Standortvernetzung

Daten im MPLS-Netz zusätzlich absichern

| Autor / Redakteur: Ronald Bals / Stephan Augsten

Ausfallsicherheit und Verschlüsselung

3. Redundanz

Ein Ausfall oder Teilausfall des MPLS Netzes hat meist erhebliche Auswirkungen auf das Unternehmen. Durch Einsatz redundanter Architekturlösungen kann jedoch eine hohe Ausfallsicherheit erreicht werden. Worauf dabei zu achten ist:

CE-Router: An wichtigen Unternehmensstandorten sollten zwei CE-Router verwendet werden, die in unterschiedlichen Brandabschnitten betrieben werden.

  • Gedoppelte PE-Router an einem Point-of-Presence (PoP): Gerade bei wichtigen Standorten oder gar Firmenzentralen sollten am PoP vom Provider gedoppelte PE-Router betrieben werden. Durch die parallele Anbindung kann Redundanz erreicht werden.
  • Gedoppelte PE-Router an zwei Points-of-Presence (PoP): Ist eine erweiterte Redundanz vonnöten, ist es auch möglich an zwei verschiedenen PoPs vom Provider gedoppelte PE-Router zu betreiben. Durch die parallele Anbindung an beide PoPs ist eine höhere Ausfallsicherheit gewährleistet.
  • Getrennte Leitungsführung: Wenn man von einer getrennten Leitungsführung spricht, heißt das, dass die Leitungen zwischen CE und PE mehrfach existieren sollten. Der Leitungsausgang vom Standort erfolgt dabei über unabhängige Hausanschlüsse oder über unabhängige Leitungstechnologien (Kupfer, Glasfaser oder Richtfunk). Man spricht dabei auch von Backupleitungen.

Beispiel: Ein Standort hat eine 20-Mbit-Leitung auf Glasfaser und nutzt als Backup eine kleinere SDSL Leitung auf Kupferbasis. So ist selbst bei Totalausfall der Glasfaserleitung, weitergehendes Arbeiten gewährleistet.

4. Nutzung von IPSec-Tunneln im MPLS

Um die Integrität und Sicherheit des MPLS weiter abzusichern, ist der Einsatz verschlüsselter Tunneltechnologien wie IPSec, TSL/SSL oder SSH zu empfehlen.

Mit IPSec ist es möglich, eine Site-to-Site-Verschlüsselung einzurichten. Diese ermöglicht es dem Unternehmen, Daten, die innerhalb des Netzes übertragen werden, vor potentiellen Angreifern zu schützen. Der Aufbau der Tunnel erfolgt dabei zwischen den CE-Routern zweier Unternehmensstandorte.

Um sich vor Angriffen des Carrierpersonals zu schützen ist es möglich die Tunnel zu erweitern indem nachgelagerte Sicherheitsgateways oder VPN-Konzentratoren genutzt werden, die unter der Kontrolle des Unternehmens und nicht des Carriers liegen.

Mit GET (Group Encrypted Transport) bietet Cisco eine weit verbreitete Technologie, die auch von Carriern wie Colt und Vodafone eingesetzt wird: GET VPN ermöglicht eine skalierbare Any-to-Any-Konnektivität. Das Besondere: bei diesem Verfahren bleibt der Header unverschlüsselt und nur die Payload wird verschlüsselt.

Dies ermöglicht den sicheren Einsatz von QoS (Quality of Service) und Multicasting. Dadurch, dass hier ein Server das Management der Schlüssel übernimmt, reicht eine einfache Gruppenanmeldung für den Anwender aus. Der Aufbau expliziter Point-to-Point Tunnel entfällt so.

Fazit

Schon durch den Provider ist ein guter Schutz des MPLS gegeben. Durch die oben genannten Maßnahmen lässt sich aber eine weitere Risikoreduktion erreichen. Wichtig ist, sich nicht nur auf den Provider zu veranlassen, sondern auch interne Mechanismen zu implementieren, um mögliche Risiken schon im Vornherein auszuschließen.

Ronald Bals
Ronald Bals (Bild: Savecall)

* Ronald Bals ist langjähriger Vertriebsleiter bei Savecallund spezialisiert auf individuelle Lösungen zu Standortvernetzungen von nationalen als auch internationalen Unternehmen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43289018 / Protokolle und Standards)