Warum sagen die Leute oft, dass sie zwei Verbindungen zwischen zwei Büros haben - die Hauptverbindung ist über MPLS und die Backup-Verbindung über VPN. Warum nicht auch ein VPN über MPLS betreiben? Ist MPLS sicher? Kann niemand dem Verkehr ausweichen?
15
Antworten:
Sowohl Daniel als auch John haben Ihre Frage sehr gut beantwortet. Ich füge nur einige praktische Dinge hinzu, die mir einfallen, wenn ich die Frage lese.
Denken Sie daran, dass viele Diskussionen über die Sicherheit von MPLS-VPNs über das Vertrauen geführt haben, das normalerweise Frame Relay- und ATM- VPNs entgegengebracht wird.
Letztendlich geht es bei der Sicherheitsfrage um eine offene Frage: "Wem vertrauen Sie bei Ihren geschäftskritischen Daten?"
MPLS ist in der Regel ein VPN, jedoch ein unverschlüsseltes VPN. Ich gehe davon aus, dass Sie ein verschlüsseltes VPN wie PPTP , IPSec oder SSL-VPN meinen, wenn Sie "VPN" erwähnen. Wenn Sie jedoch eine starke Verschlüsselung , Datenintegrität oder Authentifizierung im VPN benötigen, empfiehlt rfc4381 MPLS VPN Security, Abschnitt 5.2 , die Verschlüsselung im MPLS VPN .
Verschlüsselte VPNs sind jedoch selbst nicht unproblematisch. Sie leiden im Allgemeinen unter:
Ja, evesdropping ist durchaus möglich, unabhängig davon, ob Sie glauben, Ihrem Provider vertrauen zu können. Ich zitiere aus rfc4381 MPLS VPN Security, Abschnitt 7 :
Bei Angriffen aus dem MPLS-Kern heraus haben alle [unverschlüsselten] VPN-Klassen (BGP / MPLS, FR, ATM) das gleiche Problem: Wenn ein Angreifer einen Sniffer installieren kann, kann er Informationen in allen VPNs lesen, und wenn Der Angreifer hat Zugriff auf die Kerngeräte und kann eine große Anzahl von Angriffen ausführen, von Paket-Spoofing bis zur Einführung neuer Peer-Router. Es gibt eine Reihe von Vorsichtsmaßnahmen, die ein Dienstanbieter verwenden kann, um die Sicherheit des Kerns zu erhöhen. Die Sicherheit der BGP / MPLS-IP-VPN-Architektur hängt jedoch von der Sicherheit des Dienstanbieters ab. Wenn der Dienstanbieter nicht vertrauenswürdig ist, können Sie ein VPN nur dann vollständig vor Angriffen von "innen" des VPN-Diensts schützen, wenn Sie IPsec über die CE-Geräte oder darüber hinaus ausführen.
Ich werde einen letzten Punkt erwähnen, der nur eine praktische Frage ist. Man könnte argumentieren, dass es keinen Sinn macht, ein MPLS-VPN zu verwenden , wenn Sie ein verschlüsseltes VPN über einen einfachen Internetdienst verwenden. Ich würde diesem Gedanken nicht zustimmen. Die Vorteile eines verschlüsselten VPN über MPLS VPN liegen bei einem Anbieter:
quelle
Ich gehe davon aus, dass Sie über MPLS VPN sprechen. Das MPLS-VPN ist sicherer als eine normale Internetverbindung, im Grunde ist es wie eine virtuelle Standleitung. Es läuft jedoch keine Verschlüsselung. Es ist also frei von Abhören, es sei denn, jemand konfiguriert das VPN falsch, aber wenn Sie vertraulichen Datenverkehr haben, sollte es immer noch verschlüsselt sein. Diese Art von VPN ist nicht authentifiziert, es handelt sich also um ein privates Netzwerk, das jedoch nicht wie IPSEC authentifiziert und verschlüsselt ist. Wenn jemand physischen Zugriff auf Ihr Netzwerk hat, kann er Pakete abhören.
Mit dem regulären VPN meine ich wohl IPSEC. IPSEC wird je nach verwendetem Modus authentifiziert und verschlüsselt. Wenn also jemand die Pakete erhält, sollte er sie immer noch nicht lesen können.
quelle
"VPN" in der gebräuchlichsten Definition bedeutet nicht unbedingt Sicherheit. Dasselbe gilt für MPLS, und die beiden Begriffe werden häufig kombiniert (siehe "MPLS-VPN"), da bestimmte Aspekte von MPLS ähnliche Funktionen wie herkömmliche VPNs (AToMPLS, EoMPLS, TDMoMPLS usw.) bieten können.
Es ist durchaus möglich, MPLS über einen verschlüsselten VPN-Tunnel und verschlüsselten VPN-Verkehr über eine MPLS-Verbindung auszuführen. MPLS selbst ist nicht "sicher", sondern wird hauptsächlich für Transportdienste verwendet, bei denen die zugrunde liegenden Protokolle sicher sein können.
In der Regel kann das von Ihnen beschriebene Szenario darauf zurückzuführen sein, dass eine Organisation unterschiedliche Konnektivität von zwei verschiedenen Anbietern wünscht und einer dieser Anbieter keine MPLS-Dienste anbietet.
quelle