MPLS vs VPN Terenkripsi - keamanan lalu lintas?

15

Mengapa banyak orang mengatakan bahwa mereka memiliki dua koneksi antara dua kantor - yang utama lebih dari MPLS dan yang cadangan melalui VPN. Mengapa tidak menjalankan VPN melalui MPLS juga? Apakah MPLS aman? Tidak dapatkah ada orang yang kehilangan lalu lintas?

routing  security  mpls  mpls-vpn 
Yon
sumber
Untuk memperjelas, ketika saya mengatakan VPN saya menyinggung jaringan pribadi yang dienkripsi dan diautentikasi juga. Terima kasih semua telah mengklarifikasi itu.
Yon
Kemungkinan besar pihak mengendus Anda adalah operator Anda, secara ilegal demi keuntungan pribadi karyawan atau dengan mandat pengadilan. Juga setiap koneksi WAN pergi ke banyak tempat yang benar-benar tidak dijaga dan mudah tersedia untuk masyarakat umum untuk MITM fisik. Karena itu, sebagian besar perusahaan sebenarnya memiliki 0 informasi yang layak dicuri dan keamanan tidak boleh lebih mahal daripada risiko yang direalisasikan, biasanya Anda hanya menginginkan keamanan sebanyak yang diperlukan secara kontrak / hukum.
ytti

Jawaban:

20

Daniel dan John memberikan jawaban yang sangat baik untuk pertanyaan Anda; Saya hanya akan menambahkan beberapa hal praktis yang muncul di pikiran ketika saya membaca pertanyaan itu.

Ingatlah bahwa banyak diskusi tentang keamanan VPN MPLS datang melalui kepercayaan yang biasanya diberikan pada Frame Relay dan ATM VPN.

Apakah MPLS aman?

Pada akhirnya pertanyaan keamanan muncul ke satu pertanyaan yang tidak diminta, yaitu "Siapa yang Anda percayai dengan data penting bisnis Anda?"

  • Jika jawabannya "tidak ada", maka Anda harus overlay data Anda melalui VPN terenkripsi
  • Jika Anda mempercayai penyedia VPN MPLS Anda , maka tidak perlu untuk mengenkripsi data Anda

Mengapa tidak menjalankan VPN melalui MPLS juga?

Dengan penggunaan paling umum, MPLS adalah VPN, tetapi itu adalah VPN yang tidak terenkripsi. Saya berasumsi bahwa yang Anda maksud adalah VPN terenkripsi, seperti PPTP , IPSec , atau SSL VPN ketika Anda menyebut "VPN". Namun, jika Anda memerlukan enkripsi , integritas data , atau Otentikasi yang kuat di dalam VPN, rfc4381 MPLS VPN Security, Bagian 5.2 merekomendasikan enkripsi di dalam MPLS VPN .

Namun, VPN terenkripsi bukan tanpa masalah sendiri; mereka umumnya menderita:

  • Biaya tambahan untuk infrastruktur
  • Batasan throughput / skalabilitas (karena kompleksitas dalam enkripsi HW)
  • Biaya tambahan untuk personil / pelatihan
  • Peningkatan Waktu Rata-Rata untuk Memperbaiki ketika men-debug masalah melalui VPN terenkripsi
  • Peningkatan overhead manajemen (mis. Mempertahankan PKI )
  • Kesulitan teknis, seperti TCP MSS yang lebih rendah , dan sering bermasalah dengan PMTUD
  • Tautan yang kurang efisien, karena Anda memiliki overhead enkapsulasi dari VPN terenkripsi (yang sudah ada di dalam overhead dari MPLS VPN )

Tidak dapatkah ada orang yang kehilangan lalu lintas?

Ya, evesdropping sangat mungkin, terlepas dari apakah Anda pikir Anda dapat mempercayai penyedia Anda. Saya akan mengutip dari rfc4381 MPLS VPN Security, Bagian 7 :

Sejauh menyangkut serangan dari dalam inti MPLS, semua kelas VPN [tidak terenkripsi] (BGP / MPLS, FR, ATM) memiliki masalah yang sama: Jika penyerang dapat memasang sniffer, ia dapat membaca informasi di semua VPN, dan jika penyerang memiliki akses ke perangkat inti, ia dapat melakukan sejumlah besar serangan, dari packet spoofing hingga memperkenalkan router peer baru. Ada sejumlah langkah pencegahan yang diuraikan di atas bahwa penyedia layanan dapat menggunakan untuk memperketat keamanan inti, tetapi keamanan arsitektur BGP / MPLS IP VPN tergantung pada keamanan penyedia layanan. Jika penyedia layanan tidak dipercaya, satu-satunya cara untuk mengamankan VPN sepenuhnya terhadap serangan dari "dalam" layanan VPN adalah dengan menjalankan IPsec di atas, dari perangkat CE atau lebih.

Saya akan menyebutkan poin terakhir, yang hanya pertanyaan praktis. Orang mungkin berpendapat bahwa tidak ada gunanya menggunakan MPLS VPN , jika Anda akan menggunakan VPN terenkripsi melalui layanan internet dasar; Saya akan tidak setuju dengan gagasan itu. Keuntungan dari VPN terenkripsi melalui MPLS VPN bekerja dengan satu penyedia:

  • Saat Anda memecahkan masalah (ujung ke ujung)
  • Untuk menjamin kualitas layanan
  • Untuk penyediaan layanan
Mike Pennington
sumber
Terima kasih. Semua jawaban membantu tetapi sejauh ini yang paling membantu dan memberikan jawaban untuk pertanyaan lanjutan yang akan saya tanyakan.
Yon
9

Saya berasumsi Anda berbicara tentang MPLS VPN. VPN MPLS lebih aman daripada koneksi Internet biasa, pada dasarnya seperti jalur leased virtual. Namun tidak ada enkripsi yang dijalankan. Jadi bebas dari penyadapan kecuali seseorang melakukan kesalahan konfigurasi pada VPN, tetapi jika Anda membawa lalu lintas sensitif, itu harus tetap dienkripsi. VPN jenis ini tidak diautentikasi sehingga merupakan jaringan pribadi tetapi tidak diautentikasi dan dienkripsi seperti IPSEC. Jika seseorang memiliki akses fisik ke jaringan Anda, mereka dapat mengendus paket.

Dengan VPN reguler saya anggap Anda maksud IPSEC. IPSEC diautentikasi dan dienkripsi tergantung pada mode yang Anda jalankan. Jadi, jika seseorang memegang paket-paket itu, mereka seharusnya masih belum bisa membacanya.

Daniel Dib
sumber
3
Bagaimana MPLSVPN "aman" dengan "tanpa enkripsi"? Jika paket tidak diacak, maka siapa pun di sepanjang jalan dapat mengintip data. Sama seperti koneksi fisik apa pun.
Ricky Beam
Poin yang bagus. Yang ingin saya katakan adalah bahwa itu lebih aman daripada koneksi internet biasa.
Daniel Dib
Saya pikir bahkan itu adalah keliru, label MPLS dapat disamakan dengan VLAN, mereka tidak menawarkan keamanan sama sekali. Mereka adalah tentang arus lalu lintas yang terpisah secara logis. Siapa pun dapat mendorong-pop-swap label MPLS hanya mereka dapat VLAN tag dan melompat antara MPLS L2 / L3 VPN.
jwbensley
6

"VPN" dalam definisi paling umum tidak selalu menyiratkan keamanan. Hal yang sama berlaku untuk MPLS, dan kedua istilah tersebut sering digabungkan (lihat "MPLS VPN") karena aspek-aspek tertentu dari MPLS dapat menyediakan fungsionalitas yang mirip dengan VPN tradisional (AToMPLS, EoMPLS, TDMoMPLS, dll).

Sangat mungkin untuk menjalankan MPLS melalui terowongan VPN terenkripsi, dan menjalankan lalu lintas VPN terenkripsi melalui sirkuit MPLS. MPLS sendiri tidak "aman" tetapi sekali lagi ini terutama digunakan untuk layanan transportasi, di mana protokol yang mendasarinya dapat aman.

Biasanya skenario yang Anda gambarkan dapat disebabkan oleh organisasi yang menginginkan konektivitas beragam dari dua penyedia terpisah, dan salah satu dari penyedia tersebut tidak menawarkan layanan MPLS.

John Jensen
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.