Neden insanlar iki ofis arasında iki bağlantıya sahip olduklarını çok fazla söylüyor - ana ofis MPLS üzerinden ve yedek VPN üzerinden. Neden MPLS üzerinden VPN de çalıştırmıyorsunuz? MPLS güvenli midir? Hiç kimse trafikten kaçamaz mı?
Neden insanlar iki ofis arasında iki bağlantıya sahip olduklarını çok fazla söylüyor - ana ofis MPLS üzerinden ve yedek VPN üzerinden. Neden MPLS üzerinden VPN de çalıştırmıyorsunuz? MPLS güvenli midir? Hiç kimse trafikten kaçamaz mı?
Yanıtlar:
Hem Daniel hem de John sorunuza çok iyi cevaplar verdi; Soruyu okuduğumda akla gelen bazı pratik şeyleri ekleyeceğim.
MPLS VPN'lerin güvenliği hakkında çok fazla tartışmanın normalde Frame Relay ve ATM VPN'lere sağlanan güven sayesinde geldiğini unutmayın .
MPLS güvenli midir?
Sonuçta güvenlik sorunu, "İş açısından kritik verilerinize kime güveniyorsunuz?"
Neden MPLS üzerinden VPN de çalıştırmıyorsunuz?
En yaygın kullanım olarak, MPLS olan VPN, ancak şifrelenmemiş bir VPN var. "VPN" den bahsettiğinizde PPTP , IPSec veya SSL VPN gibi şifreli bir VPN demek istediğinizi varsayıyorum . Ancak, VPN içinde güçlü şifreleme , veri bütünlüğü veya Kimlik Doğrulaması gerekiyorsa , rfc4381 MPLS VPN Güvenliği, Bölüm 5.2, MPLS VPN içinde şifreleme yapılmasını önerir .
Ancak, şifrelenmiş VPN'ler kendileri sorunsuz değildir; genellikle aşağıdakilerden muzdariptirler:
Hiç kimse trafikten kaçamaz mı?
Evet, sağlayıcınıza güvenebileceğinizi düşünüp düşünmediğinize bakılmaksızın evrdropping yapmak mümkündür. Rfc4381 MPLS VPN Güvenliği, Bölüm 7'den alıntı yapacağım :
MPLS çekirdeğinden gelen saldırılar söz konusu olduğunda, tüm [şifrelenmemiş] VPN sınıfları (BGP / MPLS, FR, ATM) aynı soruna sahiptir: Bir saldırgan sniffer kurabilirse, tüm VPN'lerde bilgileri okuyabilir ve Saldırganın çekirdek cihazlara erişimi vardır, paket sahtekarlığından yeni eş yönlendiriciler sunmaya kadar çok sayıda saldırı gerçekleştirebilir. Yukarıda bir servis sağlayıcının çekirdeğin güvenliğini sıkılaştırmak için kullanabileceği bir dizi önlem vardır, ancak BGP / MPLS IP VPN mimarisinin güvenliği servis sağlayıcının güvenliğine bağlıdır. Servis sağlayıcıya güvenilmiyorsa, VPN servisinin "içi" nden gelen saldırılara karşı bir VPN'i güvenli hale getirmenin tek yolu IPsec'i üstte, CE cihazlarında veya ötesinde çalıştırmaktır.
Son bir noktaya değineceğim, bu sadece pratik bir soru. Temel internet hizmeti üzerinden şifrelenmiş bir VPN kullanacaksanız, MPLS VPN kullanmanın bir anlamı olmadığını iddia edebiliriz ; Bu görüşe katılmıyorum. MPLS VPN üzerinden şifrelenmiş bir VPN'in avantajları tek bir sağlayıcıyla çalışmaktır:
MPLS VPN'den bahsettiğinizi varsayıyorum. MPLS VPN normal bir İnternet bağlantısından daha güvenlidir, temel olarak sanal kiralık bir hat gibidir. Ancak şifreleme yapılmaz. Bu nedenle, birisi VPN'yi yanlış yapılandırmazsa, ancak hassas trafik taşıyorsanız hala şifrelenmelidir. Bu tür bir VPN'nin kimliği doğrulanmamıştır, bu nedenle özel bir ağdır, ancak IPSEC gibi kimliği doğrulanmamış ve şifrelenmemiş. Birinin ağınıza fiziksel erişimi varsa paketleri koklayabilir.
Normal VPN ile IPSEC demek istediğinizi varsayıyorum. IPSEC, çalıştığınız moda bağlı olarak doğrulanır ve şifrelenir. Yani birisi paketleri tutarsa, hala okuyamamalı.
En yaygın tanımdaki "VPN" mutlaka güvenlik anlamına gelmez. Aynı durum MPLS için de geçerlidir ve iki terim sıklıkla birleştirilir (bkz. "MPLS VPN") çünkü MPLS'nin bazı yönleri geleneksel bir VPN'ye (AToMPLS, EoMPLS, TDMoMPLS, vb.) Benzer işlevler sağlayabilir.
MPLS'yi şifreli bir VPN tüneli üzerinden çalıştırmak ve şifreli VPN trafiğini bir MPLS devresi üzerinden çalıştırmak tamamen mümkündür. MPLS'nin kendisi "güvenli" değildir, ancak yine temelde altta yatan protokollerin güvenli olabileceği taşıma hizmetleri için kullanılır.
Tipik olarak açıkladığınız senaryo, iki ayrı sağlayıcıdan farklı bağlantı isteyen bir kuruluştan kaynaklanabilir ve bu sağlayıcılardan biri MPLS hizmetleri sunmaz.