MPLS vs Encrypted VPNs - Verkehrssicherheit?

15

Warum sagen die Leute oft, dass sie zwei Verbindungen zwischen zwei Büros haben - die Hauptverbindung ist über MPLS und die Backup-Verbindung über VPN. Warum nicht auch ein VPN über MPLS betreiben? Ist MPLS sicher? Kann niemand dem Verkehr ausweichen?

Yon
quelle
Zur Klarstellung, als ich VPN sagte, spielte ich auf das private Netzwerk an, das ebenfalls verschlüsselt und authentifiziert wurde. Vielen Dank für die Klarstellung.
Yon
Die wahrscheinlichste Partei, die Sie beschnüffelt, ist Ihr Netzbetreiber, und zwar aus persönlichen Gründen oder auf gerichtliche Anordnung. Jede WAN-Verbindung führt auch zu zahlreichen Orten, die für physische MITM völlig unbewacht und für die breite Öffentlichkeit leicht zugänglich sind. Allerdings haben die meisten Unternehmen 0 Informationen, die es wert sind, gestohlen zu werden, und die Sicherheit sollte nicht mehr kosten als das realisierte Risiko. Normalerweise möchten Sie nur so viel Sicherheit, wie vertraglich oder gesetzlich vorgeschrieben ist.
Ytti

Antworten:

20

Sowohl Daniel als auch John haben Ihre Frage sehr gut beantwortet. Ich füge nur einige praktische Dinge hinzu, die mir einfallen, wenn ich die Frage lese.

Denken Sie daran, dass viele Diskussionen über die Sicherheit von MPLS-VPNs über das Vertrauen geführt haben, das normalerweise Frame Relay- und ATM- VPNs entgegengebracht wird.

Ist MPLS sicher?

Letztendlich geht es bei der Sicherheitsfrage um eine offene Frage: "Wem vertrauen Sie bei Ihren geschäftskritischen Daten?"

  • Wenn die Antwort "nobody" lautet, müssen Sie Ihre Daten über ein verschlüsseltes VPN legen
  • Wenn Sie Ihrem MPLS-VPN- Anbieter vertrauen, müssen Sie Ihre Daten nicht verschlüsseln

Warum nicht auch ein VPN über MPLS betreiben?

MPLS ist in der Regel ein VPN, jedoch ein unverschlüsseltes VPN. Ich gehe davon aus, dass Sie ein verschlüsseltes VPN wie PPTP , IPSec oder SSL-VPN meinen, wenn Sie "VPN" erwähnen. Wenn Sie jedoch eine starke Verschlüsselung , Datenintegrität oder Authentifizierung im VPN benötigen, empfiehlt rfc4381 MPLS VPN Security, Abschnitt 5.2 , die Verschlüsselung im MPLS VPN .

Verschlüsselte VPNs sind jedoch selbst nicht unproblematisch. Sie leiden im Allgemeinen unter:

  • Nebenkosten für die Infrastruktur
  • Durchsatz- / Skalierbarkeitsbeschränkungen (aufgrund von Komplexität bei der HW-Verschlüsselung)
  • Zusätzliche Aufwendungen für Personal / Schulung
  • Die durchschnittliche Reparaturzeit beim Debuggen von Problemen über das verschlüsselte VPN wurde verlängert
  • Erhöhter Verwaltungsaufwand (dh Beibehaltung der PKI )
  • Technische Schwierigkeiten, wie z. B. niedrigeres TCP-MSS und häufig Probleme mit PMTUD
  • Weniger effiziente Verbindungen, da Sie den Kapselungsaufwand des verschlüsselten VPN haben (der bereits im Aufwand des MPLS-VPN enthalten ist )

Kann niemand dem Verkehr ausweichen?

Ja, evesdropping ist durchaus möglich, unabhängig davon, ob Sie glauben, Ihrem Provider vertrauen zu können. Ich zitiere aus rfc4381 MPLS VPN Security, Abschnitt 7 :

Bei Angriffen aus dem MPLS-Kern heraus haben alle [unverschlüsselten] VPN-Klassen (BGP / MPLS, FR, ATM) das gleiche Problem: Wenn ein Angreifer einen Sniffer installieren kann, kann er Informationen in allen VPNs lesen, und wenn Der Angreifer hat Zugriff auf die Kerngeräte und kann eine große Anzahl von Angriffen ausführen, von Paket-Spoofing bis zur Einführung neuer Peer-Router. Es gibt eine Reihe von Vorsichtsmaßnahmen, die ein Dienstanbieter verwenden kann, um die Sicherheit des Kerns zu erhöhen. Die Sicherheit der BGP / MPLS-IP-VPN-Architektur hängt jedoch von der Sicherheit des Dienstanbieters ab. Wenn der Dienstanbieter nicht vertrauenswürdig ist, können Sie ein VPN nur dann vollständig vor Angriffen von "innen" des VPN-Diensts schützen, wenn Sie IPsec über die CE-Geräte oder darüber hinaus ausführen.


Ich werde einen letzten Punkt erwähnen, der nur eine praktische Frage ist. Man könnte argumentieren, dass es keinen Sinn macht, ein MPLS-VPN zu verwenden , wenn Sie ein verschlüsseltes VPN über einen einfachen Internetdienst verwenden. Ich würde diesem Gedanken nicht zustimmen. Die Vorteile eines verschlüsselten VPN über MPLS VPN liegen bei einem Anbieter:

  • Während Sie Probleme beheben (Ende zu Ende)
  • Um die Servicequalität zu gewährleisten
  • Dienstleistungen erbringen
Mike Pennington
quelle
Vielen Dank. Alle Antworten haben geholfen, aber dies war bei weitem die Antwort, die am meisten geholfen hat und die Antworten auf nachfolgende Fragen lieferte, die ich stellen wollte.
Yon
9

Ich gehe davon aus, dass Sie über MPLS VPN sprechen. Das MPLS-VPN ist sicherer als eine normale Internetverbindung, im Grunde ist es wie eine virtuelle Standleitung. Es läuft jedoch keine Verschlüsselung. Es ist also frei von Abhören, es sei denn, jemand konfiguriert das VPN falsch, aber wenn Sie vertraulichen Datenverkehr haben, sollte es immer noch verschlüsselt sein. Diese Art von VPN ist nicht authentifiziert, es handelt sich also um ein privates Netzwerk, das jedoch nicht wie IPSEC authentifiziert und verschlüsselt ist. Wenn jemand physischen Zugriff auf Ihr Netzwerk hat, kann er Pakete abhören.

Mit dem regulären VPN meine ich wohl IPSEC. IPSEC wird je nach verwendetem Modus authentifiziert und verschlüsselt. Wenn also jemand die Pakete erhält, sollte er sie immer noch nicht lesen können.

Daniel Dib
quelle
3
Wie kann MPLSVPN "sicher" ohne "Verschlüsselung" sein? Wenn die Pakete nicht verschlüsselt werden, kann jeder auf dem Pfad einen Blick auf die Daten werfen. Genau wie bei jeder physischen Verbindung.
Ricky Beam
Guter Punkt. Ich wollte damit sagen, dass es sicherer ist als eine normale Internetverbindung.
Daniel Dib
Ich denke, auch das ist eine falsche Bezeichnung, MPLS-Labels können mit VLANs verglichen werden, sie bieten überhaupt keine Sicherheit. Es geht um eine logische Trennung der Verkehrsströme. Jeder kann MPLS-Labels per Push-Pop-Swap austauschen, ebenso VLAN-Tags und Sprünge zwischen MPLS L2 / L3-VPNs.
Jwbensley
6

"VPN" in der gebräuchlichsten Definition bedeutet nicht unbedingt Sicherheit. Dasselbe gilt für MPLS, und die beiden Begriffe werden häufig kombiniert (siehe "MPLS-VPN"), da bestimmte Aspekte von MPLS ähnliche Funktionen wie herkömmliche VPNs (AToMPLS, EoMPLS, TDMoMPLS usw.) bieten können.

Es ist durchaus möglich, MPLS über einen verschlüsselten VPN-Tunnel und verschlüsselten VPN-Verkehr über eine MPLS-Verbindung auszuführen. MPLS selbst ist nicht "sicher", sondern wird hauptsächlich für Transportdienste verwendet, bei denen die zugrunde liegenden Protokolle sicher sein können.

In der Regel kann das von Ihnen beschriebene Szenario darauf zurückzuführen sein, dass eine Organisation unterschiedliche Konnektivität von zwei verschiedenen Anbietern wünscht und einer dieser Anbieter keine MPLS-Dienste anbietet.

John Jensen
quelle