27
Verschlüsselung über LWL-Strecke
Hallo zusammen
Wir haben zwei Filialen, die in zwei unterschiedlichen Gebäuden eingemietet sind.
Die beiden Gebäude sind aber mit einer (öffentlichen) Tiefgarage miteinander verbunden.
Nun möchten wir die zweite Filiale gerne per LWL mit der ersten verbinden.
Der Weg ist eigentlich kein Problem (Steigzone, Verbindungsschacht).
Wir machen uns nun Gedanken um die Verschlüsselung, da das LWL Kabel ja eben zwar in einem Kanal, aber trotzdem mehr oder weniger öffentlich zugänglich ist.
Denn besonders die zweite Filiale bearbeitet heikle Personendaten.
Ich bin nun auf der Suche nach einem Device, welches den Netzwerkverkehr transparent verschlüsselt, d.h. der User soll davon nix mitbekommen.
Also quasi so:
Switch -- Verschlüsselungsdevice --------------- LWL-Strecke --------------- Verschlüsselungdevice - Switch
Kennt jemand so etwas?
Einigermassen bezahlbar und von einem deutschsprachigen Hersteller.
Grüsse
Tom
Wir haben zwei Filialen, die in zwei unterschiedlichen Gebäuden eingemietet sind.
Die beiden Gebäude sind aber mit einer (öffentlichen) Tiefgarage miteinander verbunden.
Nun möchten wir die zweite Filiale gerne per LWL mit der ersten verbinden.
Der Weg ist eigentlich kein Problem (Steigzone, Verbindungsschacht).
Wir machen uns nun Gedanken um die Verschlüsselung, da das LWL Kabel ja eben zwar in einem Kanal, aber trotzdem mehr oder weniger öffentlich zugänglich ist.
Denn besonders die zweite Filiale bearbeitet heikle Personendaten.
Ich bin nun auf der Suche nach einem Device, welches den Netzwerkverkehr transparent verschlüsselt, d.h. der User soll davon nix mitbekommen.
Also quasi so:
Switch -- Verschlüsselungsdevice --------------- LWL-Strecke --------------- Verschlüsselungdevice - Switch
Kennt jemand so etwas?
Einigermassen bezahlbar und von einem deutschsprachigen Hersteller.
Grüsse
Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287025
Url: https://administrator.de/contentid/287025
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
27 Kommentare
Neuester Kommentar
Hallo,
dafür benutzt man eigentlich eine Firewall und nutzt VPN.
Viele Grüße
Stefan
dafür benutzt man eigentlich eine Firewall und nutzt VPN.
Viele Grüße
Stefan
1
Moin,
Komplett auf Layer 2 Basis müsstest du dir z.B. sowas zulegen:
http://www.microsens.com/de/branchenloesungen/data-centers/sicherheit-f ...
Du könntest natürlich auch 2 Router oder Firewalls nehmen und eine IPsec Verbindung zwischen den beiden Büros aufbauen.
Dafür benötigst du aber ein neues Subnetz, das können dir hier aber die Spezialisten besser erzählen
VG
Val
Komplett auf Layer 2 Basis müsstest du dir z.B. sowas zulegen:
http://www.microsens.com/de/branchenloesungen/data-centers/sicherheit-f ...
Du könntest natürlich auch 2 Router oder Firewalls nehmen und eine IPsec Verbindung zwischen den beiden Büros aufbauen.
Dafür benötigst du aber ein neues Subnetz, das können dir hier aber die Spezialisten besser erzählen
VG
Val
Schau mal hier: http://www.secunet.com/
Die bieten die SINA-verschlüsselung auf L2_Ebene.
Besser geht's nicht, glaube ich.
Die bieten die SINA-verschlüsselung auf L2_Ebene.
Besser geht's nicht, glaube ich.
Hi,
ich hatte mal hier gefragt:
http://www.atmedia.de
Aber: 100MBit/s kosten 6.000€, 1GB 13.000€
Wir nehmen dafür nun 2 Firewalls, der Lancom 1781 EF+ schafft 300MBit/s bei 450€.
Wie schnell soll das Ganze sein??
ich hatte mal hier gefragt:
http://www.atmedia.de
Aber: 100MBit/s kosten 6.000€, 1GB 13.000€
Wir nehmen dafür nun 2 Firewalls, der Lancom 1781 EF+ schafft 300MBit/s bei 450€.
Wie schnell soll das Ganze sein??
Hi
bei Cisco heißt das MACsec. Du brauchst 2 Switches die das können. Der LWL Dazwischen ist dannd er Uplink und verschlüsselt.
Die 2960-x Setrie z.B. kann das.
LG
Catachan
bei Cisco heißt das MACsec. Du brauchst 2 Switches die das können. Der LWL Dazwischen ist dannd er Uplink und verschlüsselt.
Die 2960-x Setrie z.B. kann das.
LG
Catachan
1
Sers,
Läuft auf ein Layer 2 VPN raus.
Der Preis für die Lösung ist abhängig vom geforderten Leistungsdaten auf der Leitung.
Eine Lösung mit Mikrotik Hardware kannst du dir hier anschauen:
10 Gbps of Layer 2 throughput is possible using MikroTik’s EoIP tunnel.
Die für dich relevante Zahl: 7,5Gbit/s @ 9000Byte MTU (Total bei >=4 TCP Verbindungen im Tunnel)
Kostenpunkt der Hardware der Implementierung:
2x 2.500 = 5000€ Netto für 2x CCR1072-1G-8S+
alternativ:
2x 750 = 1500 € Netto für 2x CCR1036-8G-2S+
Grüße,
Philip
:edit: EoIP kann seit RouterOS 6.30 direkt und ohne weitere Verschachtelung verschlüsseln (IPSEC mit AH & ESP).
Formatierung angepasst :/edit:
Läuft auf ein Layer 2 VPN raus.
Der Preis für die Lösung ist abhängig vom geforderten Leistungsdaten auf der Leitung.
- Bandbreite
- Pakete pro Sekunde
- max. Erhöhung der Latenz
- Algorithmus der Verschlüsselung
Eine Lösung mit Mikrotik Hardware kannst du dir hier anschauen:
10 Gbps of Layer 2 throughput is possible using MikroTik’s EoIP tunnel.
Die für dich relevante Zahl: 7,5Gbit/s @ 9000Byte MTU (Total bei >=4 TCP Verbindungen im Tunnel)
Kostenpunkt der Hardware der Implementierung:
2x 2.500 = 5000€ Netto für 2x CCR1072-1G-8S+
alternativ:
2x 750 = 1500 € Netto für 2x CCR1036-8G-2S+
Grüße,
Philip
:edit: EoIP kann seit RouterOS 6.30 direkt und ohne weitere Verschachtelung verschlüsseln (IPSEC mit AH & ESP).
Formatierung angepasst :/edit:
Moin,
Gruß,
Dani
Zitat von @beidermachtvongreyscull:
Die bieten die SINA-verschlüsselung auf L2_Ebene.
Besser geht's nicht, glaube ich.
Besser wäre natürlich auf Layer 1 im OSI-Modell. Die DTAG macht dies bei der neuen Plattform so.Die bieten die SINA-verschlüsselung auf L2_Ebene.
Besser geht's nicht, glaube ich.
Gruß,
Dani
Hallo,
wir benutzen für diese Zwecke Safenet
http://www.safenet-inc.de/data-encryption/network-encryption/ethernet-e ...
Die Preise sind allerdings doch recht ordentlich.
Grüße
wir benutzen für diese Zwecke Safenet
http://www.safenet-inc.de/data-encryption/network-encryption/ethernet-e ...
Die Preise sind allerdings doch recht ordentlich.
Grüße
Hallo,
ich will ja die hier gemachten Vorschläge zur Verschlüsselung nicht in Abrede stellen. Doch sollte man bei LWL einige Eigenschaften berücksichtigen:
- LWL-Links können nicht von "außen" abgehört werden, da sie im Gegensatz zu elektrischer Datenübertragung kein elektromagnetisches Streufeld haben.
- Wenn man ein LWL-Signal "abhören" will, muß man einen "Abhör-Empfänger" in den Strahlengang einbringen. Das geht in der Regel nur mit einer
"kurzfristigen" Unterbrechung des Links (Kabel durchschneiden und "Abhör-Empfänger dazwischen bauen). Neben den finanziellen Mitteln für
einen solchen "Abhör-Empfänger" benötigt man auch entsprechendes Know-How. Die Daten müssen also schon sehr, sehr interessant sein.
- Mit einer einfachen "Link-Down- Überwachung" (kann jeder Switch mit SNMP) würde man aber sofort eine Meldung erhalten, wenn der LWL-Link
unterbrochen bzw. manipuliert wird.
- Wenn man das LWL-Kabel an den öffentlich zugänglichen Stellen nich in einen Plaste-Kabelkanal oder auf einer offenen Kabel-Pritsche verlegt,
sonder ein Panzer- (Stahl-) Rohr nutzt, ist der Zugang zum Kabel deutlich erschwert.
Aus meiner sicht würden obige Maßnahmen völlig ausreichen, um ein "Abhören" so aufwendig zu machen, dass, wenn man es trotzdem versucht eigentlich nur die NSA dahinter stecken kann.
Ob die Daten so "interessant" sind, kannst nur Du beurteilen.
Im Endeffekt ist es eine Kosten - Nutzen - Abwägung.
Jürgen
ich will ja die hier gemachten Vorschläge zur Verschlüsselung nicht in Abrede stellen. Doch sollte man bei LWL einige Eigenschaften berücksichtigen:
- LWL-Links können nicht von "außen" abgehört werden, da sie im Gegensatz zu elektrischer Datenübertragung kein elektromagnetisches Streufeld haben.
- Wenn man ein LWL-Signal "abhören" will, muß man einen "Abhör-Empfänger" in den Strahlengang einbringen. Das geht in der Regel nur mit einer
"kurzfristigen" Unterbrechung des Links (Kabel durchschneiden und "Abhör-Empfänger dazwischen bauen). Neben den finanziellen Mitteln für
einen solchen "Abhör-Empfänger" benötigt man auch entsprechendes Know-How. Die Daten müssen also schon sehr, sehr interessant sein.
- Mit einer einfachen "Link-Down- Überwachung" (kann jeder Switch mit SNMP) würde man aber sofort eine Meldung erhalten, wenn der LWL-Link
unterbrochen bzw. manipuliert wird.
- Wenn man das LWL-Kabel an den öffentlich zugänglichen Stellen nich in einen Plaste-Kabelkanal oder auf einer offenen Kabel-Pritsche verlegt,
sonder ein Panzer- (Stahl-) Rohr nutzt, ist der Zugang zum Kabel deutlich erschwert.
Aus meiner sicht würden obige Maßnahmen völlig ausreichen, um ein "Abhören" so aufwendig zu machen, dass, wenn man es trotzdem versucht eigentlich nur die NSA dahinter stecken kann.
Ob die Daten so "interessant" sind, kannst nur Du beurteilen.Im Endeffekt ist es eine Kosten - Nutzen - Abwägung.
Jürgen
1
Hallo,
man kann auch ein IPSec VPN aufbauen und dann eine L2TP durch den Tunnel aufbauen.
Die Idee mit dem EoIP Tunnel wird aber die einfachste sein denke ich mir.
Oder aber besagtes IPSec mit MacSec von Cisco aufsetzen.
Gruß
Dobby
man kann auch ein IPSec VPN aufbauen und dann eine L2TP durch den Tunnel aufbauen.
Die Idee mit dem EoIP Tunnel wird aber die einfachste sein denke ich mir.
Oder aber besagtes IPSec mit MacSec von Cisco aufsetzen.
Gruß
Dobby
Zitat von @108012:
Oder aber besagtes IPSec mit MacSec von Cisco aufsetzen.
Oder aber besagtes IPSec mit MacSec von Cisco aufsetzen.
Btw.: 802.1AE wird auch von anderen Anbietern, e.g. Juniper unterstützt
Hallo zusammen
Vielen herzlichen Dank für all eure wertvollen Ideen und Inputs!
Das Szenario mit zwei Firewalls scheidet aus gegebener Umgebung leider aus.
Aber die beiden Hersteller secunet und atmedia sehen vielversprechend aus - danke!
Auch den Hinweis, dass der Switch das evtl. von Haus aus kann tönt interessant.
Mal schauen, ob Avaya-Switches das auch können.
Anderer Ansatz vielleicht noch zur Diskussion:
wir nutzen ausschliesslich Citrix ICA-Verbindungen für die Mitarbeiter.
Wie "sicher" wäre das, wenn wir diese Verbindungen verschlüsseln und den Zugang zum LWL Kabel erschweren (z.B. mit dem von @chiefteddy vorschgeschlagenen Stahlrohr)?
Grüsse
Tom
Vielen herzlichen Dank für all eure wertvollen Ideen und Inputs!
Das Szenario mit zwei Firewalls scheidet aus gegebener Umgebung leider aus.
Aber die beiden Hersteller secunet und atmedia sehen vielversprechend aus - danke!
Auch den Hinweis, dass der Switch das evtl. von Haus aus kann tönt interessant.
Mal schauen, ob Avaya-Switches das auch können.
Anderer Ansatz vielleicht noch zur Diskussion:
wir nutzen ausschliesslich Citrix ICA-Verbindungen für die Mitarbeiter.
Wie "sicher" wäre das, wenn wir diese Verbindungen verschlüsseln und den Zugang zum LWL Kabel erschweren (z.B. mit dem von @chiefteddy vorschgeschlagenen Stahlrohr)?
Grüsse
Tom
Hallo,
wenn euch die Sicherheit so wichtig ist, dann verlasst euch nicht auf eine mechanische Abschirmung in Form eines Stahlrohres, das ist in 2 minuten aufgeflext und 5 minuten später sind LWL Stecker aufgespleist und die TAP Device hängt dazwischen.
Die Verschlüsselung muss unter eurer Kontrolle sein. Also VPN mit zwei Firewalls oder MacSec ...
Wieso gehen den 2 Firewall nicht?
brammer
wenn euch die Sicherheit so wichtig ist, dann verlasst euch nicht auf eine mechanische Abschirmung in Form eines Stahlrohres, das ist in 2 minuten aufgeflext und 5 minuten später sind LWL Stecker aufgespleist und die TAP Device hängt dazwischen.
Die Verschlüsselung muss unter eurer Kontrolle sein. Also VPN mit zwei Firewalls oder MacSec ...
Wieso gehen den 2 Firewall nicht?
brammer
Hallo,
mit der von mir vorgeschlagenen Link-Down-Kontrolle erfasst Du die Manipulation am LWL-Kabel und kannst reagieren. Insofern ist das System auch ohne Verschlüsselung sicher. (Das war ja auch der Grund dafür, weshalb bis vor gar nicht langer Zeit ein LWL-Link für eine sichere Kommunikation empfohlen wurde. Das ist ja nicht meine "Erfindung").
Das ein Datenkabel im öffentlichen Bereich nicht "ungeschützt" verlegt werden sollte, ist unabhängig von Cu oder LWL, schon aus Schutz vor "Vandalismus", sicher zu empfehlen.
Jürgen
PS. Wenn die verschlüsselten Daten unerkannt abgegriffen wurden und dann offline die Verschlüsselung "geknackt" wird, nützt mir die ganze Verschlüsselung auch nichts!
Man muß verhindern, dass die Daten - klar oder verschlüsselt - unbemerkt abgegriffen werden. Dafür ist LWL mit Link-Down-Überwachung das Sinnvollste. Wer keine Daten hat, kann sie auch nicht entschlüsseln.
mit der von mir vorgeschlagenen Link-Down-Kontrolle erfasst Du die Manipulation am LWL-Kabel und kannst reagieren. Insofern ist das System auch ohne Verschlüsselung sicher. (Das war ja auch der Grund dafür, weshalb bis vor gar nicht langer Zeit ein LWL-Link für eine sichere Kommunikation empfohlen wurde. Das ist ja nicht meine "Erfindung").
Das ein Datenkabel im öffentlichen Bereich nicht "ungeschützt" verlegt werden sollte, ist unabhängig von Cu oder LWL, schon aus Schutz vor "Vandalismus", sicher zu empfehlen.
Jürgen
PS. Wenn die verschlüsselten Daten unerkannt abgegriffen wurden und dann offline die Verschlüsselung "geknackt" wird, nützt mir die ganze Verschlüsselung auch nichts!
Man muß verhindern, dass die Daten - klar oder verschlüsselt - unbemerkt abgegriffen werden. Dafür ist LWL mit Link-Down-Überwachung das Sinnvollste. Wer keine Daten hat, kann sie auch nicht entschlüsseln.
Hallo nochmal,
Also wenn es hier um das Budget geht kann man auch zwei kleine VPN Server
an beiden Enden aufsetzen und dann wird eben darüber verschlüsselt.
Wie dem auch sei, ich wollte eigentlich noch anmerken dass man auch darauf
achten sollte nicht nur eine Leitung zu benutzen und zu verlegen denn wenn die
dann einmal schadhaft ist oder einfach ausfällt steht man wieder dumm da, also
daher bitte mindestens zwei LWL Kabel verlegen und dann lieber ein LAG (LACP)
aufsetzen dann ist man da wesentlich sicherer mit unterwegs.
Gruß
Dobby
wir nutzen ausschließlich Citrix ICA-Verbindungen für die Mitarbeiter.
Ist das nicht nur eine 42Bit Verschlüsselung?Also wenn es hier um das Budget geht kann man auch zwei kleine VPN Server
an beiden Enden aufsetzen und dann wird eben darüber verschlüsselt.
Wie dem auch sei, ich wollte eigentlich noch anmerken dass man auch darauf
achten sollte nicht nur eine Leitung zu benutzen und zu verlegen denn wenn die
dann einmal schadhaft ist oder einfach ausfällt steht man wieder dumm da, also
daher bitte mindestens zwei LWL Kabel verlegen und dann lieber ein LAG (LACP)
aufsetzen dann ist man da wesentlich sicherer mit unterwegs.
Gruß
Dobby
Hallo,
ein reine Link Down Überwachung bringt garnichts
https://infoguard.ch/pdf/publikationen/wp_infoguard_securitymythen_d_v10 ...
http://www.faz.net/aktuell/politik/daten-im-internet-mit-vierkantschlue ...
brammer
Man muß verhindern, dass die Daten - klar oder verschlüsselt - unbemerkt abgegriffen werden. Dafür ist LWL mit Link-Down-Überwachung das
Sinnvollste. Wer keine Daten hat, kann sie auch nicht entschlüsseln.
Sinnvollste. Wer keine Daten hat, kann sie auch nicht entschlüsseln.
ein reine Link Down Überwachung bringt garnichts
https://infoguard.ch/pdf/publikationen/wp_infoguard_securitymythen_d_v10 ...
http://www.faz.net/aktuell/politik/daten-im-internet-mit-vierkantschlue ...
brammer
Zitat von @chiefteddy:
- LWL-Links können nicht von "außen" abgehört werden, da sie im Gegensatz zu elektrischer Datenübertragung kein elektromagnetisches Streufeld haben.
- Wenn man ein LWL-Signal "abhören" will, muß man einen "Abhör-Empfänger" in den Strahlengang einbringen. Das geht in der Regel nur mit einer
"kurzfristigen" Unterbrechung des Links (Kabel durchschneiden und "Abhör-Empfänger dazwischen bauen). Neben den finanziellen Mitteln für
einen solchen "Abhör-Empfänger" benötigt man auch entsprechendes Know-How. Die Daten müssen also schon sehr, sehr interessant sein.
- Mit einer einfachen "Link-Down- Überwachung" (kann jeder Switch mit SNMP) würde man aber sofort eine Meldung erhalten, wenn der LWL-Link
unterbrochen bzw. manipuliert wird.
- LWL-Links können nicht von "außen" abgehört werden, da sie im Gegensatz zu elektrischer Datenübertragung kein elektromagnetisches Streufeld haben.
- Wenn man ein LWL-Signal "abhören" will, muß man einen "Abhör-Empfänger" in den Strahlengang einbringen. Das geht in der Regel nur mit einer
"kurzfristigen" Unterbrechung des Links (Kabel durchschneiden und "Abhör-Empfänger dazwischen bauen). Neben den finanziellen Mitteln für
einen solchen "Abhör-Empfänger" benötigt man auch entsprechendes Know-How. Die Daten müssen also schon sehr, sehr interessant sein.
- Mit einer einfachen "Link-Down- Überwachung" (kann jeder Switch mit SNMP) würde man aber sofort eine Meldung erhalten, wenn der LWL-Link
unterbrochen bzw. manipuliert wird.
Einerseits ist fraglich, ob man bei jedem Link-Down tatsächlich die gesamte Kabelstrecke kontrollieren kann - erst recht, wenn sie aufwändig physisch gesichert ist. Andererseits sind deine Angaben zur Abhörsicherheit nicht richtig. Das Unterbrechungsfreie Abhören von LWL-Fasern mittels Biegekoppler ist einfach und billig und bei so einer kurzen Strecke anhand der Dämpfungswerte kaum zu erkennen. Seit Jahren sind außerdem biegungslose Rayleigh-Koppler erhältlich. An der Verschlüsselung zugänglicher Glasfaserleitungen führt kein Weg vorbei.
Grüße
Richard
Nun möchten wir die zweite Filiale gerne per LWL mit der ersten verbinden.
Was ja genau richtig und kinderleicht ist und schnell umzusetzen ist !!Wir machen uns nun Gedanken um die Verschlüsselung,
Warum ?? Mit der richtigen Switch Hardware ist das doch kein Problem !Kennt jemand so etwas?
Ja natürlich ! Kennt übrigens jeder kundige Netzwerker !! Kollege catachan hat das ja oben schon richtigerweise erwähnt.Vergiss also den ganzen Unsinn mit VPN, Firewall und besonders die weltfremden Mondpreise die oben genannt wurden. Das ist die völlig falsche Technik für dein Anliegen und sollte man wie bereits gesagt als Netzwerker eigentlich wissen !
Such dir also bei einem Hersteller deiner Wahl einen Switch aus der das Feature MacSec (IEEE 802.1ae) supportet !!
https://en.wikipedia.org/wiki/IEEE_802.1AE
http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ide ...
Und schon ist dein Problem im Handumdrehen gelöst !
Jeder nur etwas bessere Allerwelts Switch supportet das und es erfordert KEINE überflüssige Zusatzhardware.
Nebenbei: Die egentlich bei Verschlüsselung unsinnige, nicht zum Thema gehörende, Link Down Überwachung machst du mit UDLD oder BFD auf diesen Switches. Das supporten die natürlich allesamt auch im Default.
Es sind wie immer die üblichen Verdächtigen die solche Switches im Portfolio haben... Cisco, Extreme, Brocade usw. usw.
2
Hallo,
worüber reden wie denn hier? Einen Angriff der NSA auf die Datenleitungen des russischen Oberkommandos?
Es geht hier um eine simple Vernetzung zweier Abteilungen in einem Bürogebäude, über die Terminal-Betrieb zu einem Citrix-System abgewickelt wird.
Nun laßt mal die Kirche im Dorf.
Natürlich kann ich mit entsprechenden Aufwand auch einen LWL-Link abhören. Ich kann aber auch mit entsprechenden Aufwand jede Verschlüsselung "knacken".
Und wie ich bereits gesagt habe: Daten, die man gar nicht erst bekommen hat, kann man auch nicht entschlüsseln.
Verschlüsselte Übertragung und sichere Verlegung schließen sich doch nicht aus, sie ergänzen sich.
Die sichere und geschützte Verlegung von Datenkabeln ist doch auch nicht nur eine Frage der "Abhörsicherheit". Und um @108012´s Hinweis aufzunehmen, wenn man zur Erhöhung der Ausfallsicherheit (und der Bandbreite) 2 oder mehr Links bündelt, sollten die verwendeten LWL-Kabel auch über unterschiedliche Wege geführt werden. Denn wenn ein Kabel gekappt wird, nützen auch mehere parallele Adern darin wenig.
Jürgen
worüber reden wie denn hier? Einen Angriff der NSA auf die Datenleitungen des russischen Oberkommandos?
Es geht hier um eine simple Vernetzung zweier Abteilungen in einem Bürogebäude, über die Terminal-Betrieb zu einem Citrix-System abgewickelt wird.
Nun laßt mal die Kirche im Dorf.
Natürlich kann ich mit entsprechenden Aufwand auch einen LWL-Link abhören. Ich kann aber auch mit entsprechenden Aufwand jede Verschlüsselung "knacken".
Und wie ich bereits gesagt habe: Daten, die man gar nicht erst bekommen hat, kann man auch nicht entschlüsseln.
Verschlüsselte Übertragung und sichere Verlegung schließen sich doch nicht aus, sie ergänzen sich.
Die sichere und geschützte Verlegung von Datenkabeln ist doch auch nicht nur eine Frage der "Abhörsicherheit". Und um @108012´s Hinweis aufzunehmen, wenn man zur Erhöhung der Ausfallsicherheit (und der Bandbreite) 2 oder mehr Links bündelt, sollten die verwendeten LWL-Kabel auch über unterschiedliche Wege geführt werden. Denn wenn ein Kabel gekappt wird, nützen auch mehere parallele Adern darin wenig.
Jürgen
worüber reden wie denn hier? Einen Angriff der NSA auf die Datenleitungen des russischen Oberkommandos?
Das ist das Mindeste von dem jeder heute ausgeht Nun laßt mal die Kirche im Dorf.
Das meintest du hoffentlich auf die Link Loss Überwachung bezogen, oder ? Da der TO mit Personen bezogenen Daten hantiert ist er rechtlich verpflichtet entsprechende Sorgfalt walten zu lassen in Bezug auf den Datenschutz.Eine Verschlüsselung ist also unerlässlich wenn er den Link physisch öffentlich zugänglich ist.
Also MacSec als Switchfeature ist hier der richtige Weg. Dabei ist es völlig egal ob das als Trunk über 2 unterschiedliche Links, als feuchter Bindfaden oder wie auch immer geführt wird.
Primär geht es dem TO ja richtigerweise rein um die Encryption und das Thema ist ja umfassend beantwortet.
Hallo @aqui,
Verschlüsselung ist nicht alles! Wie man an den Vorderungen nach einer "Hintertür" für staatliche Überwachung, der Klage einer amerikanischen Strafverfolgungsbehörde gegen Appel zur Entschlüsselung eines iPhons usw. sieht.
Und nochmal: Daten, die ich nicht habe, kann ich auch nicht entschlüsseln.
Die Vorgaben des BSI besagen eindeutig, das als erstes sichergestellt werden muß, das Daten "nicht in fremde Hände" gelangen. Und das ist wörtlich gemeint. Erst in 2. Linie ist die Verschlüsselung der Daten empfohlen, wenn man ersteres nicht ausschließen kann.
Ansonsten stimme ich Dir zu:
Jürgen
Verschlüsselung ist nicht alles! Wie man an den Vorderungen nach einer "Hintertür" für staatliche Überwachung, der Klage einer amerikanischen Strafverfolgungsbehörde gegen Appel zur Entschlüsselung eines iPhons usw. sieht.
Und nochmal: Daten, die ich nicht habe, kann ich auch nicht entschlüsseln.
Die Vorgaben des BSI besagen eindeutig, das als erstes sichergestellt werden muß, das Daten "nicht in fremde Hände" gelangen. Und das ist wörtlich gemeint. Erst in 2. Linie ist die Verschlüsselung der Daten empfohlen, wenn man ersteres nicht ausschließen kann.
Ansonsten stimme ich Dir zu:
das Thema ist ja umfassend beantwortet
Jürgen
Hi zusammen
Wow, da habe ich ja voll die Diskussion losgetreten
Vielen Dank für all eure Inputs!
Wir haben jetzt sehr gute und unterschiedliche Ansatzpunkte zum weiterverfolgen.
Ich markiere das Thema mal als gelöst. Mal schauen, welchen Weg wir beschreiten werden.
Nochmals vielen Dank an alle!
Grüsse
Tom
Wow, da habe ich ja voll die Diskussion losgetreten
Vielen Dank für all eure Inputs!
Wir haben jetzt sehr gute und unterschiedliche Ansatzpunkte zum weiterverfolgen.
Ich markiere das Thema mal als gelöst. Mal schauen, welchen Weg wir beschreiten werden.
Nochmals vielen Dank an alle!
Grüsse
Tom
Verschlüsselung ist nicht alles!
Aus rein technischer Sicht hast du unbestreitbar Recht. Es geht um rein juristische Belange was den Umgang mit Personen bezogenen Daten des TOs anbetrifft.Gelangen die in Hände Dritter und kommt es zum juristischen Streitfall wird man ihm grobe Fahrlässigkeit vorwerfen und er haftbar gemacht.
Er tut also gut daran diese Flanke mit ein paar lächerlichen Euros mehr in der Infrastruktur zu sichern.
Ob die NSA das dann wieder entschlüsseln kann ist ne ganz andere Baustelle und hat mit dem eigentlichen Thema nix zu tun.
Alles gut also, Case closed !
Zitat von @aqui:
Vergiss also den ganzen Unsinn mit VPN, Firewall und besonders die weltfremden Mondpreise die oben genannt wurden.
Mein lieber aqui, da sind absolut keine "Weltfremden Mondpreise", sondern die aus dem Angebot des Herstellers!Vergiss also den ganzen Unsinn mit VPN, Firewall und besonders die weltfremden Mondpreise die oben genannt wurden.
Das wollte ich kurz klarstellen und nicht weiter diskutieren
Ja...ist klar ! War ja auch nicht böse oder negativ gemeint.
Nur... es ist doch völliger Schwachsinn einen 5stelligen Betrag in eine völlig überflüssige und zudem auch noch falsche Komponente in diesem Design zu investieren ! Auch 4stellig wär noch völliger Unsinn wenn ein simpler LAN Switch diese einfache Funktion mit 2 einfachen Konfig Zeilen im Switchsetup miterledigt !
Vermutlich wirst du dem auch zustimmen, oder ?
Nur... es ist doch völliger Schwachsinn einen 5stelligen Betrag in eine völlig überflüssige und zudem auch noch falsche Komponente in diesem Design zu investieren ! Auch 4stellig wär noch völliger Unsinn wenn ein simpler LAN Switch diese einfache Funktion mit 2 einfachen Konfig Zeilen im Switchsetup miterledigt !
Vermutlich wirst du dem auch zustimmen, oder ?
Generell ja; nur so einfach kann der LAN Switch auch nicht sein. Da musst du auch ein paar Euros investieren. Und wenn du dann dafür kein Geld bekommst, ist IPSEC doch eine Option.
Aber das will ich gar nicht weiter diskutieren, er hat genug Antworten erhalten.
Und es ist Freitag
PS: Aufgrund der hohen Preisen sind wir auch davon weg.
Aber das will ich gar nicht weiter diskutieren, er hat genug Antworten erhalten.
Und es ist Freitag
PS: Aufgrund der hohen Preisen sind wir auch davon weg.
Na ja klar das man hier nicht von Longshine, D-Link oder NetGear Billighardware redet. Aber im Vergleich von den von dir oben genannten Summen ist ein 1500 Euro Catalyst 29xx oder Brocade 7250 dann ein richtiger Schnapper.
Und richtig....es ist Freitag
Und richtig....es ist Freitag
