Software-Defined WAN vs. Multi-Protocol Label Switching

Ist SD-WAN genauso sicher wie MPLS?

| Autor / Redakteur: Keith Langridge / Andreas Donner

Wenn Keith Langridge, Vice President Networking bei BT, gefragt wird, ob man auch ein SD-WAN sicher betreiben kann, lautet seine Antwort: "Es kommt darauf an!"
Wenn Keith Langridge, Vice President Networking bei BT, gefragt wird, ob man auch ein SD-WAN sicher betreiben kann, lautet seine Antwort: "Es kommt darauf an!" (Bild: BT)

Keith Langridge, Vice President Networking bei BT, untersucht, welche Schritte notwendig sind, um die Netzwerk-Sicherheit bei der Einführung von SD-WAN aufrechtzuerhalten.

Vor kurzem wurde ich von einem multinationalen Kunden gefragt, ob SD-WAN so sicher sei wie sein MPLS-Netzwerk. Meine übliche Antwort auf solche allgemeinen Fragen ist „es kommt darauf an“, aber diesmal sagte ich mit Überzeugung: „Nein, ist es nicht“.

Ein MPLS-Netzwerk ist ein privates Netzwerk. Der einzige Weg, um hineinzukommen, sind die vom Dienstanbieter zugewiesenen Ports. Der Zugang zum und vom Internet erfolgt in der Regel über eines Ihrer Rechenzentren, in dem die Sicherheit des Perimeters zentral überwacht wird und die Verkehrsströme konfiguriert und begrenzt werden. Da die tatsächlich übermittelten Nachrichten nur von Personen und Anwendungen innerhalb Ihrer privaten Netzwerkdomäne gesehen werden können, ist der MPLS-Verkehr in der Regel nicht verschlüsselt.

Die Bereitstellung von SD-WAN über ein MPLS-Netzwerk wäre ebenso sicher wie die Verschlüsselung des gesamten Datenverkehrs, der Ihr Netzwerk durchquert, würde aber erfordern, dass SD-WAN-Geräte den gesamten Datenverkehr an Spokes, Hubs und Cloud-Gateways abwickeln. Es gibt jedoch viel einfachere Möglichkeiten, die Funktionen zur Anwendungssichtbarkeit und Leistungsoptimierung von SD-WAN mit den in MPLS bereits integrierten Features zu erreichen.

Die meisten SD-WAN-Installationen sind entweder mit einer Änderung des zugrundeliegenden Netzwerks verbunden, um internetbasierten Transport mit einzubeziehen, oder mit einer Änderung der Architektur, um von einem zentralisierten Internet-Breakout am Hub (der stark durch Firewalls gesichert und durch Policies kontrolliert ist) zu dezentralen Internet-Breakouts an jeder „Spoke“-Lokation zu wechseln.

Internetbasierter Datentransport

Der Wechsel zum Internet-Transport und die Verschlüsselung Ihrer Daten in IPSec-Tunneln (wie bei allen SD-WANs üblich) ist eigentlich eine sehr gute Möglichkeit, sie sicher zu halten. Aber im öffentlichen Internet wird die Beschaffenheit Ihrer Verkehrsströme sichtbar. Diese Informationen, die in einer MPLS-Welt für Außenstehende verborgen wären, können verwendet werden, um herauszufinden, von welchen Orten und zu welchen Zeiten des Tages, der Woche oder des Monats große Informationsmengen an einem bestimmten Hub zusammenlaufen. Unter der Annahme, dass diese Datenströme für den Betrieb Ihres Unternehmens oder die Einhaltung regulatorischer Vorschriften wichtig sind, kann dieser Hub dann zu einem potenziellen Ziel für erpresserische DDoS-Angriffe werden.

Im Gegensatz zu MPLS-Netzen verfügen SD-WAN-Netze über zentrale Controller, die sich im Internet befinden. Wenn diese nicht gut gesichert werden, können sie Schwachstellen aufweisen. In einer aktuellen Studie wurden rund 5000 IP-Adressen untersucht, die zu 2000 Hosts gehören. Es handelte sich offenbar um Schnittstellen von SD-WAN-Controllern, von denen die meisten veraltete Software-Versionen mit bekannten Schwachstellen ausführten.

Dadurch besteht die Gefahr, dass ein Angreifer in den Besitz der Schlüssel für die IPSec-Verschlüsselung gelangen kann. Außerdem besteht die Möglichkeit, den Zugriff auf einen SD-WAN-Management-Server zu unterbrechen. Dies kann dazu führen, dass Sie den Überblick über das Netzwerk verlieren – und dass das Routing manipuliert werden könnte. Nach einer gewissen Zeit können die Standorte keine aktualisierten Schlüssel mit dem Key-Server mehr austauschen, interpretieren dies als Netzwerkfehler und stellen daher das Routing ein.

Warum das Festhalten an MPLS gefährlich ist

Barrieren für die Nutzung von SD-WAN durchbrechen

Warum das Festhalten an MPLS gefährlich ist

21.01.19 - Heutzutage müssen die meisten Unternehmen nicht mehr davon überzeugt werden, sich digital aufzustellen, um ihre Agilität zu verbessern. Die dringlichere Frage ist, wie und wann sie ihr Vorhaben auch umsetzen. Das starre Festhalten an MPLS-Netzen ist im Zeitalter Cloud-basierter Unternehmen sicher der falsche Weg! Software-Defined heißt dagegen das Zauberwort. lesen

Lokaler Internet-Break-Out

Während der Umstieg auf Internet-Transport und SD-WAN Sicherheitsrisiken eröffnen kann, gibt es einen noch viel bedeutenderen Einflussfaktor: Die Nutzung der Internetverbindung der individuellen Standorte für den lokalen Internet-Break-Out. Die lokale Ausleitung des Internetverkehrs wird meist als einer der wesentlichen Vorteile von SD-WAN angeführt – der Traffic, der für ein Ziel im Internet bestimmt ist, wird direkt „an der Quelle“ abgeleitet und entlastet so das Netzwerk.

Dadurch wird jedoch der Perimeter, also der streng überwachte und geregelte Übergang zum Internet, von einer überschaubaren Anzahl großer Rechenzentrumsstandorte auf eine Vielzahl von entfernten Lokationen verlagert. Für unsere größten globalen Kunden können das schon mal 3000 Standorte in 140 Ländern sein.

Es gibt nun zwei Ansätze, die man verfolgen kann. Man kann versuchen, diesen nun stark vergrößerten Perimeter als undurchdringliche Barriere aufrechtzuerhalten. Die zweite Möglichkeit ist, sich mehr auf interne Sicherheitsansätze wie Identitätskontrollen und Mikrosegmentierung zu konzentrieren.

Die meisten SD-WAN-Lösungen verfügen über eine Access Control List (ACL), die eine eingehende Kommunikation über die WAN-Ports und die Managementkanäle verhindern soll. Viele Kunden kombinieren dies dann mit der Verwendung eines Cloud-basierten Proxys für die ausgehende Kommunikation. Sie nutzen eine Funktionalität, die in vielen SD-WAN-Lösungen enthalten ist, um GRE- oder IPSec-Verbindungen zu Cloud-Security-Knoten herzustellen und zu sichern. Diese Lösung bietet zwar eine angemessene Sicherheit für den ausgehenden Verkehr, ist aber relativ schwach für den eingehenden Verkehr. Für einen erfahrenen Hacker ist es nicht sehr schwer, den Datenverkehr so zu manipulieren, dass er an der ACL-Lösung vorbeikommt. Die Sicherheit des Perimeters hängt daher stark davon ab, wie gut und konsistent die ACL-Richtlinien im gesamten Firmennetz angewandt werden.

Ich treffe häufig auf globale Unternehmen, die an vielen Standorten bereits über geeignete Firewalls verfügen, sodass der lokale Internet-Break-Out über SD-WAN eine risikoarme Option ist.

Da wir darauf vertrauen können, dass der Datenverkehr zwischen verschiedenen SD-WAN-Geräten sicher ist, kann die lokale Internet-Anbindung zu sicheren Diensten in der Cloud, wie beispielsweise der Microsoft-Azure-Hosting-Umgebung des Kunden, durch Hinzufügen virtueller SD-WAN-Geräte innerhalb der IaaS-Lösung erreicht werden. Alternativ kann die Anbindung auch durch einen traditionellen MPLS-Link zu einem Dienstanbieter wie AWS, Azure usw. erfolgen. Dadurch ist man auf diesem letzten Stück nicht von der Qualität der Internetverbindung abhängig. An dieser Stelle müssen jedoch Cloud-Sicherheitskontrollen zusammen mit der Verwendung von Netzwerkzugangskontrolle und Identitätsmanagementkontrollen in Betracht gezogen werden, je nachdem, wie sensibel die Daten sind, auf die zugegriffen werden soll.

Wie kann ich SD-WAN einsetzen und die Sicherheit aufrechterhalten?

Auch wenn SD-WAN-Netzwerke nicht so sicher sind wie traditionelle MPLS-Netzwerke – wenn ich gefragt werde „Wie kann ich SD-WAN einsetzen und die Sicherheit aufrechterhalten“, dann bin ich wieder bei meiner Standard-Antwort: Es kommt darauf an. Es hängt davon ab, wie Sie das SD-WAN nutzen werden, von Ihren Sicherheitsrichtlinien und den Geräten, die Sie bereits an den Standorten haben, von den Richtlinien Ihres Unternehmens und den Vorschriften, die es befolgen muss. Und wie immer hängt es auch von Ihrer Risikobereitschaft ab. Sie müssen die Auswirkungen eines möglichen Sicherheitsvorfalls oder eines Verlustes der Netzwerkkonnektivität abwägen gegen die Kosten für zusätzliche Sicherheit im Netzwerk. Das alles sollte in den Business Case für die SD-WAN-Transformation einfließen.

Keith Langridge.
Keith Langridge. (Bild: BT)

Denn eines ist klar: Der Aufbau eines SD-WAN ist nicht allein eine Sache für den traditionellen Netzwerkmanager und das NOC. Zu wissen, welche Ziele Sie erreichen wollen und welche Anwendungen Sie nutzen, ist ebenso wichtig wie die Einbeziehung des Sicherheitsteams und des SOC bereits in der frühen Phase der Architekturentwicklung.

Über den Autor

Keith Langridge ist Vice President Networking bei BT.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45822513 / Protokolle und Standards)