Industrial Security
ENX – exklusive Datenübertragung für die Automobilbranche
Fortsetzung des Artikels von Teil 1
IPSec-Tunnel gewährleisten Exklusivität
Die technische Vorgehensweise für ENX-Anschlüsse ist denkbar einfach und zugleich hochgradig sicher: Wenn zwei ENX-Kunden miteinander kommunizieren wollen, beauftragen beide ihren jeweiligen ENX-Provider. Dieser richtet einen IPSec-Tunnel ein, der die gesamte Kommunikation zwischen beiden Partnern verschlüsselt. Allein über diesen Tunnel findet der Austausch der Partner statt. Eine "Any-to-any"-Kommu-nikation ist nicht möglich und aufgrund der erhöhten Sicherheitsstandards auch nicht erwünscht. Selbstverständlich sind verschiedene Tunnel konfigurierbar, wenn ein Unternehmen seinen ENX-Anschluss für Verbindungen zu mehreren Partnern nutzen möchte.
IPSec sorgt in diesem Kontext nicht nur für den entsprechenden Schutz, sondern funktioniert auch als herstellerübergreifender Standard mit modernsten Verschlüsselungsalgorithmen. Da ENX als Mehrprovider-Netzwerk konzipiert ist, kommen naturgemäß unterschiedliche Geräte zum Einsatz. Als weltweiter Standard gewährleistet IPSec die drei Sicherheitsgrundwerte Vertraulichkeit, Authentizität sowie Integrität und ist derzeit allgemein als bestes Protokoll zur Absicherung von IP anerkannt. Zudem gewährleistet IPSec die zuverlässige Einbindung einer CA-Struktur für Zertifikate.
Grundsätzlich kommt für jeden ENX-Anschluss ein Hardware-Router zum Einsatz. Dieser wird vom zertifizierten Service Provider kontrolliert, ein administrativer Zugang für den Kunden besteht nicht. Der Router setzt zertifizierte Software ein. Die korrekte Struktur der Konfiguration sowie der Prozess zur Administration legen Auditoren im Rahmen der Provider-Zertifizierung fest und überprüfen sie. Dies vermeidet Fehlkonfigurationen oder die Entstehung von Sicherheitsproblemen durch Fehlbedienung.
Es existieren keine anonymen Benutzer im Netz; jede IP-Adresse ist eindeutig einem Kunden zugeordnet. Somit kann selbst bei eventuellen Angriffen, die aus dem Netz kommen, der Absender zweifelsfrei ermittelt werden. Durch die Einzeltunnel ist die Kommunikation eines solchen Angreifers selektiv abschaltbar, ohne die Verfügbarkeit des angegriffenen Anschlusses insgesamt einzuschränken.
Eine Kommunikationsverbindung zwischen zwei beliebigen Nutzerunternehmen verläuft durch höchstens drei Zuständigkeitsbereiche: Zum einen sind das die Netze der beiden beteiligten Provider. Zum anderen die gemeinsamen, redundant ausgelegten POI (Points of Interconnection), die die ENX Association betreibt und an die beide Provider angeschlossen sind. Die drei Parteien sind bei Störungen vertraglich zur Zusammenarbeit im Sinne einer Ende-zu-Ende-Störungsbeseitigung verpflichtet.
Für die absolut getrennte Privatsphäre auf Providerseite sorgt der Einsatz von Multiprotocol Label Switching: MPLS bietet mit Hilfe von VRF-Instanzen ein geeignetes Mittel zur Virtualisierung. Alle Router "sehen" nur Geräte, die zu ihrem eigenen VRF gehören. Ein Zugriff auf andere Instanzen ist ohne eine entsprechende explizite Konfiguration nicht möglich. Außerdem wird in jeder VRF-Instanz eine eigene Routing-Tabelle gepflegt. Die Verwendung von identischen oder sich überschneidenden IP-Addressräumen ist also möglich, sofern es sich um zwei verschiedene VRF-Instanzen handelt.
- ENX – exklusive Datenübertragung für die Automobilbranche
- IPSec-Tunnel gewährleisten Exklusivität
- Zertifikate schaffen zusätzliche Sicherheit
- Ausländische Standorte einbinden
- Privatsphäre bleibt erhalten
- Managed Services für die Community-Cloud
- Interne Sicherheitsstandards als erste Voraussetzung
- Über ENX
Lesen Sie mehr zum Thema
