Von VPN über SD-WAN bis MACsec – Sichere WAN Kommunikation von Ende-Zu-Ende

Kate­go­rien

nt-voip
Gruppe_THINK-Network_weiss-1
nt-webmail

Sobald die Anfor­de­rungen des Daten­schutzes oder interner Secu­rity-Poli­cies eine Verschlüs­se­lung des Daten­trans­portes über Stand­ort­grenzen erfor­der­lich machen, steht die IT bei der WAN-Vernet­zung von Unter­neh­mens­stand­orten oft vor einer Grund­satz­ent­schei­dung. Bei einzelnen Verbin­dungen, die nur eine geringe Anfor­de­rung auf Perfor­mance stellen, kommt meist ein VPN-Tunnel zwischen zwei Stand­orten zum Einsatz.

 

Der heutige De-Facto Stan­dard für Site-to-Site-VPN Tunnel ist das Proto­koll IPSec. Dort kommen Indus­trie-übliche Cryp­to­gra­phie-Mecha­nismen wie AES256 zum Einsatz, um IP-Pakete zu verschlüsseln.

Sobald das Netz­werk jedoch komplexer wird und eine Voll­ver­ma­schung nicht mehr durch das Bauen von einfa­chen Punkt-zu-Punkt-Tunneln abbildbar ist, wird hier der Einsatz eines SD-WAN inter­es­sant. Ein SD-WAN bildet ein verschlüs­seltes Overlay-Netz über ein oder mehrere darun­ter­lie­gende Trans­port­netz­werke wie ein MPLS oder das Internet ab. Durch zentra­li­sierte SD-WAN-Controller und Methoden zur Auto­ma­ti­sie­rung werden Tunnel bedarfs­ge­recht zwischen Stand­orten errichtet. Die Steue­rung des Traf­fics über die unter­schied­li­chen Trans­port­netze erfolgt eben­falls unter der Leitung des zentralen Controllers.

Bei Anfor­de­rungen, die ein beson­ders leis­tungs­fä­higes Netz erfor­dern, kommen SD-WAN-Lösungen jedoch oft an ihre Grenzen. Diese Produkte sind meist Linux-basierte Soft­ware­pro­dukte und laufen auf klas­si­scher „Off the Shelf“-Server-Hardware. Bei Band­brei­ten­an­for­de­rungen von 10GBit/s oder mehr sind diese Lösungen nicht geeignet. Hier führt der Weg unwei­ger­lich über den Einsatz einer Hard­ware-basierten Verschlüsselung.

Leis­tungs­fä­hige WAN-Kommunikation mit Band­breiten bis zu 10 GBit/s findet in den wenigsten Fällen über das Internet statt. Die Gefahr von Einbrü­chen bei der Perfo­mance, die aufgrund von Band­brei­ten­eng­pässen an soge­nannten „Peering Punkten“ zwischen zwei Inter­net­pro­vi­dern zu beobachten sind, ist nur schwer zu kontrol­lieren. Daher kommen hier meist Punkt-Zu-Punkt-Trans­port­ver­bin­dungen wie unsere „NT/Line“ Produkte zum Einsatz, die eine garan­tierte Band­breite bereit­stellen und dabei die Netz­struk­turen und Engpässe des Inter­nets umgehen.

Obwohl der Daten­transfer auf den ersten Blick nicht über das öffent­liche Internet erfolgt, ergibt eine Verschlüs­se­lung dieser privaten Kommu­ni­ka­ti­ons­ka­näle dennoch Sinn.

Aus wirt­schaft­li­chen Gründen werden solch vermeint­lich privaten Verbin­dungen meist auf der glei­chen Zugangs­platt­form produ­ziert, die auch der Produk­tion von öffent­li­chen Inter­net­an­schlüssen dient. Hier­durch entsteht ein Gefährdungspotential.

Produkte zur Hard­ware-basierten Netz­werk-Verschlüs­se­lung werden von spezia­li­sierten Unter­nehmen herge­stellt und bewegen sich häufig in einem sehr hohen Preis­seg­ment. Es gibt jedoch eine Tech­no­logie, die bereits in den Chips von hoch­wer­tigen Campus-Ethernet-Swit­ches zu finden ist – sie heißt MACsec.

Die ursprüng­liche Inten­tion von MACsec lag darin, Ethernet-Daten­kom­mu­ni­ka­tion von Switch-zu-Switch und von Client-zu-Switch zu verschlüs­seln. Hier­über wird die Inte­grität aller Geräte in einem Campus-LAN sicher­ge­stellt, da fremde Systeme nicht in das Netz einge­bracht werden können, die als Mittel für einen „Man-in-the-Middle“-Angriff oder Ähnli­ches dienen. MACsec verhin­dert jedoch auch das Mitlesen von Daten über passive Abhör­me­cha­nismen und ist somit eine geeig­nete Methode, um den Anfor­de­rungen aus Daten­schutz & Co. gerecht zu werden.

Da die ursprüng­liche Imple­men­ta­tion von MACsec das voll­stän­dige Ethernet-Frame bis auf Ziel- und Quell-MAC-Adresse verschlüs­selt, eignet es sich nicht nur dafür, um in modernen Carrier Ethernet-Netzen zum Einsatz zu kommen. Diese Netze steuern die Ziele von Traffic-Flows nicht auf Basis der Ziel-MAC-Adressen, sondern auf Basis von VLAN-Infor­ma­tionen, die im klas­si­schen MACsec verschlüs­selt werden.

Das Verfahren „WAN MACsec“, das durch das IETF als 802.1AE mitt­ler­weile stan­dar­di­siert ist, ermög­licht den Dot1Q-Header des Ethernet-Frames aus der Verschlüs­se­lung auszu­schließen. Es über­trägt diesen so, dass die Pakete auch durch moderne Hoch­leis­tung-Carrier-Ethernet-Netze über­tragen werden können.

WAN MACsec ist heute in nahezu allen modernen Carrier-Ethernet-Routern zu finden und ist somit das passende Werk­zeug, um die viel­fäl­tigen Anfor­de­rungen auf Verschlüs­se­lung zu erfüllen.

 

Inter­es­sieren Sie sich für dieses Thema oder haben Fragen? Rufen Sie uns gerne an oder schreiben Sie uns hier eine Nachricht.

 

© Bild­nach­weis: Unsplash

Noch Fragen zu den Themen Network oder VoIP?

NT/DSL

Schnelles DSL für Ihr Unternehmen

NT/Voice

Maßge­schnei­derte Telefonie-Lösungen

NT/
CONNECT

Die Lösung für alle Anforderungen

TK-Anlage/
Aste­risk

Moderne Tele­fonie auf Open-Source-Basis