MPLS vs VPN crittografate: sicurezza del traffico?

15

Perché la gente dice molte volte di avere due connessioni tra due uffici: il principale è su MPLS e quello di backup su VPN. Perché non eseguire anche una VPN su MPLS? MPLS è sicuro? Nessuno può ripercorrere il traffico?

routing  security  mpls  mpls-vpn 
Yon
fonte
Per chiarire, quando ho detto che VPN alludevo alla crittografia e all'autenticazione della rete privata. Grazie a tutti per averlo chiarito.
Sì,
La parte più probabile che ti annusa è il tuo operatore, illegalmente per un guadagno personale dei dipendenti o per mandato giudiziario. Inoltre, qualsiasi connessione WAN va in numerosi luoghi completamente non custoditi e facilmente disponibili per il pubblico generico per il MITM fisico. Detto questo, la maggior parte delle aziende ha effettivamente 0 informazioni che vale la pena rubare e che la sicurezza non dovrebbe costare di più del rischio realizzato, di solito si vorrebbe solo la sicurezza necessaria dal punto di vista contrattuale / legale.
ytti,

Risposte:

20

Sia Daniel che John hanno dato ottime risposte alla tua domanda; Aggiungerò solo alcune cose pratiche che mi vengono in mente quando leggo la domanda.

Tieni presente che molte discussioni sulla sicurezza delle VPN MPLS derivano dalla fiducia normalmente accordata a Frame Relay e ATM VPN.

MPLS è sicuro?

In definitiva la questione della sicurezza si riduce a una domanda non posta, che è "Di chi ti fidi con i tuoi dati business-critical?"

  • Se la risposta è "nessuno", è necessario sovrapporre i dati tramite una VPN crittografata
  • Se ti fidi del tuo provider VPN MPLS , non è necessario crittografare i tuoi dati

Perché non eseguire anche una VPN su MPLS?

Dall'uso più comune, MPLS è una VPN, ma è una VPN non crittografata. Suppongo che intendi una VPN crittografata, come PPTP , IPSec o SSL VPN quando menzioni "VPN". Tuttavia, se hai bisogno di crittografia avanzata , integrità dei dati o autenticazione all'interno della VPN, rfc4381 MPLS VPN Security, la Sezione 5.2 consiglia di crittografare all'interno della VPN MPLS .

Tuttavia, le VPN crittografate non sono prive di problemi; generalmente soffrono di:

  • Spese aggiuntive per l'infrastruttura
  • Limitazioni di throughput / scalabilità (a causa di complessità nella crittografia HW)
  • Spese aggiuntive per personale / formazione
  • Tempo medio di riparazione aumentato durante il debug dei problemi tramite la VPN crittografata
  • Maggiore sovraccarico di gestione (ovvero mantenimento dell'infrastruttura a chiave pubblica )
  • Difficoltà tecniche, come TCP MSS inferiore , e spesso problemi con PMTUD
  • Collegamenti meno efficienti, poiché si ha l'overhead di incapsulamento della VPN crittografata (che è già all'interno dell'overhead della VPN MPLS )

Nessuno può ripercorrere il traffico?

Sì, l'evasione è del tutto possibile, indipendentemente dal fatto che pensi di poterti fidare del tuo provider. Citerò da rfc4381 MPLS VPN Security, Sezione 7 :

Per quanto riguarda gli attacchi dall'interno del core MPLS, tutte le classi VPN [non crittografate] (BGP / MPLS, FR, ATM) hanno lo stesso problema: se un utente malintenzionato può installare uno sniffer, può leggere le informazioni in tutte le VPN e se l'attaccante ha accesso ai dispositivi principali, può eseguire un gran numero di attacchi, dallo spoofing dei pacchetti all'introduzione di nuovi router peer. Esistono diverse misure precauzionali descritte sopra che un fornitore di servizi può utilizzare per rafforzare la sicurezza del core, ma la sicurezza dell'architettura IP VPN BGP / MPLS dipende dalla sicurezza del fornitore di servizi. Se il fornitore di servizi non è attendibile, l'unico modo per proteggere completamente una VPN dagli attacchi "interni" del servizio VPN è eseguire IPsec dall'alto, dai dispositivi CE o oltre.

Citerò un ultimo punto, che è solo una domanda pratica. Si potrebbe sostenere che non ha senso utilizzare una VPN MPLS , se si intende utilizzare una VPN crittografata tramite un servizio Internet di base; Non sarei d'accordo con questa nozione. I vantaggi di una VPN crittografata tramite MPLS VPN stanno lavorando con un solo provider:

  • Durante la risoluzione dei problemi (end-to-end)
  • Per garantire la qualità del servizio
  • Per fornire servizi
Mike Pennington
fonte
Grazie. Tutte le risposte hanno aiutato, ma questo è stato di gran lunga quello che ha aiutato di più e ha fornito le risposte alle domande di follow-up che stavo per porre.
Sì,
9

Presumo che tu stia parlando di MPLS VPN. La VPN MPLS è più sicura di una normale connessione Internet, è sostanzialmente come una linea virtuale in affitto. Tuttavia non esegue alcuna crittografia. Quindi è libero da intercettazioni a meno che qualcuno non configuri erroneamente la VPN ma se porti traffico sensibile dovrebbe essere comunque crittografato. Questo tipo di VPN non è autenticato, quindi è una rete privata ma non autenticata e crittografata come IPSEC. Se qualcuno ha accesso fisico alla tua rete potrebbe sniffare i pacchetti.

Con la normale VPN suppongo che intendi IPSEC. IPSEC è autenticato e crittografato a seconda della modalità in esecuzione. Quindi, se qualcuno si impadronisce dei pacchetti, non dovrebbe essere ancora in grado di leggerli.

Daniel Dib
fonte
3
In che modo MPLSVPN può essere "sicuro" senza "nessuna crittografia"? Se i pacchetti non vengono codificati, allora chiunque lungo il percorso può dare un'occhiata ai dati. Proprio come qualsiasi connessione fisica.
Ricky Beam,
Buon punto. Quello che intendevo dire era che è più sicuro di una normale connessione Internet.
Daniel Dib,
Penso che anche questo sia un termine improprio, le etichette MPLS possono essere assimilate alle VLAN, non offrono alcuna sicurezza. Riguardano il logico separato dei flussi di traffico. Chiunque può eseguire il push-pop-swap delle etichette MPLS solo che può tag VLAN e saltare tra le VPN L2 / L3 MPLS.
jwbensley,
6

"VPN" nella definizione più comune non implica necessariamente sicurezza. Lo stesso vale per MPLS e i due termini sono spesso combinati (consultare "VPN MPLS") perché alcuni aspetti di MPLS possono fornire funzionalità simili a una VPN tradizionale (AToMPLS, EoMPLS, TDMoMPLS, ecc.).

È del tutto possibile eseguire MPLS su un tunnel VPN crittografato ed eseguire traffico VPN crittografato su un circuito MPLS. Lo stesso MPLS non è "sicuro", ma viene nuovamente utilizzato principalmente per i servizi di trasporto, in cui i protocolli sottostanti possono essere sicuri.

In genere lo scenario che descrivi potrebbe derivare da un'organizzazione che desidera una connettività diversa da due provider separati e uno di questi provider non offre servizi MPLS.

John Jensen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.