[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: R: Telecom e MPLS
Mittente: quisotto
Data: 26 Nov 2001 15:14:03 -0000
Ciao Luca,

-----Original Message-----
From: Luca Berlinghieri [mailto:luca.berlinghieri@itline.it]
Sent: Monday, November 26, 2001 11:53 AM
To: ml@sikurezza.org
Subject: R: Telecom e MPLS


Ciao Marco,

>Piu in generale il termine VPN e' abbastanza inflazionato ed utilizzato
>male. Esistono tecnologie di tunneling e non per forza sono tunnel con
>funzionalita' di cifratura o di autenticazione del pacchetto. Ad esempio
>l2tp e' un tunneling di livello 2 non cifrato. GRE e' un tunneling di
>livello 3 non cifrato. In genere quando si parla di VPN nel mondo comune 
si
>parla di VPN IPSec, che sono di livello 3, cifrate o autenticate o
entrambi.

>>Esatto, infatti hai ragione, ho parlato genericamente di VPN perche' in
>>questo momento l'attuale architettura e' basata su GRE e IPSec 3DES (non
>>autenticata per ora ma sto' valutando di inserire anche' questa ulteriore
>>"garanzia")

Forse diro' una cosa ovvia ma la differenza sostanziale e' che elimini 
tutti i tuoi tunnel e per ogni tua sede hai una singola connessione l3 con 
il router LSR del carrier. Nessun'altra config e' richiesta. Puoi comunque 
implementare la cifratura ma al di fuori della rete MPLS (sui router in 
casa tua o lo chiedi al carrier per i router che ti installa).

>L'MPLS e' una tecnologia di tagging del pacchetto che fa si che il
pacchetto
>sappia la sua strada e destinazione al momento in cui gli e' stata
assegnata
>una etichetta. Effettivamente questa e' la stessa sicurezza di una nuvola
>frame relay, e garantisce che il tuo pacchetto arrivi a destinazione
>passando per una vpn, non cifrata. LA connettivita' e' garantita anche se
in
>effetti nulla vieta al man in the middle al momento in cui dovesse avere
>accesso ai tuoi dati al momento in cui sono in mezzo alla nuvola di
>strippare gli header MPLS ed avere accesso al tuo pacchetto. In effetti
dire
>che la security e' quanto ATM e frame Relay e' esatto. Cio non toglie che
se
>vuoi ci puoi fare sopra una VPN cifrata ed autenticata, pronuncia VPN.

>>Ok, di conseguenza allora e' giusto dire che l'MPLS e' un sistema che mi
>>permette di instradare i pacchetti senza fare routing IP (ossia 
>>assegnando
>>un'etichetta indicante la destinazione) ma utilizzando un altro sistema 
>>di
>>annunci ed instradamento che mi separa dai normali attacchi ai dati 
>>basati
>>sui difetti del protocollo IP?
>>E se cio' e' vero pero' e' anche vero che se io tento comunque un attacco
>>(ad esempio frapponendomi fra due destinazioni MPLS) e utilizzando 
>>apparati
>>che usano questa tecnologia ho comunque sempre il problema che il mio
>>traffico e' in chiaro e quindi facilmente utilizzabile?

Nella rete MPLS le informazioni di label switching sono locali e valgono 
solamente per i pacchetti che passano tra due router adiacenti.
Gli unici router della rete MPLS che in qualche modo entrano nel merito 
della VPN sono gli LSR, per cui, come ha detto naif, l'unico modo e' 
introdursi in uno di questi router oppure frapporsi tra LSR e CE (il 
router che si connette alla rete MPLS, quello che il carrier ti installa).

>>Ciao e Grazie
>>Luca
Ciao, qs


___________________________________________________
La tua email gratuita sul web a: http://www.xoom.it



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005