Por que as pessoas dizem muitas vezes que têm duas conexões entre dois escritórios - o principal sendo sobre MPLS e o backup sobre VPN. Por que não executar uma VPN por MPLS também? O MPLS é seguro? Ninguém pode evitar o tráfego?
Por que as pessoas dizem muitas vezes que têm duas conexões entre dois escritórios - o principal sendo sobre MPLS e o backup sobre VPN. Por que não executar uma VPN por MPLS também? O MPLS é seguro? Ninguém pode evitar o tráfego?
Respostas:
Daniel e John deram respostas muito boas à sua pergunta; Vou acrescentar algumas coisas práticas que me vêm à mente quando ler a pergunta.
Lembre-se de que muita discussão sobre a segurança das VPNs MPLS ocorre por meio da confiança normalmente oferecida às VPNs Frame Relay e ATM .
O MPLS é seguro?
Por fim, a questão da segurança se resume a uma pergunta não feita, que é "Em quem você confia com seus dados críticos para os negócios?"
Por que não executar uma VPN por MPLS também?
Pelo uso mais comum, o MPLS é uma VPN, mas é uma VPN não criptografada. Suponho que você queira dizer uma VPN criptografada, como PPTP , IPSec ou SSL VPN quando mencionar "VPN". No entanto, se você precisar de criptografia forte , integridade de dados ou autenticação dentro da VPN, rfc4381 MPLS VPN Security, a Seção 5.2 recomenda a criptografia na MPLS VPN .
No entanto, as VPNs criptografadas não estão isentas de problemas; eles geralmente sofrem de:
Ninguém pode evitar o tráfego?
Sim, evesdropping é bem possível, independentemente de você achar que pode confiar no seu provedor. Vou citar rfc4381 MPLS VPN Security, Seção 7 :
No que diz respeito aos ataques do núcleo do MPLS, todas as classes VPN [não criptografadas] (BGP / MPLS, FR, ATM) têm o mesmo problema: se um invasor pode instalar um sniffer, ele pode ler as informações em todas as VPNs e, se o invasor tem acesso aos principais dispositivos, ele pode executar um grande número de ataques, desde a falsificação de pacotes até a introdução de novos roteadores de mesmo nível. Há várias medidas de precaução descritas acima que um provedor de serviços pode usar para reforçar a segurança do núcleo, mas a segurança da arquitetura da VPN IP BGP / MPLS depende da segurança do provedor de serviços. Se o provedor de serviços não for confiável, a única maneira de proteger totalmente uma VPN contra ataques "internos" do serviço VPN é executar o IPsec na parte superior, a partir dos dispositivos CE ou além.
Vou mencionar um ponto final, que é apenas uma questão prática. Alguém poderia argumentar que não há sentido em usar uma VPN MPLS , se você for usar uma VPN criptografada sobre o serviço básico de Internet; Eu discordaria dessa noção. As vantagens de uma VPN criptografada através da VPN MPLS estão funcionando com um provedor:
Suponho que você esteja falando sobre a VPN MPLS. A VPN MPLS é mais segura do que uma conexão regular à Internet, é basicamente como uma linha alugada virtual. No entanto, ele não executa criptografia. Portanto, é livre de espionagem, a menos que alguém configure mal a VPN, mas se você transportar tráfego sensível, ele ainda deve ser criptografado. Esse tipo de VPN não é autenticado, portanto é uma rede privada, mas não é autenticada e criptografada como o IPSEC. Se alguém tiver acesso físico à sua rede, ele poderá cheirar pacotes.
Com a VPN normal, presumo que você queira dizer IPSEC. O IPSEC é autenticado e criptografado, dependendo do modo em que você está executando. Portanto, se alguém se apossar dos pacotes, ele ainda não poderá lê-los.
"VPN" na definição mais comum não implica necessariamente segurança. O mesmo vale para o MPLS, e os dois termos são frequentemente combinados (consulte "MPLS VPN") porque certos aspectos do MPLS podem fornecer funcionalidade semelhante a uma VPN tradicional (AToMPLS, EoMPLS, TDMoMPLS, etc).
É inteiramente possível executar o MPLS em um túnel VPN criptografado e executar o tráfego VPN criptografado em um circuito MPLS. O MPLS em si não é "seguro", mas novamente é usado principalmente para serviços de transporte, onde os protocolos subjacentes podem ser seguros.
Normalmente, o cenário que você descreve pode resultar de uma organização que deseja conectividade diversificada de dois provedores separados, e um desses provedores não oferece serviços MPLS.