MPLS बनाम एन्क्रिप्टेड वीपीएन - ट्रैफ़िक सुरक्षा?

15

लोग बहुत बार क्यों कहते हैं कि उनके दो कार्यालयों के बीच दो संबंध हैं - मुख्य एक एमपीएलएस पर और एक वीपीएन पर बैकअप। MPLS पर भी वीपीएन क्यों नहीं चलाते? क्या MPLS सुरक्षित है? क्या ट्रैफिक पर कोई नजर नहीं लगा सकता?

routing  security  mpls  mpls-vpn 
योन
स्रोत
स्पष्ट करने के लिए, जब मैंने कहा कि वीपीएन मैं निजी नेटवर्क को एन्क्रिप्ट और प्रमाणित किया जा रहा था। यह स्पष्ट करने के लिए आप सभी का धन्यवाद।
यॉन
सबसे अधिक संभावना पार्टी आपको सूंघने के लिए है, आपका ऑपरेटर अवैध रूप से कुछ कर्मचारी व्यक्तिगत लाभ के लिए या अदालत के जनादेश से। इसके अलावा, कोई भी WAN कनेक्शन कई स्थानों पर जाता है जो पूरी तरह से संरक्षित हैं और आसानी से भौतिक MITM के लिए आम जनता के लिए उपलब्ध हैं। यह कहते हुए कि, अधिकांश कंपनियों के पास वास्तव में 0 जानकारी चोरी करने लायक है और सुरक्षा को वास्तविक जोखिम से अधिक खर्च नहीं करना चाहिए, आमतौर पर आप केवल उतना ही सुरक्षा चाहते हैं जितना कि अनुबंधित / कानूनी रूप से आवश्यक हो।
ytti

जवाबों:

20

डैनियल और जॉन दोनों ने आपके प्रश्न का बहुत अच्छा जवाब दिया; मैं सिर्फ कुछ व्यावहारिक चीजें जोड़ूंगा, जो प्रश्न को पढ़ते समय दिमाग में आती हैं।

ध्यान रखें कि एमपीएलएस वीपीएन की सुरक्षा के बारे में बहुत चर्चा आम तौर पर ट्रस्ट के माध्यम से होती है जो रिले और एटीएम वीपीएन को फ्रेम करती है

क्या MPLS सुरक्षित है?

अंतत: सुरक्षा का प्रश्न एक बिना पूछे गए सवाल पर उतरता है, जो है "आप अपने व्यवसाय-महत्वपूर्ण डेटा के साथ किस पर भरोसा करते हैं?"

  • यदि उत्तर "कोई नहीं" है, तो आपको एक एन्क्रिप्टेड वीपीएन के माध्यम से अपने डेटा को ओवरले करना होगा
  • यदि आप अपने एमपीएलएस वीपीएन प्रदाता पर भरोसा करते हैं , तो अपने डेटा को एन्क्रिप्ट करने की कोई आवश्यकता नहीं है

MPLS पर भी वीपीएन क्यों नहीं चलाते?

सबसे आम उपयोग करके, MPLS है एक वीपीएन, लेकिन यह एन्क्रिप्ट न किए वीपीएन है। जब आप "वीपीएन" का उल्लेख करते हैं तो मेरा मतलब है कि आप एन्क्रिप्टेड वीपीएन, जैसे कि पीपीटीपी , आईपीएसईसी या एसएसएल वीपीएन । हालांकि, यदि आपको वीपीएन के अंदर मजबूत एन्क्रिप्शन , डेटा अखंडता या प्रमाणीकरण की आवश्यकता है, तो rfc4381 MPLS VPN सुरक्षा, अनुभाग 5.2 MPLS VPN के अंदर एन्क्रिप्ट करने की अनुशंसा करता है ।

हालाँकि, एन्क्रिप्टेड वीपीएन स्वयं समस्याओं के बिना नहीं हैं; वे आम तौर पर पीड़ित हैं:

  • बुनियादी ढांचे के लिए अतिरिक्त खर्च
  • थ्रूपुट / स्केलेबिलिटी सीमाएं (एचडब्ल्यू एन्क्रिप्शन में जटिलताओं के कारण)
  • कर्मियों / प्रशिक्षण के लिए अतिरिक्त व्यय
  • एन्क्रिप्टेड वीपीएन के माध्यम से समस्याओं को डीबग करते समय मरम्मत के समय में वृद्धि
  • ओवरहेड प्रबंधन (यानी PKI को बनाए रखना )
  • तकनीकी कठिनाइयाँ, जैसे कम टीसीपी एमएसएस , और अक्सर पीएमटीयूडी के साथ समस्याएं
  • कम कुशल लिंक, क्योंकि आपके पास एन्क्रिप्टेड वीपीएन का इनकैप्सुलेशन ओवरहेड है (जो पहले से ही एमपीएलएस वीपीएन से ओवरहेड के अंदर है )

क्या ट्रैफिक पर कोई नजर नहीं लगा सकता?

हां, ईव्सड्रॉपिंग काफी संभव है, भले ही आपको लगता है कि आप अपने प्रदाता पर भरोसा कर सकते हैं। मैं rfc4381 MPLS वीपीएन सिक्योरिटी, सेक्शन 7 से उद्धृत करूंगा :

जहां तक ​​एमपीएलएस कोर के भीतर के हमलों का संबंध है, सभी [अनएन्क्रिप्टेड] वीपीएन कक्षाएं (बीजीपी / एमपीएलएस, एफआर, एटीएम) में एक ही समस्या है: यदि कोई हमलावर स्निफर स्थापित कर सकता है, तो वह सभी वीपीएन में जानकारी पढ़ सकता है और यदि हमलावर के पास मुख्य उपकरणों तक पहुंच है, वह पैकेट स्पूफिंग से लेकर नए सहकर्मी राउटर की शुरुआत तक बड़ी संख्या में हमलों को अंजाम दे सकता है। ऊपर उल्लिखित कई एहतियाती उपाय हैं जो एक सेवा प्रदाता कोर की सुरक्षा को मजबूत करने के लिए उपयोग कर सकते हैं, लेकिन बीजीपी / एमपीएलएस आईपी वीपीएन आर्किटेक्चर की सुरक्षा सेवा प्रदाता की सुरक्षा पर निर्भर करती है। यदि सेवा प्रदाता पर भरोसा नहीं किया जाता है, तो वीपीएन सेवा के "अंदर" से हमलों के खिलाफ वीपीएन को पूरी तरह से सुरक्षित करने का एकमात्र तरीका सीईएस उपकरणों या उससे आगे, शीर्ष पर आईपीएसईसी को चलाना है।

मैं एक अंतिम बिंदु का उल्लेख करूंगा, जो सिर्फ एक व्यावहारिक प्रश्न है। कोई तर्क दे सकता है कि एमपीएलएस वीपीएन का उपयोग करने का कोई मतलब नहीं है , यदि आप बुनियादी इंटरनेट सेवा पर एन्क्रिप्टेड वीपीएन का उपयोग करने जा रहे हैं; मैं उस धारणा से असहमत होगा। एमपीएलएस वीपीएन के माध्यम से एन्क्रिप्टेड वीपीएन के फायदे एक प्रदाता के साथ काम कर रहे हैं:

  • जब आप समस्याओं का निवारण करते हैं (अंत करने के लिए)
  • सेवा की गुणवत्ता की गारंटी के लिए
  • सेवाओं का प्रावधान करने के लिए
माइक पेनिंगटन
स्रोत
धन्यवाद। सभी उत्तरों ने मदद की लेकिन यह अब तक एक था जिसने सबसे अधिक मदद की और अनुवर्ती प्रश्नों के उत्तर दिए जो मैं पूछने वाला था।
यॉन
9

मैं मान रहा हूँ कि आप MPLS VPN के बारे में बात कर रहे हैं। एमपीएलएस वीपीएन एक नियमित इंटरनेट कनेक्शन की तुलना में अधिक सुरक्षित है, यह मूल रूप से एक आभासी पट्टे की रेखा की तरह है। हालाँकि यह नो एनक्रिप्शन चलाता है। तो यह ईवेवसड्रॉपिंग से मुक्त है जब तक कोई वीपीएन को गलत नहीं करता है लेकिन अगर आप संवेदनशील ट्रैफिक ले जाते हैं तो भी इसे एन्क्रिप्ट किया जाना चाहिए। इस तरह का वीपीएन प्रमाणित नहीं है, इसलिए यह एक निजी नेटवर्क है, लेकिन आईपीएसईसी की तरह प्रमाणित और एन्क्रिप्टेड नहीं है। यदि किसी के पास आपके नेटवर्क की भौतिक पहुँच है तो वे पैकेट को सूँघ सकते हैं।

नियमित वीपीएन के साथ मेरा मतलब है कि आप IPSEC हैं। IPSEC प्रमाणित और एन्क्रिप्टेड है कि आप किस मोड पर चल रहे हैं। इसलिए अगर किसी को पैकेट पकड़ा दिया जाए तो भी उन्हें पढ़ने में सक्षम नहीं होना चाहिए।

डैनियल डिब
स्रोत
3
"नो एन्क्रिप्शन" के साथ MPLSVPN "सुरक्षित" कैसे हो सकता है? यदि पैकेटों को तराशा नहीं जा रहा है, तो रास्ते में कोई भी व्यक्ति डेटा को देख सकता है। किसी भी शारीरिक संबंध की तरह।
रिकी बीम
अच्छी बात। मेरे कहने का मतलब यह था कि यह एक नियमित इंटरनेट कनेक्शन से अधिक सुरक्षित है।
डैनियल डिब
मुझे लगता है कि यह भी एक मिथ्या नाम है, एमपीएलएस लेबल को वीएलएएन में बदल दिया जा सकता है, वे बिल्कुल भी सुरक्षा नहीं देते हैं। वे यातायात प्रवाह के तार्किक अलग हैं। कोई भी पॉप-स्वैप एमपीएलएस लेबल पुश कर सकता है बस वे वीएलएएन टैग और एमपीएलएस एल 2 / एल 3 वीपीएन के बीच हॉप कर सकते हैं।
jwbensley
6

सबसे आम परिभाषा में "वीपीएन" जरूरी सुरक्षा नहीं करता है। एमपीएलएस के लिए समान है, और दो शब्दों को अक्सर संयुक्त किया जाता है ("एमपीएलएस वीपीएन देखें") क्योंकि एमपीएलएस के कुछ पहलू एक पारंपरिक वीपीएन (एटीएमएमपीएल, ईओएमपीएलएस, टीडीएमओएमपीएलएस, आदि) के लिए समान कार्यक्षमता प्रदान कर सकते हैं।

एन्क्रिप्टेड VPN सुरंग पर MPLS चलाना और MPLS सर्किट पर एन्क्रिप्टेड VPN ट्रैफ़िक चलाना पूरी तरह से संभव है। एमपीएलएस स्वयं "सुरक्षित" नहीं है, लेकिन फिर से इसे मुख्य रूप से परिवहन सेवाओं के लिए उपयोग किया जाता है, जहां अंतर्निहित प्रोटोकॉल सुरक्षित हो सकते हैं।

आमतौर पर आपके द्वारा वर्णित परिदृश्य दो अलग-अलग प्रदाताओं से विविध कनेक्टिविटी चाहने वाले संगठन का परिणाम हो सकता है, और उन प्रदाताओं में से एक एमपीएलएस सेवाएं प्रदान नहीं करता है।

जॉन जेन्सेन
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.