Daten­si­cher­heit, Stabi­lität und Leis­tung durch “GET-VPN”

Seit einem Vier­tel­jahr­hun­dert gelten Multi­pro­tocol-Label-Swit­ching-Vernet­zungen (MPLS) als Stan­dard, wenn es um provi­der­sei­tige Vernet­zungs­lö­sungen geht. Sie bringen viele Vorteile mit sich: Durch die MPLS-Technik lässt sich eine Viel­zahl an VPN-Verbin­dungen herstellen (any-to-any). Den IP-Daten­pakten werden Labels zuge­wiesen, sodass Router die Pakete über die opti­male Route im Netz weiter­leiten können. Die Verbin­dung wird stabiler und leistungsstärker.

Dafür muss die MPLS-Platt­form des Provi­ders den IP-Header der Pakete auslesen, um auf Basis der Ziel-IP-Adresse eine Routing-Entschei­dung zu treffen. Die Platt­form des MPLS-Provi­ders kann außerdem auch Quality-of-Service-Markie­rungen (QoS) auslesen und auf diese entspre­chend reagieren. Beson­ders bei der Über­tra­gung von kriti­schen Echt­zeit­daten ist MPLS eine gute Lösung.

Wenn Unter­nehmen spezi­elle Sicher­heits­richt­li­nien einhalten müssen, dann ergibt sich oft die Anfor­de­rung, MPLS-Traffic verschlüs­selt zu über­tragen. Um auf der Basis von verschlüs­selten IP-Paketen ein IP-Routing auszu­führen und eine provi­der­sei­tige QoS-Imple­men­tie­rung zu nutzen, gibt es diverse Ansätze.

Die bekann­teste Methode, um diese Aufgabe zu lösen, ist die „Group-Encryp­tion-Trans­port-VPN“ – kurz auch „GET-VPN“. Im Vergleich zu einem VPN-Tunnel, in dem die privaten Adressen des IP-Paketes verschlüs­selt im Tunnel vor dem Inter­net­pro­vider versteckt werden, wird bei „GET-VPN” der innere IP-Header mit allen Infor­ma­tionen - wie Source- und Desti­na­tion-Adressen sowie QoS-Markie­rungen - unver­än­dert in den äußeren Header des IPsec-Paketes kopiert. Damit behält das verschlüs­selte Paket alle Eigen­schaften des Headers.

Die MPLS-Platt­form des Provi­ders ist weiterhin in der Lage, diese IP-Pakete auf dem kürzesten Weg zum Ziel­standort weiter­zu­leiten und eine Paket­prio­ri­sie­rung auf Basis der DSCP-Werte des Headers zu betreiben. Auf Sicher­heit und Inte­grität muss dabei aber nicht verzichtet werden – das wird durch den Einsatz von Kryp­to­gra­phie erreicht.

Mit den Cisco-Routern der ISR- und ASR-Familie kann „GET-VPN” unter Einsatz der entspre­chenden Sicher­heits-Lizenz einfach einge­setzt werden. Aller­dings wird ein zentraler Zerti­fi­kats­server benö­tigt, der die RSA-Keys für alle teil­neh­menden VPN-Router bereitstellt.

 

© Bild­nach­weis: Pexels by Marek Levak