Krypter dine linjer

Over hele kloden, anvendes fiberoptiske kabelnet til transport af data. Disse net har længe været betragtet som en sikker og pålidelige måde til at flytte information på. Behovet for sikker transport af data mellem virksomheders afdelinger, datacentre og offentlige institutioner er stadig stigende og alt afgørende for det moderne informationssamfund. Myten om at fiberforbindelser per definition er sikre er blevet revideret over de sidste par år. Fiberoptiske netværk er blevet stadig mere sårbare efterhånden som værktøjer til aflytning (tapping) af fiber er blevet kommercielt tilgængelige og nemt kan erhverves fra diverse web-shops.

Der er mange steder, på en føringsvej, hvor potentielle hackere kan tiltvinge sig adgang til kablerne. For en hacker, er det første skridt at finde et punkt hvor der er fysisk adgang til fiberkablet. Dette kan ofte opnås de steder hvor fiberen er eksponeret. Fx i udvendige fiberbokse på husmure og/eller i de såkaldte ”fiberbrønde”. Der er forskellige måder at aflytte trafikken på. En simple måde er at udnytte de, af udbydere, allerede installeret fiber splitters eller Y-bridges (Taps) som benyttes til overvågning og vedligeholdelse. Aflytning gennem disse koblinger er den enkleste måde at få fat i trafikken uden at introducere driftsforstyrrelser og uden at nogen fatter mistanke. En anden, og langt mere skjult måde er at bøje selve fiberkablet en smule og benytte en såkaldt ”clip-on coupler”. Når et fiberkabel bøjes vil en lille smule lys lække ud af kablet. Ved at montere ”clip-on coupleren” på det let bøjede fiberkabel, kan hackeren få adgang til datatrafikken uden at afbryde fiberen. Desuden kan en hacker, med den rette tekniske vidne, også benytte denne teknik til at forstyrre og manipulere signalet og endda ødelægge data.

Sikker transmission i et Layer 2 WAN

Eftersom netværkstrafikken fortsætter med at vokse i både volumen og hastighed er virksomheder og operatører begyndt at se fordelene ved at benytte Layer 2 Ethernet WAN-tjenester. For operatører er Ethernet baseret tjenester fleksible, og giver masser af muligheder for differentiering fx ved at tilbyde end-to-end SLA, sikkerhed og båndbredde garanti. Desuden muliggør det en nem migrering fra ældre og dyre teknologier som Frame-Relay, ATM og SDH.

Sikker transmission af data er altid en udfordring uanset om WAN tjenesten er baseret på Layer 2 (Ethernet) eller Layer 3 (IP). Tjenesteudbyderne forsøger ofte at fremstå som sikker gennem at benytte udtryk som MPLS og VPN (Virtual Private Networking). Udtrykket Virtual Private Networking er vildledende i den forstand, at ordet “Privat” ikke nødvendigvis er synonym for at tjenesten er krypteret. Selv om hver kunde kun kan se en logisk ”Privat” netværkstjeneste, køre denne stadig på en fælles infrastruktur, hvilket betyder at alt der adskiller en kundes data fra en anden er en ”label”, som netværks switche og routere benytter til at separere trafikken. For det første betyder dette, at hvis der er en mis-konfiguration i netværket, kan det resulterer i at data sendes til den forkerte destination. For det andet er u-krypteret trafik stadig sårbar over for aflytning (som før beskrevet) hvor som helst på sin rejse fra source til destination.  Generelt behøver en udbyder ikke at levere “Privacy-by-Default”, og man skal som kunde derfor være opmærksom på at alle oplysninger transmitteres uden nogen garanti for fortrolighed, medmindre der træffes passende foranstaltninger til at beskytte dem. Det er derfor vigtigt, at virksomhederne forstå disse problemstillinger, og tager dem med i deres samlet risikovurdering.

Kryptering og performance

Når et fiber link er blevet sat op, bliver der sjældent brugt tid eller kræfter på aktivt at overvåge det, medmindre der er forstyrrelser på selve tjenesten. Små udsving, som opstår på grund af tidligere angivne metoder for hacking, kan derfor let overses. I virkeligheden er den eneste sikre metode til at beskytte ”data-in-motion” på, gennem kryptering.

Desværre er der stadig mange, som fravælger kryptering af data-in-motion, da kryptering vha. de gængse metoder (som Layer 3 IPSec & SSL) typisk har en negativ effekt på transmissionshastigheden pga. den måde hvorpå teknologierne tilføjer ekstra payload og latency. Selvom IPSec og SSL er sikre og anerkendte krypteringsmetoder begrænses deres brug derfor til ikke-tidskritisk og lav båndbredde kommunikation, såsom online-betalinger og simple dataoverførsler.

Fordele ved Layer 2 Hardware Accelereret kryptering

Layer 2 kryptering omtales ofte som en “bump in the wire” teknologi. Dette er bl.a. grundet de ydelsesmæssige fordele teknologien har over IPSec og SSL men også fordi den er designet til at være transparent for slutbrugere og derfor giver en simple administration med ringe eller ingen indflydelse på selve netværket arkitektur.

Ved at implementere en Layer 2 kryptering sikrer man alle data, der sendes over infrastrukturen og forhindrer også sporing af afsender og modtager (ned til bruger og/eller ned til IP-adresse). Denne teknologi levere endvidere den lavest mulige latency på netværkstrafikken, og giver derfor fuld udnyttelse af båndbredden.

Håndtering af (krypterings/kode) nøgler

Når en linje krypteres (kodes) gøres dette ved brug af et hemmeligt ord ”krypterings-nøglen” som benyttes af afsender til at kode datastrømmen og af modtager til at afkode datastrømmen, – det er essentielt at nøglen er hemmelig, da datastrømmen nemt kan afkodes af hvem-som-helst med kendskab til denne. Da nøglen skal være tilgængelig for både afsender og modtager og samtidig hemmelig for alle andre er nøgle-udveksling i krypterings-produkter særlig betydningsfuldt, og der bruges generelt tre klassiske metoder til dette:

  1. Afsender og modtager mødes og udveksler nøglerne
  2. En ”nøgle manager” har nøglerne og distribuerer dem til afsender og modtager
  3. Afsender og modtager udveksler nøglerne gennem et PKI-system (PublicKeyInfrastructure)

Den simpleste (og måske også sikreste) er metode (1), hvor afsender og modtager mødes og udveksler nøgler, –  Metode (2) og (3) har hver deres sikkerhedsrisici:  Ved metode (2) er der mulighed for at ”nøgle manager” (typisk en PC og en administrator, manager) kompromitteres eller distributionen af nøgler kompromitteres (typisk distribution er over nettet eller via USB/nøglekort/ etc).  Ved metode (3) bruges typisk en DiffieHellman process til nøgle-udveksling, hvor et del-element af den hemmelige nøgle desværre har vist sig at være ”genbrug” fra tidligere brug og er derfor ”kendte”.  (Se https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf).  Zybersafe benytter metode (1) i sine produkter.

Konklusion

Layer 2 kryptering er en pålidelig, og enkel måde til at sikre fortrolighed og integritet af ​​de data, der transporteres gennem de optiske fibernet uden at give køb på ofre ydeevne.

Zybersafe’s Layer 2 Hardware kryptering

  • Arbejder uafhængigt af routing/switching i punkt til punkt miljøer.
  • Er transparent for alle netværk applikationer og Ethernet protokoller
  • Kan implementeres uden at det kræve ændringer af eksisterende netværksudstyr
  • Leverer fuld wirespeed krypteret kommunikation på op til 10Gbps
  • Kryptere tale-, video- og datatrafik (unicast og multicast).

 

Læs også artiklen:

’Who is listening’ af Nils Mandrup http://zybersafe.com/who-is-listening/

For at modtage yderligere information om vores produkter, udfyld venligst dine kontaktinformationer

frontpage
Carina JørgensenKrypter dine linjer