MPLS和加密VPNs流量安全？

Question

为什么人们经常说他们在两个办公室之间有两个连接--一个主要是通过MPLS，另一个是通过VPN。为什么不也在MPLS上运行VPN呢？MPLS安全吗？谁也不能掉落在交通上吗？

Answer 1

丹尼尔和约翰对你的问题都给出了很好的答案，我只是在读这个问题时补充一些实际的东西。

请记住，很多关于MPLS VPNs的安全问题的讨论都来自于通常给予帧中继和自动取款机 VPN的信任。

MPLS安全吗？

最终，安全问题归结为一个未被问到的问题，即“您信任谁来处理您的业务关键数据？”

• 如果答案是“无人”，则必须通过加密的VPN覆盖数据。
• 如果您信任您的MPLS VPN提供程序，那么就没有必要加密您的数据了。

为什么不也在MPLS上运行VPN呢？

在大多数情况下，MPLS是一个VPN，但它是一个未加密的VPN。当您提到"VPN“时，我假设您是指加密的VPN，如PPTP、IPSec或undefined。但是，如果您需要VPN内部的强加密、数据完整性或身份验证，rfc4381 MPLS安全，5.2节建议在MPLS VPN中加密。

然而，加密的VPN本身并不是没有问题的；它们通常受到以下问题的影响：

• 基础设施的额外费用
• 吞吐量/可伸缩性限制(由于HW加密的复杂性)
• 人员/培训额外费用
• 通过加密VPN调试问题时增加平均修理时间
• 增加管理费用(即维护PKI)
• 技术困难，如较低的TCP MSS，通常是PMTUD的问题
• 效率较低的链接，因为您有加密VPN的封装开销(它已经在来自MPLS VPN的开销中)。

谁也不能掉落在交通上吗？

是的，无论你是否认为你可以信任你的提供者，每件事都是很有可能的。我将引用rfc4381 MPLS安全，第7节的话：

就MPLS核心内部的攻击而言，所有的未加密 VPN类(BGP/MPLS、FR、ATM)都存在相同的问题:如果攻击者能够安装嗅探器，他可以读取所有VPN中的信息，如果攻击者能够访问核心设备，则可以执行大量攻击，从数据包欺骗到引入新的对等路由。上面概述了一些预防措施，服务提供商可以使用这些措施来加强核心的安全性，但是BGP/MPLS体系结构的安全性取决于服务提供者的安全性。如果服务提供者不受信任，则完全保护VPN免受来自VPN服务“内部”的攻击的唯一方法是在顶层、从CE设备或以后运行IPsec。

我要提最后一点，这只是一个实际的问题。如果你打算在基本的互联网服务上使用加密的虚拟专用网，人们可能会认为使用MPLS VPN是没有意义的；我不同意这种观点。通过MPLS加密的VPN的优点是与一个提供商一起工作：

• 当您解决问题时(端到端)
• 保证服务质量
• 提供服务

Answer 2

最常见定义中的"VPN“并不一定意味着安全性。MPLS也是如此，这两个术语经常结合在一起(参见MPLS )，因为MPLS的某些方面可以提供与传统VPN (AToMPLS、EoMPLS、TDMoMPLS等)类似的功能。

在加密的VPN隧道上运行MPLS和在MPLS电路上运行加密的VPN流量是完全可能的。MPLS本身并不“安全”，但它主要用于传输服务，在传输服务中，底层协议可以是安全的。

通常，您所描述的场景可能是由于一个组织希望从两个不同的提供商获得不同的连接，而其中一个提供商不提供MPLS服务。