Verschlüsselung von MPLS

4.7 / 5 mit 4.651 Stimmen

MPLS Verschlüsselung

Die Verschlüsselung in MPLS Netzen ist ein heikles Thema und wird immer wichtiger. Die sonst so abgeschlossenen MPLS Netze haben immer mehr Berührungspunkte zum Internet, sei es durch externe Mitarbeiter, Cloud Anbindungen oder anderes. Wir stellen hier verschiedene Verschlüsselungsmechanismen kurz vor.

Grundsätzlich ist ein MPLS Netzwerk sicher. Warum? Es ist ein in sich abgeschlossenes, von einem Provider betriebenes, Netzwerk und hat in der Regel nur einen Berührungspunkt mit dem öffentlichen Internet. Dieser liegt meist entweder im Rechenzentrum oder in der Firmenzentrale. Doch auch abgeschlossene Netzwerke können durch physische Zugriffe auf Rechner oder Knotenpunkte unsicher werden. Eine Verschlüsselung des MPLS Verkehrs schafft hier mehr Sicherheit.

MPLS verarbeitet und transportiert eine Vielzahl verschiedener Daten. Dazu gehören auch IP-Pakete und Ethernet Frames. Ethernet-Verschlüsseler sollten das MPLS unterstützen, doch je nach Lage des Verschlüsselers, wird eine abweichende Unterstützung benötigt.

Bei der Nutzung von MPLS als reines Transportmedium für Ethernet Frames, ist es für das Unternehmen transparent. Das heißt, dass nur das Ethernet sichtbar ist und sich damit auch die Verschlüsselung darauf fokussiert.

Transport von Ethernet Frames im MPLS

Verwendung von MPLS für den Transport von Ethernet-Frames

Bei dieser Abbildung handelt es sich um ein normales Ethernet-Szenario, worauf sich auch die Verschlüsselung beschränkt

Ethernet Verschlüsselung im Transport-Modus vor Übergabe ans MPLS

Ethernet-Verschlüsselung im Transport-Modus vor Übergabe an MPLS-Netzwerk

Ethernet over MPLS (EoMPLS)Ethernet over MPLS (EoMPLS)

Nutzt man das MPLS nicht für den Transport von Ethernet Frames, sondern direkt, wird im Frame ein sog. MPLS-Tag eingefügt. Das führt zu einem anderen Inhalt:

Es gibt aber zwei Arten der Nutzung von MPLS: Nebst dem Transport von Ethernet-Frames über MPLS kann auch MPLS direkt genutzt werden, wobei im Frame ein MPLS-Tag eingefügt wird. Das hat Auswirkungen auf den Inhalt der Frames:

Verschlüsselung mit eingefügtem MPLS Tag

Authentizierte Verschlüsselung im Transport-Modus mit eingefügtem MPLS-Tag

Ein anderer Aufbau ergibt sich, wenn der Verschlüssler zwischen dem MPLS Router und dem Ethernet Anschluss des Providers steht.

Verschlüsselung zwischen Carrier und Label Switch Router

Wird der Secure Switch nach dem MPLS Router (Label Switch Router) aufgestellt, kommen mehr Szenarien zum Tragen. Die Verschlüsselung darf dabei erst nach dem MPLS-Tag erfolgen.

Im Falle das Frames mit MPLS Tag von der Ethernet Verschlüsselung ausgenommen werden können und der Secure Switch Ethernet over IP (EoIP) beherrscht, ist es möglich alle MPLS Szenarien zu unterstützen. Das beinhaltet MPLS über Ethernet und MPLS über IP. Vorteil an diesem Aufbau liegt im gewährten Komplettschutz, der Vertraulichkeit, Integritätsschutz, Entdecken und Verhindern von Eindringlingen, einer Layer 2-Firewall und Resistenz gegen DDos Attacken! Besonders bei breitbandigen Anschlüssen bringt es Kosteneinsparungen mit sich.

Nachstehend finden Sie Verschlüsselungsoptionen, die sich auf MPLS über Ethernet (MPLSoE) beschränken, wobei MPLS auf Layer 2 terminiert wird. Eine Unterstützung von EoIP ist nicht vorausgesetzt.

Ethernet Frame mit beigefügtem MPLS TagEthernet-Frame mit eingefügtem MPLS-Tag

Ethernet Frame mit Transport Modus über MPLSoEEthernet-Frame mit Transport-Modus-Verschlüsselung transportiert über MPLSoE

Ethernet Frame mit Frame Modus über MPLSoEEthernet-Frame mit Frame-Modus-Verschlüsselung transportiert über MPLSoE

Ethernet über MPLS / VPLS

Transportiert man Ethernet-Frames über MPLS muss der Verschlüssler den Ethernet Header unverschlüsselt lassen, da das MPLS auf die Header Informationen angewiesen ist (MPLS Header).

Ethernet über MPLS / VPLS

Hier sind die Voraussetzungen für MPLS sowohl im Transport- als auch im Tunnel-Modus erfüllt. Eine direkte Unterstützung ist nicht nötig, nur Transparenz.

Zwei Transportvarianten von Ethernet über MPLS können genutzt werden:

  • Der MPLS Tag wird zwischen den Ethernet Header und die Nutzlast gesetzt (nur bei durchgängigen Ethernet Netzwerk)
  • Der Originalframe wird vom MPLS enkapsuliert und der MPLS Tag wird vor die Nutzlast gesetzt (bei unterschiedlichen Layer 2 Netzwerken)

MPLS Interconnect

Bei einer Verschlüsselung der Verbindung von lokalen MPLS Wolken über ein WAN, muss der Secure Switch (Verschlüsseler) sich dem Frameformat anpassen. Zwei Frame Varianten sind möglich:

  • Ethernet Frame mit MPLS Tag
  • Ethernet Frame mit MPLS Tag, wobei der „Original“-Frame enkapsuliert und als Nutzlast übertragen wird

MPLS Interconnect

Zwischen MPLS-Clouds

Will man die Verbindung zweier lokaler MPLS Clouds über eine Provider MPLS Cloud verschlüsseln, ist es erforderlich das der Verschlüsseler nur die Nutzlast verschlüsselt, die aus dem enkapsulierten Originalframe besteht.

Die genauen Anforderungen an den Verschlüsseler variieren hier je nach Szenario und auch Topologie. Eine optimale Lösung für Multipunkt Topologien ist nur schwer erreichbar.

IPSec als MPLS Verschlüsselung

Eine Absicherung mit IPSec ist auch möglich. Jedoch macht diese nur Sinn, wenn es sich um ein reines IP Netzwerk handelt. Ist es eine Carrier Ethernet Netzwerk Lösung bietet es nicht ausreichend Sicherheit, da eine Verschlüsselung unterhalb von Layer 3 wegfällt.

Sie benötigen Beratung zu Ihrem MPLS Netzwerk? Sprechen Sie uns an! Unsere Experten helfen Ihnen gerne weiter.

MPLS Anbieter- & Preisübersicht anfordern:

Mit freundlicher Genehmigung von Herrn Christoph Jaggi. Die Originalpublikation finden Sie hier.

Merken


Nikolaus von Johnston Nikolaus von Johnston General Manager Savecall Tel.: +49 (0)89 / 219 914 810 E-Mail: kontakt@savecall.de Lesen sie auch meinen Blog

Ähnliche Artikel

Fragen oder Anregungen? Schreiben Sie uns einen Kommentar

© 2017 Savecall Telecommunication Consulting GmbH