Metro und Carrier Ethernet

Verschlüsselungsschicht und Sicherheit

Ethernet spielt in der Verbindung von Standorten eine immer wichtigere Rolle. Sowohl bei Nahverkehrsnetzen (Metropolitan Area Networks/MAN) wie bei Weitverkehrsnetzen (Wide Area Networks/WAN). Ethernet befindet sich auf Layer 2 des OSI-Netzwerkmodells. Dies ist eine Schicht unterhalb des Internetprotokolls, das auf Layer 3 angesiedelt ist. 

Netzwerkverschlüsselung bringt dann die grösste Effizienz und Sicherheit, wenn sie entweder nativ auf oder unterhalb des verwendeten Layers erfolgt. Bei Verschlüsselung unterhalb des verwendeten Layers kann es zu Abstrichen in Bezug auf Flexibilität kommen.

Die stark steigende Nachfrage nach dedizierten Layer 2-Verschlüsslern hat einen einfachen Grund: Sicherheit und Effizienz gepaart mit Kosteneinsparungen. Über 99 Prozent der Angriffe auf Netzwerke erfolgen auf Layer 3 bis 7. Die Verschlüsselung des standortübergreifenden Datenverkehrs auf Layer 2 gewährt – bei Verwendung von authentisierter Verschlüsselung -  einen Vollschutz für das Netzwerk, inklusive Vertraulichkeit, Intrusion Detection, Intrusion Prevention und Firewall. Deshalb gibt es immer mehr Kunden für solche Lösungen, darunter auch solche mit über 900 Layer 2-Verschlüsslern im 24/7/365-Einsatz.

Verschlüsselungsschichten und Einsatzszenarien

Unterschiedliche Ansätze

Für Netzwerkverschlüsselung gibt es unterschiedliche Ansätze und Vorgehensweisen. Diese haben eine direkte Auswirkung auf die unterstützten Anwendungsszenarios und auf die Sicherheit.
So gibt es auch unterschiedliche Möglichkeiten, Ethernet zu verschlüsseln. Das geht sowohl auf Layer 1, auf Layer 2, als auch auf Layer 3 oder höher. Am effizientesten ist es auf Layer 1 und auf Layer 2, am flexibelsten auf Layer 2 und Layer 3. Die optimale Kombination von Effizienz und Flexibilität bietet die Verschlüsselung auf Layer 2. Aber auch da gibt es Unterschiede.


Hop-by-Hop vs. End-to-End

Für die Verbindung von Standorten wird vorzugsweise eine End-to-End-Verschlüsselung verwendet. Eine Hop-by-Hop-Verschlüsselung funktioniert nur in einer beschränkten Anzahl von Szenarien.

Bei einer Hop-by-Hop-Verschlüsselung werden die Daten bei jedem Hop entschlüsselt, in unverschlüsselter Form verarbeitet und dann wiederum verschlüsselt zum nächsten Hop weitergesendet. Anders sieht es bei einer End-to-End-Verschlüsselung aus, bei der die Daten während der gesamten Übertragung zwischen Absender und Ziel gesichert bleiben.

Das Dreischichtenmodell zeigt die Umgebung, in welcher ein Verschlüssler seine Arbeit verrichten können sollte. IEEE 802.1 (Ethernet) ist nur eine von vielen möglichen Transportmöglichkeiten und die Netzwerkprotokolle aus dem Application Services Layer können wiederum auch als Transportschicht dienen. Die volle Unterstützung und Absicherung von Carrier Ethernet-basierten Netzwerken ist komplex. 

Jede der Metro und Carrier-Ethernet-Topologien benötigt ein Transportnetzwerk, das die jeweiligen Voraussetzungen erfüllt. Native Ethernet-Transportnetzwerke finden sich vorwiegend im Access- und Metro-Bereich, doch wird oft auch bereits da ein anderes Transportnetzwerk verwendet. Verbreitet sind OTN, MPLS, IP und teilweise noch Sonet/SDH. Der Begriff „Carrier Ethernet“ umfasst jedes Transportnetzwerk, das für den Transport von Ethernet-Frames benutzt wird. Die verwendeten Transportnetzwerke innerhalb eines MANs oder WANs sind meistens nicht homogen. Abhängig von der Platzierung des Verschlüsslers und des verwendeten Transportnetzwerks wird der originale Ethernet-Frame enkapsuliert oder getunnelt. Der ausgelieferte Ethernet-Frame ist aber identisch mit dem gesendeten Ethernet-Frame.

Das Metro Ethernet Forum (MEF) hat drei unterschiedliche Topologien für regionale und Weitverkehrnetze definiert und standardisiert. Das ursprüngliche Szenario war auf einen einzelnen Telekomanbieter beschränkt, der dem Kunden sämtliche Zugänge und Netzwerkdienstleistungen anbot. Das erwies sich  vor allem bei Weitver-kehrsnetzwerken als wenig praxistauglich. Deshalb wurde eine standardisierte Schnittstelle zwischen den Ethernet-Services verschiedener Telekomanbieter definiert. Das Ethernet-Network-to-Network-Interface (ENNI) standardisiert die Interkonnektivität zwischen Carrier Ethernet-Netzwerken.

Verschlüsselungsmodi

Der jeweilige Verschlüsselungsmodus bestimmt, welche Teile eines Ethernet-Frames verschlüsselt werden können. Im Frame-Modus wird der gesamte Ethernet-Frame verschlüsselt, im Transport-Modus die Ethernet-Nutzlast und im Tunnel-Modus der ganze Ethernet Original-Frame. Jeder Modus hat seine Vor- und Nachteile. Die Vorteile sind im Schutz (Frame-Modus, Tunnel-Modus), die Nachteile in der Flexibilität (Frame-Modus), im gewährten Schutz (Transport-Modus) und in Bezug auf Overhead (Tunnel-Modus). Am Schluss ist es eine Abwägung zwischen Netzwerkkosten und Schutzbedarf. Meist wird der Transport-Modus verwendet, ab und zu der Tunnel-Modus und seltener der Frame-Modus. Auf Layer 2 lassen sich die zu transportierenden IP-Pakete komplett verschlüsseln, ohne dass ein Tunnel-Modus dafür benötigt wird. Das IP-Paket ist Nutzlast des Ethernet-Frames und kann im Transport-Modus in Gänze verschlüsselt werden. Die Authentisierung und der Integritätsschutz beziehen sich auf den Ethernet-Frame mit dem verschlüsselten IP-Paket als Nutzlast.
 

Verschlüsselungsmodi

Detailinformationen finden sich in der Eiinführung zur Layer 2-Verschlüsselung.