-
Sécurité réseau MPLS
Bonjour à tous,
je suis en train de chercher des informations sur les réseaux MPLS.
Je vois souvent ça associé a une connexion VPN. Est ce systématique et obligatoire?
Si ça n'est pas le cas, on est d'accord que le seul avantage est que le "trajet" entre deux sites sera prédéfini au départ, mais circule avec le même niveau de sécurité que n'importe quel traffic sur internet ?
Merci d'avance
-
Bonjour,
Il faut distinguer les niveaux de labels et les services associés. Le plus souvent, deux niveaux de labels sont utilisés.
- Le label qui permet l'acheminement vers un PE de sortie. C'est celui le proche de la couche basse. On l'appelle souvent label LSP pour Label-Switched Path. Cela permet de baser l'acheminement sur une technique de commutation de labels au lieu de routage IP. Tout seul, il n'y a pas grand intérêt.
- Le label qui est empilé au-dessus du label LSP fournit les services qui sont recherchés aujourd'hui. On l'appelle souvent label VPN car c'est lui qui permet l'implémentation de VPN (IP, Ethernet ou autre). Il n'est pas obligatoire. Ce qui est intéressant, c'est que puisque l'acheminement n'est plus basé sur le routage IP, tu peux transporter du trafic IP, Ethernet ou autre en assurant l'étanchéité. Par exemple, deux client peuvent disposer du même plan d'adressage sans pour autant pouvoir communiquer ou rentrer en conflit d'IP. Idem pour le trafic Internet et celui d'un VPN client.
La sécurité dans MPLS est un vaste sujet. Tout dépend de ce que tu appelles sécurité. Si c'est la cryptographie, il n'y en a pas. Ce n'est pas le but recherché. Si c'est la disponibilité, la topologie, l'étanchéité, l'ingénierie de trafic ou le re-routage rapide, oui ton trafic peut être sécurisé.
Si on compare un VPN de type IPsec et un de type MPLS :
- IPsec : cryptographiquement sûr mais cela reste très compliqué s'il faut faire communiquer de nombreux sites. Pas SLA si on passe par Internet.
- MPLS : trafic en clair. Très simple pour ajouter ou retirer des sites ou s'il faut permettre la communication entre certains sites et pas d'autres. SLA possible.
-
Bonjour,
On ne peut pas ajouter une couche de cryptage (via un autre protocole) sur MPLS sans avoir l’inconvénient de "faire communiquer de nombreux sites" de IPsec ?
=> est-ce que rajouter une couche de cryptage pas dessus MPLS revient à avoir les mêmes inconvénients qu'avec IPsec ?
-
Bonjour,
Exact, il n'y a pas de mécanismes de chiffrement dans MPLS. Donc, si tu veux de la cryptographie, il faut implémenter IPsec, TLS / SSL, SSH... DMVPN permet de faciliter l'établissement des tunnels IPsec entre plusieurs sites mais ça reste du maillage complet de tunnels (point à point).
-
-
Bonjour,
merci pour ce retour intéréssant et désolé pour la réponse tardive, je n'avais pas activé les notifications ...
Donc si j'ai bien compris, si un "attaquant" sniffe le dialogue entre 2 sites relié en MPLS, il pourra lire les données qui transitent ?
-
Bonsoir,
Tout à fait.
Un administrateur pourrait en théorie le faire sans problème.
Un pirate le pourrait aussi mais il lui faudrait entrer sur le réseau (arf), mettre en place une capture de paquets (arf arf...) ou dérouter le trafic et le réinjecter (arf arf arf !), sachant que le trafic n'est plus acheminé grâce aux IP ! Quoique les routeurs modernes permettent souvent de capturer le trafic directement sur la machine...
-
d'accord, donc il y a quand même une certaine "confidentialité" qui est assuré. (En partant du principe qu'il est difficile de s'infiltrer dans le réseau).
Et donc c'est grace au label qu'on "simule" un Lan ? AVec tout de même du routage je suppose sur les sites)
Ex:
Site A = LAB-A - @Res 192.168.1.0
Site B = LAB-B - @Res 192.168.2.0
Site C = LAB-C - @Res 192.168.3.0
Site A envoie un message a SITE C
Paquet(LAB-C|192.168.3.1)
Site C envoie un message a SITE B
Paquet(LAB-B|192.168.3.1)
Ou est ce que si on souscrit a un MPLS pour 3 sites, nos 3 sites auront le même label ?
Ce n'est pas trés clair pour moi tout ça et je ne trouve pas d'explication avec des schémas qui pourraient m'éclairer.
Merci d'avance !
-
A la base du MPLS, il y a le routage IP. Ce sont les protocoles de routage dynamique (plan de contrôle) qui permettent de mettre en place la commutation de labels (plan de transfert) et donc les annonces de labels. En d'autres termes, on signalise en IP et on transfère par commutation de labels.
On ne va parler que des VPN IP pour le moment. Il faut distinguer plusieurs plans de routage :
- Celui qui est utilisé par l'opérateur pour la connectivité dans le backbone (entre PE) : "plan global". Basiquement, il est géré par un IGP à états de liens. Pour chadune des entrées dans la table de routage globale, les routeurs MPLS (PE, P) annoncent un label "LSP" aux routeurs adjacents.
- Ceux des clients : VRF / VPN. Les PE utilisent MP-BGP pour annoncer des préfixes VPN + label. Attention, les routes issues d'une VRF sont rendues "uniques" grâce au Route Distinguisher. Le préfixe RD1:A.B.C.D/X est différent du préfixe RD2:A.B.C.D/X.
Pour plus de précision sur les notions de PE, CE, CPE, P, RR, VRF, je laisse Internet t'éclairer.
Si on dit que Site A est raccordé sur PE-A et Site C sur PE-C :
- PE-A reçoit un paquet à destination de 192.168.3.0/24 sur une interface d'accès appartenant à la VRF JOJO.
- PE-A trouve dans la table de routage de la VRF JOJO next-hop = PE-C et qu'il faut qu'il appose le label LCJOJO s'il veut lui indiquer qu'il s'agit d'un paquet pour la VRF JOJO.
- PE-A cherche comment joindre PE-C. Sa table de routage globale lui indique qu'il faut qu'il envoie le paquet à P-X avec le label L1.
- PE-A insère sous la couche IP du paquet client LCJOJO puis L1 et envoie le tout à P-X.
- P-X ayant annoncé L1 pour joindre PE-C, il le commute vers l'interface qui va bien avec le label qui va bien et ainsi de suite.
- Au final PE-C reçoit le paquet avec deux labels : le label LSP indique que c'est pour lui et le label VPN lui indique que c'est pour VRF JOJO. Il enlève les labels et route le paquet vers l'interface de sortie associée à VRF JOJO pour le préfixe 192.168.3.0/24.
Pas de routage, pas de mélange, pas de conflits. C'est étanche.
Deux discussions au sujet de MPLS :
https://www.developpez.net/forums/d1...y-ipv4-mp-bgp/
https://www.developpez.net/forums/d1...tion-vrf-ebgp/
-
Merci a toi pour ce retour,
il va falloir que je boss ça! :)
-
queston de recherche
salut! je suivis la conversation et bien j'ai une question juste à poser peut être même plus par la suite, quelles sont les pannes que nous rencontrons dans le réseaux MPLS/WDM vous pouvez citez même 2 ou 3 et voir même la manière de gérer ces dernières! prière de porter regard sur ma question svp!:(