2. Agenda
Podsłuch transmisji optycznej – fakty i mity
Po co szyfrować transmisję?
Podstawowe problemy szyfrowania transmisji
Szyfrowanie L2 vs MACSec vs IPSec
Pokaz na żywo albo film ;-)
Q & A
3. Podsłuch transmisji optycznej
Transmisja optyczna jest odporna na podsłuch
Wpięcie się w światłowód wymaga jego przecięcia i
czasochłonnego spawania
• Wyciek na prostym odcinku jest pomijalnie mały
• Zwiększony wyciek na zgięciu światłowodu
• Fala zanikająca…
• Spawanie jest (obecnie) szybką operacją (< 5 min)
• Gotowe urządzenia „fiber tap” i splittery
9. Podsłuch transmisji optycznej – detekcja
Wpięcie się w światłowód jest łatwe do wykrycia
Atak na transmisję optyczną jest kosztowny
• Jednoznaczne z wykryciem zagięcia światłowodu?
• Istnieją ugięcia powstałe podczas instalacji
• Czy aby na pewno reagujesz na zmiany tłumienia / rozłączenie?
• 1000 €
• 350 €
• 100$
10. Gdy infrastruktura w ogniu czy sprawdzisz
tłumienie i przerwy…?
Ogień na Moście Łazienkowskim w Warszawie, luty 2015 (spłonęły trakty
światłowodowe pod mostem).
Źródło: https://www.youtube.com/watch?v=MvH6xbx6Fr0
11. Reasumując
…Fibre tapping is not child's play but if
you're criminally minded, there are options
such as Evanescent Fibre Coupling to
expose data in motion across high speed
networks. With a very small signal loss --
less than 1% - it's practically undetectable.
Oliver Rickeard
Sales Director | ATOMOS NETWORKS | 07977449322 | Cisco | Check Point
12. Podsłuch transmisji optycznej – przeciwdziałanie
Dozór i monitorowanie kabli i traktów (dodatkowe włókna dookólne
dla wykrycia zagięcia)
Przewodnik elektryczny w światłowodzie (j.w)
Monitorowanie dystrybucji mocy fali w światłowodzie wielomodowym
Pomiar średniej mocy optycznej (wymaga kodowania sygnału)
ODTR (reflektometr)
Światłowody typu High Bend
Szyfrowanie
13. Dlaczego szyfrowanie?
1. Ponieważ….
Szyfrowanie jest jedynym potwierdzonym, zaufanym i zgodnym z
regulacjami, sposobem ochrony danych i kontroli dostępu do nich
Jednak szyfrowanie jest łatwe, ale zarządzanie nim i wdrożenie go w dużej
skali jest trudne.
2. Ponieważ….
14. Po co szyfrować transmisję?
Brak kontroli nad medium transmisyjnym
Którędy biegnie światłowód? Kto jest operatorem łącza?
Łatwo dostępne studzienki komunikacyjne, trakty komunikacyjne prowadzone przez
prywatne działki
Ochrona przed kradzieżą lub modyfikacją danych
Ile warte są nasze dane - bezcenne, prawda? Czy stać nas na utratę danych?
Czy jesteśmy w stanie wykryć kradzież?
Zgodność
Z regulacjami (GDPR, …), normami, wymogami, …
15. Po co szyfrować transmisję?
Sprzęt podsłuchowy coraz bardziej dostępny i coraz tańszy
Jak wykryć kradzież danych elektronicznych?
Szpiegostwo przemysłowe/nieuczciwa konkurencja
Nieuczciwi pracownicy, błędy użytkowników
16. GCHQ …
….. ‘had tapped more than 200 fibre-optic cables and was able to process data
from at least 46 of them at a time….’
‘….. each of the cables carries data at a rate of 10 gigabits per second, so the
tapped cables had the capacity, in theory, to deliver more than 21 petabytes a
day ….’
Źródło: Guardian Newspaper June 2013
Po co szyfrować transmisję?
17. Podsłuchiwanie, podglądanie i szpiegowanie jest w modzie. Sprzęt do inwigilacji
stosują nie tylko służby specjalne. Coraz częściej sięgają po niego także zwykli
zjadacze chleba
‚… Zaobserwowaliśmy wzrost zainteresowania takim sprzętem przez
przedsiębiorców…’
‚…W tym roku, w porównaniu z poprzednim, o prawie 40 procent zwiększyło się
w sieci zainteresowanie Polaków urządzeniami szpiegowskimi.’
Źródło: Komputer Świat 2013
Po co szyfrować transmisję?
19. Problemy szyfrowania transmisji
Przepustowość
FW: 58 Gb/s IPSec VPN: 10 Gb/s
FW: 52 Gb/s IPSec VPN: 25 Gb/s
FW: 72 Gb/s IPSec VPN: 21 Gb/s
• Szyfrowanie wymaga zasobów sprzętowych
• Szyfrowanie staje się wąskim gardłem
• Problem z utrzymaniem QoS
20. Problemy szyfrowania transmisji
Zwiększony rozmiar pakietu
Stabilność i niezawodność
• NGFW, UTM: współdzielenie procesora przez inne funkcje (IPS, AV)
• Obniżenie przepustowości
• Zwiększenie opóźnienia
• Wypełnienie pakietu (padding)
• Dodatkowe pola do obsługi szyfrowania (IPSec i MACSec)
21. Problemy szyfrowania transmisji
Złożone zarządzanie
• Zmiana może wymagać rekonfiguracji wielu/wszystkich urządzeń
• Wzrost obciążenia innych urządzeń
• Wymagana znajomość sieci
• Niewspierane konfiguracje przy łączeniu urządzeń różnych producentów
• Ochrona klucza szyfrującego, jego dystrybucja (PSK, PKI), rotacja i wymiana,…
23. Rozwiązanie łatwodostępne i tanie
Wymagane dodatkowe zasoby w każdym punkcie styku
Utrata wydajności na skutek zwiększonego wykorzystania procesora
Narzut do rozmiaru pakietów
Możliwość uzależnienia od dostawcy
Złożone zarządzanie
Brak certyfikacji dla rozwiązań
…
IPSec
24. Implementacja na urządzeniach ogólnego przeznaczenia (przełączniki)
Kolejna funkcja na urządzeniu (koszt, dodatkowa karta)
Uzależnienia od dostawcy
Utrata wydajności na skutek zwiększonego wykorzystania procesora
Narzut do rozmiaru pakietów
Ograniczona / brak certyfikacja urządzeń
…
MACSec
25. Dedykowane urządzenie (koszt)
Brak obciążenia innych urządzeń
Sprzętowa obsługa szyfrowania (certyfikacje!)
Szyfrator nie jest wąskim gardłem
Z reguły obsługa pełnej przepustowości łącza (wire speed)
Minimalny narzut do rozmiaru pakietów
Minimalne, stałe opóźnienie (µS)
…
Szyfratory L2
26. Szyfrowanie L2 vs L3
L3
Requires extra memory/blades in each
router/VPN Gateway
Causes loss of performance due to
extra CPU overhead.
Loss of throughput
Layer 3 IPSec reduces throughput by as
much as 40% for small packets (64 Bytes).
Increased fragmentation on large packets.
Higher ongoing costs associated with
IPSec key management
Locked into Network Vendor
L2
Separation of duties
Let the network VLANs Switches do
their job at wire speed
Let the encryptors do their job at wire
speed
‘Bump in the wire’ cut through device
full bandwidth utilisation
Dedicated device
no CPU overhead counts required.
No vendor ‘lock in’
Zero packet expansion in CFB mode
CTR mode adds1 byte shim/32frames
GCM mode adds a 16 byte shim
Very low latency
• FPGA used to encrypt frame.
Wydajność i koszt
27. L2 vs L3
Źródło: Rochester Institute of Technology
0
50000
100000
150000
200000
250000
300000
350000
400000
64 128 256 512 1024 1280 1420
Latency(µs)
Frame Size (Bytes)
Opóźnienie: Ethernet
Encryption vs IPSec
Typical Router with IPSec Ethernet Encryption
300
400
500
600
700
800
900
1000
64 128 256 512 1024 1280 1420
Throughput(Mbps)
Frame Size (Bytes)
Przepustowość: Ethernet
Encryption vs IPSec
Ethernet Encryption IPSec Encryption with GRE
Szyfrowanie w L2 oferuje ponad 2 krotnie wyższe przepustowości
Typowy profil sieciowy
28. Szyfratory L2 vs MACSec
L2 encryptors are dedicated security devices; MACSec is implemented on multiple
purposes devices (like switches), so it can be potentially less stable, as it may interfere
with other features configured on switches;
configuration of L2 encryptors is simple, straightforward; MACSec is just another
feature configured on switch, so it might be more prone for human mistakes and
configuration errors;
L2 encryptors can have their dedicated centralized management & monitoring system;
Monitoring and central managing of MACSec is limited, as general purpose NMS of
specific vendor has to be used;
L2 encryptors can use certificate based authentication; MACsec implementations of
PKI are limited;
L2 encryptors have restrictive security certifications (like FIPS, CC), their chassis is
tamper-proof; MACSec devices even if they are certified, its certification is limited to
specific configurations only - it means that different configurations are just not compliant
with FIPS etc;
L2 encryptors don't introduce overhead in encrypted frames; MACsec header add
specific number of bytes (up to 24 bytes) for each frame;
L2 encryptors are compatible with more advanced connectivity options (like q-in-q,
MPLS) and flexible (encryption can start from specific position in L2 payload); MACSec
solutions are designed only for LAN connectivity and don't fully support metro and
carrier environments
Główne różnice pomiędzy szyfratorami L2 a MACSec:
31. Dedykowane szyfrator Eth/FC SONET T1/E1 dla różnych przepustowości
Szyfrowanie hop by hop,
Topologia point to point/multipoint, multipoint to multipoint,
Prosta Instalacja (set and forget), automatyzacja
Technologia FPGA (inwestycja w przyszłość, aktualizacja na miejscu)
Centralne zarządzanie (SMC, CM7)
Najwyższy poziom bezpieczeństwa (AES 256, FIPS-140-2 L3, CC, …)
Smaczki technologiczne jak TRANSEC
…
Dlaczego szyfratory Gemalto/Senetas?
32. Gemalto HSE (Senatas)
CN4010 CN4020 CN6040 CN6100 CN8000
Compact desktop
enclosure
Compact desktop
enclosure
1U rack mount enclosure 1U rack mount enclosure 4U rack mount
enclosure
Up to 1 Gbps
(scalable
licensing)
Up to 1 Gbps
(scalable
licensing)
Up to 4 Gbps Eth/FC
(scalable licensing)
Up to 10 Gbps (scalable
licensing)
Up to 10x10Gbps
or FC 8GBps
RJ45 electrical
interfaces
Pluggable optical
SFP
RJ45 electrical
interfaces
Pluggable optical SFP
RJ45 electrical interfaces
Pluggable XFP optical
interfaces
Pluggable optical
SFP+
External plug pack External plug pack Dual redundant AC/DC
supplies
Dual redundant AC/DC
supplies
Dual redundant AC
supplies
LED LED LCD/Key Pad LCD/Key Pad
User-serviceable
fans/battery
User-serviceable
fans/battery
User-serviceable
fans/battery
Latency < 10uS Latency < 10uS Latency < 8uS Latency < 6uS Latency < 8uS
CC EAL2+, FIPS
140-2 level 3
In process CC EAL2+, FIPS 140-2
level 3
CC EAL2+, FIPS 140-2
level 3
In process
All devices are interoperable and can be managed by SCM or CM7
33. High Speed Encryption – 91000
Model Speeds Scalable – up to 100 Gbps
Protocols Ethernet;
Size 19” 1U (Dual AC/DC PS)
Certifications FIPS, CC, NATO, UC APL (in process)
Latency 2µS
Jumbo frames support Yes
Encrypts U/M/B-cast traffic Yes
36
Gemalto CN9100 – to jest nowe