MPLS против зашифрованных VPN - безопасность трафика?

Почему люди часто говорят, что у них есть два соединения между двумя офисами: основное - через MPLS, а резервное - через VPN. Почему бы не запустить VPN поверх MPLS? MPLS безопасен? Никто не может подслушивать трафик?

И Даниил, и Джон дали очень хорошие ответы на ваш вопрос; Я просто добавлю некоторые практические вещи, которые приходят на ум, когда я читаю вопрос.

Имейте в виду, что многие дискуссии о безопасности MPLS VPN происходят из-за доверия, которое обычно предоставляется Frame Relay и ATM VPN.

MPLS безопасен?

В конечном итоге вопрос безопасности сводится к одному не заданному вопросу: «Кому вы доверяете своим критически важным для бизнеса данным?»

• Если ответ «никто», то вы должны наложить свои данные через зашифрованный VPN
• Если вы доверяете своему провайдеру MPLS VPN , вам не нужно шифровать ваши данные

Почему бы не запустить VPN поверх MPLS?

В большинстве случаев MPLS - это VPN, но это незашифрованная VPN. Я предполагаю, что вы имеете в виду зашифрованный VPN, такой как PPTP , IPSec или SSL VPN, когда упоминаете «VPN». Однако если вам требуется надежное шифрование , целостность данных или аутентификация внутри VPN, rfc4381 MPLS VPN Security, раздел 5.2 рекомендует шифровать внутри MPLS VPN .

Однако зашифрованные VPN сами по себе не без проблем; они обычно страдают от:

• Дополнительные расходы на инфраструктуру
• Ограничения пропускной способности / масштабируемости (из-за сложностей в HW-шифровании)
• Дополнительные расходы на персонал / обучение
• Увеличено среднее время восстановления при отладке проблем через зашифрованный VPN
• Увеличение накладных расходов на управление (т.е. поддержание PKI )
• Технические трудности, такие как снижение TCP MSS , и часто проблемы с PMTUD
• Менее эффективные ссылки, потому что у вас есть издержки инкапсуляции зашифрованной VPN (которая уже находится внутри служебной информации от MPLS VPN )

Никто не может подслушивать трафик?

Да, прослушивание вполне возможно, независимо от того, считаете ли вы, что можете доверять своему провайдеру. Я приведу цитату из безопасности MPLS VPN rfc4381, раздел 7 :

Что касается атак изнутри ядра MPLS, все [незашифрованные] классы VPN (BGP / MPLS, FR, ATM) имеют одну и ту же проблему: если злоумышленник может установить перехватчик, он может прочитать информацию во всех VPN, и если злоумышленник имеет доступ к основным устройствам, он может выполнить большое количество атак, от подмены пакетов до внедрения новых одноранговых маршрутизаторов. Существует ряд мер предосторожности, изложенных выше, которые поставщик услуг может использовать для усиления безопасности ядра, но безопасность архитектуры BGP / MPLS IP VPN зависит от безопасности поставщика услуг. Если поставщику услуг не доверяют, единственный способ полностью защитить VPN от атак изнутри службы VPN - это запустить IPsec сверху, с устройств CE и выше.

Я упомяну последний момент, который является лишь практическим вопросом. Кто-то может возразить, что нет смысла использовать MPLS VPN , если вы собираетесь использовать зашифрованный VPN поверх базовой интернет-услуги; Я бы не согласился с этим понятием. Преимущества зашифрованного VPN через MPLS VPN работают с одним провайдером:

• Пока вы устраняете проблемы (от начала до конца)
• Чтобы гарантировать качество обслуживания
• Предоставлять услуги

Я предполагаю, что вы говорите о MPLS VPN. MPLS VPN более безопасен, чем обычное интернет-соединение, он в основном похож на виртуальную выделенную линию. Однако это не работает шифрование. Таким образом, он свободен от подслушивания, если кто-то не настроит VPN, но если вы переносите чувствительный трафик, он все равно должен быть зашифрован. Этот тип VPN не аутентифицирован, поэтому он является частной сетью, но не аутентифицирован и не зашифрован, как IPSEC. Если кто-то имеет физический доступ к вашей сети, он может прослушивать пакеты.

С обычным VPN я предполагаю, что вы имеете в виду IPSEC. IPSEC аутентифицируется и шифруется в зависимости от того, в каком режиме вы работаете. Поэтому, если кто-то завладеет пакетами, он все равно не сможет их прочитать.

«VPN» в наиболее распространенном определении не обязательно подразумевает безопасность. То же самое относится и к MPLS, и эти два термина часто объединяются (см. «MPLS VPN»), поскольку некоторые аспекты MPLS могут обеспечивать функциональность, аналогичную традиционной VPN (AToMPLS, EoMPLS, TDMoMPLS и т. Д.).

Вполне возможно запустить MPLS по зашифрованному VPN-туннелю и запустить зашифрованный VPN-трафик по каналу MPLS. Сам MPLS не является «безопасным», но, опять же, он в основном используется для транспортных услуг, где базовые протоколы могут быть безопасными.

Как правило, описываемый вами сценарий может быть результатом того, что организация хочет разнородных соединений от двух отдельных поставщиков, и один из этих поставщиков не предлагает услуги MPLS.