¿Cuáles son las amenazas de seguridad contra una red MPLS?

La respuesta rápida es que no hay amenazas contra una red MPLS, pero esa respuesta merece una explicación, ya que la pregunta es un poco vaga.

Los paquetes MPLS en sí mismos no son visibles desde IP, por lo que necesitaría acceso físico a la red que transporta los paquetes MPLS. Sin embargo, dado que MPLS estándar usa LDP, un protocolo que se ejecuta en IP, para establecer rutas MPLS, la seguridad de una red MPLS es tan fuerte como la seguridad de los dispositivos que la ejecutan. Esto es exactamente lo mismo que con una red IP. MPLS no tiene mayor o menor vulnerabilidad que la IP en términos de amenazas de seguridad del enrutador.

También es posible que alguien pueda usar el propio LDP como vector de ataque. No he escuchado que esto suceda, pero tampoco lo he investigado, por lo que podría muy fácilmente no ser consciente de que algo así sucede. La mayoría de los proveedores de MPLS usan espacio IP privado para LDP, por lo que tendría que ingresar a esa red, ya sea por intrusión de firewall o acceso físico para atacar con LDP. También es posible autenticar LDP con MD5, al igual que la mayoría de los otros protocolos de enrutamiento. Si el proveedor está usando esto, entonces LDP no sería un vector de ataque.

Si está preguntando sobre las VPN MPLS, la respuesta es algo diferente. El propio MPLS, como se indicó anteriormente, es vulnerable a las amenazas del enrutador, pero los datos están separados de manera segura de otros datos, incluso de otros VPN MPLS, en la misma red. Los paquetes MPLS no son visibles para IP. A menudo se les conoce como pseudowires porque actúan como si fueran sus propios circuitos privados. Incluso si dos organizaciones que usan espacio de IP superpuesto usan el mismo proveedor de MPLS, sus datos están completamente separados. La única parte de la red del proveedor que ve el espacio IP del usuario final son los puertos que enfrentan los usuarios finales. El resto de la red solo ve los paquetes MPLS, que se identifican mediante etiquetas MPLS (la “L” en MPLS). La red no ve las direcciones IP encapsuladas dentro del paquete MPLS. Incluso si los clientes con espacio IP superpuesto estuvieran conectados a puertos adyacentes en los mismos enrutadores en cada extremo de la red, las dos redes de clientes no tendrían visibilidad entre sí.

La seguridad MPLS tiene vulnerabilidades potenciales, pero son en gran medida teóricas, con la excepción de fallas debido a una configuración incorrecta.

El documento técnico de Cisco señaló que para mantener una buena seguridad para un sistema MPLS, “la estructura interna de la red central MPLS (elementos de borde de proveedor (PE) y proveedor (P)) no debe ser visible para las redes externas (Internet o cualquier red conectada VPN) Aunque el incumplimiento de este requisito no conduce a un problema de seguridad, muchos [proveedores de servicios] consideran que esto es ventajoso si el direccionamiento interno y la estructura de la red permanecen ocultos al mundo exterior. Un argumento fuerte es que los ataques de denegación de servicio contra un enrutador central, por ejemplo, son mucho más fáciles de llevar a cabo si un atacante conoce la dirección. Cuando no se conocen las direcciones, se pueden adivinar, pero con esta visibilidad limitada, los ataques se vuelven más difíciles “.

Sify, que es un proveedor líder de servicios Mpls, está en una posición única para satisfacer los requisitos de conectividad de la red privada virtual (VPN) MPLS de los clientes de empresas grandes y emergentes a través de sus servicios SiteConnect ™ que permiten soluciones de red convergentes rentables que permiten datos punto a punto, tráfico de voz y video.

Conozca más sobre la arquitectura de seguridad de la red MPLS.