6
EthernetConnect - Verschlüsseln erforderlich?
Hallo Sysadmin-Kollegen,
wir werden in Kürze unsere erste EthernetConnect-Leitung bestellen, um einen neuen Außenstandort über 1G an die Zentrale anzubinden.
So wie ich EthernetConnect verstehe, ist es aus Usersicht wie ein Netzwerkkabel ohne jegliche Intelligenz. Man kann also problemlos vorne und hinten einen Switch anbinden und verschiedene VLANs (atgged/untagged) etc darüber senden.
EthernetConnect läuft ja über eine Plattform der Telekom. Was mir dabei nicht klar ist:
- Verschlüsseln die Übergaberouter der Telekom den Datentraffic zwischen den beiden Endpunkten?
- Oder ist der Datentraffic zwischen den beiden Endpunkten durch die Telekom auch unabhängig von einer Verschlüsselung ausreichend abgesichert?
- Oder ist es erforderlich/empfehlenswert, dass wir den Traffic vor Übergabe an die Telekom-Endpunkte selbst verschlüsseln?
Falls Verschlüsselung durch uns selbst: Was für eine Lösung (Technologie+Hardware) würdet ihr empfehlen?
- Macsec? Sollte mit VLANs ja problemlos zurecht kommen.
- IPSec? -> das wäre dann geroutet, also ohne VLANs, oder?
- GRE-Tunnel? -> da kenne ich mich gar nicht näher aus
Damit 1G sicher verschlüsselt werden, brächte es ja auch ausreichend potente Hardware. Gibt es hierfür Empfehlungen?
Vielleicht Mikrotik CCR1009-7G-1C-1S+?
Oder besser einen Switch mit macsec? (wobei die Cisco 250/350 das ebenso wenig können wie die HP Aruba 2530/2540)
Ich bin gespannt auf Eure Empfehlungen.
Gruß
Port5000
wir werden in Kürze unsere erste EthernetConnect-Leitung bestellen, um einen neuen Außenstandort über 1G an die Zentrale anzubinden.
So wie ich EthernetConnect verstehe, ist es aus Usersicht wie ein Netzwerkkabel ohne jegliche Intelligenz. Man kann also problemlos vorne und hinten einen Switch anbinden und verschiedene VLANs (atgged/untagged) etc darüber senden.
EthernetConnect läuft ja über eine Plattform der Telekom. Was mir dabei nicht klar ist:
- Verschlüsseln die Übergaberouter der Telekom den Datentraffic zwischen den beiden Endpunkten?
- Oder ist der Datentraffic zwischen den beiden Endpunkten durch die Telekom auch unabhängig von einer Verschlüsselung ausreichend abgesichert?
- Oder ist es erforderlich/empfehlenswert, dass wir den Traffic vor Übergabe an die Telekom-Endpunkte selbst verschlüsseln?
Falls Verschlüsselung durch uns selbst: Was für eine Lösung (Technologie+Hardware) würdet ihr empfehlen?
- Macsec? Sollte mit VLANs ja problemlos zurecht kommen.
- IPSec? -> das wäre dann geroutet, also ohne VLANs, oder?
- GRE-Tunnel? -> da kenne ich mich gar nicht näher aus
Damit 1G sicher verschlüsselt werden, brächte es ja auch ausreichend potente Hardware. Gibt es hierfür Empfehlungen?
Vielleicht Mikrotik CCR1009-7G-1C-1S+?
Oder besser einen Switch mit macsec? (wobei die Cisco 250/350 das ebenso wenig können wie die HP Aruba 2530/2540)
Ich bin gespannt auf Eure Empfehlungen.
Gruß
Port5000
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5878561665
Url: https://administrator.de/contentid/5878561665
Printed on: May 4, 2024 at 00:05 o'clock
6 Comments
Latest comment
Meine Erfahrungen sind schon etliche Jahre her, aber nein, die Daten werden nicht von der Telekom oder deren Geräten verschlüsselt.
Es kommt auf dein Sicherheitsbedürfnis an, weil man physischen Zugriff auf die Leitung benötigt, was sicher irgendwo möglich wird, aber Insiderwissen benötigt.
Ein GRE-Tunnel ist keinerlei Verschlüsselung, also fällt weg. Den brauchst du, wenn du z.B. Routingprotokolle (RIP, OSPF, ...) über eine IPSec-Verbindung übertragen willst.
Ich hab das gleiche zweimal (bei einem anderen Provider) mit IPSec/GRE (brauche OSPF) über Mikrotik realisiert. Kann ich nicht empfehlen. Hab den größten non-CCR genommen, sprich den 4011, der das problemlos schaffen sollte, eigentlich noch deutlich mehr. Von 1Gbit/s bleiben etwas über 400Mbit/s übrig. Auch ist mir in zwei Jahren mittlerweile die zweite Kiste (beide werden/wurden unter idealen Umgebungsbedingungen benutzt) ausgestiegen.
Am Ende musst du abwägen, ob du eine Verschlüsselung brauchst, denn nur du kennst deine eigene Gefährdungslage.
Es kommt auf dein Sicherheitsbedürfnis an, weil man physischen Zugriff auf die Leitung benötigt, was sicher irgendwo möglich wird, aber Insiderwissen benötigt.
Ein GRE-Tunnel ist keinerlei Verschlüsselung, also fällt weg. Den brauchst du, wenn du z.B. Routingprotokolle (RIP, OSPF, ...) über eine IPSec-Verbindung übertragen willst.
Ich hab das gleiche zweimal (bei einem anderen Provider) mit IPSec/GRE (brauche OSPF) über Mikrotik realisiert. Kann ich nicht empfehlen. Hab den größten non-CCR genommen, sprich den 4011, der das problemlos schaffen sollte, eigentlich noch deutlich mehr. Von 1Gbit/s bleiben etwas über 400Mbit/s übrig. Auch ist mir in zwei Jahren mittlerweile die zweite Kiste (beide werden/wurden unter idealen Umgebungsbedingungen benutzt) ausgestiegen.
Am Ende musst du abwägen, ob du eine Verschlüsselung brauchst, denn nur du kennst deine eigene Gefährdungslage.
3
Es verhält sich wie ein langes Patchkabel ist es aber nicht.
Früher musste und vielen Tarifen VLANs extra, teilweis pro VLAN bezahlt werden.
Redundanz im HVT oder Vermittlungsstelle auch mit Aufpreisen.
Es wird nicht verschlüsselt.
Vielleicht ist Wireguard eine Option für euch.
Ansonsten die Klassiker.
Früher musste und vielen Tarifen VLANs extra, teilweis pro VLAN bezahlt werden.
Redundanz im HVT oder Vermittlungsstelle auch mit Aufpreisen.
Es wird nicht verschlüsselt.
Vielleicht ist Wireguard eine Option für euch.
Ansonsten die Klassiker.
Hallo,
gab es nicht mal von der Telekom selbst als Option AES256 auf Layer 2?
Eigene Hardware für so etwas gibt es bei:
https://www.pandacomdirekt.de/unsere-produkte/detail/verschluesselung.ht ...
MfG
Hans-Jürgen
gab es nicht mal von der Telekom selbst als Option AES256 auf Layer 2?
Eigene Hardware für so etwas gibt es bei:
https://www.pandacomdirekt.de/unsere-produkte/detail/verschluesselung.ht ...
MfG
Hans-Jürgen
EAS bei EtherConnect? Möglich.
Moin,
Gruß,
Dani
gab es nicht mal von der Telekom selbst als Option AES256 auf Layer 2?
ja, gibt es. Hängt natürlich davon ab wie sehr du der DTAG vertrauen möchtest. Gruß,
Dani
Zitat von @hschnei:
Eigene Hardware für so etwas gibt es bei:
https://www.pandacomdirekt.de/unsere-produkte/detail/verschluesselung.ht ...
Eigene Hardware für so etwas gibt es bei:
https://www.pandacomdirekt.de/unsere-produkte/detail/verschluesselung.ht ...
Vielen Dank für den Tip. Leider liegen die bei ca. 20.000 € das Kit. Das ist nicht in unserem Budget...
