüsselt wird. Da die
Verschlüsselung nicht auf direkt auf Layer 2 erfolgt, bringt dieser Ansatz einen grossen
Overhead und höhere Latenzzeiten mit sich. Sinnvoll sind IP-basierte Tunnel nur dort,
wo keine Ethernet-Layer 2-Verbindungen vorhanden sind.
;*-8 7$'''.$
*+ ,+ 34 56* 34 -./01.2 65 !"!
7+!89$.2$: 6-89$.2$: ;*-89$.2$: =*87= !#$%&'()
!*+#$%&'() !,-#$%&'() !+#$%&'() !*#$%&') !"#$%&'()
3.7. Selektive Verschlüsselung
Bei der selektiven Verschlüsselung geht es darum, ob VLAN-ID, MPLS-Tag oder MAC-
Adresse als Kriterium gewählt werden können. Vorstellbar ist auch die Verwendung zu-
sätzlicher Kriterien wie EtherType, QoS-Parameter und Paketgrösse.
Viele Metro Ethernet Services bauen auf VLAN-IDs auf und die selektive Verschlüsse-
lung nach VLAN-IDs ist für bestimmte Services Voraussetzung.
„MPLS Awareness“ gekoppelt mit selektiver Verschlüsselung nach MPLS-Tag wird benö-
tigt um mit unterschiedlichen MPLS-Szenarien zurechtzukommen.
Selektive Verschlüsselung spielt bei Multipunkt-Verbindungen eine deutlich grössere Rol-
le als bei den Punkt-zu-Punkt-Verbindungen. So erlaubt sie das Konsolidieren von An-
schlussleitungen.
3.8. Die Betriebsmodi
Layer 2-Verschlüssler sollten nebst den unterschiedlichen Verschlüsselungsmodi auch
autonom mindestens zwei unterschiedliche Betriebsmodi unterstützen: Punkt-zu-Punkt
(Line Mode), und Multipunkt-zu-Multipunkt (Mesh). Diese Betriebsmodi sollten in allen
Umgebungen voll und eigenständig unterstützt werden. Da Punkt-zu-Punkt ein Subset
von Multipunkt ist, kann natürlich jeder Multipunkt-Verschlüssler auch im Multipunkt-
Modus für Punkt-zu-Punkt eingesetzt werden. Es gibt Hersteller, die das als Punkt-zu-
Punkt-Modus sehen. Diese Marktübersicht zusammen mit der Marktübersicht zu den
Punkt-zu-Punkt-Verschlüsslern zeigt auf, welche der Verschlüssler effektiv getrennte, op-
timierte Modi haben.
Speziell im Multipoint-Betrieb muss der Verschlüssler wissen, welche Pakete er wie ver-
schlüsseln soll. Dabei helfen ihm Parameter wie VLAN-ID, MPLS-Tag, MAC-Adresse,
QoS etc.
Die Herausforderung für die Hersteller liegt dabei darin, dass der Betrieb im sicheren
Multipoint-Modus, sowohl das Software- wie auch das Hardware-Anforderungsprofil
drastisch erhöht. Ein weiterer Problemkreis stellt die Verschlüsselung von Multicast- und
Broadcast-Paketen dar, vor allem wenn primär ein paarweises Schlüsselsystem und kein
Gruppenschlüsselsystem verwendet wird.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 9Layer 2-Verschlüsselung im Multipunkt-Modus wird wohl noch für mindestens für die
nächsten drei Jahre „work in progress“ sein. Entsprechend sollte man bei der Wahl des
Herstellers darauf achten, dass die angebotene Multipunkt-Lösung über die nötige
Hardware-Architektur und –komponenten verfügt, so dass zusätzliche Betriebsmodi
mittels Firmware-Upgrade hinzugefügt werden können und nicht die Hardware komplett
ersetzt werden muss.
3.9. Latenz
Die durch den Verschlüssler hervorgerufene Latenz bewegt sich im Bereich von Mik-
rosekunden pro Gerät. Entscheidend ist der effektive Wert pro Gerät und nicht die La-
tenz, welche durch die eigentliche Verschlüsselung verursacht wird. Produktarchitektur
und verwendete Komponenten spielen dabei eine grosse Rolle, wobei die Latenz bei
praktisch allen aktuellen Anbietern von Geräten in der Gigabit-Klasse maximal 40 Mi-
krosekunden beträgt. Faktoren die auf dem gleichen Gerät zu unterschiedlichen Latenz-
zeiten führen, sind der gewählte Verschlüsselungsmodus und der Betriebsmodus.
Die Latenz sollte immer auch im Verhältnis zur Gesamtlatenz der jeweiligen Standort-
koppelungen betrachtet werden, da grössere Distanz zwangsläufig zu erhöhter Latenz
führt.
Es wäre wünschenswert, wenn die Hersteller die Hersteller die Latenzzeiten für die un-
terschiedlichen Verschlüsselungs- und Betriebsmodi angeben würden; dies zusätzlich zu
den Leistungsblättern, welche den effektiven Durchsatz der Verschlüssler bei unter-
schiedlichen Paketgrössen zeigen.
3.10. Key Management
Unter dieser Rubrik wird aufgezeigt, wie die einzelnen Anbieter die Konfiguration und
den Betrieb der verschlüsselten Verbindungen lösen. Dazu gehören das Aushandeln der
Schlüssel und das verwendete Austauschprotokoll.
3.10.1. Hardware-basierter Zufallszahlengenerator
Sämtliche Anbieter versehen ihre Verschlüssler mit einem echten hardware-basierten
Zufallszahlengenerator, der zur Schlüsselgenerierung verwendet wird.
http://en.wikipedia.org/wiki/Hardware_random_number_generator
3.10.2. Sicherheit der Schlüsselaufbewahrung
Beim Aufbewahrungsort des Shared Secrets bzw. der privaten Schlüssel des Zertifikats
ist Sicherheit wichtig, da von diesen Schlüsseln die Sicherheit des Systems abhängt.
„Tamper resistant“ ist deshalb ein entscheidendes Kriterium, damit der Schlüssel nicht
vom Aufbewahrungsort gestohlen werden kann.
http://en.wikipedia.org/wiki/Tamper_resistant
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 103.10.3. Autonomer Betrieb
Der autonome Betrieb bedingt, dass der Verschlüssler seine Arbeit selbständig, ohne
Zuhilfenahme externer Ressourcen, erledigen kann. Jede externe Ressource stellt wie-
derum ein Risiko und eine Abhängigkeit dar. Nicht als externe Ressource zählen dedi-
zierte Key Server und Certificate Authorities,
Die Anforderungen im Multipunkt-Betrieb unterscheiden sich von den Anforderungen
im Punkt-zu-Punkt-Betrieb: Statt einem Schlüssel für eine einzelne Verbindung braucht
es unterschiedliche Schlüssel für mehrere Verbindungen. Die Verschlüsselung von Multi-
cast- und Broadcast-Frames ist im Punkt-zu-Punkt-Betrieb einfach, hingegen im Multi-
punkt-Betrieb eine Herausforderung.
3.10.4. Bump-in-the-Wire Deployment
Können die Verschlüssler ohne Änderung der Netzwerkinfrastruktur einfach in das be-
stehende Netzwerk eingeschlauft werden, so wird dies als „Bump-in-the-Wire Deploy-
ment“ bezeichnet.
3.10.5 Schlüsselsystem
Ethernet-Frames gibt es in drei Grundvarianten, welche jeweils durch die Anzahl Ziel-
rechner bestimmt sind:
! Unicast für die Kommunikation von einer mit einer einzelnen anderen MAC-
Adresse
! Multicast für die Kommunikation von einer mit mehreren MAC-Adressen
! Broadcast für die Kommunikation von einer mit allen anderen MAC-Adressen
Es stehen unterschiedliche Ansätze zur Verfügung, um sicherzustellen, dass nebst Uni-
cast-Frames auch Multicast- und Broadcast-Frames verschlüsselt werden.
Paarweise Schlüssel vs. Gruppenschlüssel
Bei der Schlüsselverwaltung kann man grob zwischen zwei unterschiedlichen Lösungsan-
sätzen unterscheiden: Paarweise Schlüssel und Gruppenschlüssel. Paarweise Schlüssel
verwenden jeweils den gleichen unidirektionalen Schlüssel auf der Verbindung zwischen
zwei Verschlüsslern. Gruppenschlüssel orientieren sich hingegen an der Zugehörigkeit
zu einer Gruppe und verwenden jeweils einen eigenen Schlüssel pro Gruppe.
Paarweise Schlüssel
Punkt-zu-Punkt-Verbindungen entsprechen einer Leitung, deren Endpunkte durch die
beiden Verschlüssler A und B definiert sind. Für die Verschlüsselung der Daten von A
nach B wird der Schlüssel AB verwendet. In der Gegenrichtung, von B nach A, der
Schlüssel BA. Für Punkt-zu-Punkt-Verbindungen ist dieser Ansatz der gebräuchlichste.
Punkt-zu-Multipunkt-Verbindungen entsprechen mehreren Leitungen, deren Endpunkte
durch die Verschlüssler definiert sind. Auf der einen Seite (Hub) hat es einen Endpunkt
und auf der anderen Seite (Spokes) hat es mehrere Endpunkte. Die meisten Anbieter
verwenden für die Zuweisung der Frames auf die Leitungen MAC-Tabellen, in denen
sowohl die lokalen wie auch die entfernten MAC-Adressen des WANs gespeichert sind.
Dies funktioniert aber nur für Unicast-Frames, da nur diese über ihre MAC-Adresse
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 11eindeutig auf eine Leitung zuweisbar sind, Sollen Multicast- und Broadcast-Frames trans-
portiert und verschlüsselt werden, so stehen zwei Lösungsansätze zur Verfügung: Ent-
weder multipliziert man die Broadcast- und Multicast-Frames für die verschiedenen Lei-
tungen innerhalb der Broadcast-Domain und verwendet den jeweiligen paarweisen
Schlüssel oder man verwendet für die Broadcast- und Multicast-Frames ein Gruppen-
schlüsselsystem. Bei der letztgenannten Variante handelt es sich allerdings nicht mehr
um ein reines paarweises Schlüsselsystem, sondern eine Hybridform aus paarweisem
Schlüssel- und Gruppenschlüsselsystem. Ein anderer Ansatz für Leitungsschlüssel ist die
Zuweisung einer VLAN-ID auf eine Leitung kombiniert mit einer Verschlüsselung nach
VLAN-ID.
Bei Multipunkt-zu-Multipunkt-Verbindungen ist die schon bei Punkt-zu-Multipunkt
vorhandende Problematik noch deutlicher ausgeprägt.
Gruppenschlüssel
Paarweise Schlüsselsysteme eignen sich nur für die Verbindung von zwei Elementen,
Gruppenschlüsselsysteme sind für die Verbindung von zwei oder mehr Elementen prä-
destiniert. Multipunkt-Verbindungen entsprechen meistens Gruppen, die durch Broad-
cast-Domains verbunden oder getrennt sind. Innerhalb einer Gruppe wird sämtlicher
Datenverkehr mit dem gleichen Schlüssel verschlüsselt. Eine Unterscheidung zwischen
Unicast-, Multicast- und Broadcast-Frames ist nicht nötig.
Die einfachsten Gruppenschlüsselsysteme basieren auf einem Pre-Shared Key. Jedes
Gruppenmitglied erhält den gleichen Pre-Shared Key und kann somit den Datenverkehr
innerhalb der Gruppe verschlüsseln und entschlüsseln.
Leistungsfähigere Gruppenschlüsselsysteme erlauben die Etablierung der Gruppenzuge-
hörigkeit durch Parameter wie VLAN-IDs. Solche Gruppenschlüsselsysteme verwenden
in der Regel einen Key Server, der redundant ausgelegt ist. Der Key Server sorgt dafür,
dass jeder Verschlüssler die Gruppenschlüssel erhält, welche die sich hinter ihm befindli-
chen Geräte benötigen, um mit den anderen Gruppenmitgliedern an anderen Standorten
kommunizieren zu können. Der Key Server muss unter anderem auch sicherstellen, dass
bei Änderungen der Gruppenzusammensetzung ein neuer Schlüssel erstellt wird. Mit
dem neuen Schlüssel kann der alte Datenverkehr nicht entschlüsselt werden und mit
dem alten Schlüssel kann der neue Datenverkehr nicht entschlüsselt werden.
Alternativ zu einem Key Server kann auch ein Verfahren verwendet werden, das die
Gruppenschlüssel aus Daten der Gruppenmitglieder erstellt. Ändert sich die Zusammen-
setzung der Gruppe, so ändert sich auch der Schlüssel.
Bei Ethernet drängt es sich auf, die Gruppen nach VLAN-IDs zu organisieren, da in der
Regel Firmennetze die Broadcast-Domains durch VLANs eingrenzen und so auch das
Netzwerk segmentieren. Bei einer Gruppenverschlüsselung, die nach VLANs organisiert
ist, wird diese Segmentierung auch für die Verschlüsselung verwendet und stellt so auch
eine kryptographische Trennung der VLANs her.
Jeder der Plattform-Hersteller verwendet ein unterschiedliches Schlüsselsystem und da-
mit einen anderen Lösungsansatz. Grundsätzlich kann festgehalten werden, dass paar-
weise Schlüsselsysteme das Netzwerk hierarchisch als flach behandeln, während Grup-
penschlüsselsysteme bestehende Hierarchien und Strukturen im Netz berücksichtigen
können. Eine Mandantenfähigkeit lässt sich nur mit Gruppenschlüsseln und verteilten
Key Servern erreichen.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 123.10.6 Authentifizierung
Die Verschlüssler müssen sich gegenseitig authentifizieren können. Dies kann über Zerti-
fikate oder Pre-Shared Secrets erfolgen.
http://en.wikipedia.org/wiki/Shared_secret
http://en.wikipedia.org/wiki/X.509
Obwohl X.509 normiert und ein Standard ist, darf nicht davon ausgegangen werden,
dass die Implementierungen unterschiedlicher Hersteller interoperabel sind.
3.10.7 Schlüsselaustausch
Für den Schlüsselaustausch kommen sowohl symmetrische wie auch asymmetrische Ver-
fahren In Frage. Der Einsatz eines asymmetrischen Verfahrens erfordert deutlich mehr
Rechenleistung, gilt aber dafür entsprechend auch als viel sicherer. Eine entscheidende
Verbesserung der Sicherheit bietet die Kombination von asymmetrischen und symmetri-
schen Verfahren, wie z.B. die Kombination von Diffie-Hellman mit symmetrischer
Überschlüsselung der Teilschlüssel.
Symmetrischer Schlüsselaustausch
Bei einer symmetrischen Vorgehensweise sind alle Schlüssel direkt voneinander abge-
leitet. Zuerst wird beim Verschlüssler ein Pre-Shared-Secret eingegeben. Der Master-
Key wird intern im Verschlüssler erzeugt und mit dem Shared-Secret verschlüsselt. Der
Session-Key wird ebenfalls vom Verschlüssler erstellt und mit dem Master-Key ver-
schlüsselt. Master- und Session-Key werden jeweils in der verschlüsselten Form über die
Leitung zum anderen Verschlüssler übertragen. Das grosse Problem bei dieser Vorge-
hensweise liegt darin, dass wenn das Shared-Secret irgendwann bekannt wird, jede frü-
her aufgezeichnete Kommunikation entschlüsselt werden kann.
http://en.wikipedia.org/wiki/Symmetric_key_algorithm
http://en.wikipedia.org/wiki/Symmetric_key_management
Asymmetrischer Schlüsselaustausch
Bei einer asymmetrischen Vorgehensweise werden die Teilschlüssel vollständig im
Verschlüssler generiert, ohne dass der Benutzer einen Zugriff darauf hätte. Aus den je-
weils ausgetauschten Teilschlüsseln berechnen beide Seiten jeweils das gleiche Shared-
Secret. Im Gegensatz zu einem symmetrischen Verfahren kennt hier niemand das Sha-
red-Secret. Der Verschlüssler erzeugt anschliessend intern den Master-Key und ver-
schlüsselt ihn mit dem Shared-Secret. Auch der Session-Key wird vom Verschlüssler er-
stellt, als Schlüssel dient der Master-Key. Die Übertragung der Master- und der Session-
Keys von einem Verschlüssler zum andern erfolgt immer in verschlüsselter Form.
Als asymmetrische Verfahren werden primär Diffie-Hellman und RSA eingesetzt. Diffie-
Hellman verwendet in der Standardvariante das so genannte „diskrete Logarithmus Pro-
blem“. Dieses Verfahren erzeugt aber bei entsprechender Sicherheit sehr lange Teil-
schlüssel. Moderne Systeme tendieren deshalb zur Verwendung von Diffie-Hellman mit
Elliptic Curve Crypto System (ECC). Dies bietet bei wesentlich kürzeren Teilschlüsseln
eine höhere Sicherheit bietet und gilt heute als Standard.
http://en.wikipedia.org/wiki/Diffie-Hellman
http://en.wikipedia.org/wiki/RSA
http://en.wikipedia.org/wiki/Elliptic_Curve_Diffie-Hellman
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 13Asymmetrische Verfahren unterschreiben die ausgetauschten Teilschlüssel um sicherzu-
stellen, dass sie auch von der richtigen Gegenstelle stammen. Dies kann entweder durch
Zertifikate (X.509) kombiniert mit entsprechenden Verfahren (RSA, DAS oder ECC)
oder durch Verschlüsselung des Teilschlüssels mit einem Pre-Shared Secret erfolgen.
http://en.wikipedia.org/wiki/Elliptic_curve_cryptography
http://en.wikipedia.org/wiki/Digital_Signature_Algorithm
http://en.wikipedia.org/wiki/RSA
Je häufiger der verwendete Session-Key geändert wird, desto geringer ist die Wahr-
scheinlichkeit, dass er geknackt wird oder ein Replay Folgen haben kann. Die Sicherheit
des Schlüssels hängt dabei nicht nur von der Vertraulichkeit, sondern auch von den ver-
wendeten Verfahren und den gewählten Parametern ab. So spielen die Länge des Coun-
ters und des ICV eine Rolle. Im Counter Mode muss z.B. der Schlüssel gewechselt wer-
den, bevor sich die Counter wiederholen. Es ist deshalb wichtig, dass der Session Key
vom System automatisch nach einer bestimmten Anzahl Minuten gewechselt wird.
Das gleiche gilt für den Key Encryption Key (Master Key), der für die Verschlüsselung
des Session Keys verwendet wird. Da dieser weniger Daten verschlüsselt, ist die Wech-
selfrequenz entsprechend tiefer. Auch dieser Schlüssel sollte automatisch ausgewechselt
werden können.
!"#$%&&'$()* +,-./$'01'2'3&4/5'-
!"#$%&'()*%+*#,
!'&&6,307')
90:0;http://en.wikipedia.org/wiki/Metro_Ethernet
http://www.ethernetaccess.com/Article/0,6583,37659-Carrier_Ethernet,00.html
http://en.wikipedia.org/wiki/IEEE_802.1Q (QinQ)
http://en.wikipedia.org/wiki/IEEE_802.1ah (Mac-in-Mac)
801.1Q setzt das Vorhandensein eines unverschlüsselten VLAN-Tags voraus, für das bei
QinQ auf Providerseite ein zweiter Tag gesetzt werden kann.
802.1ah wird bei der Übermittlung zwischen Carriern im Carrier-Backbone verwendet
und tunnelt den ursprünglichen Ethernet-Frame.
Fragmentierung/Defragmentierung auf Ethernet-Ebene funktioniert anders als die Frag-
mentierung von IP-Paketen. Sie wird da gebraucht, wo der Verschlüsselungsmodus die
Frame-Grösse ändert und die resultierende Grösse eine MTU von 1500 Bytes, bzw. eine
andere, vom Netzwerk vorgegebene MTU, überschreitet. Einen zusätzlichen Overhead
von bis zu 32 Bytes vertragen aber in der Regel die meisten Carrier Ethernet-
Infrastrukturen klaglos. Zudem können vorgelagerte Traffic Shaper die Frame-Grösse auf
das erlaubte Maximum reduzieren. Bei der Kommunikation von IPv6-Geräten erfolgt die
Reduktion automatisch.
Die Funktion „Dead Peer Detection“ erlaubt es dem Verschlüssler herauszufinden und
zu melden, wenn die Gegenstelle ausser Betrieb fällt.
Die Funktion „Optical loss pass-through“ ermöglicht einem Switch oder Router durch
den Verschlüssler zu sehen, ob die Verbindung zum Switch oder Router hinter dem
Verschlüssler auf der Gegenseite der Verbindung funktioniert.
Die Funktion „Link Loss Carry Forward“ bietet eine dem „Optical loss pass-through“
äquivalente Funktion für kupferbasierte Netzwerke.
3.12. System Management
Die Verschlüssler müssen konfiguriert und überwacht werden können. Für den Out-of-
Band-Zugriff stehen dafür ein separater Ethernet-Port und eine serielle Schnittstelle zur
Verfügung. Für den in-band-Zugriff auf die Verschlüssler über das Netzwerk können un-
terschiedliche Methoden wie SSH (Secure Shell), TLS, Corba/TLS, SNMP oder über pro-
prietäre Protokolle verwendet werden
http://en.wikipedia.org/wiki/Secure_Shell
SD-Card-Slot und USB-Port erlauben, Konfigurationsdaten und Updates lokal einzule-
sen.
Für die Überwachung des Geräts im Netzwerk wird von allen Herstellern SNMP ver-
wendet, wobei SNMP erst ab Version 2c als halbwegs sicher gilt, bzw. die für die Über-
wachung von High Speed Netzwerkkomponenten notwendigen erweiterten 64 Bit Zäh-
ler zur Verfügung stellt. Eine Verschlüsselung ist erst ab Version 3 vorhanden.
http://en.wikipedia.org/wiki/SNMP
Für die Überwachung des Link-Status muss der Verschlüssler laufend seinen Betriebszu-
stand bekannt geben. Diese Daten können von entsprechender Software gelesen und
aufgearbeitet werden, so dass der aktuelle Link-Status überwacht werden kann. Dies
kann u.a. mittels SNMP Traps für den Uplink und den Downlink erfolgen. Zur Erfüllung
dieses Kriteriums muss alle zur Überwachung des Link-Status nötige Software dem
Verschlüssler beiliegen. Das reine Zurverfügungstellen der SNMP Traps ist nicht genü-
gend.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 15Im Event Log werden sämtliche Vorfälle abgespeichert. Das Event Log ist bei einem
Verschlüssler lokal.
Das Audit Log zeichnet für das Audit relevante Vorgänge auf und ist bei einem
Verschlüssler lokal.
Syslog zeichnet Systemvorgänge auf. Für die Übermittlung zwischen Syslog-Server und
Verschlüssler wird UDP verwendet, so dass eine Übertragung und Registrierung der Da-
ten nicht garantiert ist. Aus diesem Grund brauchen die Verschlüssler die oben erwähn-
ten lokalen Event und Audit Logs.
http://en.wikipedia.org/wiki/Syslog
3.13. Unit
Die Höhe der Unit bezieht sich auf den Platz, den sie im Rack benötigt. Dies hat wieder-
um einen Einfluss auf die Betriebskosten. Ein 2U-Gehäuse verursacht z.B. höhere Be-
triebskosten als ein 1U-Gehäuse.
Der Zugriff auf die wichtigsten Anschlüsse sollte bei den Geräten vorne sein.
Verschlüssler sind wichtige Teile der IT-Infrastruktur. Es ist durchaus üblich solche Ge-
räte an zwei unabhängige Stromkreise anzuschliessen, so dass der nahtlose Weiterbe-
trieb beim Ausfall des einen Stromkreises möglich ist. Im Rechenzentrum-Umfeld sind
doppelte Stromzuführungen in der Regel vorgeschrieben.
Redundante Netzteile können an zwei unabhängige Stromkreise angeschlossen werden.
Sind sie „hot-swappable“, so können die Netzteile auch im laufenden Betrieb ausge-
tauscht werden. Die verwendeten Netzteile haben in der Regel eine MTBF die deutlich
über der MTBF der Geräte liegt, so dass der effektive Ausfall eines Netzteils statistisch
äusserst unwahrscheinlich ist.
http://en.wikipedia.org/wiki/Uninterruptible_power_supply
Die MTBF zeigt die theoretische Dauer zwischen zwei Ausfällen. Je höher der Wert, de-
sto tiefer die Betriebskosten. Dies führt zu inflationären Tendenzen bei den Angaben.
Die High Availability Functionality erlaubt die redundante Auslegung von Verschlüsslern.
Bei den Gehäusen wird unterschieden zwischen „tamper evident“ und tamper resi-
stent“, wobei „tamper resistent“ deutlich aufwändiger zu bewerkstelligen ist und ent-
sprechend teurer ist. Für „tamper evident“ kann bereits ein Siegel genügen, das aus ei-
nem Kleber besteht.
3.14. Management Software
Die zu den Verschlüsslern gehörende Software ist aufgrund der unterschiedlichen Im-
plementierungen der Verschlüssler nicht richtig vergleichbar.
Das Key Management dient dem Erzeugen und Verwalten der verwendeten Master- und
Session-Keys.
Das Device Management dient der Konfiguration, der Überwachung und der Verwaltung
des Verschlüsslers.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 16Einige der Hersteller kombinieren die Software für Device Management mit einer Certi-
ficate Authority, so dass die benötigten X.509-Zertifikate unabhängig von einer vorhan-
denen CA-Struktur herstellt werden können.
Einige Hersteller verwenden nicht standardkonforme X.509 Zertifikate, so dass eine
vorhandene CA-Infrastruktur nicht für die Verschlüsselungsgeräte mitgenutzt werden
kann.
3.15. Preis
Gezeigt werden die Listenpreise. Die Projektpreise sehen je nach Projektgrösse anders
aus.
Einige Hersteller kompensieren überhöhte Listenpreise mit entsprechenden Rabatten,
während andere mit realistischen Listenpreisen und entsprechend kaum Rabatt arbeiten.
Am Schluss ist der bezahlte Preis entscheidend und nicht die Höhe des gewährten Ra-
battes. Der zu bezahlende Gerätepreis ist aber nur ein Teil der Kosten. Bei einer mini-
malen Einsatzdauer von 4-5 Jahren sind die Betriebskosten ein substantieller Teil der
Gesamtkosten.
Die Garantiezeit und der Garantieumfang sind wichtige Kostenfakturen für die Berech-
nung der Gesamtkosten. Mehr Details dazu finden sich in der Vollversion der Markt-
übersicht.
Der Autor möchte sich bei folgenden Firmen und Personen für ihre Mithilfe bedanken:
ATMedia: Jörg Friedrich, Michael Braun
Cipheroptics: Burak Fenercioglu, Franjo Majstor
Engage Inc.: Tom Ver Plough
idQuantique: Leonard Widmer, Patrick Trinkler, Grégoire Ribordy
Infoguard: Thomas Meier, Reto Isaak
Rohde & Schwarz: Ronald Kuhls, Ralf Guhl
Safenet: Pius Graf,
Secunet: Reinhard Stüwe
Senetas: Julian Faye
Thales: Juan Asenjo
© 2007 - 2010 Christoph Jaggi
Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation
(auch teilweise) ohne ausdrückliche schriftliche Erlaubnis des Autors.
2010 Marktübersicht Multipunkt-Ethernet-Verschlüssler (Kurzversion) 17Sie können auch lesen
