¿Por qué la gente dice muchas veces que tienen dos conexiones entre dos oficinas: la principal a través de MPLS y la de respaldo a través de VPN? ¿Por qué no ejecutar una VPN sobre MPLS también? ¿Es seguro MPLS? ¿Nadie puede espiar el tráfico?
15
Respuestas:
Tanto Daniel como John dieron muy buenas respuestas a su pregunta; Solo agregaré algunas cosas prácticas que me vienen a la mente cuando leo la pregunta.
Tenga en cuenta que mucha discusión sobre la seguridad de las VPN MPLS se produce a través de la confianza que normalmente se brinda a Frame Relay y VPN de ATM .
En última instancia, la cuestión de la seguridad se reduce a una pregunta no formulada, que es "¿En quién confía con sus datos críticos para el negocio?"
Según el uso más común, MPLS es una VPN, pero es una VPN sin cifrar. Supongo que te refieres a una VPN encriptada, como PPTP , IPSec o SSL VPN cuando mencionas "VPN". Sin embargo, si necesita un cifrado fuerte , integridad de datos o autenticación dentro de la VPN, rfc4381 MPLS VPN Security, la Sección 5.2 recomienda el cifrado dentro de MPLS VPN .
Sin embargo, las VPN encriptadas no están exentas de problemas; generalmente sufren de:
Sí, las escuchas son muy posibles, independientemente de si crees que puedes confiar en tu proveedor. Citaré de rfc4381 MPLS VPN Security, Sección 7 :
En lo que respecta a los ataques desde el núcleo de MPLS, todas las clases de VPN [sin cifrar] (BGP / MPLS, FR, ATM) tienen el mismo problema: si un atacante puede instalar un sniffer, puede leer información en todas las VPN, y si el atacante tiene acceso a los dispositivos principales, puede ejecutar una gran cantidad de ataques, desde falsificación de paquetes hasta la introducción de nuevos enrutadores pares. Hay una serie de medidas de precaución descritas anteriormente que un proveedor de servicios puede usar para reforzar la seguridad del núcleo, pero la seguridad de la arquitectura de VPN IP BGP / MPLS depende de la seguridad del proveedor de servicios. Si no se confía en el proveedor de servicios, la única forma de proteger completamente una VPN contra ataques desde el "interior" del servicio VPN es ejecutar IPsec en la parte superior, desde los dispositivos CE o más allá.
Mencionaré un punto final, que es solo una pregunta práctica. Uno podría argumentar que no tiene sentido usar una VPN MPLS , si va a usar una VPN encriptada a través del servicio básico de Internet; No estaría de acuerdo con esa noción. Las ventajas de una VPN encriptada a través de MPLS VPN están trabajando con un solo proveedor:
fuente
Supongo que estás hablando de MPLS VPN. La VPN MPLS es más segura que una conexión a Internet normal, es básicamente como una línea arrendada virtual. Sin embargo, no ejecuta cifrado. Por lo tanto, está libre de escuchas ilegales a menos que alguien configure mal la VPN, pero si transporta tráfico sensible, aún debería estar encriptado. Este tipo de VPN no está autenticado, por lo que es una red privada pero no está autenticada y encriptada como IPSEC. Si alguien tiene acceso físico a su red, podría rastrear paquetes.
Con la VPN normal, supongo que te refieres a IPSEC. IPSEC se autentica y se cifra según el modo que esté ejecutando. Por lo tanto, si alguien obtiene los paquetes, no debería poder leerlos.
fuente
"VPN" en la definición más común no necesariamente implica seguridad. Lo mismo ocurre con MPLS, y los dos términos a menudo se combinan (consulte "VPN MPLS") porque ciertos aspectos de MPLS pueden proporcionar una funcionalidad similar a una VPN tradicional (AToMPLS, EoMPLS, TDMoMPLS, etc.).
Es completamente posible ejecutar MPLS en un túnel VPN encriptado y ejecutar tráfico VPN encriptado en un circuito MPLS. MPLS en sí mismo no es "seguro", pero nuevamente se usa principalmente para servicios de transporte, donde los protocolos subyacentes pueden ser seguros.
Normalmente, el escenario que describe podría ser el resultado de una organización que desea una conectividad diversa de dos proveedores separados, y uno de esos proveedores no ofrece servicios MPLS.
fuente