Mengapa banyak orang mengatakan bahwa mereka memiliki dua koneksi antara dua kantor - yang utama lebih dari MPLS dan yang cadangan melalui VPN. Mengapa tidak menjalankan VPN melalui MPLS juga? Apakah MPLS aman? Tidak dapatkah ada orang yang kehilangan lalu lintas?
15
Jawaban:
Daniel dan John memberikan jawaban yang sangat baik untuk pertanyaan Anda; Saya hanya akan menambahkan beberapa hal praktis yang muncul di pikiran ketika saya membaca pertanyaan itu.
Ingatlah bahwa banyak diskusi tentang keamanan VPN MPLS datang melalui kepercayaan yang biasanya diberikan pada Frame Relay dan ATM VPN.
Pada akhirnya pertanyaan keamanan muncul ke satu pertanyaan yang tidak diminta, yaitu "Siapa yang Anda percayai dengan data penting bisnis Anda?"
Dengan penggunaan paling umum, MPLS adalah VPN, tetapi itu adalah VPN yang tidak terenkripsi. Saya berasumsi bahwa yang Anda maksud adalah VPN terenkripsi, seperti PPTP , IPSec , atau SSL VPN ketika Anda menyebut "VPN". Namun, jika Anda memerlukan enkripsi , integritas data , atau Otentikasi yang kuat di dalam VPN, rfc4381 MPLS VPN Security, Bagian 5.2 merekomendasikan enkripsi di dalam MPLS VPN .
Namun, VPN terenkripsi bukan tanpa masalah sendiri; mereka umumnya menderita:
Ya, evesdropping sangat mungkin, terlepas dari apakah Anda pikir Anda dapat mempercayai penyedia Anda. Saya akan mengutip dari rfc4381 MPLS VPN Security, Bagian 7 :
Sejauh menyangkut serangan dari dalam inti MPLS, semua kelas VPN [tidak terenkripsi] (BGP / MPLS, FR, ATM) memiliki masalah yang sama: Jika penyerang dapat memasang sniffer, ia dapat membaca informasi di semua VPN, dan jika penyerang memiliki akses ke perangkat inti, ia dapat melakukan sejumlah besar serangan, dari packet spoofing hingga memperkenalkan router peer baru. Ada sejumlah langkah pencegahan yang diuraikan di atas bahwa penyedia layanan dapat menggunakan untuk memperketat keamanan inti, tetapi keamanan arsitektur BGP / MPLS IP VPN tergantung pada keamanan penyedia layanan. Jika penyedia layanan tidak dipercaya, satu-satunya cara untuk mengamankan VPN sepenuhnya terhadap serangan dari "dalam" layanan VPN adalah dengan menjalankan IPsec di atas, dari perangkat CE atau lebih.
Saya akan menyebutkan poin terakhir, yang hanya pertanyaan praktis. Orang mungkin berpendapat bahwa tidak ada gunanya menggunakan MPLS VPN , jika Anda akan menggunakan VPN terenkripsi melalui layanan internet dasar; Saya akan tidak setuju dengan gagasan itu. Keuntungan dari VPN terenkripsi melalui MPLS VPN bekerja dengan satu penyedia:
sumber
Saya berasumsi Anda berbicara tentang MPLS VPN. VPN MPLS lebih aman daripada koneksi Internet biasa, pada dasarnya seperti jalur leased virtual. Namun tidak ada enkripsi yang dijalankan. Jadi bebas dari penyadapan kecuali seseorang melakukan kesalahan konfigurasi pada VPN, tetapi jika Anda membawa lalu lintas sensitif, itu harus tetap dienkripsi. VPN jenis ini tidak diautentikasi sehingga merupakan jaringan pribadi tetapi tidak diautentikasi dan dienkripsi seperti IPSEC. Jika seseorang memiliki akses fisik ke jaringan Anda, mereka dapat mengendus paket.
Dengan VPN reguler saya anggap Anda maksud IPSEC. IPSEC diautentikasi dan dienkripsi tergantung pada mode yang Anda jalankan. Jadi, jika seseorang memegang paket-paket itu, mereka seharusnya masih belum bisa membacanya.
sumber
"VPN" dalam definisi paling umum tidak selalu menyiratkan keamanan. Hal yang sama berlaku untuk MPLS, dan kedua istilah tersebut sering digabungkan (lihat "MPLS VPN") karena aspek-aspek tertentu dari MPLS dapat menyediakan fungsionalitas yang mirip dengan VPN tradisional (AToMPLS, EoMPLS, TDMoMPLS, dll).
Sangat mungkin untuk menjalankan MPLS melalui terowongan VPN terenkripsi, dan menjalankan lalu lintas VPN terenkripsi melalui sirkuit MPLS. MPLS sendiri tidak "aman" tetapi sekali lagi ini terutama digunakan untuk layanan transportasi, di mana protokol yang mendasarinya dapat aman.
Biasanya skenario yang Anda gambarkan dapat disebabkan oleh organisasi yang menginginkan konektivitas beragam dari dua penyedia terpisah, dan salah satu dari penyedia tersebut tidak menawarkan layanan MPLS.
sumber