LAYER 2-VERSCHLÜSSLER FÜR METRO UND … · Sie sind für Ethernet und MPLS optimiert und können...

PRÄSENTIERT:

LAYER 2-VERSCHLÜSSLER FÜR

METRO UND CARRIER ETHERNET MANS UND WANS

ETHERNET-VERSCHLÜSSELUNG EINFÜHRUNG – DER SCHUTZ VON VIRTUELLEN PRIVATEN NETZEN UND VON LAN-ERWEITERUNGEN: LAYER 2 VS. LAYER 3 Version 3.01, 26. April 2011

© 2007-2011 Christoph Jaggi Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation (auch teilweise) ohne schriftliche Erlaubnis des Verfassers. www.uebermeister.com [email protected]

http://www.uebermeister.com/files/inside-it/2014_Einf%C3%BChrung_Verschl%C3%BCsselung_Metro_und_Carrier_Ethernet.pdf

PRÄSENTIERT:

LAYER 2-VERSCHLÜSSLER FÜR

METRO UND CARRIER ETHERNET METRO UND WIDE AREA NETWORKS

ETHERNET-VERSCHLÜSSELUNG EINFÜHRUNG – DER SCHUTZ VON VIRTUELLEN PRIVATEN NETZEN UND VON LAN-ERWEITERUNGEN: LAYER 2 VS. LAYER 3 Version 3.01, 26. April 2011

© 2007-2011 Christoph Jaggi Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation (auch teilweise) ohne schriftliche Erlaubnis des Verfassers. www.uebermeister.com [email protected]

2011 Marktübersicht Layer 2-Verschlüssler - Einleitung 2

Zusammenfassung Netzwerke sind unsicher. Das gilt für optische Netzwerke genauso wie für alle anderen drahtgebundenen und drahtlosen Netzwerke. Die nötigen Anleitungen zum Abhören lassen sich problemlos per Suche im Internet finden und auch die nötigen Utensilien sind ohne grösseren Aufwand beschaffbar. Ohne Ver-schlüsselung sind Netzwerke über öffentlichen Grund nicht sicher. Es stellt sich daher nicht die Frage, ob verschlüsselt werden soll, sondern nur, welcher Ansatz der effizienteste und sicherste ist. Je tiefer der Layer, desto umfassender die Protokolle, die verschlüsselt werden können und desto effizienter der Schutz und die Verarbeitung. Das gesamte Netzwerk lässt sich nur auf Layer 2 mit guter Netzwerk-kompatibilität verschlüsseln. Die Verschlüsselungsschicht sollte deshalb durch das Einsatzszenario und die Geschäftserfordernisse bestimmt werden. Ohne Verschlüsselung sind Virtual Private Networks unsicher. Das Wort „Private“ ist kein Synonym für „verschlüsselt“ oder „sicher“, sondern bedeutet nur, dass das Netzwerk logisch von anderen Netzwer-ken getrennt ist. Effektiv teilt sich das VPN die Infrastruktur mit vielen anderen VPNs und teilweise auch mit normalem Internet-Verkehr. Die Carrier preisen an, dass virtuelle private Netzwerke fast so sicher sind wie Mietleitungen, vergessen aber dabei zu erwähnen, dass Mietleitungen ungeschützt und nicht im Ge-ringsten abgesichert sind. Layer 2-Verschlüssler funktionieren anders als Layer 3-Verschlüssler. Letztere sind für die Verschlüsse-lung von IP-Nutzlast mit IPSec ausgelegt. Um das ganze IP-Paket inklusive IP-Header zu verschlüsseln, muss es getunnelt werden. Will man mittels IPSec einen Ethernet Frame verschlüsseln, so muss dieser zuerst auf Layer 3 gehoben werden. So wird dieser in IP-Nutzlast transformiert, die dann auf Layer 3 ver-schlüsselt werden kann. Layer 2-Verschlüssler sind für die Verschlüsselung von Layer 2 und allem, das sich darüber befindet, kon-zipiert. Sie sind für Ethernet und MPLS optimiert und können ohne Tunnel Ethernet-basierte IP- und MPLS-Netzwerke verschlüsseln. Und das sowohl im Punkt-zu-Punkt- als auch im Multipunkt-Betrieb. Ethernet-basierte Site-to-Site- und Multi-Site-Netzwerke werden am besten mit Ethernet-Verschlüsslern geschützt. Das gleiche gilt für Layer 2.5 VPNs (MPLS), die auf Layer 2 verschlüsselt wer-den können, ohne dass dabei – im Gegensatz zur Verschlüsselung auf Layer 3 - ein Tunneln nötig ist. Von Layer 2 aus besteht direkter Zugriff auf alle relevanten Netzwerkschichten (2-7). Das richtige Produkt erlaubt das Verschlüsseln aller Netzwerke, die über ein Ethernet MAN oder WAN betrieben werden: Ethernet, MPLS und IP. Und das Ganze ohne Tunneln und Einkapseln. Das Verschlüsseln von Ethernet-Netzwerken auf Layer 2 ist einfacher, sicherer und leistungsfähiger. Die beste Lösung für das Absichern von Layer 2-Netzwerken bieten spezialisierte, autonome Layer 2-Verschlüssler. Sie sind komplette Lösungen, fügen sich nahtlos in bestehende Netze ein und fokussieren sich messerscharf auf ihre Aufgabe. Die Abläufe und das Management sind einfach und vollständig auf die Aufgabe optimiert. Dies erhöht nicht nur Leistung und Sicherheit, sondert wirkt sich kurz-, mittel- und längerfristig auch positiv auf die Flexibilität und die Kosten aus. Es gibt zwar unterschiedliche Ansätze, um Layer 2-Verschlüsselung in andere Appliances zu integrieren und sie als Nebenaufgabe auszuführen, doch bietet keiner dieser Lösungen die Sicherheit und Effizienz eines dedizierten Verschlüsslers. Die auf dem Markt erhältlichen Ethernet-Verschlüssler verwenden unterschiedliche Lösungsansätze. Dies führt dazu, dass nicht alle Produkte für alle Einsatzszenarien gleich gut geeignet sind. In den auf www.inside-it.ch veröffentlichten Kurzfassungen der Marktübersichten zum Thema Ethernet-Verschlüssler – Punkt-zu-Punkt und Multipunkt – finden sich die wichtigsten Eigenschaften der verschie-denen Produkte mit entsprechenden Erläuterungen. Die aktuelle Version der Marktübersichten ist Versi-on 3 (Ausgabe 2011).


Inhaltsverzeichnis Zusammenfas-sung........................................................................................................................2 Ethernet-Verschlüsselung: Layer 2 vs. Layer 3

1. Wieso Verschlüsselung auf Layer 2?.................................................................................4 1.1. Netzwerke sind unsicher

1.2. Virtual Private Networks (VPN) sind ungeschützt

1.3. Umfassende Verschlüsselungslösungen

2. Netzwerkschichten und Verschlüsselung: L2 vs. L3…………………..…...……………6 2.1. Unterschiedlicher Layer – unterschiedlicher Ansatz……………………….................…………6 2.2. IPSec-Verschlüsselung auf Layer 3……………….……………………………..................……6

2.2.1. IPSec – Der Standard für Layer 3-Netzwerkverschlüsselung 2.2.2. Das Verwenden von IPSec für die Verschlüsselung von Ethernet

2.3. Native Ethernet-Verschlüsselung auf Layer 2…………………………………..………………8 2.3.1. Native Ethernet-Verschlüsselungsmodi

a) Bulk-Modus b) Transport-Modus c) Tunnel-Modus d) MacSec/LinkSec e) Cisco TrustSec

2.3.2. Standortinterne vs. standortübergreifende Netzwerke 2.4. Sicherheit, Effizienz und operationalle Aspekte………….…………….….…………………..11

2.4.1. Sicherheit 2.4.2. Effizienz

a) Sicherheitsoverhead b) Schlüsselsystem c) Verarbeitungsgeschwindigkeit d) Skalierbarkeit

2.4.3. Operationelle Aspekte a) Einfaches Installieren und Konfigurieren b) Betriebskosten

3. Spezialisierte Appliances vs. integrierte Appliances………………………………...…..13 3.1. Sicherheit 3.2. Leistung 3.3. Erweiterbarkeit 3.4. Kosten

4. Metro Ethernet Topologien für MANs und WANs…………………………….....…..17

5. Ethernet-Verschlüssler………………………………....................................................17

1. Wieso Verschlüsselung auf Layer 2? 1.1. Unsichere Netzwerke

Netzwerke sind unsicher. Das gilt für optische Netzwerke genauso wie für alle anderen drahtgebundenen und drahtlosen Netzwerke. Die nötigen Anleitungen zum Abhören las-sen sich problemlos per Suche im Internet finden und auch die nötigen Utensilien sind ohne grösseren Aufwand beschaffbar. Ohne Verschlüsselung sind Netzwerke über öffent-lichen Grund nicht sicher. Es stellt sich daher nicht die Frage, ob verschlüsselt werden soll, sondern nur, welcher Ansatz der effizienteste und sicherste ist. Je tiefer der Layer, desto umfassender die Protokolle, die verschlüsselt werden können und desto effizienter der Schutz und die Verarbeitung. Das gesamte Netzwerk lässt sich nur auf Layer 2 mit guter Netzwerkkompatibilität verschlüsseln. Die Verschlüsselung des Bitstreams auf Layer 1 reduziert die Netzwerkkompatibilität auf ein Minimum und kommt, wenn überhaupt, nur bei direkten fiberoptischen Punkt-zu-Punkt-Verbindungen (Dark Fiber) zum Einsatz. Komplexität, Overhead und Kosten der Verschlüsselung auf den verschiedenen Layer unterschieden sich stark. Es ist daher sinnvoll, nicht alles über den gleichen Leisten zu schlagen, sondern je nach Netzwerk und Einsatzszenario den bestgeeigneten Layer für die Verschlüsselung zu wählen.

Das obenstehende Diagramm zeigt die Verschlüsselungsschichten und damit auch, dass ein Layer 3-Verschlüssler für das Verschlüsseln von Daten von der Sicherungsschicht (Data Link Layer) diese einzeln zuerst auf die Netzwerkschicht hochheben muss, um sie dann verschlüsseln zu können. Layer 3-Verschlüssler sind auf Layer 3 beschränkt, da sie nur IP-Nutzlast verschlüsseln können. Deshalb muss ein Layer 3-Verschlüssler die Daten von der Sicherungsschicht zuerst in Layer 3-Nutzlast umwandeln, was kontinuierliche Klimmzüge beinhaltet.


Schaut man die unterschiedlichen Layer aus Ethernet-Perspektive an, so folgen auf den Layer 2-Header die Layer 2.5 bis 7. Den Abschluss bildet die Checksumme.

Auf Layer 2 lassen sich Layer 2 und alle Schichten oberhalb davon verschlüsseln, ohne dass ein ressourcenhungriger Mechanismus wie Tunneln oder Einkapselung nötig ist.

1.2. Ungeschützte Virtual Private Networks (VPN) Ohne Verschlüsselung sind Virtual Private Networks unsicher. Das Wort „Private“ ist kein Synonym für „verschlüsselt“ oder „sicher“, sondern bedeutet nur, dass das Netzwerk logisch von anderen Netzwerken getrennt ist. Effektiv teilt sich das VPN die Infrastruk-tur mit vielen anderen VPNs und teilweise auch mit normalem Internet-Verkehr. Die Carrier preisen an, dass virtuelle private Netzwerke fast so sicher sind wie Mietleitungen, vergessen aber dabei zu erwähnen, dass Mietleitungen ungeschützt und nicht im Gering-sten abgesichert sind. Nur SSH- und SSL-VPNs kommen aufgrund des Transports über normale öffentliche IP-Netzwerke mit eingebauter und aktiver Verschlüsselung. IP-VPNs sind nicht zwangs-läufig verschlüsselt, selbst wenn IPSec angewendet wird. IPSec kennt zwei Modi: Beim einen wird nur authentisiert und beim anderen wird authentisiert und verschlüsselt. In Bezug auf Schlüsselsysteme deckt der IPSec-Standard nur Punkt-zu-Punkt-Verbindungen ab. Für Multipunkt-Verbindungen gibt es hingegen keinen Standard. MPLS befindet sich auf Layer 2.5 und verfügt über keinen eigene Verschlüsselungsfunktionalität. Es muss des-halb von Layer 2 aus oder auf Layer 3 verschlüsselt werden. Ebenfalls keinen Standard, dafür geeignete Lösungen, gibt es für Ethernet-VPNs auf Layer 2.

Um die Daten und das Netzwerk zu schützen gibt es keinen anderen Weg als das VPN

Ethernet Header MPLS Header TCP/UDP Header PayloadIP Header

Layer 2 Layer 2.5 Layer 3 Layer 4 Layer 5-7

Checksum


zu verschlüsseln. Als zusätzlicher Bonus winkt dafür die Compliance mit wichtigen Vor-schriften. Für ein Ethernet-VPN braucht es Ethernet-Verschlüssler, die das Netzwerk auf Layer 2 verschlüsseln. Ein MPLS-VPN liegt auf einer Zwischenschicht zwischen Layer 2 und Layer 3. Die Verschlüsselung eines MPLS-Netzwerks kann entweder mittels eines Ethernet-Verschlüsslers, der MPLS erkennt, auf Layer 2 verschlüsselt werden, oder mit einem IPSec-Verschlüssler auf Layer 3.

1.3. Umfassende Verschlüsselungslösungen Layer 2-Verschlüsselung ist eine Notwendigkeit für Ethernet Netzwerke. Die IEEE hat deshalb einen Standard für die Verschlüsselung von Ethernet auf Layer 2-Ebene für standortinterne LANs veröffentlicht: IEEE 802.1ae (MACSec). Authentisierung und Schlüsselverwaltung für MACSec sind mittlerweise als Teil von IEEE 802.1X-2010 stan-dardisiert, nachdem der erste Versuch einer Standardisierung (IEEE 802.1af) erfolglos blieb. Da MACSec für den Einsatz innerhalb von Standort-Netzwerken ausgelegt ist, be-steht eine Einschränkung auf Hop-to-Hop-Szenarien und es wird eine Authentisierung und Schlüsselverwaltung verwendet, die eigentlich für WLANs konzipiert war. Für Mul-ti-Hop-Netzwerke und VPNs gibt es keinen IEEE-Standard. In anderen Worten: Es gibt keinen Verschlüsselungsstandard für MANs und WANs, die auf Metro und Carrier Ethernet aufbauen. Vermaschte (meshed) Multipunkt-Netzwerke, die über mehrere Hops gehen, werden immer mehr zur Norm. Deshalb würde es eigentlich einen umfas-senden Standard brauchen, der auch die nötigen Gruppenschlüsselsysteme abdeckt. Ei-nen solchen Standard gibt es weder für Layer 2 noch für Layer 3, umfassende und inte-grierbare Lösungen hingegen schon.

2. Netzwerkschichten und Verschlüsselung: L2 vs. L3 2.1. Unterschiedlicher Layer – unterschiedlicher Ansatz

Layer 2-Verschlüssler funktionieren anders als Layer 3-Verschlüssler. Letztere sind für die Verschlüsselung von IP-Nutzlast mit IPSec ausgelegt. Um das ganze IP-Paket inklusive Header IP-Header zu verschlüsseln, muss es getunnelt werden. Will man mittels IPSec einen Ethernet Frame verschlüsseln, so muss dieser zuerst auf Layer 3 gehoben werden. So wird dieser in IP-Nutzlast transformiert, die dann auf Layer 3 verschlüsselt werden kann. Wird für die Verschlüsselung von MPLS-Netzwerken IPSec verwendet, so wird IPSec das original IP-Paket, das die MPLS-Nutzlast konstituiert, tunneln, Tunnels füh-ren zu Overhead und zu Rechenaufwand. Doppelte Tunnels, wie sie bei der Tunnelung eines Layer 2-Frames über IP und Verschlüsselung mit ESP IPSec Tunnel-Modus anfal-len, sind nicht mehr als eine Notlösung für den Fall fehlender Layer 2-Infrastruktur. Layer 2-Verschlüssler sind für die Verschlüsselung von Layer 2 und allem, das sich dar-über befindet, konzipiert. Sie sind für Ethernet und MPLS optimiert und können ohne Tunnel Ethernet-basierte IP- und MPLS-Netzwerke verschlüsseln. Und das sowohl im Punkt-zu-Punkt- als auch im Multipunkt-Betrieb. Verschlüsselung ist am effizientsten, wenn sie auf der nativen Schicht oder darunter erfolgt. Der nachstehende Vergleich von Verschlüsselung auf Layer 2 gegenüber Layer 3 bezieht sich auf Verschlüsselung für Ethernet-Netzwerke respektive IP-Netzwerke und stellt nur die Verschlüsselung auf dem jeweiligen Layer gegenüber.


2.2. IPSec-Verschlüsselung auf Layer 3 Für die Standortvernetzung wird bei Verschlüsselung auf Layer 3 in der Regel der IPSec ESP Tunnel-Modus verwendet. Dieser bringt je nach verwendetem Verschlüsselungs-standard einen Paketoverhead von 58–73 Bytes. Diese Zahlen beziehen sich auf IPv4, denn bei IPv6 ist der Overhead um mindestens 20 Bytes grösser. Bei den kleinen Pakten von 64 Bytes, welche einen immer grösseren Anteil des Netzverkehrs ausmachen, kann dies zu einer Verdoppelung der Paketgrösse und entsprechender Netzwerkbelastung füh-ren. Der prozentuale Zuwachs nimmt bei grösseren Paketen ab. Wird die Verschlüsse-lung von Layer 3 auf Layer 2 verschoben, so sind die IP-Pakete auf Layer 2 reine Nutzlast und können ohne Overhead auf Paketebene verschlüsselt werden.

2.2.1. IPSec – Der Standard für Layer 3-Netzwerkverschlüsselung Betrachtet man ein IP Paket mit seiner Nutzlast im IPSec ESP Transport und Tun-nel Modus, so zeigen sich die Ineffizienzen durch den Verschlüsselungsmodus auf Paketebene deutlich.

Am Anfang steht ein IP-Paket, wie es auf Layer 3 transportiert wird. Es besteht aus einem IP-Header und der Nutzlast. Im Transport Modus wird nur die Nutzlast verschlüsselt, der ursprüngliche IP-Header bleibt bestehen und ungeschützt und der Verschlüsselungsoverhead bleibt halbwegs im normalen Bereich. In der Regel wird aber der Tunnel Modus verwen-det, bei dem auch der IP-Header verschlüsselt und dem Paket ein neuer IP-Header hinzugefügt wird. Damit kann zwar das gesamte ursprüngliche IP-Paket verschlüsselt werden und es findet auch gleichzeitig eine Network Address Translation (NAT) statt, doch drückt sich das auch im Verschlüsselungsoverhead aus. Dieser nimmt ent-sprechend um 20 Bytes (IPv4) respektive 40 Bytes (IPv6) zu. Für den Transport auf Ethernet wird das verschlüsselte IP Paket mit einem MAC Header und einer CRC Checksum versehen.

IP Header IP Payload

IP Header ESP Header IP Payload ESP Trailer ESP Authentication

NewIP Header

IP HeaderESP Header IP Payload ESP Trailer ESP Authentication

encryptedauthenticated


IP Packet

IP Packet IP Sec Transport Mode

IP Packet IP Sec Tunnel Mode


Für Ethernet ist das ganze im IPSec ESP Tunnel Modus verschlüsselte IP Paket reine Nutzlast. Entsprechend kann eine Transport Modus-Verschlüsselung auf Layer 2 ohne Paketoverhead die Nutzlast genauso gut verschlüsseln wie IPSec im ESP Tun-nel Modus. IPSec ESP Modus bietet mittels Encapsulating Security Payload (ESP) Vertraulichkeit, Authentisierung des Datenursprungs, Integrität und einen Schutz vor Replay-Attacken. Zur Aufrechterhaltung einer gleichwertigen Sicherheit braucht es äquivalente Mechanismen auf Layer 2. Ein Teil des Overheads, der auf Layer 3 generiert worden wäre, verschiebt sich auf Layer 2. Gut implementiert wird dies aber weniger Overhead zur Folge haben und auch in Bezug auf die Netzwerkfunktionali-tät deutlich flexibler sein als IPSec auf Layer 3.

Im Übrigen ist zu beachten, dass es auf Layer 3 eine Rolle spielt, ob man IPv4 oder IPv6 verwendet. Beide verwenden IPSec als Verschlüsselungsstandard, aber für die L3-Verschlüssler ist es durchaus relevant, ob IPv4 oder IPv6 verschlüsselt wird. Auf Layer 2 spielt es keine Rolle, ob die Nutzlast aus IPv4 oder IPv6 besteht.

2.2.2. Das Verwenden von IPSec für die Verschlüsselung von Ethernet Es ist durchaus möglich, Ethernet mittels IPSec zu verschlüsseln. Um das zu bewerk-stelligen muss der Ethernet-Frame auf Layer 3 hinaufbefördert werden damit er zur IP-Nutzlast wird. Sobald der Ethernet-Frame IP-Nutzlast ist kann er auf Layer 3 mit-tels IPSec verschlüsselt werden. Da IP über Ethernet transportiert wird, ist das Resul-tat Ethernet, das über IP transportiert wird, das selbst wieder über Ethernet transpor-tiert wird. Es ist so ineffizient, wie es tönt. Wird beispielweise L2TPv3 für den Transport von Ethernet über IP verwendet, so verursacht bereits die Einkapselung einen Overhead von 50 Bytes.

Die IPSec-Verschlüsselung fügt dem nochmals 38-53 Bytes hinzu. In diesem Szena-rio ist nur eine Verschlüsselung im ESP Transport Mode möglich. Ohne Tunnel fällt auch der entsprechende zusätzliche Overhead weg.

MAC Header

NewIP Header

IP HeaderESP Header IP Payload ESP TrailerESPAuthetication

CRCCheckum


IP Packet IP Sec Tunnel Mode in Ethernet Frame

MAC Header

Ethernet PayloadCRCCheckum

DA SA ET Payload

MAC Header(18 bytes)

Data(16 - 1500 bytes)

ET VIDSession-

IDCookie

Tunneling Header(4-12 bytes)

IPv4 Header

Delivery Header(20 bytes)

DA SA

Local Transport Header(18 bytes)

Transport Header Tunneling Header

L2TPv3

ETET VID CRC

Checksum(4 bytes)


2.3. Native Ethernet-Verschlüsselung auf Layer 2 Beginnen wir mit wieder mit einem Paket, wie es auf Layer 3 transportiert wird. Es be-steht aus einem IP-Header und der Nutzlast. Für den Transport auf Layer 2 auf Ethernet wird das IP Paket mit einem MAC Header und einer CRC Checksum versehen. Gleich wie das verschlüsselte IP-Paket ist auch das unverschlüsselte IP-Paket auf Layer 2 reine Nutzlast.

Eine Verschlüsselung im Transport-Modus auf Layer 2 verschlüsselt das ganze IP-Paket inclusive IP-Header ohne dass ein Tunneln nötig ware. Das Tunneln allein generiert ei-nen vermeidbaren Overhead von 20-40 Bytes und führt zudem noch zu einer erhöhten Latenz. Nachstehend die wichtigsten Verschlüsselungsmodi für Ethernet:

2.3.1. Native Ethernet-Verschlüsselungsmodi Für Ethernet sind Bulk-, Transport- und Tunnel-Modus verfügbar: a) Bulk-Modus

DA SA ET Payload



ET VIDSession-

IDCookie

Tunneling Header(4-12 bytes)

IPv4 Header

Delivery Header(20 bytes)

DA SA

Local Transport Header(18 bytes)

Transport Header Tunneling Header

L2TPv3 + IPSec

ETET VID CRC

Checksum(4 bytes)

ESP Header(8 bytes)

ESP Header

ESP Trailer (2 bytes)

ESP Trailer ESP Authentication

ESP Auth (12 bytes)

MAC Header

IP Header IP PayloadCRCCheckum

IP Header IP Payload

MAC Header

Ethernet PayloadCRCCheckum

IP Packet (Header and Payload)

IP Packet (Header and Payload) inside Ethernet Frame

IP Packet as Ethernet Payload


Bei der Bulk-Verschlüsselung (auch Frame Encryption oder Link Encryption ge-nannt) wird das der ganze Ethernet-Frame samt seiner Nutzlast zwischen Pream-ble und Interframe Gap verschlüsselt. Bei einer Verschlüsselung auf Layer 3 müsste dafür der ganze Ethernet-Frame getunnelt und dann mit IPSec verschlüs-selt werden. Dies führt dann zu massivem Overhead. Der Bulk-Modus auf Layer 2 beschränkt aber die möglichen Einsatzszenarien auf Hop-to-Hop, da sämtliche Adressinformationen mitverschlüsselt werden.

b) Transport-Modus

Der meistgenutzte Verschlüsselungsmodus ist der Transport-Modus. Der Grund dafür liegt in der vollen Netzwerkkompatibilität, die durch die Begrenzung der Verschlüsselung auf die Nutzlast erreicht wird.

Beim Transport-Modus gibt es zwei verschiedene Modi, wobei der erste nur die Nutzlast verschlüsselt und der andere nebst der Nutzlastverschlüsselung auch den von der IEEE für unerlässlich gehaltenen expliziten Replay- und Integritätsschutz bietet. IPSec kennt nur den Transport-Modus mit ESP, so dass bei einem Ver-gleich mit IPSec zwecks Vergleichbarkeit auch die Ethernet-Seite die entspre-chenden Schutzvorkehrungen unterstützen muss.

c) Tunnel-Modus

Einen Tunnel-Modus gibt es auch auf Layer 2, doch wird der nur dann einge-setzt, wenn der gesamte Original-Frame verschlüsselt werden muss und ein Mul-tihop-Szenario vorhanden ist. Das Tunneln führt zu Overhead und erhöhter Verarbeitungszeit.

!" #" $% &'()*'+ ,-,

.",/01'+12!"#$%&'()*

!'3'!"+$,$"-..$%&'()*

,4156789!/$%&'()*

$% :;!

(012&3'(4

!"#$%&'!(

!" #" $% &'()*'+ ,-,

.",/01'+12)*+,-%'!./

!'3')*0,1,*233,-%'!./

,4156789)4,-%'!./

$% :;!

!" #" $% &'()*'+ ,-,

.",/01'+12!"#$%&'()*

!'3'!"+$,$"-..$%&'()*

,4156789!/$%&'()*

$% :;! $% ;: ;,:

#15%'<!#$,$"+$%&'()*

;=31<2>3(/,4156/:')81/!/$,$"+$%&'()*

(012&3'(4

56'7(0'815'(456'7(0'815'(4


Auch beim Tunnel-Modus gibt es zwei unterschiedliche Modi: Einen, der nur die Nutzlast – also den gesamten Originalframe - verschlüsselt und einen, der nebst der Nutzlastverschlüsselung auch expliziten Replay- und Integritätsschutz bietet.

d) MacSec/LinkSec

MacSec (auch als LinkSec bekannt) ist eine reine Link-Verschlüsselung. Im Ge-gensatz zum Transport-Modus setzt MacSec das Tag direkt nach der Ziel- und Senderadresse ein. Nur Geräte, die Mac-Sec direkt unterstützen können über-haupt das Frame-Format erkennen. Entsprechend seiner Ausrichtung als Hop-to-Hop-Verschlüsselung funktioniert MacSec nur zwischen zwei MacSec-Geräten, die direkt miteinander verbunden sind. Bei jedem Gerät wird der Fra-me nach Empfang entschlüsselt und vor Versand verschlüsselt. Innerhalb des Ge-räts bleiben die Daten unverschlüsselt. MacSec wurde für die Verwendung in-nerhalb eines lokalen Firmennetzwerkes spezifiziert und findet seinen Anwen-dungsbereich auch vorzugsweise dort. Über eine integrierte Schlüsselverwaltung verfügt MacSec im Gegensatz zu dedizierten Verschlüsselungsgeräten nicht. Ausser dem Frame-Format gibt es keine garantierte Kompatibilität zwischen un-terschiedlichen MacSec-Implementierungen. Cisco’s TrustSec ist sogar mit überhaupt nichts kompatibel, obwohl es auch auf MacSec/LinkSec basiert. http://en.wikipedia.org/wiki/IEEE_802.1AE http://download.intel.com/corporate/education/emea/event/af12/files/kahn.pdf http://www.ixiacom.com/pdfs/library/white_papers/MACSec_white_paper.pdf

e) Cisco TrustSec

!"#$%&'!(

!" #" $% &'()*'+ ,-,

.",/01'+12)*+,-%'!./

!'3')*0,1,*233,-%'!./

,4156789)4,-%'!./

$% :;!$%

.",/01'+12)*+,-%'!./

!" #" $% :;!

!"!

!#$%&'()!"#$%&'()

*+ ,+ -. /012304

5+!67$04$8!*+#$%&'()

*090!*,#-#*.//#$%&'()

-. :;*-.

5+!67$04$8!*+#$%&'()

*+ ,+ -. :;* ;:

;<9$=8>916!#$%&!"#-#*+#$%&'()

;!:

,$%.0=!+#-#*,#$%&'()

'012%3&'4

56&7'0&815&'456&7'0&815&'4

DA SA



ET VIDET

MACSec Tag(8-16 bytes)

Integrity Check Value(8 - 16 bytes)

IV ET Payload ICV

VLAN-Tag(4 bytes)

CRC

Checksum(4 bytes)

encrypted

authenticated

DA SA



ET VIDET

MACSec Tag(16 bytes)

Integrity Check Value(16 bytes)

IV ET Payload ICV

VLAN Tag(4 bytes)

CRC

Checksum(4 bytes)

encrypted

authenticated

CMD

Cisco Meta Data (8 bytes)


Cisco’s TrustSec für Layer 2 basiert auf MacSec/LinkSec und übernimmt dessen Grundeigenschaften, parametrisiert sie aber für die eigene Anwendung. TrustSec fügt dem Frame noch Cisco Meta Data hinzu, was den Overhead von 32 Bytes auf 40 Bytes erhöht. http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9402/ps9512/brochure_cisco_nexus_7000_series_security_features.pdf Da MacSec nur Hop-to-Hop funktioniert, ist es für den Einsatz in den Berei-chen MAN und WAN denkbar ungeeignet, da dort praktisch ausschliesslich Multihop-Verbindungen anzutreffen sind. Anstatt eine native Lösung auf Layer 2 zu entwickeln, hat sich Cisco dazu entschlossen, den ganzen Ethernet-Frame über IP zu transportieren, das wiederum über Ethernet transportiert wird. Das Resultat ist Ethernet über IP über Ethernet. Cisco bezeichnet dies als Overlay Transport Virtualization (OTV), aber trotz dem vielversprechenden Namen ist es nichts anderes als ein ineffizienter Weg, um die Wahl des falschen Verschlüs-selungsansatzes zu kompensieren.

Das Ganze ist so ineffizient wie es auf den ersten Blick aussieht: Bereits Mac-Sec/TrustSec generiert einen Overhead von 40 Bytes. Dem fügt OTV noch mindestens 42 Bytes hinzu und der Overhead pro Frame erhöht sich auf 82 Bytes pro Frame. Wird IPv6 benutzt, so erhöht sicher der Overhead nochmals um 20 Bytes und erreicht 102 Bytes pro Frame. Dies hat negative Auswirkungen in den Bereichen Netzwerkperformance, Kompatibilität und Kosten.

2.3.2. Standortintern vs. MAN und WAN Layer 2-Verschlüsselung zeigt seine Stärken bei der Absicherung von breitbandiger Infrastruktur, sei dies standortintern oder zwischen Standorten. Der Ansatz für die Absicherung standortinterner Netzwerke unterscheidet sich deutlich von dem für die Absicherung von Metro- und Wide Area Netzwerken. Eine Unterscheidung ist das unterstützte Netzwerkszenario: Für standortinterne Netzwerke ist Hop-to-Hop-Unterstützung in der Regel genügend, während die Unterstützung von Multihop-Szenarien für standortübergreifende Netzwerke in der Regel zwingend ist. Ein weite-rer Unterschied findet sich in der Schlüsselverwaltung: Während sich die standortin-terne Verschlüsselung primär auf die interne Authentifizierungsstruktur und Schlüs-selverwaltung stützt, ist eine breitbandige Verschlüsselung zwischen Standorten vor-zugsweise vollständig autonom. Die Verschlüssler bilden auf beiden Seiten der Ver-bindung einen klaren Demarkationspunkt zwischen interner und externer Netzinfra-struktur (rotes und schwarzes Netzwerk).

2.4. Sicherheit, Effizienz und operationelle Aspekte

2.4.1. Sicherheit So viel wie möglich so einfach wie möglich verschlüsseln, so lautet die Devise beim

DA SA



ET VID ET

MACSec Tag(16 bytes)

Integrity Check Value(16 bytes)

IV ET Payload ICV

OTV Shim(30 bytes)

CRC

Checksum(4 bytes)

encrypted

authenticated

CMD

Cisco Meta Data (8 bytes)

DA SA


ET IPOTV Shim

IP Header(20 bytes)


Absichern von Netzwerken. Dabei gibt es Kompromisse zwischen Netzwerksicher-heit und Netzwerkkompatibilität. Mit Layer 3-Verschlüsselung kann man die IP-Schicht und was darüber liegt ver-schlüsseln, nicht aber das zugrundeliegende Ethernet-Netzwerk mit sämtlichen Pro-tokollen, die sich darauf tummeln. Der Schutz des gesamten Netzwerkverkehrs lässt sich nur mit Layer 2-Verschlüsselung ohne ressourcenhungrige Einkapselung und zusätzliches Tunneln bewerkstelligen. Layer 3-Verschlüsselung ist dazu nicht in der Lage, da es nur die IP-Pakete auf dem Network Layer verschlüsseln kann, der gesamte Rest aber unver-schlüsselt bleibt. Effizienten Schutz für Layer 2-Nutzlast gibt es nur auf Layer 2. Das Gleiche gilt für den Vollschutz sämtlichen Layer 2-Verkehrs (ARP, STP, CDP, etc.). Um Layer 3 zu schützen, muss IPSec den Original-Header tunneln und um Layer 2 zu schützen muss der ganze Layer 2-Frame eingekapselt werden. Beide Mechanismen führen zu einer wahrnehmbaren Leistungseinbusse.

2.4.2. Effizienz Die Effizienz wird durch die Grösse des Sicherheitsoverheads, das Schlüsselsystem, die Verarbeitungsgeschwindigkeit und die Skalierbarkeit bestimmt. . a) Sicherheitsoverhead

Der Sicherheitsoverhead wird durch die verwendeten Verschlüsselungsstandards und Verschlüsselungsmodi generiert. Das Vermeiden von unnötigem Füllmateri-al (Padding) begrenzt den Sicherheitsoverhead. Im Gegensatz zu Layer 3-Verschlüsslern verwenden die meisten Layer 2-Verschlüssler Verschlüsselungs-standards, bei denen Padding vermieden wird: Statt einfachem CBC kommen CBC mit Ciphertext Stealing (CBC-CTS) oder Stromchiffren (Stream Cipher) zum Einsatz. Die Einsparung beträgt zwischen 2 und 23 Bytes pro Paket. Ein Vergleich des gesamten Verschlüsselungsoverhead bei Verwendung des glei-chen Verschlüsselungsstandards (AES) zeigt auf, dass bei IPSec ein Paketover-head von 58–73 Bytes entsteht, während bei der Verschlüsselung eines Ethernet-Frames im Transport-Modus nur ein Verschlüsselungsoverhead von 18-26 Bytes anfällt. Der Overhead auf Layer 2 ist also signifikant tiefer und die Layer 2-Lösung entsprechend besser.

Je kleiner die Paketgrösse, desto grösser ist der von IPSec generierte Overhead.


Gemäss IMIX, dem standardisierten durchschnittlichen Paketgrössenmix für IP-Verkehr betragen die Pakete mit einer Grösse von 64 Bytes rund 45% aller IP-Pakete auf einem Netzwerk. Die IP-Pakete von einer Grösse von 64 Bytes und 128 Bytes machen zusammen gar knapp zwei Drittel aller Pakete aus.

b) Schlüsselsystem

Die Fähigkeit und Flexibilität des Schlüsselsystems hat Auswirkungen auf den Netzwerkoverhead, da nur Gruppenschlüsselsysteme Multicast- und Broadcast-Frames effizient zuweisen können, so dass ein Fluten von Multicast- und Broad-cast-Frames über alle Verbindungen vermieden wird. IKE, das Schlüsselsystem von IPSec, hat in diesem Bereich deutliche Schwächen. Diese haben mehrere Anbieter dazu gebracht eigene proprietäre Schlüsselsysteme für IPSec zu entwic-keln und zu vermarkten. Die meisten Layer 2-Verschlüssler verfügen über einge-baute leistungsfähige Gruppenschlüsselsysteme mit integriertem Failover-Mechanismus.

c) Verarbeitunsgeschwindigkeit

Die Latenz für Layer 2-Verschlüssler mit Hardwareunterstützung wird in Mikro-sekunden ausgedrückt, während die Verschlüsselung mit IPSec in Millisekunden gemessen wird. Zwischen Mikrosekunden und Millisekunden besteht ein Faktor von 1’000.

d) Skalierbarkeit

Ethernet-Verschlüssler können Bandbreiten von 10Mbit/sec bis zu 10Gb/sec voll duplex mit marginaler Latenz verschlüsseln. Es gibt kaum IPSec-Verschlüssler, die 10Gb/Sec voll duplex verarbeiten können und keinen, der dies kann, wenn zuerst der Layer 2-Frame eingekapselt werden muss.

2.4.3. Operationelle Aspekte a) Einfaches Installieren und Konfigurieren

Ethernet-Verschlüssler sind Höcker im Draht (bump-in-the-wire). Sie fügen sich problemlos in bestehende Netzwerke ein und werden einfach eingeschlauft. Eine Rekonfiguration des Netzwerks ist unnötig. Die Konfiguration ist einfach, schnell und Fehler praktisch ausgeschlossen. Der Netzausfallzeit für die Installa-tion ist auf ein Minimum reduziert. Bei IPSec ist das alles deutlich komplizierter, zeitaufwändiger und fehleranfälliger.

b) Betriebskosten

Ethernet-Verschlüssler brauchen kaum Unterhalt und haben deshalb den Ruf in die Kategorie “Installieren & Vergessen” (deploy & forget) zu fallen. Sie führen ihre Arbeit im Hintergrund aus, ohne dabei die Leistungsfähigkeit des Netzwerks zu beeinträchtigen. Geringe Unterhaltskosten sind gleichbedeutend mit geringe-rem Personalaufwand und geringeren Betriebskosten.


Da sie alles von Layer 2 an aufwärts ohne eingebaute Leistungsbremsen schützen können ist es sinnvoller, Ethernet-basierte Site-to-Site- und Multi-Site-Netzwerke mit Ethernet-Vrschlüsslern und nicht mit IPSec zu schützen. Das gleiche gilt für Layer 2.5 VPNs (MPLS), die auf Layer 2 verschlüsselt werden kön-nen, ohne dass dabei – im Gegensatz zur Verschlüsselung auf Layer 3 - ein Tunneln nötig ist. Von Layer 2 aus besteht direkter Zugriff auf alle relevanten Netzwerkschichten (2-7). Das richtige Produkt erlaubt das Verschlüsseln aller Netzwerke, die über ein Ethernet MAN oder WAN betrieben werden: Ethernet, MPLS und IP. Und das Ganze ohne Tunneln und Einkapseln. Das Verschlüsseln von Ethernet-Netzwerken auf Layer 2 ist einfacher, sicherer und leistungsfähiger.

3. Spezialisierte Appliances vs. Integrierte Appliances

Die beste Lösung für das Absichern von Layer 2-Netzwerken bieten spezialisierte, autonome Layer 2-Verschlüssler. Sie sind komplette Lösungen und fokussieren sich messerscharf auf ihre Aufgabe. Deshalb leisten sie ihren Dienst dermassen effizient. Die Abläufe und das Management sind ein-fach und vollständig auf die Aufgabe optimiert. Dies erhöht nicht nur Leistung und Sicherheit, sondert wirkt sich kurz-, mittel- und längerfristig auch positiv auf die Flexibilität und die Kosten aus. Es gibt zwar unterschiedliche Ansätze, um Layer 2-Verschlüsselung in andere Appliances zu integrieren und sie als Nebenaufgabe auszuführen, doch bietet keiner dieser Lösungen die Sicher-heit und Effizienz eines dedizierten Verschlüsslers. Integrierte Appliances leiden unter der Problemstellung, dass sie für die gleichzeitige Ausführung der verschiedenen Aufgaben optimiert sein müssten und dass es dabei weder zu Leistungsein-bussen noch Funktionalitätsbeschränkungen in den verschiedenen Aufgabenbereichen kommen dürfte. Dies ist kaum möglich. Integrierte Lösungen können zwar vieles, aber nicht vieles gut. Der Grund dafür liegt primär in den Kompromissen, die eingegangen werden müssen, um die inte-grierte Appliance deutlich kostengünstiger herzustellen als man das mit einer dedizierte Appliance machen kann mit der sie konkurriert. 3.1. Sicherheit

Die spezialisierten Appliances sind auf Sicherheit optimiert und genügen höchsten An-forderungen. Es sind in sich geschlossene und geprüfte Systeme. Sie weisen auch nur die notwendigsten Schnittstellen auf. Das Gehäuse und der Schlüsselspeicher sind abgesi-chert, auch gegen Abstrahlungen. Bei Manipulationsversuchen wird der Schlüsselspeicher geleert und angezeigt, dass ein Manipulationsversuch stattgefunden hat. Die Gehäuse sind gegen Manipulationsversuche resistent. Bei integrierten und virtuellen Appliances ist es schwierig bis unmöglich eine solche Si-cherheit zu bieten.


3.2. Leistung

Die spezialisierten Appliances sind auf Leistung optimiert. Es besteht kein Wettbewerb der unterschiedlichen Funktionalitäten um die vorhandenen Ressourcen. Integrierte Appliances sind auf spezifische Leistungsmerkmale optimiert, die aber selten parallel ausgenutzt werden können. Oft werden aus Kostengründen ASICs (Application Specific Integrated Circuits) statt FPGAs (Field Programmable Gate Arrays) eingesetzt, auf denen aber nur spezifische Funktionen implementiert sind. Werden Funktionen be-nutzt, die nicht hardwaremässig implementiert sind, so erfolgt deren Abarbeitung über Software und führt zu entsprechenden Leistungseinbussen. Erfolgt die ganze Verarbei-tung auf einer CPU, so ist von vornherein die Leistung auf tiefe bis mittlere Bandbreiten beschränkt und Latenz und Jitter erhöht. Ist die CPU für den Verschlüssler dediziert, so ist die Leistungscharakteristik einschätzbar und konstant. Bei einer CPU, die verschiede-nen Applikationen dienen muss – wie das regelmässig bei einer integrierten Appliance oder einer virtualisierten Umgebung der Fall ist – ist die jeweilige Leistungscharakteristik von der Auslastung durch andere Applikationen abhängig und somit variabel und unbe-rechenbar.

3.3. Erweiterbarkeit Spezialisierte Layer 2-Verschlüssler sind in der Regel so dimensioniert, dass die Funktio-nalität zu einem späteren Zeitpunkt erweitert werden kann. So kann das Gerät auf dem aktuellen Stand der Technik gehalten werden. Für diesen Zweck muss der verwendete FPGA grosszügig dimensioniert sein, was die Kosten erhöht. Unterdimensionierte FPGAs sind schnell voll und verursachen einen hohen Stromverbrauch, der auch zu ho-her Wärmeentwicklung und Stabilitätsproblemen führt. Erweiterbarkeit ist ein Kostentreiber und deshalb auf der Prioritätsliste der Entwickler von integrierten Appliances weit unten zu finden. Die Entwickler konzentrieren sich eher auf die initiale Kostenbegrenzung als auf die mittel- und langfristige Kosteneffizienz für den Kunden. Software-basierte reale und virtuelle Appliances sind ebenfalls problemlos erweiterbar, sind aber deutlich leistungsschwächer. Erweiterungen der Software-Funktionalität können diese Leistungsschwäche noch akzentuieren.

3.4. Kosten Während integrierte Appliances wie Switches/Routers mit zusätzlicher Verschlüsselungs-hardware aufgrund der wegfallenden Kosten für Gehäuse, redundantes Netzteil, etc. gün-stiger in der Anschaffung sind, wird aus diesem Preisvorteil über die Zeit ein Preisnach-teil. Die Lebensdauer einer integrierten Appliance liegt bei etwa 4-5 Jahren, während die eigenständigen Appliances regelmässig 7-8 Jahre eingesetzt werden. Die kürzere Lebens-dauer hebt den initialen Kostenvorteil mehr als auf. Ein anderer Aspekt, der oft vernachlässigt wird, ist die Herstellergebundenheit: Aufgrund der unterschiedlichen Schlüsselsysteme und des unterschiedlichen Leistungsumfangs sind Ethernet-Verschlüssler nicht untereinander kompatibel. Bei einer integrierten Lösung wirkt sich das zusätzlich auf die Switches/Routers aus. Wechselt man an einem Standort den Lieferanten der integrierten Appliance, so ist dieser Standort in Bezug auf die Ver-schlüsselung nicht mehr Teil des MANs/WANs. Der gleiche Hersteller muss an allen Standorten verwendet werden, was zu einer doppelten Herstellerbindung führt: Sowohl für die Verschlüsselung als auch für den Switch/Router. Ein Wechsel, z.B. von Cisco auf


Juniper, HP oder Huawei, ist dann verunmöglicht. Kosteneinsparungen durch Lieferan-tenwechsel fallen dann aus. Bei Verwendung spezialisierter Appliances fällt die Herstel-lerbindung in Bezug auf vorgeschaltete Switches und Routers weg.

4. Ethernet Topologien für MANs und WANs Das Metro Ethernet Forum (MEF) hat die unterschiedlichen Topologien von Ethernet-basierten MANs und WANs definiert und strukturiert. Nur einige der verfügbaren Ethernet-Verschlüssler unterstützen alle Topologien und Einsatzszenarien optimal.

5. Ethernet-Verschlüssler Im Gegensatz zu den Verschlüsselungen auf Layer 3 (IPSec), Layer 4 (TLS) und Layer 7 (Applica-tion) sind die Angebote der Hersteller von Layer 2-Lösungen intransparent. Die publizierten In-formationen – sei das auf den Websites der Anbieter oder auf den entsprechenden Datenblättern – werfen in der Regel mehr Fragen auf als sie beantworten. Insbesondere fehlte bisher die Mög-lichkeit die unterschiedlichen Angebote nach objektiven Kriterien zu vergleichen. Die auf www.inside-it.ch verfügbaren Marktübersichten – Punkt-zu-Punkt und Multipunkt – vergleichen die Schlüsseleigenschaften der Produkte der unterschiedlichen Hersteller, verzichten aber aus Gründen der Objektivität auf eine Wertung. Diese bleibt dem Leser überlassen. Die geli-steten Eigenschaften sind primär quantitativer Natur, weshalb jeder, der die Anschaffung eines Layer 2-Verschlüsslers plant, sich die Produkte im Detail ansehen und auch im Test ausprobieren sollte. Entscheidende Faktoren für die Definition des Pflichtenhefts sind die Netzwerktopologie und die Geschäftserfordernisse.

!"#$%&$"'(%)*+"$',)&$'-$%*).$'/!(,0

!"#$%&$"'1)%$'-$%*).$2'/!1-0

!"#$%&$"'3$4+5'-$%*).$2'/!3-0

!"#$%&$"'3$4+5'-$%*).$2'/!3-0

6$7).+"$7'89)&":"9:89)&"'.9&&$.")9&

(9)&":"9:89)&"'.9&:&$.")9&'9*$%'2;)".#$72#+%$7')&<%+2"%=."=%$

>=4")84$'89)&":"9:89)&"'.9&&$.")9&2

>=4")84$'89)&":"9:89)&"'.9&&$.")9&2'9&'%99"?'2)&@4$'89)&":"9:89)&"'<9%4$+<2'

A&$'2$%*).$'8$%'BCD?E%9+7.+2"'<%+F$2'%$84):.+"$7'"9'+44'2)"$2

>=4")84$'2$%*).$2'8$%'BCD

!"#$%&'#("$)"#

'*+,)"-.%,)#*#%*.%,)#/

'*0$""-.%,)#*#%*!12#,3%,)#/

'*+45-!12#,3%,)#*#%*!12#,3%,)#/

'#("$)"#&.$,67#"&+45&

-'.*+45/

'#("$)"#&8,$#172&.$,*

67#"&+45&-'8.*+45/

!"#$%&$"'>=4")89)&"'-$%*).$2'/!>-0

!"#$%&$"'3$4+5'>=4"):89)&"'-$%*).$2'/!3-0

'#("$)"#&.$,67#"&0$""&

-'.*0$""/

'#("$)"#&8,$#172&.$,*

67#"&0$""&-'8.*0$""/

'#("$)"#&8,$#172&

.$,67#"&+,)"&-'8.+/

'#("$)"#&.$,67#"&+,)"&

-'.+/

(%)*+"$G'(9%":E+2$7?'9&$'!HI'8$%'BCD

H)%"=+4G'H,JC:E+2$7?'F=4")84$'!HI2'8$%'BCD


Die Links für die jeweils aktuellen Kurzversionen der Marktübersichten finden sich auf www.inside-it.ch. Zur Zeit ist die Version 3 der Dokumente (Ausgabe 2011) aktuell. Die älteren Versionen sind überholt. Die kostenpflichtigen Vollversionen der Marktübersichten sind beim Verfasser erhältlich. Sie ge-hen deutlich tiefer ins Detail und sind primär als Hilfe für das Erstellen von Pflichtenheften und für die Planung von Netzwerksicherheit gedacht.

© 2007 - 2011 Christoph Jaggi Alle Rechte vorbehalten. Keine Vervielfältigung, keine kommerzielle Nutzung und keine Publikation (auch teilweise) ohne schriftliche Erlaubnis des Verfassers. www.uebermeister.com [email protected]

LAYER 2-VERSCHLÜSSLER FÜR METRO UND … · Sie sind für Ethernet und MPLS optimiert und können...

Documents

Transcript of LAYER 2-VERSCHLÜSSLER FÜR METRO UND … · Sie sind für Ethernet und MPLS optimiert und können...