MPLS vs VPN cryptés - sécurité du trafic?

15

Pourquoi les gens disent-ils souvent qu'ils ont deux connexions entre deux bureaux - le principal étant sur MPLS et le second sur VPN. Pourquoi ne pas exécuter un VPN sur MPLS aussi? Le MPLS est-il sécurisé? Personne ne peut-il laisser tomber le trafic?

Yon
la source
Pour clarifier, quand j'ai dit VPN, je faisais allusion au fait que le réseau privé était également crypté et authentifié. Merci à tous d'avoir clarifié cela.
Yon
La partie la plus susceptible de vous renifler est votre opérateur, illégalement pour un gain personnel ou par mandat d'un tribunal. De plus, toute connexion WAN va à de nombreux endroits qui ne sont pas surveillés et sont facilement disponibles pour le grand public pour le MITM physique. Cela dit, la plupart des entreprises ne détiennent en fait aucune information qui mérite d'être volée et la sécurité ne devrait pas coûter plus cher que le risque réalisé, en général, vous ne souhaiteriez que la sécurité requise par le contrat / la loi.
ytti

Réponses:

20

Daniel et John ont tous deux donné de très bonnes réponses à votre question; Je vais simplement ajouter quelques éléments pratiques qui me viennent à l'esprit lorsque je lis la question.

Gardez à l'esprit que beaucoup de discussions sur la sécurité des VPN MPLS proviennent de la confiance normalement accordée aux VPN Frame Relay et ATM .

Le MPLS est-il sécurisé?

En fin de compte, la question de la sécurité se résume à une question non posée, à savoir: «À qui faites-vous confiance avec vos données stratégiques?»

  • Si la réponse est "personne", vous devez superposer vos données via un VPN crypté
  • Si vous faites confiance à votre fournisseur VPN MPLS , il n'est pas nécessaire de crypter vos données

Pourquoi ne pas exécuter un VPN sur MPLS aussi?

Dans la plupart des cas, MPLS est un VPN, mais c'est un VPN non chiffré. Je suppose que vous voulez dire un VPN crypté, tel que PPTP , IPSec ou VPN SSL lorsque vous mentionnez "VPN". Cependant, si vous avez besoin d'un chiffrement fort , de l'intégrité des données ou d'une authentification à l'intérieur du VPN, rfc4381 MPLS VPN Security, la section 5.2 recommande de chiffrer à l'intérieur du VPN MPLS .

Cependant, les VPN chiffrés ne sont pas sans problèmes eux-mêmes; ils souffrent généralement de:

  • Dépenses supplémentaires pour l'infrastructure
  • Limites de débit / évolutivité (en raison de la complexité du chiffrement matériel)
  • Dépenses supplémentaires pour le personnel / la formation
  • Augmentation du temps moyen de réparation lors du débogage de problèmes via le VPN chiffré
  • Augmentation des frais généraux de gestion (c'est-à-dire maintien de l'ICP )
  • Difficultés techniques, telles que TCP MSS inférieur , et souvent des problèmes avec PMTUD
  • Liens moins efficaces, car vous avez la surcharge d'encapsulation du VPN crypté (qui est déjà à l'intérieur de la surcharge du VPN MPLS )

Personne ne peut-il laisser tomber le trafic?

Oui, l'ecoute électronique est tout à fait possible, que vous pensiez pouvoir faire confiance à votre fournisseur. Je citerai de rfc4381 MPLS VPN Security, Section 7 :

En ce qui concerne les attaques à l'intérieur du cœur MPLS, toutes les classes VPN [non chiffrées] (BGP / MPLS, FR, ATM) ont le même problème: si un attaquant peut installer un renifleur, il peut lire les informations dans tous les VPN, et si l'attaquant a accès aux principaux appareils, il peut exécuter un grand nombre d'attaques, de l'usurpation de paquets à l'introduction de nouveaux routeurs homologues. Il existe un certain nombre de mesures de précaution décrites ci-dessus qu'un fournisseur de services peut utiliser pour renforcer la sécurité du cœur, mais la sécurité de l'architecture VPN IP BGP / MPLS dépend de la sécurité du fournisseur de services. Si le fournisseur de services n'est pas digne de confiance, le seul moyen de sécuriser complètement un VPN contre les attaques de "l'intérieur" du service VPN est d'exécuter IPsec sur le dessus, à partir des appareils CE ou au-delà.


Je mentionnerai un dernier point, qui n'est qu'une question pratique. On pourrait dire qu'il est inutile d'utiliser un VPN MPLS , si vous allez utiliser un VPN crypté sur un service Internet de base; Je ne serais pas d'accord avec cette notion. Les avantages d'un VPN chiffré via MPLS VPN fonctionnent avec un seul fournisseur:

  • Pendant que vous résolvez des problèmes (de bout en bout)
  • Pour garantir la qualité de service
  • Pour fournir des services
Mike Pennington
la source
Je vous remercie. Toutes les réponses ont aidé, mais c'est de loin celle qui a le plus aidé et fourni les réponses aux questions de suivi que j'allais poser.
Yon
9

Je suppose que vous parlez de VPN MPLS. Le VPN MPLS est plus sécurisé qu'une connexion Internet ordinaire, c'est essentiellement comme une ligne louée virtuelle. Cependant, il n'exécute aucun cryptage. Il est donc exempt d'écoute à moins que quelqu'un ne configure mal le VPN, mais si vous transportez du trafic sensible, il doit toujours être chiffré. Ce type de VPN n'est pas authentifié, c'est donc un réseau privé mais pas authentifié et chiffré comme IPSEC. Si quelqu'un a un accès physique à votre réseau, il peut renifler des paquets.

Avec le VPN régulier, je suppose que vous voulez dire IPSEC. IPSEC est authentifié et chiffré selon le mode que vous utilisez. Donc, si quelqu'un met la main sur les paquets, il ne devrait toujours pas pouvoir les lire.

Daniel Dib
la source
3
Comment MPLSVPN peut-il être "sécurisé" sans "cryptage"? Si les paquets ne sont pas brouillés, n'importe qui le long du chemin peut jeter un œil aux données. Comme toute connexion physique.
Ricky Beam
Bon point. Ce que je voulais dire, c'est que c'est plus sécurisé qu'une connexion Internet classique.
Daniel Dib
Je pense même que c'est un terme impropre, les étiquettes MPLS peuvent être assimilées à des VLAN, elles n'offrent aucune sécurité du tout. Il s'agit d'une séparation logique des flux de trafic. N'importe qui peut pousser-échanger des étiquettes MPLS simplement ils peuvent balises VLAN et sauter entre les VPN MPLS L2 / L3.
jwbensley
6

"VPN" dans la définition la plus courante n'implique pas nécessairement la sécurité. Il en va de même pour MPLS, et les deux termes sont souvent combinés (voir "MPLS VPN") car certains aspects de MPLS peuvent fournir des fonctionnalités similaires à un VPN traditionnel (AToMPLS, EoMPLS, TDMoMPLS, etc.).

Il est tout à fait possible d'exécuter MPLS sur un tunnel VPN crypté et d'exécuter du trafic VPN crypté sur un circuit MPLS. Le MPLS lui-même n'est pas "sécurisé" mais, encore une fois, il est principalement utilisé pour les services de transport, où les protocoles sous-jacents peuvent être sécurisés.

En règle générale, le scénario que vous décrivez peut résulter d'une organisation souhaitant une connectivité diversifiée de deux fournisseurs distincts, et l'un de ces fournisseurs n'offre pas de services MPLS.

John Jensen
la source