ทำไมผู้คนถึงพูดหลายครั้งว่าพวกเขามีการเชื่อมต่อสองจุดระหว่างสองสำนักงาน - สิ่งสำคัญคือ MPLS และการสำรองข้อมูลผ่าน VPN ทำไมไม่ใช้ VPN ผ่าน MPLS ด้วยล่ะ MPLS ปลอดภัยหรือไม่ ไม่มีใครหลีกเลี่ยงการจราจร
ทำไมผู้คนถึงพูดหลายครั้งว่าพวกเขามีการเชื่อมต่อสองจุดระหว่างสองสำนักงาน - สิ่งสำคัญคือ MPLS และการสำรองข้อมูลผ่าน VPN ทำไมไม่ใช้ VPN ผ่าน MPLS ด้วยล่ะ MPLS ปลอดภัยหรือไม่ ไม่มีใครหลีกเลี่ยงการจราจร
คำตอบ:
ทั้งดาเนียลและจอห์นตอบคำถามของคุณได้ดีมาก ฉันจะเพิ่มสิ่งที่ใช้งานได้จริง ๆ ที่นึกถึงเมื่อฉันอ่านคำถาม
โปรดทราบว่าการสนทนามากมายเกี่ยวกับความปลอดภัยของMPLS VPNนั้นมาจากความเชื่อมั่นที่จ่ายให้กับFrame RelayและATM VPN
MPLS ปลอดภัยหรือไม่
ในที่สุดคำถามด้านความปลอดภัยจะมาถึงคำถามที่ยังไม่ได้ถามหนึ่งคำถามคือ"คุณเชื่อถือใครกับข้อมูลทางธุรกิจที่สำคัญของคุณ"
ทำไมไม่ใช้ VPN ผ่าน MPLS ด้วยล่ะ
โดยการใช้งานทั่วไป MPLS เป็น VPN แต่เป็น VPN ที่ไม่เข้ารหัส ฉันถือว่าคุณหมายถึง VPN ที่เข้ารหัสเช่นPPTP , IPSecหรือSSL VPNเมื่อคุณพูดถึง "VPN" แต่ถ้าคุณต้องการที่แข็งแกร่งเข้ารหัส , ความสมบูรณ์ของข้อมูลหรือรับรองความถูกต้องภายใน VPN, การrfc4381 MPLS VPN การรักษาความปลอดภัยมาตรา 5.2แนะนำการเข้ารหัสภายในMPLS VPN
อย่างไรก็ตาม VPN ที่เข้ารหัสไม่ได้ไม่มีปัญหาด้วยตนเอง พวกเขามักประสบจาก:
ไม่มีใครหลีกเลี่ยงการจราจร
ใช่การหลบหลีกค่อนข้างเป็นไปได้ไม่ว่าคุณจะคิดว่าคุณเชื่อถือได้หรือไม่ก็ตาม ฉันจะอ้างอิงจากrfc4381 MPLS VPN Security, ส่วนที่ 7 :
ตราบใดที่การโจมตีจากภายในแกนหลักของ MPLS เกี่ยวข้องคลาส VPN ที่ไม่ได้เข้ารหัสทั้งหมด (BGP / MPLS, FR, ATM) มีปัญหาเดียวกัน: หากผู้โจมตีสามารถติดตั้ง Sniffer เขาสามารถอ่านข้อมูลใน VPN ทั้งหมดและหาก ผู้โจมตีสามารถเข้าถึงอุปกรณ์หลักได้เขาสามารถทำการโจมตีจำนวนมากตั้งแต่การปลอมแปลงแพ็กเก็ตจนถึงการแนะนำเพียร์เราเตอร์ใหม่ มีมาตรการป้องกันไว้ล่วงหน้าหลายประการที่ระบุไว้ด้านบนที่ผู้ให้บริการสามารถใช้ในการกระชับความปลอดภัยของแกนหลัก แต่ความปลอดภัยของสถาปัตยกรรม IP VPN ของ BGP / MPLS ขึ้นอยู่กับความปลอดภัยของผู้ให้บริการ หากผู้ให้บริการไม่น่าเชื่อถือวิธีเดียวที่จะรักษาความปลอดภัย VPN จากการโจมตีจาก "ภายใน" ของบริการ VPN คือการใช้ IPsec ด้านบนจากอุปกรณ์ CE หรือเกินกว่านั้น
ฉันจะพูดถึงประเด็นสุดท้ายซึ่งเป็นเพียงคำถามเชิงปฏิบัติ อาจมีข้อโต้แย้งว่าไม่มีจุดในการใช้MPLS VPNหากคุณจะใช้ VPN ที่เข้ารหัสผ่านบริการอินเทอร์เน็ตพื้นฐาน ฉันไม่เห็นด้วยกับความคิดนั้น ข้อดีของการเข้ารหัส VPN ผ่าน MPLS VPN ทำงานร่วมกับผู้ให้บริการรายหนึ่ง:
ฉันสมมติว่าคุณกำลังพูดถึง MPLS VPN MPLS VPN นั้นมีความปลอดภัยมากกว่าการเชื่อมต่ออินเทอร์เน็ตทั่วไปโดยทั่วไปแล้วมันเหมือนกับสายเช่าเสมือน อย่างไรก็ตามมันไม่มีการเข้ารหัส ดังนั้นจึงเป็นอิสระจากการดักฟังเว้นแต่จะมีคนกำหนดค่า VPN ไม่ถูกต้อง แต่หากคุณมีการรับส่งข้อมูลที่ละเอียดอ่อนควรทำการเข้ารหัส VPN ชนิดนี้ไม่ได้รับการรับรองความถูกต้องดังนั้นจึงเป็นเครือข่ายส่วนตัว แต่ไม่ได้รับรองความถูกต้องและเข้ารหัสเช่น IPSEC หากใครบางคนมีการเข้าถึงเครือข่ายของคุณพวกเขาสามารถสูดดมแพ็คเก็ตได้
ด้วย VPN ปกติฉันถือว่าคุณหมายถึง IPSEC IPSEC ได้รับการรับรองความถูกต้องและเข้ารหัสตามโหมดที่คุณใช้งานอยู่ ดังนั้นหากใครบางคนถือแพ็คเก็ตพวกเขาก็ยังไม่สามารถอ่านได้
"VPN" ในคำจำกัดความที่พบบ่อยที่สุดไม่ได้แปลว่าความปลอดภัย สิ่งที่เหมือนกันสำหรับ MPLS และทั้งสองคำนี้มักจะรวมกัน (ดู "MPLS VPN") เนื่องจากบางแง่มุมของ MPLS สามารถให้ฟังก์ชันการทำงานที่คล้ายกับ VPN แบบดั้งเดิม (AToMPLS, EoMPLS, TDMoMPLS และอื่น ๆ )
เป็นไปได้ทั้งหมดที่จะเรียกใช้ MPLS บนอุโมงค์ VPN ที่เข้ารหัสและเพื่อเรียกใช้ทราฟฟิก VPN ที่เข้ารหัสผ่านวงจร MPLS MPLS เองนั้นไม่ "ปลอดภัย" แต่อีกครั้งใช้สำหรับบริการด้านการขนส่งเป็นหลักซึ่งโปรโตคอลที่ปลอดภัยสามารถใช้งานได้
โดยทั่วไปแล้วสถานการณ์ที่คุณอธิบายอาจเป็นผลมาจากองค์กรที่ต้องการการเชื่อมต่อที่หลากหลายจากผู้ให้บริการสองรายแยกกันและหนึ่งในผู้ให้บริการเหล่านั้นไม่เสนอบริการ MPLS