Professionelle Industrial Switches mit MACsec security encryption von Atop.

Für mission-critical Kommunikation zwischen organisationsübergreifenden Netzwerkgeräten ist es nicht immer möglich, das gesamte Netzwerk gegen unbefugten physikalischen Zugriff abzusichern. Um trotzdem die Datenübertragung wirksam zu schützen, muss diese verschlüsselt werden. Leider sind Verschlüsselung auf Applikations-Level sowie Schlüsselaustausch über sichere Verfahren prinzipbedingt aufwändig und oft fehleranfällig.

Ein weiteres Problem für die Kommunikationsverschlüsselung ist die Prozessgeschwindigkeit. Im Allgemeinen sind längere Schlüssel sicherer, brauchen aber auch länger für die Ver- und Entschlüsselung. In zeitkritischen industriellen Prozessen darf es jedoch keine Kompromisse zwischen Sicherheit oder Geschwindigkeit geben.

Die Switch-Serien RHG7628 (hier das Datenblatt) und EHG2408 (hier das Datenblatt) von ATOP bieten als Plug-and-Play-Lösungen schnelles, zuverlässiges Netzwerk-Switching mit erhöhter Netzwerksicherheit durch MACsec-Verschlüsselung. Zur Bereitstellung von echter Punkt-zu-Punkt-Sicherheit auf Ethernet-Verbindungen zwischen den Knoten nutzt MACsec den GCM-AES-Algorithmus, um ein Security-Tag (SecTAG) und einen Message Authentication Code (ICV) zu einem Ethernet-Frame hinzuzufügen. Die Verschlüsselung erfolgt bereits auf einer der unteren Protokollschichten und ist damit für höhere Layer transparent. Das jeweilige Datenpaket wird über einen unidirektionalen, sicheren Kanal, der ausschließlich zwischen sendendem und empfangendem Knoten etabliert wird, übertragen. Die verwendeten Schlüssel jedes sicheren Kanals ändern sich dynamisch.

MACsec frame

Das dem einzelnen Frame hinzugefügte SecTAG enthält unter anderem eine Assoziationsnummer, die dem sicheren Assoziationsschlüssel zugeordnet ist, um den Absender zu authentifizieren. Eine eindeutige fortlaufende Paketnummer dient als Initialisierungsvektor für die Verschlüsselung auf der Senderseite sowie zur Absicherung auf der Empfängerseite, dass jedes Paket nur einmal gesendet wird. Der ICV ermöglicht es dem Empfänger, die Paketintegrität zu überprüfen und Modifikationen der Daten auf der Strecke zu vermeiden.

Somit können MACsec Verbindungen Netzwerke vor einer ganzen Reihe von Sicherheitsbedrohungen schützen, einschließlich Intrusion, Man-in-the-Middle Attacken, Maskierung, passives Abhören und Playback-Angriffe.

Da die MACsec-Verschlüsselung in Atop Switches hardwarebasiert in Wire-Speed arbeitet, wird der Datenübertragung im Netz durch die Verschlüsselung keine zusätzliche Latenz hinzugefügt.

 

Der EHG2408 ist in zwei Varianten erhältlich, die Standardvariante ohne SFP-Ports direkt bei uns im Shop: EHG2408 – Bei größeren Stückzahlen oder anderen Anforderungen unterbreiten wir Ihnen gerne ein Angebot.

 

Wie Sie mit Netzwerkprodukten von Atop auch Ihre Anwendungen schützen können, erfahren Sie direkt bei tekmodul, schreiben Sie uns.