MPLS vs VPNs criptografadas - segurança no tráfego?

15

Por que as pessoas dizem muitas vezes que têm duas conexões entre dois escritórios - o principal sendo sobre MPLS e o backup sobre VPN. Por que não executar uma VPN por MPLS também? O MPLS é seguro? Ninguém pode evitar o tráfego?

Yon
fonte
Para esclarecer, quando eu disse VPN, estava fazendo alusão à rede privada sendo criptografada e autenticada também. Obrigado a todos por esclarecer isso.
Yon
O mais provável é que você cheire você como seu operador, ilegalmente para obter algum ganho pessoal dos funcionários ou por mandato judicial. Além disso, qualquer conexão WAN vai para vários locais completamente desprotegidos e facilmente disponíveis para o público em geral no MITM físico. Dito isto, a maioria das empresas realmente tem 0 informações que vale a pena roubar e a segurança não deve custar mais do que o risco realizado, geralmente você quer apenas a segurança necessária contratualmente / legalmente.
ytti

Respostas:

20

Daniel e John deram respostas muito boas à sua pergunta; Vou acrescentar algumas coisas práticas que me vêm à mente quando ler a pergunta.

Lembre-se de que muita discussão sobre a segurança das VPNs MPLS ocorre por meio da confiança normalmente oferecida às VPNs Frame Relay e ATM .

O MPLS é seguro?

Por fim, a questão da segurança se resume a uma pergunta não feita, que é "Em quem você confia com seus dados críticos para os negócios?"

  • Se a resposta for "ninguém", você deverá sobrepor seus dados por meio de uma VPN criptografada
  • Se você confia no seu provedor de VPN MPLS , não há necessidade de criptografar seus dados

Por que não executar uma VPN por MPLS também?

Pelo uso mais comum, o MPLS é uma VPN, mas é uma VPN não criptografada. Suponho que você queira dizer uma VPN criptografada, como PPTP , IPSec ou SSL VPN quando mencionar "VPN". No entanto, se você precisar de criptografia forte , integridade de dados ou autenticação dentro da VPN, rfc4381 MPLS VPN Security, a Seção 5.2 recomenda a criptografia na MPLS VPN .

No entanto, as VPNs criptografadas não estão isentas de problemas; eles geralmente sofrem de:

  • Despesas adicionais para a infraestrutura
  • Limitações de taxa de transferência / escalabilidade (devido a complexidades na criptografia HW)
  • Despesas adicionais com pessoal / treinamento
  • Maior tempo médio para reparo ao depurar problemas por meio da VPN criptografada
  • Maior sobrecarga de gerenciamento (ou seja, manutenção da PKI )
  • Dificuldades técnicas, como TCP MSS mais baixo , e frequentemente problemas com o PMTUD
  • Links menos eficientes, porque você tem a sobrecarga de encapsulamento da VPN criptografada (que já está dentro da sobrecarga da VPN MPLS )

Ninguém pode evitar o tráfego?

Sim, evesdropping é bem possível, independentemente de você achar que pode confiar no seu provedor. Vou citar rfc4381 MPLS VPN Security, Seção 7 :

No que diz respeito aos ataques do núcleo do MPLS, todas as classes VPN [não criptografadas] (BGP / MPLS, FR, ATM) têm o mesmo problema: se um invasor pode instalar um sniffer, ele pode ler as informações em todas as VPNs e, se o invasor tem acesso aos principais dispositivos, ele pode executar um grande número de ataques, desde a falsificação de pacotes até a introdução de novos roteadores de mesmo nível. Há várias medidas de precaução descritas acima que um provedor de serviços pode usar para reforçar a segurança do núcleo, mas a segurança da arquitetura da VPN IP BGP / MPLS depende da segurança do provedor de serviços. Se o provedor de serviços não for confiável, a única maneira de proteger totalmente uma VPN contra ataques "internos" do serviço VPN é executar o IPsec na parte superior, a partir dos dispositivos CE ou além.


Vou mencionar um ponto final, que é apenas uma questão prática. Alguém poderia argumentar que não há sentido em usar uma VPN MPLS , se você for usar uma VPN criptografada sobre o serviço básico de Internet; Eu discordaria dessa noção. As vantagens de uma VPN criptografada através da VPN MPLS estão funcionando com um provedor:

  • Enquanto você soluciona problemas (de ponta a ponta)
  • Garantir qualidade de serviço
  • Para fornecer serviços
Mike Pennington
fonte
Obrigado. Todas as respostas ajudaram, mas essa foi de longe a que mais ajudou e forneceu respostas para as perguntas que eu estava prestes a fazer.
Yon
9

Suponho que você esteja falando sobre a VPN MPLS. A VPN MPLS é mais segura do que uma conexão regular à Internet, é basicamente como uma linha alugada virtual. No entanto, ele não executa criptografia. Portanto, é livre de espionagem, a menos que alguém configure mal a VPN, mas se você transportar tráfego sensível, ele ainda deve ser criptografado. Esse tipo de VPN não é autenticado, portanto é uma rede privada, mas não é autenticada e criptografada como o IPSEC. Se alguém tiver acesso físico à sua rede, ele poderá cheirar pacotes.

Com a VPN normal, presumo que você queira dizer IPSEC. O IPSEC é autenticado e criptografado, dependendo do modo em que você está executando. Portanto, se alguém se apossar dos pacotes, ele ainda não poderá lê-los.

Daniel Dib
fonte
3
Como o MPLSVPN pode ser "seguro" sem "criptografia"? Se os pacotes não estiverem sendo embaralhados, qualquer pessoa no caminho poderá espiar os dados. Como qualquer conexão física.
Ricky feixe
Bom ponto. O que eu quis dizer foi que é mais seguro do que uma conexão regular à Internet.
Daniel Dib #
Acho que mesmo que seja um nome impróprio, as etiquetas MPLS podem ser semelhantes às VLANs, elas não oferecem segurança alguma. Eles tratam de fluxos lógicos separados de tráfego. Qualquer pessoa pode usar rótulos MPLS de troca rápida, apenas pode usar tags VLAN e alternar entre VPNs MPLS L2 / L3.
precisa saber é o seguinte
6

"VPN" na definição mais comum não implica necessariamente segurança. O mesmo vale para o MPLS, e os dois termos são frequentemente combinados (consulte "MPLS VPN") porque certos aspectos do MPLS podem fornecer funcionalidade semelhante a uma VPN tradicional (AToMPLS, EoMPLS, TDMoMPLS, etc).

É inteiramente possível executar o MPLS em um túnel VPN criptografado e executar o tráfego VPN criptografado em um circuito MPLS. O MPLS em si não é "seguro", mas novamente é usado principalmente para serviços de transporte, onde os protocolos subjacentes podem ser seguros.

Normalmente, o cenário que você descreve pode resultar de uma organização que deseja conectividade diversificada de dois provedores separados, e um desses provedores não oferece serviços MPLS.

John Jensen
fonte