Il 08/09/2010 15:36, Giuseppe "Gippa" Paterno' ha scritto:
On Tue, 2010-09-07 at 18:05 +0200, Marco Ermini wrote:
La connessione ad un APN non ? criptata. Non so perch? la chiamate
"VPN" ma penso possa essere pi? facilmente comprensibile paragonandola
ad una VLAN.
Ciao!
Andando in giro dai clienti, spesso mi rendo conto che hanno la
percezione delle APN e delle reti MPLS come le "VPN". In realta' penso
che sia piu' appropriato paragonarle alle VLAN, come ha detto Marco e
non ad una sessione "protetta" (= criptata). E' ovvio che non e'
semplice fare un "MPLS hopping", ma comunque (volendo/potendo) i dati
sono sniffabili.
Voi come la pensate?
Ciao Giuseppe,
si, PURTROPPO capita spesso che "clienti finali" di Telco vivano MPLS
come "rete _sicura _come una VPN" , e deriva da come i "venditori" delle
varie telco spacciano il _protocollo di switching_ MPLS e qui nasce gi?
il primo problema :
VPN non vuole dire per forza "rete sicura" ma solo "trasporto" fra reti
non ruotabili, cos? come MPLS neppure vuole dire di sicuro rete sicura
... quindi MPLS e VPN sono "simili" , decisamente simili, xch? entrambi
mettono in comunicazione reti private che su internet (lapalisse si
rivolta nella tomba) non si parlerebbero.
Quando si scala a VPN IPSEC allora si aggiunge la sicurezza, cos? come
su MPLS da qualche tempo si ? visto sbucare il favoloso SMPLS ...
termine coniato ad arte per definire il "Secure Mpls" che ancora devo
trovare in qualsivoglia RFC :-)
Interessante direi
http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/mxinf_ds.pdf che
mamma Cisco mette a disposizione !
Sugli APN, ho visto sempre gli stessi "venditori" dichiarare che l'apn
dedicato garantisce la sicurezza "come l'mpls rispetto al normale canale
internet" ma per fortuna i MIEI clienti su mpls e su apn dedicati
mettono cmq delle sane vpn ipsec o ssl ..
Credo che Naif, se sopravissuto ad ESC, dovrebbe poterci dare + dettagli
sulla sicurezza degli APN !!
Cesare ha ricordato che a livello di interconnessione tra il nodo GGSN
e l'endpoint APN remoto "? possibile la cifratura" ... (compreso
rilascio di ip tramite auth md5) ma .... possibile non vuole dire che
avviene by default ...
ed i dati su MPLS sono come minimo sniffabili dal provider stesso ....
che dite ?
quindi avere una VPN IPSEC con chiavi/certificati gestiti da se stessi e
non dal provider mpls ? cmq di base pi? sicuro!
Cristiano
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Nessun virus nel messaggio in arrivo.
Controllato da AVG - www.avg.com
Versione: 9.0.851 / Database dei virus: 271.1.1/3126 - Data di rilascio:
09/10/10 09:08:00
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
