Optische Netzwerke sichern: Wie Verschlüsselung dabei hilft, Ihre Daten zu schützen

Layer-1-Verschlüsselung kann dazu beitragen, die Sicherheit optischer Netzwerke zu gewährleisten (Quelle: ArtHead/Shutterstock.com)

Die heutigen optischen Netzwerke sind wie Informationsautobahnen, die Licht verwenden, um große Datenmengen schnell über große Entfernungen zu übertragen. Dies hat zwar einige spannende neue Anwendungen ermöglicht, bietet Cyberkriminellen jedoch dank des größeren Daten-„Preises“ auch eine größere Versuchung.

Eine der größten Schwachstellen optischer Netzwerke liegt in ihrer physischen Infrastruktur. Die Glasfaserkabel, die die Daten übertragen, erfolgen in verschiedenen Umgebungen, einschließlich unterirdischen Installationen, Unterseekabeln und Versorgungsleitungen. Diese Gefährdung kann sie anfällig für physische Manipulationen machen, wie etwa das Abhören der Glasfaserkabel, was zu Datenabhörungen und -verstößen führen kann.

Selbst die größten Marken sind nicht immun gegen Cyber-Sicherheitsbedrohungen. Im Jahr 2021 wurde LinkedIn bei einem Angriff gehackt, bei dem Daten von rund 700 Millionen Nutzern in einem Dark-Web-Forum gepostet wurden. Kürzlich wurden der Social-Media-Seite Reddit etwa 80 GB an Daten von einer Ransomware-Bande gestohlen, die mit dem Verkauf drohte, wenn das Unternehmen nicht 4,5 Millionen US-Dollar für die Löschung zahlte.

Optische Netzwerke sind nicht weniger anfällig. Die Konvergenz von Glasfasernetzen mit IP-basierten Systemen kann sie einer Vielzahl von Cyberangriffen aussetzen, darunter Distributed Denial of Service (DDoS), Datenabhörung und unbefugten Zugriff. Die potenziellen Folgen einer Sicherheitsverletzung in einem optischen Netzwerk gehen über den Datenverlust hinaus und umfassen Dienstunterbrechungen, Rufschädigung eines Unternehmens und finanzielle Auswirkungen.

Paul Momtahan, Director of Solutions bei Infinera, erklärt: „Laut dem neuesten IBM-Bericht [1] belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung weltweit auf 4,45 Millionen US-Dollar, in den USA auf fast 10 Millionen US-Dollar. Es gibt auch Gesetze und das Risiko hoher Bußgelder, zum Beispiel gibt es in Europa die DSGVO, und die können bis zu 20 Millionen Euro oder 4 % Ihres Umsatzes betragen, je nachdem, welcher Betrag höher ist. Und dann gibt es in Kalifornien den California Consumer Privacy Act. Und das kann zwischen 100 und 150 US-Dollar pro Einwohner Kaliforniens sein, und es gibt 40 Millionen Einwohner in Kalifornien. Ein Datenverstoß kann also sehr teuer sein.“

Betreiber von Glasfasernetzen haben den Vorteil, dass Glasfaser bekanntermaßen sicherer und schwieriger zu durchdringen ist als andere Netzwerktechnologien, da die Art der Datenübertragung das Abfangen des Signals schwieriger macht. Aber auch Glasfaser ist für Cyberkriminelle nicht undurchdringlich. Betreiber benötigen die besten Strategien zum Schutz ihrer Netzwerkdaten, sowohl im Ruhezustand im Rechenzentrum oder in der Speichereinrichtung als auch, was entscheidend ist, auf der optischen Ebene, wenn sie in der Glasfaser selbst übertragen werden.

Verschlüsselung auf der optischen Ebene und optische Steganographie zum Verbergen von Daten sind beide Möglichkeiten, ein hohes Maß an Schutz zu bieten. Bei der Verschlüsselung werden Daten mithilfe kryptografischer Algorithmen in ein unlesbares Format umgewandelt.

Im Hinblick auf die Vorteile für Betreiber gewährleistet die Verschlüsselung, dass nur autorisierte Parteien auf die übertragenen Daten zugreifen und diese verstehen können, und schützt gleichzeitig deren Integrität, indem sichergestellt wird, dass sie während der Übertragung unverändert bleiben. Alle unbefugten Änderungen an den verschlüsselten Daten machen die Betreiber auf mögliche Manipulationen aufmerksam. Die Verschlüsselung kann auch mit Authentifizierungsmechanismen kombiniert werden, um sicherzustellen, dass sowohl der Sender als auch der Empfänger der Daten echt sind. Die Verschlüsselung ermöglicht einen sicheren Fernzugriff auf optische Netzwerke, sodass autorisiertes Personal das Netzwerk von überall aus verwalten und überwachen kann, ohne seine Sicherheit zu beeinträchtigen.

Insbesondere die Layer-1-Verschlüsselung eignet sich zum Schutz der Daten auf der physischen Ebene für leistungskritische Anwendungen wie Netzwerke. Dieses Verfahren stellt sicher, dass kein Overhead an Daten entsteht und die Verschlüsselung mit Leitungsgeschwindigkeit und 100 % Datendurchsatz erfolgen kann. Da die Daten direkt auf optischer Ebene verschlüsselt werden, sind sie bereits vor dem Eintritt in höhere Netzwerkschichten geschützt, was es für Angreifer schwieriger macht, die Daten abzufangen oder zu manipulieren.

Die Layer-1-Verschlüsselung hat außerdem den Vorteil, dass sie eine bessere Netzwerkleistung bietet, da die Ver- und Entschlüsselung von spezieller Hardware auf der physischen Ebene übernommen wird. Dadurch können die Auswirkungen auf die Netzwerklatenz und den Durchsatz minimiert werden. Die Layer-1-Verschlüsselung kann auch einfacher zu verwalten und zu konfigurieren sein, da sie auf die gesamte optische Verbindung angewendet wird, ohne dass komplexe Routing-Konfigurationen erforderlich sind. Diese Methode bietet auch Skalierbarkeitsvorteile für große Netzwerke mit hohem Verkehrsaufkommen.

Momtahan sagt: „Die Verschlüsselung auf Ebene 1 bietet einige Vorteile. Einer davon ist, dass man bei geringen Kosten einen sehr hohen Durchsatz erhält. Es ist viel komplikationsintensiver, dies beispielsweise auf Schicht drei mit IPsec durchzuführen. Außerdem erhalten Sie eine geringere Latenz, Sie verschwenden nicht viel Protokoll-Overhead, den Sie mit IPsec erhalten – es gibt keinen Protokoll-Overhead für die Layer-1-Verschlüsselung. Es ist auch Multiprotokoll. So kann es beispielsweise zusätzlich zu Ihrem regulären IP und Ethernet auch Ihre Fibre-Channel- oder Nicht-IP-Protokolle unterstützen.“

Infinera ist sich dieser Vorteile für Netzwerkbetreiberkunden bewusst und bietet Layer-1-Verschlüsselung für erhöhte Sicherheit an, verfügbar auf CHM6 Xponder-Schlitten für die kompakte modulare Plattform GX G42. Diese Verschlüsselungsoption wird über das Transcend Network Management System (TNMS) verwaltet und gewährleistet eine sichere Datencenter-Verbindung (DCI) mit verschlüsselten Wellenlängen zwischen Rechenzentren. Es kann auch die Verschlüsselung für Unternehmens- und Großhandelskunden unterstützen und so den internen Datenverkehr in anfälligen Umgebungen sichern.

Die Lösung des Unternehmens ermöglicht Wirespeed-Massenverschlüsselung und schützt Daten über die gesamte verkettete optische Dateneinheit, einschließlich Ethernet (100 GbE, 400 GbE) und OTU4-Client-Verkehr. Die Verschlüsselung ist symmetrisch und verwendet für beide Enden denselben Verschlüsselungsschlüssel, was einen hohen Durchsatz und eine geringe Latenz gewährleistet.

Die Verschlüsselung wird mithilfe von Internet Key Exchange Version 2 (IKEv2) authentifiziert und autorisiert. Für den sicheren Schlüsselaustausch können X.509-Zertifikate oder Pre-Shared Keys (PSKs) verwendet werden.

Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) gewährleistet einen gemeinsamen Datenverschlüsselungsschlüssel, ohne geheime Daten preiszugeben. Die Verschlüsselung der Datenebene nutzt AES-256-GCM und bietet starken Schutz und Integrität. Momtahan sagt: „Einer der Schlüssel zu guter Sicherheit liegt darin, wie der Schlüssel selbst ausgetauscht wird und wie die darüber liegende Authentifizierungsautorisierung durchgeführt wird.“ Der Schlüssel muss geheim gehalten werden, daher verwenden wir den ECDHE-Algorithmus, ein Standardprotokoll zur Erstellung desselben Schlüssels an beiden Enden, ohne dass geheime Daten geteilt oder übertragen werden.“

Die Lösung von Infinera nutzt auch die Schlüsselrotation, wie Momtahan fortfährt: „Wir rotieren den Schlüssel, den wir im DSP verwenden, jede Minute auf 60 Minuten, was es für jemanden schwieriger macht, diesen Schlüssel möglicherweise zu knacken, weil er vorhanden ist.“ Sie konnten nur eine begrenzte Datenmenge zur Analyse speichern. Wenn es ihnen gelingen würde, es zu knacken, wären sie nur in der Lage, Informationen im Wert von wenigen Minuten zu entschlüsseln und könnten nicht in die Vergangenheit reisen und zuvor gespeicherte Nachrichten entschlüsseln.“

Die CHM6-Verschlüsselungslösung ist so konzipiert, dass sie strenge Sicherheitsstandards erfüllt. Es entspricht FIPS 140-3 Level 2 und ist für die NIAP Common Criteria Network Device Collaborative Protection Profile-Zertifizierung vorgesehen. Angestrebt wird auch die Aufnahme in die Approved Products List (APL) des Joint Interoperability Test Command (JITC) des US-Verteidigungsministeriums. Die Layer-1-Verschlüsselung auf dem CHM6-Schlitten für den GX G42 ist außerdem darauf ausgelegt, robuste Sicherheit für Rechenzentrumsverbindungen (DCI) und andere Anwendungen zu bieten. Mit Hochgeschwindigkeitsverschlüsselung, sicherem Schlüsselaustausch und Einhaltung von Industriestandards kann es Betreibern eine umfassende Lösung zum Schutz von Daten während der Übertragung bieten.

In der neuesten Anwendungsnotiz von Infinera wird detailliert beschrieben, wie Betreiber durch die Fokussierung auf Layer 1 die Verschlüsselungskosten senken und gleichzeitig die Latenz minimieren und den Durchsatz skalieren können. Darüber hinaus werden weitere Einzelheiten zur CHM6-Verschlüsselungslösung von Infinera erläutert.