So gelingt die sichere Anbindung von Außenstellen

MPLS: logische Trennung im Providernetz

Eine gängige Alternative, um Zweigstellen über ein WAN anzubinden, liegt in der erweiterten Nutzung der Service-Provider-Infrastruktur, die von sich aus eine Punkt-zu-Mehrpunkt-Kommunikation erlaubt, aber auch gleichzeitig von mehreren Kunden des Service-Providers mitbenutzt wird. Dabei stellt der Service-Provider dem Unternehmen ein in sich geschlossenes Netzwerk zur Verfügung – ein Virtuelles-Privates-Netzwerk (VPN). Virtuell deshalb, da keine für das Unternehmen dedizierte Infrastruktur benutzt wird, wie bei der Nutzung von Standleitungen. Aus Effizienzgründen stellt der Service-Provider seine Netzwerkinfrastruktur seinen gesamten Endkunden zur Verfügung. Innerhalb des Service-Provider-Netzwerks lassen sich die Datenübertragungen der einzelnen Kunden durch Nutzung spezieller Verfahren logisch voneinander trennen. Ein etabliertes Verfahren ist das Multi-Protocol-Label-Switching (MPLS), bei dem die Datenpakete eines Kunden mit einem speziellen Etikett (dem so genannten „Label“) versehen werden. Die Weiterleitung innerhalb des Service-Provider-Backbones erfolgt dann nicht mehr anhand der Ziel-IP-Adresse des Endkunden, sondern nur noch anhand des Labels.

In Bezug auf die Sicherheit stellt die logische Trennung auf der Basis von MPLS sicher, dass die Kommunikationsnetze verschiedener Endkunden streng voneinander getrennt bleiben. Auch hier müsste sich ein Angreifer also zunächst Zutritt zur Service-Provider-Infrastruktur verschaffen, um Datenübertragungen abzuhören. Dennoch ist die Sicherheit des VPNs letztlich maßgeblich vom Service-Provider und dessen Sorgfalt abhängig. Kunden sind deshalb gut beraten, auch innerhalb eines MPLS-Netzwerkes selbst für die Sicherheit ihrer Daten zu sorgen.
 
Vernetzung über das Internet: attraktiv, aber riskant

Die kostengünstigste Vorgehensweise ist die Anbindung der Außenstellen über das Internet. Und genau diese Variante wird für Unternehmen immer attraktiver. Gründe dafür sind die fallenden Preise für Internetanschlüsse sowie deren steigende Qualität, Stabilität und Bandbreite. Die größte Herausforderung bei der Nutzung des Internets als Übertragungsmedium ist das Thema Sicherheit. Dabei sind zwei Punkte zu berücksichtigen. Erstens: Der Router oder die Firewall in der Außenstelle sind für jedermann aus IP-Sicht sichtbar und stellen damit mögliche Angriffspunkte dar. Und zweitens: Die Datenpakete werden im Internet ungeschützt übertragen und sind daher anfälliger für Abhör- und/oder Störungsmaßnahmen. Der letzte Punkt lässt sich in der Regel durch die Realisierung eines VPNs über das Internet adressieren, das dem Unternehmen als in sich geschlossenes und von außen nicht einsehbares Netzwerk dient. Für die Implementierung eines VPN über das Internet stehen die weit verbreiteten Protokolle der IPsec (Internet-Protocol-Security)-Protokollfamilie zur Verfügung. Diese garantieren die Authentizität, Integrität und Vertraulichkeit der Datenübertragung. Bekannte IPsec-Protokolle sind beispielsweise AH (Authentication-Header) und ESP (Encapsulated-Security-Payload). Beide Protokolle werden zur Sicherstellung der Authentizität und Integrität der übertragenen Daten eingesetzt. Nur ESP ist aber in der Lage, die Daten zusätzlich zu verschlüsseln. In der Praxis werden in den Außenstellen die Internetanschlüsse mit IPsec-fähigen Netzwerkgeräten terminiert – üblicherweise Firewalls oder Router. Auf diesen lassen sich statisch Punkt-zu-Punkt-IPsec-Tunnel konfigurieren. Allerdings bedeutet es einen erheblichen Konfigurationsaufwand, zum Beispiel ein Full-meshed-WAN (voll vermaschtes WAN) zu realisieren.

Im Zusammenhang mit IPsec wird oft das GRE (Generic-Routing-Encapsulation)-Protokoll eingesetzt. Dies ermöglicht die Implementierung von dynamischen Routing-Protokollen oder Multicast-Übertragungen zwischen IPsec-Tunnelendpunkten. Dynamische Routing-Protokolle kommen in Außenstellen meistens bei der Realisierung von Zweiwegeanbindungen aus Redundanzgründen zum Einsatz.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. So gelingt die sichere Anbindung von Außenstellen
2. MPLS: logische Trennung im Providernetz
3. Optimierte Kommunikation zwischen Zweigstellen

Lesen Sie mehr zum Thema

Weitere Artikel zu Controlware GmbH

Der Katalysator als Zielscheibe

Systemhäuser als Sprungbrett für Cyberangriffe

Rollenwandel der IT-Dienstleister

Hohe Erwartungen an die Digitale Transformation

Familienunternehmen bevorzugt

Controlware mit neuem CFO

Controlware mit Threat Hunting als Managed Service

Proaktive Bedrohungsabwehr

Controlware hilft, IT-Risiken zu eliminieren

Security-Check-up für Microsoft 365

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu VPN-Services

Eset Small Business Security im Test

Sicherheitslösung mit Business-Fokus für bis zu 25 Geräte

Intelligent-Networks-Plattformen

Mehrwertdienste für Geschäftskunden

Red Hat: Zusammenarbeit mit Fujitsu

Bereitstellung von KI-fähigem vRAN

Im Test: Lancom Trusted Access Client

Hybrider VPN-Client mit Zero-Trust-Support

Personalie

Uwe Neumeier verlässt Lancom Systems