port5000
Goto Top

EthernetConnect - Verschlüsseln erforderlich?

Hallo Sysadmin-Kollegen,

wir werden in Kürze unsere erste EthernetConnect-Leitung bestellen, um einen neuen Außenstandort über 1G an die Zentrale anzubinden.

So wie ich EthernetConnect verstehe, ist es aus Usersicht wie ein Netzwerkkabel ohne jegliche Intelligenz. Man kann also problemlos vorne und hinten einen Switch anbinden und verschiedene VLANs (atgged/untagged) etc darüber senden.

EthernetConnect läuft ja über eine Plattform der Telekom. Was mir dabei nicht klar ist:
- Verschlüsseln die Übergaberouter der Telekom den Datentraffic zwischen den beiden Endpunkten?
- Oder ist der Datentraffic zwischen den beiden Endpunkten durch die Telekom auch unabhängig von einer Verschlüsselung ausreichend abgesichert?
- Oder ist es erforderlich/empfehlenswert, dass wir den Traffic vor Übergabe an die Telekom-Endpunkte selbst verschlüsseln?

Falls Verschlüsselung durch uns selbst: Was für eine Lösung (Technologie+Hardware) würdet ihr empfehlen?
- Macsec? Sollte mit VLANs ja problemlos zurecht kommen.
- IPSec? -> das wäre dann geroutet, also ohne VLANs, oder?
- GRE-Tunnel? -> da kenne ich mich gar nicht näher aus

Damit 1G sicher verschlüsselt werden, brächte es ja auch ausreichend potente Hardware. Gibt es hierfür Empfehlungen?
Vielleicht Mikrotik CCR1009-7G-1C-1S+?
Oder besser einen Switch mit macsec? (wobei die Cisco 250/350 das ebenso wenig können wie die HP Aruba 2530/2540)

Ich bin gespannt auf Eure Empfehlungen.

Gruß
Port5000

Content-ID: 5878561665

Url: https://administrator.de/contentid/5878561665

Printed on: November 2, 2024 at 23:11 o'clock

tikayevent
Solution tikayevent Feb 06, 2023 at 16:38:06 (UTC)
Goto Top
Meine Erfahrungen sind schon etliche Jahre her, aber nein, die Daten werden nicht von der Telekom oder deren Geräten verschlüsselt.

Es kommt auf dein Sicherheitsbedürfnis an, weil man physischen Zugriff auf die Leitung benötigt, was sicher irgendwo möglich wird, aber Insiderwissen benötigt.

Ein GRE-Tunnel ist keinerlei Verschlüsselung, also fällt weg. Den brauchst du, wenn du z.B. Routingprotokolle (RIP, OSPF, ...) über eine IPSec-Verbindung übertragen willst.

Ich hab das gleiche zweimal (bei einem anderen Provider) mit IPSec/GRE (brauche OSPF) über Mikrotik realisiert. Kann ich nicht empfehlen. Hab den größten non-CCR genommen, sprich den 4011, der das problemlos schaffen sollte, eigentlich noch deutlich mehr. Von 1Gbit/s bleiben etwas über 400Mbit/s übrig. Auch ist mir in zwei Jahren mittlerweile die zweite Kiste (beide werden/wurden unter idealen Umgebungsbedingungen benutzt) ausgestiegen.

Am Ende musst du abwägen, ob du eine Verschlüsselung brauchst, denn nur du kennst deine eigene Gefährdungslage.
2423392070
2423392070 Feb 06, 2023 at 16:46:32 (UTC)
Goto Top
Es verhält sich wie ein langes Patchkabel ist es aber nicht.
Früher musste und vielen Tarifen VLANs extra, teilweis pro VLAN bezahlt werden.
Redundanz im HVT oder Vermittlungsstelle auch mit Aufpreisen.
Es wird nicht verschlüsselt.

Vielleicht ist Wireguard eine Option für euch.
Ansonsten die Klassiker.
hschnei
hschnei Feb 07, 2023 at 11:17:19 (UTC)
Goto Top
Hallo,

gab es nicht mal von der Telekom selbst als Option AES256 auf Layer 2?

Eigene Hardware für so etwas gibt es bei:
https://www.pandacomdirekt.de/unsere-produkte/detail/verschluesselung.ht ...


MfG
Hans-Jürgen
2423392070
2423392070 Feb 07, 2023 at 11:25:18 (UTC)
Goto Top
EAS bei EtherConnect? Möglich.
Dani
Dani Feb 07, 2023 updated at 17:49:53 (UTC)
Goto Top
Moin,
gab es nicht mal von der Telekom selbst als Option AES256 auf Layer 2?
ja, gibt es. Hängt natürlich davon ab wie sehr du der DTAG vertrauen möchtest. face-wink


Gruß,
Dani
Port5000
Port5000 Feb 08, 2023 at 09:48:04 (UTC)
Goto Top

Vielen Dank für den Tip. Leider liegen die bei ca. 20.000 € das Kit. Das ist nicht in unserem Budget...