MPLS Sicherheit2022-04-19T16:04:00+02:00

MPLS Sicherheit

Vodafone Company Net bietet Ihnen eine verbesserte Möglichkeit der internen Kommunikation für Ihr Unternehmen. Egal wo sich Ihre Mitarbeiter befinden, ob in der Zentrale vor Ort oder der Zweigstelle im Ausland, Zuhause oder unterwegs bei Ihrem Kunden, mit Hilfe des MPLS sind sie, über Ihr abgeschirmtes virtuelles privates Netzwerk, direkt miteinander verbunden.

Online Preis- & Verfügbarkeitscheck

Standort A

Standort B

+ weiterer Standort

Internationaler Standort?

Bitte füllen Sie alle markierten Felder korrekt aus.
Bitte geben Sie eine gültige Firmen E-Mail an.

Vorteile

Bei der Vernetzung von Standorten greifen Kunden, wie z. B. Behörden und Unternehmen, aus Gründen der Wirtschaftlichkeit meist auf das MPLS-VPN zurück.

MPLS (Multi-Protocol Label Switching) ist das am weitesten verbreitete Verfahren für IP-basierte Unternehmensnetzwerke in denen auch zeitkritische Daten, Video und Sprache transportiert werden Gegenüber den „traditionellen“ Netztechniken bietet MPLS weitreichende Vorteile.

Nicht zuletzt aufgrund der Überwachungsskandale sind in Unternehmen die Anforderungen an Informationssicherheit und Datenschutz bei der Nutzung von MPLS Netzwerken gestiegen.

Aufbau eines MPLS Netzes

Aufbau einer Standleitung

Grundsätzlich gilt für die MPLS Sicherheit folgendes:

Multi Protocol Label Switching (MPLS) ist in erster Linie das Durchleiten von Daten über die Systeme des Anbieters oder dessen Kooperationspartnern.

Da der Datenfluss über die Label einem vorgegeben Weg folgt und so keine Routing-Entscheidungen getroffen werden müssen, sind MPLS Verbindungen als hochwertiger als Internet-Verbindungen einzustufen.

Die Knotenpunkte eines MPLS-Netzes sind für die Außenwelt unsichtbar und abgeschlossen. Die Daten werden in einem virtuellen Tunnel (VPN) übertragen.

Um eine ausreichende MPLS Sicherheit zu gewährleisten muss zusätzlich verschlüsselt werden.

Maßnahmen zur Sicherung von MPLS Netzen

MPLS Sicherheit

1. Zuverlässigkeit verbundener MPLS-Carrier

Kunden, die ihre Auslandsstandorte über MPLS-VPN anbinden, müssen sich nicht nur auf den nationalen MPLS-Provider, sondern auch auf den/die beteiligten internationalen MPLS-Partner-Provider verlassen können.

Vertragsbeziehungen geht der Kunde üblicherweise nur mit dem nationalen MPLS Provider ein. Eine genaue Überprüfung der eingesetzten Lösungen / Varianten der Partner-Carrier ist zwingend anzuraten.

2. Verhindern von MPLS-Label-Spoofing

Die Eingangs-Netzknoten des MPLS-Cores (PE-Router oder Ingress-LSR) müssen markierte („labeled“) MPLS-Pakete blockieren, sobald sie über eine CE-PE-Verbindung in das Netz eintreten bzw. von einem nicht vertrauenswürdigen Router stammen.

Diese Maßnahme zur MPLS Sicherheit wird auf Seiten der Hersteller durch sichere Programmierung erreicht.

3. Einsatz von Netzüberwachungssystemen

Es müssen Netzüberwachungssysteme, meist als Bestandteil eines Netzmanagementsystems (NMS), eingesetzt werden. Diese sollen auf Kundenseite und auf Dienstleisterseite die Integrität des MPLS VPN überwachen. Die Kundeninformationen sollten dabei nicht direkt vom CE zum Kunden gelangen (z. B. über SNMP oder NetFlow), sondern über ein Kundenportal bereitgestellt werden.

Beim Netzmanagement sind sichere Protokolle zu nutzen. Insbesondere auf den Einsatz von Telnet sollte in diesem Umfeld zugunsten verschlüsselter Alternativen (SSH) verzichtet werden. SNMPv3 sollte in abgesicherter Form zum Einsatz kommen um hier eine ausreichende MPLS Sicherheit zu gewährleisten.

4. Internet-Übergang als eigenes MPLS-VPN

Im MPLS-Core kann für Kunden ein zentraler Übergang in das Internet bereitgestellt werden. Der Übergang kann in unterschiedlicher Art und Weise konfiguriert werden, insbesondere hinsichtlich des Routings.

Internet-Routen sollten innerhalb eines eigenen MPLS VPN über dedizierte VRF-Instanzen auf den PE-Routern für die Internet-Kunden vorgehalten werden. Diese PE-Router sollen ausschließlich mit Internet-CEs verbunden sein.

Andere Kunden-VPN-CEs sollen nicht direkt mit dem Internet-PE verbunden werden.

5. Redundanz für maximale Verfügbarkeit von MPLS-Netzen

Der Ausfall oder der Teilausfall des MPLS-Provider-Netzes hat i.d.R. erhebliche Auswirkungen. Durch den Einsatz redundanter Netzarchitekturen kann je nach Verfügbarkeits-Anforderung eine Ausfallsicherung erreicht werden.

– CE-Router:
An wichtigen Standorten sollten zwei CE-Router verwendet werden, die z. B. in unterschiedlichen Brandabschnitten betrieben werden (Hardware-Redundanz).

– Gedoppelte PE-Router an einem Point-of-Presence (PoP):
Für wichtige Standorte sollten am PoP vom Provider gedoppelte PE-Router betrieben werden.
Ein Kundenstandort kann Redundanz durch die parallele Anbindung an beide PEs erzielen.

– Gedoppelte PE-Router an zwei Point-of-Presence (PoP):
Für wichtige Standorte sollten an zwei verschiedenen PoPs vom Provider gedoppelte PE-Router betrieben werden.
Ein Kundenstandort kann Redundanz durch die parallele Anbindung an beide PoPs erzielen.

– Getrennte Leitungsführung:
Die Leitungsstrecken zwischen CE(s) und PE(s) sollten mehrfach existieren. Der Ausgang der Leitungen aus dem Kundenstandort erfolgt über unabhängige Hausanschlüsse, bzw. über unabhängige Leitungszuführung (Kupfer, Glasfaser, Richtfunk). Die Leitungen vom Kundenstandort zur Vermittlungsstelle werden über getrennte Wege realisiert.

– Backup:
Durch Nutzung einer zusätzlichen Backup-Lösung über andere Transportplattformen wie DSL, ISDN, GPRS, UMTS oder EDGE.

6. Nutzung von IPSec-Tunneln über MPLS-Verbindungen

Durch den Einsatz von verschlüsselten Tunneltechnologien, wie IPSec, TLS/SSL oder SSH, kann ein Kunde die Integrität und Vertraulichkeit seines VPNs absichern.

Die Nutzung von Site-to-Site-Verschlüsselung, beispielsweise mit Hilfe von IPSec, ermöglicht es dem Kunden, die Vertraulichkeit der über das MPLS-Netz übertragenen Daten gegenüber potentiellen Angreifern in der Man-in-the-Middle-Position zu schützen.

Die IPSec-Tunnel werden üblicherweise zwischen CE und CE zweier Kundenstandorte aufgebaut. Alternativ können zu diesem Zweck auch nachgelagerte Sicherheitsgateways oder VPN-Konzentratoren genutzt werden, die unter der alleinigen Kontrolle des Kunden liegen. Auf diese Weise kann ein erhöhter Schutz vor möglichen Angriffen des Providerpersonals erreicht werden.

Die wohl eleganteste Lösung für MPLS Sicherheit kommt von Cisco:

MPLS-Anbieter wie Colt & Vodafone setzen auf die Cisco-Technologie GET (Group Encrypted Transport).

Das von Cisco als RFC 3547 eingereichte GET VPN ermöglicht skalierbare Any-to-Any-Connectivity: Bei dem Verfahren wird lediglich die Payload verschlüsselt, der Header bleibt unverschlüsselt. Damit lässt sich neben QoS (Quality of Service) auch Multicasting mit sicherem Verkehr einsetzen. Da ein Server das Schlüsselmanagement übernimmt, muss sich ein Anwender nur noch bei einer Gruppe anmelden. Der Aufbau einzelner Punkt-zu-Punkt-Tunnel entfällt, die Verschlüsselung findet „in der Wolke“ statt.

Wie so oft gibt es im Bereich der MPLS Sicherheit keinen 100% Schutz.

Grundsätzlich bringen MPLS-VPNs aber eine Reihe von Sicherheitsmechanismen und Sicherheitsoptionen mit, durch die sich eine optimale MPLS Sicherheit erreichen lässt. Durch Anwendung der empfohlenen Schutzmaßnahmen lassen sich die Risiken deutlich reduzieren.

RFC: Request For Comments

PE: Provider Edge router

CE: Customer Edge router

LSR: Label Switch Router

Provider

Ich freue mich auf Ihre Fragen!

Frank Frommknecht

Frank Frommknecht

Key Account Consultant

Sprechen wir!

Kostenloser Online-Termin:

Beratung buchen GIF

News zu MPLS

17. Mai 2022|

China ist noch immer die Werkbank der Welt. Gleichzeitig ist China, mit einer Bevölkerung von mehr als einer Milliarde

10. Mai 2022|

Die Netzwerksicherheit. Das Arbeitspferd dieser Welt war bis vor kurzen immer noch die gute alte „on premise“ Firewall. Die

3. Mai 2022|

SaaS und IaaS sind Formen des Outsourcings, welche ohne einen Managed Service Provider genutzt werden. Ist diese Herangehensweise auch

6. April 2022|

Unternehmensnetzwerke haben sich in der Vergangenheit um die jeweiligen Standorte herum entwickelt - Büros, Fabrikhallen und Rechenzentren. Es kamen

31. März 2022|

Anforderungen von Mitarbeitern an einst einfache Telefonanlagensysteme haben sich in den letzter Zeit, durch die stürmische Verbreitung von Collaboration-/

29. März 2022|

Nach einem weiteren unvorhersehbaren Jahr, blicken IT-Führungskräfte und CIOs bereits in das nächste und überlegen, wie sie weiter agil

weitere Infos

Nach oben