MPLS Sicherheit

4.7 / 5 mit 4.651 Stimmen

Online Preis- & Anbieterübersicht für MPLS an Ihrem Standort

MPLS Sicherheit
Standort A PLZ
Standort B PLZ
Kunden VPN
Internationaler Standort vorhanden?
  • Telekom Austria
  • Versatel
  • UPC
  • Telekom
  • Tele 2
  • Riedel Networks
  • QSC
  • Interoute
  • ecotel
  • BT
  • Vodafone
  • Colt

Bei der Vernetzung von Standorten greifen Kunden, wie z. B. Behörden und Unternehmen, aus Gründen der Wirtschaftlichkeit meist auf das MPLS-VPN zurück.

MPLS (Multi-Protocol Label Switching) ist das am weitesten verbreitete Verfahren für IP-basierte Unternehmensnetzwerke in denen auch zeitkritische Daten, Video und Sprache transportiert werden Gegenüber den „traditionellen“ Netztechniken bietet MPLS weitreichende Vorteile.

Nicht zuletzt aufgrund der Überwachungsskandale sind in Unternehmen die Anforderungen an Informationssicherheit und Datenschutz bei der Nutzung von MPLS Netzwerken gestiegen.

Grundsätzlich gilt für die MPLS Sicherheit folgendes:

Multi Protocol Label Switching (MPLS) ist in erster Linie das Durchleiten von Daten über die Systeme des Anbieters oder dessen Kooperationspartnern.

Da der Datenfluss über die Label einem vorgegeben Weg folgt und so keine Routing-Entscheidungen getroffen werden müssen, sind MPLS Verbindungen als hochwertiger als Internet-Verbindungen einzustufen.

Die Knotenpunkte eines MPLS-Netzes sind für die Außenwelt unsichtbar und abgeschlossen. Die Daten werden in einem virtuellen Tunnel (VPN) übertragen.

Um eine ausreichende MPLS Sicherheit zu gewährleisten muss zusätzlich verschlüsselt werden.

Maßnahmen zur Sicherung von MPLS Netzen

MPLS Sicherheit

1. Zuverlässigkeit verbundener MPLS-Carrier

Kunden, die ihre Auslandsstandorte über MPLS-VPN anbinden, müssen sich nicht nur auf den nationalen MPLS-Provider, sondern auch auf den/die beteiligten internationalen MPLS-Partner-Provider verlassen können.

Vertragsbeziehungen geht der Kunde üblicherweise nur mit dem nationalen MPLS Provider ein. Eine genaue Überprüfung der eingesetzten Lösungen / Varianten der Partner-Carrier ist zwingend anzuraten.

2. Verhindern von MPLS-Label-Spoofing

Die Eingangs-Netzknoten des MPLS-Cores (PE-Router oder Ingress-LSR) müssen markierte („labeled“) MPLS-Pakete blockieren, sobald sie über eine CE-PE-Verbindung in das Netz eintreten bzw. von einem nicht vertrauenswürdigen Router stammen.

Diese Maßnahme zur MPLS Sicherheit wird auf Seiten der Hersteller durch sichere Programmierung erreicht.

3. Einsatz von Netzüberwachungssystemen

Es müssen Netzüberwachungssysteme, meist als Bestandteil eines Netzmanagementsystems (NMS), eingesetzt werden. Diese sollen auf Kundenseite und auf Dienstleisterseite die Integrität des MPLS VPN überwachen. Die Kundeninformationen sollten dabei nicht direkt vom CE zum Kunden gelangen (z. B. über SNMP oder NetFlow), sondern über ein Kundenportal bereitgestellt werden.

Beim Netzmanagement sind sichere Protokolle zu nutzen. Insbesondere auf den Einsatz von Telnet sollte in diesem Umfeld zugunsten verschlüsselter Alternativen (SSH) verzichtet werden. SNMPv3 sollte in abgesicherter Form zum Einsatz kommen um hier eine ausreichende MPLS Sicherheit zu gewährleisten.

4. Internet-Übergang als eigenes MPLS-VPN

Im MPLS-Core kann für Kunden ein zentraler Übergang in das Internet bereitgestellt werden. Der Übergang kann in unterschiedlicher Art und Weise konfiguriert werden, insbesondere hinsichtlich des Routings.

Internet-Routen sollten innerhalb eines eigenen MPLS VPN über dedizierte VRF-Instanzen auf den PE-Routern für die Internet-Kunden vorgehalten werden. Diese PE-Router sollen ausschließlich mit Internet-CEs verbunden sein.

Andere Kunden-VPN-CEs sollen nicht direkt mit dem Internet-PE verbunden werden.

5. Redundanz für maximale Verfügbarkeit von MPLS-Netzen

Der Ausfall oder der Teilausfall des MPLS-Provider-Netzes hat i.d.R. erhebliche Auswirkungen. Durch den Einsatz redundanter Netzarchitekturen kann  je nach Verfügbarkeits-Anforderung eine Ausfallsicherung erreicht werden.

– CE-Router:
An wichtigen Standorten sollten zwei CE-Router verwendet werden, die z. B. in unterschiedlichen Brandabschnitten betrieben werden (Hardware-Redundanz).

Gedoppelte PE-Router an einem Point-of-Presence (PoP):
Für wichtige Standorte sollten am PoP  vom  Provider gedoppelte PE-Router betrieben werden.
Ein Kundenstandort kann Redundanz durch die parallele Anbindung an beide PEs erzielen.

Gedoppelte PE-Router an zwei Point-of-Presence (PoP):
Für wichtige Standorte sollten an zwei verschiedenen PoPs  vom  Provider gedoppelte PE-Router betrieben werden.
Ein Kundenstandort kann Redundanz durch die parallele Anbindung an beide PoPs erzielen.

– Getrennte Leitungsführung:
Die Leitungsstrecken zwischen CE(s) und PE(s) sollten mehrfach existieren. Der Ausgang der Leitungen aus dem Kundenstandort erfolgt über unabhängige Hausanschlüsse, bzw. über unabhängige Leitungszuführung (Kupfer, Glasfaser, Richtfunk). Die Leitungen vom Kundenstandort zur Vermittlungsstelle werden über getrennte Wege realisiert.

– Backup:
Durch Nutzung einer zusätzlichen Backup-Lösung über andere Transportplattformen wie DSL, ISDN, GPRS, UMTS oder EDGE.

6. Nutzung von IPSec-Tunneln über MPLS-Verbindungen

Durch den Einsatz von verschlüsselten Tunneltechnologien, wie IPSec, TLS/SSL oder SSH, kann ein Kunde die Integrität und Vertraulichkeit seines VPNs absichern.

Die Nutzung von Site-to-Site-Verschlüsselung, beispielsweise mit Hilfe von IPSec, ermöglicht es dem Kunden, die Vertraulichkeit der über das MPLS-Netz übertragenen Daten gegenüber potentiellen Angreifern in der Man-in-the-Middle-Position zu schützen.

Die IPSec-Tunnel werden üblicherweise zwischen CE und CE zweier Kundenstandorte aufgebaut. Alternativ können zu diesem Zweck auch nachgelagerte Sicherheitsgateways oder VPN-Konzentratoren genutzt werden, die unter der alleinigen Kontrolle des Kunden liegen. Auf diese Weise kann ein erhöhter Schutz vor möglichen Angriffen des Providerpersonals erreicht werden.

Die wohl eleganteste Lösung für MPLS Sicherheit  kommt von Cisco:

MPLS-Anbieter wie Colt & Vodafone setzen auf die Cisco-Technologie GET (Group Encrypted Transport).

Das von Cisco als RFC 3547 eingereichte GET VPN ermöglicht skalierbare Any-to-Any-Connectivity: Bei dem Verfahren wird lediglich die Payload verschlüsselt, der Header bleibt unverschlüsselt. Damit lässt sich neben QoS (Quality of Service) auch Multicasting mit sicherem Verkehr einsetzen. Da ein Server das Schlüsselmanagement übernimmt, muss sich ein Anwender nur noch bei einer Gruppe anmelden. Der Aufbau einzelner Punkt-zu-Punkt-Tunnel entfällt, die Verschlüsselung findet „in der Wolke“ statt.

Wie so oft gibt es im Bereich der MPLS Sicherheit keinen 100% Schutz.

Grundsätzlich bringen MPLS-VPNs aber eine Reihe von Sicherheitsmechanismen und Sicherheitsoptionen mit, durch die sich eine optimale MPLS Sicherheit erreichen lässt. Durch Anwendung der empfohlenen Schutzmaßnahmen lassen sich die Risiken deutlich reduzieren.

Glossar:

RFC: Request For Comments
PE: Provider Edge router
CE: Customer Edge router
LSR: Label Switch Router

 

Weitere Informationen

Ronald Bals Ronald Bals Key-Account Consultant Tel.: +49 (0)89 / 219 914 810 E-Mail: kontakt@savecall.de Lesen sie auch meinen Blog
© 2017 Savecall Telecommunication Consulting GmbH