Sicherheit in sechs Stufen

Netzwerkschutz ab Layer 2

Intelligent auf Layer 2 verschlüsseln

Die Datenverschlüsselung ist auch ein probates Mittel, die Unternehmenskommunikation innerhalb des WAN vor unliebsamen Mitlesern zu schützen. Im Gegensatz zur klassischen VPN-Technik bietet sich hier die Verschlüsselung auf Layer-2-Ebene an. Für diesen Ansatz sprechen gleich mehrere Aspekte: So ist eine Verschlüsselung auf Netzebene 2 komplett von sämtlichen Layer-3-Applikationen entkoppelt, es ist also egal, was auf dieser Ebene geschieht, denn es wirkt sich nicht auf die Sicherheit aus.

Zudem ist dabei die Performance nach Messungen von Teragate deutlich höher: Beispielsweise beträgt die Round Trip Time (RTT) in einem Layer-2-verschlüsselten Netz bei der Verbindung München-Hamburg zwölf Millisekunden. Im Layer-3-Netz liegt sie dagegen bei 35 Millisekunden. Gerade bei geschäftskritischen Echtzeitanwendungen können diese Zeitunterschiede für den reibungslosen Betrieb einer Applikation entscheidend sein.

Layer-2-Verschlüsselung: Auch bei mehreren Standorten bleibt das Schlüsselmanagement übersichtlich. (Quelle: Teragate)
Layer-2-Verschlüsselung: Auch bei mehreren Standorten bleibt das Schlüsselmanagement übersichtlich. (Quelle: Teragate)

Layer-2-Lösungen, die auf Ethernet-WANs aufsetzen, offerieren noch einen Vorteil: Laufen die Standortverbindungen über transparentes Ethernet, sind in den Niederlassungen lediglich Ethernet-Encryptoren als Verschlüsselungsgeräte erforderlich. Die Schlüssel verteilt ein zentraler Key-Server. Dabei bleibt selbst bei einem Managed Service das Key-Management komplett in der Hand des Anwenders.

Der Provider hat also auf die verschlüsselten Daten im VPLS-Backbone (Virtual Private LAN Service) keinen Zugriff. Mit diesem Ansatz lassen sich auch vollvermaschte Netze zuverlässig schützen. Im Vergleich zur gängigen Verschlüsselung auf Punkt-zu-Punkt-Verbindungen bedeutet das weniger Komplexität und Administrationsaufwand. Dabei kann Unternehmenskommunikation jeglicher Art verschlüsselt werden - etwa auch Voice over IP. Da die Lösung dienstebezogen arbeitet, können im Gegenzug einzelne Dienste von der Encryption aber auch ausgenommen werden.

Ergänzend ist eine Tunnelung von Daten auf Layer-3-Basis sinnvoll, wenn öffentliche Netze wie beispielsweise das Internet als Zugangsmedium genutzt werden. Damit lässt sich auch außerhalb des Corporate Network die Sicherheit gewährleisten. Hierzu bieten sich entsprechende IPsec-Verschlüsselungslösungen als VPN- Gateway beziehungsweise VPN-Client an.