Layer-2-Verschlüsselung konkurriert mit IPSec
Stau am Ende des Tunnels
Im Netzwerkumfeld vollzieht sich ein wichtiger Evolutionsschritt: Starre Legacy-Netzwerke sterben aus, und flexiblere Service-Netze setzen sich auf Unternehmensseite durch. Dieser technische Wandel hat die Konsolidierung von Daten und Rechenzentren, die Virtualisierung der Server-Landschaft und das Outsourcing von Informationsdiensten zum Ziel. Beim sicheren Transport von Geschäftsdaten über unsichere Verbindungswege fordern neue Layer-2-Verschlüsselungslösungen die noch dominierenden IPSec-Netze heraus.
Die steigende Nachfrage nach integrierten Diensten verändert die Struktur und Architektur der
Netzwerktechniken von Grund auf. IT-Verantwortliche müssen zentrale Applikationen für ein
verteiltes Standortnetz zur Verfügung stellen und die erforderliche Bandbreite an ein wachsendes
Aufkommen an IT, Sprach- und Video-Daten anpassen – im Idealfall zu gleichbleibenden oder
reduzierten Kosten. Der Zusammenschluss von ganzen Firmen und der ortsunabhängige Zugriff auf
Geschäftsdaten bis hin zu IT-Managementkonzepten wie Cloud Computing treiben die Entwicklung
zusätzlich an.
Wechsel der Netzwerktechnik
Die Mehrzahl der Provider setzt die Anforderungen mittlerweile über Ethernet-Services um, die
sich als echte Alternative zu den bekannten Layer-3- (IP/IPSec) und Legacy-Techniken (Leased Line,
ATM, Frame Relay) etabliert haben. Schließlich handelt es sich hier um eine bewährte Technik, die
Verfügbarkeitsquoten von bis zu 99,999 Prozent erreicht. Bei Umschaltzeiten von 50ms eignet sie
sich zudem besonders für Service Level Agreements. Die niedrigeren Investitions- und Service-Kosten
von Ethernet- gegenüber Legacy-Netzwerken sind weitere wichtige Antriebskräfte für diesen Trend.
Neben dem Faktor Zuverlässigkeit punktet Ethernet durch Einfachheit, denn im Regelfall ist das
notwendige Technikwissen bereits im Unternehmen vorhanden. Auch die höhere Flexibilität und
Skalierbarkeit beschleunigen diese Entwicklung.
Viele Administratoren haben mit dem Wechsel auf Ethernet-Leitungen den Datendurchsatz ihrer
lokalen Netzwerke von 1 MBit/s auf bis zu 1.000 MBit/s gesteigert. Handelt es sich dabei um
Twisted-Pair-Verkabelungen, die auf Kupfer basieren, reicht die Netzausdehnung zwar nicht über mehr
als einige hundert Meter hinaus, aber über Glasfaserleitungen lässt sie sich schon auf einige
Kilometer erweitern. Und zur Anbindung verschiedener Standorte, Server-Farmen und Backup- und
Disaster-Recovery-Infrastrukturen nutzen die Provider ohnehin fast ausschließlich
Glasfaserleitungen mit Gigabit-Ethernet-Übertragungsraten, beispielsweise um
Echtzeit-Multimediadaten in Metropolitan Area Networks (MANs) zu übertragen.
Sicherheit der Geschäftsdaten
Je mehr Informationen über Breitbanddienste ausgetauscht werden, umso wichtiger wird auch die
Thematik Datenschutz. Sicherheitsexperten warnen, dass Hochgeschwindigkeitsnetze verletzbar sind
und durch Lauschattacken jährliche Milliardenschäden entstehen. Dies trifft besonders zu auf Wide
Area Networks (WANs), die mehrere lokale Netze per Fernleitungen verbinden, und Storage Area
Networks (SANs), mit denen Rechenzentren über Direktverbindung an separate Speichersysteme
angebunden werden. Kern aller IT-Strategien ist deshalb die verschlüsselte Speicherung und
Übertragung von Kundendaten, um Missbrauchsszenarien vorzubeugen.
Der unternehmensweit geforderte Technikwechsel muss unter Beachtung neuer Gesetzesvorgaben
und brancheninterner Vorgaben erfolgen, die hohe Anforderungen an die Sicherheit und Verfügbarkeit
von Daten stellen. Der Payment Card Industry Security Standard (PCI DSS) ist ein gutes Beispiel für
solche Verschlüsselungsrichtlinien, die Handelsunternehmen zur Absicherung der Daten einführen und
umsetzen müssen. Firmen und Dienstleister, die Kreditkartenzahlungen akzeptieren, sind an das
Regelwerk gebunden, das genau vorschreibt, wie Transaktionen zu speichern und übermitteln sind.
Insgesamt zwölf Einzelmaßnahmen wie die verschlüsselte Übertragung sensibler Daten von
Kreditkarteninhabern in öffentlichen Rechnernetzen werden bei PCI DSS verbindlich eingefordert und
geprüft. Bei Nichtbefolgung können Strafgebühren verhängt, Einschränkungen ausgesprochen oder
letztlich der Kreditkarteneinsatz komplett untersagt werden.
Unabhängig von der Vermeidung finanzieller Kosten ist eine hohe Sorgfaltspflicht beim Schutz
digitaler Daten ohnehin im Eigeninteresse. Die breite Berichterstattung über Diebstahl persönlicher
Kundendaten bei T-Mobile, Telekom, Süddeutscher und Norddeutscher Klassenlotterie hat vielen
Unternehmensleitungen schmerzhaft vor Augen geführt, wie hoch allein der Imageschaden durch
Datendiebstahl sein kann. Gerade nach solchen spektakulären Sicherheitsskandalen spüren private
Unternehmen und öffentliche Behörden den massiven Druck der Öffentlichkeit, sensible Informationen
zuverlässig gegen Diebstahl zu sichern. Finanzielle Folgekosten und öffentliche Debatten halten das
Thema Datenschutz auf der Tagesordnung und haben direkte Konsequenzen für die Jobsicherheit der
IT-Verantwortlichen.
Staugefahr beim IPSec-Protokoll
Auf Administratorseite gab es bisher nur eine begrenzte Auswahl, was die verschlüsselte
Übertragung digitaler Informationen betrifft. Die gängigste Technik zur Realisierung eines Virtual
Private Networks (VPNs) ist IPSec, kurz für Internet Protocol Security. Das sichere
Verbindungsprotokoll eignet sich sowohl zur Kopplung von ganzen Standorten (Site-to-Site VPN) als
auch für den Zugriff von Außendienstmitarbeitern auf Information im internen Unternehmensnetz
(Remote Access). Mittlerweile bekommt die IPSec-Verschlüsselung ernst zu nehmende Konkurrenz. Denn
die Komplexität des IPSec-Sicherheitsprotokolls sowie die Vielzahl an Funktionen und
Einsatzmöglichkeiten sind Schattenseiten in IPSec-Szenarien.
IPSec-Übertragungen laufen außerdem auf der Vermittlungsschicht (Schicht 3), was sich
nachteilig auf Geschwindigkeit und Konfigurationsaufwand auswirkt. Diese Schwächen von
IPSec-Architekturen sind vielen Administratoren schon lange ein Dorn im Auge. Selbst im günstigsten
Szenario lässt sich bei der IPSec-basierenden Verschlüsselung großer Datenpakete die verfügbare
Bandbreite lediglich zu 90 Prozent ausnutzen. Das IPSec-Protokoll bläht kleine Datenpakete auf fast
die doppelte Größe auf und verursacht dadurch ein erhöhtes Verkehrsaufkommen im verschlüsselten
Datentunnel. Ein ursprünglich 64 Byte großes IP-Paket erhält einen zusätzlichen 57 Byte
schweren Datenrucksack (Overhead). Durch die Fragmentierung und den höheren Rechenaufwand steigt
auch die Latenzzeit. Der Negativeffekt wirkt sich besonders nachteilig aus, weil 65 Prozent des
weltweiten IP-Verkehrs aus kleinen 64- und 128-Byte-Datenpaketen bestehen.
Eine Ebene tiefer
Chiffriert man dagegen Datenpakete auf der Sicherungsschicht (Schicht 2) des OSI-Modells,
ermöglicht dies eine nahezu verzögerungsfreie Datenübertragung. Layer-2-Verschlüsselung erreicht
Datendurchsätze in Gigabit-Geschwindigkeit und nutzt die verfügbare Bandbreite nahezu vollständig
aus. Die Einzelpakete benötigen keine neuen IP-Header und vermeiden dadurch Performanceprobleme
durch unnötigen Datenballast. Die Verschlüsselung auf der Sicherungsschicht des OSI-Modells senkt
den Komplexitätsgrad und vermeidet arbeitsintensive Anpassungen an Multi-Port-Protokolle.
Hersteller wie die in der Schweiz ansässige Infoguard AG setzt auf genau diesen Effekt, um
Abhörschutz für Datenübertragungen über öffentliche Telekommunikationsleitungen zu bieten. Für den
verschlüsselten Datenaustausch zwischen zwei Netzwerken installieren die Schweizer eigene
Hardwareboxen, die sich an die technischen Voraussetzungen auf Kundenseite anpassen und Unicast,
Multicast- und Broadcast-Traffic mit QoS (Quality of Service) via VLAN IDs oder 802.1q Priority
Bits unterstützen. Ausgestattet mit einer redundanten Stromversorgung sollen sie einen
unterbrechungsfreien Betrieb gewährleisten und eine konstant niedrige Latenzzeit von unter 5µs
bieten. Als Kryptographiemethode kommt AES (Advanced Encryption Standard) mit Schlüssellängen bis
zu 256 Bit zum Einsatz. Session-Schlüssel werden automatisch gewechselt, laut Anbieter ohne
Unterbrechung der Links oder Geschwindigkeitseinbußen.
René Mürset ist Product Manager Highspeed Encryption bei Infoguard.
Lesen Sie mehr zum Thema
