MPLS a szyfrowane sieci VPN - bezpieczeństwo ruchu?


15

Dlaczego ludzie często mówią, że mają dwa połączenia między dwoma biurami - głównym z nich jest MPLS, a zapasowym VPN. Dlaczego nie uruchomić VPN również przez MPLS? Czy MPLS jest bezpieczny? Czy nikt nie może uniknąć ruchu ulicznego?


Aby to wyjaśnić, kiedy powiedziałem VPN, nawiązałem do szyfrowania i uwierzytelniania sieci prywatnej. Dziękuję wszystkim za wyjaśnienie tego.
dniu

Stroną, która może Cię obwąchać, jest najprawdopodobniej twój operator, nielegalnie w celu uzyskania korzyści osobistych przez pracownika lub na podstawie mandatu sądu. Również każde połączenie WAN trafia do wielu miejsc, które są całkowicie niestrzeżone i łatwo dostępne dla ogółu społeczeństwa dla fizycznego MITM. Powiedziawszy to, większość firm faktycznie ma 0 informacji wartych kradzieży, a bezpieczeństwo nie powinno kosztować więcej niż zrealizowane ryzyko, zwykle potrzebujesz tylko tyle bezpieczeństwa, ile wymaga tego umowa / prawo.
ytti

Odpowiedzi:


20

Zarówno Daniel, jak i John udzielili bardzo dobrych odpowiedzi na twoje pytanie; Dodam tylko kilka praktycznych rzeczy, które przychodzą mi na myśl, gdy czytam pytanie.

Należy pamiętać, że wiele dyskusji na temat bezpieczeństwa MPLS VPN pochodzi z zaufania, jakim zwykle obdarzają Frame Relay i ATM VPN.

Czy MPLS jest bezpieczny?

Ostatecznie kwestia bezpieczeństwa sprowadza się do jednego niezadawanego pytania, które brzmi: „Komu ufasz z kluczowymi dla firmy danymi?”

  • Jeśli odpowiedź brzmi „nikt”, musisz nałożyć dane na zaszyfrowaną sieć VPN
  • Jeśli ufasz swojemu dostawcy MPLS VPN , nie ma potrzeby szyfrowania danych

Dlaczego nie uruchomić VPN również przez MPLS?

Najczęstszym zastosowaniem MPLS jest VPN, ale jest to niezaszyfrowany VPN. Zakładam, że masz na myśli szyfrowaną sieć VPN, taką jak PPTP , IPSec lub SSL VPN, kiedy wspominasz o „VPN”. Jeśli jednak potrzebujesz silnego szyfrowania , integralności danych lub uwierzytelnienia w sieci VPN, rfc4381 MPLS VPN Security, sekcja 5.2 zaleca szyfrowanie w sieci MPLS VPN .

Jednak szyfrowane sieci VPN same w sobie nie są pozbawione problemów; zazwyczaj cierpią na:

  • Dodatkowe wydatki na infrastrukturę
  • Ograniczenia przepustowości / skalowalności (ze względu na złożoność szyfrowania HW)
  • Dodatkowe wydatki na personel / szkolenie
  • Wydłużony średni czas naprawy podczas debugowania problemów przez zaszyfrowaną sieć VPN
  • Zwiększone koszty zarządzania (tj. Utrzymanie PKI )
  • Trudności techniczne, takie jak niższy MSS TCP i często problemy z PMTUD
  • Mniej wydajne łącza, ponieważ masz narzut związany z enkapsulacją zaszyfrowanej sieci VPN (która już znajduje się w narzutie od sieci MPLS VPN )

Czy nikt nie może uniknąć ruchu ulicznego?

Tak, ewakuacja jest całkiem możliwa, niezależnie od tego, czy uważasz, że możesz zaufać swojemu dostawcy. Zacytuję z rfc4381 MPLS VPN Security, Rozdział 7 :

Jeśli chodzi o ataki z rdzenia MPLS, wszystkie [niezaszyfrowane] klasy VPN (BGP / MPLS, FR, ATM) mają ten sam problem: jeśli atakujący może zainstalować sniffer, może odczytać informacje we wszystkich sieciach VPN, a jeśli atakujący ma dostęp do podstawowych urządzeń, może wykonywać wiele ataków, od fałszowania pakietów po wprowadzanie nowych routerów równorzędnych. Istnieje szereg środków ostrożności opisanych powyżej, które dostawca usług może zastosować w celu zwiększenia bezpieczeństwa rdzenia, ale bezpieczeństwo architektury VPN VPN BGP / MPLS zależy od bezpieczeństwa usługodawcy. Jeśli dostawca usług nie jest zaufany, jedynym sposobem na pełne zabezpieczenie sieci VPN przed atakami z „wnętrza” usługi VPN jest uruchomienie IPsec na wierzchu, z urządzeń CE lub nie tylko.


Wspomnę o ostatnim punkcie, który jest tylko pytaniem praktycznym. Można argumentować, że nie ma sensu korzystać z MPLS VPN , jeśli zamierzasz używać szyfrowanego VPN przez podstawową usługę internetową; Nie zgodziłbym się z tym pojęciem. Zalety szyfrowanego VPN przez MPLS VPN współpracują z jednym dostawcą:

  • Podczas rozwiązywania problemów (od końca do końca)
  • Aby zagwarantować jakość usług
  • Aby świadczyć usługi

Dziękuję Ci. Wszystkie odpowiedzi pomogły, ale zdecydowanie ta pomogła najbardziej i dostarczyła odpowiedzi na dalsze pytania, które miałem zadać.
dniu

9

Zakładam, że mówisz o MPLS VPN. MPLS VPN jest bezpieczniejszy niż zwykłe połączenie internetowe, jest w zasadzie jak wirtualna linia dzierżawiona. Jednak nie działa szyfrowanie. Jest więc wolny od podsłuchiwania, chyba że ktoś źle skonfiguruje VPN, ale jeśli przenosisz wrażliwy ruch, powinien być nadal szyfrowany. Ten rodzaj VPN nie jest uwierzytelniany, więc jest siecią prywatną, ale nie jest uwierzytelniany i szyfrowany jak IPSEC. Jeśli ktoś ma fizyczny dostęp do twojej sieci, może wąchać pakiety.

Przy zwykłym VPN zakładam, że masz na myśli IPSEC. IPSEC jest uwierzytelniany i szyfrowany w zależności od używanego trybu. Więc jeśli ktoś zdobędzie pakiety, nadal nie będzie mógł ich odczytać.


3
W jaki sposób MPLSVPN może być „bezpieczny” bez „szyfrowania”? Jeśli pakiety nie są szyfrowane, każdy na ścieżce może zerknąć na dane. Tak jak każde fizyczne połączenie.
Ricky Beam

Słuszna uwaga. Chciałem powiedzieć, że jest bezpieczniejsze niż zwykłe połączenie internetowe.
Daniel Dib

Myślę, że nawet to jest mylące, etykiety MPLS można przyrównać do sieci VLAN, nie zapewniają one żadnego bezpieczeństwa. Chodzi o logiczną odrębność przepływów ruchu. Każdy może przesuwać i zamykać etykiety MPLS, tak jak tagi VLAN i przeskakiwać między sieciami VPN MPLS L2 / L3.
jwbensley

6

„VPN” w najczęstszej definicji niekoniecznie oznacza bezpieczeństwo. To samo dotyczy MPLS i te dwa warunki są często łączone (patrz „MPLS VPN”), ponieważ niektóre aspekty MPLS mogą zapewniać podobną funkcjonalność jak tradycyjne VPN (AToMPLS, EoMPLS, TDMoMPLS itp.).

Całkowicie możliwe jest uruchomienie MPLS w zaszyfrowanym tunelu VPN i uruchomienie zaszyfrowanego ruchu VPN w obwodzie MPLS. Sam MPLS nie jest „bezpieczny”, ale ponownie jest przede wszystkim wykorzystywany do usług transportowych, w których protokoły bazowe mogą być bezpieczne.

Zazwyczaj opisywany scenariusz może wynikać z organizacji, która chce zróżnicowanej łączności od dwóch oddzielnych dostawców, a jeden z tych dostawców nie oferuje usług MPLS.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.