Wie wähle ich den richtigen Ethernet-Verschlüssler?

Seit Jahren untersucht Gastautor Christoph Jaggi den immer wichtier werdenden Markt für Ethernet-Verschlüssler. Nun gibt es zum ersten Mal eine praxisnahe Evaluationshilfe.
 
Metro und Carrier Ethernet setzt sich immer mehr als bevorzugte Lösung für Metroplitan Area Networks (MAN) und Wide Are Networks (WAN) durch. Einfachheit, Leistungsfähigkeit und tiefere Kosten – kombiniert mit zunehmender Verfügbarkeit und verbesserter Interoperabilität – sind die entscheidenden Faktoren. Metro und Carrier Ethernet verfügen aber über keine eingebaute Sicherheit. Deshalb braucht und gibt es Sicherheitslösungen, welche Ethernet nativ unterstützen: Ethernet-Verschlüssler. Eine Einführung in Ethernet-Verschlüsselung für Metro und Carrier Ethernet ist hier als PDF verfügbar. (Klick öffnet 19-MB-PDF)
 
Nur native Ethernet-Verschlüssler sind echte Ethernet-Verschlüssler
Nicht alles, was als Ethernet-Verschlüssler vermarktet wird, ist ein nativer Ethernet-Verschlüssler. Transportiert man Ethernet (Layer 2) mittels eines Klimmzugs über IP (Layer 3), so ist Ethernet IP-Nutzlast und kann mittels IPSec verschlüsselt werden. Das ist allerdings ziemlich ineffizient und verringert die Leistung des MANs oder WANs.
 
Um die Sache noch komplizierter zu machen gibt es mit MACSec einen IEEE-Standard zur Verschlüsselung von lokalen Ethernet-Netzwerken. Für MANs und WANs ist dieser allerdings eher der Kategorie „Unbrauchbar“ zuzuordnen. Schliesslich kommt es kaum jemandem in den Sinn, Pantoffeln als geeignetes Schuhwerk für lange Wanderungen zu bezeichnen. Innerhalb einer Wohnung oder eines Hauses sind sie aber durchaus angebracht. Gleich verhält es sich bei MACSec im Vergleich zu brauchbaren und effizienten Lösungen. Bei MACSec fehlt es an vielem und speziell Schlüsselverwaltung, Verschlüsselungsmodi und die Unterstützung von Verschlüsselungsoffsets genügen den Anforderungen von Metro und Carrrier Ethernet nicht im geringsten. Für Metro und Carrier Ethernet-Netzwerke macht eine Hop-to-Hop-Verschlüsselung schlichtwegs keinen Sinn. Benötigt wird vielmehr eine End-to-End-Verschlüsselung, denn das Ziel ist, die Verbindung zwischen den Standorten komplett abzusichern. Deshalb scheidet MACSec in praktisch allen Fällen von vornherein als Lösung aus. Eine Ausnahme bilden die raren Konstellationen, in denen gilt: Hop = End. Da aber MACSec nur den Transport Modus kennt, bietet es auch in solch einem einfachen Szenario deutlich weniger Sicherheit als eine ausgereifte Ethernet-Verschlüsselung,
 
Komplexe Evaluationen
Die Evaluation von Ethernet-Verschlüsslern ist komplex. Netzwerkverschlüssler sind bi-funktional: Auf der einen Seite handelt es sich um Sicherheitsgeräte und auf der anderen Seite um Netzwerkgeräte. Ein Ethernet-Verschlüssler ist Verschlüssler und Switch in einem. Entsprechend hoch sind auch die Anforderungen. Vorzugsweise unterstützen sie sowohl die verwendete Netzwerkinfrastruktur als auch den vorgesehenen Verwendungszweck. Entscheidend dafür ist eine Kombination aus Hardware und Software, die eng miteinander verzahnt ist. Es kommt nicht nur darauf an, welche Funktionalität geboten wird, sondern auch, wie sie implementiert ist. Ein guter Ethernet-Verschlüssler bietet nicht nur Sicherheit für den Datenverkehr, sondern ist auch ein vollwertiges und sicheres Netzwerkgerät. Virtuelle Appliances scheiden deshalb in den meisten Fällen aus.
 
Unterschiedliche Kunden – unterschiedliche Anforderungen
Unterschiedliche Kunden haben unterschiedliche Anforderungen. Ein Ethernet-Verschlüssler kann für einen Teil der Kunden sämtliche vorhandenen und absehbaren Anforderungen erfüllen, während er die Anforderungen anderer Kunden nicht abzudecken vermag. Insofern gibt es nicht den besten Ethernet-Verschlüssler, sondern nur Ethernet-Verschlüssler, welche unterschiedliche Anforderungen abdecken. Diese Anforderungen betreffen einerseits die Netzwerkunterstützung und Netzwerkfunktionalität und andererseits die Sicherheit. Es gibt zum Beispiel erstaunlicherweise auch heute noch Kunden, bei denen authentisierte Verschlüsselung im Anforderungsprofil fehlt. Falls jemand wirklich darauf verzichten möchte, so ist das die Ausnahme und nicht die Regel. Für Dienstleister, die Verschlüsselung als Managed Service anbieten, sieht die Sachlage allerdings anders aus. Der Grund dafür liegt in den unterschiedlichen Kunden mit unterschiedlichen Anforderungen. Für Anbieter von Managed Encryption und Managed Security ist die Auswahl entsprechend eingeschränkt. (Christoph Jaggi)
 
Mit der 46-seitigen PDF-Broschüre gibt Gastautor Christoph Jaggi ein Werkzeug für die Evaluation von Ethernet-Verschlüsslern in die Hand. Er erklärt die wichtigsten Prinzipien und Begriffe zum Thema und bietet mit der Checkliste allen, die sich mit der Verschlüsslung des Datenverkehrs auf MANs und WANs beschäftigen, praktische Unterstützung. Die Broschüre kann hier kostenlos heruntergeladen werden.
 
If you prefer english: Here you can download the free PDF-booklet Evaluation Guide for Carrier and Metro Ethernet.