MPLS กับ VPN ที่เข้ารหัสแล้ว - ความปลอดภัยของการจราจร?

15

ทำไมผู้คนถึงพูดหลายครั้งว่าพวกเขามีการเชื่อมต่อสองจุดระหว่างสองสำนักงาน - สิ่งสำคัญคือ MPLS และการสำรองข้อมูลผ่าน VPN ทำไมไม่ใช้ VPN ผ่าน MPLS ด้วยล่ะ MPLS ปลอดภัยหรือไม่ ไม่มีใครหลีกเลี่ยงการจราจร

routing  security  mpls  mpls-vpn 
ทางโน้น
แหล่งที่มา
เพื่อชี้แจงเมื่อฉันกล่าวว่า VPN ฉันยิ่งทำให้เครือข่ายส่วนตัวที่ถูกเข้ารหัสและรับรองความถูกต้องเช่นกัน ขอขอบคุณทุกท่านที่ชี้แจงให้ทราบ
Yon
บุคคลที่น่าจะดมกลิ่นมากที่สุดคือผู้ให้บริการของคุณโดยผิดกฎหมายเพื่อผลประโยชน์ส่วนตัวของพนักงานบางคนหรือโดยคำสั่งศาล นอกจากนี้การเชื่อมต่อ WAN ไปยังสถานที่ต่าง ๆ ที่ไม่ได้รับการป้องกันอย่างสมบูรณ์และพร้อมให้สาธารณชนทั่วไปใช้สำหรับ MITM ทางกายภาพ ต้องบอกว่า บริษัท ส่วนใหญ่มีข้อมูลที่น่าขโมย 0 รายการและการรักษาความปลอดภัยไม่ควรมีค่ามากกว่าความเสี่ยงที่เกิดขึ้นจริงโดยปกติแล้วคุณต้องการความปลอดภัยเท่าที่จำเป็นตามสัญญา / ตามกฎหมาย
ytti

คำตอบ:

20

ทั้งดาเนียลและจอห์นตอบคำถามของคุณได้ดีมาก ฉันจะเพิ่มสิ่งที่ใช้งานได้จริง ๆ ที่นึกถึงเมื่อฉันอ่านคำถาม

โปรดทราบว่าการสนทนามากมายเกี่ยวกับความปลอดภัยของMPLS VPNนั้นมาจากความเชื่อมั่นที่จ่ายให้กับFrame RelayและATM VPN

MPLS ปลอดภัยหรือไม่

ในที่สุดคำถามด้านความปลอดภัยจะมาถึงคำถามที่ยังไม่ได้ถามหนึ่งคำถามคือ"คุณเชื่อถือใครกับข้อมูลทางธุรกิจที่สำคัญของคุณ"

  • หากคำตอบคือ "ไม่มีใคร" คุณจะต้องซ้อนทับข้อมูลของคุณผ่าน VPN ที่เข้ารหัส
  • หากคุณเชื่อถือผู้ให้บริการMPLS VPNของคุณคุณไม่จำเป็นต้องเข้ารหัสข้อมูลของคุณ

ทำไมไม่ใช้ VPN ผ่าน MPLS ด้วยล่ะ

โดยการใช้งานทั่วไป MPLS เป็น VPN แต่เป็น VPN ที่ไม่เข้ารหัส ฉันถือว่าคุณหมายถึง VPN ที่เข้ารหัสเช่นPPTP , IPSecหรือSSL VPNเมื่อคุณพูดถึง "VPN" แต่ถ้าคุณต้องการที่แข็งแกร่งเข้ารหัส , ความสมบูรณ์ของข้อมูลหรือรับรองความถูกต้องภายใน VPN, การrfc4381 MPLS VPN การรักษาความปลอดภัยมาตรา 5.2แนะนำการเข้ารหัสภายในMPLS VPN

อย่างไรก็ตาม VPN ที่เข้ารหัสไม่ได้ไม่มีปัญหาด้วยตนเอง พวกเขามักประสบจาก:

  • ค่าใช้จ่ายเพิ่มเติมสำหรับโครงสร้างพื้นฐาน
  • ข้อ จำกัด ปริมาณงาน / ความสามารถในการปรับขยาย (เนื่องจากความซับซ้อนในการเข้ารหัส HW)
  • ค่าใช้จ่ายเพิ่มเติมสำหรับบุคลากร / การฝึกอบรม
  • เพิ่มเวลาเฉลี่ยในการซ่อมแซมเมื่อแก้ไขข้อบกพร่องผ่าน VPN ที่เข้ารหัส
  • เพิ่มค่าใช้จ่ายในการจัดการ (เช่นการรักษา PKI )
  • ปัญหาทางเทคนิคเช่นTCP MSS ที่ต่ำกว่าและมักจะมีปัญหากับ PMTUD
  • ลิงค์ที่มีประสิทธิภาพน้อยลงเพราะคุณมีค่าใช้จ่ายในการห่อหุ้มของ VPN ที่เข้ารหัสไว้ (ซึ่งอยู่ภายในค่าใช้จ่ายจากMPLS VPN แล้ว )

ไม่มีใครหลีกเลี่ยงการจราจร

ใช่การหลบหลีกค่อนข้างเป็นไปได้ไม่ว่าคุณจะคิดว่าคุณเชื่อถือได้หรือไม่ก็ตาม ฉันจะอ้างอิงจากrfc4381 MPLS VPN Security, ส่วนที่ 7 :

ตราบใดที่การโจมตีจากภายในแกนหลักของ MPLS เกี่ยวข้องคลาส VPN ที่ไม่ได้เข้ารหัสทั้งหมด (BGP / MPLS, FR, ATM) มีปัญหาเดียวกัน: หากผู้โจมตีสามารถติดตั้ง Sniffer เขาสามารถอ่านข้อมูลใน VPN ทั้งหมดและหาก ผู้โจมตีสามารถเข้าถึงอุปกรณ์หลักได้เขาสามารถทำการโจมตีจำนวนมากตั้งแต่การปลอมแปลงแพ็กเก็ตจนถึงการแนะนำเพียร์เราเตอร์ใหม่ มีมาตรการป้องกันไว้ล่วงหน้าหลายประการที่ระบุไว้ด้านบนที่ผู้ให้บริการสามารถใช้ในการกระชับความปลอดภัยของแกนหลัก แต่ความปลอดภัยของสถาปัตยกรรม IP VPN ของ BGP / MPLS ขึ้นอยู่กับความปลอดภัยของผู้ให้บริการ หากผู้ให้บริการไม่น่าเชื่อถือวิธีเดียวที่จะรักษาความปลอดภัย VPN จากการโจมตีจาก "ภายใน" ของบริการ VPN คือการใช้ IPsec ด้านบนจากอุปกรณ์ CE หรือเกินกว่านั้น

ฉันจะพูดถึงประเด็นสุดท้ายซึ่งเป็นเพียงคำถามเชิงปฏิบัติ อาจมีข้อโต้แย้งว่าไม่มีจุดในการใช้MPLS VPNหากคุณจะใช้ VPN ที่เข้ารหัสผ่านบริการอินเทอร์เน็ตพื้นฐาน ฉันไม่เห็นด้วยกับความคิดนั้น ข้อดีของการเข้ารหัส VPN ผ่าน MPLS VPN ทำงานร่วมกับผู้ให้บริการรายหนึ่ง:

  • ในขณะที่คุณแก้ไขปัญหา (ต้นจนจบ)
  • เพื่อรับประกันคุณภาพการบริการ
  • เพื่อจัดบริการ
ไมค์เพนนิงตัน
แหล่งที่มา
ขอขอบคุณ. คำตอบทั้งหมดช่วย แต่นี่เป็นคำตอบที่ช่วยได้มากที่สุดและให้คำตอบสำหรับคำถามติดตามที่ฉันจะถาม
Yon
9

ฉันสมมติว่าคุณกำลังพูดถึง MPLS VPN MPLS VPN นั้นมีความปลอดภัยมากกว่าการเชื่อมต่ออินเทอร์เน็ตทั่วไปโดยทั่วไปแล้วมันเหมือนกับสายเช่าเสมือน อย่างไรก็ตามมันไม่มีการเข้ารหัส ดังนั้นจึงเป็นอิสระจากการดักฟังเว้นแต่จะมีคนกำหนดค่า VPN ไม่ถูกต้อง แต่หากคุณมีการรับส่งข้อมูลที่ละเอียดอ่อนควรทำการเข้ารหัส VPN ชนิดนี้ไม่ได้รับการรับรองความถูกต้องดังนั้นจึงเป็นเครือข่ายส่วนตัว แต่ไม่ได้รับรองความถูกต้องและเข้ารหัสเช่น IPSEC หากใครบางคนมีการเข้าถึงเครือข่ายของคุณพวกเขาสามารถสูดดมแพ็คเก็ตได้

ด้วย VPN ปกติฉันถือว่าคุณหมายถึง IPSEC IPSEC ได้รับการรับรองความถูกต้องและเข้ารหัสตามโหมดที่คุณใช้งานอยู่ ดังนั้นหากใครบางคนถือแพ็คเก็ตพวกเขาก็ยังไม่สามารถอ่านได้

Daniel Dib
แหล่งที่มา
3
MPLSVPN สามารถ "ปลอดภัย" โดยไม่มี "การเข้ารหัส" ได้อย่างไร หากแพ็คเก็ตไม่ถูกสัญญาณรบกวนใครก็ตามที่อยู่ในเส้นทางสามารถดูข้อมูลได้ เช่นเดียวกับการเชื่อมต่อทางกายภาพใด ๆ
Ricky Beam
จุดดี. สิ่งที่ฉันหมายถึงคือความปลอดภัยมากกว่าการเชื่อมต่ออินเทอร์เน็ตปกติ
Daniel Dib
ฉันคิดว่าแม้จะเป็นผู้เรียกชื่อผิด แต่ฉลาก MPLS ก็ยังสามารถใช้งานได้กับ VLAN แต่ก็ไม่มีความปลอดภัยเลย พวกเขาเกี่ยวกับตรรกะแยกกระแสการจราจร ทุกคนสามารถติดป้าย MPLS แบบ push-pop-swap ได้เพียงแค่สามารถแท็ก VLAN และข้ามไปมาระหว่าง MPLS L2 / L3 VPN
jwbensley
6

"VPN" ในคำจำกัดความที่พบบ่อยที่สุดไม่ได้แปลว่าความปลอดภัย สิ่งที่เหมือนกันสำหรับ MPLS และทั้งสองคำนี้มักจะรวมกัน (ดู "MPLS VPN") เนื่องจากบางแง่มุมของ MPLS สามารถให้ฟังก์ชันการทำงานที่คล้ายกับ VPN แบบดั้งเดิม (AToMPLS, EoMPLS, TDMoMPLS และอื่น ๆ )

เป็นไปได้ทั้งหมดที่จะเรียกใช้ MPLS บนอุโมงค์ VPN ที่เข้ารหัสและเพื่อเรียกใช้ทราฟฟิก VPN ที่เข้ารหัสผ่านวงจร MPLS MPLS เองนั้นไม่ "ปลอดภัย" แต่อีกครั้งใช้สำหรับบริการด้านการขนส่งเป็นหลักซึ่งโปรโตคอลที่ปลอดภัยสามารถใช้งานได้

โดยทั่วไปแล้วสถานการณ์ที่คุณอธิบายอาจเป็นผลมาจากองค์กรที่ต้องการการเชื่อมต่อที่หลากหลายจากผู้ให้บริการสองรายแยกกันและหนึ่งในผู้ให้บริการเหล่านั้นไม่เสนอบริการ MPLS

จอห์นเซ่น
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.