IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Protocoles Discussion :

Sécurité réseau MPLS


Sujet :

Protocoles

  1. #1
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2011
    Messages
    278
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Septembre 2011
    Messages : 278
    Points : 63
    Points
    63
    Par défaut Sécurité réseau MPLS
    Bonjour à tous,
    je suis en train de chercher des informations sur les réseaux MPLS.
    Je vois souvent ça associé a une connexion VPN. Est ce systématique et obligatoire?
    Si ça n'est pas le cas, on est d'accord que le seul avantage est que le "trajet" entre deux sites sera prédéfini au départ, mais circule avec le même niveau de sécurité que n'importe quel traffic sur internet ?

    Merci d'avance

  2. #2
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2013
    Messages
    106
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2013
    Messages : 106
    Points : 159
    Points
    159
    Par défaut
    Bonjour,

    Il faut distinguer les niveaux de labels et les services associés. Le plus souvent, deux niveaux de labels sont utilisés.

    - Le label qui permet l'acheminement vers un PE de sortie. C'est celui le proche de la couche basse. On l'appelle souvent label LSP pour Label-Switched Path. Cela permet de baser l'acheminement sur une technique de commutation de labels au lieu de routage IP. Tout seul, il n'y a pas grand intérêt.

    - Le label qui est empilé au-dessus du label LSP fournit les services qui sont recherchés aujourd'hui. On l'appelle souvent label VPN car c'est lui qui permet l'implémentation de VPN (IP, Ethernet ou autre). Il n'est pas obligatoire. Ce qui est intéressant, c'est que puisque l'acheminement n'est plus basé sur le routage IP, tu peux transporter du trafic IP, Ethernet ou autre en assurant l'étanchéité. Par exemple, deux client peuvent disposer du même plan d'adressage sans pour autant pouvoir communiquer ou rentrer en conflit d'IP. Idem pour le trafic Internet et celui d'un VPN client.

    La sécurité dans MPLS est un vaste sujet. Tout dépend de ce que tu appelles sécurité. Si c'est la cryptographie, il n'y en a pas. Ce n'est pas le but recherché. Si c'est la disponibilité, la topologie, l'étanchéité, l'ingénierie de trafic ou le re-routage rapide, oui ton trafic peut être sécurisé.

    Si on compare un VPN de type IPsec et un de type MPLS :
    - IPsec : cryptographiquement sûr mais cela reste très compliqué s'il faut faire communiquer de nombreux sites. Pas SLA si on passe par Internet.
    - MPLS : trafic en clair. Très simple pour ajouter ou retirer des sites ou s'il faut permettre la communication entre certains sites et pas d'autres. SLA possible.

  3. #3
    Membre éprouvé
    Profil pro
    Inscrit en
    Septembre 2009
    Messages
    1 821
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2009
    Messages : 1 821
    Points : 979
    Points
    979
    Par défaut
    Bonjour,

    On ne peut pas ajouter une couche de cryptage (via un autre protocole) sur MPLS sans avoir l’inconvénient de "faire communiquer de nombreux sites" de IPsec ?
    => est-ce que rajouter une couche de cryptage pas dessus MPLS revient à avoir les mêmes inconvénients qu'avec IPsec ?

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2013
    Messages
    106
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2013
    Messages : 106
    Points : 159
    Points
    159
    Par défaut
    Bonjour,

    Exact, il n'y a pas de mécanismes de chiffrement dans MPLS. Donc, si tu veux de la cryptographie, il faut implémenter IPsec, TLS / SSL, SSH... DMVPN permet de faciliter l'établissement des tunnels IPsec entre plusieurs sites mais ça reste du maillage complet de tunnels (point à point).

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    Septembre 2009
    Messages
    1 821
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2009
    Messages : 1 821
    Points : 979
    Points
    979
    Par défaut
    ok merci pour les infos

  6. #6
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2011
    Messages
    278
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Septembre 2011
    Messages : 278
    Points : 63
    Points
    63
    Par défaut
    Bonjour,
    merci pour ce retour intéréssant et désolé pour la réponse tardive, je n'avais pas activé les notifications ...

    Donc si j'ai bien compris, si un "attaquant" sniffe le dialogue entre 2 sites relié en MPLS, il pourra lire les données qui transitent ?

  7. #7
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2013
    Messages
    106
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2013
    Messages : 106
    Points : 159
    Points
    159
    Par défaut
    Bonsoir,

    Tout à fait.

    Un administrateur pourrait en théorie le faire sans problème.

    Un pirate le pourrait aussi mais il lui faudrait entrer sur le réseau (arf), mettre en place une capture de paquets (arf arf...) ou dérouter le trafic et le réinjecter (arf arf arf !), sachant que le trafic n'est plus acheminé grâce aux IP ! Quoique les routeurs modernes permettent souvent de capturer le trafic directement sur la machine...

  8. #8
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2011
    Messages
    278
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Septembre 2011
    Messages : 278
    Points : 63
    Points
    63
    Par défaut
    d'accord, donc il y a quand même une certaine "confidentialité" qui est assuré. (En partant du principe qu'il est difficile de s'infiltrer dans le réseau).

    Et donc c'est grace au label qu'on "simule" un Lan ? AVec tout de même du routage je suppose sur les sites)
    Ex:
    Site A = LAB-A - @Res 192.168.1.0
    Site B = LAB-B - @Res 192.168.2.0
    Site C = LAB-C - @Res 192.168.3.0

    Site A envoie un message a SITE C
    Paquet(LAB-C|192.168.3.1)
    Site C envoie un message a SITE B
    Paquet(LAB-B|192.168.3.1)

    Ou est ce que si on souscrit a un MPLS pour 3 sites, nos 3 sites auront le même label ?
    Ce n'est pas trés clair pour moi tout ça et je ne trouve pas d'explication avec des schémas qui pourraient m'éclairer.
    Merci d'avance !

  9. #9
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2013
    Messages
    106
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2013
    Messages : 106
    Points : 159
    Points
    159
    Par défaut
    A la base du MPLS, il y a le routage IP. Ce sont les protocoles de routage dynamique (plan de contrôle) qui permettent de mettre en place la commutation de labels (plan de transfert) et donc les annonces de labels. En d'autres termes, on signalise en IP et on transfère par commutation de labels.

    On ne va parler que des VPN IP pour le moment. Il faut distinguer plusieurs plans de routage :
    - Celui qui est utilisé par l'opérateur pour la connectivité dans le backbone (entre PE) : "plan global". Basiquement, il est géré par un IGP à états de liens. Pour chadune des entrées dans la table de routage globale, les routeurs MPLS (PE, P) annoncent un label "LSP" aux routeurs adjacents.
    - Ceux des clients : VRF / VPN. Les PE utilisent MP-BGP pour annoncer des préfixes VPN + label. Attention, les routes issues d'une VRF sont rendues "uniques" grâce au Route Distinguisher. Le préfixe RD1:A.B.C.D/X est différent du préfixe RD2:A.B.C.D/X.

    Pour plus de précision sur les notions de PE, CE, CPE, P, RR, VRF, je laisse Internet t'éclairer.

    Si on dit que Site A est raccordé sur PE-A et Site C sur PE-C :
    - PE-A reçoit un paquet à destination de 192.168.3.0/24 sur une interface d'accès appartenant à la VRF JOJO.
    - PE-A trouve dans la table de routage de la VRF JOJO next-hop = PE-C et qu'il faut qu'il appose le label LCJOJO s'il veut lui indiquer qu'il s'agit d'un paquet pour la VRF JOJO.
    - PE-A cherche comment joindre PE-C. Sa table de routage globale lui indique qu'il faut qu'il envoie le paquet à P-X avec le label L1.
    - PE-A insère sous la couche IP du paquet client LCJOJO puis L1 et envoie le tout à P-X.
    - P-X ayant annoncé L1 pour joindre PE-C, il le commute vers l'interface qui va bien avec le label qui va bien et ainsi de suite.
    - Au final PE-C reçoit le paquet avec deux labels : le label LSP indique que c'est pour lui et le label VPN lui indique que c'est pour VRF JOJO. Il enlève les labels et route le paquet vers l'interface de sortie associée à VRF JOJO pour le préfixe 192.168.3.0/24.

    Pas de routage, pas de mélange, pas de conflits. C'est étanche.

    Deux discussions au sujet de MPLS :
    https://www.developpez.net/forums/d1...y-ipv4-mp-bgp/
    https://www.developpez.net/forums/d1...tion-vrf-ebgp/

  10. #10
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2011
    Messages
    278
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Septembre 2011
    Messages : 278
    Points : 63
    Points
    63
    Par défaut
    Merci a toi pour ce retour,
    il va falloir que je boss ça!

  11. #11
    Candidat au Club Avatar de eliaskit
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2022
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Avril 2022
    Messages : 1
    Points : 2
    Points
    2
    Par défaut queston de recherche
    salut! je suivis la conversation et bien j'ai une question juste à poser peut être même plus par la suite, quelles sont les pannes que nous rencontrons dans le réseaux MPLS/WDM vous pouvez citez même 2 ou 3 et voir même la manière de gérer ces dernières! prière de porter regard sur ma question svp!

Discussions similaires

  1. sécurité réseau sous linux
    Par lubana dans le forum Sécurité
    Réponses: 1
    Dernier message: 29/12/2008, 21h06
  2. sécurité réseau: DNS avec BIND
    Par ranell dans le forum Sécurité
    Réponses: 2
    Dernier message: 24/11/2008, 00h15
  3. sécurité réseau: quel langage apprendre ?
    Par hesoebius dans le forum Débuter
    Réponses: 2
    Dernier message: 22/02/2008, 14h59
  4. Sécurité réseau avec BDE!!
    Par pointer dans le forum Delphi
    Réponses: 9
    Dernier message: 15/06/2006, 22h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo