07.05.2021 | Ausgabe 5/2021

KVM-over-IP: Sicherheitsaspekte für IP-basierte Produktionen

Geräte- und Netzwerksicherheit sind wichtige Aspekte beim KVM-over-IP. Bild: Guntermann & Drunck GmbH

KVM-Systeme sind tief im Broadcast verwurzelt und liefern eine optimale Basis für flexibles, verteiltes Schalten von Rechnersignalen. Sie werden sehr erfolgreich in zahlreichen Bereichen wie zum Beispiel in OB Vans, in Studios, in der Post-Production und in Broadcast Control Rooms entlang des gesamten Workflowprozesses vom Ingest bis hin zum Playout eingesetzt.

Man unterscheidet grundsätzlich zwischen klassischen KVM-Systemen und KVM-over-IP. Ein Trend, der seit Jahren beobachtet werden kann, ist der kontinuierliche Wandel zu mehr IP-basierten Systemen. IP-Strukturen sind flexibel und leicht skalierbar. Sie bieten hohe Bandbreiten, um die Kollaboration entlang der Broadcast-Kette zu unterstützen, aber auch um das Projektmanagement insgesamt auf eine neue Ebene zu heben. IP-basiertes KVM verhilft zu einer sehr hohen Flexibilität in der Anwendung, jedoch kann man generell sagen: Sicherheitsrisiken steigen mit IP. Daher ist die Sicherheit von IP-basierten Systemen und Netzwerkstrukturen von zentraler Bedeutung.

Bei klassischen, proprietären (KVM-) Systemen ist in der Regel ein physikalischer Zugriff notwendig, um etwas manipulieren zu können, zum Beispiel aktiv weitere Geräte einzubinden. Mit dem Einzug von immer mehr IP-Technologie in den Arbeitsalltag hat sich das grundlegend geändert. Hier stellt ein Zugriff von außen über das Internet oder auch intern über den typischerweise einfacheren Zugang zum Netzwerk die größere Gefahr dar. Mit entsprechender Software oder Betriebssystemen ist es durchaus möglich, das komplette interne Netzwerk nach sogenannten Sicherheitslücken abzuscannen. Meistens wird als Ziel eines solchen Angriffs das schwächste Glied in der Kette anvisiert und attackiert. Dies können zum Beispiel sogenannte „Man-in-the-Middle“-Attacken sein, wo der komplette Netzwerkverkehr an einen „Dritten“ weitergegeben wird. Daher sind Netztrennung und Netzsegmentierung ein wichtiges Werkzeug, um die eigentliche Anwendung vor Cyber-Angriffen zu schützen.

G&D nutzt für seine KVM-over-IP-Systeme zwei verschiedene Sicherheitsports, um hochkritische Daten im IP-Netzwerk über VPN-Tunnel zu übertragen.
G&D nutzt für seine KVM-over-IP-Systeme zwei verschiedene Sicherheitsports, um hochkritische Daten im IP-Netzwerk über VPN-Tunnel zu übertragen. // Bild: Guntermann & Drunck GmbH

Gerade bei sensiblen Broadcast-Anwendungen wie Live-Übertragungen ist die Bedeutung der Sicherheit entsprechend noch höher einzustufen und die Sicherheitsmechanismen deutlich wichtiger. Hier sind die typischen Netzwerkmechanismen die Nutzung von VPN, VLANs oder sichere Verschlüsselungen von außerordentlicher Bedeutung, um Zugriffe einzugrenzen. Noch kritischer als das „Mitlesen“ von Broadcast-Content ist das Sniffen von Eingabedaten, insbesondere Tastatur (Logins, Passwörter etc.), zu bewerten. Eine sichere Verschlüsselung ist an dieser Stelle absolut unerlässlich (AES 128 oder AES 256 als sicherer Standard) sowie auch der regelmäßige Austausch des Sicherheitsschlüssels, damit dieser nicht im Zeitablauf ausgelesen werden kann. Ein Austausch in möglichst kurzen Abständen ist zwingend notwendig. Um seine KVM-over-IP-Anlage konsistent abzusichern, empfiehlt daher Guntermann und Drunck (G&D) als erfahrener KVM-Hersteller weiterhin Funktionen wie das UID-Locking, welches festlegt, welcher Gerätepool zur Anlage gehört, sodass keine weiteren (KVM-)Endgeräte hinzugefügt oder abgeändert werden können.

Ein weiterer wichtiger Aspekt ist die Gerätesicherheit auf der Benutzerseite. KVM-Endgeräte von G&D speichern keine Informationen ab. Es ist also nicht möglich, ein physikalisch entwendetes Gerät auszulesen, um zwischengespeicherte Anmeldedaten zu erhalten. Zudem haben sogenannte „Keylogger“ keine Funktion an den Tastatur- und Mausschnittstellen von G&D-Geräten. Optionale USB 2.0-Datenverbindungen können über ein intelligentes Benutzermanagement auf Hardwareebene deaktiviert werden.

Zwei verschiedene Ports
G&D verwendet für seine KVM-over-IP-Systeme zwei verschiedene Ports für die Übertragung aller hochkritischen Daten im IP-Netzwerk über einen VPN-Tunnel.

Der erste Port, welcher von allen KVM-Endgeräten zur KVM-Matrix ControlCenter-IP (CC-IP) aufgebaut wird, ist der sogenannte „Control-Port“. Hier wird mittels eines selbstentwickelten Authentification-Plugins die Kommunikation der Endgeräte mit der KVM-over-IP-Matrix ausgehandelt. Dieser Port wird auch für den Austausch der jeweiligen Sicherheitsschlüssel, welche vom ControlCenter-IP für jedes einzelne Endgerät generiert wird, genutzt. Der zweite Port nennt sich „Communication-Port“: Tastatur und Mausdaten werden beim KVM-over-IP von G&D über einen separaten Port von einer CPU (Rechner-Anschlussmodul) über den ControlCenter-IP zur CON (Arbeitsplatz-Anschlussmodul) übertragen. Bei dieser Technologie werden die Tastatur und Mausdaten extra von den eigentlichen Broadcast-Daten getrennt, um sogenannte „Man-in-the-Middle“-Attacken entgegenzuwirken. Wird die Ziel-IP-Adresse oder der VPN-Tunnel kompromittiert, fahren die KVM-Endgeräte, sowie das Matrix-System in den Sicherheitsmodus und stoppen die Übertragung der Daten.

Die Verschlüsselungen basieren auf dem Advanced Encryption Standard (AES). Der von G&D verwendete Algorithmus hat also eine Schlüssellänge von 128 Bit, d. h. es gibt 2^128 (= 340.282.366.920.938.463.463.374.607.431.768.211.456) verschiedene Schlüssel. Die Zeit, um alle verschiedenen Tasten mit einem Supercomputer auszuprobieren, beträgt 1,02*10^18 Jahre.

Sensible Informationen wie Anmeldeinformationen und Passwörter werden dauerhaft verschlüsselt in der Datenbank des Matrix-Systems ControlCenter-IP gespeichert. Diese Datenbank ist in dem Betriebssystem von G&D implementiert, TPM geschützt und basiert zudem auf einem Hardware-Raid. Mögliche Modifikationen der Firmware können frühzeitig erkannt werden, was zu einer Unterbrechung des Bootvorgangs führt. Manipulationsversuche, wie zum Beispiel das Einschmuggeln eines Keyboard-Sniffers, werden verhindert.

www.gdsys.de


 

Newsletter
Ja, ich möchte den Newsletter von FKT abonnieren