Les Forums
Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer
SSL vs MPLS
Bonjour tout le monde, Pourriez vous me donner votre avis sur les protocoles SSL et MPLS. Lequel de ces deux protocoles vous parait être le plus fiable en terme de sécurité pour transférer des fichiers via internet entre deux sociétés ? A+ tard, Chuck |
SSL = chiffrement = sécurité MPLS = clair = risque |
Peux-tu m'en dire un peu plus elalitte ? MPLS est pourtant bien un VPN, c'est donc un protocole chiffré... Pourquoi tu me dis MPLS = clair ! Merci, Chuck |
Et paf ! en plein dans le mille ! MPLS n'est pas un VPN ! On le fait croire, mais ce n'est rien d'autre qu'une technologie de tunneling, les flux ne sont absolument pas chiffrés. Attention aux termes abusifs (et surtout abusés) comme VPN Voir [url]http://www.lalitte.com/reseau.html#denomi[/url] |
J'ai aussi envie de dire aussi "Et paf ! en plein dans le mille ! " 🙂 Pour moi, c'est le mot "privé" qui est mal interprété. MPLS offre des services de réseaux privés virtuels (RFC 2547) dans le même sens que lorsqu'on utilise un plan d'adressage privé : pas de chiffrement, uniquement une communication privée entre les entités. De même, si on fait un truc tordu du genre IPsec en mode AH entre 2 sites : on obtiendrait un VPN IPsec non chiffré. Un réseau MPLS ne permet pas d'interconnecter 2 sites à travers Internet mais d'utiliser un seul réseau d'opérateur pour tous les clients en faisant en sorte que seuls les sites de la même instance de routage (VPN) se voient. Pour répondre à la question, ça dépend du besoin ! Si tu mets du SSL ou de l'IPsec avec du DES, c'est comme une porte en bois : fermé mais facilement cassable. Sinon, à froid, je dirais IPsec ESP/tunnel avec de l'AES et du MD5 ou SHA pour du site à site. SSL, je le garderais plutôt pour des clients à site. MPLS n'est pas un VPN ! On le fait croire, mais ce n'est rien d'autre qu'une technologie de tunneling, les flux ne sont absolument pas chiffrés. Toujours selon mon humble avis, la notion de tunneling n'apparait que dans le trafic engineering de MPLS. MPLS permet justement une connectivité VPN any-to-any. Chose difficile à faire avec de l'IPsec, du PPtP, L2TP, etc. qui justement offrent une connectivité VPN de type tunnel / point à point. Eric, si tu veux me donner ton avis sur ce que j'ai dit ou en discuter plus longuement, pas de souci. J'ai eu du mal avec le terme de VPN et j'essaie d'avoir une vision exacte. |
Ca reste de toute façon une question de vocabulaire, mais pour moi quand on dit privé, c'est que ça doit rester privé. Si je hurle un secret à une foule en disant à toutes les personnes qui ne doivent pas recevoir le message de se boucher les oreilles, je pense que mon secret ne fera pas long feu. Le problème majeur que je vois est de tromper les gens avec des termes mal utilisés. Pour simple exemple, j'ai participé à des choix d'architecture pour une société et lors d'une réunion de validation techniques, je me rends compte que les numéros de carte bancaire des clients passent par un réseau MPLS. J'ai demandé si les flux étaient chiffrés pour que les numéros ne puissent pas être interceptés et on m'a dit: "Oui, puisque nous utilisons un VPN MPLS" Et badaboum. Non seulement les numéros passaient en clair, mais en plus les architectes de la solution n'en avaient pas conscience (et ils ne respectaient pas la loi...) Bien sûr, on me dira que les gens n'ont qu'à savoir de quoi ils parlent, mais ce n'est pas en utilisant des termes inappropriés qu'on les y aidera. Utiliser le terme VPN pour du traffic qui passe en clair sur un réseau partagé me semble très limite... mais ce n'est qu'un point de vue. |
Si je reprends ta comparaison, le chiffrement serait plutôt l'utilisation d'un code secret qui fait que la foule n'y comprendrait rien sauf les personnes concernées. MPLS serait un cloisonnement des personnes de façon à ce que seul le groupe concerné ne reçoive l'information. La foule n'aurait pas à se boucher les oreilles puisqu'elle n'est pas sensée entendre la conversation privée de la salle d'à côté, à moins que l'admin ait fait un trou dans le mur ou qu'un intrus se soit faufilé. Le problème est que quand on dit VPN, les gens pensent généralement tunnel IPsec, donc sécurité par les techniques appropriées. Les technologies opérateur sont souvent inconnues hors du monde des opérateurs. Du coup, quand on parle de VPN, on pense à SHA, 3DES, RSA... Quand c'est privé, l'important est que ça reste entre les personnes concernées. Le problème est à mon avis plutôt les commerciaux qui utilisent "IP-VPN" pour désigner n'importe quelle technologie d'interconnexion de sites en IP. Il suffit que tu changes d'opérateur pour te retrouver avec un autre vocabulaire. En ce qui concerne ton exemple, j'ai du mal avec un architecte (donc un professionnel du réseau) qui ne se pose pas la question de savoir comment un label "sécurise" les données. |
Le problème est que quand on dit VPN, les gens pensent généralement tunnel IPsec, donc sécurité par les techniques appropriées. Les technologies opérateur sont souvent inconnues hors du monde des opérateurs. Du coup, quand on parle de VPN, on pense à SHA, 3DES, RSA... Quand c'est privé, l'important est que ça reste entre les personnes concernées. Le problème est à mon avis plutôt les commerciaux qui utilisent "IP-VPN" pour désigner n'importe quelle technologie d'interconnexion de sites en IP. Il suffit que tu changes d'opérateur pour te retrouver avec un autre vocabulaire. En ce qui concerne ton exemple, j'ai du mal avec un architecte (donc un professionnel du réseau) qui ne se pose pas la question de savoir comment un label "sécurise" les données. Et oui, mais c'est bien ce qui se produit, la preuve même est la réponse de dvauris: Dans VPN il y a private. Si je fais passer les données en clair sur une liaison louée c'est private, sur un réseau partagé ça ne l'est plus. Sus à l'emloi de termes inadequats ! |
Donc tu es d'accord que "private" n'implique pas forcément chiffrement. En MPLS, tant que tu n'exportes ou n'importes pas des routes, ce qui est au sein de ta VRF reste au sein de ta VRF. En d'autres termes VRF_Auchan ne verra pas VRF_Carrefour même s'ils utilisent la même infra physique. RFC 4364 BGP/MPLS IP Virtual Private Networks (VPNs). Mais là encore, on considère qu'une RFC décrit la règle mais RFC veut dire "Request For Comments". |
Tout à fait ! Et non ! Ca c'est la théorie. En pratique, il suffit d'avoir accès à l'un des routeurs de l'infra pour avoir accès à tout le traffic. Et c'est là où cela ne remplace pas un bon vieux chiffrement des familles. |
shinmaki a écrit: Tout à fait ! shinmaki a écrit: Et non ! Ca c'est la théorie. En pratique, il suffit d'avoir accès à l'un des routeurs de l'infra pour avoir accès à tout le traffic. Et la pratique aussi. C'est bien ce que je dis : le VPN-MPLS repose sur la confiance qu'on accorde au cloisonnement que fournit l'opérateur. La même confiance accordée à l'admin qui gère la politique de sécurité. Rien n'empêche de chiffrer si tu considère que l'étanchéité de la VRF n'est pas suffisante ou pour des raisons légales. C'est la même chose si quelqu'un s'introduit dans un réseau en adressage privé. |
Il faut bien lire "partagé" Ce qui n'est pas le cas d'une liaison louée. Tout à fait. Dans un cas, tu dois laisser reposer ta sécurité sur le réseau porteur, sur lequel tu n'as aucune vision. Dans l'autre, tu t'en fiches, seules les extrémités que tu gères garantissent la sécurité. Non, cela n'a rien à voir. Faire passer des infos confidentielles chiffrées en AES sur Internet ne me pose pas de problème, et je serai confiant sur leur confidentialité, tant que je gère les points d'accès des deux cotés. Maintenant faire passer en clair ces mêmes infos sur un réseau d'opérateur partagé avec des concurrents... Dans un cas, je gère ma sécurité et je sais ce qui y est fait, dans l'autre je la délègue à une tierce entité... Maintenant si tu penses que ces deux choix offrent le même niveau de sécurité, libre à toi... Mais pour revenir à la question initiale, je continue de penser qu'il ne faut pas mélanger sous une même dénomination deux concepts très différents l'un de l'autre, qui n'offrent pas du tout le même niveau de sécurité. |
Citation: Utiliser le terme VPN pour du traffic qui passe en clair sur un réseau partagé me semble très limite... mais ce n'est qu'un point de vue. Il faut bien lire "partagé" Ce qui n'est pas le cas d'une liaison louée. Oui mais tu réponds à dvauris que MPLS ne forme pas de VPN car il ne chiffre pas. Je n'ai pas parlé de sécurité par MPLS, seulement du fait qu'il rende ton réseau privé et de la confiance qu'on peut avoir en ce réseau. Si tu considères que l'intimité te suffit, MPLS est une solution. Si tu considères que les données sont extrêmement sensibles, et qu'elles peuvent être écoutées, MPLS ne suffit pas. shinmaki a écrit: C'est la même chose si quelqu'un s'introduit dans un réseau en adressage privé. Non, cela n'a rien à voir. Là, c'est moi qui n'étais pas clair. Je reformule. Tu prends la main sur un équipement MPLS, tu as accès au trafic qui y transite. Tu prends la main sur une passerelle IPsec, tu as accès au trafic qui y transite aussi. Les réseaux terminaux sont sensés être privés dans les deux cas. Sauf qu'en IPsec, il y a Internet de l'autre côté généralement. D'accord avec toi mais IPsec reste lourd à gérer ; surtout pour les informaticiens dont le domaine n'est pas la sécurité mais à qui on demande de la gérer ; comme dans beaucoup d'entreprises. Je n'ai jamais dit ça. J'ai dit qu'on été pas d'accord sur le "privé". MPLS ne te protège pas des autres, il t'en sépare virtuellement. Si cette séparation te suffit pour considérer que les données restent confidentielles, va pour MPLS. Sinon, il faut te rendre incompréhensible des autres. MPLS et IPsec offrent deux services VPN de types différents. Justement, VPN désigne des technologies par lesquelles on lie deux sites en faisant en sorte qu'ils puissent faire abstraction de ce qu'il y a entre les 2 en construisant une nouvelle topologie. Tu vas à l'encontre des RFC en disant que MPLS ne propose pas de VPN. Quand tu parles d'organismes nomalisateurs sur ton site, tu parles bien aussi de l'IETF ? |
Tu ne prends qu'une partie du message que j'ai donné. J'ai dit qu'un VPN était un tunnel chiffré. MPLS est une solution de tunneling qui passe en clair. MPLS n'est donc pas, pour moi, une solution VPN. C'est aussi pour cela que je conseille OpenVPN et non IPsec. Ca c'est juste du tunneling... |
Je viens de t'envoyer un document qui commente les différentes solutions de VPN que sont IPSEC/SSL/MPLS. Ces technologies sont plus complémentaires que concurrentes dans bien des cas. Pour les autres qui souhaitent le lire il faut s'inscrire ici: http://www.webtorials.com/index.htm Et ensuite chercher le document: UnderstandingVPNTechnology.pdf L'acronyme VPN désigne seulement un réseau privé virtuel. On peut comparer d'une certaine manière MPLS sur un backbone opérateurs à un VLAN pour un réseau d'entreprise. MPLS au travers des labels/VPN fournit la même isolation de transport sur un backbone qu'un VLAN au niveau d'une entreprise sur son LAN. Les personnes qui confondent chiffrage et VPN sont en général des personnes qui connaissent mal MPLS. |
Bonjour Messieurs, La problématique est forte intéressante, voici ma contribution qui vous permettra "je l'espère" d'éclaircir la discution. De mon côté, pour répondre à certains, MPLS est un VPN, c'est la base mais effectivement, nativement c'est en clair mais sur un réseau privé. VPN ne veux pas dire chiffré, uniquement réseau privé. Pour répondre à d'autres, MPLS Vs IPSec est effectivement une très bonne question, la réponse n'est pas toujours la même car comme indiqué ci-dessus, les commerciaux communiquent effectivement sur les offres de type "IP-VPN" (abus de language complet puisque les 2 sont des IP VPN). Tout dépend du besoin du client, MPLS est un réseau "any to any" sur lequel on peut implémenter du chiffrement ou des règles de routage avec "Hub and spok" par exemple pour cloisonner des "VRF serveur" des "VRF clientes" (monde opérateur). L'IPSec est très bien pour les VPN nomade et/ou les intersites, tout dépend des contraintes et surtout le choix sera fait en fonction du besoin du client. Côté, Niveau sécurité, si les technologies sont bien gérées, le niveau de sécurité est quasi identique (IPSec plus complexe quand même car internet...). Le meilleurs reste néanmoins les solutions du monde bancaire qui utilisent un réseau commuté de type MPLS couplé avec une surcouche d'IPSec car dans ce type d'infrastructure on ne fait confiance à personne javascript:emoticon('8)') J'espère avoir répondu à vos questions et n'hésitez pas à me solliciter.javascript:emoticon(':?:') Bonne journée à tous |