MPLS проти зашифрованих VPN - безпека трафіку?

Чому люди багато разів кажуть, що вони мають два зв’язки між двома офісами - основний - через MPLS, а резервний - через VPN. Чому б не запустити VPN і над MPLS? Чи безпечний MPLS? Не може ніхто перешкоджати руху?

І Даниїл, і Іван дали дуже гарні відповіді на ваше запитання; Я просто додам кілька практичних речей, які приходять у голову, коли я читаю питання.

Майте на увазі , що багато дискусій про безпеку MPLS VPN s приходить через довіру , як правило , наданим Frame Relay і ATM VPN.

Чи безпечний MPLS?

Зрештою, питання безпеки зводиться до одного невстановленого питання, а саме: "Кому ви довіряєте своїм критичним для бізнесу даним?"

• Якщо відповідь - "ніхто", тоді ви повинні перекрити свої дані зашифрованим VPN
• Якщо ви довіряєте своєму постачальнику MPLS VPN , шифрувати свої дані не потрібно

Чому б не запустити VPN і над MPLS?

За найбільш поширеним використанням MPLS - це VPN, але це незашифрований VPN. Я припускаю, що ви маєте на увазі зашифрований VPN, такий як PPTP , IPSec або SSL VPN, коли ви згадуєте "VPN". Однак якщо вам потрібне сильне шифрування , цілісність даних або автентифікація всередині VPN, rfc4381 MPLS VPN Security, розділ 5.2 рекомендує шифрувати всередині MPLS VPN .

Однак зашифровані VPN не без проблем; вони, як правило, страждають від:

• Додаткові витрати на інфраструктуру
• Обмеження пропускної здатності / масштабованості (через складність шифрування HW)
• Додаткові витрати на персонал / навчання
• Збільшений середній час на ремонт при налагодженні проблем через зашифрований VPN
• Збільшені накладні витрати (тобто підтримка PKI )
• Технічні труднощі, такі як нижчий TCP MSS , і часто проблеми з PMTUD
• Менш ефективні посилання, оскільки у вас є накладні витрати на зашифрований VPN (який вже знаходиться всередині накладних даних від MPLS VPN )

Не може ніхто перешкоджати руху?

Так, підключення можливо цілком можливо, незалежно від того, чи вважаєте ви, що можете довіритися своєму провайдеру. Я цитую rfc4381 MPLS VPN Security, розділ 7 :

Що стосується атак всередині ядра MPLS, всі [незашифровані] VPN-класи (BGP / MPLS, FR, ATM) мають однакову проблему: Якщо зловмисник може встановити sniffer, він може прочитати інформацію у всіх VPN, і якщо зловмисник має доступ до основних пристроїв, він може виконувати велику кількість атак, від підробки пакетів до впровадження нових рівних маршрутизаторів. Вище викладено ряд запобіжних заходів, які постачальник послуг може використовувати для посилення безпеки ядра, але безпека архітектури VPN BGP / MPLS IP залежить від безпеки постачальника послуг. Якщо постачальнику послуг не довіряють, єдиний спосіб повного захисту VPN від атак зсередини VPN-сервісу - це запуск IPsec зверху, з пристроїв CE або за його межами.

Я згадаю заключний пункт, який є лише практичним питанням. Можна стверджувати, що використовувати MPLS VPN немає сенсу , якщо ви збираєтесь використовувати зашифрований VPN через базовий Інтернет-сервіс; Я б не погодився з цим поняттям. Переваги зашифрованого VPN через MPLS VPN - це робота з одним провайдером:

• Поки ви вирішуєте проблеми (від кінця до кінця)
• Гарантувати якість обслуговування
• До надання послуг

Я припускаю, що ви говорите про MPLS VPN. VPN MPLS є більш безпечним, ніж звичайне підключення до Інтернету, в основному це як віртуальна орендована лінія. Однак він не працює без шифрування. Таким чином, він не може підслуховувати, якщо хтось неправильно конфігурує VPN, але якщо ви переносите чутливий трафік, він все одно повинен бути зашифрований. Цей тип VPN не є автентифікованим, тому це приватна мережа, але не автентифікована та зашифрована, як IPSEC. Якщо хтось має фізичний доступ до вашої мережі, він може нюхати пакети.

Зі звичайною VPN я припускаю, що ви маєте на увазі IPSEC. IPSEC засвідчується автентифікацією та шифрується залежно від режиму роботи. Тож якщо хтось влаштовує пакети, вони все одно не зможуть їх прочитати.

"VPN" у найпоширенішому визначенні не обов'язково означає безпеку. Те ж саме стосується MPLS, і два терміни часто поєднуються (див. "MPLS VPN"), оскільки деякі аспекти MPLS можуть забезпечувати функціональність, аналогічну традиційній VPN (AToMPLS, EoMPLS, TDMoMPLS тощо).

Цілком можливо запустити MPLS через зашифрований тунель VPN та запустити зашифрований трафік VPN по ланцюгу MPLS. MPLS сама по собі не є "захищеною", але знову ж таки використовується в першу чергу для транспортних послуг, де базові протоколи можуть бути захищеними.

Зазвичай описаний вами сценарій може бути результатом організації, яка бажає різного зв’язку від двох окремих провайдерів, і один з цих провайдерів не пропонує послуги MPLS.