Suchen

Grundlegende Sicherheitsüberlegungen für Netzwerke – Teil 7 Symmetrische Verschlüsselungsverfahren – Eine Einführung

| Autor / Redakteur: Karin Winkler / Dipl.-Ing. (FH) Andreas Donner

Neben der allgemeinen Sicherheitsproblematik stellt sich sowohl für Nutzer der Internet-Technologien als auch für die Administration kommerzieller Intranets die Frage nach der Sicherung von Transaktionen im Rahmen des E-Commerce und der Elektronischen Dokumentenverarbeitung. Dieser Beitrag gibt hierzu einen Überblick über Sicherheitsstandards und erläutert, wie Verschlüsselungsverfahren prinzipiell funktionieren.

Firmen zum Thema

Verschlüsselung ist insbesondere bei E-Commerce-Anwendungen das A und O; Bild: André Létzel, Fotolia.com
Verschlüsselung ist insbesondere bei E-Commerce-Anwendungen das A und O; Bild: André Létzel, Fotolia.com
( Archiv: Vogel Business Media )

Die Grundphilosophie des akademischen Internet war die Gutwilligkeit der Benutzer und die Offenheit des Systems. Doch hier haben die Designer wirklich zu viel des Guten getan. Das sieht man an vielen Stellen: das ProtokollTCP/IP ist auf offene Kommunikation optimiert, möglichst jeder Rechner soll das Protokoll implementieren können. Dafür hat man auf viele Leistungsmerkmale verzichtet, die in anderen Protokollen, wie z.B. den OSI-Protokollen für die Schicht 4 enthalten sind, besonders aber auf jedwede Sicherheitsfunktion.

Auch in neueren Protokollen, wie der Management-Umgebung SNMP (Simple Network Management Protocol) ist der Grundgedanke der generellen Vertrauenswürdigkeit enthalten, denn wie wäre es sonst zu verstehen, dass die Kommunikation zwischen Administratoren und Geräten völlig ungeschützt abläuft.

Sicherheitsstandards im TCP/IP-Protokolluniversum

Man kann Sicherheitsfunktionen in verschiedenen Schichten einbauen und diese auch untereinander kombinieren. Im Zusammenhang mit der Internet-Technologie arbeitet man entweder unter oder über der TCP-Protokollschicht.

Ein Ansatz für sicheres IP ist IPsec, welches eine Verschlüsselung auf dieser Schicht ermöglicht. Dies wird allerdings seltener benutzt. Es drückt nämlich sehr auf die Leistung beim Routing und macht Layer-4-Switches völlig unbrauchbar. Denn es codiert auch Header-Daten, die ein Layer-4-Switch dringen für die Flow-Control-Funktion benötigt. Außerdem wird die maximale Rahmengröße überschritten, was die meisten Switches ebenfalls fürchterlich durcheinanderbringt.

IPsec sichert Daten mittels Verschlüsselung. Dazu kodiert es ein IP-Datenpaket bis auf den IP-Header komplett. Der Inhalt des Paketes ist auf diese Weise geschützt. Allerdings kommt auch niemand mehr an die Steuerinformationen im TCP-Header heran, der ja nach dem IP-Header kommt und einfach mitverschlüsselt wird.

Für neuere Anwendungen hat man jedoch Protokolle entworfen, die z.B. die Qualität einer Verbindung von einem Ende zum anderen sicherstellen wollen. Dies geht aber nur dann, wenn die Switches, die die Verbindung letztlich realisieren entsprechende Steuerinformationen bekommen können. Die Schicht 4 ist die erste Schicht von unten, die wirklich Steuer-Informationen von einem Ende der Verbindung zum anderen Ende beinhaltet. Dies ist schon seit den ersten Tagen des OSI-Modells vor über 25 Jahren so.

Neue Netze, z.B. mit Gigabit Ethernet ermöglichen es z.B. als Qualitätsparameter, den maximalen zeitlichen Abstand zwischen zwei Datenpaketen festzulegen. Dies braucht man für alle Arten der isochronen Übertragung, wie z.B. Video- und Audiostreams. Es ist also sinnvoll, die neuen und zusätzlichen Steuerinformationen in die Schicht 4, also das TCP-Protokoll zu packen. Die ganz neuen Switches arbeiten nun mit der Auswertung dieser Informationen, z.B. indem sie Warteschlangen für hochpriorisierten Verkehr optimieren oder die Bedienung von Ports systematisch beeinflussen.

Versteckte Steuerinformationen

Wenn man aber die Steuerinformation versteckt, so wie das IPsec tut, findet auch der Switch diese nicht mehr. Schlimmer noch: die auf der Schicht 4 nicht mehr protokolltransparenten Switches verwerfen die betreffenden Pakete und quittieren dies mit einer Fehlermeldung. Beim Routing verursacht IPsec Leistungsprobleme. Wenn Pakete mit diesem Verfahren verschlüsselt werden, hängt IPsec zusätzliche Bytes in Form von IPsec-Headern an das Datenpaket an. Dadurch wird es natürlich vergrößert, und das reduziert den Durchsatz.

weiter mit: Netzabsicherung meist überflüssig

(ID:2052466)