MPLS Sicherheit2022-06-22T16:46:16+02:00

MPLS Sicherheit

Online Preis- & Verfügbarkeitscheck

Standort A

Standort B

+ weiterer Standort

Internationaler Standort?

Bitte füllen Sie alle markierten Felder korrekt aus.
Bitte geben Sie eine gültige Firmen E-Mail an.

Vorteile

Bei der Vernetzung von Standorten greifen Kunden, wie z. B. Behörden und Unternehmen, aus Gründen der Wirtschaftlichkeit meist auf das MPLS-VPN zurück.

MPLS (Multi-Protocol Label Switching) ist das am weitesten verbreitete Verfahren für IP-basierte Unternehmensnetzwerke in denen auch zeitkritische Daten, Video und Sprache transportiert werden Gegenüber den „traditionellen“ Netztechniken bietet MPLS weitreichende Vorteile.

Nicht zuletzt aufgrund der Überwachungsskandale sind in Unternehmen die Anforderungen an Informationssicherheit und Datenschutz bei der Nutzung von MPLS Netzwerken gestiegen.

Aufbau eines MPLS Netzes

Aufbau einer Standleitung

Grundsätzlich gilt für die MPLS Sicherheit folgendes:

Multi Protocol Label Switching (MPLS) ist in erster Linie das Durchleiten von Daten über die Systeme des Anbieters oder dessen Kooperationspartnern.

Da der Datenfluss über die Label einem vorgegeben Weg folgt und so keine Routing-Entscheidungen getroffen werden müssen, sind MPLS Verbindungen als hochwertiger als Internet-Verbindungen einzustufen.

Die Knotenpunkte eines MPLS-Netzes sind für die Außenwelt unsichtbar und abgeschlossen. Die Daten werden in einem virtuellen Tunnel (VPN) übertragen.

Um eine ausreichende MPLS Sicherheit zu gewährleisten muss zusätzlich verschlüsselt werden.

Maßnahmen zur Sicherung von MPLS Netzen

MPLS Sicherheit

1. Zuverlässigkeit verbundener MPLS-Carrier

Kunden, die ihre Auslandsstandorte über MPLS-VPN anbinden, müssen sich nicht nur auf den nationalen MPLS-Provider, sondern auch auf den/die beteiligten internationalen MPLS-Partner-Provider verlassen können.

Vertragsbeziehungen geht der Kunde üblicherweise nur mit dem nationalen MPLS Provider ein. Eine genaue Überprüfung der eingesetzten Lösungen / Varianten der Partner-Carrier ist zwingend anzuraten.

2. Verhindern von MPLS-Label-Spoofing

Die Eingangs-Netzknoten des MPLS-Cores (PE-Router oder Ingress-LSR) müssen markierte („labeled“) MPLS-Pakete blockieren, sobald sie über eine CE-PE-Verbindung in das Netz eintreten bzw. von einem nicht vertrauenswürdigen Router stammen.

Diese Maßnahme zur MPLS Sicherheit wird auf Seiten der Hersteller durch sichere Programmierung erreicht.

3. Einsatz von Netzüberwachungssystemen

Es müssen Netzüberwachungssysteme, meist als Bestandteil eines Netzmanagementsystems (NMS), eingesetzt werden. Diese sollen auf Kundenseite und auf Dienstleisterseite die Integrität des MPLS VPN überwachen. Die Kundeninformationen sollten dabei nicht direkt vom CE zum Kunden gelangen (z. B. über SNMP oder NetFlow), sondern über ein Kundenportal bereitgestellt werden.

Beim Netzmanagement sind sichere Protokolle zu nutzen. Insbesondere auf den Einsatz von Telnet sollte in diesem Umfeld zugunsten verschlüsselter Alternativen (SSH) verzichtet werden. SNMPv3 sollte in abgesicherter Form zum Einsatz kommen um hier eine ausreichende MPLS Sicherheit zu gewährleisten.

4. Internet-Übergang als eigenes MPLS-VPN

Im MPLS-Core kann für Kunden ein zentraler Übergang in das Internet bereitgestellt werden. Der Übergang kann in unterschiedlicher Art und Weise konfiguriert werden, insbesondere hinsichtlich des Routings.

Internet-Routen sollten innerhalb eines eigenen MPLS VPN über dedizierte VRF-Instanzen auf den PE-Routern für die Internet-Kunden vorgehalten werden. Diese PE-Router sollen ausschließlich mit Internet-CEs verbunden sein.

Andere Kunden-VPN-CEs sollen nicht direkt mit dem Internet-PE verbunden werden.

5. Redundanz für maximale Verfügbarkeit von MPLS-Netzen

Der Ausfall oder der Teilausfall des MPLS-Provider-Netzes hat i.d.R. erhebliche Auswirkungen. Durch den Einsatz redundanter Netzarchitekturen kann je nach Verfügbarkeits-Anforderung eine Ausfallsicherung erreicht werden.

– CE-Router:
An wichtigen Standorten sollten zwei CE-Router verwendet werden, die z. B. in unterschiedlichen Brandabschnitten betrieben werden (Hardware-Redundanz).

– Gedoppelte PE-Router an einem Point-of-Presence (PoP):
Für wichtige Standorte sollten am PoP vom Provider gedoppelte PE-Router betrieben werden.
Ein Kundenstandort kann Redundanz durch die parallele Anbindung an beide PEs erzielen.

– Gedoppelte PE-Router an zwei Point-of-Presence (PoP):
Für wichtige Standorte sollten an zwei verschiedenen PoPs vom Provider gedoppelte PE-Router betrieben werden.
Ein Kundenstandort kann Redundanz durch die parallele Anbindung an beide PoPs erzielen.

– Getrennte Leitungsführung:
Die Leitungsstrecken zwischen CE(s) und PE(s) sollten mehrfach existieren. Der Ausgang der Leitungen aus dem Kundenstandort erfolgt über unabhängige Hausanschlüsse, bzw. über unabhängige Leitungszuführung (Kupfer, Glasfaser, Richtfunk). Die Leitungen vom Kundenstandort zur Vermittlungsstelle werden über getrennte Wege realisiert.

– Backup:
Durch Nutzung einer zusätzlichen Backup-Lösung über andere Transportplattformen wie DSL, ISDN, GPRS, UMTS oder EDGE.

6. Nutzung von IPSec-Tunneln über MPLS-Verbindungen

Durch den Einsatz von verschlüsselten Tunneltechnologien, wie IPSec, TLS/SSL oder SSH, kann ein Kunde die Integrität und Vertraulichkeit seines VPNs absichern.

Die Nutzung von Site-to-Site-Verschlüsselung, beispielsweise mit Hilfe von IPSec, ermöglicht es dem Kunden, die Vertraulichkeit der über das MPLS-Netz übertragenen Daten gegenüber potentiellen Angreifern in der Man-in-the-Middle-Position zu schützen.

Die IPSec-Tunnel werden üblicherweise zwischen CE und CE zweier Kundenstandorte aufgebaut. Alternativ können zu diesem Zweck auch nachgelagerte Sicherheitsgateways oder VPN-Konzentratoren genutzt werden, die unter der alleinigen Kontrolle des Kunden liegen. Auf diese Weise kann ein erhöhter Schutz vor möglichen Angriffen des Providerpersonals erreicht werden.

Die wohl eleganteste Lösung für MPLS Sicherheit kommt von Cisco:

MPLS-Anbieter wie Colt & Vodafone setzen auf die Cisco-Technologie GET (Group Encrypted Transport).

Das von Cisco als RFC 3547 eingereichte GET VPN ermöglicht skalierbare Any-to-Any-Connectivity: Bei dem Verfahren wird lediglich die Payload verschlüsselt, der Header bleibt unverschlüsselt. Damit lässt sich neben QoS (Quality of Service) auch Multicasting mit sicherem Verkehr einsetzen. Da ein Server das Schlüsselmanagement übernimmt, muss sich ein Anwender nur noch bei einer Gruppe anmelden. Der Aufbau einzelner Punkt-zu-Punkt-Tunnel entfällt, die Verschlüsselung findet „in der Wolke“ statt.

Wie so oft gibt es im Bereich der MPLS Sicherheit keinen 100% Schutz.

Grundsätzlich bringen MPLS-VPNs aber eine Reihe von Sicherheitsmechanismen und Sicherheitsoptionen mit, durch die sich eine optimale MPLS Sicherheit erreichen lässt. Durch Anwendung der empfohlenen Schutzmaßnahmen lassen sich die Risiken deutlich reduzieren.

RFC: Request For Comments

PE: Provider Edge router

CE: Customer Edge router

LSR: Label Switch Router

Provider

FAQ zu MPLS

Was ist MPLS?2022-05-31T12:50:08+02:00

Multiprotocol Label Switching IP-Datenpakete werden unterschiedlichen Labels (z. B. Daten, Video, Telefonie… mit genauen Routingangaben) zugeordnet, damit Router sie schnell und ohne jeweiliges Öffnen der Datenpakete auf der optimalen Strecke durch das Netz versenden. Das führt zu einer stabilen und leistungsstarken Verbindung mit geringeren Latenzen.

Welche Vorteile hat MPLS?2022-05-31T12:47:43+02:00

Einer der deutlichsten Vorteile von MPLS ist die enorme Leistungsstärke, die über Switching und klare, vordefinierte Pfade im Netz erzielt wird. Mit Quality-of-Service (QoS) und Class-of-Service (CoS) lassen sich vereinzelte Anwendungen im Netzwerk vorhersehbar und stabil verbessern.

Wo kommt MPLS zur Anwendung?2022-05-19T14:55:37+02:00

MPLS Netzwerke lassen sich national sowie international nutzen. Hat ein Unternehmen hohe Anforderungen an Sicherheit und Geschwindigkeit ist MPLS eine der besten Lösungen Standorte untereinander zu vernetzen.

Was ist ein MPLS-Backbone?2022-05-31T12:44:57+02:00

Das MPLS Backbone bezeichnet das zugrundeliegende durch den Provider (z. B. Telekom, Vodafone, Colt…) bereitgestellte Netzwerk. Der Kunde erhält Zugriff auf dieses und bekommt dedizierte Leitungswege (Leitungen) in diesem Netz inkl. dem local Loop zugewiesen.

Warum MPLS?2022-05-31T12:42:00+02:00

MPLS verbindet Ihre weltweiten Unternehmensstandorte direkt miteinander, getrennt vom Internet und bietet höchste, vorhersehbare Performance und Sicherheit, dank Label Switching und der  Nutzung immer gleicher, vordefinierter Pfade.

Funktioniert MPLS international?2022-05-19T15:01:26+02:00

Um Ihr Unternehmen weltweit zu vernetzen, ist MPLS-International die richtige Wahl. Damit verbinden Sie ausländische Standorte gleichermaßen mit Ihrem Netzwerk wie internationale Partner oder Lieferanten. Das schafft exklusive Verbindungen zwischen Ihrem nationalen System und den internationalen Standorten.

Kann MPLS die Great Firewall von China umgehen?2022-08-22T11:58:44+02:00

Die Regierung Chinas filtert Daten im Netz stark. Das führt inzwischen so weit, dass VPN bzw. IP-Adressen gezielt abgeschaltet werden. Seit einiger Zeit sind davon auch Firmen betroffen. MPLS nach China bietet eine funktionierende Alternative, die allerdings teuer werden kann. Die Technologie zwar in der Lage, die Great Firewall zu umgehen, aber nicht die lukrativste Option. Hier sind Sie mit SD-WAN nach China besser beraten.

Wie sicher ist MPLS?2022-05-19T15:03:26+02:00

Für die Sicherheit von MPLS gilt grundsätzlich: Sie ist hoch. Das Netzwerk ist in sich geschlossen und unsichtbar für die Außenwelt. Dadurch sind spezielle Lösungen notwendig, um es mit einer Cloud zu verbinden. Virtuelle Tunnel transportieren jedes mit Label versehene Paket. Eine zusätzliche Verschlüsselung ist möglich, was die Sicherheit noch weiter erhöht.

Ich freue mich auf Ihre Fragen!

Frank Frommknecht

Frank Frommknecht

Key Account Consultant

Kostenfreien Termin buchen

News zu MPLS

29. November 2022|

Warum auf Cloud-Telefonie umsteigen? Die Qualität der Zusammenarbeit ist ein entscheidender

22. November 2022|

Die Telekommunikation ist insgesamt ein komplexes Geschäft - die Bereitstellung von Leitungen hatte schon immer seine

11. November 2022|

Eine Umfrage zur Zuverlässigkeit von Unternehmens-Netzwerken im Jahr 2021 ergab, dass 91 % der Befragten

30. September 2022|

Unsere Herbst-Aktion gilt für Neu- und Bestandskunden von Avaya Jetzt bis zu 25% auf Avaya-Cloud-Office mit Savecall

24. September 2022|

Die durch COVID-19 erzwungene Verlagerung ins Homeoffice, hat zu einem massiven Nutzungsanstieg von Microsoft Teams,

20. September 2022|

Viele Unternehmen forcieren nach den Erfahrungen der COVID-19-Krise ihre digitale Transformation in den verschiedensten Bereichen. Ziel jedes Unternehmen ist

weitere Infos

Nach oben