Wie wähle ich den richtigen Ethernet-Verschlüssler?

8. Januar 2015, 10:08
  • security
  • verschlüsselung
image

Seit Jahren untersucht Gastautor Christoph Jaggi den immer wichtier werdenden Markt für Ethernet-Verschlüssler. Nun gibt es zum ersten Mal eine praxisnahe Evaluationshilfe.

Metro und Carrier Ethernet setzt sich immer mehr als bevorzugte Lösung für Metroplitan Area Networks (MAN) und Wide Are Networks (WAN) durch. Einfachheit, Leistungsfähigkeit und tiefere Kosten – kombiniert mit zunehmender Verfügbarkeit und verbesserter Interoperabilität – sind die entscheidenden Faktoren. Metro und Carrier Ethernet verfügen aber über keine eingebaute Sicherheit. Deshalb braucht und gibt es Sicherheitslösungen, welche Ethernet nativ unterstützen: Ethernet-Verschlüssler. Eine Einführung in Ethernet-Verschlüsselung für Metro und Carrier Ethernet ist hier als PDF verfügbar. (Klick öffnet 19-MB-PDF)
Nur native Ethernet-Verschlüssler sind echte Ethernet-Verschlüssler
Nicht alles, was als Ethernet-Verschlüssler vermarktet wird, ist ein nativer Ethernet-Verschlüssler. Transportiert man Ethernet (Layer 2) mittels eines Klimmzugs über IP (Layer 3), so ist Ethernet IP-Nutzlast und kann mittels IPSec verschlüsselt werden. Das ist allerdings ziemlich ineffizient und verringert die Leistung des MANs oder WANs.
Um die Sache noch komplizierter zu machen gibt es mit MACSec einen IEEE-Standard zur Verschlüsselung von lokalen Ethernet-Netzwerken. Für MANs und WANs ist dieser allerdings eher der Kategorie „Unbrauchbar“ zuzuordnen. Schliesslich kommt es kaum jemandem in den Sinn, Pantoffeln als geeignetes Schuhwerk für lange Wanderungen zu bezeichnen. Innerhalb einer Wohnung oder eines Hauses sind sie aber durchaus angebracht. Gleich verhält es sich bei MACSec im Vergleich zu brauchbaren und effizienten Lösungen. Bei MACSec fehlt es an vielem und speziell Schlüsselverwaltung, Verschlüsselungsmodi und die Unterstützung von Verschlüsselungsoffsets genügen den Anforderungen von Metro und Carrrier Ethernet nicht im geringsten. Für Metro und Carrier Ethernet-Netzwerke macht eine Hop-to-Hop-Verschlüsselung schlichtwegs keinen Sinn. Benötigt wird vielmehr eine End-to-End-Verschlüsselung, denn das Ziel ist, die Verbindung zwischen den Standorten komplett abzusichern. Deshalb scheidet MACSec in praktisch allen Fällen von vornherein als Lösung aus. Eine Ausnahme bilden die raren Konstellationen, in denen gilt: Hop = End. Da aber MACSec nur den Transport Modus kennt, bietet es auch in solch einem einfachen Szenario deutlich weniger Sicherheit als eine ausgereifte Ethernet-Verschlüsselung,
Komplexe Evaluationen
Die Evaluation von Ethernet-Verschlüsslern ist komplex. Netzwerkverschlüssler sind bi-funktional: Auf der einen Seite handelt es sich um Sicherheitsgeräte und auf der anderen Seite um Netzwerkgeräte. Ein Ethernet-Verschlüssler ist Verschlüssler und Switch in einem. Entsprechend hoch sind auch die Anforderungen. Vorzugsweise unterstützen sie sowohl die verwendete Netzwerkinfrastruktur als auch den vorgesehenen Verwendungszweck. Entscheidend dafür ist eine Kombination aus Hardware und Software, die eng miteinander verzahnt ist. Es kommt nicht nur darauf an, welche Funktionalität geboten wird, sondern auch, wie sie implementiert ist. Ein guter Ethernet-Verschlüssler bietet nicht nur Sicherheit für den Datenverkehr, sondern ist auch ein vollwertiges und sicheres Netzwerkgerät. Virtuelle Appliances scheiden deshalb in den meisten Fällen aus.
Unterschiedliche Kunden – unterschiedliche Anforderungen
Unterschiedliche Kunden haben unterschiedliche Anforderungen. Ein Ethernet-Verschlüssler kann für einen Teil der Kunden sämtliche vorhandenen und absehbaren Anforderungen erfüllen, während er die Anforderungen anderer Kunden nicht abzudecken vermag. Insofern gibt es nicht den besten Ethernet-Verschlüssler, sondern nur Ethernet-Verschlüssler, welche unterschiedliche Anforderungen abdecken. Diese Anforderungen betreffen einerseits die Netzwerkunterstützung und Netzwerkfunktionalität und andererseits die Sicherheit. Es gibt zum Beispiel erstaunlicherweise auch heute noch Kunden, bei denen authentisierte Verschlüsselung im Anforderungsprofil fehlt. Falls jemand wirklich darauf verzichten möchte, so ist das die Ausnahme und nicht die Regel. Für Dienstleister, die Verschlüsselung als Managed Service anbieten, sieht die Sachlage allerdings anders aus. Der Grund dafür liegt in den unterschiedlichen Kunden mit unterschiedlichen Anforderungen. Für Anbieter von Managed Encryption und Managed Security ist die Auswahl entsprechend eingeschränkt. (Christoph Jaggi)
Mit der 46-seitigen PDF-Broschüre gibt Gastautor Christoph Jaggi ein Werkzeug für die Evaluation von Ethernet-Verschlüsslern in die Hand. Er erklärt die wichtigsten Prinzipien und Begriffe zum Thema und bietet mit der Checkliste allen, die sich mit der Verschlüsslung des Datenverkehrs auf MANs und WANs beschäftigen, praktische Unterstützung. Die Broschüre kann hier kostenlos heruntergeladen werden.

Loading

Mehr zum Thema

image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022
image

Deutschland testet Warnsystem Cell Broadcast

Die Schweiz spricht seit einem Jahr davon – passiert ist allerdings noch nichts. Andere EU-Staaten haben das System schon produktiv im Einsatz.

publiziert am 7.12.2022
image

Studie: Cyber-Erpressung dominiert die Bedrohungslandschaft

Laut dem "Security Navigator 2023" sind KMU und die Fertigungsindustrie am häufigsten betroffen.

publiziert am 6.12.2022
image

Spital muss nach Cyber­angriff Patienten verlegen

Ein Cyberangriff stellt den Betrieb in einem französischen Kranken­haus auf den Kopf. Operationen mussten abgesagt werden und es wurde zusätzliches Personal benötigt.

publiziert am 6.12.2022