force10networks

Echtzeit-Überwachung des Netzverkehrs

01.06.2006

Bis zu 16 Server pro Überwachungseinheit analysieren für den US-Militärgeheimdienst NSA pro Sekunde bis zu zwei Gigabyte an Daten von internationalen Carriern. Unerwünschte Datenströme lassen sich zudem mittels neuester Monitoring-Tools bremsen oder auch komplett stoppen.

Die Beteuerungen der von der NSA-Überwachungsaffäre betroffenen US-Telekoms AT&T, Verizon und BellSouth, sie hätten keinesfalls Daten ihrer Kunden an den Geheimdienst weitergegeben, entsprechen tatsächlich dem Sachverhalt.

Eine Weitergabe war auch gar nicht nötig, die NSA holt sich die Daten nämlich selber ab.

Die genannten US-Telekoms hatten den US-Militärgeheimdienst bis in das Allerheiligste jedes Netzwerkers vordringen lassen - zu den zentralen Core-Switches, die den gesamten Datenverkehr an der -"Backbone" genannten - Datenschlagader kontrollieren.

Einfache Kopie der Datenströme

Dort werden die Datenströme schlicht und einfach auf eine zweite Glasfaserleitung kopiert und dann an die neu errichteten, NSA-eigenen Serverparks unweit der Datenzentren weitergeleitet und verteilt.

Das entspricht den Aussagen des abgesprungenen AT&T-Technikers Mark Klein, der die Affäre ins Rollen brachte.

Streitwert 200 Mrd. Dollar

Die Aussagen Kleins, auf denen mittlerweile Klagen gegen die genannten Telekoms im Gesamtstreitwert von 200 Milliarden Dollar basieren, haben geheime NSA-Überwachungszentralen, die an so genannte Glasfaser-Splitter bei AT&T und anderen angeschlossen sind, zum Inhalt.

In Kleins Liste der Ausrüster findet sich zwar unter anderem die Firma Narus, allerdings ist von deren Überwachungssystem nicht sehr viel mehr bekannt, als dass es den in Großrechenzentren mittlerweile üblichen Datenverkehr von 10 GBit/s nahe an Echtzeit analysieren kann.

Anmerkung zu den Grafiken

ORF.at liegt nun eine Powerpoint-Präsentation einer Firma namens Force10 Networks für ein Hochleistungs-Überwachungssystem von Datenzentren vor, das am 6. Juni im Hauptquartier der NSA in Fort Meade präsentiert wird [siehe weiter unten].

Bei den den folgenden Bildern handelt es sich um Ausschnitte bzw. Screenshots aus einer 31 Folien umfassenden, offiziellen Produktpräsentation von Force10 Networks.

Abgreifen an der Glasfaser

Die vom Hersteller als "Sicherheitsinnovation" gepriesene "P-Serie - hochperformante Inspektions- und Vorbeugungsanwendungen", die auf einem "gehärteten Linux" laufen, greifen den Datenverkehr nämlich direkt an der Glasfaser zwischen den zentralen Switches in den Daten-Centers ab.

Force10 Networks

http://www.force10networks.com/

"Taps" = "Splitter" = Anzapfung

Über einen Splitter wird der gesamte Paketverkehr in Echtzeit dupliziert auf einen Server-Cluster verteilt, der - pro Einheit -bis zu 16 Rechner umfassen kann.

Dort werden die Daten weggeschrieben und nahe an Echtzeit analysiert. Da eine Einheit der P-Series auf beiden Ports insgesamt 20 GBit/s verarbeiten kann, fallen - in Speicherplatz gerechnet -pro Sekunde Datenmengen zwischen ein und zwei Gigabyte zur Verarbeitung und Analyse an.

=="High Speed Security"==

Was unter "High Speed Security" verstanden wird, listet die Präsentation auch sehr klar auf. Um der "gesetzeskonformen Überwachung" zu entsprechen, heißt es in der Produktpräsentation von Force10, sei eben "nicht entdeckbares Netzwerk-Monitoring" in Echtzeit der kritische Punkt.

Da die Force10-Switches hinter den Splittern eben nicht im Netz des jeweiligen Datenzentrum-Betreibers hängen, sondern parallel dazu geschaltet werden, ist eine Beeinträchtigung des regulären Verkehrs ausgeschlossen: Für den Fall, dass sich die Überwachungsanlage einmal überfrisst und in der Folge mit dem Filtern ins Hintertreffen gerät, kann sie das Netzwerk selbst nicht bremsen.

Ahnungslose Internet-Provider

Dazu kommt, dass weder Internet-Provider noch Firmen, die direkt an die zentralen Internet-Exchanges angebunden sind, bemerken, dass ihr gesamter Datenverkehr analysiert wird.

Hardware mit 224 Ports pro Rack

Die National Security Agency scheint in der Kundenliste von Force10 Networks offiziell zwar nicht auf, auf seiner Website verweist das Unternehmen jedoch auf eine Produktaufstellung am 6. Juni. Die findet im Rahmen der "NSA SIGINT Technology Exposition" im Gebäude "OPS2B" des NSA-Hauptquartiers in Fort Meade im Bundesstaat Maryland statt.

Die wichtigsten Features sind im Ausriss der Force10-Präsentation linkerhand als JPEG zu sehen. "CALEA" bezeichnet den "Communications Assistance Law Enforcement Act", ein US-Gesetz von 1994, das mit einem von einem unabhängigen Gericht unterzeichneten Durchsuchungsbefehl vergleichbar ist. "Government surveillance" hingegen steht für das Filtern kontrolliert durch die Geheimdienste.

Der Link zur NSA

Schwerpunkte der Ausstellung von Spionagegerät sind Systeme von der Art, wie sie im Überwachungsskandal bei AT&T und Verizon zum Einsatz kommen.

Besonderes Interesse widmet die Agency etwa "target selectors in meta-data and content, automated analysis, large volume data processing" und anderen Features, die sowohl die Überwachungs-Suites von Narus wie jene von Force10 Networks zu Eigen haben.

"Gehärtetes Linux"

Die Techniker von Force10-Networks wiederum können sich mit jenen der NSA dort über "gehärtetes Linux" austauschen - die dominierende Distribution heißt SE-Linux und ist eine Entwicklung aus Fort Meade, made by NSA.

(Erich Moechel)