MPLS vs Şifreli VPN'ler - trafik güvenliği?

15

Neden insanlar iki ofis arasında iki bağlantıya sahip olduklarını çok fazla söylüyor - ana ofis MPLS üzerinden ve yedek VPN üzerinden. Neden MPLS üzerinden VPN de çalıştırmıyorsunuz? MPLS güvenli midir? Hiç kimse trafikten kaçamaz mı?

routing  security  mpls  mpls-vpn 
şuradaki
kaynak
Açıklığa kavuşturmak için, VPN dediğimde, şifrelenen ve kimlik doğrulaması yapılan özel ağı da ima ediyordum. Bunu açıkladığınız için hepinize teşekkürler.
Yon
Büyük olasılıkla sizi koklamak için taraf, operatörünüzdür, bazı çalışanların kişisel kazancı veya mahkeme emriyle yasadışı olarak. Ayrıca, herhangi bir WAN bağlantısı tamamen korunmamış ve fiziksel MITM için genel halk tarafından kolayca erişilebilir olan çok sayıda yere gider. Bununla birlikte, çoğu şirketin çalmaya değer 0 bilgiye sahip olması ve güvenliğin gerçekleşen riskten daha pahalıya mal olmaması gerekir, genellikle sadece sözleşmeye bağlı / yasal olarak gerekli olan kadar güvenlik istersiniz.
ytti

Yanıtlar:

20

Hem Daniel hem de John sorunuza çok iyi cevaplar verdi; Soruyu okuduğumda akla gelen bazı pratik şeyleri ekleyeceğim.

MPLS VPN'lerin güvenliği hakkında çok fazla tartışmanın normalde Frame Relay ve ATM VPN'lere sağlanan güven sayesinde geldiğini unutmayın .

MPLS güvenli midir?

Sonuçta güvenlik sorunu, "İş açısından kritik verilerinize kime güveniyorsunuz?"

  • Cevap "hiç kimse" değilse, verilerinizi şifrelenmiş bir VPN üzerinden yerleştirmeniz gerekir
  • MPLS VPN sağlayıcınıza güveniyorsanız , verilerinizi şifrelemenize gerek yoktur

Neden MPLS üzerinden VPN de çalıştırmıyorsunuz?

En yaygın kullanım olarak, MPLS olan VPN, ancak şifrelenmemiş bir VPN var. "VPN" den bahsettiğinizde PPTP , IPSec veya SSL VPN gibi şifreli bir VPN demek istediğinizi varsayıyorum . Ancak, VPN içinde güçlü şifreleme , veri bütünlüğü veya Kimlik Doğrulaması gerekiyorsa , rfc4381 MPLS VPN Güvenliği, Bölüm 5.2, MPLS VPN içinde şifreleme yapılmasını önerir .

Ancak, şifrelenmiş VPN'ler kendileri sorunsuz değildir; genellikle aşağıdakilerden muzdariptirler:

  • Altyapı için ek masraflar
  • Verim / ölçeklenebilirlik sınırlamaları (HW şifrelemesindeki karmaşıklıklar nedeniyle)
  • Personel / eğitim için ek masraflar
  • Şifrelenmiş VPN aracılığıyla sorun ayıklama yaparken Artan Ortalama Onarım Süresi
  • Artan yönetim yükü (yani PKI'nın korunması )
  • Düşük TCP MSS gibi teknik zorluklar ve genellikle PMTUD ile ilgili sorunlar
  • Daha az verimli bağlantılar, çünkü şifrelenmiş VPN'nin kapsülleme yüküne sahipsiniz (zaten MPLS VPN'nin ek yükü içinde )

Hiç kimse trafikten kaçamaz mı?

Evet, sağlayıcınıza güvenebileceğinizi düşünüp düşünmediğinize bakılmaksızın evrdropping yapmak mümkündür. Rfc4381 MPLS VPN Güvenliği, Bölüm 7'den alıntı yapacağım :

MPLS çekirdeğinden gelen saldırılar söz konusu olduğunda, tüm [şifrelenmemiş] VPN sınıfları (BGP / MPLS, FR, ATM) aynı soruna sahiptir: Bir saldırgan sniffer kurabilirse, tüm VPN'lerde bilgileri okuyabilir ve Saldırganın çekirdek cihazlara erişimi vardır, paket sahtekarlığından yeni eş yönlendiriciler sunmaya kadar çok sayıda saldırı gerçekleştirebilir. Yukarıda bir servis sağlayıcının çekirdeğin güvenliğini sıkılaştırmak için kullanabileceği bir dizi önlem vardır, ancak BGP / MPLS IP VPN mimarisinin güvenliği servis sağlayıcının güvenliğine bağlıdır. Servis sağlayıcıya güvenilmiyorsa, VPN servisinin "içi" nden gelen saldırılara karşı bir VPN'i güvenli hale getirmenin tek yolu IPsec'i üstte, CE cihazlarında veya ötesinde çalıştırmaktır.

Son bir noktaya değineceğim, bu sadece pratik bir soru. Temel internet hizmeti üzerinden şifrelenmiş bir VPN kullanacaksanız, MPLS VPN kullanmanın bir anlamı olmadığını iddia edebiliriz ; Bu görüşe katılmıyorum. MPLS VPN üzerinden şifrelenmiş bir VPN'in avantajları tek bir sağlayıcıyla çalışmaktır:

  • Sorunları giderirken (uçtan uca)
  • Hizmet kalitesini garanti etmek
  • Hizmet sunmak
Mike Pennington
kaynak
Teşekkür ederim. Tüm cevaplar yardımcı oldu, ancak bu en çok yardımcı olan ve sormak üzere olduğum takip sorularına cevap verdi.
Yon
9

MPLS VPN'den bahsettiğinizi varsayıyorum. MPLS VPN normal bir İnternet bağlantısından daha güvenlidir, temel olarak sanal kiralık bir hat gibidir. Ancak şifreleme yapılmaz. Bu nedenle, birisi VPN'yi yanlış yapılandırmazsa, ancak hassas trafik taşıyorsanız hala şifrelenmelidir. Bu tür bir VPN'nin kimliği doğrulanmamıştır, bu nedenle özel bir ağdır, ancak IPSEC gibi kimliği doğrulanmamış ve şifrelenmemiş. Birinin ağınıza fiziksel erişimi varsa paketleri koklayabilir.

Normal VPN ile IPSEC demek istediğinizi varsayıyorum. IPSEC, çalıştığınız moda bağlı olarak doğrulanır ve şifrelenir. Yani birisi paketleri tutarsa, hala okuyamamalı.

Daniel Dib
kaynak
3
MPLSVPN "şifreleme yok" ile nasıl "güvenli" olabilir? Paketler karıştırılmıyorsa, yol boyunca herkes verilere göz atabilir. Tıpkı herhangi bir fiziksel bağlantı gibi.
Ricky Beam
İyi bir nokta. Söylemek istediğim, normal bir İnternet bağlantısından daha güvenli olduğuydu.
Daniel Dib
Sanırım bu bir yanlış adlandırma olsa da, MPLS etiketleri VLAN'lara benzetilebilir, hiçbir güvenlik sunmazlar. Bunlar trafik akışlarının mantıksal ayrılıklarıyla ilgilidir. Herkes MPLS etiketlerini sadece VLAN etiketleri itebilir ve MPLS L2 / L3 VPN'ler arasında atlayabilir.
jwbensley
6

En yaygın tanımdaki "VPN" mutlaka güvenlik anlamına gelmez. Aynı durum MPLS için de geçerlidir ve iki terim sıklıkla birleştirilir (bkz. "MPLS VPN") çünkü MPLS'nin bazı yönleri geleneksel bir VPN'ye (AToMPLS, EoMPLS, TDMoMPLS, vb.) Benzer işlevler sağlayabilir.

MPLS'yi şifreli bir VPN tüneli üzerinden çalıştırmak ve şifreli VPN trafiğini bir MPLS devresi üzerinden çalıştırmak tamamen mümkündür. MPLS'nin kendisi "güvenli" değildir, ancak yine temelde altta yatan protokollerin güvenli olabileceği taşıma hizmetleri için kullanılır.

Tipik olarak açıkladığınız senaryo, iki ayrı sağlayıcıdan farklı bağlantı isteyen bir kuruluştan kaynaklanabilir ve bu sağlayıcılardan biri MPLS hizmetleri sunmaz.

John Jensen
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.