Nortel hält MPLS für nichtsnutzig

Management

Sicherheitsfragen zu ungeklärt

Der US-Telekomausrüster Nortel hat sich aufgemacht, die Löcher in Virtual Private Networks (VPN) über den Multi Protocol Label Switching-Standard (MPLS) endgültig zu stopfen. Verunwdert reagieren Techniker aus dem alteingesessenen TK-Ausrüster lediglich, weil die Diskussion um die Sicvherheit von MPLS-basierten Verdbindungen für VPN erst letzte Woche in den USA breiter diskutiert wurdew.

Da nämlich hat sich die Fachwelt auf der MPLS 2002 Konferenz aufgeregt, dass vor allem MPLS-Technik nach einem bestimmten IETF-Standard (Internet Engineering Task Force) löchrig sei wie ein Schweizer Käse. “Das wird mehr und mehr ein heißes Eisen, wenn es um die Wahl des richtigen Routers geht”, sagte Mark Bieberich, Analyst bei der Yankee Group, dazu. “Einer der Vorzüge von Layer-3-VPNs ist ja das permanente virtuelle Routing – aber sobald verschiedene Unternehmen im Zeitalter steigender DOS-Attackenraten die selbe physikalische Plattform benutzen, entstehen berechtigte Sicherheitsbedenken.”

Ein klarer Fall ist das auch für die Nortel-Manager Martin Ruoff, Senior Manager Technology Support im Unternehmensbereich Enterprise Networks und Manfred Lipp, Senior Technology Consultant in der selben Abteilung. “MPLS ist nichts anderes als eine Abart der ATM-, beziehungsweise der Frame-Relay-Technik (FR) und nicht sicherer oder unsicherer als diese Techniken”, fasst Lipp im Gespräch mit silicon.de zusammen.

Um Daten dauerhaft und sicher zu verschlüsseln und zu tunneln empfiehlt er aber die IPSec-Technik. “Nur in Kombination damit können wir MPLS überhaupt für den Einsatz außerhalb der Unternehmensumgebung empfehlen”, so Lipp. Sein Kollege Ruoff schwärmt von der Nortel-Lösung: “Wir haben jetzt seit annähernd fünf Jahren eine sichere Technik mit der Produktfamilie ‘Contivity’ im Einsatz.” Die verbinde derzeit beispielsweise 12 Standorte der Deutschen Bank miteinander.

Außerdem schaffe die mit IPSec kombinierte Gateway-Technik nicht nur Ende-zu-Ende-Sicherheit “bisher ohne Klagen”, sondern sei bislang auch unter größerer Last noch nicht zusammengebrochen. “Unsere großen Boxen sind selbstverständlich ausgelegt für Videoconferencing und tunneln die Daten trotzdem in verschlüsselter Form”, schwärmt der Senior Manager, der selbst schon Gateways aus der Gattung eingebaut hat und beim Kunden pflegt.

Andere Produktlinien wie “Virtual Passport 7000” für den Einsatz in großen Transportnetzen, wie sie Carrier über weite Strecken betreiben, berücksichtigten aber verschiedene Kundenwünsche. “Hier müssen wir ATM, FR, MPLS und MPLS + IPSec parallel bieten, weil unterwegs möglicher weise verschiedene Techniken eingespeist werden”, so Ruoff.

Aus der Praxis wissen beide, dass das Thema VPN noch lange nicht erledigt ist und auch die Frage verschiedener Techniken sich bald klären muss. “Integrieren lautet das Motto”, so Lipp.

Er beschreibt die Probleme: “Ein VPN ist beispielsweise bei einer Verbindung von Deutschland nach Polen teuer und technisch aufwändig zu realisieren, weil unter Umständen bis zu 25 Hops unterwegs überwunden werden müssen – bei einer VPN-Leitung in die USA sieht das aufgrund der vorhandenen Carrier-Infrastruktur völlig anders aus”, so der Senior Technology Consultant. So empfehle er Unternehmen, die nach Osteuropa expandieren grundsätzlich zunächst FR-Verbindungen.

Diese seien später schließlich auf IP-Technik umzurüsten. Lipp nennt den Vorteil: “Kunden sehen gerade bei Auslandsverbindungen den Kostenaspekt und wissen, dass sich IP viel schneller amortisiert, als die alten Techniken.”