MPLS vs VPN được mã hóa - bảo mật giao thông?

Tại sao mọi người nói rất nhiều lần rằng họ có hai kết nối giữa hai văn phòng - một kết nối chính là qua MPLS và sao lưu qua VPN. Tại sao không chạy VPN qua MPLS? MPLS có an toàn không? Không ai có thể nghe lén giao thông?

Cả Daniel và John đều đưa ra câu trả lời rất hay cho câu hỏi của bạn; Tôi sẽ chỉ thêm một số điều thực tế mà tôi nghĩ đến khi tôi đọc câu hỏi.

Hãy nhớ rằng nhiều cuộc thảo luận về tính bảo mật của MPLS VPN là do sự tin tưởng thường dành cho Frame Relay và ATM VPN.

MPLS có an toàn không?

Cuối cùng, câu hỏi về bảo mật được đưa ra cho một câu hỏi không được nêu ra, đó là "Bạn tin tưởng ai với dữ liệu quan trọng trong kinh doanh của mình?"

• Nếu câu trả lời là "không có ai", thì bạn phải phủ dữ liệu của mình thông qua VPN được mã hóa
• Nếu bạn tin tưởng nhà cung cấp MPLS VPN của mình , thì không cần phải mã hóa dữ liệu của bạn

Tại sao không chạy VPN qua MPLS?

Theo cách sử dụng phổ biến nhất, MPLS là VPN, nhưng đó là VPN không được mã hóa. Tôi giả sử bạn có nghĩa là VPN được mã hóa, chẳng hạn như PPTP , IPSec hoặc SSL VPN khi bạn đề cập đến "VPN". Tuy nhiên, nếu bạn cần mã hóa mạnh , toàn vẹn dữ liệu hoặc Xác thực bên trong VPN, rfc4381 MPLS VPN Security, Phần 5.2 khuyên bạn nên mã hóa bên trong MPLS VPN .

Tuy nhiên, VPN được mã hóa không phải là không có vấn đề; họ thường bị:

• Chi phí bổ sung cho cơ sở hạ tầng
• Giới hạn thông lượng / khả năng mở rộng (do sự phức tạp trong mã hóa CTNH)
• Chi phí bổ sung cho nhân sự / đào tạo
• Đã tăng thời gian trung bình để sửa chữa khi gỡ lỗi sự cố thông qua VPN được mã hóa
• Tăng chi phí quản lý (tức là duy trì PKI )
• Những khó khăn kỹ thuật, chẳng hạn như TCP MSS thấp hơn và thường gặp sự cố với PMTUD
• Các liên kết kém hiệu quả hơn, vì bạn có phí đóng gói của VPN được mã hóa (vốn đã nằm trong tổng phí từ MPLS VPN )

Không ai có thể nghe lén giao thông?

Có, evesdropping là hoàn toàn có thể, bất kể bạn nghĩ rằng bạn có thể tin tưởng nhà cung cấp của bạn. Tôi sẽ trích dẫn từ rfc4381 MPLS VPN Security, Phần 7 :

Đối với các cuộc tấn công từ bên trong lõi MPLS có liên quan, tất cả các lớp VPN [không được mã hóa] (BGP / MPLS, FR, ATM) đều có cùng một vấn đề: Nếu kẻ tấn công có thể cài đặt trình thám thính, anh ta có thể đọc thông tin trong tất cả các VPN và nếu Kẻ tấn công có quyền truy cập vào các thiết bị cốt lõi, anh ta có thể thực hiện một số lượng lớn các cuộc tấn công, từ giả mạo gói tin đến giới thiệu các bộ định tuyến ngang hàng mới. Có một số biện pháp phòng ngừa được nêu ở trên mà nhà cung cấp dịch vụ có thể sử dụng để thắt chặt bảo mật lõi, nhưng tính bảo mật của kiến ​​trúc VPN BGP / MPLS phụ thuộc vào bảo mật của nhà cung cấp dịch vụ. Nếu nhà cung cấp dịch vụ không đáng tin cậy, cách duy nhất để bảo mật hoàn toàn VPN trước các cuộc tấn công từ "bên trong" dịch vụ VPN là chạy IPsec trên đầu, từ các thiết bị CE hoặc xa hơn.

Tôi sẽ đề cập đến một điểm cuối cùng, đó chỉ là một câu hỏi thực tế. Người ta có thể lập luận rằng không có điểm nào trong việc sử dụng MPLS VPN , nếu bạn sẽ sử dụng VPN được mã hóa trên dịch vụ internet cơ bản; Tôi sẽ không đồng ý với quan điểm đó. Những lợi thế của VPN được mã hóa thông qua MPLS VPN đang hoạt động với một nhà cung cấp:

• Trong khi bạn khắc phục sự cố (từ đầu đến cuối)
• Đảm bảo chất lượng dịch vụ
• Cung cấp dịch vụ

Tôi giả sử bạn đang nói về MPLS VPN. MPLS VPN an toàn hơn kết nối Internet thông thường, về cơ bản nó giống như một kênh thuê riêng ảo. Tuy nhiên, nó không chạy mã hóa. Vì vậy, nó không bị nghe lén trừ khi ai đó cấu hình sai VPN nhưng nếu bạn mang lưu lượng truy cập nhạy cảm thì nó vẫn phải được mã hóa. Loại VPN này không được xác thực nên nó là một mạng riêng nhưng không được xác thực và mã hóa như IPSEC. Nếu ai đó có quyền truy cập vật lý vào mạng của bạn, họ có thể đánh hơi các gói.

Với VPN thông thường tôi giả sử bạn có nghĩa là IPSEC. IPSEC được xác thực và mã hóa tùy thuộc vào chế độ bạn đang chạy. Vì vậy, nếu ai đó bị giữ các gói, họ vẫn không thể đọc được chúng.

"VPN" trong định nghĩa phổ biến nhất không nhất thiết có nghĩa là bảo mật. Điều tương tự cũng xảy ra với MPLS và hai thuật ngữ thường được kết hợp (xem "MPLS VPN") vì các khía cạnh nhất định của MPLS có thể cung cấp chức năng tương tự như VPN truyền thống (AToMPLS, EoMPLS, TDMoMPLS, v.v.).

Hoàn toàn có thể chạy MPLS qua đường hầm VPN được mã hóa và chạy lưu lượng VPN được mã hóa qua mạch MPLS. Bản thân MPLS không "an toàn" nhưng một lần nữa, nó chủ yếu được sử dụng cho các dịch vụ vận tải, nơi các giao thức cơ bản có thể được bảo mật.

Thông thường, kịch bản bạn mô tả có thể xuất phát từ một tổ chức muốn kết nối đa dạng từ hai nhà cung cấp riêng biệt và một trong những nhà cung cấp đó không cung cấp dịch vụ MPLS.