Ciao Marco,
> Mi hanno chiesto di valutare una serie di offerte, di diversi
> fornitori, tutte MPLS-based.
Anch'io ho avuto lo stesso pensiero, tant'e' che -come lettura estiva-
mi sono comprato un libro su MPLS.
Premesso che non sono un esperto MPLS, la sicurezza di MPLS e' IMHO
paragonabile ad un VC di ATM o PVC di Frame Relay.
Bisogna distinguere fra MPLS in Frame-mode o LC-ATM. Frame-mode va su IP
sia per lo scambio della label information base (LIB) che del traffico
MPLS, mentre LC-ATM scambia informazioni MPLS direttamente su un VC ATM
ad-hoc e il traffico MPLS va su VC ATM separati.
Se vogliamo vederla "grigia", non possiamo escludere a priori che si
possa "sfondare" qualsiasi cosa vada su IP, quindi in un ambito
Frame-mode sarebbe (in teoria) possibile impossessarsi di un router,
mettere una bella interfaccia GRE e dirottare parte del traffico MPLS.
Questo ovviamente in linea teorica.
Su LC-ATM la cosa non e' impossibile, ma e' piu' improbabile perche'
dovresti avere un accesso fisico allo switch ATM per poter "inserire" il
cavo per dirottare il traffico sul tuo VC.
In entrambi i casi, non stiamo comunque parlando di una VPN con
encryption, ma solo una VPN intesa letteralmente come "rete privata
virtuale". Dipende dai dati che tratti, IMHO vale la pena stabilire una
connessione criptata o tra router o addirittura end-to-end. La domanda
che dovresti fare al tuo fornitore MPLS e' capire se usano frame-mode o
LC-ATM, ammesso che i commerciali o i presales capiscano di cosa parlano
e siano sinceri.
La cosa che mi fa pensare e' che molti dei grossi clienti che ho
visitato in passato non adottano ulteriori mezzi di protezione sulle
reti MPLS dei fornitori, fidandosi ciecamente di tutto quello che e' in
mezzo alla trasmissione. Intendiamoci, anche un ponte wireless (in
qualsiasi tecnologia) tra due sedi e' comunque un mezzo trasmissivo
potenzialmente "bucabile".
Quello che ho implementato nella banca che sto seguendo e' un encryption
a tutti i livelli della comunicazione, sia a livello IP che a livello di
protocollo, che di scambio di dati cifrati. Forse un po' esagerato per
un uso "normale", ma basta applicare delle semplici regole di base.
Ovviamente si tratta del mio solo punto di vista.
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
