MPLS vs Encrypted VPNs - безопасность трафика?

Почему люди говорят много раз, что у них есть две связи между двумя офисами: главная из них - над MPLS и резервная копия через VPN. Почему бы не запустить VPN через MPLS? Защищен ли MPLS? Нельзя ли отслеживать трафик?

14 голосов | спросил Yon 29 +04002013-10-29T01:50:17+04:00312013bEurope/MoscowTue, 29 Oct 2013 01:50:17 +0400 2013, 01:50:17

3 ответа


19

И Даниил, и Джон дали очень хорошие ответы на ваш вопрос; Я просто добавлю некоторые практические вещи, которые приходят на ум, когда я читаю вопрос.

Имейте в виду, что много обсуждений о безопасности MPLS VPN происходит через доверие, обычно предоставляемое < a href = "http://en.wikipedia.org/wiki/Frame_relay"> Frame Relay и ATM VPN.

  

Безопасен ли MPLS?

В конечном счете вопрос безопасности сводится к одному непонятому вопросу: «Кому вы доверяете своим бизнес-критическим данным?»

  • Если ответ «никто», вы должны наложить свои данные через зашифрованный VPN
  • Если вы доверяете своему провайдеру MPLS VPN , тогда нет необходимости шифровать ваши данные.
  

Почему бы не запустить VPN через MPLS?

В большинстве случаев использование MPLS представляет собой VPN, но это незашифрованная VPN. Я предполагаю, что вы имеете в виду шифрованную VPN, такую ​​как PPTP , IPSec или SSL VPN , когда вы упоминаете «VPN». Однако, если вам требуется сильное шифрование , целостность данных или Аутентификация внутри VPN, rfc4381 Безопасность MPLS VPN, раздел 5.2 рекомендует шифровать внутри MPLS VPN .

Однако зашифрованные VPN не без проблем сами; они обычно страдают от:

  • Дополнительные расходы на инфраструктуру
  • Ограничения пропускной способности /масштабируемости (из-за сложностей в HW-шифровании)
  • Дополнительные расходы на персонал /обучение
  • Увеличено Среднее время восстановления при отладке проблем через зашифрованную VPN
  • Увеличенные накладные расходы на управление (т.е. поддержка PKI )
  • Технические трудности, такие как TCP MSS и часто проблемы с PMTUD
  • Менее эффективные ссылки, поскольку у вас есть накладные расходы на инкапсуляцию зашифрованной VPN (которая уже находится внутри служебных данных MPLS VPN )
  

Невозможно ли отслеживать трафик?

Да, evesdropping вполне возможно, независимо от того, думаете ли вы, что можете доверять своему провайдеру. Я приведу из rfc4381 MPLS VPN Security, раздел 7 :

Что касается атак из ядра MPLS, все [незашифрованные] VPN    классы (BGP /MPLS, FR, ATM) имеют такую ​​же проблему: если злоумышленник может    установить сниффера, он может читать информацию во всех VPN, а если    злоумышленник имеет доступ к основным устройствам, он может выполнить большой    количество атак, от спуфинга пакетов до введения нового партнера    маршрутизаторы. Существует ряд предупредительных мер, изложенных выше    что поставщик услуг может использовать для усиления безопасности ядра, но    безопасность архитектуры IP VPN BGP /MPLS зависит от    безопасность поставщика услуг. Если поставщик услуг не    доверенный, единственный способ полностью защитить VPN от атак из    «внутри» службы VPN - запустить IPsec сверху, от CE    устройства или за его пределами.


Я упомянул последний момент, который является просто практическим вопросом. Можно утверждать, что нет смысла использовать MPLS VPN , если вы собираетесь использовать зашифрованный VPN поверх базового Интернет служба; Я бы не согласился с этим понятием. Преимущества зашифрованного VPN через MPLS VPN работают с одним провайдером:

  • При устранении неполадок (от конца до конца)
  • Чтобы гарантировать качество обслуживания
  • Предоставление услуг
ответил Mike Pennington 29 +04002013-10-29T05:34:48+04:00312013bEurope/MoscowTue, 29 Oct 2013 05:34:48 +0400 2013, 05:34:48
8

Я предполагаю, что вы говорите о MPLS VPN. MPLS VPN более безопасен, чем обычное подключение к Интернету, в основном это виртуальная арендная линия. Однако он не шифрует. Таким образом, он не подслушивает, если кто-то неправильно настроит VPN, но если вы переносите чувствительный трафик, он все равно должен быть зашифрован. Этот вид VPN не аутентифицирован, поэтому он является частной сетью, но не аутентифицирован и не зашифрован, как IPSEC. Если у кого-то есть физический доступ к вашей сети, они могут обнюхивать пакеты.

С обычным VPN я предполагаю, что вы имеете в виду IPSEC. IPSEC аутентифицируется и шифруется в зависимости от того, какой режим вы используете. Поэтому, если кто-то получает пакеты, они все равно не смогут их прочитать.

ответил Daniel Dib 29 +04002013-10-29T02:44:28+04:00312013bEurope/MoscowTue, 29 Oct 2013 02:44:28 +0400 2013, 02:44:28
6

«VPN» в самом распространенном определении необязательно подразумевает безопасность. То же самое относится и к MPLS, и эти два термина часто объединяются (см. «MPLS VPN»), поскольку некоторые аспекты MPLS могут обеспечивать аналогичную функциональность традиционным VPN (AToMPLS, EoMPLS, TDMoMPLS и т. Д.).

Вполне возможно запустить MPLS через зашифрованный туннель VPN и запустить зашифрованный трафик VPN по схеме MPLS. Сам MPLS не является «безопасным», но опять же он используется главным образом для транспортных услуг, где базовые протоколы могут быть безопасными.

Как правило, описанный сценарий может возникнуть из-за того, что организация, желающая иметь разные возможности подключения от двух отдельных поставщиков, и один из этих поставщиков не предлагает услуги MPLS.

ответил John Jensen 29 +04002013-10-29T02:44:38+04:00312013bEurope/MoscowTue, 29 Oct 2013 02:44:38 +0400 2013, 02:44:38

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132