Ethernet-Verschlüssler: Die ganze Übersicht

Immer mehr mittelgrosse und grosse Firmen und staatliche Organisationen setzen auf Ethernet, um Standorte zu vernetzen. Doch der Datenverkehr auf Ethernet-basierten Glasfasernetzwerken muss zwingend verschlüsselt werden. Wir publizieren hier die völlig überarbeitete Marktübersicht über Layer-2-Verschlüssler.
 
Egal, was Ihnen Ihr Telekommunikationsdienstleister verspricht: Netzwerke sind unsicher - zumindest solange die Daten, die über Netzwerke transportiert werden, nicht verschlüsselt sind. Deshalb vergleichen Telekommunikationsdienstleister (Carrier) die versprochene Sicherheit im Kleingedruckten ihrer Angebote auch immer mit der Sicherheit einer unverschlüsselten Mietleitung. Unverschlüsselt ist aber nichts anderes als eine nette Umschreibung für "offen wie ein Scheunentor".
 
Und anders als man annehmen könnten, sind auch Verbindungen über VPN (Virtual Private Network) nicht einfach "sicher". Der Begriff VPN steht schliesslich nur für eine virtuelle Mietleitung und nicht für ein geschütztes, sicheres Netzwerk. Wie einfach es ist, fiberoptische Netzwerke zu finden und "anzuzapfen" zeigen zwei unterhaltsame Videos, die der Genfer Security-Spezialist ID Quantique veröffentlicht hat.
 
Metro- und Carrier-Ethernet immer beliebter
Mit Netzwerken basierend auf Metro und Carrier Ethernet Services senkt man Kosten und Komplexität und gewinnt gleichzeitig Performance und granulare Skalierbarkeit. Diese Infrastruktur bleibt aber ohne Schutz durch Verschlüsselung unsicher. Die meisten Verschlüsselungslösungen lassen sich problemlos in bestehende und neue Infrastrukturen einbinden. Sie erlauben zudem "Linienkonsolidierung" im Access-Bereich: Virtuelle Private Netzwerke auf Layer 2 (Ethernet), Layer 2.5 (MPLS), Layer 3 (IP) und Layer 4 (SSL) können damit auf einer einzigen Zugangsleitung koexistieren, womit Kosten und Komplexität abgebaut werden können.
 
Entsprechend rasant wächst der Markt für Dienstleistungen mit Metro und Carrier Ethernet Netzwerken. Der US-Marktforscher Yankee Group geht zum Beispiel von einer Verdreifachung der Umsätze im Metro und Carrier Ethernet Bereich in Nordamerika von 4,3 auf 11,5 Milliarden Dollar von 2010 bis 2015 aus. Während alle Kundensegmente ein starkes Wachstum vorweisen sollen, bleiben die grösseren Firmen (> 500 Mitarbeiter) mit 70% die wichtigste Kundengruppe. Mittelgrosse Unternehmen (100 - 500 Mitarbeiter) stellen mit 21% das zweitgrösste Kundensegment, während kleine Unternehmen ( < 100 Mitarbeiter) nur rund 9% des Umsatzes generieren werden. Auch ausserhalb von Nordamerika wächst der Markt zügig, was angesichts der finanziellen und operationellen Vorteile und des zunehmenden Angebots auch nicht weiter erstaunt.
 
Unterschiedliche Ansätze der Absicherung
Firmennetzwerke können auf zwei verschiedene Arten betrachtet werden. Beim ersten Ansatz ist das Netzwerk ein grenzenloses Netz für alle Firmenangehörigen und die Firmeninfrastruktur, sozusagen ein Netz für alle und alles. Dieser Ansatz trennt im Extremfall auch nicht mehr zwischen unterschiedlichen Standorten und Nutzergruppen.
Beim zweiten Ansatz ist das Netzwerk ein Verbund lokaler Netze und Infrastrukturen, bei der die lokalen Netze und Infrastrukturen jeweils eigene Einheiten bilden und in sich sicher sind. Die Verbindung zwischen diesen lokalen Einheiten ist dann wiederum getrennt geschützt und in sich selbst sicher. Diese Trennung in Infrastruktur-, Plattform- und Applikations-Schutz bringt nicht nur mehr Sicherheit, sondern auch mehr Flexibilität.
 
Paradigmawechsel wegen Virtualisierung im RZ
Die Virtualisierung Im Rechenzentrum führt zu einem teilweisen Paradigmenwechsel. Teilweise, weil die Netzwerkinfrastruktur ausserhalb der Rechner immer noch real und nicht virtuell ist. Wo sich mehrere Kunden gleichzeitig in einer Cloud-Umgebung RZ-Ressourcen teilen, so sind diese oft nur noch virtuell getrennt. In einer virtuellen Umgebung mit virtuellen Rechnern, virtuellem Speicher und virtuellem I/O lässt sich zusätzliche Netzwerk-Hardware nur schlecht platzieren. Stattdessen können in einem solchen Umfeld virtuelle Appliances verwendet werden, die sich problemlos in virtuelle Umgebungen einschlaufen lassen. Auf diese Thematik werden wir in einem separaten Artikel Ende Mai / Anfang Juni eingehen.
 
Der Markt für Ethernet-Verschlüssler: Die Übersicht
Wie in den letzten beiden Jahren, bringen wir auch 2011 für unsere Leser exklusiv eine aktuelle Marktübersicht der verfügbaren Ethernet-Verschlüssler. Wie bisher bleiben MacSec-basierte Lösungen aussen vor, da MacSec für die Absicherung standortinterner Netzwerke entwickelt wurde und für standortübergreifende Netzwerke ziemlich ungeeignet ist. Cisco?s Lösung basiert auf MacSec und ist deshalb auf Hop-to-Hop-Szenarien beschränkt. Anstatt eine native Lösung auf Layer 2 zu entwickeln, hat sich Cisco dazu entschlossen, den ganzen Ethernet-Frame über IP zu transportieren, das wiederum über Ethernet transportiert wird. Das Resultat ist Ethernet über IP über Ethernet. Cisco bezeichnet dies als Overlay Transport Virtualization (OTV). Trotz des vielversprechenden Namens ist dies ein ineffizienter Weg, um die Wahl des falschen Verschlüsselungsansatzes zu kompensieren. Über 80 Bytes Overhead (bei Transport über IPv4) für die Verschlüsselung sind einfach zu viel. Native Lösungen sind effizienter und auf die Dauer kostengünstiger.
 
Da die ersten zwei Versionen der Marktübersichten und der Einführungstexte von Interessierten aus der ganzen Welt heruntergeladen wurden, bieten wir nun die Einführungstexte wie auch die Marktübersicht in deutscher und englischer Sprache an. (Christoph Jaggi / Redaktion)
 
Introduction / Einführung (in englisch und deutsch)
 
Ethernet Encryption
Introduction: Protecting Virtual Private Networks and LAN Extensions: Layer 2 vs. Layer 3
 
Ethernet Verschlüsslung
Einführung - Der Schutz von virtuellen privaten Netzwerken und von LAN-Erweiterungen: Layer 2 vs. Layer 3.
 
Market Overview / Marktübersichten
 
Market Overview Ethernet Encryptors P2P (english)
 
Market Overview Ethernet Encryptors Multipoint (english)
 
Marktübersicht Punkt-zu-Punkt Ethernet Verschlüssler (deutsch)
 
Marktübersicht Multipunkt Ethernet Verschlüssler (deutsch)
 
(Illu: Screenshot aus dem Marketing-Film von ID Quantique "How to find an optical fibre cable", in dem demonstriert wird, wie man völlig unbehelligt an die modernen Datenautobahnen, die Glasfasern, herankommt.)