L AYER 2-VERSCHLÜSSLER FÜR WANS UND MANS

Transkript

1 PRÄSENTIERT: L AYER 2-VERSCHLÜSSLER FÜR WANS UND MANS E INE M ARKTÜBERSICHT ETHERNET-VERSCHLÜSSELUNG EINFÜHRUNG LAYER 2 VS. LAYER 3 Version 2.0 (Kurzfassung), 20. April Christoph Jaggi Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation (auch teilweise) ohne schriftliche Erlaubnis des Verfassers. cjaggi@uebermeister.com Präsentiert von:

2 PRÄSENTIERT: L AYER 2-VERSCHLÜSSLER FÜR WANS UND MANS E INE M ARKTÜBERSICHT ETHERNET-VERSCHLÜSSELUNG EINFÜHRUNG LAYER 2 VS. LAYER 3 Version 2.0 (Kurzfassung), 20. April Christoph Jaggi Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation (auch teilweise) ohne schriftliche Erlaubnis des Verfassers. cjaggi@uebermeister.com Präsentiert von:

3 Wieso Verschlüsselung auf Layer 2? Netzwerke sind unsicher. Das gilt für optische Netzwerke genauso wie für alle anderen drahtgebundenen und drahtlosen Netzwerke. Die nötigen Anleitungen zum Abhören lassen sich problemlos per Suche im Internet finden und auch die nötigen Utensilien sind ohne grösseren Aufwand beschaffbar. Ohne Verschlüsselung sind Netzwerke über öffentlichen Grund nicht sicher. Es stellt sich daher nicht die Frage, ob verschlüsselt werden soll, sondern nur, welcher Ansatz der effizienteste und sicherste ist. :"4)(BCD))"CE,F))(B0(B% Je tiefer der Layer, desto umfassender die Protokolle, die verschlüsselt werden können und desto effizienter der Schutz und die Verarbeitung. Das gesamte Netzwerk lässt sich nur auf Layer 2 verschlüsseln. Dem gegenüber stehen Komplexität und Kosten der Verschlüsselung auf den verschiedenen Layer. Es ist daher sinnvoll, den Layer für die Verschlüsselung je nach Einsatzszenario auszuwählen.!"#$%"&'(("))*&+,-.%$.+,-!"#$%"&'(("))*&+,-.%$.+,-!"#$%"&'(("))*&+,-.%$.+,- /0%".%$./0%"&12&3456!(&789&:2;< =$>.%$.=$>&;"%?$4@&780,@<* /0%".%$./0%"&;"%?$4@&78A&:2;< H&38/&E,-&//=&I5E",&G?54&5E6&85J"4&K&73L2<&&&5E6*&)0,-&5I"4&85J"4&M.24$%$@$CC"& Die schmalbandiger Anbindung (< 4 Mpbs) von Zweigstellen mit wenig und sporadischem Datenverkehr erfolgt in der Regel über Layer 3-Netzwerke und die Verschlüsselung entsprechend auf Layer 3 über IPSec. Wo für die breitbandige Verbindung von Standorten eine transparente Layer 2-Verbindung besteht, ist eine Verschlüsselung auf Layer 2 deutlich effizienter und sicherer. Der nachstehende Vergleich von Verschlüsselung auf Layer 2 gegenüber Layer 3 bezieht sich auf Verschlüsselung für Ethernet-Netzwerke und stellt nur die Verschlüsselung auf dem jeweiligen Layer gegenüber. Will man Layer 2-Frames auf Layer 3 verschlüsseln, so müssen die Layer 2-Frames auf Layer 3 getunnelt und dann dort mit IPSec verschlüsselt werden. Tunnels führen zu Overhead und zu Rechenaufwand. Doppelte Tunnels, wie sie bei der Tunnelung eines Layer 2-Frames über IP und Verschlüsselung mit ESP IPSec Tunnel-Modus anfallen, sind nicht mehr als eine Notlösung für den Fall fehlender Layer 2-Infrastruktur Marktübersicht Layer 2-Verschlüssler - Einführung 2

4 Aufgrund der Notwendigkeit und der eklatanten Vorteile der Verschlüsselung auf Layer 2 veröffentlichte die IEEE einen Standard für die Verschlüsselung von Ethernet auf Layer 2-Ebene (IEEE 802.1ae, MACSec). Authentisierung und Schlüsselverwaltung für MACSec (IEEE 802.1X-2010) befinden sich aber noch immer im Entwurfsstadium, nachdem der erste Versuch einer Standardisierung (IEEE 802.1af) erfolglos blieb. MACSec ist für den Einsatz innerhalb von Standort-Netzwerken ausgelegt. Dies erklärt auch die Einschränkung auf Hop-to-Hop. Für Multi-Hop-Netzwerke gibt es keinen IEEE- Standard. Layer 2 vs. Layer 3 1. Effizienz Für die Standortvernetzung wird bei Verschlüsselung auf Layer 3 in der Regel der IPSec ESP Tunnel- Modus verwendet. Dieser bringt je nach verwendetem Verschlüsselungsstandard einen Paket- Overhead von Bytes. Diese Zahlen beziehen sich auf IPv4, denn bei IPv6 ist der Overhead um mindestens 20 Bytes grösser. Bei den kleinen Pakten von 64 Bytes, welche einen immer grösseren Anteil des Netzverkehrs ausmachen, kann dies zu einer Verdoppelung der Paketgrösse und entsprechender Netzwerkbelastung führen. Der prozentuale Zuwachs nimmt bei grösseren Paketen ab. Wird die Verschlüsselung von Layer 3 auf Layer 2 verschoben, so sind die IP-Pakete auf Layer 2 reine Payload und können ohne Overhead auf Paketebene verschlüsselt werden. Betrachtet man ein IP Paket mit seiner Payload im IPSec ESP Transport und Tunnel Modus, so zeigen sich die Ineffizienzen durch den Verschlüsselungsmodus auf Paketebene deutlich. 1.1.IPSec Overhead a) IP Paket!"#$%&'%( "&)*+&' Beginnen wir mit einem Paket, wie es auf Layer 3 transportiert wird. Es besteht aus einem IP- Header und der Payload. b) IP Paket im IPSec ESP Transport Modus!"#$%&'%( )*"#$%&'%( "&+,-&' )*"#.(&/,%( )*"# 0123%2/4&2/-5 )*'+!"',#)'!(!"#$%&'!( Im Transport Modus wird nur die Payload verschlüsselt, der IP-Header aber bleibt ungeschützt. Deshalb wird in der Regel der Tunnel Modus verwendet Marktübersicht Layer 2-Verschlüssler - Einführung 3

5 IP Paket im IPSec ESP Tunnel Modus!"# $%&'"()"* +,%&'"()"* $%&'"()"* %(-./() +,%&0*(1."* +,% 2345"416(41/7!"#$%&'!( )*'+!"',#)'!( Im Tunnel Modus wird auch der IP-Header verschlüsselt und dem Paket ein neuer IP-Header hinzugefügt. Damit kann das gesamte ursprüngliche IP-Paket verschlüsselt werden. c) IP Paket im IPSec ESP Tunnel Modus als Ethernet Paket!"#$ %&'(&) *&+,-$%&'(&)./-$%&'(&),-$%&'(&) -'012'(./-$3)'41&)./- "567&648'6429 #:# #7&8;5<!"#$%&'!( )*'+!"',#)'!( Für den Transport auf Ethernet wird das verschlüsselte IP Paket mit einem MAC Header und einer CRC Checksum versehen. d) Ethernet Sicht des IP Pakets im IPSec ESP Tunnel Modus!"#$ %&'(&) *'+,-'( #.# #/&0123 Für Ethernet ist das ganze im IPSec ESP Tunnel Modus verschlüsselte IP Paket reine Nutzlast. Entsprechend kann eine Transport Modus-Verschlüsselung auf Layer 2 ohne Paket-Overhead die Nutzlast genauso gut verschlüsseln wie IPSec im ESP Tunnel Modus, solange man auf einen expliziten Replay- und Integritätsschutz verzichten will. Im Übrigen ist zu beachten, dass es auf Layer 3 eine Rolle spielt, ob man IPv4 oder IPv6 verwendet. Beide verwenden IPSec als Verschlüsselungsstandard, aber für die L3-Verschlüssler ist es durchaus relevant, ob IPv4 oder IPv6 verschlüsselt wird. Auf Layer 2 spielt es keine Rolle, ob die Nutzlast aus IPv4 oder IPv6 besteht. 1.2 Effizienz durch Verschlüsselung auf Layer 2 a) IP Paket!"#$%&'%( #!"#"&)*+&' Beginnen wir mit wieder mit einem Paket, wie es auf Layer 3 transportiert wird. Es besteht aus einem IP-Header und der Payload Marktübersicht Layer 2-Verschlüssler - Einführung 4

6 b) IP Paket unverschlüsselt als Ethernet Payload!"#$ %&'(&) *+$%&'(&) $*+$+',-.'( #/# #0&1234 Für den Transport auf Layer 2 auf Ethernet wird das IP Paket mit einem MAC Header und einer CRC Checksum versehen. c) Ethernet Sicht des IP Pakets!"#$ %&'(&) *'+,-'( #.# #/&0123 Gleich wie das verschlüsselte IP-Paket ist auch das unverschlüsselte IP-Paket auf Layer 2 reine Payload. Um einen ähnlichen Schutz wie IPSec ESP Tunnel Modus zu erreichen, genügt auf Layer 2 deshalb eine Verschlüsselung im Transport Modus. Dadurch wird der komplette Paket-Overhead vermieden. Layer 3-Verschlüsselung hat neben dem IPSec Verschlüsselungsmodus noch weitere gewichtige Gründe für die schlechte Performance. Dazu gehört der kryptographische Overhead, der durch Padding hervorgerufen wird. Die meisten Layer 2-Verschlüssler verwenden Verschlüsselungsstandards, bei denen Padding vermieden wird: Statt einfachem CBC kommen CBC mit Ciphertext Stealing (CBC-CTS) oder Stromchiffren (Stream Cipher) zum Einsatz. Die Einsparung beträgt zwischen 2 und 23 Bytes pro Paket. Ein Vergleich des gesamten Verschlüsselungsoverhead bei Verwendung des gleichen Verschlüsselungsstandards (AES-GCM) zeigt auf, dass bei IPSec ein Paketoverhead von Bytes entsteht, während bei der Verschlüsselung eines Ethernet-Frames im Transport-Modus nur ein Verschlüsselungsoverhead von Bytes anfällt. Der Overhead auf Layer 2 ist also signifikant tiefer. Je kleiner die Paketgrösse, desto grösser ist der von IPSec generierte Overhead. Gemäss IMIX, dem standardisierten durchschnittlichen Paketgrössenmix für IP-Verkehr betragen die Pakete mit einer Grösse von 64 Bytes rund 45% aller IP-Pakete auf einem Netzwerk. Je grösser der von der Verschlüsselung und dem Schlüsselsystem erzeugte Overhead, desto mehr beeinträchtigt die Verschlüsselung die Netzwerkperformance Marktübersicht Layer 2-Verschlüssler - Einführung 5

7 Die bessere Effizienz von Layer 2-Verschlüsslern beschränkt sich nicht nur auf den geringeren Overhead, sondern zeigt sich vor allem auch bei der Verarbeitungsgeschwindigkeit. Die Latenz bei Layer 2-Verschlüsslern misst sich in Mikrosekunden, während sie bei Layer 3-Verschlüsslern regelmässig Millisekunden benötigt. Zwischen Mikrosekunden und Millisekunden besteht ein Faktor von Tausend. Ein weiterer Faktor ist die Skalierbarkeit: Auf Layer 2 kann mit Leitungsgeschwindigkeit bis zu 10 Gbit/sec verschlüsselt werden. Nachstehend die wichtigsten Verschlüsselungsmodi für Ethernet: 1.3. Ethernet-Verschlüsselungsmodi a) Bulk-Modus!" #" $% :;! $% &'()*'+,-,.",/01'+12!"#$%&'()*!'3'!"+$,$"-..$%&'()*, !/$%&'()* (012&3'(4 Bei der Bulk-Verschlüsselung (auch Frame Encryption oder Link Encryption genannt) wird das der ganze Ethernet-Frame samt seiner Nutzlast zwischen Preamble und Interframe Gap verschlüsselt. Bei einer Verschlüsselung auf Layer 3 muss dafür der ganze Ethernet-Frame getunnelt und dann mit IPSec verschlüsselt werden. Dies führt zu massivem Overhead. Der Bulk-Modus beschränkt aber die möglichen Einsatzszenarien auf Hop-to-Hop. b) Transport-Modus!" #" $% :;! $% &'()*'+,-,.",/01'+12 )*+,-%'!./!'3' )*0,1,*233,-%'!./, )4,-%'!./!"#$%&'!(!" #" $% :;! $% ;: $% &'()*'+ ;,:,-,.",/01'+12!"#$%&'()* #15%'<!#$,$"+$%&'()*!'3'!"+$,$"-..$%&'()* ;=31<2>3(/,4156/:')81/!/$,$"+$%&'()*, !/$%&'()* (012&3'(4 56'7(0'815'(4 56'7(0'815'(4 Beim Transport-Modus gibt es zwei verschiedene Modi, wobei der erste nur die Nutzlast verschlüsselt und der andere nebst der Nutzlastverschlüsselung auch den von der IEEE für unerlässlich gehaltenen expliziten Replay- und Integritätsschutz bietet Marktübersicht Layer 2-Verschlüssler - Einführung 6

8 c) Tunnel-Modus!" #" $% :;! $%!" #" $% :;! $% &'()*'+,-,.",/01'+12 )*+,-%'!./.",/01'+12 )*+,-%'!./!'3' )*0,1,*233,-%'!./, )4,-%'!./!"#$%&'!( *+,+ -. :;* -. ;: *+,+ -. :;* -. / ;!:!"! 5+!67$04$8!*+#$%&'(),$%.0=!+#-#*,#$%&'() 5+!67$04$8!*+#$%&'() *090!*,#-#*.//#$%&'() ;<9$=8>916!#$%&!"#-#*+#$%&'()!#$%&'()!"#$%&'() '012%3&'4 56&7'0&815&'4 56&7'0&815&'4 Auch beim Tunnel-Modus gibt es zwei unterschiedliche Modi: Einen, der nur die Nutzlast also den gesamten Originalframe - verschlüsselt und einen, der nebst der Nutzlastverschlüsselung auch expliziten Replay- und Integritätsschutz bietet. d) MacSec/LinkSec!" #" -. 0/ -. /0! -. :)58;)* 0%/ %>% $"%&'()*(+!"#$%&'()* $"%#(1&.)2!/,"+$%&'()* <=.)2!#$%&'()*!),)!"+$,$"-..$%&'()* 03,(2+4,5&%6(17&/)89(!/$,$"+$%&'()* %6(17?9@!#$%&'()* 56'7(0'815'(4 (012&3'(4 MacSec (auch als LinkSec bekannt) ist eine reine Link-Verschlüsselung. Im Gegensatz zum Transport-Modus setzt MacSec das Tag direkt nach der Ziel- und Senderadresse ein. Nur Geräte, die MacSec direkt unterstützen können überhaupt das Frame-Format erkennen. Entsprechend seiner Ausrichtung als Hop-to-Hop-Verschlüsselung funktioniert MacSec nur zwischen zwei Mac- Sec-Geräten, die direkt miteinander verbunden sind. MacSec wurde für die Verwendung innerhalb eines lokalen Firmennetzwerkes spezifiert und findet seinen Anwendungsbereich auch vorzugsweise dort. Über eine integrierte Schlüsselverwaltung verfügt MacSec im Gegensatz zu dedizierten Verschlüsselungsgeräten nicht e) Cisco TrustSec!" #" -. 0/ -. /0! %$! -. :)58;)* 0%/ %>% $"%&'()*(+!"#$%&'()* $"%#(1&.)2!"+$%&'()* <=.)2!#$%&'()* %4?1;&$(,)&!),)&!8$%&'()*!),)!"+$,$"-..$%&'()* 03,(2+4,5&%6(17&/)89(!"+$%&'()* %6(17?9@!#$%&'()* 45'6(/'704'(3 (/01&2'( Marktübersicht Layer 2-Verschlüssler - Einführung 7

9 Cisco s TrustSec für Layer 2 basiert auf MacSec/LinkSec und übernimmt dessen Grundeigenschaften, parametriert sie aber für die eigene Anwendung. TrustSec fügt dem Frame noch Cisco Meta Data hinzu, was den Overhead von 32 Bytes auf 40 Bytes erhöht. _series_security_features.pdf 2. Sicherheit Mit Layer 3-Verschlüsselung kann man das IP-Protokoll und was darüber liegt verschlüsseln, nicht aber das Netzwerk, sofern man auf leistungsfressende Klimmzüge wie die Kombination von GRE und IPSec ESP Tunnel-Modus verzichten will. Die Problematik der leistungsfressenden Klimmzüge trifft auch auf MPLS zu, das auf Layer 2.5 liegt. Wird MPLS auf Layer 2 verschlüsselt, so geht das problemlos und ohne irgendwelche Leistungseinbusse. Der Schutz des gesamten Netzwerkverkehrs lässt sich nur mit Layer 2-Verschlüsselung ohne ressourcenhungrige zusätzliche Tunnelung bewerkstelligen. Layer 3-Verschlüsselung ist dazu nicht in der Lage, da es nur die IP-Pakete auf dem Network Layer verschlüsseln kann, der gesamte Rest aber unverschlüsselt bleibt. Effizienten Schutz für Layer 2-Nutzlast gibt es nur auf Layer 2. Das Gleiche gilt für den Vollschutz sämtlichen Layer 2-Verkehrs (ARP, STP, CDP, ). Layer 2-Verschlüsselung zeigt seine Stärken vorwiegend in der Absicherung von breitbandiger Infrastruktur, sei das standortintern oder zwischen Standorten. Die Vorgehensweise für standortinterne Verschlüsselung unterscheidet sich dabei massgeblich von der Verschlüsselung von Verbindungen zwischen Standorten. Während sich die standortinterne Verschlüsselung primär auf die interne Authentifizierungs Struktur und Schlüsselverwaltung stützt, ist eine breitbandige Verschlüsselung zwischen Standorten vorzugsweise vollständig autonom. Die Verschlüssler bilden auf beiden Seiten der Verbindung einen klaren Demarkationspunkt zwischen interner und externer Netzinfrastruktur (rotes und schwarzes Netzwerk). Es scheint offensichtlich, dass Layer 2-Verschlüsselung sowohl performance- wie auch sicherheitsmässig die bessere Lösung für die Absicherung von breitbandigen Layer 2-Verbindungen zwischen Standorten als eine Layer 3-Lösung (IPSec) ist. 3. Spezialisierte Appliances vs. Integrierte Appliances Layer 2-Verschlüssler für MANs und WANs sind in der Form von spezialisierten, eigenständigen Geräten verfügbar. Dies erhöht nicht nur die Sicherheit, sondert wirkt sich mittel- und längerfristig auch positiv auf die Flexibilität und die Kosten aus. Das Problem der integrierten Appliances lässt sich am besten mit einer Ente vergleichen: Eine Ente kann schwimmen, laufen und fliegen. Sie schwimmt aber schlechter als ein Fisch (sie paddelt), läuft schlechter als ein Hund (sie watschelt) und sie fliegt schlechter als ein Adler. Gegen einen Hai, einen Hund oder einen Adler hat sie keine Chance. Integrierte Appliances können zwar vieles, aber nicht vieles gut. Der Grund dafür liegt primär in den Kompromissen, die eingegangen werden müssen Marktübersicht Layer 2-Verschlüssler - Einführung 8

10 3.1. Sicherheit Die spezialisierten Appliances sind auf Sicherheit optimiert und genügen höchsten Anforderungen. Es sind in sich geschlossene und geprüfte Systeme. Sie weisen auch nur die notwendigsten Schnittstellen auf. Das Gehäuse und der Schlüsselspeicher sind abgesichert, auch gegen Abstrahlungen. Bei Manipulationsversuchen wird der Schlüsselspeicher geleert und angezeigt, dass ein Manipulationsversuch stattgefunden hat. Die Gehäuse sind gegen Manipulationsversuche resistent. Bei integrierten Appliances ist es schwierig bis unmöglich eine solche Sicherheit zu bieten Leistung Die spezialisierten Appliances sind auf Leistung optimiert. Es besteht kein Wettbewerb der unterschiedlichen Funktionalitäten um die vorhandenen Ressourcen. Integrierte Appliances sind auf spezifische Leistungsmerkmale optimiert, die aber selten parallel ausgenutzt werden können. Oft werden aus Kostengründen ASICs (Application Specific Integrated Circuits) statt FPGAs eingesetzt, auf denen aber nur spezifische Funktionen implementiert sind. Werden Funktionen benutzt, die nicht hardwaremässig implementiert sind, so erfolgt deren Abarbeitung über Software und führt zu entsprechenden Leistungseinbussen Erweiterbarkeit Spezialisierte Layer 2-Verschlüssler sind in der Regel so dimensioniert, dass die Funktionalität zu einem späteren Zeitpunkt erweitert werden kann. So kann das Gerät auf dem aktuellen Stand der Technik gehalten werden. Für diesen Zweck muss der verwendete FPGA (Field Programmable Array) grosszügig dimensioniert sein, was die Kosten erhöht. Unterdimensionierte FPGAs sind schnell voll und verursachen einen hohen Stromverbrauch, der auch zu hoher Wärmeentwicklung und Stabilitätsproblemen führt. Bei einer integrierten Lösung wird auf die Erweiterbarkeit in der Regel wenig Wert gelegt, da dies ein Kostentreiber ist und der Kunde ja beim Kauf nicht die Leistungsfähigkeit einer spezialisierten Appliance wollte Kosten Während integrierte Appliances wie Switches/Routers mit zusätzlicher Verschlüsselungshardware aufgrund der wegfallenden Kosten für Gehäuse, redundantes Netzteil, etc. günstiger in der Anschaffung sind, wird aus diesem Preisvorteil über die Zeit ein Preisnachteil. Die Lebensdauer einer integrierten Appliance liegt bei etwa 4-5 Jahren, während die eigenständigen Appliances regelmässig 7-8 Jahre eingesetzt werden. Die kürzere Lebensdauer hebt den initialen Kostenvorteil mehr als auf. Ein anderer Aspekt, der oft vernachlässigt wird, ist die Herstellergebundenheit: Aufgrund der unterschiedlichen Schlüsselsysteme und des unterschiedlichen Leistungsumfangs sind Ethernet- Verschlüssler nicht untereinander kompatibel. Bei einer integrierten Lösung wirkt sich das zusätzlich auf die Switches/Routers aus. Wechselt man an einem Standort den Lieferanten der integrierten Appliance, so ist dieser Standort in Bezug auf die Verschlüsselung nicht mehr Teil des MANs/WANs. Der gleiche Hersteller muss an allen Standorten verwendet werden, was zu einer doppelten Herstellerbindung führt: Sowohl für die Verschlüsselung als auch für den Switch/Router. Ein Wechsel, z.b. von Cisco auf Juniper, HP oder Huawei, ist dann verunmöglicht. Kosteneinsparungen durch Lieferantenwechsel fallen dann aus. Bei Verwendung spezialisierter Appliances fällt die Herstellerbindung in Bezug auf vorgeschaltete Switches und Routers weg Marktübersicht Layer 2-Verschlüssler - Einführung 9

11 4. Ethernet-Topologien für MANs und WANs Das Metro Ethernet Forum (MEF) hat die unterschiedlichen Topologien von Ethernet-basierten MANs und WANs definiert und strukturiert. Unter den Punkt-zu-Punkt-Verbindungen ist auch die Ethernet Private Line, also ein direkter Link zwischen zwei Standorten, zu finden.!"#$%&'#("$)"# '*+,)" -.%,)#*#%*.%,)#/ '*0$"" -.%,)#*#%*!12#,3%,)#/ '*+45 -!12#,3%,)#*#%*!12#,3%,)#/ '#("$)"#&.$,67#"&+,)"& -'.+/ '#("$)"#&8,$#172&.$,67#"&+,)"&-'8.+/ '#("$)"#&.$,67#"&0$""& -'.*0$""/ '#("$)"#&8,$#172&.$,* 67#"&0$""&-'8.*0$""/ '#("$)"#&.$,67#"&+45& -'.*+45/ '#("$)"#&8,$#172&.$,* 67#"&+45&-'8.*+45/!"#$%&$"'(%)*+"$',)&$'-$%*).$'/!(,0!"#$%&$"'1)%$' -$%*).$2'/!1-0!"#$%&$"'3$4+5' -$%*).$2'/!3-0!"#$%&$"'3$4+5' -$%*).$2'/!3-0!"#$%&$"'>=4")89)&"' -$%*).$2'/!>-0!"#$%&$"'3$4+5'>=4"): 89)&"'-$%*).$2'/!3-0 6$7).+"$7'89)&":"9: 89)&"'.9&&$.")9& (9)&":"9:89)&"'.9&: &$.")9&'9*$%'2;)".#$7 2#+%$7')&<%+2"%=."=%$ >=4")84$'89)&":"9:89)&"'.9&&$.")9&2 >=4")84$'89)&":"9:89)&"'.9&&$.")9&2'9&'%99"?' 4$+<2' A&$'2$%*).$'8$%'BCD? E%9+7.+2"'<%+F$2'%$84):.+"$7'"9'+44'2)"$2 >=4")84$'2$%*).$2'8$%' BCD (%)*+"$G'(9%":E+2$7?'9&$'!HI'8$%'BCD H)%"=+4G'H,JC:E+2$7?'F=4")84$'!HI2'8$%'BCD Einige der Verschlüssler können optimal auf die jeweilige Topologie parametrisiert werden. 5. Ethernet-Verschlüssler Im Gegensatz zu den Verschlüsselungen auf Layer 3 (IPSec), Layer 4 (TLS) und Layer 7 (Application) sind die Angebote der Hersteller von Layer 2-Lösungen untransparent. Die publizierten Informationen sei das auf den Websites der Anbieter oder auf den entsprechenden Datenblättern werfen in der Regel mehr Fragen auf als dass sie beantworten. Insbesondere fehlte bisher Möglichkeit die unterschiedlichen Angebote nach objektiven Kriterien zu vergleichen. Die Marktübersicht vergleicht Schlüsseleigenschaften der Produkte der unterschiedlichen Hersteller, verzichtet aber aus Gründen der Objektivität auf eine Wertung. Dies bleibt dem Leser überlassen. Die gelisteten Eigenschaften sind primär quantitativer Natur, weshalb jeder, der die Anschaffung eines Layer 2-Verschlüsslers plant, sich die Produkte im Detail ansehen und auch im Test ausprobieren sollte Christoph Jaggi Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation (auch teilweise) ohne schriftliche Erlaubnis des Verfassers. cjaggi@uebermeister.com 2010 Marktübersicht Layer 2-Verschlüssler - Einführung 10