All About Security

21.04.2010 VPN - Virtual Private Networks, Fachartikel

Datenverschlüsselung (Layer) 2.0

Der Siegeszug von Ethernet legt die Nachteile der IPSec-Netze offen - Die Finanz- und Wirtschaftskrise setzt CIOs unter Spardruck. Carrier und Provider ersetzen Legacy-Netzwerke durch kostengünstigere Service-Netze.

Eindeutiger Krisengewinner ist Ethernet — und deckt dabei alte Probleme von IPSec-VPN-Netzen auf.

Die Migration klassischer WAN-Strukturen hin zu Ethernet-Services überrascht auf den ersten Blick. Schließlich wurde Ethernet 1973 als reine LAN-Technologie vorgestellt, und dieser Ruf geht ihr bis heute voraus. In den achtziger und neunziger Jahren hatte sich die Vernetzungstechnik gegen harte Wettbewerber in lokalen Netzwerken wie das Token-Ring-Verfahren oder FDDI (Fiber Distributed Data Interface) behauptet. Ein wesentlicher Grund für die hohe Popularität von Ethernet war nicht zuletzt die Kostengünstigkeit der Technologie.

Und dieser Erfolgsfaktor, der Ethernet zur meistverwendeten LAN-Technik verhalf, kommt in Zeiten mit hohem Kostendruck auch bei WAN-Verbindungen zum Tragen. Die aktuellen Konkurrenten bei hochratigen Datenströmen in großräumigen Rechnernetzen sind ATM (Asynchronous Transfer Mode), SDH (Synchronous Digital Hierarchy), Frame Relay und IP VPN. Und wiederum wechselt Ethernet auf die Überholspur, wie aktuelle Zahlen der Marktforscher zeigen. Noch 2005 bezifferte eine IDC-Studie den Markt für Ethernet-Services in Europa auf etwas mehr als eine Milliarde US-Dollar. Im Jahr 2009 hat sich der Markt mit weit über drei Milliarden US-Dollar schon verdreifacht.

Damit hat Ethernet die traditionellen Punkt-zu-Punkt-Verbindungstechniken bereits abgehängt. Über 20 Prozent der Ausgaben für WAN-Services fallen jetzt auf Ethernet-Datennetze. Gründe für diese Entwicklung sind, dass die Kosten pro Megabit sinken und sich die verfügbare Bandbreite flexibel zuteilen lässt. Auf diese Weise stellen IT-Verantwortliche einerseits zentrale Applikationen für ein verteiltes Standortnetz zur Verfügung und passen andererseits den Datendurchsatz an einen permanent steigenden Bedarf für IT-, Sprach- und Video-Dienste an. Die Konsolidierung von Daten und Rechenzentren, die Virtualisierung der Serverlandschaft und das Outsourcing von Informationsdiensten treiben diese Entwicklung weiter an.

Problem Übergewicht

Der Trend wirkt sich auch auf das Sicherheitsumfeld aus. Traditionelle Lösungen haben zunehmend Schwierigkeiten, den gewachsenen Anforderungen an Unternehmensnetzwerke gerecht zu werden. Bei IPSec (Kurzform für Internet Protocol Security) kann man „zunehmend“ durchaus wörtlich nehmen, denn das weitverbreitete Sicherheitsprotokoll hat gewissermaßen ein Gewichtsproblem. Für den abhörsicheren Transport von Informationen ergänzt IPSec das Originalpaket um zusätzliche Header-Felder und packt dadurch zusätzliche 57 Byte an Informationen auf jedes Datenpaket. Bei vormals kleinen 64-Byte-Datenpaketen verursacht IPSec-Verschlüsselung einen Overhead von sage und schreibe 47 Prozent.

Der unvorteilhafte Protokollaufbau führt zwangsläufig zu einem hohen Rechenaufwand bei der Tunnellung der übergewichtigen Einzelpakete. Folge: Die verfügbare Bandbreite sinkt und die Latenzzeit steigt. Unabhängige Berechnungen haben ergeben, dass sich die Laufzeit dadurch um 40 bis 60 Prozent erhöht. Und der Versand solcher Frames ist der Normalfall, denn 65 Prozent des weltweiten IP-Verkehrs bestehen aus kleinen 64- und 128-Byte-Datenpaketen. Die für IPSec charakteristische Verdopplung dieser Datenlast wirkt sich also besonders nachteilhaft aus.

Administratoren und Sicherheitsverantwortlichen kennen außerdem die hohe Komplexität und daraus resultierende Zunahme von Fehlermeldungen aus der IPSec-Praxis. Das IPSec-Sicherheitsprotokoll arbeitet auf der Vermittlungsschicht (Schicht 3 des OSI-Referenzmodells) mit entsprechender Funktionsvielfalt. Allerdings kann es in IPSec-Infrastrukturen zu unvorhersehbaren Wechselwirkungen mit anderen Diensten kommen. So treten beim Tunnelaufbau mitunter Probleme zwischen Systemen unterschiedlicher Anbieter auf, denn weltweit identische Authentisierungsstandards gibt es nicht. Eine häufige Fehlerquelle ist auch der Einsatz komplexer Protokolle, die nicht nur auf einem festen Port kommunizieren. Die Kombination von Network Address Translation und IPSec führt beispielsweise zu Inkompatibilitäten, mit denen sich das Administrationsteam dann mühsam auseinandersetzen muss. Erst umfassende Praxistests können mit Sicherheit klären, ob der VPN-Netzwerkbetrieb wie gewünscht funktioniert.

Die Konfiguration und Administration von IPSec-Netzen sind weitere Nachteile. Mit der Anzahl der Anwender wächst der zeitliche und fachliche Aufwand. Typische Fehlerquellen sind der Aufbau von Tunnelverbindungen und die komplexe Einrichtung der Kommunikationsparameter. Im täglichen Betrieb sind Konfigurationsfehler kaum vermeidbar und IPSec-Lösungen dementsprechend kostenintensiv.

Zwar vertrauen viele Organisationen weiterhin auf VPN/IPSec-Gateways,  um Außenfilialen an das zentrale Firmennetz anzubinden. Allerdings beschleunigen die genannten Schwachstellen die Suche nach technischen Alternativen, wenn IPSec-Lösungen zum Kostenfaktor und zur Geschwindigkeitsbremse werden. Nur bei der Verschlüsselung großer Datenpakete nutzen VPN- und IPSec-Lösungen die verfügbare Bandbreite zu 90 Prozent aus. Der Markt verlangt aber nach dem maximalen Datendurchsatz bei minimaler Latenz, die nicht von der Paketgröße abhängt.

Schicht um Schicht abspecken auf Netzwerkebene

Einen sinkenden Komplexitätsgrad ohne Performanceprobleme versprechen dagegen Verschlüsselungssysteme, die chiffrierte Daten über Schicht 2 des OSI-Modells (Open System Interconnection) austauschen. Bei der verschlüsselten Kommunikation auf der niedrigeren Schicht müssen die Einzelpakete nicht mit neuen IP-Headern versorgt werden. Die für IPSec charakteristischen Performance- und Verzögerungseffekte bleiben aus. Konsequentes Abspecken im Netzwerk kann sich also lohnen, wenn Datenpakete auf diese Weise übertragen werden. Mehr noch: Mit Ethernet-Netzwerken decken Unternehmen ihren Bedarf selbst bei anspruchsvollen Szenarien wie Backup-Infrastrukturen oder Echtzeit-Anwendungen.

Für die Datenverschlüsselung auf der Sicherungsschicht spricht ebenfalls, dass arbeitsintensive Anpassungen an Multi-Port-Protokolle entfallen. Während sich IPSec nur auf den IP-Datenverkehr beschränkt, unterstützt und schützt Layer-2-Verschlüsselung alle Protokolle. Netzwerksicherheit lässt sich also unternehmensweit einheitlich und mit vollständiger Flexibilität hinsichtlich der eingesetzten Applikationen realisieren. Mit speziell für diese Aufgabe entwickelten Kryptographie-Appliances wie InfoGuard EGM stehen Multipunkt-Datenverschlüsselungslösungen für unterschiedliche Netzwerkgrößen zur Verfügung. Unternehmen können diese Geräte transparent in ihre Netzwerkinfrastruktur einbinden, komplexe Konfigurationsarbeiten vermeiden und die Betriebskosten senken.

 

René Mürset, Product Manager Highspeed Encryption, InfoGuard AG

 

 

 

Diesen Artikel empfehlen

Autor: René Mürset