Überblick über die Möglichkeiten der MPLS Verschlüsselung
Bei MPLS VPNs handelt es sich um eine Standortvernetzung auf Basis von Multiprotocol Label Switching. Diese Technologie sorgt beim Kunden für ein privates IP-Netz, welches in Reinform komplett vom Internet getrennt ist. Aber, und das ist vielen Nutzern nicht immer bewusst, das MPLS Netz ist unverschlüsselt. D.h. der für das MPLS VPN verantwortliche Carrier und seine etwaigen Local Tail-Lieferanten können transparent mitlesen. MPLS Verschlüsselung wird damit insbesondere bei ausländischen Netzen und in sensiblen Branchen essentiell. Für einen sicheren Transport stehen die folgenden Techniken zur Verfügung:
Mögliche Protokolle bei der MPLS Verschlüsselung
IPsec-Protokoll
Die häufigste Verschlüsselungstechnik im MPLS-Netz ist IPsec. IPsec steht für Internet Protokoll Security und wird auch für Internet-VPNs am meisten eingesetzt.
TLS/SSL-Protokoll
Neben der IPsec-Verschlüsselung wird auch die Verschlüsselung über TLS (Transport Layer Security) oder SSL (Secure Socket Layer) genutzt. Wobei TLS mittlerweile primär für die Absicherung von Voice over IP Gesprächen genutzt wird. SSL wurde in der Vergangenheit primär für die Absicherung mobiler User eingesetzt. Mittlerweile werden aber auch in diesem Bereich vermehrt IPsec Applikationen genutzt.
Wie sieht die Architektur bei der Umsetzung aus?
Ende zu Ende Verschlüsselung auf Kunden CPE
Hierzu wird vor den Customer Edge (CE) Router eine zusätzliche CPE (Router, Firewall) installiert. Auf dieser werden dann die jeweiligen Tunnel zu den einzelnen Standorten konfiguriert. Bei vielen Standorten bzw. häufigen Änderungen kann dies zu einem entsprechend hohen Aufwand auf Kundenseite führen. Ebenfalls entfällt die Möglichkeit einer Priorisierung nach Classes of Service. Vorteil sind wiederum überschaubare Kosten, da normale IPsec Verschlüsselungstechnik relativ günstig zu bekommen ist.
Verschlüsselung CE Router zu CE Router
Bei dieser Möglichkeit erfolgt die MPLS Verschlüsselung im CE Router des jeweiligen Carriers durch den Carrier. Die Verwaltung der PKI (Public Key Infrastructure) kann entweder durch den Carrier erfolgen oder auf Kundeneigenen Servern erfolgen. Der Vorteil ist ein geringerer Aufwand des Kunden und die Möglichkeit weiterhin eine Priorisierung nach Classes of Service einzusetzen. Allerdings sind solche Lösungen hochpreisig und kommen daher nur für eine eingeschränkte Kundenzahl in Betracht. Beispiele für vorstehend beschrieben Lösung ist z.B. das GET (Group Encrypted Transport) VPN von Cisco.
Suchen Sie nach einer Absicherung Ihres MPLS-Netzes? Sprechen Sie uns hier an wir unterstützen Sie gerne!