Neue Dimensionen der Leitungsverschlüsselung - Datenverluste sicher verhindern - Volker Wünnenberg Geschäftsbereich Business Security Nürnberg, Oktober 2012
Das Unternehmen im Überblick Sicherheitspartner der Bundesrepublik Deutschland Ausschließlich IT-Sicherheit secunet Security Networks AG Hamburg - Gegründet 1996, börsennotiert seit 1999 - Umsatz 2011: 55,6 Mio. Euro - Anteilseigner: G&D ca. 79%, Rest im freien Handel Essen Siegen Berlin Dresden Umfassende Kompetenz kundennah - 4 Geschäftsbereiche - 7 Standorte - Über 280 hoch qualifizierte Mitarbeiter Frankfurt München 2
Gefahren von Datenverlusten sind vielseitig Angriffe von außen - Maßnahmen Firewall, IDS/IPS, NAC Angriffe von innen - Maßnahmen NAC, Berechtigungskonzepte, DLP Cyber-Attacken auf Datenübertragungen (Leitungen) - Maßnahmen klassisch VPN (Layer 3), Mail-/Dateiverschlüsselung Sind diese Maßnahmen ausreichend und handhabbar? 3
Cyber-Attacken auf Datenleitungen Zugriffe von Clients auf Datennetze - Maßnahmen VPN Layer 3, Mail-/Dateiverschlüsselung Vernetzung von Standorten von Clients auf Datennetze - Maßnahmen VPN Layer 3, Mail-/Dateiverschlüsselung Vernetzung von Standleitungen, MPLS, VLAN - Maßnahmen Layer 2 in IP-VPN, keine Verschlüsselung - LWL nicht sicher ( EP 0 915 356 A1) 4
Verschlüsselung auf Layer 3 VPN = Layer 3 = IP - Layer 3 IPSec-Verschlüsselung erweitert die Datenpakete - Verzögerte Kommunikation (Latency/Delay) - Eingeschränkte Performance - Komplexe und aufwendige Integration und Konfiguration - Pakete sind verschlüsselt, Struktur der Kommunikation im Netzwerk bleibt sichtbar - Einsatz der IP-Verschlüsselung für MPLS und VLANs sehr komplex 5
Verschlüsselung auf Layer 2 Layer 2 Verschlüsselung = Protokollunabhängig - Verbindung von Netzwerken über Local, Wide- oder Metropolitan Area Network - Keine Änderung der Netzinfrastruktur so einfach wie vorher! - Full speed encryption ohne Overhead - Transparent für VLAN, Jumbo Frames und Protokolle wie MPLS - Verschlüsseler sind unsichtbar für die Netze - Verschlüsseler arbeiten mit allen LAN/MAN/WAN Layer 2 Szenarien Leitungsverbindungen so sicher, dass Angreifern das Lachen vergeht. 6
Wo liegen die Unterschiede? Verschlüsselung auf Layer 2 Verschlüsselung auf Layer 3 produziert keinen Overhead und bietet somit höchste Sicherheit und volle Performance bei minimaler Latenzzeit erfolgt IP-basiert ermöglicht Datenübertragung in Leitungsgeschwindigkeit eignet sich für schnelle und sichere Übertragung großer Datenmengen, wie zum Beispiel bei einer Spiegelung von Datenzentren ist auch bei zeitkritischen Anwendungen und stark ausgelasteten Verbindungen einsetzbar ist flexibel in der Gerätewahl ermöglicht eine granulare Konfiguration von Sicherheitsbeziehungen geeignet für komplexere Umgebungen ohne Echtzeitanforderungen ermöglicht eine Anbindung von festen oder mobilen Client-Systemen erfolgt protokollunabhängig 7
Flexibel: Punkt-zu-Punkt und Multipunkt E-Tree Punkt-zu-Multipunkt E-LAN Multipunkt-zu-Multipunkt VPLS Hub and Spoke Metro Ethernet E-Line Punkt-zu-Punkt 8
Layer 2 Szenarienzusammenfassung 9
SINA Gerätevarianten Varianten SINA 100 SINA 1000 SINA 10000 Netzschnittstellen fest integriert: 10BT TP RJ45 Full-Duplex 100BT TP RJ45 Full-Duplex optional nach Kundenanforderung: 1000BT TP RJ45 1000Base-X optional nach Kundenanforderung: 10G Base-R XFP MM LC (62,5/125μ) SFP MM LC (62,5/125μ) SFP SM LC (9/125μ) SR/IR/LR XFP SM LC (9/125μ) SR/IR/LR XFP DWDM/CWDM SFP DWDM/CWDM Delay 100 M: 38 μs je Gerat 1 G: 8 μs je Gerat 10 G: 5 μs je Gerat Durchsatz Ethernet Line Rate im Frame Modus 100 MBit/s, Voll-Duplex Ethernet Line Rate im Frame Modus 1 GBit/s, Voll-Duplex Ethernet Line Rate im Frame Modus 10 GBit/s, Voll-Duplex 10
Vielen Dank für Ihre Aufmerksamkeit secunet Security Networks AG Volker Wünnenberg Senior Key Account Manager Telefon: +49 201 5454-2059 Mobile: +49 151 551 03 485 volker.wuennenberg@secunet.com www.secunet.com 11