Verschlüsselung von MPLS

Veröffentlicht am 26. Juni 2017 26,63 Minuten zu lesen 4873 Worte
Transport von Ethernet Frames im MPLS
Ethernet Verschlüsselung im Transport-Modus vor Übergabe ans MPLS
Ethernet over MPLS (EoMPLS)
Verschlüsselung mit eingefügtem MPLS Tag
Verschlüsselung zwischen Carrier und Label Switch Router
Ethernet Frame mit beigefügtem MPLS Tag
Ethernet Frame mit Transport Modus über MPLSoE
Ethernet Frame mit Frame Modus über MPLSoE

Die Verschlüsselung in MPLS Netzen ist ein heikles Thema und wird immer wichtiger. Die sonst so abgeschlossenen MPLS Netze haben immer mehr Berührungspunkte zum Internet, sei es durch externe Mitarbeiter, Cloud Anbindungen oder anderes. Wir stellen hier verschiedene Verschlüsselungsmechanismen kurz vor. Grundsätzlich ist ein MPLS Netzwerk sicher. Warum? Es ist ein in sich abgeschlossenes, von einem Provider betriebenes, Netzwerk und hat in der Regel nur einen Berührungspunkt mit dem öffentlichen Internet. Dieser liegt meist entweder im Rechenzentrum oder in der Firmenzentrale. Doch auch abgeschlossene Netzwerke können durch physische Zugriffe auf Rechner oder Knotenpunkte unsicher werden. Eine Verschlüsselung des MPLS Verkehrs schafft hier mehr Sicherheit. MPLS verarbeitet und transportiert eine Vielzahl verschiedener Daten. Dazu gehören auch IP-Pakete und Ethernet Frames. Ethernet-Verschlüsseler sollten das MPLS unterstützen, doch je nach Lage des Verschlüsselers, wird eine abweichende Unterstützung benötigt. Bei der Nutzung von MPLS als reines Transportmedium für Ethernet Frames, ist es für das Unternehmen transparent. Das heißt, dass nur das Ethernet sichtbar ist und sich damit auch die Verschlüsselung darauf fokussiert. Verwendung von MPLS für den Transport von Ethernet-Frames Bei dieser Abbildung handelt es sich um ein normales Ethernet-Szenario, worauf sich auch die Verschlüsselung beschränkt Ethernet-Verschlüsselung im Transport-Modus vor Übergabe an MPLS-Netzwerk Ethernet over MPLS (EoMPLS) Nutzt man das MPLS nicht für den Transport von Ethernet Frames, sondern direkt, wird im Frame ein sog. MPLS-Tag eingefügt. Das führt zu einem anderen Inhalt: Es gibt aber zwei Arten der Nutzung von MPLS: Nebst dem Transport von Ethernet-Frames über MPLS kann auch MPLS direkt genutzt werden, wobei im Frame ein MPLS-Tag eingefügt wird. Das hat Auswirkungen auf den Inhalt der Frames: Authentizierte Verschlüsselung im Transport-Modus mit eingefügtem MPLS-Tag Ein anderer Aufbau ergibt sich, wenn der Verschlüssler zwischen dem MPLS Router und dem Ethernet Anschluss des Providers steht. Wird der Secure Switch nach dem MPLS Router (Label Switch Router) aufgestellt, kommen mehr Szenarien zum Tragen. Die Verschlüsselung darf dabei erst nach dem MPLS-Tag erfolgen. Im Falle das Frames mit MPLS Tag von der Ethernet Verschlüsselung ausgenommen werden können und der Secure Switch Ethernet over IP (EoIP) beherrscht, ist es möglich alle MPLS Szenarien zu unterstützen. Das beinhaltet MPLS über Ethernet und MPLS über IP. Vorteil an diesem Aufbau liegt im gewährten Komplettschutz, der Vertraulichkeit, Integritätsschutz, Entdecken und Verhindern von Eindringlingen, einer Layer 2-Firewall und Resistenz gegen DDos Attacken! Besonders bei breitbandigen Anschlüssen bringt es Kosteneinsparungen mit sich. Nachstehend finden Sie Verschlüsselungsoptionen, die sich auf MPLS über Ethernet (MPLSoE) beschränken, wobei MPLS auf Layer 2 terminiert wird. Eine Unterstützung von EoIP ist nicht vorausgesetzt. Ethernet-Frame mit eingefügtem MPLS-Tag Ethernet-Frame mit Transport-Modus-Verschlüsselung transportiert über MPLSoE Ethernet-Frame mit Frame-Modus-Verschlüsselung transportiert über MPLSoE

Ethernet über MPLS / VPLS

Ethernet über MPLS / VPLS

Transportiert man Ethernet-Frames über MPLS muss der Verschlüssler den Ethernet Header unverschlüsselt lassen, da das MPLS auf die Header Informationen angewiesen ist (MPLS Header). Hier sind die Voraussetzungen für MPLS sowohl im Transport- als auch im Tunnel-Modus erfüllt. Eine direkte Unterstützung ist nicht nötig, nur Transparenz. Zwei Transportvarianten von Ethernet über MPLS können genutzt werden:

  • Der MPLS Tag wird zwischen den Ethernet Header und die Nutzlast gesetzt (nur bei durchgängigen Ethernet Netzwerk)
  • Der Originalframe wird vom MPLS enkapsuliert und der MPLS Tag wird vor die Nutzlast gesetzt (bei unterschiedlichen Layer 2 Netzwerken)

MPLS Interconnect

Bei einer Verschlüsselung der Verbindung von lokalen MPLS Wolken über ein WAN, muss der Secure Switch (Verschlüsseler) sich dem Frameformat anpassen. Zwei Frame Varianten sind möglich:

  • Ethernet Frame mit MPLS Tag
  • Ethernet Frame mit MPLS Tag, wobei der „Original“-Frame enkapsuliert und als Nutzlast übertragen wird

MPLS Interconnect

Zwischen MPLS-Clouds

Will man die Verbindung zweier lokaler MPLS Clouds über eine Provider MPLS Cloud verschlüsseln, ist es erforderlich das der Verschlüsseler nur die Nutzlast verschlüsselt, die aus dem enkapsulierten Originalframe besteht. Die genauen Anforderungen an den Verschlüsseler variieren hier je nach Szenario und auch Topologie. Eine optimale Lösung für Multipunkt Topologien ist nur schwer erreichbar.

IPSec als MPLS Verschlüsselung

Eine Absicherung mit IPSec ist auch möglich. Jedoch macht diese nur Sinn, wenn es sich um ein reines IP Netzwerk handelt. Ist es eine Carrier Ethernet Netzwerk Lösung bietet es nicht ausreichend Sicherheit, da eine Verschlüsselung unterhalb von Layer 3 wegfällt. Sie benötigen Beratung zu Ihrem MPLS Netzwerk? Sprechen Sie uns an! Unsere Experten helfen Ihnen gerne weiter. Mit freundlicher Genehmigung von Herrn Christoph Jaggi. Die Originalpublikation finden Sie hier. Merken

GET STARTED: Vereinbaren Sie Ihre individuelle Beratung

Unsere Experten haben Erfahrung in der Analyse Ihrer Anforderungen und dem Vergleich vieler Anbieter, um die beste Lösung für Sie zu finden.