Next Generation VPN:
Stabilität durch Selbstorganisation
SINA SOLID
Carsten Fischer, secunet Security Networks AG
CeBIT 2016
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 2
SINA SOLID
Stabilität durch Selbstorganisation
Die Situation in großen Netzen mit VPN:
Sehr viele Standorte
Sehr viele VPNs
Hoher administrativer Aufwand
Änderung sind fehleranfällig
Komplexe Routen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 3
SINA SOLID
Starke VPN Vermaschung ist die Regel
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 4
SINA SOLID
VPN Ausfälle haben weitreichende Folgen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 5
SINA SOLID
Neue Wege für sichere private Netze
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Anforderung:
Private VPN-Freigabe
Öffentliches MPLS-Transportnetz
Anforderung:
VPN über unsicheres öffentliches Netz
wird benötigt
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 6
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
„Lokale Zufriedenheit“ – Ein Ring wird gebildet
Private VPN-Freigabe
Öffentliches MPLS-Transportnetz
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 7
IPsec-basierten Sicherheitsbeziehung
je nach Verkehrsbedarf
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
„Dynamischer“ Aufbau des SOLID Rings
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
Private VPN-Freigabe
Öffentliches MPLS-Transportnetz
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 8
Automatische Optimierung der
IPsec-basierten Sicherheitsbeziehung
je nach Verkehrsbedarf und
Topologieänderung
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
Redundante VPN Strukturen werden optimiert
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
Private VPN-Freigabe
Öffentliches MPLS-Transportnetz
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 9
Automatische Optimierung der
IPsec-basierten Sicherheitsbeziehung
je nach Verkehrsbedarf und
Topologieänderung
SINA SOLID
Optimierung je nach Verkehrsbedarf
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Verschachtelung möglich
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
Private VPN-Freigabe
Öffentliches MPLS-Transportnetz
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 10
Hohe QoS-Anforderungen
am RZ-Knoten
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
Stabilität und Ausfallsicherheit
Anforderung:
Verfügbarkeit ist „Mission Critical“
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 11
SOLID Cluster
Skalierende Performance unter hoher Last
Clustermodus in
SINA SOLID
Hohe QoS-Anforderungen
am RZ-Knoten
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 12
SOLID Cluster
Lastverteilung und Ausfallsicherung „build in“
Hohe QoS-Anforderungen
am RZ-Knoten
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 13
Hohe QoS-Anforderungen
am RZ-Knoten
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
Automatische Optimierung der
IPsec-basierten Sicherheitsbeziehung
je nach Verkehrsbedarf und
Topologieänderung
SOLID Cluster
Lastverteilung und Ausfallsicherung „build in“
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 14
SINA SOLID
Dynamische Reaktion auf Ausfälle
HÖHERE GEWALT
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 15
HÖHERE GEWALT
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Neu-Anordnung
des Solid-Rings
SINA SOLID
Dynamische Reaktion auf Ausfälle
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 16
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Automatische Optimierung der
IPsec-basierten Sicherheitsbeziehung
je nach Verkehrsbedarf und
Topologieänderung
SINA SOLID
Dynamische Reaktion auf Ausfälle
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 17
Eine SINA L3 Box wird
hinzugefügt
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
Dynamische Reaktion auf Topologie-Änderungen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 18
Die SINA L3 Box kontaktiert die
bestehenden Ringteilnehmer
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
Dynamische Reaktion auf Topologie-Änderungen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 19
Die SINA L3 Box kontaktiert die
bestehenden Ringteilnehmer und
fügt sich entsprechend der
Rückmeldung im SOLID-Ring ein.
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
SINA SOLID
Dynamische Reaktion auf Topologie-Änderungen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 20
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
SINA SOLID
Dynamische Reaktion auf Topologie-Änderungen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 21
Automatische Optimierung der
IPsec-basierten Sicherheitsbeziehung
je nach Verkehrsbedarf und
Topologieänderung
OSI-Layer
1-3
OSI-Layer
3 (IPsec)
OSI-Layer
3 (IPsec)
Dynamische IPsec-basierte
Sicherheitsbeziehungen
im Overlay-Netzwerk durch
Autokonfiguration
SINA SOLID
Dynamische Reaktion auf Topologie-Änderungen
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 22
SINA SOLID
Reduktion von quadratisch zu linear
0
20
40
60
80
100
120
2 3 4 5 6 7 8 9 10 11 12 13 14 15
Anzahl der zu konfigurierenden
Sicherheitsbeziehungen
bei Vollvermaschung
Anzahl
SINA L3 Boxen
Ohne
SINA SOLID
Mit
SINA SOLID Selbst -
Organisation
Manuelle
Administration
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 23
SINA SOLID
Mit wenig Aufwand zu hoher IT-Sicherheit
SINA
SOLID
AUTO-
MATISCH
DYNAMISCH
SICHER
HOCH-
VERFÜGBAR
SKALIERBAR
LEISTUNGS-
FÄHIG
WIRT-
SCHAFTLICH
ROBUST
Stabilität durch Selbstorganisation
SINA SOLID - Mit wenig Aufwand zu hoher IT-Sicherheit Seite 24
SINA SOLID
Resultat langjähriger gemeinsamer Forschung
Bundesamt für Sicherheit
in der Informationstechnik Technische Universität
Ilmenau
VS-NfD*
NATO RESTRICTED
EU RESTREINT
Mai 2009
Rossberg; Steudel; Schaefer; Martius
*gepl. Q1-2016
secunet Security Networks AG
Carsten Fischer
Produktmanager Division Public Authorities
Tel.: +49 201 5454 3719
www.secunet.com