MPLS vs VPN cifradas: ¿seguridad de tráfico?

15

¿Por qué la gente dice muchas veces que tienen dos conexiones entre dos oficinas: la principal a través de MPLS y la de respaldo a través de VPN? ¿Por qué no ejecutar una VPN sobre MPLS también? ¿Es seguro MPLS? ¿Nadie puede espiar el tráfico?

A lo lejos
fuente
Para aclarar, cuando dije VPN, aludía a que la red privada también estaba encriptada y autenticada. Gracias a todos por aclarar eso.
Yon
Lo más probable es que la parte que lo huela sea su operador, ilegalmente para beneficio personal de algún empleado o por mandato judicial. Además, cualquier conexión WAN va a numerosos lugares que están completamente desprotegidos y fácilmente disponibles para el público en general para MITM físico. Una vez dicho esto, la mayoría de las empresas en realidad tienen 0 información que vale la pena robar y la seguridad no debería costar más que el riesgo realizado, por lo general, solo desearía tanta seguridad como se requiere contractualmente / legalmente.
ytti

Respuestas:

20

Tanto Daniel como John dieron muy buenas respuestas a su pregunta; Solo agregaré algunas cosas prácticas que me vienen a la mente cuando leo la pregunta.

Tenga en cuenta que mucha discusión sobre la seguridad de las VPN MPLS se produce a través de la confianza que normalmente se brinda a Frame Relay y VPN de ATM .

¿Es seguro MPLS?

En última instancia, la cuestión de la seguridad se reduce a una pregunta no formulada, que es "¿En quién confía con sus datos críticos para el negocio?"

  • Si la respuesta es "nadie", debe superponer sus datos a través de una VPN encriptada
  • Si confía en su proveedor de VPN MPLS , entonces no hay necesidad de cifrar sus datos

¿Por qué no ejecutar una VPN sobre MPLS también?

Según el uso más común, MPLS es una VPN, pero es una VPN sin cifrar. Supongo que te refieres a una VPN encriptada, como PPTP , IPSec o SSL VPN cuando mencionas "VPN". Sin embargo, si necesita un cifrado fuerte , integridad de datos o autenticación dentro de la VPN, rfc4381 MPLS VPN Security, la Sección 5.2 recomienda el cifrado dentro de MPLS VPN .

Sin embargo, las VPN encriptadas no están exentas de problemas; generalmente sufren de:

  • Gastos adicionales para la infraestructura.
  • Limitaciones de rendimiento / escalabilidad (debido a complejidades en el cifrado HW)
  • Gastos adicionales por personal / capacitación
  • Aumento del tiempo medio de reparación al depurar problemas a través de la VPN encriptada
  • Aumento de la sobrecarga administrativa (es decir, mantenimiento de PKI )
  • Dificultades técnicas, como un menor TCP MSS y, a menudo, problemas con PMTUD
  • Enlaces menos eficientes, porque tiene la sobrecarga de encapsulación de la VPN encriptada (que ya está dentro de la sobrecarga de la VPN MPLS )

¿Nadie puede espiar el tráfico?

Sí, las escuchas son muy posibles, independientemente de si crees que puedes confiar en tu proveedor. Citaré de rfc4381 MPLS VPN Security, Sección 7 :

En lo que respecta a los ataques desde el núcleo de MPLS, todas las clases de VPN [sin cifrar] (BGP / MPLS, FR, ATM) tienen el mismo problema: si un atacante puede instalar un sniffer, puede leer información en todas las VPN, y si el atacante tiene acceso a los dispositivos principales, puede ejecutar una gran cantidad de ataques, desde falsificación de paquetes hasta la introducción de nuevos enrutadores pares. Hay una serie de medidas de precaución descritas anteriormente que un proveedor de servicios puede usar para reforzar la seguridad del núcleo, pero la seguridad de la arquitectura de VPN IP BGP / MPLS depende de la seguridad del proveedor de servicios. Si no se confía en el proveedor de servicios, la única forma de proteger completamente una VPN contra ataques desde el "interior" del servicio VPN es ejecutar IPsec en la parte superior, desde los dispositivos CE o más allá.


Mencionaré un punto final, que es solo una pregunta práctica. Uno podría argumentar que no tiene sentido usar una VPN MPLS , si va a usar una VPN encriptada a través del servicio básico de Internet; No estaría de acuerdo con esa noción. Las ventajas de una VPN encriptada a través de MPLS VPN están trabajando con un solo proveedor:

  • Mientras soluciona problemas (de principio a fin)
  • Para garantizar la calidad del servicio.
  • Prestar servicios
Mike Pennington
fuente
Gracias. Todas las respuestas ayudaron, pero esta fue, con mucho, la que más ayudó y proporcionó respuestas a las preguntas de seguimiento que estaba a punto de hacer.
Yon
9

Supongo que estás hablando de MPLS VPN. La VPN MPLS es más segura que una conexión a Internet normal, es básicamente como una línea arrendada virtual. Sin embargo, no ejecuta cifrado. Por lo tanto, está libre de escuchas ilegales a menos que alguien configure mal la VPN, pero si transporta tráfico sensible, aún debería estar encriptado. Este tipo de VPN no está autenticado, por lo que es una red privada pero no está autenticada y encriptada como IPSEC. Si alguien tiene acceso físico a su red, podría rastrear paquetes.

Con la VPN normal, supongo que te refieres a IPSEC. IPSEC se autentica y se cifra según el modo que esté ejecutando. Por lo tanto, si alguien obtiene los paquetes, no debería poder leerlos.

Daniel Dib
fuente
3
¿Cómo puede MPLSVPN ser "seguro" sin "cifrado"? Si los paquetes no se mezclan, entonces cualquiera a lo largo del camino puede ver los datos. Al igual que cualquier conexión física.
Ricky Beam
Buen punto. Lo que quise decir es que es más seguro que una conexión a Internet normal.
Daniel Dib
Creo que incluso eso es un nombre inapropiado, las etiquetas MPLS pueden parecerse a las VLAN, no ofrecen seguridad en absoluto. Se trata de la separación lógica de los flujos de tráfico. Cualquier persona puede empujar-pop-intercambiar etiquetas MPLS solo puede hacerlo con etiquetas VLAN y saltar entre MPLS L2 / L3 VPN.
jwbensley
6

"VPN" en la definición más común no necesariamente implica seguridad. Lo mismo ocurre con MPLS, y los dos términos a menudo se combinan (consulte "VPN MPLS") porque ciertos aspectos de MPLS pueden proporcionar una funcionalidad similar a una VPN tradicional (AToMPLS, EoMPLS, TDMoMPLS, etc.).

Es completamente posible ejecutar MPLS en un túnel VPN encriptado y ejecutar tráfico VPN encriptado en un circuito MPLS. MPLS en sí mismo no es "seguro", pero nuevamente se usa principalmente para servicios de transporte, donde los protocolos subyacentes pueden ser seguros.

Normalmente, el escenario que describe podría ser el resultado de una organización que desea una conectividad diversa de dos proveedores separados, y uno de esos proveedores no ofrece servicios MPLS.

John Jensen
fuente