MPLS与加密VPN-流量安全？

人们为什么经常说他们在两个办公室之间有两个连接-主要的一个通过MPLS，而备用的一个通过VPN。为什么也不要在MPLS上运行VPN？MPLS安全吗？有人可以偷听交通吗？

丹尼尔和约翰都很好地回答了你的问题。在阅读问题时，我只会添加一些实际的想法。

请记住，关于MPLS VPN的安全性的许多讨论都是通过帧中继和ATM VPN 通常提供的信任来进行的。

MPLS安全吗？

最终，安全性问题归结为一个尚未解决的问题，即“您信任谁对您的业务关键数据？”

• 如果答案是“ nobody”，那么您必须通过加密的VPN覆盖数据
• 如果您信任MPLS VPN提供商，则无需加密数据

为什么也不要在MPLS上运行VPN？

MPLS 通常是一种VPN，但它是未加密的VPN。当您提到“ VPN”时，我假设您的意思是加密的VPN，例如PPTP，IPSec或SSL VPN。但是，如果您需要在VPN内进行强加密，数据完整性或身份验证，请参阅5.2节“ rfc4381 MPLS VPN安全”，建议在MPLS VPN内进行加密。

但是，加密的VPN本身并非没有问题。他们通常患有：

• 基础设施的额外费用
• 吞吐量/可伸缩性限制（由于硬件加密的复杂性）
• 人员/培训的额外费用
• 通过加密的VPN调试问题时，平均修复时间增加
• 增加管理开销（即维护PKI）
• 技术难题，例如较低的TCP MSS以及PMTUD经常出现的问题
• 效率较低的链接，因为您拥有加密VPN的封装开销（这已经在MPLS VPN的开销之内）

有人可以偷听交通吗？

是的，无论您是否认为自己可以信任提供者，窃听都是可能的。我将引用rfc4381 MPLS VPN安全性的第7节：

就来自MPLS核心内部的攻击而言，所有[未加密] VPN类（BGP / MPLS，FR，ATM）都有相同的问题：如果攻击者可以安装嗅探器，则他可以读取所有VPN中的信息，并且攻击者可以访问核心设备，他可以执行各种攻击，从数据包欺骗到引入新的对等路由器。上面概述了许多预防措施，服务提供商可以使用这些措施来加强核心的安全性，但是BGP / MPLS IP VPN体系结构的安全性取决于服务提供商的安全性。如果服务提供商不受信任，则要完全保护VPN免受VPN服务“内部”的攻击，唯一的方法是在CE设备或更高级别的IPsec上运行IPsec。

我要说的最后一点，这只是一个实际问题。有人可能会说，如果要在基本的Internet服务上使用加密的VPN，那么使用MPLS VPN是没有意义的。我不同意这个想法。通过MPLS VPN加密的VPN的优点是与一个提供商合作：

• 解决问题时（端到端）
• 保证服务质量
• 提供服务

我假设您正在谈论MPLS VPN。MPLS VPN比常规的Internet连接更安全，它基本上就像是虚拟专线。但是，它不运行加密。因此，除非有人错误配置了VPN，否则它不会被窃听，但是如果您携带敏感流量，则仍应对其进行加密。这种VPN未经过身份验证，因此是专用网络，但未像IPSEC一样经过身份验证和加密。如果某人可以物理访问您的网络，他们可能会嗅探数据包。

对于常规VPN，我假设您的意思是IPSEC。IPSEC会根据您运行的模式进行身份验证和加密。因此，如果有人握住了数据包，他们仍将无法读取它们。

最常见的定义中的“ VPN”并不一定意味着安全性。MPLS也是如此，这两个术语经常合并使用（请参阅“ MPLS VPN”），因为MPLS的某些方面可以提供与传统VPN（AToMPLS，EoMPLS，TDMoMPLS等）相似的功能。

完全有可能在加密的VPN隧道上运行MPLS，并在MPLS电路上运行加密的VPN流量。MPLS本身不是“安全的”，但它再次主要用于传输服务，在传输服务中基础协议可以是安全的。

通常，您描述的场景可能是由于一个组织希望从两个单独的提供商那里获得不同的连接性而导致的，而其中一个提供商不提供MPLS服务。