Dlaczego ludzie często mówią, że mają dwa połączenia między dwoma biurami - głównym z nich jest MPLS, a zapasowym VPN. Dlaczego nie uruchomić VPN również przez MPLS? Czy MPLS jest bezpieczny? Czy nikt nie może uniknąć ruchu ulicznego?
Dlaczego ludzie często mówią, że mają dwa połączenia między dwoma biurami - głównym z nich jest MPLS, a zapasowym VPN. Dlaczego nie uruchomić VPN również przez MPLS? Czy MPLS jest bezpieczny? Czy nikt nie może uniknąć ruchu ulicznego?
Odpowiedzi:
Zarówno Daniel, jak i John udzielili bardzo dobrych odpowiedzi na twoje pytanie; Dodam tylko kilka praktycznych rzeczy, które przychodzą mi na myśl, gdy czytam pytanie.
Należy pamiętać, że wiele dyskusji na temat bezpieczeństwa MPLS VPN pochodzi z zaufania, jakim zwykle obdarzają Frame Relay i ATM VPN.
Czy MPLS jest bezpieczny?
Ostatecznie kwestia bezpieczeństwa sprowadza się do jednego niezadawanego pytania, które brzmi: „Komu ufasz z kluczowymi dla firmy danymi?”
Dlaczego nie uruchomić VPN również przez MPLS?
Najczęstszym zastosowaniem MPLS jest VPN, ale jest to niezaszyfrowany VPN. Zakładam, że masz na myśli szyfrowaną sieć VPN, taką jak PPTP , IPSec lub SSL VPN, kiedy wspominasz o „VPN”. Jeśli jednak potrzebujesz silnego szyfrowania , integralności danych lub uwierzytelnienia w sieci VPN, rfc4381 MPLS VPN Security, sekcja 5.2 zaleca szyfrowanie w sieci MPLS VPN .
Jednak szyfrowane sieci VPN same w sobie nie są pozbawione problemów; zazwyczaj cierpią na:
Czy nikt nie może uniknąć ruchu ulicznego?
Tak, ewakuacja jest całkiem możliwa, niezależnie od tego, czy uważasz, że możesz zaufać swojemu dostawcy. Zacytuję z rfc4381 MPLS VPN Security, Rozdział 7 :
Jeśli chodzi o ataki z rdzenia MPLS, wszystkie [niezaszyfrowane] klasy VPN (BGP / MPLS, FR, ATM) mają ten sam problem: jeśli atakujący może zainstalować sniffer, może odczytać informacje we wszystkich sieciach VPN, a jeśli atakujący ma dostęp do podstawowych urządzeń, może wykonywać wiele ataków, od fałszowania pakietów po wprowadzanie nowych routerów równorzędnych. Istnieje szereg środków ostrożności opisanych powyżej, które dostawca usług może zastosować w celu zwiększenia bezpieczeństwa rdzenia, ale bezpieczeństwo architektury VPN VPN BGP / MPLS zależy od bezpieczeństwa usługodawcy. Jeśli dostawca usług nie jest zaufany, jedynym sposobem na pełne zabezpieczenie sieci VPN przed atakami z „wnętrza” usługi VPN jest uruchomienie IPsec na wierzchu, z urządzeń CE lub nie tylko.
Wspomnę o ostatnim punkcie, który jest tylko pytaniem praktycznym. Można argumentować, że nie ma sensu korzystać z MPLS VPN , jeśli zamierzasz używać szyfrowanego VPN przez podstawową usługę internetową; Nie zgodziłbym się z tym pojęciem. Zalety szyfrowanego VPN przez MPLS VPN współpracują z jednym dostawcą:
Zakładam, że mówisz o MPLS VPN. MPLS VPN jest bezpieczniejszy niż zwykłe połączenie internetowe, jest w zasadzie jak wirtualna linia dzierżawiona. Jednak nie działa szyfrowanie. Jest więc wolny od podsłuchiwania, chyba że ktoś źle skonfiguruje VPN, ale jeśli przenosisz wrażliwy ruch, powinien być nadal szyfrowany. Ten rodzaj VPN nie jest uwierzytelniany, więc jest siecią prywatną, ale nie jest uwierzytelniany i szyfrowany jak IPSEC. Jeśli ktoś ma fizyczny dostęp do twojej sieci, może wąchać pakiety.
Przy zwykłym VPN zakładam, że masz na myśli IPSEC. IPSEC jest uwierzytelniany i szyfrowany w zależności od używanego trybu. Więc jeśli ktoś zdobędzie pakiety, nadal nie będzie mógł ich odczytać.
„VPN” w najczęstszej definicji niekoniecznie oznacza bezpieczeństwo. To samo dotyczy MPLS i te dwa warunki są często łączone (patrz „MPLS VPN”), ponieważ niektóre aspekty MPLS mogą zapewniać podobną funkcjonalność jak tradycyjne VPN (AToMPLS, EoMPLS, TDMoMPLS itp.).
Całkowicie możliwe jest uruchomienie MPLS w zaszyfrowanym tunelu VPN i uruchomienie zaszyfrowanego ruchu VPN w obwodzie MPLS. Sam MPLS nie jest „bezpieczny”, ale ponownie jest przede wszystkim wykorzystywany do usług transportowych, w których protokoły bazowe mogą być bezpieczne.
Zazwyczaj opisywany scenariusz może wynikać z organizacji, która chce zróżnicowanej łączności od dwóch oddzielnych dostawców, a jeden z tych dostawców nie oferuje usług MPLS.