Carrier Ethernet – Wie man ungebetene Gäste ausschliesst

Netzwerke abzuhören und anzugreifen scheint zum Volkssport zu werden. Auch an Teilnehmern mangelt es nicht. Ob staatliche Organisation, Mitbewerber, Nachrichtendienst oder selbständiger Hacker: Alle machen mit. Mit den geeigneten Mitteln kann man ihnen aber den Spass verderben.
 
Der neue Champion: Metro und Carrier Ethernet
Was eigentlich zu erwarten war, ist mittlerweile eingetroffen: Carrier Ethernet läuft anderen Technologien für regionale und Weitverkehrsnetze immer mehr den Rang ab. Es ist einfacher, kostengünstiger und effizienter. Insbesondere seit der Einführung von Carrier Ethernet 2.0 haben sich die Marktanteile massiv vergrössert. Bis auf den Anschluss ist Carrier Ethernet aber nicht das Ethernet, das wir aus dem Alltag kennen. Vieles ist zwar gleich oder ähnlich, doch man sollte sich dadurch nicht täuschen lassen. Carrier Ethernet ist ein Carrier-Netzwerk und muss deshalb auch die entsprechenden Anforderungen erfüllen. Zudem finden sich auch Elemente eines SDN (software-definable Network): Die Netzwerkschnittstelle definiert nur noch die maximal verfügbare Bandbreite. Wie viel Bandbreite ein Kunde an welchen Tagen zu welchen Zeiten braucht, kann er über Software definieren. Zumindest bei Telekomanbietern, die technisch auf der Höhe sind.
 
Was Carrier Ethernet vom gewohnten Ethernet unterscheidet, ist das verwendete Dreischichtenmodell. Der Ethernet-Service (Layer 2) läuft über ein Transportnetzwerk, das wiederum ein Layer 1-, ein Layer 2.5- (MPLS) oder ein Layer 3- (IP) sein kann. Bei überregionalen Verbindungen ist es durchaus normal, dass für den Ethernet-Service unterschiedliche Transportnetzwerke verwendet werden. Der Kunde sieht und merkt davon in der Regel nichts, doch in Bezug auf Sicherheit bieten die Transportnetzwerke zusätzliche Angriffsvektoren. Betroffen davon sind vorwiegend Transportnetze, die auf Layer 2.5 und Layer 3 basieren.
 
Schutz vor ungebetenen Gästen
Das Abhören von Netzwerken kann man nicht verhindern. Hingegen ist es durchaus möglich, es gründlich zu vermiesen. Spassverderber für Abhörer und Angreifer ist eine Kombination unterschiedlicher Mittel. Basis bilden ein sicheres Verschlüsselungsgerät und sichere Schlüssel. Obwohl das eigentlich offensichtlich ist, versuchen immer noch viele Hersteller von Netzwerkgeräten, eine auf MACSec basierende Lösung zu verkaufen, respektive zu verschenken. Selbst geschenkt ist das noch zu teuer.
 
MACSec ist ein in vieler Hinsicht gescheiterter Standard für lokale Netzwerke. Er ist zwar billig zu implementieren, kann dafür aber auch fast nichts. Die Sicherheit wird durch die Sicherheit des Netzwerkgeräts bestimmt. Und da haben sich massgebliche Proponenten wie Cisco noch nie besondere Lorbeeren verdient, sondern fallen immer wieder durch erhebliche Sicherheitslücken auf. Auch bei der Schlüsselerstellung hapert es regelmässig. Software-generierte Zufallszahlen sind eben berechnet und nur Pseudo-Zufallszahlen. Weil ein sicherer Schlüsselspeicher Kosten verursacht, verzichtet man gleich ganz darauf. Da für die Verschlüsselung die Schlüssel im Klartext verwendet werden müssen, ist ein unsicheres Verschlüsselungsgerät in Kombination mit unsicheren Schlüsseln eine denkbar schlechte Ausgangslage. Für Carrier Ethernet ist MACSec unter anderem aufgrund der Limitierung auf Hop-to-Hop- und Punkt-zu-Punkt- respektive Punkt-zu-Multipunkt-Szenarien so ziemlich ungeeignet. Dazu fehlt es trotz "Standard" an der Interoperabilität zwischen unterschiedlichen Implementierungen. Wirft man dann einen Blick auf das verwendete Schlüsselsystem, so ist einer halbwegs fachkompetenten Person sofort ersichtlich, dass es den Anforderungen von Carrier Ethernet nicht gewachsen sein kann.
 
Die Verschlüsselung der Daten selbst, ist nur ein Schutz vor dem Abhören und gewährt Vertraulichkeit. Aber eben nur, wenn die Schlüssel sicher sind. Damit die Integrität und Authentizität der Daten sichergestellt ist, braucht es eine digitale Unterschrift und eine Prüfsumme. Das wiederholte Einspeisen von Daten wird durch das Verwenden eines Zählers (Counter) verhindert. Mittels Traffic Flow Security kann man den Netzwerkverkehr so vernebeln, dass Dritte nicht nachvollziehen können, was sich auf dem Netzwerk eigentlich abspielt.
 
Die Kombination der obgenannten Elemente sichert die eigenen Daten und das eigene Netzwerk und verdirbt unerwünschten Dritten den Spass. Dann gucken selbst NSA, GCHQ und Konsorten in die Röhre.
 
Die Evaluation von Lösungen ist komplex. Eine Starthilfe liefert die neue herstellerunabhängige Einführung in die Absicherung von Metro und Carrier Ethernet. (Christoph Jaggi)
 
Links:
Einführung in Deutsch:
Ethernet-Verschlüssler für Metro und Carrier Ethernet. Eine Einführung. (Klick öffnet ca. 20 MB "schweres" PDF)
 
Einführung in Englisch:
Ethernet-Encryptors for Metro and Carrier Ethernet. An Introduction. (Klick öffnet ca. 20 MB "schweres" PDF)