人们为什么经常说他们在两个办公室之间有两个连接-主要的是通过MPLS的,而备用的是通过VPN的。为什么也不要在MPLS上运行VPN? MPLS安全吗?有人可以偷听交通吗?

评论

澄清一下,当我说VPN时,我指的是私有网络也要进行加密和身份验证。谢谢大家的澄清。

出于某些员工个人利益或法院的命令,最有可能窃听您的一方是您的运营商。而且,任何WAN连接都可以到达许多地方,这些地方完全不受保护,并且对于普通公众来说很容易获得物理MITM。话虽如此,大多数公司实际上拥有0个值得窃取的信息,安全性所花费的成本不应超过已实现的风险,通常您只希望获得合同/法律所要求的安全性。

#1 楼

但以理和约翰都很好地回答了你的问题。在阅读该问题时,我只会添加一些实际的想法。
请记住,有关MPLS VPN安全性的许多讨论都是通过帧中继和ATM VPN通常提供的信任来进行的。 br />
MPLS安全吗?

最终,安全性问题归结为一个悬而未决的问题,即“谁信任您的关键业务数据?”

如果答案为“没人”,则必须通过加密的VPN覆盖数据。
如果您信任MPLS VPN提供商,则无需加密数据。


为什么也不能在MPLS上运行VPN?

最常见的用法是,MPLS是VPN,但它是未加密的VPN。当您提到“ VPN”时,我假设您的意思是加密的VPN,例如PPTP,IPSec或SSL VPN。但是,如果您需要在VPN内进行强加密,数据完整性或身份验证,请参阅5.2节“ rfc4381 MPLS VPN安全”。在MPLS VPN内进行加密。它们通常遭受以下因素的困扰:

基础架构的额外费用
吞吐量/可伸缩性限制(由于硬件加密的复杂性)
人员/培训的额外费用
平均费用增加通过加密的VPN调试问题时需要进行修复的时间
管理开销增加(例如,维护PKI)
技术难题,例如TCP MSS降低,以及PMTUD经常出现问题

效率较低链接,因为您拥有加密的VPN的封装开销(这已经在MPLS VPN的开销之内)了。


可以没人窃听流量吗?

是的,无论您是否认为自己可以信任提供者,窃听都是有可能的。我将引用rfc4381 MPLS VPN安全性的第7节:
就MPLS核心内部的攻击而言,所有[未加密] VPN
类(BGP / MPLS,FR,ATM)具有相同的问题:如果攻击者可以
安装嗅探器,则他可以读取所有VPN中的信息,并且如果
攻击者可以访问核心设备,从数据包欺骗到引入新的对等路由器,他可以执行大量的攻击。上面概述了许多预防措施,服务提供商可以使用这些措施来加强核心的安全性,但是
BGP / MPLS IP VPN体系结构的安全性取决于
服务提供商。如果服务提供商不受信任,则完全保护VPN免受VPN服务“内部”攻击的唯一方法是在CE
设备的顶部运行IPsec。甚至更多。

我要说的最后一点,这只是一个实际问题。有人可能会争辩说,如果您要通过基本的Internet服务使用加密的VPN,那么使用MPLS VPN是没有意义的。我不同意这个想法。通过MPLS VPN加密的VPN的优点是与一个提供商合作:

在解决问题(端到端)时
要保证服务质量
提供服务
/>

评论


谢谢。所有的答案都有帮助,但这是迄今为止提供最多帮助的一个,它为我要问的后续问题提供了答案。

–尹
13-10-29在10:09

#2 楼

我假设您正在谈论MPLS VPN。 MPLS VPN比常规Internet连接更安全,它基本上就像是虚拟租用线路。但是,它不运行加密。因此,除非有人错误配置了VPN,否则它不会被窃听,但是如果您携带敏感流量,则仍应对其进行加密。这种VPN未经过身份验证,因此是专用网络,但未像IPSEC一样经过身份验证和加密。如果某人可以物理访问您的网络,则可以嗅探数据包。

使用常规VPN,我认为您的意思是IPSEC。 IPSEC会根据您运行的模式进行身份验证和加密。因此,如果有人握住了数据包,他们仍将无法读取它们。

评论


MPLSVPN如何在“不加密”的情况下“安全”?如果没有对数据包进行加密,那么沿路径的任何人都可以窥视数据。就像任何物理连接一样。

–瑞奇
13-10-28在23:29



好点子。我的意思是说,它比常规的Internet连接更安全。

–丹尼尔·迪布(Daniel Dib)
13-10-29在6:24

我认为即使这是一个错误的名称,MPLS标签也可以类似于VLAN,它们根本不提供安全性。它们是关于逻辑上独立的业务流的。任何人都可以推送-弹出-交换MPLS标签,就像他们可以VLAN标签并在MPLS L2 / L3 VPN之间跳一样。

– jwbensley
16-2-5在14:48

#3 楼

最常见的定义中的“ VPN”不一定表示安全性。 MPLS也是如此,并且经常将这两个术语结合使用(请参阅“ MPLS VPN”),因为MPLS的某些方面可以提供与传统VPN(AToMPLS,EoMPLS,TDMoMPLS等)相似的功能。

完全有可能在加密的VPN隧道上运行MPLS,并在MPLS电路上运行加密的VPN流量。 MPLS本身不是“安全的”,但它再次主要用于传输服务,在该传输服务中底层协议可以是安全的。

通常,您描述的情况可能是由于组织希望从两个独立的提供商那里获得不同的连接而导致的,并且其中一个提供商不提供MPLS服务。